風險評估原則目錄TOC\o"1-5"\h\z一、資產(chǎn)分類參考目錄2二、重要信息資產(chǎn)判斷標準2\o"CurrentDocument"三、信息資產(chǎn)CIAB分級標準.4\o"CurrentDocument"四、威脅分級標準4.\o"CurrentDocument"五、脆弱性漏洞分級標準5\o"CurrentDocument"六、風險等級標準5\o"CurrentDocument"七、威脅來源列表5\o"CurrentDocument"八、威脅種類與描述5\o"CurrentDocument"九、脆弱性列表6

一、資產(chǎn)分類參考目錄資產(chǎn)大類資產(chǎn)小類描述硬件主機設(shè)備大型機、小型機、PC服務(wù)器等終端設(shè)備臺式機、KVM、筆記本、移動終端等網(wǎng)絡(luò)設(shè)備路由器、交換機、HUB、負載均衡設(shè)備等傳輸介質(zhì)光纖、雙絞線、同軸電纜、衛(wèi)星線路等安全設(shè)備防火墻、防毒墻、安全網(wǎng)關(guān)、入侵檢測設(shè)備、掃描設(shè)備、加密機、VPN、網(wǎng)閘、堡壘主機等存儲介質(zhì)磁帶、光盤、U盤、移動硬盤等存儲設(shè)備磁盤陣列、磁帶庫、NAS/SAN/存儲設(shè)備等辦公輔助設(shè)備傳真機、碎紙機、打印機、掃描儀、復(fù)印機、刻錄機、照相機等軟件源程序源代碼、軟件安裝包、License等服務(wù)器操作系統(tǒng)WindowsServer、Linux、Unix、AIX、Solaris等，虛擬化系統(tǒng)（Hyper、ESX/ESXi、XenServer等）終端操作系統(tǒng)WindowsXP/7、MaciOS等數(shù)據(jù)庫Oracle、DB2、Sqlserver、Mysql等中間件Websphere、Weblogic、應(yīng)用服務(wù)器、消息中間件、對象中間件等工具應(yīng)用軟件office、通訊軟件、媒體編輯軟件、軟件開發(fā)工具、測試工具、版本控制軟件、設(shè)計建模工具，終端殺毒軟件、防篡改、終端管理系統(tǒng)客戶端等應(yīng)用系統(tǒng)OA系統(tǒng)、郵件系統(tǒng)、業(yè)務(wù)處理系統(tǒng)、ERP、交易系統(tǒng)、門戶網(wǎng)站、終端管理系統(tǒng)、文檔加密系統(tǒng)、視頻監(jiān)控管理系統(tǒng)、IT服務(wù)管理系統(tǒng)、IT資源監(jiān)控管理系統(tǒng)等開發(fā)測試系統(tǒng)正在測試且未上線或部分上線的系統(tǒng)以及正在開發(fā)的系統(tǒng)數(shù)據(jù)業(yè)務(wù)信息財務(wù)/人力信息、合同信息、項目信息、采購信息、客戶信息、市場資料、業(yè)務(wù)數(shù)據(jù)、交易數(shù)據(jù)等系統(tǒng)配置信息配置、日志、帳戶權(quán)限口令信息、軟證書等文檔管理文檔管理制度文檔、運維資料、培訓(xùn)資料、收發(fā)文、工作報告、軟件開發(fā)文檔、法律法規(guī)等實體信息印章、證照、硬證書/令牌、其它實體信息等人員內(nèi)部人員-中高層領(lǐng)導(dǎo)公司董事會層面相關(guān)成員或者大部門領(lǐng)導(dǎo)級成員、部門領(lǐng)導(dǎo)或者部門模塊科室領(lǐng)導(dǎo)內(nèi)部人員-支撐人員行政、財務(wù)、人力資源等員工內(nèi)部人員-業(yè)務(wù)人員公司業(yè)務(wù)人員

內(nèi)部人員-運維人員IT運維人員（主機管理員、網(wǎng)絡(luò)管理員、系統(tǒng)管理員、數(shù)據(jù)庫管理員、安全管理員）內(nèi)部人員-開發(fā)人員開發(fā)人員、測試人員等外部人員業(yè)務(wù)外包人員、開發(fā)外包人員、運維外包人員、物業(yè)保安人員等物理環(huán)境硬件保障設(shè)施空調(diào)、UPS、發(fā)電機、門禁設(shè)施、消防設(shè)施、機柜機架等環(huán)境監(jiān)控設(shè)施CCTV、報警設(shè)施、溫濕度監(jiān)控建筑環(huán)境設(shè)施設(shè)備間、機房、辦公大廈介質(zhì)保障設(shè)施保險柜、檔案室、文件柜等第三方月艮務(wù)基礎(chǔ)保障服務(wù)供電、物業(yè)、寶潔、保安監(jiān)控、供水、辦公設(shè)備維保、大廈空調(diào)、物流快遞、打印等服務(wù)業(yè)務(wù)支持服務(wù)包括主機硬件支持、開放平臺硬件支持、機房設(shè)備設(shè)施支持、存儲設(shè)備支持、云計算支持、軟件和硬件的研發(fā)、IT咨詢（安全咨詢）、財務(wù)審計、法律咨詢、人力資源支持、公關(guān)媒體、寶潔、物流快遞、打印、保安監(jiān)控等服務(wù)外包服務(wù)產(chǎn)品推廣EMGL業(yè)務(wù)大數(shù)據(jù)客探業(yè)務(wù)無形資產(chǎn)專利專利技術(shù)著作著作權(quán)二、重要信息資產(chǎn)判斷標準分類評判標準硬件1、產(chǎn)生或保存的信息屬于秘密的設(shè)備或媒體。2、處理方法不當或設(shè)備故障，對公司活動、管理、商業(yè)信譽、形象直接產(chǎn)生不良影響。3、本部門認為重要的信息資產(chǎn)。軟件1、屬于企業(yè)秘密的程序。2、如果被修改或失效，對公司活動、管理、商業(yè)信譽、形象直接產(chǎn)生不良影響。3、本部門認為重要的信息資產(chǎn)。數(shù)據(jù)1、屬于公司機密。2、被修改、不正當使用或缺失，對公司活動、管理、商業(yè)信譽、形象直接產(chǎn)生不良影響。3、本部門認為重要的信息資產(chǎn)。文檔1、屬于公司機密。2、被修改、不正當使用或缺失，對公司活動、管理、商業(yè)信譽、形象直接產(chǎn)生不良影響。3、本部門認為重要的信息資產(chǎn)。

人員1、產(chǎn)生或保存企業(yè)秘密信息的人員或特殊技能的人員。2、本部門認為重要的信息資產(chǎn)。物理環(huán)境1、產(chǎn)生或保存企業(yè)秘密信息或運行重要程序、完成重要業(yè)務(wù)的場所。2、本部門認為重要的信息資產(chǎn)。第二方服務(wù)1、影響業(yè)務(wù)流程及運營的關(guān)鍵服務(wù)，無形資產(chǎn)。2、本部門認為重要的信息資產(chǎn)。外包服務(wù)1、產(chǎn)生或保存第三方企業(yè)秘密信息或運行支撐第三方業(yè)務(wù)的重要程序、完成第三方重要業(yè)務(wù)的環(huán)境、場地、系統(tǒng)等信息資產(chǎn)。2、本部門認為重要的信息資產(chǎn)。無形資產(chǎn)1、影響業(yè)務(wù)流程及運營的無形資產(chǎn)。2、本部門認為重要的信息資產(chǎn)。三、信息資產(chǎn)CIAB分級標準E-機9ftIT■A-W用Ba業(yè)鼻槽類性關(guān)系號來法展的消的TT,貌糧本利審有若岐辱擅繆私min!推由忑熱讀岌m】荃什8沖；II說'乂址，極曜機的信克】頓期；?土如fl1校港成重尢的或無濁1￡壁的席響.可業(yè)#沖擊壺L,幗睥盼=￥1171務(wù)，1?斯，叮51-■■IIl.■-.,u."世用房刑■■盲J6曲倩堂系就腳可ill陞□.邱l：i＞河..能以I：、lk句U個怯蟹i婦;；只,產(chǎn)g'l心?心.?玨」斷..1[1小簿避的I-L4畫[的1;要疆密-其世味藹世圮掣的苴八川i*捕，遭更嚴重嗣皆虬來行汽.祖?I【A.卷也.戢業(yè)叛補擊產(chǎn)藍可叫在價值1陌密.仔遷拒/U1叫一'忌*追籬參補：上厘詛＞|母￡2的以L、11窩可&掂息電丁值地邱EL.IS商住伯息洗廣檔物中廣蘢辛火州F專，原V*蟲有打牡汀X啊包件的埃帕膜牡睡藍，Ait禽仁兒5辨iFi安勺司村己旬撮.二俯中香，丸理程料助■舊成Hi環(huán)金JJ勘機成"IK加1?可7U性外借中等.吾川曲H昔可伯息藏帝-息剜￡俐■神匹在正甯」作肘間Hr如劣■」：建俄拿孩非息庭FL同B1潮原有工作艮生產(chǎn)投式?可以障的再代該隹息％包房但與就ifl燦月眥?睥W融鼎?御門內(nèi)諄盆開的伯息.問外擴nu「m曲坦猊的折」監(jiān)清虛我#記票#1一個代WK，未眨15農(nóng)苗峰世趨毅缽齋冽粗斜囪甫Wit諾響,可頃鬼吏.荊業(yè)罪沖擊特踵，霹息■斗可叫株侍值身注袱刖胃對仙忘片七皿所鄙的《肆SUm.I.hIldl'iJ-l^-.!---nr郵W用Wi的咨F，業(yè)務(wù)主誓以原有方式址有迪嘗開初偕虹,心卅的值思此尸所吝叫系統(tǒng)癇H號亢希仕如作-II用圳、區(qū)挽授秘|1'淮教攜》中則博*，上「Fl擔1孫LH鬼瑙，村。:角尸.1.＜時就可mwfirum.汗也「帝…M"tV?業(yè)蓉邸1■■依蜘如1小便期演姑點堡廣’阻離攜仁息盜L_】頊，|河|"|f11左浙南四、威脅分級標準

威脅等級標識定義.5日艦傾率孔出3或Ml次/周）：或和L一務(wù)數(shù)情此FJL乎不H建魁或〔以W斑常發(fā)生遷申4出現(xiàn)泊雨率救吊［或M1"）:或在太多情戴卜根有［能會發(fā)生；或可以證實多次發(fā)生過■31'出現(xiàn)的頻率申砰『或）1況半：或在5"情壬卜W能左發(fā)生:或被M發(fā)生經(jīng)投生過「2低出現(xiàn)的頻率毯??；或一脫不太可能發(fā)生:或沒@被讓％發(fā)牛乩L:一忽略成昉幾乎卜可能發(fā)中?儀M能左儡罕見和制外的情技卜發(fā)'匚五、脆弱性漏洞分級標準技木管童拴1M防茍垣制能韓性至如利用的魔,程度"可耐技■方IW右M的瞄蜥知如、牝zIK啪蜘用IJJ舊擊于耒說，該st第目甫迅其制由i'?i皿占rLf'I'll.項者泊1中的花君理5小盤川:<i'l.芍必，T，1睥*仆1有規(guī)定.嚴捂皿記容校收沮帝被威MI-II等燧降歸?.?h.T.U術(shù)迥利出W于攻事Mi苗桐無法袖盲U可用制虹II仙土勺fidft.1*電即曾叫1?業(yè)力川應(yīng)的落淳％節(jié),由u岐刊"」有規(guī)定-職市mii.有專人負丸撿查甄打落*占祝，肖己是炊臧戚舟同NJU*uit-V./if.拔莪繇小仕"?：％：「被出，1Mir以門:;PJii，”件壬靠的imun.LPJ^U幻泯?曾mir-'MEI!郵潔場?相河以械f'J'J.SW.L心宣耳落空.仃可埋被成持刊II?Idti術(shù)方丙存在省產(chǎn)里的峻陽，上做?F局被可川個特定M閨,可以*合其暗誨傭敢玖曲苦加以利用.或者應(yīng)蹄的涮用有?-宣坦甥督珅中有左著詢加卜.】、比花:年封哽.可HJ海定?執(zhí)仃M主#氏白堂II:整智易成成痢可川建亦方而右站i:iII富嚴茵的母陷,很窖易祐站II在的情配、姒江rill霍八弟*1而港1君流5小右芷君輯￥1\1；虹71\世常鼠袖；5Ai>S.:V..'.jlfJ般陣醇福歡畤刊陌六、風險等級標準域牌獸命it啪述iT冊5此一：.5很M刎果發(fā)生.將埋系統(tǒng)破S.大磔壞，組瓠利蒞受刊極火:損尖產(chǎn)0?接遂風險4l.i-L9高如妣冷，I?.將堿'盅"幣:版壞，引坦.制益受判呼幣:頊?失不可搭受風險jHI1-11:1發(fā)圭啟柘使抵統(tǒng)史到較幣的度壞，引染利益受判相失?齦不『接受同險25~9發(fā)f荷將破金統(tǒng)受凱的做壞程度和利登損失ffi條件河攜受風險｛靂耍關(guān)沌）1D-可囂略即”5J忑使系級受到很5；恤壞|泓受區(qū)險七、威脅來源列表riw桌斧UJBJJ表、口叫小散我i也齡由千晰由，咨也，蟲主-溷蝎.蛔蟲'鼠和U害，電藏干攜r轍災(zāi)-此火.坦應(yīng)好環(huán)度■莎件白舞丈害】意的—敞或由于就件.理杵、尊機、.此僵叫斗:%叫問蟬妃■悲心內(nèi)部L、內(nèi)穌0定心ED-」受市由于普艮■山吊蝦導(dǎo)冷，或甘3L有主履國■-■■ikjjs邛缺件迎滯此奪角由呻=內(nèi)存.七昂由于w乏贈iii專業(yè)歧能不足，不耳茁囪血琳B理事面號Ht恰盅靠境故障攻毗》1擊出奩內(nèi)勰人員■?■:泗避有展鼻的冉部人母封佗誨拳堆*行理章琳壞］dM白一土|1或內(nèi)葉L日頂E"鑿"機：野搭0曷！1門虱八我甲HSft■三』fflE邑骷11說.樣動、證券、花務(wù)號JtSS■普in佚停犀皿收件開探備fl=4K律、金鴕制41杏.JK劣高利產(chǎn)品供盛面:：包括第三方思盤怕刊L.罟邕的T」為蚪落人員IJL'.外部■人薊自用1EJ&■疝,吟廊翱性』刑即￡&花福眈解機密性?無用■和土"?破壞，必染JK利蓋」廚蹲皿隆力八、威脅種類與描述

此號腳觸推建恥:⑴HI1件業(yè)降.虱曰銃港門斷-暮藐本呀或軟件11」/，覲對葉務(wù)血礎(chǔ)皿￡泣布的集*斷電、彩屯、版生、SM擔.皿、時蟲害.電建干貌、ift災(zāi).炊地霰等環(huán)境MBS引II林氏S'ICO；；<.'■丸泌糜、.卷ill1成拳撕i'」&有即」相成的操H?更無意地扣J.,枝颯的晚fl'」國泵拈:電質(zhì)崩聊?i許帕|i，，安全骨1理無注輪實,不到位,造成安至雀理不折裾，或者菁理混亂.從他娥開信迅系鼬再辛7i序堰JTrc(?u等離代花科刊■'；H審「1畦『1穌摧能力，用信口鼠賽構(gòu)成祚環(huán)閔曲手妻自KC-Ei獨叔或斗心狙N川-些措帷.超甘門己的上牌M時「本*i_妝《問眄闕!李肴滋用口己的職極-撤出岐壞伯點帝轅的行為rco?據(jù)客改右利川黑xlh-iuh^h例如做察.密品拾醐以山、曜mat出攻一，?矣裝hi「i.唆探、的tamix矚■也夔肌務(wù)段由邪「改周胃崽汞摭7ri^.iin\i：TCO8新理婭一場'理礎(chǔ)壞'gITOGUL密滑漏，機密倍只2參始叫.人hli.lg?？莘宀苋?4祚耳"#亍丸弊性rciif.-jtUjkilli:J倍扃和所件做1CI2教妝:E失九、脆弱性列表

■-1:n:ti1［曾1■機制不幃亢Hi]/L#克體n螳卻4Pd/-nrii工印士頊;ri,i點窘me個留瞇1i(15缺歹可岫fci購?fù)餡1-i-Ob豐zrJvX1j銜問片抱正能仃劉Mr?1i(i?俗r圳無所二代4Fun沒七崎音訂并1?11沒有「?而妄個T?戶鄧口11-1IJ沒fj建刀.左普的屯甦文德IJLiUJ11址貌的童斐SE堂有3劍加.護'.IlJ脆襯Vf?,缺Ifi引歧陽陷■IlliR國知識水平站■in:.A.“在八A配皓A.梃理疆:精呵不切1lll:31t^<Jvf1：W'■■hlbHI；rin?檢有塞訂協(xié)退rin：j沒f"用片niin閔茄中沒有立吁孌:k廠111直個Aw%Al易致*構(gòu)「II?匕?'1塊至虹：艮計隔廠11：.沒&KU在輸niii盡芝大的_1_行為的雷埃慚n;xii電加涕n：jp4刖埸兩如■潺泓入4刖.l乓兩空混浴‘二用N4"I:、:S州島肆悔擊4HKih偵兩勵E.?K4HKI7J誦所易燃住4HflR場網(wǎng)■!、坂盅4HKIIJL1R客盤d-WIn堤地小曉側(cè)1用5虬受電力萱匕是我邛皿島的環(huán)皿4廿E護"網(wǎng)不尊Wd二弁叫刀代格!1l[lb■7;浦田皿7mgr.'YfrL似障皿」:1號竺恐周二|輕險njun檢辭狀由Ell空估禎

:公r仲VN站■.!!■td、夠LTJ17彼俱RiLA■iHJt?攔MJl!JW中的OnnrjniIvflV句導(dǎo)的LWI|J凹絡(luò)流h；監(jiān)挾首E時也L心1玦小位也、應(yīng)康川.匕頃1釧法訂及時蟲新褂T"職瓠象開取噩1A府務(wù)不田口\VI/-莉筑GF可睪畋刊為口L網(wǎng)1扶貌育國員SU4J戶瑜11傘此吁11令L蟲;、丸蝮存初iilWUJ'LSIIHy;ijj-；■■■.-.：l1l^-AL灑編時IJii'i-ll安-'\SQR夠fit設(shè)iE；II驚戶$下準個*：略L-=(!!■■S1U*11I；改￡i、MT：J灑LU?在朋渣VW!號凈i:3頃1■Sl：>配重遍演<-4-il■-Sl7&fj口1加宙欺il勰構(gòu)缺落吳I!.'