脆弱性-威胁对应表

资产类别威胁威胁利用的漏洞备注（说明、措施等）盗窃设备物理保护措施不当，购买价格较高物理破坏保护意识不足；缺少必要的安全保护措施；设备本身抗破坏能力较差。故障或老化管理不当、设备维护不当、使用时间过长。定期对设备进行维护；重要设备提供UPS电源保护。非授权使用设备物理保护措施不当，责任不明确，缺少相应的授权使用规范。没有权限的情况下，访问、使用了设备。滥用、误操作操作规程不清晰有权限的情况下，访问、使用不当(如带电操作、操作不符合规程)。未受控资产管理不当（遗漏设备清点、管理不加强设备的管理。水灾、火灾、闪电、电磁辐射/干扰等缺乏对外部环境的防护丢失、被盗保护和管理措施不当正版软件（实体）的不小心丢失、被盗等。损坏使用时间过长，软件管理不当，缺乏备份措施如软件（实体）无法正确安装。恶意攻击设计缺陷，缺少安全防护措施黑客/恶意软件攻击（可以安装防毒软件、软件防火墙等进行防护）。非授权访问设计不当、保护措施不当没有权限的情况下，访问、使用软件（IE架构，缺少访问控制设备的保护，口令：配置不当，安全意运行故障、意外错误设计缺陷，使用、保护措施不当未受控资产管理不当加强软件资产（实体）的管理。身份假冒口令设置脆弱、用户帐号缺乏有效管理制定口令和权限管理规范，并监督执行。操作失误缺乏软件管理机制制定合适的软件操作指南和规定。非授权访问（可能造成失密）随意处置数据所在介质、存放不当、数据的访问控制措施不严格、标识不当无权访问：管理不当，导致信息失密（如文件存放在不正确的目录导致信息失密。泄密（C:4,5进行评估）安全意识薄弱，使用不当，防护措施不足导致信息泄密有权访问：使用不当导致信息泄密息；禁止带离公司，提高安全意识。滥用、误操作（修改）保护措施不当，监控不足，缺少安全防护和告警提示有权限使用的情况下规范操作规程；误操作前，应提示操作者。丢失（可用性:3,4,5进行评估）（删除、丢失，但未失随意处置数据所在介质，误删除保存电子文档介质的丢失、误删除。损坏（文档无法打开）信息保存过程中、介质问题。对电子文档进行备份。未受控资产管理不当加强电子文档的管理。恶意攻击缺乏恶意代码和病毒的防范机制黑客/恶意软件攻击（可以安装防毒软件、软件防火墙等进行防护）。盗窃重要信息缺乏有效的备份按照重要信息的备份流程进行定期备份。存在电子媒介的各种数据资料台式机、笔记本、服务器、存储设备、网络设备、安全设备、办公设备、保障设备脆弱性－威胁对应表硬件资产软件资产生产系统、系统软件、应用软件电子数据窃听缺乏对数据交换（传输）的安全管理加强对数据在传输过程中的安全。非授权访问，泄密缺乏对纸质文件的有效管控纸质文件被放置在桌面或者会议室等开放办公环境里，会被人无意或有意获取该信息，从而导致该信盗窃、丢失纸质文件管理不当纸质文件被放置在桌面或会议室等开放办公环境里，会被人蓄意窃取文件从而导致该信息被泄漏，意外损害缺乏对文件的保护由于资产管理不当，导致放置的文件胡乱堆积，在以后的使用过程中无意识的将有用的文件损害。水患缺乏对文件的防水保护如果没有合适的防止被水淹渍的措施，可能会导致文件不能使用。火灾缺乏对文件的防火保护如果没有合适的防火措施，可能会导致文件被烧毁不能使用。中断人员冗余不足，缺少AB角色互备一些特殊岗位没有其他人员可替代。中断人员安全职责不清中断人员业务水平不足业务中断。重大经济损失人员业务水平不足由于对业务不精通，可能使合同出现问题，导致重大的经济损失。泄密人员业务水平不足虽然有较强的安全意识，当由于自身技术不足等原因导致信息泄密。泄密人员安全意识不足由于安全意识不足，可能导致信息的泄密（口令、帐号、客户信息、工资信息、产品信息）。泄密合同保护条款不足如没有签署保密协议，可能导致信息的泄密。诈骗、法律纠纷人员审查措施不足操作失误缺乏信息安全方针，人员操作无法可依,导致不能合格履行职责制定信息安全方针，对员工的行为进行整体的指导。身份假冒缺乏有效地转岗和离职控制因内部调动和离职缺乏缺乏控制，导致权限变更和撤销滞后，易造成账号误用或被冒用，使重要信息非授权访问安全区设置不恰当物理安全：财务等部门位置设置不恰当，应有相对独立的区域。非授权访问安全区保障措施不足安全区域标识不清楚、非请勿入（财务、仓库）。非授权访问安全区出入控制措施不足如保安、门禁、外来人员等。非授权访问第三方访问控制措施不足第三方人员利用社交工程进行身份假冒，访问敏感信息。物理破坏（主要是指管道线路）安全区保障措施不足电源线、网线、水管、电话线。盗窃安全区设置不恰当盗窃安全区保障措施不足无监控措施或监控措施无效。盗窃安全区出入控制措施不足盗窃管理措施不到位货品入库清点、出库清点、报废数目不准。人员资产包含第三方服务和人员服务资产处室经理、关键岗位人员、一般岗位人员纸质的各种文件纸质数据电子数据电磁干扰和泄密安全区保障措施不足未达到特别环境要求静电、温度、湿度、灰尘、辐射若暂时没有特别环境要求，可不考虑。重大灾害业务连续性管理不完善地震、火灾、洪水、疾病等。第三方服务中断业务连续性管理不完善虽然有连续性管理规定，但一旦第三方服务中断将会对公司业务造成严重影响。电源故障电源保障设计不够电力供应不足、电路老化、变压设备故障、电器设备的使用不当。法律纠纷合同保护条款不足法律纠纷法律和法规鉴别不完全收集信息安全相关法律法规不完全。泄密合同保护条款不足合同中没有涉及保密内容。蓄意破坏对第三方服务缺乏评审监督和检查蓄意以各种方式破坏信息资产，可能导致资产不可用。操作失误对第三方服务缺乏评审监督和检查在正常工作或使用过程中，由于操作不当而无意中造成对资产的侵害。服务资产企业文化、公司形象、客户关系等无形资产