公司研发部iso2700信息安全体系风险评估记录模版.doc

风险评估记录 部门:研发部 资产名称 重要度 面临威胁 脆弱性 暴露 影响① 容易度 措施 可能性② 风险 有效 ① Ｘ ② 台式计算机 1０ 病毒感染 无杀毒软件 3 ６ 2 ３ 5 30 　 １０ 数据损坏丢失 无备份策略 5 10 ４ 3 7 70 　 １0 数据泄密 无口令策略 ４ 8 4 4 8 6４ 　 １0 无法使用 无日常维护，打补丁 ２ 4 3 ４ 7 2８ 　 10 运算速度不够 配置低 1 ２ 2 5 7 14 　 1０ 盗窃 无访问控制 5 １0 4 ５ ９ ９0 服务器 1０ 非授权访问 配置被修改 4 8 4 4 8 64 1０ 病毒感染 无杀毒软件 3 6 2 ３ 5 30 　 １0 无日常维护,打补丁 无法使用 2 4 3 4 7 28 笔记本 10 公司开发软件代码泄密 无拷贝控制 ３ 6 ４ 4 8 48 　 10 人为破环 硬件损坏系统无法正常运行 2 4 3 5 8 3２ 　 １0 盗窃 影响工作任务 2 4 2 4 6 24 1０ 进水 硬件损坏系统无法正常运行 2 4 4 4 ８ 32 网线 ５ 无法使用 无防护措施 1 1 2 ５ 7 7 INTEL网络服务 1０ 无隔离手段 数据泄密 5 10 4 5 ９ 9０ 路由器 ２ 盗窃 影响工作任务 ３ １ 1 ４ 5 5 U盘 2 病毒感染 无管理制度 3 1 3 5 ８ 8 WINDＯWＳ ＸP 2 软件运行错误 操作系统存在漏洞 2 1 5 2 7 7 源代码 10 数据丢失\损坏\篡改 无访问控制 5 1０ 3 5 8 ８0 软件 1０ 存储介质故障 无安全备份 4 8 3 4 7 56 概要设计说明书 ５ 存储介质故障 无备份安全策略 ４ 4 3 4 7 ２8 产品数据库数据 5 存储介质故障 无备份安全策略 4 4 ３ 4 ７ ２8 产品用户手册 ５ 存储介质故障 无备份安全策略 4 ４ 3 4 ７ 2８ BUG报告 5 存储介质故障 无备份安全策略 4 4 3 4 7 ２8 用户培训记录 2 存储介质故障 无备份安全策略 4 2 3 4 ７ １４ 开发库其他文档 5 数据泄密 无访问控制 5 ５ 4 ４ ８ 40 受控库其他文档 5 数据泄密 无访问控制 ５ 5 ４ 4 ８ 4０ 产品库其他文档 ５ 数据泄密 无访问控制 5 5 4 4 8 4０ dｅｌphi 10 运行错误,无法使用 未及时打补丁 5 １０ ３ 3 ６ 6０ Sql servｅr 2００0 10 运行错误,无法使用 未及时打补丁 5 10 3 ３ 6 ６0 Winｄoｗs　2０0３ 1０ 运行错误，无法使用 未及时打补丁 ５ 1０ 3 3 ６ 6０ 代码控制CＶS配置软件 10 运行错误,无法使用 未及时打补丁 5 1０ 3 3 6 ６0 0fｆｉｃe 5 运行错误,无法使用 未及时打补丁 4 4 ３ 3 6 ２4 开发人员 1０ 数据泄密 安全意识欠缺，安全技能欠缺 ５ 10 4 ３ ７ 70