资产价值序号填写部门资产类别资产名称CIA重要性财务中心12人员一般人员3人员管理人员电话保险柜复印打印一体机笔记本电脑银行UKEY台式电脑111322111233333111122财务中心21231223221122444432223财务中心财务中心财务中心财务中心财务中心财务中心财务中心财务中心财务中心财务中心财务中心财务中心财务中心财务中心财务中心财务中心财务中心财务中心实物实物实物实物实物实物实物实物实物111222111133332222122111112233332222456789文件柜其他-财务装订凭证机器票据打印机101112数据文件数据文件数据文件数据文件数据文件数据文件软件软件软件公司制度-电子财务资料(合同、报表、凭证)-电子财务资料(合同、报表、凭证)-纸质审计报告-纸质审计报告-电子财务凭证原始单据Windows操作系统MS OFFICE、PDF杀毒软件1314151617181920弱点(整列需要填)威胁(整列需要填)风险或影响描述(整列需要填)风险类型(整列需要填)入职培训不包括信息安全宣讲,可疏忽失误能导致人员信息安全意识薄弱入职培训不包括信息安全宣讲,可疏忽失误能导致人员信息安全意识薄弱设备没有定期状态检查设备没有定期状态检查设备没有定期状态检查疏忽失误疏忽失误疏忽失误入职培训不包括信息安全宣讲,可能导致人员信息人员安全意识风安全意识薄弱,在无意识的情况下可能会造成信险息安全事件,如泄密等入职培训不包括信息安全宣讲,可能导致人员信息人员安全意识风安全意识薄弱,在无意识的情况下可能会造成信险息安全事件,如泄密等设备没有定期状态检查,不能在故障来临前做好预防措施及时解决问题设备没有定期状态检查,不能在故障来临前做好预防措施及时解决问题设备没有定期状态检查,不能在故障来临前做好预防措施及时解决问题笔记本无加密措施,如果外带、失盗可能有敏感数据泄密风险实物管理风险实物管理风险实物管理风险数据泄露风险笔记本无硬盘加密或数据加密措疏忽失误施UKEY的使用、保管没有明确的规范指引员工可随意更换电脑配件设备没有定期状态检查设备没有定期状态检查设备没有定期状态检查没有明确的备份制度文件密级没有分类文件的使用,传送没有规定没有明确的备份制度文件密级没有分类文件的使用,传送没有规定系统BUG没有修复病毒库没有及时更新Licence没有集中管理,版本分布不统一疏忽失误故意破坏疏忽失误疏忽失误疏忽失误疏忽失误故意破坏疏忽失误疏忽失误故意破坏疏忽失误软件使用风险恶意代码软件故障UKEY的使用、保管没有明确的规范指引,有可能数据泄露风险无意中泄漏机密信息员工可随意更换电脑配件,带走硬盘容易导致数据泄密设备没有定期状态检查,不能在故障来临前做好预防措施及时解决问题设备没有定期状态检查,不能在故障来临前做好预防措施及时解决问题设备没有定期状态检查,不能在故障来临前做好预防措施及时解决问题实物管理风险实物管理风险实物管理风险实物管理风险个人PC数据没有备份制度,可能导致备份的不及数据丢失风险时及备份数据的滥用文件的密级没有分类,可能导致重要的文件外泄文件的使用,传送没有规定,可能会造成信息泄密数据泄露风险数据泄露风险个人PC数据没有备份制度,可能导致备份的不及数据丢失风险时及备份数据的滥用文件的密级没有分类,可能导致重要的文件外泄文件的使用,传送没有规定,可能会造成信息泄密数据泄露风险数据泄露风险没有系统BUG修复策划,可能会导致软件不可用软件使用风险或数据泄漏病毒库没有及时更新可能会导致新的病毒对公司终端电脑和服务器设备遭遇中毒,影响工作软件病毒感染风险Licence没有集中管理,版本分布不统一,可能会软件使用风险产生非法授权使用风险因数现有控制弱点值威胁值风险值风险等级风险处理控制策略风险处置计划3212中减轻风险编写新员工入职时的信息安全管理相关教材,对新员工进行培训编写新员工入职时的信息安全管理相关教材,对新员工进行培训3218中减轻风险2221212223仅财务、人力、管理层3间发送传阅OA有专门的流程规定文件收发32仅财务、人力、管理层3间发送传阅仅财务、人力、管理层2间发送传阅3212223222222222222224889844481224241624121284低低低低低低低低低中高高中高中中低低接受风险接受风险接受风险接受风险接受风险接受风险接受风险接受风险接受风险修编备份管理程序,规范化数据的减轻风险的备份管理修编信息资产分级管理程序,规范数减轻风险据的分类\\数据信息的使用和传输修编信息资产分级管理程序,规范数减轻风险据的分类\\数据信息的使用和传输修编备份管理程序,规范化数据的减轻风险的备份管理修编信息资产分级管理程序,规范数减轻风险据的分类\\数据信息的使用和传输修编信息资产分级管理程序,规范数减轻风险据的分类\\数据信息的使用和传输修编补丁管理程序,规范补丁的修减轻风险复。接受风险接受风险残余风险风险所有者预计整改完成时间完成状态重要性弱点值威胁值风险值风险等级
