it信息安全风险评估控制手册

it信息安全风险评估控制手册内容摘要：

事件对策等 数据库 相关书面类资产的电子版 软件和系统 操作系统 Windows Linux UNIX 等 应用软件 /系统 Office 财务系统 等 开发工具 实用程序 硬件和设施 网络设备和服务器 路由器、网关、交换机、防火墙、入侵检测设备、加密设备、身分验证设备以及各类服务器等 计算机 台式计算机、移动计算机等 存储设备 磁带机等 通讯工具 电话、手提电话等 传输线路 光纤、双绞线等 存 储媒体 磁带、光盘、软盘、 U 盘等 德信诚培训网 更多免费资料下载请进： 好好学习社区 动力供给设备 其他电子设备 打印机、复印机、扫描仪、传真机等 人力资源 涉密人员 市场、财务、人事等 特殊人员 有特殊技能、知识、工艺的人员等 服 务 计算机及网络通信服务 软件外包服务、网络接入服务、服务器托管服务 其它技术型服务 供电、空调、动力、供暖、其它 德信诚培训网 更多免费资料下载请进： 好好学习社区 附表 2 重要信息资产判断准则 所识别的信息资产，当出现以下情况时判为重要信息资产。 分类 判断准则 硬件和设施 产生或保存的信息属于企业秘密的设备或媒体。 如果处理方法不当或者设备故障，对本公司的生产及管理直接产生不良影响。 本部门认为可以列入重要信息资产的其他资产。 软件和系统 属于企业秘密的应用程序、源程序等。 如果被篡改或发生失效时，对本公司的生产及管理直接产生不良影响。 本部门认为可以列入重要信息资产的其他资产。 文档和数据 此文档或数据属于企业秘密。 此文档或数据被篡改、不正当使用或缺失会对本公司的生产及管理或商业信誉、形象直接产生不良影响。 本部门认为可以列入重要信息资产的其他资产。 人力资源 产生或保存企业秘密信息的人员。 本部门认为可以列入重要信息资产的其他资产。 服务 所依赖的服务不可用对本公司的生产及管理直接产生不良影响。 本部门认为可以列入重要信息资产的其他服务。 说明 企业秘密的定义和划分办法见《保密控制程序》 德信诚培训网 更多免费资料下载请进： 好好学习社区 附表 3 信息安全威胁参考表 威胁 硬件和设施 软件和系统 文档和数据 人力资源 服务 故障 ★ ★ —— —— ★ 恶意软件 ★ ★ ★（电子文件） —— —— 抵赖 —— —— ★（电子商务信息） —— —— 通信监听 ★ —— —— —— —— 通信服务故障 ★ ★ —— —— —— 操作失误 ★ ★ ★ —— —— 未经授权访问、修改 ★ ★ ★ —— —— 未经授权复制 —— ★ ★ —— —— 授权人员对信息的滥用 ★ ★ ★ —— —— 盗窃 ★ ★ ★ —— —— 供电故障 ★ ★ ★ —— —— 恶意破坏 ★ ★ ★ —— —— 电子存储媒体故障 ★ ★ ★ —— —— 违背知识产权相关法律，法规 —— ★ ★ —— ★ 温度、湿度超限 ★ —— —— —— —— 静电 ★。