信息安全风险评估表

封面 信息安全风险评估表 Ver1.02015年02月14日 深圳市**********有限公司发布记录 版本号 编制人/创建日期 审核人/审核日期 批准人/批准日期 发布日期/实施日期 分发编号 V1.0 / / / / / / / / / / / / / / / / / / / / / / / / / / / / / / / / / / / / / / / / / / / / / / / /&L&"新宋体,標準"&9识别编&"Calibri,標準"号：NOAH_D_B.01_08_2009.7&R&9密&"新宋体,標準"级&"Calibri,標準"等&"新宋体,標準"级&"Calibri,標準"：&"BatangChe,標準"社外秘&L&"宋体"&9受控文件&C&"宋体"&9&P/&N&R&"Calibri"&9XXXX有限公司部门编号规则 部门 部门编号 人事行政部 YSSM01 产品中心 YSSM02 营销中心 YSSM03 客户服务中心 YSSM04 质量保障部 YSSM05 综合管理部 YSSM06 财务部 YSSM07资产类别 资产分类 类别编号 人员 LB100X 数据资产 LB200X 文档资产 LB300X 软件资产 LB400X 物理资产 LB500X 服务 LB600X 无形资产 LB700X 注:X为序号风险评估表 资产 资产重要性 固有风险评估 现有控制措施 选择控制目标和控制措施 控制后残余风险 剩余风险评估 序号 资产名称（标识） 资产类别 功能描述 所属部门 人 资产重要性值 保密性(C) 完整性(I) 可用性(A) 法律与法规符合性(L) 威胁表现 威胁程度 脆弱性表现 脆弱程度 固有风险值 固有风险等级 现有控制措施描述 威胁程度 脆弱程度 现有风险值 现有风险等级 ISO27001附录A条款 ISO27001附录A控制措施 资产责任部门/责任人 控制措施实施责任部门 控制措施实施责任人 计划开始时间 计划完成时间 实际开始时间 实际完成时间 相关体系文件 威胁程度 脆弱性表现 风险值 实际实施控制措施有效性 残余风险等级 是否接受 1 总经理 LB1001 主导公司业务 王二 16.0 5 4 4 3 人身意外 4 可能遭受环境灾害或其他意外事故 5 320.0 4 提高自身安全 4 4 256.0 3 4 4 256.0 4 3 YES 2 总经理 LB1001 主导公司业务 王二 16.0 5 4 4 3 无意泄露公司机密 3 缺乏相关安全操作流程和法律意识 5 240.0 3 制定操作流程;制定了一些安全控制措施,但措施不够和增强法律意识 3 4 192.0 2 3 4 192.0 4 2 YES 3 总经理PC LB5001 一般办公 王二 13.0 4 3 3 3 恶意代码（如病毒、逻辑炸弹、木马） 5 缺乏安全意识 5 325.0 4 安装防杀毒软件 5 4 260.0 3 A.10.4.1 应实施恶意代码的监测、预防和恢复的控制措施，以及适当的提高用户安全意识的程序。 0 软件研发中心 峰二 3/28/13 4/7/13 4/1/13 4/7/13 见SOA 5 2 130.0 4 2 YES 4 总经理PC LB5001 一般办公 王二 13.0 4 3 3 3 系统漏洞 4 缺乏安全意识 5 260.0 3 设置自动更新补丁服务。 4 4 208.0 3 A.10.3.2 应建立对新的信息系统、升级及新版本的验收准则，并且在开发中和验收前对系统进行适当的测试。 0 软件研发中心 峰二 3/28/13 4/7/13 4/1/13 4/7/13 见SOA 4 3 156.0 4 2 YES 5 总经理PC LB5001 一般办公 王二 13.0 4 3 3 3 系统入侵 4 缺乏安全意识 5 260.0 3 加强员工教育。 4 4 208.0 3 A.10.4.1 应实施恶意代码的监测、预防和恢复的控制措施，以及适当的提高用户安全意识的程序。 0 软件研发中心 峰二 3/28/13 4/7/13 4/1/13 4/7/13 见SOA 4 3 156.0 4 2 YES 6 总经理PC LB5001 一般办公 王二 13.0 4 3 3 3 未经授权的系统访问 4 弱的密码管理 4 208.0 3 权限设置须申请;审批 4 3 156.0 2 A.11.1.1 访问控制策略应建立、形成文件，并基于业务和访问的安全要求进行评审。 0 软件研发中心 峰二 3/28/13 4/7/13 4/1/13 4/7/13 见SOA 4 2 104.0 4 2 YES 7 总经理PC LB5001 一般办公 综合管理部 王二 13.0 4 3 3 3 意外断电 3 缺乏意识 4 156.0 2 无 3 3 117.0 2 A.9.2.2 应保护设备使其免于由支持性设施的失效而引起的电源故障和其他中断。 综合管理部 软件研发中心 峰二 3/28/13 4/7/13 4/1/13 4/7/13 见SOA 3 2 78.0 4 1 YES 8 总经理PC LB5001 一般办公 综合管理部 王二 13.0 4 3 3 3 丢失 3 丢失 3 117.0 2 专人专有场所保管。 3 2 78.0 1 3 2 78.0 4 1 YES 9 总经理PC LB5001 一般办公 综合管理部 王二 13.0 4 3 3 3 遭盗用 3 被不法分子利用 3 1 专人保管设置权限加强安全教育 3 2 78.0 1 3 2 78.0 4 1 YES 10 公司法人章财务专用章 LB5002LB5003 公司法人章财务专用章 综合管理部/财务部 王一/张一 13.0 4 3 3 3 丢失 4 丢失 4 208.0 3 专人专有场所保管。 4 3 156.0 2 4 3 156.0 4 2 YES 11 公司法人章财务专用章 LB5002LB5003 公司法人章财务专用章 综合管理部/财务部 王一/张一 13.0 4 3 3 3 遭盗用 3 被不法分子利用 3 117.0 2 专人保管设置权限加强安全教育 3 2 78.0 1 3 2 78.0 4 1 YES 12 经理 LB1001 负责公司技术研发工作 软件研发中心 王三 16.0 5 4 4 3 人员流动 4 被其他更高薪水或职位的公司所聘请 4 256.0 3 保密协议、合同、法律的约束。 4 3 192.0 2 4 3 192.0 4 2 YES 13 经理 LB1001 负责公司技术研发工作 软件研发中心 王三 16.0 5 4 4 3 兜售公司其重要信息 3 可能被其他公司所利用导致人员被挖走 3 144.0 2 增强员工法律、安全意识培训 3 2 96.0 1 3 2 96.0 4 1 YES 14 电子邮件数据 LB2001 一般办公 软件研发中心 王三 12.0 4 3 3 2 设备故障 4 缺乏定期更换计划 5 240.0 3 环境控制 4 3 144.0 2 2 1 24.0 4 1 YES 15 电子邮件数据 LB2001 一般办公 软件研发中心 王三 12.0 4 3 3 2 软件本身存在的漏洞 4 缺乏定期更换计划 4 192.0 2 设置自动更新补丁服务。 4 3 144.0 2 1 3 36.0 4 1 YES 16 电子邮件数据 LB2001 一般办公 软件研发中心 王三 12.0 4 3 3 2 丢失 3 丢失 3 108.0 2 加强员工教育。 3 2 72.0 1 2 1 24.0 4 1 YES 17 电子邮件数据 LB2001 一般办公 软件研发中心 王三 12.0 4 3 3 2 遭盗用 3 被不法分子利用 4 144.0 2 专人保管设置权限加强安全教育 3 3 108.0 2 1 3 36.0 4 1 YES 18 程序源代码 LB2002 一般办公 软件研发中心 王三 20.0 5 5 5 5 设备故障 4 缺乏定期更换计划 5 400.0 4 环境控制 4 3 240.0 3 2 1 40.0 4 1 YES 19 程序源代码 LB2002 一般办公 软件研发中心 王三 20.0 5 5 5 5 软件本身存在的漏洞 4 缺乏定期更换计划 4 320.0 4 设置自动更新补丁服务。 4 3 240.0 3 1 3 60.0 4 1 YES 20 程序源代码 LB2002 一般办公 软件研发中心 王三 20.0 5 5 5 5 丢失 3 丢失 3 180.0 2 加强员工教育。 3 2 120.0 2 2 1 40.0 4 1 YES 21 程序源代码 LB2002 一般办公 软件研发中心 王三 20.0 5 5 5 5 遭盗用 3 被不法分子利用 4 240.0 3 专人保管设置权限加强安全教育 3 3 180.0 2 1 3 60.0 4 1 YES 22 文档 LB2003 一般办公 软件研发中心 王三 16.0 5 4 4 3 设备故障 4 缺乏定期更换计划 5 320.0 4 环境控制 4 3 192.0 2 2 1 32.0 4 1 YES 23 设计文档 LB2003 一般办公 软件研发中心 王三 16.0 5 4 4 3 软件本身存在的漏洞 4 缺乏定期更换计划 4 256.0 3 设置自动更新补丁服务。 4 3 192.0 2 1 3 48.0 4 1 YES 24 设计文档 LB2003 一般办公 软件研发中心 王三 16.0 5 4 4 3 丢失 3 丢失 3 144.0 2 加强员工教育。 3 2 96.0 1 2 1 32.0 4 1 YES 25 设计文档 LB2003 一般办公 软件研发中心 王三 16.0 5 4 4 3 遭盗用 3 被不法分子利用 4 192.0 2 专人保管设置权限加强安全教育 3 3 144.0 2 1 3 48.0 4 1 YES 26 SVN LB3002 配置管理 软件研发中心 王三 16.0 5 4 4 3 恶意代码（如病毒、逻辑炸弹、木马） 5 缺乏安全意识 5 400.0 4 安装防杀毒软件 5 4 320.0 4 A.10.4.1 应实施恶意代码的监测、预防和恢复的控制措施，以及适当的提高用户安全意识的程序。 软件研发中心 软件研发中心 峰二 3/28/13 4/7/13 4/1/13 4/7/13 见SOA 5 2 160.0 4 2 YES 27 OA系统服务器 LB5001 一般办公 软件研发中心 王三 16.0 5 4 4 3 恶意代码（如病毒、逻辑炸弹、木马） 5 缺乏安全意识 5 400.0 4 安装防杀毒软件 5 4 320.0 4 A.10.4.1 应实施恶意代码的监测、预防和恢复的控制措施，以及适当的提高用户安全意识的程序。 软件研发中心 软件研发中心 峰二 3/28/13 4/7/13 4/1/13 4/7/13 见SOA 5 2 160.0 4 2 YES 28 经理PC LB5001 一般办公 软件研发中心 王三 16.0 5 4 4 3 系统漏洞 4 缺乏安全意识 5 320.0 4 设置自动更新补丁服务。 4 4 256.0 3 A.10.3.2 应建立对新的信息系统、升级及新版本的验收准则，并且在开发中和验收前对系统进行适当的测试。 软件研发中心 软件研发中心 峰二 3/28/13 4/7/13 4/1/13 4/7/13 见SOA 4 3 192.0 4 2 YES 29 经理PC LB5001 一般办公 软件研发中心 王三 16.0 5 4 4 3 系统入侵 4 缺乏安全意识 5 320.0 4 加强员工教育。 4 4 256.0 3 A.10.4.1 应实施恶意代码的监测、预防和恢复的控制措施，以及适当的提高用户安全意识的程序。 软件研发中心 软件研发中心 峰二 3/28/13 4/7/13 4/1/13 4/7/13 见SOA 4 3 192.0 4 2 YES 30 经理PC LB5001 一般办公 软件研发中心 王三 16.0 5 4 4 3 未经授权的系统访问 4 弱的密码管理 4 256.0 3 权限设置须申请;审批 4 3 192.0 2 A.11.1.1 访问控制策略应建立、形成文件，并基于业务和访问的安全要求进行评审。 软件研发中心 软件研发中心 峰二 3/28/13 4/7/13 4/1/13 4/7/13 见SOA 4 2 128.0 4 2 YES 31 经理PC LB5001 一般办公 软件研发中心 王三 16.0 5 4 4 3 意外断电 3 缺乏意识 4 192.0 2 无 3 3 144.0 2 A.9.2.2 应保护设备使其免于由支持性设施的失效而引起的电源故障和其他中断。 软件研发中心 软件研发中心 峰二 3/28/13 4/7/13 4/1/13 4/7/13 见SOA 3 2 96.0 4 1 YES 32 经理PC LB5001 一般办公 软件研发中心 王三 16.0 5 4 4 3 丢失 3 丢失 3 144.0 2 专人专有场所保管。 3 2 96.0 1 3 2 96.0 4 1 YES 33 经理PC LB5001 一般办公 软件研发中心 王三 16.0 5 4 4 3 遭盗用 3 被不法分子利用 3 144.0 2 专人保管设置权限加强安全教育 3 2 96.0 1 3 2 96.0 4 1 YES 34 程序开发员PC-A程序开发员PC-B程序开发员PC-C程序开发员PC-D LB5002LB5003LB5004LB5005 一般办公 软件研发中心 张二胡二曾二黄二 13.0 4 3 3 3 恶意代码（如病毒、逻辑炸弹、木马） 5 缺乏安全意识 5 325.0 4 安装防杀毒软件 5 4 260.0 3 A.10.4.1 应实施恶意代码的监测、预防和恢复的控制措施，以及适当的提高用户安全意识的程序。 软件研发中心 软件研发中心 峰二 3/28/13 4/7/13 4/1/13 4/7/13 见SOA 5 3 195.0 4 2 YES 35 程序开发员PC-A程序开发员PC-B程序开发员PC-C程序开发员PC-D LB5002LB5003LB5004LB5005 一般办公 软件研发中心 张二胡二曾二黄二 13.0 4 3 3 3 系统漏洞 4 缺乏安全意识 5 260.0 3 设置自动更新补丁服务。 4 4 208.0 3 A.10.3.2 应建立对新的信息系统、升级及新版本的验收准则，并且在开发中和验收前对系统进行适当的测试。 软件研发中心 软件研发中心 峰二 3/28/13 4/7/13 4/1/13 4/7/13 见SOA 4 3 156.0 4 2 YES 36 程序开发员PC-A程序开发员PC-B程序开发员PC-C程序开发员PC-D LB5002LB5003LB5004LB5005 一般办公 软件研发中心 张二胡二曾二黄二 13.0 4 3 3 3 系统入侵 4 缺乏安全意识 5 260.0 3 加强员工教育。 4 4 208.0 3 A.10.4.1 应实施恶意代码的监测、预防和恢复的控制措施，以及适当的提高用户安全意识的程序。 软件研发中心 软件研发中心 峰二 3/28/13 4/7/13 4/1/13 4/7/13 见SOA 4 3 156.0 4 2 YES 37 程序开发员PC-A程序开发员PC-B程序开发员PC-C程序开发员PC-D LB5002LB5003LB5004LB5005 一般办公 软件研发中心 张二胡二曾二黄二 13.0 4 3 3 3 未经授权的系统访问 4 弱的密码管理 4 208.0 3 权限设置须申请;审批 4 3 156.0 2 A.11.1.1 访问控制策略应建立、形成文件，并基于业务和访问的安全要求进行评审。 软件研发中心 软件研发中心 峰二 3/28/13 4/7/13 4/1/13 4/7/13 见SOA 4 2 104.0 4 2 YES 38 程序开发员PC-A程序开发员PC-B程序开发员PC-C程序开发员PC-D LB5002LB5003LB5004LB5005 一般办公 软件研发中心 张二胡二曾二黄二 13.0 4 3 3 3 意外断电 3 缺乏意识 4 156.0 2 无 3 3 117.0 2 A.9.2.2 应保护设备使其免于由支持性设施的失效而引起的电源故障和其他中断。 软件研发中心 软件研发中心 峰二 3/28/13 4/7/13 4/1/13 4/7/13 见SOA 3 2 78.0 4 1 YES 39 程序开发员PC-A程序开发员PC-B程序开发员PC-C程序开发员PC-D LB5002LB5003LB5004LB5005 一般办公 软件研发中心 张二胡二曾二黄二 13.0 4 3 3 3 丢失 3 丢失 3 117.0 2 专人专有场所保管。 3 2 78.0 1 3 2 78.0 4 1 YES 40 程序开发员PC-A程序开发员PC-B程序开发员PC-C程序开发员PC-D LB5002LB5003LB5004LB5005 一般办公 软件研发中心 张二胡二曾二黄二 13.0 4 3 3 3 遭盗用 3 被不法分子利用 3 117.0 2 专人保管设置权限加强安全教育 3 2 78.0 1 3 2 78.0 4 1 YES 41 数据采集器 LB5008 合同，协议 软件研发中心 马二 10.0 2 3 3 2 设备故障 3 缺乏定期更换计划 3 90.0 1 环境控制 3 2 60.0 1 3 2 60.0 4 1 YES 42 数据采集器 LB5008 合同，协议 软件研发中心 马二 10.0 2 3 3 2 丢失 4 丢失 5 200.0 2 专人专有场所保管。 4 4 160.0 2 4 3 120.0 4 2 YES 43 条码打印机 LB5009 条码打印机 软件研发中心 马二 9.0 2 3 3 1 设备故障 3 缺乏定期更换计划 3 81.0 1 环境控制 3 2 54.0 1 3 2 54.0 4 1 YES 44 条码打印机 LB5009 条码打印机 软件研发中心 马二 9.0 2 3 3 1 丢失 4 丢失 5 180.0 2 专人专有场所保管。 4 4 144.0 2 4 3 108.0 4 2 YES 45 汽车 LB5010 交通工具 综合管理部 林二 10.0 1 3 4 2 设备故障 3 缺乏定期更换计划 3 90.0 1 环境控制 3 2 60.0 1 3 2 60.0 4 1 YES 46 汽车 LB5010 交通工具 综合管理部 林二 10.0 1 3 4 2 丢失 4 丢失 5 200.0 2 专人专有场所保管。 4 4 160.0 2 4 3 120.0 4 2 YES 47 项目经理 LB1001 负责公司项目实施工作 项目管理部 吴二 12.0 4 3 3 2 人员流动 4 被其他更高薪水或职位的公司所聘请 4 192.0 2 保密协议、合同、法律的约束。 4 3 144.0 2 4 3 144.0 4 2 YES 48 项目经理 LB1001 负责公司项目实施工作 项目管理部 吴二 12.0 4 3 3 2 兜售公司其重要信息 3 可能被其他公司所利用导致人员被挖走 3 108.0 2 增强员工法律、安全意识培训 3 2 72.0 1 3 2 72.0 4 1 YES 49 信息安全管理员 LB1002 负责公司网络，服务器维护 软件研发中心 马二 11.0 3 3 3 2 人员流动 4 被其他更高薪水或职位的公司所聘请 4 176.0 2 保密协议、合同、法律的约束。 4 3 132.0 2 4 3 132.0 4 2 YES 50 信息安全管理员 LB1002 负责公司网络，服务器维护 软件研发中心 马二 11.0 3 3 3 2 兜售公司其重要信息 3 可能被其他公司所利用导致人员被挖走 3 99.0 1 增强员工法律、安全意识培训 3 2 66.0 1 3 2 66.0 4 1 YES 51 需求书 LB2002 需求分析书 项目管理部 吴二 12.0 4 3 3 2 设备故障 4 缺乏定期更换计划 5 240.0 3 环境控制 4 3 144.0 2 2 1 24.0 4 1 YES 52 需求分析书 LB2002 需求分析书 项目管理部 吴二 12.0 4 3 3 2 软件本身存在的漏洞 4 缺乏定期更换计划 4 192.0 2 设置自动更新补丁服务。 4 3 144.0 2 1 3 36.0 4 1 YES 53 需求分析书 LB2002 需求分析书 项目管理部 吴二 12.0 4 3 3 2 丢失 3 丢失 3 108.0 2 加强员工教育。 3 2 72.0 1 2 1 24.0 4 1 YES 54 需求分析书 LB2002 需求分析书 项目管理部 吴二 12.0 4 3 3 2 遭盗用 3 被不法分子利用 4 144.0 2 专人保管设置权限加强安全教育 3 3 108.0 2 1 3 36.0 4 1 YES 55 Windows2000windows7windowsXP360卫士office2007office2003PowerBuild6.5PowerBuild11.5ESETNOD32Oracle9iOracle10gPLSQLSQL2000金蝶2000VPNFlexVS2005EsciDelphi7photoshopVCPocketbuilderWinRAR LB4001LB4002LB4003LB4004LB4005LB4006LB4007LB4008LB4009LB4010LB4011LB4012LB4013LB4015LB4016LB4017LB4018LB4019LB4020LB4021LB4022LB4026 系统软件办公软件开发软件数据库软件 软件研发中心 马二 10.0 2 3 3 2 设备故障 3 缺乏定期更换计划 3 90.0 1 环境控制 3 2 60.0 1 3 2 60.0 2 1 YES 56 Windows2000windows7windowsXP360卫士office2007office2003PowerBuild6.5PowerBuild11.5ESETNOD32Oracle9iOracle10gPLSQLSQL2000金蝶2000VPNFlexVS2005EsciDelphi7photoshopVCPocketbuilderWinRAR LB4001LB4002LB4003LB4004LB4005LB4006LB4007LB4008LB4009LB4010LB4011LB4012LB4013LB4015LB4016LB4017LB4018LB4019LB4020LB4021LB4022LB4026 系统软件办公软件开发软件数据库软件 软件研发中心 马二 10.0 2 3 3 2 软件本身存在的漏洞 3 缺乏定期更换计划 3 90.0 1 设置自动更新补丁服务。 3 2 60.0 1 3 2 60.0 2 1 YES 57 实施用PC测试用PC实施经理PC信息安全管理员PC LB5001LB5002LB5003LB5003 一般办公 软件研发中心 马二 12.0 4 3 3 2 恶意代码（如病毒、逻辑炸弹、木马） 5 缺乏安全意识 5 300.0 3 安装防杀毒软件 5 4 240.0 3 A.10.4.1 应实施恶意代码的监测、预防和恢复的控制措施，以及适当的提高用户安全意识的程序。 软件研发中心 软件研发中心 峰二 3/28/13 4/7/13 4/1/13 4/7/13 见SOA 5 3 180.0 4 2 YES 58 实施用PC测试用PC实施经理PC信息安全管理员PC LB5001LB5002LB5003LB5003 一般办公 软件研发中心 马二 12.0 4 3 3 2 系统漏洞 4 缺乏安全意识 5 240.0 3 设置自动更新补丁服务。 4 4 192.0 2 A.10.3.2 应建立对新的信息系统、升级及新版本的验收准则，并且在开发中和验收前对系统进行适当的测试。 软件研发中心 软件研发中心 峰二 3/28/13 4/7/13 4/1/13 4/7/13 见SOA 4 3 144.0 4 2 YES 59 实施用PC测试用PC实施经理PC信息安全管理员PC LB5001LB5002LB5003LB5003 一般办公 软件研发中心 马二 12.0 4 3 3 2 系统入侵 4 缺乏安全意识 5 240.0 3 加强员工教育。 4 4 192.0 2 A.10.4.1 应实施恶意代码的监测、预防和恢复的控制措施，以及适当的提高用户安全意识的程序。 软件研发中心 软件研发中心 峰二 3/28/13 4/7/13 4/1/13 4/7/13 见SOA 4 3 144.0 4 2 YES 60 实施用PC测试用PC实施经理PC信息安全管理员PC LB5001LB5002LB5003LB5003 一般办公 软件研发中心 马二 12.0 4 3 3 2 未经授权的系统访问 4 弱的密码管理 4 192.0 2 权限设置须申请;审批 4 3 144.0 2 A.11.1.1 访问控制策略应建立、形成文件，并基于业务和访问的安全要求进行评审。 软件研发中心 软件研发中心 峰二 3/28/13 4/7/13 4/1/13 4/7/13 见SOA 4 2 96.0 4 1 YES 61 实施用PC测试用PC实施经理PC信息安全管理员PC LB5001LB5002LB5003LB5003 一般办公 软件研发中心 马二 12.0 4 3 3 2 意外断电 3 缺乏意识 4 144.0 2 无 3 3 108.0 2 A.9.2.2 应保护设备使其免于由支持性设施的失效而引起的电源故障和其他中断。 软件研发中心 软件研发中心 峰二 3/28/13 4/7/13 4/1/13 4/7/13 见SOA 3 2 72.0 4 1 YES 62 实施用PC测试用PC实施经理PC信息安全管理员PC LB5001LB5002LB5003LB5003 一般办公 软件研发中心 马二 12.0 4 3 3 2 丢失 3 丢失 3 108.0 2 专人专有场所保管。 3 2 72.0 1 3 2 72.0 4 1 YES 63 实施用PC测试用PC实施经理PC信息安全管理员PC LB5001LB5002LB5003LB5003 一般办公 软件研发中心 马二 12.0 4 3 3 2 遭盗用 3 被不法分子利用 3 108.0 2 专人保管设置权限加强安全教育 3 2 72.0 1 3 2 72.0 4 1 YES 64 数据库服务器 LB5005 工程登记表 软件研发中心 马二 19.0 5 5 5 4 恶意代码（如病毒、逻辑炸弹、木马） 5 缺乏安全意识 5 475.0 5 安装防杀毒软件 5 4 380.0 4 A.10.4.1 应实施恶意代码的监测、预防和恢复的控制措施，以及适当的提高用户安全意识的程序。 软件研发中心 软件研发中心 峰二 3/28/13 4/7/13 4/1/13 4/7/13 见SOA 5 2 190.0 4 2 YES 65 数据库服务器 LB5005 工程登记表 软件研发中心 马二 19.0 5 5 5 4 系统漏洞 4 缺乏安全意识 5 380.0 4 设置自动更新补丁服务。 4 4 304.0 4 A.10.3.2 应建立对新的信息系统、升级及新版本的验收准则，并且在开发中和验收前对系统进行适当的测试。 软件研发中心 软件研发中心 峰二 3/28/13 4/7/13 4/1/13 4/7/13 见SOA 4 2 152.0 4 2 YES 66 数据库服务器 LB5005 工程登记表 软件研发中心 马二 19.0 5 5 5 4 系统入侵 4 缺乏安全意识 5 380.0 4 加强员工教育。 4 4 304.0 4 A.10.4.1 应实施恶意代码的监测、预防和恢复的控制措施，以及适当的提高用户安全意识的程序。 软件研发中心 软件研发中心 峰二 3/28/13 4/7/13 4/1/13 4/7/13 见SOA 4 1 76.0 4 1 YES 67 数据库服务器 LB5005 工程登记表 软件研发中心 马二 19.0 5 5 5 4 未经授权的系统访问 4 弱的密码管理 4 304.0 4 权限设置须申请;审批 4 3 228.0 3 A.11.1.1 访问控制策略应建立、形成文件，并基于业务和访问的安全要求进行评审。 软件研发中心 软件研发中心 峰二 3/28/13 4/7/13 4/1/13 4/7/13 见SOA 4 2 152.0 4 2 YES 68 数据库服务器 LB5005 工程登记表 软件研发中心 马二 19.0 5 5 5 4 意外断电 3 缺乏意识 4 228.0 3 无 3 3 171.0 2 A.9.2.2 应保护设备使其免于由支持性设施的失效而引起的电源故障和其他中断。 软件研发中心 软件研发中心 峰二 3/28/13 4/7/13 4/1/13 4/7/13 见SOA 3 2 114.0 4 2 YES 69 数据库服务器 LB5005 工程登记表 软件研发中心 马二 19.0 5 5 5 4 丢失 3 丢失 3 171.0 2 专人专有场所保管。 3 2 114.0 2 3 2 114.0 4 2 YES 70 数据库服务器 LB5005 工程登记表 软件研发中心 马二 19.0 5 5 5 4 遭盗用 3 被不法分子利用 3 171.0 2 专人保管设置权限加强安全教育 3 2 114.0 2 3 2 114.0 4 2 YES 71 调制解调器路由器Hub LB5006LB5007LB5008 一般办公 软件研发中心 马二 9.0 2 3 2 2 设备故障 3 缺乏定期更换计划 3 81.0 1 环境控制 3 2 54.0 1 3 2 54.0 4 1 YES 72 调制解调器路由器Hub程控电话交换机 LB5006LB5007LB5008LB5009 一般办公 软件研发中心 马二 9.0 2 3 2 2 丢失 4 丢失 5 180.0 2 专人专有场所保管。 4 4 144.0 2 4 3 108.0 4 2 YES 73 移动硬盘U盘激光打印机发票打印机复印机门禁控制器 LB5010LB5011LB5012LB5013LB5016LB5017 一般办公 软件研发中心 马二 10.0 2 3 3 2 设备故障 3 缺乏定期更换计划 3 90.0 1 环境控制 3 2 60.0 1 3 2 60.0 4 1 YES 74 移动硬盘U盘激光打印机发票打印机复印机门禁控制器 LB5010LB5011LB5012LB5013LB5016LB5017 一般办公 软件研发中心 马二 10.0 2 3 3 2 丢失 4 丢失 5 200.0 2 专人专有场所保管。 4 4 160.0 2 4 3 120.0 4 2 YES 75 机柜UPS LB5018LB5019 一般办公 软件研发中心 马二 9.0 1 3 3 2 设备故障 3 缺乏定期更换计划 3 81.0 1 环境控制 3 2 54.0 1 3 2 54.0 4 1 YES 76 机柜UPS LB5018LB5019 一般办公 软件研发中心 马二 9.0 1 3 3 2 丢失 4 丢失 5 180.0 2 专人专有场所保管。 4 4 144.0 2 4 3 108.0 4 2 YES 77 网络服务协议 LB6001 第三方服务 综合管理部 林二 14.0 3 4 4 3 服务中断 3 公司设备依赖于保障资源 3 126.0 2 签定第三方安全协议 3 2 84.0 1 3 2 84.0 4 1 YES 78 厦门263邮箱服务 LB6002 第三方服务 综合管理部 林二 14.0 3 4 4 3 服务中断 3 公司设备依赖于保障资源 3 126.0 2 签定第三方安全协议 3 2 84.0 1 3 2 84.0 4 1 YES 79 中国电信电话服务 LB6003 第三方服务 综合管理部 林二 10.0 2 3 3 2 服务中断 3 公司设备依赖于保障资源 3 90.0 1 签定第三方安全协议 3 2 60.0 1 3 2 60.0 4 1 YES 80 铁通电话服务 LB6004 第三方服务 综合管理部 林二 10.0 2 3 3 2 服务中断 3 公司设备依赖于保障资源 3 90.0 1 签定第三方安全协议 3 2 60.0 1 3 2 60.0 4 1 YES 81 项目投标标书 LB2001 一般办公 市场部 川二 11.0 3 3 3 2 设备故障 4 缺乏定期更换计划 5 220.0 3 环境控制 4 3 132.0 2 2 1 22.0 4 1 YES 82 项目投标标书 LB2001 一般办公 市场部 川二 11.0 3 3 3 2 软件本身存在的漏洞 4 缺乏定期更换计划 4 176.0 2 设置自动更新补丁服务。 4 3 132.0 2 1 3 33.0 4 1 YES 83 项目投标标书 LB2001 一般办公 市场部 川二 11.0 3 3 3 2 丢失 3 丢失 3 99.0 1 加强员工教育。 3 2 66.0 1 2 1 22.0 4 1 YES 84 项目投标标书 LB2001 一般办公 市场部 川二 11.0 3 3 3 2 遭盗用 3 被不法分子利用 4 132.0 2 专人保管设置权限加强安全教育 3 3 99.0 1 1 3 33.0 4 1 YES 85 销售代表PC LB5001 一般办公 市场部 川二 11.0 3 3 3 2 恶意代码（如病毒、逻辑炸弹、木马） 5 缺乏安全意识 5 275.0 3 安装防杀毒软件 5 4 220.0 3 A.10.4.1 应实施恶意代码的监测、预防和恢复的控制措施，以及适当的提高用户安全意识的程序。 市场部 软件研发中心 峰二 3/28/13 4/7/13 4/1/13 4/7/13 见SOA 5 3 165.0 4 2 YES 86 销售代表PC LB5001 一般办公 市场部 川二 11.0 3 3 3 2 系统漏洞 4 缺乏安全意识 5 220.0 3 设置自动更新补丁服务。 4 4 176.0 2 A.10.3.2 应建立对新的信息系统、升级及新版本的验收准则，并且在开发中和验收前对系统进行适当的测试。 市场部 软件研发中心 峰二 3/28/13 4/7/13 4/1/13 4/7/13 见SOA 4 3 132.0 4 2 YES 87 销售代表PC LB5001 一般办公 市场部 川二 11.0 3 3 3 2 系统入侵 4 缺乏安全意识 5 220.0 3 加强员工教育。 4 4 176.0 2 A.10.4.1 应实施恶意代码的监测、预防和恢复的控制措施，以及适当的提高用户安全意识的程序。 市场部 软件研发中心 峰二 3/28/13 4/7/13 4/1/13 4/7/13 见SOA 4 3 132.0 4 2 YES 88 销售代表PC LB5001 一般办公 市场部 川二 11.0 3 3 3 2 未经授权的系统访问 4 弱的密码管理 4 176.0 2 权限设置须申请;审批 4 3 132.0 2 A.11.1.1 访问控制策略应建立、形成文件，并基于业务和访问的安全要求进行评审。 市场部 软件研发中心 峰二 3/28/13 4/7/13 4/1/13 4/7/13 见SOA 4 2 88.0 4 1 YES 89 销售代表PC LB5001 一般办公 市场部 川二 11.0 3 3 3 2 意外断电 3 缺乏意识 4 132.0 2 无 3 3 99.0 1 A.9.2.2 应保护设备使其免于由支持性设施的失效而引起的电源故障和其他中断。 市场部 软件研发中心 峰二 3/28/13 4/7/13 4/1/13 4/7/13 见SOA 3 2 66.0 4 1 YES 90 销售代表PC LB5001 一般办公 市场部 川二 11.0 3 3 3 2 丢失 3 丢失 3 99.0 1 专人专有场所保管。 3 2 66.0 1 3 2 66.0 4 1 YES 91 销售代表PC LB5001 一般办公 市场部 川二 11.0 3 3 3 2 遭盗用 3 被不法分子利用 3 99.0 1 专人保管设置权限加强安全教育 3 2 66.0 1 3 2 66.0 4 1 YES 92 综合管理部 LB1001 负责公司行政工作 综合管理部 林二 11.0 3 3 3 2 人员流动 4 被其他更高薪水或职位的公司所聘请 4 176.0 2 保密协议、合同、法律的约束。 4 3 132.0 2 4 3 132.0 4 2 YES 93 财务主管 LB1001 负责公司财务工作 财务部 张一 11.0 3 3 3 2 兜售公司其重要信息 3 可能被其他公司所利用导致人员被挖走 3 99.0 1 增强员工法律、安全意识培训 3 2 66.0 1 3 2 66.0 4 1 YES 94 财务报表财务凭证电子档财务数据 LB2001LB2002LB2003 财务报表财务凭证电子档财务数据 财务部 张一 16.0 5 4 4 3 设备故障 4 缺乏定期更换计划 5 320.0 4 环境控制 4 3 192.0 2 2 1 32.0 4 1 YES 95 财务报表财务凭证电子档财务数据 LB2001LB2002LB2003 财务报表财务凭证电子档财务数据 财务部 张一 16.0 5 4 4 3 软件本身存在的漏洞 4 缺乏定期更换计划 4 256.0 3 设置自动更新补丁服务。 4 3 192.0 2 1 3 48.0 4 1 YES 96 财务报表财务凭证电子档财务数据 LB2001LB2002LB2003 财务报表财务凭证电子档财务数据 财务部 张一 16.0 5 4 4 3 丢失 3 丢失 3 144.0 2 加强员工教育。 3 2 96.0 1 2 1 32.0 4 1 YES 97 财务报表财务凭证电子档财务数据 LB2001LB2002LB2003 财务报表财务凭证电子档财务数据 财务部 张一 16.0 5 4 4 3 遭盗用 3 被不法分子利用 4 192.0 2 专人保管设置权限加强安全教育 3 3 144.0 2 1 3 48.0 4 1 YES 98 项目申报资料 LB2006 项目申报资料 综合管理部 林二 9.0 3 2 2 2 设备故障 4 缺乏定期更换计划 5 180.0 2 环境控制 4 3 108.0 2 2 1 18.0 4 1 YES 99 项目申报资料 LB2006 项目申报资料 综合管理部 林二 9.0 3 2 2 2 软件本身存在的漏洞 4 缺乏定期更换计划 4 144.0 2 设置自动更新补丁服务。 4 3 108.0 2 1 3 27.0 4 1 YES 100 项目申报资料 LB2006 项目申报资料 综合管理部 林二 9.0 3 2 2 2 丢失 3 丢失 3 81.0 1 加强员工教育。 3 2 54.0 1 2 1 18.0 4 1 YES 101 项目申报资料 LB2006 项目申报资料 综合管理部 林二 9.0 3 2 2 2 遭盗用 3 被不法分子利用 4 108.0 2 专人保管设置权限加强安全教育 3 3 81.0 1 1 3 27.0 4 1 YES 102 人事行政数据资料 LB2007 人事行政数据资料 综合管理部 林二 11.0 3 3 3 2 设备故障 4 缺乏定期更换计划 5 220.0 3 环境控制 4 3 132.0 2 2 1 22.0 4 1 YES 103 人事行政数据资料 LB2007 人事行政数据资料 综合管理部 林二 11.0 3 3 3 2 软件本身存在的漏洞 4 缺乏定期更换计划 4 176.0 2 设置自动更新补丁服务。 4 3 132.0 2 1 3 33.0 4 1 YES 104 人事行政数据资料 LB2007 人事行政数据资料 综合管理部 林二 11.0 3 3 3 2 丢失 3 丢失 3 99.0 1 加强员工教育。 3 2 66.0 1 2 1 22.0 4 1 YES 105 人事行政数据资料 LB2007 人事行政数据资料 综合管理部 林二 11.0 3 3 3 2 遭盗用 3 被不法分子利用 4 132.0 2 专人保管设置权限加强安全教育 3 3 99.0 1 1 3 33.0 4 1 YES 106 财务凭证空白支票财务现金日记账 LB3002LB3003LB3004 财务凭证空白支票财务现金日记账 财务部 张一 12.0 4 3 3 2 丢失 4 丢失 5 240.0 3 专人专有场所保管。 4 4 192.0 2 4 3 144.0 4 2 YES 107 财务凭证空白支票财务现金日记账 LB3002LB3003LB3004 财务凭证空白支票财务现金日记账 财务部 张一 12.0 4 3 3 2 遭盗用 4 被不法分子利用 4 192.0 2 专人保管设置权限加强安全教育 4 3 144.0 2 4 3 144.0 4 2 YES 108 财务凭证空白支票财务现金日记账 LB3002LB3003LB3004 财务凭证空白支票财务现金日记账 财务部 张一 12.0 4 3 3 2 受潮 3 纸张本身容易受潮 4 144.0 2 环境控制 3 3 108.0 2 3 3 108.0 4 2 YES 109 财务凭证空白支票财务现金日记账 LB3002LB3003LB3004 财务凭证空白支票财务现金日记账 财务部 张一 12.0 4 3 3 2 虫咬 2 纸张本身容易被咬坏 3 72.0 1 环境控制 2 2 48.0 1 2 2 48.0 4 1 YES 110 员工档案公司资质复印件 LB3007LB3009 员工档案公司资质复印件 综合管理部 林二 11.0 3 3 3 2 丢失 4 丢失 5 220.0 3 专人专有场所保管。 4 4 176.0 2 4 3 132.0 4 2 YES 111 员工档案公司资质复印件 LB3007LB3009 员工档案公司资质复印件 综合管理部 林二 11.0 3 3 3 2 遭盗用 4 被不法分子利用 4 176.0 2 专人保管设置权限加强安全教育 4 3 132.0 2 4 3 132.0 4 2 YES 112 员工档案公司资质复印件 LB3007LB3009 员工档案公司资质复印件 综合管理部 林二 11.0 3 3 3 2 受潮 3 纸张本身容易受潮 4 132.0 2 环境控制 3 3 99.0 1 3 3 99.0 4 1 YES 113 员工档案公司资质复印件 LB3007LB3009 员工档案公司资质复印件 综合管理部 林二 11.0 3 3 3 2 虫咬 2 纸张本身容易被咬坏 3 66.0 1 环境控制 2 2 44.0 1 2 2 44.0 4 1 YES 114 劳动合同、保密协议公积金缴费记录 LB3012LB3013 劳动合同、保密协议公积金缴费记录 综合管理部 林二 12.0 4 3 3 2 丢失 4 丢失 5 240.0 3 专人专有场所保管。 4 4 192.0 2 4 3 144.0 4 2 YES 115 劳动合同、保密协议公积金缴费记录 LB3012LB3013 劳动合同、保密协议公积金缴费记录 综合管理部 林二 12.0 4 3 3 2 遭盗用 4 被不法分子利用 4 192.0 2 专人保管设置权限加强安全教育 4 3 144.0 2 4 3 144.0 4 2 YES 116 劳动合同、保密协议公积金缴费记录 LB3012LB3013 劳动合同、保密协议公积金缴费记录 综合管理部 林二 12.0 4 3 3 2 受潮 3 纸张本身容易受潮 4 144.0 2 环境控制 3 3 108.0 2 3 3 108.0 4 2 YES 117 劳动合同、保密协议公积金缴费记录 LB3012LB3013 劳动合同、保密协议公积金缴费记录 综合管理部 林二 12.0 4 3 3 2 虫咬 2 纸张本身容易被咬坏 3 72.0 1 环境控制 2 2 48.0 1 2 2 48.0 4 1 YES 118 产品 LB3014 施工表单，，图纸 市场部 川二 11.0 3 3 3 2 丢失 4 丢失 5 220.0 3 专人专有场所保管。 4 4 176.0 2 4 3 132.0 4 2 YES 119 产品销售合同 LB3014 施工表单，方案，图纸 市场部 川二 11.0 3 3 3 2 遭盗用 4 被不法分子利用 4 176.0 2 专人保管设置权限加强安全教育 4 3 132.0 2 4 3 132.0 4 2 YES 120 产品销售合同 LB3014 施工表单，方案，图纸 市