风险评估原则-脆弱性参考列表

《风险评估原则-脆弱性参考列表》由会员上传分享，免费在线阅读，更多相关内容在行业资料-天天文库。

1、风险评估原则_脆弱性参考列表商密密级：内部公开管理类组织VP01IT管理机制不够完善VP02缺乏总体IT规划VP03缺乏安全方针VP04缺乏组织范围内统一的安全策略VP05缺乏可执行性的安全程序VP06安全技术与管理措施不能有效结合VP07资产缺乏所有者VP08没有跨部门的协调组织VP09没有负责安全管理部门VP10没有建立完善的沟通交流机制VP11组织的重要记录没有得到保护VP12业务流程存在缺陷引发风险人员VH01人员知识水平缺乏VH02人员技能缺乏VH03人员安全意识缺乏VH04人员敬业精神不够VH05不能遵守操作规程VH06道德风

2、险VH07人员流动频繁VH08没有签订协议VH09没有背景调查VH10岗位职责中没有安全要求VH11安全无法与员工绩效挂钩VH12人员缺乏职责分离VH13没有人员备份机制VH14缺乏对员工行为的审计技术类场所VE01电力单路VE02线路暴露VE03场所很容易进入VE04场所受温湿影响大VE05场所易受雷击VE06场所易进水VE07场所易燃烧VE08场所不抗震VE09电力容量不够VE10场地不够硬件VM01设备易受电力变化影响VM02设备、介质易损坏VM03电源开关没有限制未经授权的使用VM04存储空间不够VM05运算能力不够VM06信号辐

3、射VM07设备性能差VM08存在单点故障VM09口令更改周期较长VM10线路辐射VM11协议开放VM12明文传输VM13随意接入VM14口令简单VM15协议漏洞VM16带宽不够VM17很容易进入VM18可用性差VM19SNMP的Community值为缺省VM20无网络流量监控管理措施VM21缺少处置、报废规定软件VS01系统没有及时更新补丁VS02系统开放默认服务和端口VS03系统存在可疑服务和端口VS04系统管理员和用户弱口令或空口令VS05系统存在可疑用户VS06系统没有开放审计日志功能VS07系统没有启用安全选项VS08系统没有启用

4、帐户密码安全策略VS09系统使用默认共享VS10系统无权限控制措施VS11特权账户没有控制VS12版本较低VS13存在弱密码或空密码VS14系统漏洞VS15配置漏洞VS16存在后门VS17没有数据加密功能VS18软件架构缺陷VS19很容易变更服务VR01缺乏服务水平协议VR02服务不符合业务需求VR03服务响应不及时VR04服务易中断VR05没有按照规范执行VR06服务成本太高其他法规法规VL01没有识别相应的法律、法规VL02不符合法律法规要求信息类VI01信息缺乏准确性VI02信息缺乏及时性VI03信息容易传播VI04信息容易毁损VI

5、05信息容易丢失无形资产类VT01恢复困难VT02容易受到损害