当前位置:文档之家› 风险评估原则-脆弱性参考列表

风险评估原则-脆弱性参考列表

岗位职责中没有安全要求
VH11
安全无法与员工绩效挂钩
VH12
人员缺乏职责分离
VH13
没有人员备份机制
VH14
缺乏对员工行为的审计
技术类
场所
VE01
电力单路
VE02
线路暴露
VE03
场所很容易进入
VE04
场所受温湿影响大
VE05
场所易受雷击
VE06
场所易进水
VE07
场所易燃烧
VE08
场所不抗震
VE09
电力容量不够
VS18
软件架构缺陷
VS19
很容易变更
服务
VR01
缺乏服务水平协议
VR02
服务不符合业务需求
VR03
服务响应不及时
VR04
服务易中断
VR05
没有按照规范执行
VR06
服务成本太高
其他
法规法规
VL01
没有识别相应的法律、法规
VL02
不符合法律法规要求
信息类
VI01
信息缺乏准确性
VI02
信息缺乏及时性
VI03
信息容易传播
VI04
信息容易毁损
VI05
信息容易丢失
无形资产类
VT01
恢复困难
VT02
容易受到损害
VP10
没有建立完善的沟通交流机制
VP11
组织的重要记录没有得到保护
VP12
业务流程存在缺陷引发风险
人员
VH01
人员知识水平缺乏
VH02
人员技能缺乏
VH03
人员安全意识缺乏
VH04
人员敬业精神不够
VH05
不能遵守操作规程
VH06
道德风险
VH07
人员流动频繁
VH08
没有签订协议
VH09
没有背景调查
VH10
VE10
场地不够
硬件
VM01
设备易受电力变化影响
VM02
设备、介质易损坏
VM03
电源开关没有限制未经授权的使用
VM04
存储空间不够
VM05
运算能力不够
VM06
信号辐射
VM07
设备性能差
VM08
存在单点故障
VM09
口令更改周期较长
VM10
线路辐射
VM11
协议开放
VM12
明文传输
VM13
随意接入
VM14
VS05
系统存在可疑用户
VS06
系统没有开放审计日志功能
VS07
系统没有启用安全选项
VS08
系统没有启用帐户密码安全策略
VS09
系统使用默认共享
VS10
系统无权限控制措施
VS11
特权账户没有控制
VS12
版本较低
VS13
存在弱密码或空密码
VS14
系统漏洞
VS15
配置漏洞
VS16
存在后门
VS17
没有数据加密功能
口令简单
VM15
协议漏洞
VM16
带宽不够
VM17
很容易进入
VM18
可用性差
VM19
SNMP的Community值为缺省
VM20
无网络流量监控管理措施
VM21
缺少处置、报废规定
软件
VS01
系统没有及时更新补丁VS02系来自开放默认服务和端口VS03
系统存在可疑服务和端口
VS04
系统管理员和用户弱口令或空口令
风险评估原则_脆弱性参考列表
商密密级:内部公开
管理类
组织
VP01
IT管理机制不够完善
VP02
缺乏总体IT规划
VP03
缺乏安全方针
VP04
缺乏组织范围内统一的安全策略
VP05
缺乏可执行性的安全程序
VP06
安全技术与管理措施不能有效结合
VP07
资产缺乏所有者
VP08
没有跨部门的协调组织
VP09
没有负责安全管理部门
相关主题