信息資產(chǎn)風(fēng)險(xiǎn)評(píng)估報(bào)告

【最新資料,Word版，可自由編輯！】文檔信息*行動(dòng)類別：批準(zhǔn)、復(fù)審、通知、存檔、需要采取行動(dòng)、參加會(huì)議、其他（請(qǐng)指明）版本歷史版本版本日期 修改人說(shuō)明號(hào)draf2008/07/文檔創(chuàng)建t01V1.2008/07/修訂003V1.2008/07/修訂307版本版本日期 修改人號(hào)說(shuō)明產(chǎn)權(quán)說(shuō)明本文檔中出現(xiàn)的任何文字?jǐn)⑹?、文檔格式、插圖、照片、方法、過(guò)程等內(nèi)容，除另有特別注明，版權(quán)均屬XX有限公司咨詢事業(yè)部和XX有限公司所有，受到有關(guān)產(chǎn)權(quán)及版權(quán)法保護(hù)。任何個(gè)人、機(jī)構(gòu)未經(jīng)XX有限公司咨詢事業(yè)部和XX有限公司的書(shū)面授權(quán)許可，不得復(fù)制或引用本文檔的任何片斷，無(wú)論通過(guò)電子形式或非電子形式。目錄文檔說(shuō)明4文檔結(jié)構(gòu)4適用范圍413定義、縮略語(yǔ)、縮寫(xiě)5定義5縮略語(yǔ)5TOC\o"1-5"\h\z信息資產(chǎn)風(fēng)險(xiǎn)評(píng)估方法、范圍與過(guò)程 6風(fēng)險(xiǎn)評(píng)估方法6風(fēng)險(xiǎn)評(píng)估范圍6風(fēng)險(xiǎn)評(píng)估過(guò)程7信息資產(chǎn)風(fēng)險(xiǎn)評(píng)估綜述 8XX信息資產(chǎn)組識(shí)別與登記9XX風(fēng)險(xiǎn)評(píng)估結(jié)果綜述19主要信息資產(chǎn)風(fēng)險(xiǎn)和處置措施建議 20各部門(mén)信息資產(chǎn)風(fēng)險(xiǎn)評(píng)估結(jié)果28TOC\o"1-5"\h\z信息技術(shù)部風(fēng)險(xiǎn)評(píng)估結(jié)果 28風(fēng)險(xiǎn)評(píng)估結(jié)果統(tǒng)計(jì) 29主要風(fēng)險(xiǎn)列表 29文檔說(shuō)明信息資產(chǎn)風(fēng)險(xiǎn)評(píng)估是XX信息安全咨詢項(xiàng)目的第二階段的主要工作，xx有限公司和XX公司信息安全咨詢項(xiàng)目相關(guān)人員通過(guò)信息資產(chǎn)分類分組、信息資產(chǎn)登記、信息資產(chǎn)組威脅和脆弱性識(shí)別、風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)價(jià)等過(guò)程，進(jìn)行了詳細(xì)的信息資產(chǎn)安全風(fēng)險(xiǎn)評(píng)估，評(píng)估范圍為總部17個(gè)部門(mén)、山東分公司和廣東分公司。本文檔是信息安全風(fēng)險(xiǎn)評(píng)估階段的交付物，目的是描述XX的信息資產(chǎn)中存在的風(fēng)險(xiǎn)，并提出了改善建議，為下一階段具體風(fēng)險(xiǎn)處置措施的實(shí)施打好基礎(chǔ)。文檔結(jié)構(gòu)第1章文檔說(shuō)明對(duì)本文檔的目的，結(jié)構(gòu)，適用范圍，術(shù)語(yǔ)等進(jìn)行了定義和說(shuō)明。第2章信息安全風(fēng)險(xiǎn)評(píng)估過(guò)程描述XX信息資產(chǎn)風(fēng)險(xiǎn)評(píng)估的內(nèi)容與步驟。第3章信息資產(chǎn)風(fēng)險(xiǎn)評(píng)估結(jié)果綜述對(duì)XX信息資產(chǎn)風(fēng)險(xiǎn)評(píng)估的結(jié)果進(jìn)行分析，對(duì)重要風(fēng)險(xiǎn)提出處置建議。第4章各部門(mén)信息資產(chǎn)風(fēng)險(xiǎn)評(píng)估結(jié)果說(shuō)明XX總部各部門(mén)和山東、廣東兩個(gè)分公司的重要風(fēng)險(xiǎn)評(píng)估結(jié)果。適用范圍本文檔為內(nèi)部文檔，適用于XX的信息安全工作相關(guān)部門(mén)的管理層以及信息安全工作人員：總部業(yè)務(wù)部門(mén)車險(xiǎn)部、水險(xiǎn)部、非水險(xiǎn)部、再保部、戰(zhàn)略管理部、產(chǎn)品精算部、綜合開(kāi)拓部、客戶服務(wù)部、銷售管理部、深圳聯(lián)系中心總部IT部門(mén)信息技術(shù)部總部支撐部門(mén)計(jì)劃財(cái)務(wù)部、投資部、人力資源部、審計(jì)部、辦公室、黨委辦公室分公司廣東分公司、山東分公司

定義、縮略語(yǔ)、縮寫(xiě)定義名詞定義風(fēng)險(xiǎn)管理Riskmanagement風(fēng)險(xiǎn)管理是以可接受成本識(shí)別、評(píng)估、控制、降低可能影響信息系統(tǒng)風(fēng)險(xiǎn)的過(guò)程，通過(guò)風(fēng)險(xiǎn)評(píng)估識(shí)別風(fēng)險(xiǎn)，通過(guò)制定信息安全方針，米取適當(dāng)?shù)目刂颇繕?biāo)與控制方式對(duì)風(fēng)險(xiǎn)進(jìn)行控制，使風(fēng)險(xiǎn)被避免、轉(zhuǎn)移或降低到一個(gè)可以被接受的水平，同時(shí)考慮控制費(fèi)用與風(fēng)險(xiǎn)之間的平衡；風(fēng)險(xiǎn)管理包括風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處置兩部分.資產(chǎn)Asset即信息資產(chǎn)，對(duì)組織具有價(jià)值的信息或資源，是安全策略保護(hù)的對(duì)象。資產(chǎn)組Assetgroup又稱資產(chǎn)組合，是指具有相同或相近的業(yè)務(wù)功能的資產(chǎn)組合，如由硬件、軟件、配置信息等組成的應(yīng)用系統(tǒng)資產(chǎn)組，由電子文件、紙質(zhì)文檔組成的信息資產(chǎn)組。資產(chǎn)價(jià)值A(chǔ)ssetvalue資產(chǎn)的重要程度或敏感程度的表征。資產(chǎn)價(jià)值是資產(chǎn)的屬性，也是進(jìn)行資產(chǎn)識(shí)別的主要內(nèi)容。機(jī)密性Confidentiality數(shù)據(jù)所具有的特性，即表示數(shù)據(jù)所達(dá)到的未提供或未泄露給未授權(quán)的個(gè)人、過(guò)程或其他實(shí)體的程度。完整性Integrity保證信息及信息系統(tǒng)不會(huì)被非授權(quán)更改或破壞的特性。包括數(shù)據(jù)完整性和系統(tǒng)完整性?？捎眯訟vailability數(shù)據(jù)或資源的特性，被授權(quán)實(shí)體按要求能訪問(wèn)和使用數(shù)據(jù)或資源。殘余風(fēng)險(xiǎn)Residualrisk米取了安全措施后，仍然可能存在的風(fēng)險(xiǎn)。威脅Threat可能導(dǎo)致對(duì)系統(tǒng)或組織造成危害的、不希望發(fā)生的事故的潛在原因。脆弱性Vulnerability是指可能被威脅所利用的資產(chǎn)或若干資產(chǎn)的弱點(diǎn)，又稱弱點(diǎn)。和資產(chǎn)本身的特別和性能有關(guān)。資產(chǎn)組AssetTeam是具有相同或相近的業(yè)務(wù)功能的資產(chǎn)的組合?？s略語(yǔ)

XXXX有限公司XXXX有限公司風(fēng)險(xiǎn)評(píng)估信息資產(chǎn)風(fēng)險(xiǎn)評(píng)估信息技術(shù)部XX信息技術(shù)部信息資產(chǎn)風(fēng)險(xiǎn)評(píng)估方法、范圍與過(guò)程風(fēng)險(xiǎn)評(píng)估方法根據(jù)ISMS項(xiàng)目組為XX所設(shè)計(jì)的風(fēng)險(xiǎn)評(píng)估方法，并結(jié)合風(fēng)險(xiǎn)評(píng)估量化參數(shù)標(biāo)準(zhǔn)，實(shí)施了詳細(xì)了風(fēng)險(xiǎn)評(píng)估，具體方法請(qǐng)參見(jiàn)文檔：1） 《XX信息資產(chǎn)風(fēng)險(xiǎn)評(píng)估方法》2） 《XX信息資產(chǎn)風(fēng)險(xiǎn)評(píng)估量化參數(shù)標(biāo)準(zhǔn)》風(fēng)險(xiǎn)評(píng)估范圍本次信息資產(chǎn)風(fēng)險(xiǎn)評(píng)估是由各部門(mén)在XX顧問(wèn)指導(dǎo)下進(jìn)行的自評(píng)估，風(fēng)險(xiǎn)評(píng)估組織由項(xiàng)目組成員和各部門(mén)的信息安全管理員和業(yè)務(wù)骨干組成。參與本次風(fēng)險(xiǎn)評(píng)估工作的各部門(mén)（分公司）和人員如下：序號(hào)部門(mén)人員123456789101112131415

16171819參與本次風(fēng)險(xiǎn)評(píng)估工作的項(xiàng)目組成員如下序號(hào)公司人員1XX2XX風(fēng)險(xiǎn)評(píng)估過(guò)程完整的風(fēng)險(xiǎn)管理過(guò)程包括風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處置兩個(gè)主要部分，在xx信息資產(chǎn)風(fēng)險(xiǎn)評(píng)估過(guò)程中我們完成了風(fēng)險(xiǎn)評(píng)估所涵蓋的以下過(guò)程：信息資產(chǎn)識(shí)別、分組；資產(chǎn)和資產(chǎn)資產(chǎn)組賦值；風(fēng)險(xiǎn)識(shí)別與分析；風(fēng)險(xiǎn)評(píng)估；確定風(fēng)險(xiǎn)可接受標(biāo)準(zhǔn)；風(fēng)險(xiǎn)控制控制措施建議；鑒于完整的風(fēng)險(xiǎn)管理過(guò)程考慮，建議XX在本項(xiàng)目的后續(xù)階段和信息安全管理體系的試運(yùn)行和正式運(yùn)行階段完成風(fēng)險(xiǎn)控制措施的實(shí)施、控制措施的有效性測(cè)量，并建議在信息安全管理體系試運(yùn)行結(jié)束后進(jìn)行一次風(fēng)險(xiǎn)評(píng)估更新，詳見(jiàn)下表：序號(hào)風(fēng)險(xiǎn)管理過(guò)程過(guò)程內(nèi)容說(shuō)明1信息資產(chǎn)識(shí)別、分組與登記根據(jù)資產(chǎn)分類表，對(duì)評(píng)估范圍內(nèi)的資產(chǎn)進(jìn)行識(shí)別、分組和登記；信息資產(chǎn)分組一般分為系統(tǒng)、信息、人員、環(huán)境設(shè)施、外購(gòu)服務(wù)和無(wú)形資產(chǎn)6種。在風(fēng)險(xiǎn)評(píng)估階段已完成2資產(chǎn)和資產(chǎn)組賦值從保密性、完整性和可用性三個(gè)方面對(duì)信息資產(chǎn)進(jìn)行賦值。根據(jù)組內(nèi)資產(chǎn)價(jià)值的最高值確定整個(gè)資產(chǎn)組的價(jià)值。在風(fēng)險(xiǎn)評(píng)估階段已完成

3風(fēng)險(xiǎn)識(shí)別與分析識(shí)別并登記與資產(chǎn)組相關(guān)的主要威脅、脆弱性和現(xiàn)有控制措施。在風(fēng)險(xiǎn)評(píng)估階段已完成4風(fēng)險(xiǎn)評(píng)價(jià)根據(jù)預(yù)先定義的賦值標(biāo)準(zhǔn)，對(duì)風(fēng)險(xiǎn)發(fā)生可能性和風(fēng)險(xiǎn)影響賦值，并通過(guò)資產(chǎn)組價(jià)值、風(fēng)險(xiǎn)發(fā)生可能性和風(fēng)險(xiǎn)影響計(jì)算出風(fēng)險(xiǎn)值在風(fēng)險(xiǎn)評(píng)估階段已完成5確定風(fēng)險(xiǎn)可接受標(biāo)準(zhǔn)根據(jù)風(fēng)險(xiǎn)計(jì)算結(jié)果，確定風(fēng)險(xiǎn)級(jí)級(jí)別，確定企業(yè)可接受的風(fēng)險(xiǎn)值。一般來(lái)說(shuō)，風(fēng)險(xiǎn)可接受標(biāo)準(zhǔn)為中、低風(fēng)險(xiǎn)的分界線。在風(fēng)險(xiǎn)評(píng)估階段已完成6風(fēng)險(xiǎn)控制措施的選擇和實(shí)施對(duì)于超過(guò)風(fēng)險(xiǎn)可接受標(biāo)準(zhǔn)的風(fēng)險(xiǎn)，企業(yè)要選擇和實(shí)施管理或技術(shù)控制措施，以減少或降低風(fēng)險(xiǎn)發(fā)生的可能性或影響程度。選擇風(fēng)險(xiǎn)控制措施要考慮預(yù)估的殘余風(fēng)險(xiǎn)值。在風(fēng)險(xiǎn)評(píng)估階段已完成控制措施的選擇。實(shí)施工作建議在項(xiàng)目的后續(xù)階段和體系試運(yùn)行中進(jìn)行。7控制措施有效性測(cè)量制訂或利用一定的測(cè)量方法，對(duì)米取的全部或部分控制措施進(jìn)行測(cè)量，以判斷控制措施的有效性，并無(wú)效或效果不明顯的進(jìn)行整改。建議在體系試運(yùn)行階段進(jìn)行?？刂拼胧┯行詼y(cè)量方式將在策略的編寫(xiě)階段完成。8風(fēng)險(xiǎn)評(píng)估更新根據(jù)風(fēng)險(xiǎn)評(píng)估周期，周期性進(jìn)行風(fēng)險(xiǎn)評(píng)估與處置建議在體系試運(yùn)行結(jié)束后進(jìn)行。9殘余風(fēng)險(xiǎn)的處置對(duì)于風(fēng)險(xiǎn)評(píng)估更新后，對(duì)于仍超過(guò)可接受標(biāo)準(zhǔn)的風(fēng)險(xiǎn)可以采取新的控制措施，也可以接受風(fēng)險(xiǎn)。建議在風(fēng)險(xiǎn)評(píng)估更新后進(jìn)行。信息資產(chǎn)風(fēng)險(xiǎn)評(píng)估綜述根據(jù)項(xiàng)目實(shí)施計(jì)劃，在各部門(mén)的大力配合下，自 2008年5月中到6月底，ISMS項(xiàng)目組完成了對(duì)XX總部17個(gè)部門(mén)和2個(gè)分公司信息資產(chǎn)的識(shí)別、分類分組、登記和風(fēng)險(xiǎn)評(píng)估工作，并確定的XX風(fēng)險(xiǎn)可接受標(biāo)準(zhǔn)，對(duì)于超過(guò)風(fēng)險(xiǎn)可接受標(biāo)準(zhǔn)的風(fēng)險(xiǎn)，提出了控制措施建議。確定風(fēng)險(xiǎn)數(shù)值的大小不是本次風(fēng)險(xiǎn)評(píng)估的最終目的，重要的是明確不同威脅對(duì)資產(chǎn)所產(chǎn)生的風(fēng)險(xiǎn)高低，要確定不同風(fēng)險(xiǎn)處置的優(yōu)先次序，對(duì)于風(fēng)險(xiǎn)級(jí)別高的信息資產(chǎn)應(yīng)被優(yōu)先分配資源進(jìn)行保護(hù)，優(yōu)先進(jìn)行解決。各部門(mén)反映出的中高風(fēng)險(xiǎn)并不僅僅是該部門(mén)存在的風(fēng)險(xiǎn)，有些是XX公司層面普遍存在的問(wèn)題和風(fēng)險(xiǎn)?，F(xiàn)將本次風(fēng)險(xiǎn)評(píng)估的總體情況報(bào)告如下：XX信息資產(chǎn)組識(shí)別與登記根據(jù)對(duì)XX信息資產(chǎn)的識(shí)別與登記的統(tǒng)計(jì)結(jié)果，XX總部和山東、廣東兩個(gè)分公司共有系統(tǒng)資產(chǎn)組、信息資產(chǎn)組、環(huán)境設(shè)施資產(chǎn)組、外購(gòu)服務(wù)資產(chǎn)組、人員資產(chǎn)組和無(wú)形資產(chǎn)組等6大類217個(gè)資產(chǎn)組。具體名稱與分布如下：總部/分公司資產(chǎn)組類別資產(chǎn)組類別資產(chǎn)組數(shù)量XX總部系統(tǒng)資產(chǎn)組33139:信息資產(chǎn)組92:環(huán)境設(shè)施資產(chǎn)組1外購(gòu)服務(wù)資產(chǎn)組8人員資產(chǎn)組4:無(wú)形資產(chǎn)1廣分系統(tǒng)資產(chǎn)組241］信息資產(chǎn)組31環(huán)境設(shè)施資產(chǎn)組1外購(gòu)服務(wù)資產(chǎn)組2人員資產(chǎn)組4無(wú)形資產(chǎn)1山分:系統(tǒng)資產(chǎn)組242信息資產(chǎn)組31環(huán)境設(shè)施資產(chǎn)組1外購(gòu)服務(wù)資產(chǎn)組2人員資產(chǎn)組4無(wú)形資產(chǎn)1

合計(jì)221XX總部系統(tǒng)資產(chǎn)組名稱:資產(chǎn)組編號(hào)XX總部系統(tǒng)資產(chǎn)組名稱部門(mén)資產(chǎn)組價(jià)值1業(yè)務(wù)系統(tǒng)資產(chǎn)組信息技術(shù)部52財(cái)務(wù)系統(tǒng)資產(chǎn)組信息技術(shù)部53車險(xiǎn)理賠系統(tǒng)資產(chǎn)組信息技術(shù)部54再保系統(tǒng)資產(chǎn)組信息技術(shù)部55開(kāi)發(fā)測(cè)試資產(chǎn)組信息技術(shù)部46銀保通資產(chǎn)組信息技術(shù)部47反洗錢(qián)系統(tǒng)資產(chǎn)組信息技術(shù)部38E-Cargo系統(tǒng)資產(chǎn)組信息技術(shù)部39人力資源培訓(xùn)系統(tǒng)資產(chǎn)組信息技術(shù)部310資金管理系統(tǒng)資產(chǎn)組信息技術(shù)部511OA資產(chǎn)組信息技術(shù)部512網(wǎng)站系統(tǒng)資產(chǎn)組信息技術(shù)部413電銷資產(chǎn)組（待建）信息技術(shù)部5

14協(xié)作服務(wù)資產(chǎn)組信息技術(shù)部315CC域控資產(chǎn)組信息技術(shù)部516CC域成員服務(wù)器資產(chǎn)組信息技術(shù)部417數(shù)據(jù)倉(cāng)庫(kù)資產(chǎn)組（待建）信息技術(shù)部518總公司域控資產(chǎn)組信息技術(shù)部519總公司域成員服務(wù)器資產(chǎn)組信息技術(shù)部420分公司域控資產(chǎn)組信息技術(shù)部521分公司域成員服務(wù)器資產(chǎn)組信息技術(shù)部422總公司辦公資產(chǎn)組信息技術(shù)部323安全資產(chǎn)組信息技術(shù)部524中心機(jī)房資產(chǎn)組信息技術(shù)部425辦公機(jī)房資產(chǎn)組信息技術(shù)部326備份與存儲(chǔ)資產(chǎn)組信息技術(shù)部527DMZ基礎(chǔ)服務(wù)資產(chǎn)組信息技術(shù)部528視頻資產(chǎn)組信息技術(shù)部329網(wǎng)絡(luò)管理資產(chǎn)組信息技術(shù)4

部30中心機(jī)房網(wǎng)絡(luò)設(shè)備資產(chǎn)組信息技術(shù)部531深圳呼叫中心網(wǎng)絡(luò)設(shè)備資產(chǎn)組信息技術(shù)部532分公司網(wǎng)絡(luò)設(shè)備資產(chǎn)組信息技術(shù)部433支公司網(wǎng)絡(luò)設(shè)備資產(chǎn)組信息技術(shù)部3小計(jì)33XX總部信息類資產(chǎn)組名稱如下:資產(chǎn)組編號(hào)XX總部信息類資產(chǎn)組名稱部門(mén)資產(chǎn)組價(jià)值1印章車險(xiǎn)部42保險(xiǎn)法律法規(guī)和監(jiān)管部門(mén)通知發(fā)文車險(xiǎn)部2.73公司保險(xiǎn)政策車險(xiǎn)部54公司保險(xiǎn)制度車險(xiǎn)部3.75現(xiàn)有險(xiǎn)種信息車險(xiǎn)部3.76新險(xiǎn)種信息車險(xiǎn)部47大項(xiàng)目信息車險(xiǎn)部58承保理賠和相關(guān)業(yè)務(wù)數(shù)據(jù)（車險(xiǎn)）車險(xiǎn)部59般業(yè)務(wù)信息（車險(xiǎn)）車險(xiǎn)部3.710印章非水險(xiǎn)部411保險(xiǎn)法律法規(guī)和監(jiān)管部門(mén)通知發(fā)文非水險(xiǎn)部2.712公司保險(xiǎn)政策非水險(xiǎn)部513公司保險(xiǎn)制度非水險(xiǎn)部3.614現(xiàn)有險(xiǎn)種信息非水險(xiǎn)部3.715新險(xiǎn)種信息非水險(xiǎn)部416大項(xiàng)目信息非水險(xiǎn)部5

16承保理賠和相關(guān)業(yè)務(wù)數(shù)據(jù)信息（非水險(xiǎn)）非水險(xiǎn)部518一般業(yè)務(wù)信息（非水險(xiǎn)）非水險(xiǎn)部3.719印章水險(xiǎn)部420保險(xiǎn)法律法規(guī)和監(jiān)管部門(mén)通知發(fā)文水險(xiǎn)部2.721公司保險(xiǎn)政策水險(xiǎn)部522公司保險(xiǎn)制度水險(xiǎn)部3.723現(xiàn)有險(xiǎn)種信息水險(xiǎn)部3.724新險(xiǎn)種信息水險(xiǎn)部425大項(xiàng)目信息水險(xiǎn)部526承保理賠和相關(guān)業(yè)務(wù)數(shù)據(jù)信息（水險(xiǎn)）水險(xiǎn)部527一般業(yè)務(wù)信息（水險(xiǎn)）水險(xiǎn)部3.728印章再保部429保險(xiǎn)法律法規(guī)和監(jiān)管部門(mén)通知發(fā)文再保部2.730公司保險(xiǎn)政策制度再保部3.731數(shù)據(jù)庫(kù)數(shù)據(jù)和下載到個(gè)人電腦上的數(shù)據(jù)庫(kù)數(shù)據(jù)（再保）再保部532再保其它核心數(shù)據(jù)和相關(guān)文件再保部533再保一般數(shù)據(jù)和相關(guān)文件再保部334保險(xiǎn)法律法規(guī)、監(jiān)管部門(mén)通知發(fā)文和內(nèi)部規(guī)章制度（深圳聯(lián)系中心）深圳聯(lián)系中心2.735客戶報(bào)案和相關(guān)信息深圳聯(lián)系中心536其它日常業(yè)務(wù)和工作信息深圳聯(lián)系中心337公司證照辦公室4.638印章辦公室539內(nèi)部規(guī)章制度辦公室2.740重要文件報(bào)告和會(huì)議紀(jì)要辦公室541采購(gòu)信息和合同辦公室3.742收發(fā)文辦公室5

43宣傳材料和印刷品辦公室3.544其它工作信息辦公室345印章黨委446會(huì)議準(zhǔn)備材料和會(huì)議紀(jì)要黨委447印章審計(jì)部448內(nèi)部規(guī)章制度審計(jì)部2.749稽核方案報(bào)告和底稿審計(jì)部450電子證書(shū)計(jì)劃財(cái)務(wù)部551重要口令信息計(jì)劃財(cái)務(wù)部552法律法規(guī)和公司內(nèi)部規(guī)章制度（計(jì)劃財(cái)務(wù)部）計(jì)劃財(cái)務(wù)部2.753大項(xiàng)目信息計(jì)劃財(cái)務(wù)部554數(shù)據(jù)庫(kù)數(shù)據(jù)（財(cái)務(wù)/資金/銀保通）計(jì)劃財(cái)務(wù)部555預(yù)算信息計(jì)劃財(cái)務(wù)部556應(yīng)用系統(tǒng)管理資料計(jì)劃財(cái)務(wù)部357財(cái)務(wù)報(bào)告報(bào)表計(jì)劃財(cái)務(wù)部4.458財(cái)務(wù)憑證計(jì)劃財(cái)務(wù)部459內(nèi)部規(guī)章制度（綜合開(kāi)拓部）綜合開(kāi)拓部2.760大項(xiàng)目信息綜合開(kāi)拓部561其它綜合開(kāi)拓相關(guān)信息綜合開(kāi)拓部3.762內(nèi)部規(guī)章制度（客戶服務(wù)部）客戶服務(wù)部2.763客戶服務(wù)相關(guān)信息客戶服務(wù)部564印章/證件/考勤卡人力資源部465內(nèi)部規(guī)章制度（人力資源）人力資源部2.766人力資源數(shù)據(jù)庫(kù)數(shù)據(jù)人力資源部467員工基本信息和合同人力資源部4.768人員招聘與人力發(fā)展規(guī)劃人力資源部469培訓(xùn)相關(guān)信息人力資源部370績(jī)效考核信息人力資源部471薪酬福利信息人力資源部4

72考勤信息人力資源部3.773其它人力資源信息人力資源部374黨建信息人力資源部3.775印章銷售管理部476內(nèi)部規(guī)章制度（銷售管理部）銷售管理部2.777銷售管理信息銷售管理部378印章投資部4.779內(nèi)部規(guī)章制度（投資部）投資部2.780投資資料投資部4.481保險(xiǎn)法律法規(guī)和內(nèi)部規(guī)章制度（戰(zhàn)略發(fā)展部）戰(zhàn)略發(fā)展部2.782戰(zhàn)略規(guī)劃信息戰(zhàn)略發(fā)展部583合規(guī)性管理資料戰(zhàn)略發(fā)展部3.484清算信息產(chǎn)品精算部585內(nèi)部規(guī)早制度（信息技術(shù)部）信息技術(shù)部2.786收發(fā)文信息技術(shù)部4.487源代碼和安裝包信息技術(shù)部588軟件開(kāi)發(fā)文檔信息技術(shù)部489IT運(yùn)維資料（運(yùn)維室）信息技術(shù)部4.490大項(xiàng)目信息信息技術(shù)部3.791IT規(guī)劃與預(yù)算等信息信息技術(shù)部492備份存儲(chǔ)數(shù)據(jù)信息技術(shù)部5小計(jì)92XX總部其它資產(chǎn)組:資產(chǎn)組編號(hào)XX總部其它資產(chǎn)組名稱部門(mén)資產(chǎn)組價(jià)值1總部辦公職場(chǎng)環(huán)境設(shè)施辦公室52外購(gòu)的重要服務(wù)（辦公室）辦公室4.43外購(gòu)的重要服務(wù)（信息技術(shù)部）信息技術(shù)部4.4

4外購(gòu)的重要服務(wù)（產(chǎn)品精算部）信息技術(shù)部4.45外購(gòu)的重要服務(wù)（車險(xiǎn)部）車險(xiǎn)部4.46外購(gòu)的重要服務(wù)（水險(xiǎn)部）水險(xiǎn)部4.47外購(gòu)的重要服務(wù)（非水險(xiǎn)部）非水險(xiǎn)部4.48外購(gòu)的重要服務(wù)（綜合開(kāi)拓部）綜合開(kāi)拓部4.49外購(gòu)的一般性服務(wù)辦公室1.910內(nèi)部人員-公司領(lǐng)導(dǎo)人員人力資源部511內(nèi)部人員-關(guān)鍵崗位人員人力資源部512其他內(nèi)部人員人力資源部4.413外部人員人力資源部4.414無(wú)形資產(chǎn)辦公室4.4小計(jì)14廣東分公司資產(chǎn)組名稱如下:資產(chǎn)組編號(hào)廣分資產(chǎn)組名稱部門(mén)資產(chǎn)組價(jià)值1廣分總部辦公設(shè)備資產(chǎn)組綜合管理部42廣分機(jī)房環(huán)境設(shè)施資產(chǎn)組綜合管理部4.43公司證照綜合管理部4.64印章綜合管理部4.55員工基本信息和合同綜合管理部4.76人員招聘與人力發(fā)展規(guī)劃綜合管理部47培訓(xùn)相關(guān)信息綜合管理部38績(jī)效考核信息綜合管理部49:薪酬福利信息綜合管理部410考勤信息綜合管理部3.711IT運(yùn)維資料綜合管理部4.412重要文件報(bào)告和會(huì)議紀(jì)要綜合管理部513采購(gòu)信息和合同綜合管理部3.714:收發(fā)文綜合管理部5

15宣傳材料和印刷品綜合管理部3.516其它綜合管理信息綜合管理部■317保險(xiǎn)法律法規(guī)和保險(xiǎn)監(jiān)管部門(mén)通知發(fā)文業(yè)務(wù)部門(mén)2.718公司保險(xiǎn)政策業(yè)務(wù)部門(mén)519公司保險(xiǎn)制度業(yè)務(wù)部門(mén)3.620現(xiàn)有險(xiǎn)種信息業(yè)務(wù)部門(mén)3.721新險(xiǎn)種信息業(yè)務(wù)部門(mén)422承保理賠和相關(guān)業(yè)務(wù)數(shù)據(jù)業(yè)務(wù)部門(mén)523其它數(shù)據(jù)庫(kù)數(shù)據(jù)業(yè)務(wù)部門(mén)524客戶投保索賠資料和保險(xiǎn)單證業(yè)務(wù)部門(mén)3.725其它承保信息業(yè)務(wù)部門(mén)326銷售管理報(bào)告報(bào)表業(yè)務(wù)部門(mén)527大項(xiàng)目信息業(yè)務(wù)部門(mén)528其它綜合開(kāi)拓相關(guān)信息業(yè)務(wù)部門(mén)3.729電子證書(shū)計(jì)財(cái)部530重要財(cái)務(wù)口令信息計(jì)財(cái)部531預(yù)算信息計(jì)財(cái)部532f財(cái)務(wù)報(bào)告報(bào)表計(jì)財(cái)部4.433財(cái)務(wù)憑證計(jì)財(cái)部434內(nèi)部人員-廣分領(lǐng)導(dǎo)人員綜合管理部535內(nèi)部人員-廣分關(guān)鍵崗位綜合管理部536內(nèi)部人員-廣分其他人員綜合管理部4.437外部人員-廣分綜合管理部4.438外購(gòu)的重要服務(wù)綜合管理部4.439外購(gòu)的一般性服務(wù)綜合管理部1.940無(wú)形資產(chǎn)綜合管理部4.441:職場(chǎng)環(huán)境設(shè)施資產(chǎn)組綜合管理部5小計(jì)41山東分公司資產(chǎn)組名稱如下:

資產(chǎn)組編號(hào)山分資產(chǎn)組名稱部門(mén)資產(chǎn)組價(jià)值1綜合管理部42綜合管理部4.43公司證照綜合管理部4.64印章綜合管理部4.55員工基本信息和合同綜合管理部4.76人員招聘與人力發(fā)展規(guī)劃綜合管理部47培訓(xùn)相關(guān)信息綜合管理部38績(jī)效考核信息綜合管理部49薪酬福利信息綜合管理部410考勤信息綜合管理部3.711IT運(yùn)維資料（運(yùn)維室）綜合管理部4.412重要文件報(bào)告和會(huì)議紀(jì)要綜合管理部513采購(gòu)信息和合同綜合管理部3.714，收發(fā)文綜合管理部515宣傳材料和印刷品綜合管理部3.516其它綜合管理信息綜合管理部317［呆險(xiǎn)法律法規(guī)和保險(xiǎn)監(jiān)管部門(mén)通知發(fā)文業(yè)務(wù)部門(mén)2.718公司保險(xiǎn)政策業(yè)務(wù)部門(mén)519公司保險(xiǎn)制度業(yè)務(wù)部門(mén)3.620現(xiàn)有險(xiǎn)種信息業(yè)務(wù)部門(mén)3.721新險(xiǎn)種信息業(yè)務(wù)部門(mén)422承保理賠和相關(guān)業(yè)務(wù)數(shù)據(jù)業(yè)務(wù)部門(mén)523其它數(shù)據(jù)庫(kù)數(shù)據(jù)業(yè)務(wù)部門(mén)524客戶投保索賠資料和保險(xiǎn)單證業(yè)務(wù)部門(mén)3.725其它承保信息業(yè)務(wù)部門(mén)326銷售管理報(bào)告報(bào)表業(yè)務(wù)部門(mén)527大項(xiàng)目信息業(yè)務(wù)部門(mén)528其它綜合開(kāi)拓相關(guān)信息業(yè)務(wù)部門(mén)3.7

29電子證書(shū)計(jì)財(cái)部530重要財(cái)務(wù)口令信息計(jì)財(cái)部531預(yù)算信息計(jì)財(cái)部532財(cái)務(wù)報(bào)告報(bào)表計(jì)財(cái)部4.433財(cái)務(wù)憑證計(jì)財(cái)部434內(nèi)部人員-山分公司領(lǐng)導(dǎo)綜合管理部535內(nèi)部人員-山分關(guān)鍵崗位綜合管理部536內(nèi)部人員-山分其他人員綜合管理部4.437外部人員-山分綜合管理部4.438外購(gòu)的重要服務(wù)綜合管理部4.439外購(gòu)的一般性服務(wù)綜合管理部1.940無(wú)形資產(chǎn)綜合管理部4.441職場(chǎng)環(huán)境設(shè)施資產(chǎn)組綜合管理部5小計(jì)41各部門(mén)的信息資產(chǎn)識(shí)別與登記的情況詳見(jiàn)各部門(mén)的《信息資產(chǎn)登記表》XX風(fēng)險(xiǎn)評(píng)估結(jié)果綜述對(duì)本次XX信息資產(chǎn)風(fēng)險(xiǎn)評(píng)估結(jié)果進(jìn)行統(tǒng)計(jì)，統(tǒng)計(jì)結(jié)果顯示：高風(fēng)險(xiǎn)有 164項(xiàng)，中風(fēng)險(xiǎn)有309項(xiàng)，低風(fēng)險(xiǎn)有444項(xiàng)，共有風(fēng)險(xiǎn)917項(xiàng)。圖5XX信息資產(chǎn)風(fēng)險(xiǎn)分布圖太平保險(xiǎn)信息資產(chǎn)風(fēng)險(xiǎn)評(píng)估統(tǒng)計(jì)低風(fēng)險(xiǎn)(<16),444,48%

低風(fēng)險(xiǎn)(<16),444,48%表2XX各部門(mén)風(fēng)險(xiǎn)統(tǒng)計(jì)表序號(hào)部門(mén)咼風(fēng)險(xiǎn)(>=32)中風(fēng)險(xiǎn)16-32)低風(fēng)險(xiǎn)(0-16)總計(jì)1信息技術(shù)部80793219127112431012294911285512236271072033548279919101018163711358121781312517114010101566121674111733618621041881962104188合計(jì)164309444917各部門(mén)的具體風(fēng)險(xiǎn)評(píng)估情況詳見(jiàn)各部門(mén)的《信息資產(chǎn)風(fēng)險(xiǎn)管理表》。主要信息資產(chǎn)風(fēng)險(xiǎn)和處置措施建議在此風(fēng)險(xiǎn)評(píng)估報(bào)告中，我們將XX的系統(tǒng)、信息、人員、環(huán)境設(shè)施、外購(gòu)服務(wù)、無(wú)形資產(chǎn)等6大類信息資產(chǎn)所面臨的主要風(fēng)險(xiǎn)和建議的處置措施列表如下：

系統(tǒng)資產(chǎn)組主要風(fēng)險(xiǎn)和處置措施建議:序號(hào)責(zé)任部門(mén)資產(chǎn)組風(fēng)險(xiǎn)風(fēng)險(xiǎn)值風(fēng)險(xiǎn)等級(jí)處置建議1信息技術(shù)部業(yè)務(wù)系統(tǒng)資產(chǎn)組/財(cái)務(wù)系/統(tǒng)資產(chǎn)組因HA備份主機(jī)能力不足，用于HA熱備的1個(gè)CPU無(wú)法承擔(dān)生產(chǎn)用的15個(gè)CPU的負(fù)荷”，當(dāng)發(fā)生“服務(wù)器發(fā)生硬件故障或多個(gè)cpu故障時(shí)，導(dǎo)致“業(yè)務(wù)系統(tǒng)受影響或中斷”80高增加冗余或負(fù)載均衡主機(jī)，集中為業(yè)務(wù)系統(tǒng)、財(cái)務(wù)系統(tǒng)、再保系統(tǒng)做HA2信息技術(shù)部業(yè)務(wù)系統(tǒng)資產(chǎn)組/財(cái)務(wù)系統(tǒng)資產(chǎn)組因“業(yè)務(wù)系統(tǒng)用戶訪問(wèn)權(quán)限不夠細(xì)化（尤其是報(bào)表查詢權(quán)限），權(quán)限審核制度不完善，審核周期較長(zhǎng)，實(shí)際使用的權(quán)限與角色應(yīng)具有的權(quán)限不符”，當(dāng)發(fā)生“帳戶的越權(quán)使用、混用”時(shí)，導(dǎo)致“信息泄密”75高細(xì)化業(yè)務(wù)系統(tǒng)用戶權(quán)限設(shè)置，提高系統(tǒng)權(quán)限評(píng)審的效率3信息技術(shù)部業(yè)務(wù)系統(tǒng)資產(chǎn)組/財(cái)務(wù)系統(tǒng)資產(chǎn)組/車險(xiǎn)理賠系統(tǒng)資產(chǎn)組/再保系統(tǒng)資產(chǎn)組因“系統(tǒng)用戶弱口令，對(duì)帳戶制度缺乏有效執(zhí)行”，當(dāng)“業(yè)務(wù)賬戶被非法獲取和使用”時(shí)，導(dǎo)致“業(yè)務(wù)系統(tǒng)數(shù)據(jù)被非授權(quán)訪問(wèn)、泄漏和篡改”75高技術(shù)上加強(qiáng)口令密碼策略；完善帳號(hào)、口令制度，加強(qiáng)制度的執(zhí)行；規(guī)定禁止帳號(hào)混用，或通過(guò)系統(tǒng)限制相同帳號(hào)的登錄

4信息技術(shù)部業(yè)務(wù)系統(tǒng)資產(chǎn)組/財(cái)務(wù)系統(tǒng)資產(chǎn)組/車險(xiǎn)理賠系統(tǒng)資產(chǎn)組因“互聯(lián)網(wǎng)訪問(wèn)業(yè)務(wù)系統(tǒng)存在單因素認(rèn)證”，當(dāng)“業(yè)務(wù)系統(tǒng)口令策略沒(méi)有有效執(zhí)行時(shí)”時(shí)，導(dǎo)致“系統(tǒng)數(shù)據(jù)被惡意人員從互聯(lián)網(wǎng)非授權(quán)訪問(wèn)、泄漏和篡改”75高加強(qiáng)業(yè)務(wù)系統(tǒng)用戶強(qiáng)口令的要求，清理系統(tǒng)中的弱口令帳號(hào)；增加其他的身份驗(yàn)證方式5信息技術(shù)部開(kāi)發(fā)測(cè)試資產(chǎn)組因“測(cè)試環(huán)境與生產(chǎn)環(huán)境有一疋區(qū)別，操作系統(tǒng)、應(yīng)用系統(tǒng)上線或升級(jí)時(shí)測(cè)試不夠充分，上線后還會(huì)出現(xiàn)Bug”，當(dāng)發(fā)生“生產(chǎn)系統(tǒng)軟件變更”時(shí)，導(dǎo)致“系統(tǒng)宕機(jī)或用戶體驗(yàn)變差”64高建立與生產(chǎn)環(huán)境相一致的測(cè)試環(huán)境，保證系統(tǒng)測(cè)試的準(zhǔn)確和有效6信息技術(shù)部安全資產(chǎn)組因“SSLVPN存在軟件Bug;VPN服務(wù)商服務(wù)能力有缺陷”，導(dǎo)致“SSLVPN經(jīng)常需要重啟，工作不穩(wěn)定，且無(wú)法快速恢復(fù)”64高協(xié)調(diào)廠商修改bug7信息技術(shù)部網(wǎng)絡(luò)管理資產(chǎn)組因“ACS數(shù)據(jù)庫(kù)備份到本地，無(wú)法做到遠(yuǎn)程人工備份或自動(dòng)備份”，當(dāng)發(fā)生“硬件、操作系統(tǒng)故障”時(shí)，導(dǎo)致“數(shù)據(jù)庫(kù)內(nèi)數(shù)據(jù)丟失，恢復(fù)困難，網(wǎng)絡(luò)設(shè)備無(wú)法遠(yuǎn)程登錄”64高將ACS數(shù)據(jù)庫(kù)數(shù)據(jù)備份到專用的存儲(chǔ)設(shè)備上8信息技術(shù)部業(yè)務(wù)系統(tǒng)資產(chǎn)組/財(cái)務(wù)系統(tǒng)資產(chǎn)組/因“生產(chǎn)系統(tǒng)、數(shù)據(jù)庫(kù)的部分開(kāi)發(fā)、測(cè)試和生產(chǎn)環(huán)境未完全分開(kāi)”，當(dāng)發(fā)生“誤操作”時(shí)，導(dǎo)致“生60高將開(kāi)發(fā)、測(cè)試、生產(chǎn)系統(tǒng)分開(kāi)

車險(xiǎn)理賠系統(tǒng)資產(chǎn)組產(chǎn)系統(tǒng)受影響”9信息技術(shù)部業(yè)務(wù)系統(tǒng)資產(chǎn)組/財(cái)務(wù)系統(tǒng)資產(chǎn)組/車險(xiǎn)理賠系統(tǒng)資產(chǎn)組/再保系統(tǒng)資產(chǎn)組因“操作人員可直接修改數(shù)據(jù)庫(kù)”，當(dāng)發(fā)生“誤操作”時(shí)，導(dǎo)致“修改了數(shù)據(jù)庫(kù)中不該被修改數(shù)據(jù)”60高加強(qiáng)審計(jì)和記錄，使用工具記錄操作數(shù)據(jù)庫(kù)的修改語(yǔ)句10信息技術(shù)部業(yè)務(wù)系統(tǒng)資產(chǎn)組/財(cái)務(wù)系統(tǒng)資產(chǎn)組/車險(xiǎn)理賠系統(tǒng)資產(chǎn)組/再保系統(tǒng)資產(chǎn)組因“缺少業(yè)務(wù)系統(tǒng)和關(guān)鍵Windows服務(wù)器用于補(bǔ)丁測(cè)試的測(cè)試機(jī)”，當(dāng)發(fā)生“沒(méi)有嚴(yán)格測(cè)試后就更新系統(tǒng)補(bǔ)丁”時(shí)，導(dǎo)致“生產(chǎn)系統(tǒng)和重要Windows服務(wù)器服務(wù)中斷”60高建立專用的windows系統(tǒng)補(bǔ)丁測(cè)試服務(wù)器11信息技術(shù)部車險(xiǎn)理賠系統(tǒng)資產(chǎn)組因“作為重要業(yè)務(wù)系統(tǒng)，車險(xiǎn)理賠系統(tǒng)與其他域成員服務(wù)器使用同樣的組策略和補(bǔ)丁更新策略”，當(dāng)”對(duì)生產(chǎn)系統(tǒng)和普通系統(tǒng)執(zhí)行同樣的策略”時(shí)，導(dǎo)致“強(qiáng)制執(zhí)行了不合適的策略或者強(qiáng)制安裝了沒(méi)有經(jīng)過(guò)測(cè)試的補(bǔ)丁，操作系統(tǒng)、應(yīng)用工作不穩(wěn)定或宕機(jī)”60高詳細(xì)規(guī)劃組策略的制定，根據(jù)不同安全級(jí)別要求的設(shè)備和系統(tǒng)組制定不同的組策略

12信息技術(shù)部開(kāi)發(fā)測(cè)試資產(chǎn)組因“開(kāi)發(fā)、運(yùn)維人員沒(méi)有完全分開(kāi)”，導(dǎo)致“不符合規(guī)范的管理方式”60高逐步完善管理規(guī)范，并加強(qiáng)在人員混用過(guò)程中的行為操作審計(jì)工作13信息技術(shù)部DMZ區(qū)基礎(chǔ)服務(wù)資產(chǎn)組/網(wǎng)站系統(tǒng)資產(chǎn)組因“缺少DMZ區(qū)互聯(lián)網(wǎng)服務(wù)（如DNS、業(yè)務(wù)代理服務(wù)器）的應(yīng)急響應(yīng)計(jì)戈，當(dāng)發(fā)生“黑客攻擊”時(shí)，導(dǎo)致“服務(wù)中斷或網(wǎng)站不同程度地被控制”60高建立網(wǎng)站和互聯(lián)網(wǎng)服務(wù)的應(yīng)急響應(yīng)計(jì)劃14信息技術(shù)部DMZ區(qū)基礎(chǔ)服務(wù)資產(chǎn)組因“業(yè)務(wù)代理服務(wù)器無(wú)HA”，當(dāng)發(fā)生“硬件、軟件故障”時(shí)，導(dǎo)致“通過(guò)代理服務(wù)器的互聯(lián)網(wǎng)業(yè)務(wù)受影響”60高增加HA服務(wù)器15信息技術(shù)部總部、分公司、CC、分公司域控資產(chǎn)組（含資產(chǎn)組15、18、26）因“域內(nèi)服務(wù)器缺乏有效的管理和監(jiān)控工具”，導(dǎo)致管理員負(fù)擔(dān)過(guò)重，無(wú)法有效識(shí)別、解決域服務(wù)器的問(wèn)題”60高采用自動(dòng)化監(jiān)控工具，針對(duì)服務(wù)器性能、網(wǎng)絡(luò)狀態(tài)進(jìn)行監(jiān)控人員資產(chǎn)組主要風(fēng)險(xiǎn)和處置措施建議:序號(hào)責(zé)任部門(mén)信息資產(chǎn)組風(fēng)險(xiǎn)風(fēng)險(xiǎn)值風(fēng)險(xiǎn)等級(jí)處置建議1管理層/人力資源部?jī)?nèi)部人員-公司領(lǐng)導(dǎo)成員因“對(duì)薪資不滿意/個(gè)人價(jià)值不能很好體現(xiàn)/工作業(yè)績(jī)不佳”，當(dāng)“人員離職”發(fā)生時(shí)，離職人員帶走業(yè)務(wù)團(tuán)隊(duì)，導(dǎo)40高接受？

致公司業(yè)務(wù)受到較大沖擊2管理層/人力資源部?jī)?nèi)部人員-公司領(lǐng)導(dǎo)成員因“思維模式/性格缺陷”，當(dāng)“決策失誤”發(fā)生時(shí)，會(huì)導(dǎo)致公司業(yè)務(wù)受到較大沖擊30中接受？3管理層/人力資源部?jī)?nèi)部人員-公司領(lǐng)導(dǎo)成員因“非IT專業(yè)或無(wú)相關(guān)工作經(jīng)歷”，當(dāng)“未接受完善的IT培訓(xùn)”發(fā)生時(shí)，會(huì)對(duì)本公司IT資源了解不足20中建立針對(duì)公司不同層次人員的完善的培訓(xùn)機(jī)制4管理層/人力資源部?jī)?nèi)部人員-公司領(lǐng)導(dǎo)成員因“人類軀體結(jié)構(gòu)對(duì)抗外來(lái)撞擊能力很差”，當(dāng)“交通事故/空難”發(fā)生時(shí)，會(huì)對(duì)本公司經(jīng)營(yíng)運(yùn)作造成影響20中領(lǐng)導(dǎo)層成員外出時(shí)盡可能不搭乘同一架/輛交通工具環(huán)境設(shè)施資產(chǎn)組主要風(fēng)險(xiǎn)和處置措施建議:序號(hào)責(zé)任部門(mén)信息資產(chǎn)組風(fēng)險(xiǎn)風(fēng)險(xiǎn)值風(fēng)險(xiǎn)等級(jí)處置建議1辦公室總部辦公職場(chǎng)環(huán)境設(shè)施資產(chǎn)組因“領(lǐng)導(dǎo)離開(kāi)辦公室，未上鎖”，當(dāng)發(fā)生“人員故意或非故意行為”時(shí)，造成信息丟失或泄30中領(lǐng)導(dǎo)人員離開(kāi)辦公室要及時(shí)鎖門(mén)/鎖屏或辦公桌面不要擺放重要

密的資料2辦公室/安全檢杳小組總部辦公職場(chǎng)環(huán)境設(shè)施資產(chǎn)組因“員工辦公桌面擺放在重要資料”，當(dāng)發(fā)生“人員故意或非故意行為時(shí)，造成信息丟失或泄密20中及時(shí)進(jìn)行桌面清理/鎖屏，安全小組定期檢查3辦公室總部辦公職場(chǎng)環(huán)境設(shè)施資產(chǎn)組因“職場(chǎng)門(mén)禁在關(guān)門(mén)時(shí)有延遲”，當(dāng)發(fā)生“外來(lái)人員尾隨進(jìn)入職場(chǎng)”時(shí)，對(duì)職場(chǎng)內(nèi)人員、設(shè)備和資料造成安全風(fēng)險(xiǎn)20中通過(guò)安全意識(shí)培訓(xùn)，明確內(nèi)部人員進(jìn)入職場(chǎng)時(shí)，拒絕不認(rèn)識(shí)人員尾隨4辦公室總部辦公職場(chǎng)環(huán)境設(shè)施資產(chǎn)組因“職場(chǎng)耐火燒性很差”，當(dāng)“火災(zāi)”發(fā)生時(shí)，人員、設(shè)備、設(shè)施、資料會(huì)受到不同程度的破壞25中定期進(jìn)行消防演練5辦公室總部辦公職場(chǎng)環(huán)境設(shè)施資產(chǎn)組因“消防設(shè)置超過(guò)有效期未及時(shí)發(fā)現(xiàn)”，當(dāng)“火災(zāi)”發(fā)生時(shí)，人員、設(shè)備、設(shè)施、資料會(huì)受到不同程度的破壞25中定期進(jìn)行消防演練外購(gòu)服務(wù)資產(chǎn)組主要風(fēng)險(xiǎn)和處置措施建議:序號(hào)責(zé)任部門(mén)信息資產(chǎn)組風(fēng)險(xiǎn)風(fēng)險(xiǎn)值風(fēng)險(xiǎn)等級(jí)處置建議1辦公室外購(gòu)的重要服務(wù)（辦公室）因“對(duì)供應(yīng)商評(píng)選或監(jiān)控工作做的不足”，當(dāng)“外包商公司管理混亂/外包人員職業(yè)道德問(wèn)題”發(fā)生時(shí)，會(huì)導(dǎo)致信息丟失或泄密35中加強(qiáng)對(duì)快遞/物流供應(yīng)商的評(píng)選和監(jiān)控工作

2辦公室外購(gòu)的重要服務(wù)（辦公室）因“與宣傳產(chǎn)品印刷供應(yīng)商間在資料交接上缺乏控制（如登記簽收）”，當(dāng)“供應(yīng)商保管不善/版本管理混亂”發(fā)生時(shí)，會(huì)導(dǎo)致印刷錯(cuò)誤或延期交貨18中與印刷供應(yīng)商間傳遞資料要進(jìn)行登記3信息技術(shù)部外購(gòu)的重要服務(wù)（信息技術(shù)部）因“對(duì)涉及機(jī)密信息的服務(wù)外包未進(jìn)行風(fēng)險(xiǎn)評(píng)估”，當(dāng)“對(duì)于可能涉及公司機(jī)密信息的服務(wù)進(jìn)行外包發(fā)生時(shí)，會(huì)導(dǎo)致信息丟失或泄密26中由辦公室牽頭，對(duì)所有外包的服務(wù)進(jìn)行評(píng)估，對(duì)于涉及公司機(jī)密的服務(wù)不要外包4信息技術(shù)部外購(gòu)的重要服務(wù)（信息技術(shù)部）因“公司未自備發(fā)電機(jī)”，當(dāng)“電力設(shè)備故障或損壞，包括備用供電線路”發(fā)生時(shí)，會(huì)造成職場(chǎng)電力供應(yīng)中斷22中接受？5信息技術(shù)部外購(gòu)的重要服務(wù)（信息技術(shù)部）因“空調(diào)老化”，當(dāng)“監(jiān)控管理不到位”發(fā)生時(shí)，會(huì)造成機(jī)房或職場(chǎng)溫度驟然升高，甚至影響業(yè)務(wù)運(yùn)行22中設(shè)定設(shè)備壽命周期，對(duì)于超過(guò)壽命周期的設(shè)備及時(shí)進(jìn)行報(bào)廢；在日常運(yùn)維中明確監(jiān)控責(zé)任人和監(jiān)控頻率6信息技術(shù)部

無(wú)形資產(chǎn)組主要風(fēng)險(xiǎn)和處置措施建議:序號(hào)責(zé)任部門(mén)信息資產(chǎn)組風(fēng)險(xiǎn)風(fēng)險(xiǎn)值風(fēng)險(xiǎn)等級(jí)處置建議1管理層/辦公室無(wú)形資產(chǎn)組因“企業(yè)內(nèi)部管理制度僵化”，當(dāng)“員工缺乏對(duì)企業(yè)的歸屬感”發(fā)生時(shí)，會(huì)導(dǎo)致企業(yè)文化問(wèn)題22中逐步完善各項(xiàng)內(nèi)部管理制度，尤其是與員工利益相關(guān)的制度（考勤、福利等）2管理層/審計(jì)部無(wú)形資產(chǎn)組因“在業(yè)務(wù)運(yùn)作上違規(guī)操作”，當(dāng)“內(nèi)部人員/中介人員惡意行為，或遭到監(jiān)控部門(mén)處罰”發(fā)生時(shí)，會(huì)導(dǎo)致企業(yè)經(jīng)損失、企業(yè)形象或聲譽(yù)受損44高審計(jì)部加大業(yè)務(wù)審計(jì)深度3管理層/信息技術(shù)部無(wú)形資產(chǎn)組因“缺乏定期的安全評(píng)估與加固”，當(dāng)“網(wǎng)站被黑或重要系統(tǒng)遭到攻擊”發(fā)生時(shí)，會(huì)導(dǎo)致企業(yè)形象或聲譽(yù)受損22中定期的安全評(píng)估與加固4管理層/各業(yè)務(wù)部門(mén)無(wú)形資產(chǎn)組因“重大業(yè)務(wù)危機(jī)處理預(yù)案未進(jìn)行充分演練”，當(dāng)“危機(jī)處理能力較差”發(fā)生時(shí)，會(huì)導(dǎo)致企業(yè)形象或聲譽(yù)受損22中重大業(yè)務(wù)危機(jī)處理預(yù)案演練各部門(mén)信息資產(chǎn)風(fēng)險(xiǎn)評(píng)估結(jié)果信息技術(shù)部風(fēng)險(xiǎn)評(píng)估結(jié)果

風(fēng)險(xiǎn)評(píng)估結(jié)果統(tǒng)計(jì)主要風(fēng)險(xiǎn)列表序號(hào)資產(chǎn)組風(fēng)險(xiǎn)風(fēng)險(xiǎn)值風(fēng)險(xiǎn)等級(jí)處置建議1業(yè)務(wù)系統(tǒng)資產(chǎn)組/財(cái)務(wù)系統(tǒng)資產(chǎn)組因“HA備份主機(jī)能力不足，用于HA熱備的1個(gè)CPU無(wú)法承擔(dān)牛產(chǎn)用的15個(gè)CPU的負(fù)荷”，當(dāng)發(fā)生“服務(wù)器發(fā)生硬件故障或多個(gè)cpu故障時(shí)，導(dǎo)致“業(yè)務(wù)系統(tǒng)受影響或中斷”80高增加冗余或負(fù)載均衡主機(jī)，集中為業(yè)務(wù)系統(tǒng)、財(cái)務(wù)系統(tǒng)、再保系統(tǒng)做HA2業(yè)務(wù)系統(tǒng)資產(chǎn)組/財(cái)務(wù)系統(tǒng)資產(chǎn)組因“業(yè)務(wù)系統(tǒng)用戶訪問(wèn)權(quán)限不夠細(xì)化（尤其是報(bào)表查詢權(quán)限），權(quán)限審核制度不完善，審核周期較長(zhǎng)，實(shí)際使用的權(quán)限與角色應(yīng)具有的權(quán)限不符”，當(dāng)發(fā)生“帳戶的越權(quán)使用、混用”時(shí)，導(dǎo)致“信息泄密”75高細(xì)化業(yè)務(wù)系統(tǒng)用戶權(quán)限設(shè)置，提高系統(tǒng)權(quán)限評(píng)審的效率3業(yè)務(wù)系統(tǒng)資產(chǎn)組/財(cái)因“系統(tǒng)用戶弱口令，對(duì)帳戶制度缺乏有效執(zhí)行”，當(dāng)“業(yè)75高技術(shù)上加強(qiáng)口令密碼策略；完善

務(wù)系統(tǒng)資產(chǎn)組/車險(xiǎn)理賠系統(tǒng)資產(chǎn)組/再保系統(tǒng)資產(chǎn)組務(wù)賬戶被非法獲取和使用”時(shí)，導(dǎo)致“業(yè)務(wù)系統(tǒng)數(shù)據(jù)被非授權(quán)訪問(wèn)、泄漏和篡改”帳號(hào)、口令制度，加強(qiáng)制度的執(zhí)行；規(guī)定禁止帳號(hào)混用，或通過(guò)系統(tǒng)限制相同帳號(hào)的登錄4業(yè)務(wù)系統(tǒng)資產(chǎn)組/財(cái)務(wù)系統(tǒng)資產(chǎn)組/車險(xiǎn)理賠系統(tǒng)資產(chǎn)組因“互聯(lián)網(wǎng)訪問(wèn)業(yè)務(wù)系統(tǒng)存在單因素認(rèn)證”，當(dāng)“業(yè)務(wù)系統(tǒng)口令策略沒(méi)有有效執(zhí)行時(shí)”時(shí)，導(dǎo)致“系統(tǒng)數(shù)據(jù)被惡意人員從互聯(lián)網(wǎng)非授權(quán)訪問(wèn)、泄漏和篡改”75高加強(qiáng)業(yè)務(wù)系統(tǒng)用戶強(qiáng)口令的要求，清理系統(tǒng)中的弱口令帳號(hào)；增加其他的身份驗(yàn)證方式5開(kāi)發(fā)測(cè)試資產(chǎn)組因“測(cè)試環(huán)境與生產(chǎn)環(huán)境有一定區(qū)別，操作系統(tǒng)、應(yīng)用系統(tǒng)上線或升級(jí)時(shí)測(cè)試不夠充分，上線后還會(huì)出現(xiàn)Bug”，當(dāng)發(fā)生“生產(chǎn)系統(tǒng)軟件變更”時(shí)，導(dǎo)致“系統(tǒng)宕機(jī)或用戶體驗(yàn)變差”64高建立與生產(chǎn)環(huán)境相一致的測(cè)試環(huán)境，保證系統(tǒng)測(cè)試的準(zhǔn)確和有效6安全資產(chǎn)組因“SSLVPN存在軟件Bug；VPN服務(wù)商服務(wù)能力有缺陷”，導(dǎo)致“SSLVPN經(jīng)常需要重啟，工作不穩(wěn)定，且無(wú)法快速恢復(fù)”64高協(xié)調(diào)廠商修改bug7網(wǎng)絡(luò)管理資產(chǎn)組因“ACS數(shù)據(jù)庫(kù)備份到本地，無(wú)法做到遠(yuǎn)程人工備份或自動(dòng)備份”，當(dāng)發(fā)生“硬件、操作系統(tǒng)故障”時(shí)，導(dǎo)致“數(shù)據(jù)庫(kù)內(nèi)數(shù)據(jù)丟失，恢復(fù)困難，網(wǎng)絡(luò)設(shè)備無(wú)法遠(yuǎn)程登錄”64高將ACS數(shù)據(jù)庫(kù)數(shù)據(jù)備份到專用的存儲(chǔ)設(shè)備上8業(yè)務(wù)系統(tǒng)資產(chǎn)組/財(cái)因“生產(chǎn)系統(tǒng)、數(shù)據(jù)庫(kù)的部分開(kāi)發(fā)、測(cè)試和生產(chǎn)環(huán)境未完全60高將開(kāi)發(fā)、測(cè)試、生產(chǎn)系統(tǒng)分開(kāi)

務(wù)系統(tǒng)資產(chǎn)組/車險(xiǎn)理賠系統(tǒng)資產(chǎn)組分開(kāi)”，當(dāng)發(fā)生“誤操作”時(shí)，導(dǎo)致“生產(chǎn)系統(tǒng)受影響”9業(yè)務(wù)系統(tǒng)資產(chǎn)組/財(cái)務(wù)系統(tǒng)資產(chǎn)組/車險(xiǎn)理賠系統(tǒng)資產(chǎn)組/再保系統(tǒng)資產(chǎn)組因“操作人員可直接修改數(shù)據(jù)庫(kù)”，當(dāng)發(fā)生“誤操作”時(shí)，導(dǎo)致“修改了數(shù)據(jù)庫(kù)中不該被修改數(shù)據(jù)”60高加強(qiáng)審計(jì)和記錄，使用工具記錄操作數(shù)據(jù)庫(kù)的修改語(yǔ)句10業(yè)務(wù)系統(tǒng)資產(chǎn)組/財(cái)務(wù)系統(tǒng)資產(chǎn)組/車險(xiǎn)理賠系統(tǒng)資產(chǎn)組/再保系統(tǒng)資產(chǎn)組因“缺少業(yè)務(wù)系統(tǒng)和關(guān)鍵Windows服務(wù)器用于補(bǔ)丁測(cè)試的測(cè)試機(jī)”，當(dāng)發(fā)生“沒(méi)有嚴(yán)格測(cè)試后就更新系統(tǒng)補(bǔ)丁”時(shí)，導(dǎo)致“生產(chǎn)系統(tǒng)和重要Windows服務(wù)器服務(wù)中斷”60高建立專用的windows系統(tǒng)補(bǔ)丁測(cè)試服務(wù)器11車險(xiǎn)理賠系統(tǒng)資產(chǎn)組因“作為重要業(yè)務(wù)系統(tǒng)，車險(xiǎn)理賠系統(tǒng)與其他域成員服務(wù)器使用同樣的組策略和補(bǔ)丁更新策略”，當(dāng)”對(duì)生產(chǎn)系統(tǒng)和普通系統(tǒng)執(zhí)行同樣的策略”時(shí)，導(dǎo)致“強(qiáng)制執(zhí)行了不合適的策略或者強(qiáng)制安裝了沒(méi)有經(jīng)過(guò)測(cè)試的補(bǔ)丁，操作系統(tǒng)、應(yīng)用工作不穩(wěn)定或宕機(jī)”60高詳細(xì)規(guī)劃組策略的制定，根據(jù)不同安全級(jí)別要求的設(shè)備和系統(tǒng)組制定不同的組策略12開(kāi)發(fā)測(cè)試資產(chǎn)組因“開(kāi)發(fā)、運(yùn)維人員沒(méi)有完全分開(kāi)”，導(dǎo)致“不符合規(guī)范的60高逐步完善管理規(guī)范，并加強(qiáng)在人

管理方式”員混用過(guò)程中的行為操作審計(jì)工作13DMZ區(qū)基礎(chǔ)服務(wù)資產(chǎn)組/網(wǎng)站系統(tǒng)資產(chǎn)組因“缺少DMZ區(qū)互聯(lián)網(wǎng)服務(wù)（如DNS、業(yè)務(wù)代理服務(wù)器）的應(yīng)急響應(yīng)計(jì)劃”，當(dāng)發(fā)生“黑客攻擊”時(shí)，導(dǎo)致“服務(wù)中斷或網(wǎng)站不同程度地被控制”60高建立網(wǎng)站和互聯(lián)網(wǎng)服務(wù)的應(yīng)急響應(yīng)計(jì)劃14DMZ區(qū)基礎(chǔ)服務(wù)資產(chǎn)組因“業(yè)務(wù)代理服務(wù)器無(wú)HA”，當(dāng)發(fā)生“硬件、軟件故障”時(shí)，導(dǎo)致“通過(guò)代理服務(wù)器的互聯(lián)網(wǎng)業(yè)務(wù)受影響”60高增加HA服務(wù)器15總部、分公司、CC、分公司域控資產(chǎn)組（含資產(chǎn)組15、18、26）因“域內(nèi)服務(wù)器缺乏有效的管理和監(jiān)控工具”，導(dǎo)致“管理員負(fù)擔(dān)過(guò)重，無(wú)法有效識(shí)別、解決域服務(wù)器的問(wèn)題”60高采用自動(dòng)化監(jiān)控工具，針對(duì)服務(wù)器性能、網(wǎng)絡(luò)狀態(tài)進(jìn)行監(jiān)控16總部、分公司、CC、分公司域控資產(chǎn)組（含資產(chǎn)組15、18、28）因“缺乏有效的軟件分發(fā)工具”，導(dǎo)致“管理員負(fù)擔(dān)過(guò)重，無(wú)法有效管理終端電腦的軟件分發(fā)”60高使用終端管理軟件，加強(qiáng)在軟件分發(fā)和終端管理方面的能力17總部、分公司、CC、分公司域控資產(chǎn)組（含資產(chǎn)因“補(bǔ)丁服務(wù)缺乏的有效管理”，導(dǎo)致“域內(nèi)服務(wù)器和終端補(bǔ)丁更新沒(méi)有有效測(cè)試或更新不及時(shí)”60高建立完善的補(bǔ)丁更新策略；升級(jí)WSUS或采購(gòu)相應(yīng)的補(bǔ)丁管理軟件

組15、18、29)18總部、分公司、CC、分公司域控資產(chǎn)組（含資產(chǎn)組15、18、30）因“缺乏專職的Windows管理員，當(dāng)前的管理員對(duì)有效的組策略管理、補(bǔ)丁管理、服務(wù)器和終端監(jiān)控、備份等缺乏足夠的專業(yè)技能；對(duì)外包服務(wù)商管控不足”，導(dǎo)致“無(wú)法分別制定有效管理”60高增設(shè)專門(mén)的windows系統(tǒng)管理員或加強(qiáng)現(xiàn)有管理員專業(yè)技能的培訓(xùn)19深圳呼叫中心網(wǎng)絡(luò)設(shè)備資產(chǎn)組深圳呼叫中心到上海雖然有備份線路，由于應(yīng)用的原因，運(yùn)營(yíng)商鏈路中斷仍舊會(huì)影響業(yè)務(wù)60高調(diào)整線路通信的模式，利用雙線路實(shí)現(xiàn)鏈路負(fù)載均衡和冗余備份20OA資產(chǎn)組因“目前文件服務(wù)器容量不足，且文件服務(wù)器存在病毒”，導(dǎo)致“不能穩(wěn)定地提供文件服務(wù)”60高增加文件服務(wù)器容量，并進(jìn)行全面的病毒清理工作21OA資產(chǎn)組因“OA系統(tǒng)無(wú)法對(duì)用戶口令的復(fù)雜度和更改周期等賬戶策略進(jìn)行控制”，當(dāng)發(fā)生“帳號(hào)被他人使用，非授權(quán)訪問(wèn)OA資源”時(shí)，導(dǎo)致“在全公司范圍內(nèi)信息泄露給未授權(quán)的人員”60高部署SS0,使用域帳戶信息驗(yàn)證方式登錄0A系統(tǒng)22開(kāi)發(fā)測(cè)試資產(chǎn)組因“源代碼缺少有效的安全管理，VSS和開(kāi)發(fā)人員電腦中都存放有源代碼，VSS中存放的可能不是最新版本”，導(dǎo)致“源代碼版本混亂，源代碼泄漏和丟失”48高建立規(guī)范的源代碼制度并且有效地執(zhí)行23開(kāi)發(fā)測(cè)試資產(chǎn)組因“開(kāi)發(fā)、測(cè)試、上線流程不完善，實(shí)際操作不按照流程執(zhí)48高制9定完善的開(kāi)發(fā)、測(cè)試、上線

行”，導(dǎo)致“不符合規(guī)范的管理方式”流程，嚴(yán)格執(zhí)行24網(wǎng)站系統(tǒng)資產(chǎn)組因“缺少周期性針對(duì)網(wǎng)站的系統(tǒng)級(jí)和應(yīng)用級(jí)評(píng)估和加固”，當(dāng)發(fā)生“黑客攻擊”時(shí)，導(dǎo)致“服務(wù)中斷或網(wǎng)站不同程度地被控制”48高增加周期性針對(duì)網(wǎng)站和互聯(lián)網(wǎng)服務(wù)的系統(tǒng)級(jí)和應(yīng)用級(jí)評(píng)估和加固25網(wǎng)站系統(tǒng)資產(chǎn)組因“網(wǎng)站服務(wù)器性能不足，缺少備機(jī)”，當(dāng)發(fā)生“硬件、軟件故障”時(shí)，導(dǎo)致“服務(wù)中斷，涉及影響較大”48高升級(jí)現(xiàn)有網(wǎng)站設(shè)備性能，同時(shí)配備冗余備份服務(wù)器提咼網(wǎng)站的可用性26協(xié)作服務(wù)資產(chǎn)組因“RTX系統(tǒng)沒(méi)有備份的機(jī)制”，當(dāng)發(fā)生“硬件、軟件故障”時(shí)，導(dǎo)致“用戶數(shù)據(jù)無(wú)法恢復(fù)”48高建立RTX系統(tǒng)的備份機(jī)制，將系統(tǒng)數(shù)據(jù)備份到專用存儲(chǔ)設(shè)備上27總公司辦公資產(chǎn)組/全公司終端組因“缺之對(duì)終端有效的管理機(jī)制包括移動(dòng)存儲(chǔ)介質(zhì)的使用、補(bǔ)丁升級(jí)、防病毒、非公司軟件、私連互聯(lián)網(wǎng)、未加入域等”，導(dǎo)致“對(duì)終端管理復(fù)雜度高，效率低”48高通過(guò)使用終端管理軟件控制辦公終端的移動(dòng)介質(zhì)接入；同時(shí)制定公司規(guī)定進(jìn)行要求28車險(xiǎn)理賠系統(tǒng)資產(chǎn)組因“缺之針對(duì)使用Raid方式的服務(wù)器系統(tǒng)備份的有效工具”，當(dāng)發(fā)生“軟件或者硬件故障”時(shí)，導(dǎo)致“系統(tǒng)服務(wù)中斷，操作系統(tǒng)配置數(shù)據(jù)丟失，系統(tǒng)恢復(fù)周期較長(zhǎng)”45高購(gòu)買(mǎi)備份軟件，建立測(cè)試流程或制度，增加用于測(cè)試的備機(jī)29車險(xiǎn)理賠系統(tǒng)資產(chǎn)組/再保系因“系統(tǒng)缺少版本同步控制和流程”，當(dāng)“更新版本時(shí)，修改過(guò)的生產(chǎn)系統(tǒng)代碼被覆蓋”，45高建立元善的代碼變更流程，確保修改的代碼能夠

統(tǒng)資產(chǎn)組導(dǎo)致“生產(chǎn)系統(tǒng)部分功能被破壞”及時(shí)同步30業(yè)務(wù)系統(tǒng)資產(chǎn)組/財(cái)務(wù)系統(tǒng)資產(chǎn)組/車險(xiǎn)理賠系統(tǒng)資產(chǎn)組/再保系統(tǒng)資產(chǎn)組因“缺少生產(chǎn)主機(jī)服役淘汰機(jī)制，目前生產(chǎn)主機(jī)一直用到不能再用為止”，當(dāng)發(fā)生“硬件故障”時(shí)，導(dǎo)致“業(yè)務(wù)中斷，硬件維修較困難”45高制定牛產(chǎn)主機(jī)和核心網(wǎng)絡(luò)設(shè)備的淘汰機(jī)制31OA資產(chǎn)組因“0A系統(tǒng)沒(méi)有針數(shù)據(jù)庫(kù)或應(yīng)用服務(wù)器的雙機(jī)熱備”，當(dāng)發(fā)生“硬件、軟件故障，系統(tǒng)性能問(wèn)題”時(shí)，導(dǎo)致“系統(tǒng)中斷或用戶使用0A應(yīng)用不暢”45高增加備份冗余設(shè)備32OA資產(chǎn)組因“分公司對(duì)0A系統(tǒng)中的帳號(hào)和權(quán)限缺乏定期審核、清理機(jī)制”，當(dāng)發(fā)生“帳號(hào)被他人使用，非授權(quán)訪問(wèn)0A資源”時(shí)，導(dǎo)致“在全公司范圍內(nèi)信息泄露給未授權(quán)的人員”45高建立系統(tǒng)帳號(hào)的定期檢查的機(jī)制，嚴(yán)格要求分公司的執(zhí)行情況33OA資產(chǎn)組因“使用0A系統(tǒng)點(diǎn)到點(diǎn)傳遞文件”，當(dāng)發(fā)生“使用量增大”時(shí)，導(dǎo)致“系統(tǒng)資源浪費(fèi)，增加系統(tǒng)負(fù)荷”45高建議根據(jù)當(dāng)前情況限制文件的傳輸或限制文件大小和文件數(shù)量或接受風(fēng)險(xiǎn)34總部、分公司、CC、分公司域控資產(chǎn)組（含資產(chǎn)因“域控制器缺少系統(tǒng)備份，部分域控在本地硬盤(pán)備份，沒(méi)有完善的備份制度”，當(dāng)發(fā)生“硬件、軟件故障，黑客攻擊，病毒和蠕蟲(chóng)時(shí)，導(dǎo)致主機(jī)45高建立域服務(wù)器安全管理備份制度

組15、18、21)不同程度的被控制，提供的服務(wù)中斷”35總部、分公司、CC、分公司域控資產(chǎn)組（含資產(chǎn)組15、18、22）因“域控制器擔(dān)任角色過(guò)多，同時(shí)擔(dān)當(dāng)補(bǔ)丁服務(wù)器和文件服務(wù)器角色”，當(dāng)發(fā)生“病毒、負(fù)載過(guò)重”時(shí)，導(dǎo)致“域控制器提供的關(guān)鍵服務(wù)中斷，如DNS和用戶登錄”45高將文件服務(wù)和補(bǔ)丁服務(wù)分離出來(lái)，使用單獨(dú)的服務(wù)器處理36總部、分公司、CC、分公司域控資產(chǎn)組（含資產(chǎn)組15、18、24）因“賬戶缺乏的有效管理，部分離職員工沒(méi)有及時(shí)刪除或禁用”，當(dāng)發(fā)生“黑客攻擊，越權(quán)和濫用離職員工原來(lái)帳號(hào)”時(shí)，導(dǎo)致“服務(wù)器不同程度被控制，信息泄密等”45高加強(qiáng)離職員工帳號(hào)審查和刪除的流程，并加強(qiáng)執(zhí)行和檢杳37總部、分公司、CC、分公司域控資產(chǎn)組（含資產(chǎn)組15、18、25）因“域控制器間信息同步的故障不能及時(shí)發(fā)現(xiàn)”，當(dāng)發(fā)生“分公司域控制器同步故障”時(shí)，導(dǎo)致“域內(nèi)用戶信息不準(zhǔn)確，用戶無(wú)法登陸”45高加強(qiáng)人工巡檢或采用工具檢查；協(xié)調(diào)服務(wù)商解決同步問(wèn)題38總部、分公司、CC、分公司域控資產(chǎn)組（含資產(chǎn)組15、18、27）因域內(nèi)客戶端缺乏有效的管理和監(jiān)控工具”，導(dǎo)致“管理員負(fù)擔(dān)過(guò)重，無(wú)法有效識(shí)別、解決域中客戶端的問(wèn)題”45高使用終端管理軟件，加強(qiáng)在軟件分發(fā)和終端管理方面的能力39總部、分公因“CC接口服務(wù)器10.0.16.245高基于業(yè)務(wù)需要米

司、CC、分公司域控資產(chǎn)組（含資產(chǎn)組15、18、34）使用空口令接入車險(xiǎn)理賠系統(tǒng)”，當(dāng)“使用接口服務(wù)器做跳板攻擊車險(xiǎn)理賠系統(tǒng)”時(shí)，導(dǎo)致“服務(wù)器不同程度被控制，信息泄密等”取控制40總部、分公司、CC、分公司域控資產(chǎn)組（含資產(chǎn)組15、18、32）因“目前SymanteclO.1版本防病毒有效性差，尤其在互聯(lián)網(wǎng)訪問(wèn)安全和移動(dòng)介質(zhì)安全方面；部分終端電腦性能差，無(wú)法安裝最新版本防病毒軟件；防病毒服務(wù)器的日志和報(bào)表缺之有效地監(jiān)控”，當(dāng)發(fā)生“病毒和蠕蟲(chóng)”時(shí)，導(dǎo)致“不能有效識(shí)別、防護(hù)和清除”45高協(xié)調(diào)廠商優(yōu)化軟件的資源占用或升級(jí)公司辦公終端的性能41中心機(jī)房網(wǎng)絡(luò)設(shè)備資產(chǎn)組因中心機(jī)房用于連接主機(jī)、服務(wù)器的接入交換機(jī)（列頭柜交換機(jī)）沒(méi)有冷備交換機(jī)以防備突發(fā)故障”，當(dāng)發(fā)生“硬件故障”時(shí)，導(dǎo)致“該交換機(jī)連接的系統(tǒng)服務(wù)中斷”45高增加備份網(wǎng)絡(luò)設(shè)備42車險(xiǎn)理賠系統(tǒng)資產(chǎn)組因“作為重要業(yè)務(wù)系統(tǒng)，車險(xiǎn)理賠系統(tǒng)缺少必要的熱備或冷備機(jī)”，當(dāng)發(fā)生“硬件或軟件故障”時(shí)，導(dǎo)致“系統(tǒng)服務(wù)中斷”40高增加冗余備份設(shè)備43車險(xiǎn)理賠系統(tǒng)資產(chǎn)組因“作為重要業(yè)務(wù)系統(tǒng)，缺少針對(duì)車險(xiǎn)理賠系統(tǒng)的專項(xiàng)加固和例行安全檢查”，當(dāng)發(fā)生“黑客攻擊、病毒、蠕蟲(chóng)時(shí)，導(dǎo)致系統(tǒng)服務(wù)中斷或者不同程度40高制定安全檢查的標(biāo)準(zhǔn)，對(duì)系統(tǒng)進(jìn)行定期的安全檢查

被非法控制44業(yè)務(wù)系統(tǒng)資產(chǎn)組/財(cái)務(wù)系統(tǒng)資產(chǎn)組/再保系統(tǒng)資產(chǎn)組因“再保系統(tǒng)缺少備份主機(jī)”，當(dāng)發(fā)生“硬件故障”時(shí)，導(dǎo)致“業(yè)務(wù)中斷”40高額外增加主機(jī)，集中為業(yè)務(wù)系統(tǒng)、財(cái)務(wù)系統(tǒng)、再保系統(tǒng)做HA45資金管理資產(chǎn)組因“管理責(zé)任分配、定義不明確，對(duì)口單位不同出問(wèn)題不好解決溝通；責(zé)任不明確，培訓(xùn)無(wú)法實(shí)施”，當(dāng)發(fā)生“硬件、軟件故障，系統(tǒng)性能問(wèn)題”時(shí)，導(dǎo)致“無(wú)法及時(shí)解決問(wèn)題，影響業(yè)務(wù)運(yùn)行”40高建議集團(tuán)明確資金管理系統(tǒng)的人員和職責(zé)，制定事件處理方法或流程46DMZ區(qū)基礎(chǔ)服務(wù)資產(chǎn)組因“缺少DMZ區(qū)互聯(lián)網(wǎng)服務(wù)（如DNS、業(yè)務(wù)代理服務(wù)器）的補(bǔ)丁管理流程和（系統(tǒng)、數(shù)據(jù)）備份流程”，當(dāng)發(fā)生“黑客攻擊”時(shí)，導(dǎo)致“服務(wù)中斷或網(wǎng)站不同程度地被控制”40高建立網(wǎng)站和互聯(lián)網(wǎng)服務(wù)的補(bǔ)丁管理流程和（系統(tǒng)、數(shù)據(jù)）備份流程47DMZ區(qū)基礎(chǔ)服務(wù)資產(chǎn)組因“互聯(lián)網(wǎng)業(yè)務(wù)與員工上網(wǎng)使用相同的互聯(lián)網(wǎng)出口”，當(dāng)發(fā)生員工上網(wǎng)感染病毒和蠕蟲(chóng)時(shí)，導(dǎo)致“互聯(lián)網(wǎng)業(yè)務(wù)受影響，如代理點(diǎn)無(wú)法通過(guò)互聯(lián)網(wǎng)報(bào)單”40高員工上網(wǎng)和互聯(lián)網(wǎng)業(yè)務(wù)使用不同的網(wǎng)絡(luò)出口，避免辦公流量影響網(wǎng)站業(yè)務(wù)流里48總部、分公司、CC、分公司域控資產(chǎn)組（含資產(chǎn)因“組策略缺之有效管理。目前依舊延續(xù)以前的組策略，組策略的設(shè)置缺少根據(jù)現(xiàn)狀的定期規(guī)劃和評(píng)審，對(duì)生產(chǎn)系統(tǒng)沒(méi)有采取單獨(dú)的策略”，導(dǎo)致“無(wú)40高重新優(yōu)化組策略，根據(jù)業(yè)務(wù)和系統(tǒng)的現(xiàn)狀制定策略

組15、18、23)法通過(guò)組策略對(duì)域內(nèi)的服務(wù)器和