ITIL资产评估准则及常见威胁

author	version	line-number	content
1	[[返回本章节索引>>https://www.itil4hub.cn/bin/view/G%20%E5%8F%82%E8%80%83%E8%B5%84%E6%96%99/ITIL%E5%AE%9E%E6%96%BD%E9%A1%B9%E7%9B%AE%E8%B5%84%E6%96%99/ITIL%E5%AE%9E%E6%96%BD%E9%A1%B9%E7%9B%AE%E6%B5%81%E7%A8%8B%E8%AE%BE%E8%AE%A1%E6%96%B9%E6%A1%88%E9%9B%86/%E8%B5%84%E4%BA%A7%E7%AE%A1%E7%90%86/]] [[ 阅读下一讲>>https://www.itil4hub.cn/bin/view/G%20%E5%8F%82%E8%80%83%E8%B5%84%E6%96%99/ITIL%E5%AE%9E%E6%96%BD%E9%A1%B9%E7%9B%AE%E8%B5%84%E6%96%99/ITIL%E5%AE%9E%E6%96%BD%E9%A1%B9%E7%9B%AE%E6%B5%81%E7%A8%8B%E8%AE%BE%E8%AE%A1%E6%96%B9%E6%A1%88%E9%9B%86/%E8%B5%84%E4%BA%A7%E7%AE%A1%E7%90%86/%E8%AE%A1%E7%AE%97%E6%9C%BA%E8%B5%84%E4%BA%A7%E7%AE%A1%E7%90%86%E5%8F%8A%E7%94%9F%E5%91%BD%E5%91%A8%E6%9C%9F/]]
2
3
4
5	=== 风险评估准则 ===
6
7
8	\|(% colspan="12" %)风险评估准则
9	\|(% colspan="12" %) 资产价值计算方法：资产价值 = 保密性赋值＋完整性赋值＋可用性赋值
10	风险值计算方法：风险值 = 资产等级＋威胁性赋值＋脆弱性赋值
11	资产等级、风险等级评定方法：见下
12	\| \| \| \| \| \| \| \| \| \| \| \|
13	\|要素\|准则\|(% colspan="2" %)数据资产\|(% colspan="2" %)实体资产\|(% colspan="2" %)自有软件/外购软件/服务/形象\|(% colspan="2" %)文件资产\|(% colspan="2" %)人员资产
14	\|(% rowspan="6" %)保密性\|(% rowspan="6" %)按信息的访问权限等级或信息的存储、传输及处理设施/人员涉及信息的访问权限等级来评估资产保密性的要求等级\|访问权限\|赋值\|存储、传输及处理信息的访问权限\|赋值\|存储、传输及处理信息的访问权限\|赋值\|存储、传输及处理信息的访问权限\|赋值\|岗位接触信息的访问权限\|赋值
15	\|对公司及外部都是公开的\|1\|对公司及外部都是公开的\|1\|对公司及外部都是公开的\|1\|对公司及外部都是公开的\|1\|对公司及外部都是公开的\|1
16	\|对公司内部所有员工是公开的\|3\|对公司内部所有员工是公开的\|3\|对公司内部所有员工是公开的\|3\|对公司内部所有员工是公开的\|3\|对公司内部所有员工是公开的\|3
17	\|只限于公司某个部门或职能可以访问的信息\|5\|只限于公司某个部门或职能可以访问的信息\|5\|只限于公司某个部门或职能可以访问的信息\|5\|只限于公司某个部门或职能可以访问的信息\|5\|只限于公司某个部门或职能可以访问的信息\|5
18	\|只限于公司中层管理人员以上或部门少数关键人员可以访问的信息\|7\|只限于公司中层管理人员以上或部门少数关键人员可以访问的信息\|7\|只限于公司中层管理人员以上或部门少数关键人员可以访问的信息\|7\|只限于公司中层管理人员以上或部门少数关键人员可以访问的信息\|7\|只限于公司中层管理人员以上可以访问的信息\|7
19	\|只限于公司高层管理人员或公司少数关键人员可以访问的信息\|9\|只限于公司高层管理人员或公司少数关键人员可以访问的信息\|9\|只限于公司高层管理人员或公司少数关键人员可以访问的信息\|9\|只限于公司高层管理人员或公司少数关键人员可以访问的信息\|9\|只限于公司高层管理人员或少数关键人员可以访问的信息\|9
20	\| \| \| \| \| \| \| \| \| \| \| \|
21	\|要素\|准则\|(% colspan="2" %)数据资产\|(% colspan="2" %)实体资产\|(% colspan="2" %)自有软件/外购软件/服务/形象\|(% colspan="2" %)文件资产\|(% colspan="2" %)人员资产
22	\|(% rowspan="6" %)完整性\|(% rowspan="6" %)按资产的准确性或完整性受损，而造成组织的业务持续或形象声誉受影响的严重程度来评估\|影响程度\|赋值\|影响程度\|赋值\|影响程度\|赋值\|文件类别\|赋值\|岗位范围\|赋值
23	\|可以忽略\|1\|可以忽略\|1\|可以忽略\|1\|可以忽略\|1\|实习员工\外聘临时工\|1
24	\|轻微\|3\|轻微\|3\|轻微\|3\|轻微\|3\|一般员工\|3
25	\|一般\|5\|一般\|5\|一般\|5\|一般\|5\|技术、管理、财务等方面的骨干人员\|5
26	\|严重\|7\|严重\|7\|严重\|7\|严重\|7\|中层管理人员\|7
27	\|非常严重\|9\|非常严重\|9\|非常严重\|9\|非常严重\|9\|高层管理人员\|9
28	\| \| \| \| \| \| \| \| \| \| \| \|
29	\|要素\|准则\|(% colspan="2" %)数据资产\|实体/服务资产\| \|(% colspan="2" %)文件/软件资产\|(% colspan="2" %)形象资产\|(% colspan="2" %)人员资产
30	\|(% rowspan="6" %)可用性\|(% rowspan="6" %)按资产使用或允许中断的时间次数来评估\|数据存储、传输及处理设施在一个工作日内允许中断的次数或时间比例\|赋值\|每次中断允许时间\|赋值\|使用频次要求\|赋值\|使用频次\|赋值\|允许离岗时间\|赋值
31	\|16次以上或全部工作时间中断\|1\|3天以上\|1\|每年都要使用至少1次\|1\|每年都要使用至少1次\|1\|10个工作日及以上\|1
32	\|9-15次或1/2工作时间中断\|3\|1－3天\|3\|每个季度都要使用至少1次\|3\|每个季度都要使用至少1次\|3\|6-9工作日\|3
33	\|3-8次或1/4工作时间中断\|5\|12小时－1天\|5\|每个月都要使用至少1次\|5\|每个月都要使用至少1次\|5\|3-5个工作日\|5
34	\|1-2次或1/8工作时间中断\|7\|3小时－12小时\|7\|每周都要使用至少1次\|7\|每周都要使用至少1次\|7\|2个工作日\|7
35	\|不允许\|9\|0－3小时\|9\|每天都要使用至少1次\|9\|每天都要使用至少1次\|9\|1个工作日\|9
36
37	\|要素\|(% colspan="2" %)标识\|相对价值范围\|等级\|资产重要程度
38	\|(% rowspan="4" %)资产等级\|(% colspan="2" %)很高\|23,25,27\|4\|重要资产
39	\|(% colspan="2" %)高\|17,19,21\|3\|一般资产
40	\|(% colspan="2" %)一般\|11,13,15\|2\|一般资产
41	\|(% colspan="2" %)低\|3,5,7,9\|1\|一般资产
42
43	\|要素\|(% colspan="2" %)标识\|发生的频率\|等级
44	\|(% rowspan="5" %)威胁利用弱点导致危害的可能性\|(% colspan="2" %)很高\|出现的频率很高（或≥1 次/周）；或在大多数情况下几乎不可避免；或可以证实经常发生过\|5
45	\|(% colspan="2" %)高\|出现的频率较高（或≥ 1 次/月）；或在大多数情况下很有可能会发生；或可以证实多次发生过\|4
46	\|(% colspan="2" %)一般\|出现的频率中等（或> 1 次/半年）；或在某种情况下可能会发生；或被证实曾经发生过\|3
47	\|(% colspan="2" %)低\|出现的频率较小；或一般不太可能发生；或没有被证实发生过\|2
48	\|(% colspan="2" %)很低\|威胁几乎不可能发生；仅可能在非常罕见和例外的情况下发生\|1
49
50	\|要素\|(% colspan="2" %)标识\|严重程度\|等级
51	\|(% rowspan="5" %)脆弱性被威胁利用后的严重性\|(% colspan="2" %)很高\|如果被威胁利用，将对公司重要资产造成重大损害\|5
52	\|(% colspan="2" %)高\|如果被威胁利用，将对重要资产造成一般损害\|4
53	\|(% colspan="2" %)一般\|如果被威胁利用，将对一般资产造成重要损害 \|3
54	\|(% colspan="2" %)低\|如果被威胁利用，将对一般资产造成一般损害\|2
55	\|(% colspan="2" %)很低\|如果被威胁利用，将对资产造成的损害可以忽略\|1
56
57	\|要素\|(% colspan="2" %)标识\|风险值范围\|级别\|可接受准则
58	\|(% rowspan="4" %)风险级别\|(% colspan="2" %)高风险\|12～14\|4\|风险不可接受，必须立即采取控制措施降低风险
59	\|(% colspan="2" %)较高风险\|9～11\|3\|风险可以接受，但需要采取进一步措施降低风险或在威胁发生时采取处理措施
60	\|(% colspan="2" %)一般风险\|6~~8\|2\|(% rowspan="2" %)风险可以接受，可以保持目前的控制措施
61	\|(% colspan="2" %)低风险\|3～5\|1
62
63	=== ===
64
65	=== 常见威胁 ===
66
67	\|(% colspan="8" %)常见威胁
68	\|ID\|威胁\|威胁方\|影响资产\|利用弱点\|可能性\|影响\|风险
69	\|R01\|篡改\|恶意人员\|业务数据\|系统缺陷，网络缺陷\|低\|高\|低
70	\|R02\|传输信息泄漏\|恶意人员\|业务数据\|网络线路\|中\|高\|中
71	\|R03\|配置错误\|维护人员\|应用系统，业务数据\|运行管理流程缺陷\|中\|中\|低
72	\|R04\|冒名访问\|恶意人员\|业务数据\|运行管理流程缺陷、帐户口令泄漏\|低\|高\|高
73	\|R05\|病毒感染\|维护人员、用户\|业务数据，应用系统\|系统缺陷、运行管理缺陷\|低\|高\|低
74	\|R06\|业务信息泄漏\|用户\|业务数据\|运行管理流程缺陷\|低\|高\|低
75	\|R07\|攻击\|恶意人员\|应用系统，业务数据\|系统缺陷，网络缺陷\|中\|高\|高
76	\|R08\|操作抵赖\|维护人员，用户\|应用系统，业务数据\|操作记录\|低\|中\|低
77	\|R09\|越权访问\|用户\|应用系统，业务数据\|系统配置缺陷\|中\|低\|低
78	\|R10\|设备物理破坏\|恶意人员\|应用系统，业务数据\|设备物理安全漏洞\|低\|高\|低
79
80	=== 威胁分类表 ===
81
82	\|种类\|描述\|威胁子类
83	\|软硬件故障\|对业务实施或系统运行产生影响的设备硬件故障、通讯链路中断、系统本身或软件缺陷等问题\|设备硬件故障、传输设备故障、存储媒体故障、系统软件故障、应用软件故障、数据库软件故障、开发环境故障等
84	\|物理环境影响\|对信息系统正常运行造成影响的物理环境问题和自然灾害\|断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震等
85	\|无作为或操作失误\|应该执行而没有执行相应的操作，或无意执行了错误的操作\|维护错误、操作失误等
86	\|管理不到位\|安全管理无法落实或不到位，从而破坏信息系统正常有序运行\|管理制度和策略不完善、管理规程缺失、职责不明确、监督控管机制不健全等
87	\|恶意代码\|故意在计算机系统上执行恶意任务的程序代码\|病毒、特洛伊木马、蠕虫、陷门、间谍软件、窃听软件等
88	\|越权或滥用\|通过采用一些措施，超越自己的权限访问了本来无权访问的资源，或者滥用自己的权限，做出破坏信息系统的行为\|非授权访问网络资源、非授权访问系统资源、滥用权限非正常修改系统配置或数据、滥用权限泄露秘密信息等
89	\|网络攻击\|利用工具和技术通过网络对信息系统进行攻击和入侵\|网络探测和信息采集、漏洞探测、嗅探（帐号、口令、权限等）、用户身份伪造和欺骗、用户或业务数据的窃取和破坏、系统运行的控制和破坏等
90	\|物理攻击\|通过物理的接触造成对软件、硬件、数据的破坏\|物理接触、物理破坏、盗窃等
91	\|泄密\|信息泄露给不应了解的他人\|内部信息泄露、外部信息泄露等
92	\|篡改\|非法修改信息，破坏信息的完整性使系统的安全性降低或信息不可用\|篡改网络配置信息、篡改系统配置信息、篡改安全配置信息、篡改用户身份信息或业务数据信息等
93	\|抵赖\|不承认收到的信息和所作的操作和交易\|原发抵赖、接收抵赖、第三方抵赖等
94
95	=== 常见脆弱性 ===
96
97	\|序号\|类别\|薄弱点\|威胁
98	\|1. \|环境和基础设施\|建筑物/门以及窗户缺少物理保护\|例如,可能会被偷窃这一威胁所利用
99	\|l \| \|对建筑物\房间物理进入控制不充分,或松懈\|可能会被故意损害这一威胁所利用
100	\|l \| \|电网不稳定\|可能会被功率波动这一威胁所利用
101	\|l \| \|所处位置容易受到洪水袭击\|可能会被洪水这一威胁所利用
102	\|2. \|硬件\|缺少定期替换计划\|可能会被存储媒体退化这一威胁所利用
103	\|l \| \|容易受到电压不稳定的侵扰\|可能会被功率波动这一威胁所利用
104	\|l \| \|容易受到温度变化的侵扰\|可能会温度的极端变化这一威胁所利用
105	\|l \| \|容易受到湿度、灰尘和污染的侵扰\|可能会被灰尘这一威胁所利用
106	\|l \| \|对电磁辐射的敏感性\|可能会被电磁辐射这一威胁所利用
107	\|l \| \|不充分的维护/存储媒体的错误安装\|可能会被维护失误这一威胁所利用
108	\|l \| \|缺少有效的配置变化控制\|可能会被操作职员失误这一威胁所利用
109	\|3. \|软件\|开发人员的说明不清楚或不完整\|可能会被软件故障这一威胁所利用
110	\|l \| \|没有软件测试或软件测试不充分\|可能会被未经授权许可的用户使用软件这一威胁所利用
111	\|l \| \|复杂的用户界面\|可能会被操作职员失误这一威胁所利用
112	\|l \| \|缺少识别和鉴定机制，如：用户鉴定\|可能会被冒充用户身份这一威胁所利用
113	\|l \| \|缺少审核跟踪\|可能会被以未经授权许可的方式使用软件这一威胁所利用
114	\|l \| \|软件中存在众所周知的缺陷\|可能会被软件未经许可的用户使用软件这一威胁所利用
115	\|l \| \|口令表没有受到保护\|可能会被冒充用户身份这一威胁所利用
116	\|l \| \|口令管理较差（很容易被猜测，公开地存储口令，不经常更改）\|可能会被冒充用户身份这一威胁所利用
117	\|l \| \|访问权的错误分派\|可能会被以未经许可的方式使用软件这一威胁所利用
118	\|l \| \|对下载和使用软件不进行控制\|可能会被恶意软件这一威胁所利用
119	\|l \| \|离开工作站没有注销用户\|可能会被未经许可的用户使用软件这一威胁所利用
120	\|l \| \|缺少有效的变化控制\|可能会被软件故障这一威胁所利用
121	\|l \| \|缺少文件编制\|可能会被操作职员的失误这一威胁所利用
122	\|l \| \|缺少备份\|可能会被恶意软件或火灾这一威胁所利用
123	\|l \| \|没有适当的擦除而对存储媒体进行处理或重新使用\|可能会被未经许可的用户使用软件这一威胁所利用
124	\|4. \|通讯\|通讯线路没有保护\|可能会被偷听这一威胁所利用
125	\|l \| \|电缆连接差\|可能会被通讯渗透这一威胁所利用
126	\|l \| \|对发件人和收件人缺少识别和鉴定\|可能会被冒充用户身份这一威胁所利用
127	\|l \| \|公开传送口令\|可能会被未经许可的用户接入网络这一威胁所利用
128	\|l \| \|收发信息缺少验证\|可能会被否认这一威胁所利用
129	\|l \| \|拨号线路\|可能会被未经许可的用户接入网络这一威胁所利用
130	\|l \| \|对敏感性通信不进行保护\|可能会被偷听这一威胁所利用
131	\|l \| \|网络管理不充分（路由的弹性）\|可能会被通信量超载这一威胁所利用
132	\|l \| \|公共网络连接没有保护\|可能会被未经许可的用户使用软件这一威胁所利用
133	\|5. \|文件\|存储没有保护\|可能会被偷窃这一威胁所利用
134	\|l \| \|进行处理时缺少关注\|可能会被偷窃这一威胁所利用
135	\|l \| \|对拷贝没有进行控制\|可能会被偷窃这一威胁所利用
136	\|6. \|人员\|人员缺席\|可能会被缺少员工这一威胁所利用
137	\|l \| \|对外部人员和清理人员的工作不进行监督\|可能会被偷窃这一威胁所利用
138	\|l \| \|不充分的安全培训\|可能会被操作职员的失误这一威胁所利用
139	\|l \| \|缺少安全意识\|可能会被用户错误这一威胁所利用
140	\|l \| \|对软件和硬件不正确的使用\|可能会被操作职员的失误这一威胁所利用
141	\|l \| \|缺少监控机制\|可能会被以未经许可的方式使用软件这一威胁所利用
142	\|l \| \|在正确使用通讯媒体和信息方面缺乏政策\|可能会被以未经许可的方式使用网络设施这一威胁所利用
143	\|l \| \|增员程序不充分\|可能会被故意损害这一威胁所利用
144	\|7. \|一般都适用的薄弱环节\|某一点上的故障\|可能会被通讯服务故障这一威胁所利用
145	\|l \| \|服务维护反应不足\|可能会被硬件故障这一威胁所利用
146
147
148	=== 脆弱性识别内容表 ===
149
150
151	\|类型\|识别对象\|识别内容
152	\|(% rowspan="15" %)技术脆弱性\|(% rowspan="3" %)物理环境\|(% rowspan="3" %) 从机房场地、机房防火、机房供配电、机房防静电、机房接地与防雷、电磁防护、通信线路的保护、机房区域防护、机房设备管理等方面进行识别
153	\|
154	\|
155	\|(% rowspan="3" %)网络结构\|(% rowspan="3" %) 从网络结构设计、边界保护、外部访问控制策略、内部访问控制策略、网络设备安全配置等方面进行识别
156	\|
157	\|
158	\|(% rowspan="3" %)系统软件\|(% rowspan="3" %) 从补丁安装、物理保护、用户帐号、口令策略、资源共享、事件审计、访问控制、新系统配置、注册表加固、网络安全、系统管理等方面进行识别
159	\|
160	\|
161	\|(% rowspan="3" %)应用中间件\|(% rowspan="3" %) 从协议安全、交易完整性、数据完整性等方面进行识别
162	\|
163	\|
164	\|(% rowspan="3" %)应用系统\|(% rowspan="3" %) 从审计机制、审计存储、访问控制策略、数据完整性、通信、鉴别机制、密码保护等方面进行识别
165	\|
166	\|
167	\|(% rowspan="6" %)管理脆弱性\|(% rowspan="3" %)技术管理\|(% rowspan="3" %) 从物理和环境安全、通信与操作管理、访问控制、系统开发与维护、业务连续性等方面进行识别
168	\|
169	\|
170	\|(% rowspan="3" %)组织管理\|(% rowspan="3" %) 从安全策略、组织安全、资产分类与控制、人员安全、符合性等方面进行识别
171	\|
172	\|
173
174	[[返回本章节索引>>https://www.itil4hub.cn/bin/view/G%20%E5%8F%82%E8%80%83%E8%B5%84%E6%96%99/ITIL%E5%AE%9E%E6%96%BD%E9%A1%B9%E7%9B%AE%E8%B5%84%E6%96%99/ITIL%E5%AE%9E%E6%96%BD%E9%A1%B9%E7%9B%AE%E6%B5%81%E7%A8%8B%E8%AE%BE%E8%AE%A1%E6%96%B9%E6%A1%88%E9%9B%86/%E8%B5%84%E4%BA%A7%E7%AE%A1%E7%90%86/]] [[ 阅读下一讲>>https://www.itil4hub.cn/bin/view/G%20%E5%8F%82%E8%80%83%E8%B5%84%E6%96%99/ITIL%E5%AE%9E%E6%96%BD%E9%A1%B9%E7%9B%AE%E8%B5%84%E6%96%99/ITIL%E5%AE%9E%E6%96%BD%E9%A1%B9%E7%9B%AE%E6%B5%81%E7%A8%8B%E8%AE%BE%E8%AE%A1%E6%96%B9%E6%A1%88%E9%9B%86/%E8%B5%84%E4%BA%A7%E7%AE%A1%E7%90%86/%E8%AE%A1%E7%AE%97%E6%9C%BA%E8%B5%84%E4%BA%A7%E7%AE%A1%E7%90%86%E5%8F%8A%E7%94%9F%E5%91%BD%E5%91%A8%E6%9C%9F/]]

1

[[返回本章节索引>>https://www.itil4hub.cn/bin/view/G%20%E5%8F%82%E8%80%83%E8%B5%84%E6%96%99/ITIL%E5%AE%9E%E6%96%BD%E9%A1%B9%E7%9B%AE%E8%B5%84%E6%96%99/ITIL%E5%AE%9E%E6%96%BD%E9%A1%B9%E7%9B%AE%E6%B5%81%E7%A8%8B%E8%AE%BE%E8%AE%A1%E6%96%B9%E6%A1%88%E9%9B%86/%E8%B5%84%E4%BA%A7%E7%AE%A1%E7%90%86/]] [[ 阅读下一讲>>https://www.itil4hub.cn/bin/view/G%20%E5%8F%82%E8%80%83%E8%B5%84%E6%96%99/ITIL%E5%AE%9E%E6%96%BD%E9%A1%B9%E7%9B%AE%E8%B5%84%E6%96%99/ITIL%E5%AE%9E%E6%96%BD%E9%A1%B9%E7%9B%AE%E6%B5%81%E7%A8%8B%E8%AE%BE%E8%AE%A1%E6%96%B9%E6%A1%88%E9%9B%86/%E8%B5%84%E4%BA%A7%E7%AE%A1%E7%90%86/%E8%AE%A1%E7%AE%97%E6%9C%BA%E8%B5%84%E4%BA%A7%E7%AE%A1%E7%90%86%E5%8F%8A%E7%94%9F%E5%91%BD%E5%91%A8%E6%9C%9F/]]

=== **风险评估准则** ===

|(% colspan="12" %)风险评估准则

9

|(% colspan="12" %) 资产价值计算方法：资产价值 = 保密性赋值＋完整性赋值＋可用性赋值

10

风险值计算方法：风险值 = 资产等级＋威胁性赋值＋脆弱性赋值

11

资产等级、风险等级评定方法：见下

12

| | | | | | | | | | | |

13

14

|(% rowspan="6" %)保密性|(% rowspan="6" %)按信息的访问权限等级或信息的存储、传输及处理设施/人员涉及信息的访问权限等级来评估资产保密性的要求等级|访问权限|赋值|存储、传输及处理信息的访问权限|赋值|存储、传输及处理信息的访问权限|赋值|存储、传输及处理信息的访问权限|赋值|岗位接触信息的访问权限|赋值

15

|对公司及外部都是公开的|1|对公司及外部都是公开的|1|对公司及外部都是公开的|1|对公司及外部都是公开的|1|对公司及外部都是公开的|1

16

|对公司内部所有员工是公开的|3|对公司内部所有员工是公开的|3|对公司内部所有员工是公开的|3|对公司内部所有员工是公开的|3|对公司内部所有员工是公开的|3

17

|只限于公司某个部门或职能可以访问的信息|5|只限于公司某个部门或职能可以访问的信息|5|只限于公司某个部门或职能可以访问的信息|5|只限于公司某个部门或职能可以访问的信息|5|只限于公司某个部门或职能可以访问的信息|5

18

|只限于公司中层管理人员以上或部门少数关键人员可以访问的信息|7|只限于公司中层管理人员以上或部门少数关键人员可以访问的信息|7|只限于公司中层管理人员以上或部门少数关键人员可以访问的信息|7|只限于公司中层管理人员以上或部门少数关键人员可以访问的信息|7|只限于公司中层管理人员以上可以访问的信息|7

19

|只限于公司高层管理人员或公司少数关键人员可以访问的信息|9|只限于公司高层管理人员或公司少数关键人员可以访问的信息|9|只限于公司高层管理人员或公司少数关键人员可以访问的信息|9|只限于公司高层管理人员或公司少数关键人员可以访问的信息|9|只限于公司高层管理人员或少数关键人员可以访问的信息|9

20

| | | | | | | | | | | |

21

22

|(% rowspan="6" %)完整性|(% rowspan="6" %)按资产的准确性或完整性受损，而造成组织的业务持续或形象声誉受影响的严重程度来评估|影响程度|赋值|影响程度|赋值|影响程度|赋值|文件类别|赋值|岗位范围|赋值

23

|可以忽略|1|可以忽略|1|可以忽略|1|可以忽略|1|实习员工\外聘临时工|1

24

|轻微|3|轻微|3|轻微|3|轻微|3|一般员工|3

25

|一般|5|一般|5|一般|5|一般|5|技术、管理、财务等方面的骨干人员|5

26

|严重|7|严重|7|严重|7|严重|7|中层管理人员|7

27

|非常严重|9|非常严重|9|非常严重|9|非常严重|9|高层管理人员|9

28

| | | | | | | | | | | |

29

30

|(% rowspan="6" %)可用性|(% rowspan="6" %)按资产使用或允许中断的时间次数来评估|数据存储、传输及处理设施在一个工作日内允许中断的次数或时间比例|赋值|每次中断允许时间|赋值|使用频次要求|赋值|使用频次|赋值|允许离岗时间|赋值

31

|16次以上或全部工作时间中断|1|3天以上|1|每年都要使用至少1次|1|每年都要使用至少1次|1|10个工作日及以上|1

32

|9-15次或1/2工作时间中断|3|1－3天|3|每个季度都要使用至少1次|3|每个季度都要使用至少1次|3|6-9工作日|3

33

|3-8次或1/4工作时间中断|5|12小时－1天|5|每个月都要使用至少1次|5|每个月都要使用至少1次|5|3-5个工作日|5

34

|1-2次或1/8工作时间中断|7|3小时－12小时|7|每周都要使用至少1次|7|每周都要使用至少1次|7|2个工作日|7

35

|不允许|9|0－3小时|9|每天都要使用至少1次|9|每天都要使用至少1次|9|1个工作日|9

|(% colspan="2" %)高|17,19,21|3|一般资产

40

|(% colspan="2" %)一般|11,13,15|2|一般资产

41

|(% colspan="2" %)低|3,5,7,9|1|一般资产

42

43

|要素|(% colspan="2" %)标识|发生的频率|等级

44

|(% rowspan="5" %)威胁利用弱点导致危害的可能性|(% colspan="2" %)很高|出现的频率很高（或≥1 次/周）；或在大多数情况下几乎不可避免；或可以证实经常发生过|5

45

|(% colspan="2" %)高|出现的频率较高（或≥ 1 次/月）；或在大多数情况下很有可能会发生；或可以证实多次发生过|4

46

|(% colspan="2" %)一般|出现的频率中等（或> 1 次/半年）；或在某种情况下可能会发生；或被证实曾经发生过|3

47

|(% colspan="2" %)低|出现的频率较小；或一般不太可能发生；或没有被证实发生过|2

48

|(% colspan="2" %)很低|威胁几乎不可能发生；仅可能在非常罕见和例外的情况下发生|1

49

50

|要素|(% colspan="2" %)标识|严重程度|等级

51

|(% rowspan="5" %)脆弱性被威胁利用后的严重性|(% colspan="2" %)很高|如果被威胁利用，将对公司重要资产造成重大损害|5

52

|(% colspan="2" %)高|如果被威胁利用，将对重要资产造成一般损害|4

53

|(% colspan="2" %)一般|如果被威胁利用，将对一般资产造成重要损害 |3

54

|(% colspan="2" %)低|如果被威胁利用，将对一般资产造成一般损害|2

55

|(% colspan="2" %)很低|如果被威胁利用，将对资产造成的损害可以忽略|1

|(% colspan="2" %)较高风险|9～11|3|风险可以接受，但需要采取进一步措施降低风险或在威胁发生时采取处理措施

60

|(% colspan="2" %)一般风险|6~~8|2|(% rowspan="2" %)风险可以接受，可以保持目前的控制措施

61

|(% colspan="2" %)低风险|3～5|1

=== ===

=== **常见威胁** ===

|(% colspan="8" %)常见威胁

68

|ID|威胁|威胁方|影响资产|利用弱点|可能性|影响|风险

69

|R01|篡改|恶意人员|业务数据|系统缺陷，网络缺陷|低|高|低

70

|R02|传输信息泄漏|恶意人员|业务数据|网络线路|中|高|中

71

|R03|配置错误|维护人员|应用系统，业务数据|运行管理流程缺陷|中|中|低

72

|R04|冒名访问|恶意人员|业务数据|运行管理流程缺陷、帐户口令泄漏|低|高|高

73

|R05|病毒感染|维护人员、用户|业务数据，应用系统|系统缺陷、运行管理缺陷|低|高|低

74

|R06|业务信息泄漏|用户|业务数据|运行管理流程缺陷|低|高|低

75

|R07|攻击|恶意人员|应用系统，业务数据|系统缺陷，网络缺陷|中|高|高

76

|R08|操作抵赖|维护人员，用户|应用系统，业务数据|操作记录|低|中|低

77

|R09|越权访问|用户|应用系统，业务数据|系统配置缺陷|中|低|低

78

|R10|设备物理破坏|恶意人员|应用系统，业务数据|设备物理安全漏洞|低|高|低

=== ** 威胁分类表** ===

|种类|描述|威胁子类

|软硬件故障|对业务实施或系统运行产生影响的设备硬件故障、通讯链路中断、系统本身或软件缺陷等问题|设备硬件故障、传输设备故障、存储媒体故障、系统软件故障、应用软件故障、数据库软件故障、开发环境故障等

84

|物理环境影响|对信息系统正常运行造成影响的物理环境问题和自然灾害|断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震等

85

|无作为或操作失误|应该执行而没有执行相应的操作，或无意执行了错误的操作|维护错误、操作失误等

86

|管理不到位|安全管理无法落实或不到位，从而破坏信息系统正常有序运行|管理制度和策略不完善、管理规程缺失、职责不明确、监督控管机制不健全等

87

|恶意代码|故意在计算机系统上执行恶意任务的程序代码|病毒、特洛伊木马、蠕虫、陷门、间谍软件、窃听软件等

88

|越权或滥用|通过采用一些措施，超越自己的权限访问了本来无权访问的资源，或者滥用自己的权限，做出破坏信息系统的行为|非授权访问网络资源、非授权访问系统资源、滥用权限非正常修改系统配置或数据、滥用权限泄露秘密信息等

89

|网络攻击|利用工具和技术通过网络对信息系统进行攻击和入侵|网络探测和信息采集、漏洞探测、嗅探（帐号、口令、权限等）、用户身份伪造和欺骗、用户或业务数据的窃取和破坏、系统运行的控制和破坏等

90

|物理攻击|通过物理的接触造成对软件、硬件、数据的破坏|物理接触、物理破坏、盗窃等

91

|泄密|信息泄露给不应了解的他人|内部信息泄露、外部信息泄露等

92

|篡改|非法修改信息，破坏信息的完整性使系统的安全性降低或信息不可用|篡改网络配置信息、篡改系统配置信息、篡改安全配置信息、篡改用户身份信息或业务数据信息等

93

|抵赖|不承认收到的信息和所作的操作和交易|原发抵赖、接收抵赖、第三方抵赖等

=== **常见脆弱性 ** ===

|序号|类别|薄弱点|威胁

|1. |环境和基础设施|建筑物/门以及窗户缺少物理保护|例如,可能会被偷窃这一威胁所利用

99

|l | |对建筑物\房间物理进入控制不充分,或松懈|可能会被故意损害这一威胁所利用

100

|l | |电网不稳定|可能会被功率波动这一威胁所利用

101

|l | |所处位置容易受到洪水袭击|可能会被洪水这一威胁所利用

102

|2. |硬件|缺少定期替换计划|可能会被存储媒体退化这一威胁所利用

103

|l | |容易受到电压不稳定的侵扰|可能会被功率波动这一威胁所利用

104

|l | |容易受到温度变化的侵扰|可能会温度的极端变化这一威胁所利用

105

|l | |容易受到湿度、灰尘和污染的侵扰|可能会被灰尘这一威胁所利用

106

|l | |对电磁辐射的敏感性|可能会被电磁辐射这一威胁所利用

107

|l | |不充分的维护/存储媒体的错误安装|可能会被维护失误这一威胁所利用

108

|l | |缺少有效的配置变化控制|可能会被操作职员失误这一威胁所利用

109

|3. |软件|开发人员的说明不清楚或不完整|可能会被软件故障这一威胁所利用

110

|l | |没有软件测试或软件测试不充分|可能会被未经授权许可的用户使用软件这一威胁所利用

111

|l | |复杂的用户界面|可能会被操作职员失误这一威胁所利用

112

|l | |缺少识别和鉴定机制，如：用户鉴定|可能会被冒充用户身份这一威胁所利用

113

|l | |缺少审核跟踪|可能会被以未经授权许可的方式使用软件这一威胁所利用

114

|l | |软件中存在众所周知的缺陷|可能会被软件未经许可的用户使用软件这一威胁所利用

115

|l | |口令表没有受到保护|可能会被冒充用户身份这一威胁所利用

116

|l | |口令管理较差（很容易被猜测，公开地存储口令，不经常更改）|可能会被冒充用户身份这一威胁所利用

117

|l | |访问权的错误分派|可能会被以未经许可的方式使用软件这一威胁所利用

118

|l | |对下载和使用软件不进行控制|可能会被恶意软件这一威胁所利用

119

|l | |离开工作站没有注销用户|可能会被未经许可的用户使用软件这一威胁所利用

120

|l | |缺少有效的变化控制|可能会被软件故障这一威胁所利用

121

|l | |缺少文件编制|可能会被操作职员的失误这一威胁所利用

122

|l | |缺少备份|可能会被恶意软件或火灾这一威胁所利用

123

|l | |没有适当的擦除而对存储媒体进行处理或重新使用|可能会被未经许可的用户使用软件这一威胁所利用

124

|4. |通讯|通讯线路没有保护|可能会被偷听这一威胁所利用

125

|l | |电缆连接差|可能会被通讯渗透这一威胁所利用

126

|l | |对发件人和收件人缺少识别和鉴定|可能会被冒充用户身份这一威胁所利用

127

|l | |公开传送口令|可能会被未经许可的用户接入网络这一威胁所利用

128

|l | |收发信息缺少验证|可能会被否认这一威胁所利用

129

|l | |拨号线路|可能会被未经许可的用户接入网络这一威胁所利用

130

|l | |对敏感性通信不进行保护|可能会被偷听这一威胁所利用

131

|l | |网络管理不充分（路由的弹性）|可能会被通信量超载这一威胁所利用

132

|l | |公共网络连接没有保护|可能会被未经许可的用户使用软件这一威胁所利用

133

|5. |文件|存储没有保护|可能会被偷窃这一威胁所利用

134

|l | |进行处理时缺少关注|可能会被偷窃这一威胁所利用

135

|l | |对拷贝没有进行控制|可能会被偷窃这一威胁所利用

136

|6. |人员|人员缺席|可能会被缺少员工这一威胁所利用

137

|l | |对外部人员和清理人员的工作不进行监督|可能会被偷窃这一威胁所利用

138

|l | |不充分的安全培训|可能会被操作职员的失误这一威胁所利用

139

|l | |缺少安全意识|可能会被用户错误这一威胁所利用

140

|l | |对软件和硬件不正确的使用|可能会被操作职员的失误这一威胁所利用

141

|l | |缺少监控机制|可能会被以未经许可的方式使用软件这一威胁所利用

142

|l | |在正确使用通讯媒体和信息方面缺乏政策|可能会被以未经许可的方式使用网络设施这一威胁所利用

143

|l | |增员程序不充分|可能会被故意损害这一威胁所利用

144

|7. |一般都适用的薄弱环节|某一点上的故障|可能会被通讯服务故障这一威胁所利用

145

|l | |服务维护反应不足|可能会被硬件故障这一威胁所利用

146

147

148

=== **脆弱性识别内容表 ** ===

|类型|识别对象|识别内容

|(% rowspan="15" %)技术脆弱性|(% rowspan="3" %)物理环境|(% rowspan="3" %) 从机房场地、机房防火、机房供配电、机房防静电、机房接地与防雷、电磁防护、通信线路的保护、机房区域防护、机房设备管理等方面进行识别

153

|

154

|

155

|(% rowspan="3" %)网络结构|(% rowspan="3" %) 从网络结构设计、边界保护、外部访问控制策略、内部访问控制策略、网络设备安全配置等方面进行识别

156

|

157

|

158

|(% rowspan="3" %)系统软件|(% rowspan="3" %) 从补丁安装、物理保护、用户帐号、口令策略、资源共享、事件审计、访问控制、新系统配置、注册表加固、网络安全、系统管理等方面进行识别

159

|

160

|

161

|(% rowspan="3" %)应用中间件|(% rowspan="3" %) 从协议安全、交易完整性、数据完整性等方面进行识别

162

|

163

|

164

|(% rowspan="3" %)应用系统|(% rowspan="3" %) 从审计机制、审计存储、访问控制策略、数据完整性、通信、鉴别机制、密码保护等方面进行识别

165

|

166

|

167

|(% rowspan="6" %)管理脆弱性|(% rowspan="3" %)技术管理|(% rowspan="3" %) 从物理和环境安全、通信与操作管理、访问控制、系统开发与维护、业务连续性等方面进行识别

168

|

169

|

170

|(% rowspan="3" %)组织管理|(% rowspan="3" %) 从安全策略、组织安全、资产分类与控制、人员安全、符合性等方面进行识别

|

|

[[返回本章节索引>>https://www.itil4hub.cn/bin/view/G%20%E5%8F%82%E8%80%83%E8%B5%84%E6%96%99/ITIL%E5%AE%9E%E6%96%BD%E9%A1%B9%E7%9B%AE%E8%B5%84%E6%96%99/ITIL%E5%AE%9E%E6%96%BD%E9%A1%B9%E7%9B%AE%E6%B5%81%E7%A8%8B%E8%AE%BE%E8%AE%A1%E6%96%B9%E6%A1%88%E9%9B%86/%E8%B5%84%E4%BA%A7%E7%AE%A1%E7%90%86/]] [[ 阅读下一讲>>https://www.itil4hub.cn/bin/view/G%20%E5%8F%82%E8%80%83%E8%B5%84%E6%96%99/ITIL%E5%AE%9E%E6%96%BD%E9%A1%B9%E7%9B%AE%E8%B5%84%E6%96%99/ITIL%E5%AE%9E%E6%96%BD%E9%A1%B9%E7%9B%AE%E6%B5%81%E7%A8%8B%E8%AE%BE%E8%AE%A1%E6%96%B9%E6%A1%88%E9%9B%86/%E8%B5%84%E4%BA%A7%E7%AE%A1%E7%90%86/%E8%AE%A1%E7%AE%97%E6%9C%BA%E8%B5%84%E4%BA%A7%E7%AE%A1%E7%90%86%E5%8F%8A%E7%94%9F%E5%91%BD%E5%91%A8%E6%9C%9F/]]

Wiki源代码ITIL资产评估准则及常见威胁