LAWYER
ISO27001风险评估威胁弱点参考清单
作者:小编 发布时间:2024-08-26 13:30:59点击:
威胁弱点参考清单
| 类别 | 威 胁 | 弱 点 |
| 服务 | 在未经授权的方式下使用网络的设备 | 不正确的使用软件和硬件 |
| 外部人员或清洁人员缺乏人员陪同作业 | ||
| 访问权限授与不当 | ||
| 建筑物、房间的物质进出控制的不足或不小心使用 | ||
| 缺少口令管理 | ||
| 缺乏安全警觉 | ||
| 缺乏监督机制 | ||
| 口令表未适当保护 | ||
| 缺乏审核轨迹 | ||
| 拨接线路未适当控管 | ||
| 离开工作站时没有”注销” | ||
| 识别与验证机制的不足 | ||
| 未经授权使用者的网络访问 | 不正确的使用软件和硬件 | |
| 访问权限授与不当 | ||
| 缺乏安全警觉 | ||
| 缺乏监督机制 | ||
| 拨接线路未适当控管 | ||
| 识别与验证机制的不足 | ||
| 讯息的错误路径 | 缺乏正确使用通讯设备与讯息控管的策略 | |
| 网络管理不足 | ||
| 讯息被绕道 | 缺乏正确使用通讯设备与讯息控管的策略 | |
| 网络管理不足 | ||
| 通讯服务的失效(例如:网络服务) | 没有做好维护的工作 | |
| 缺乏有效变更控制 | ||
| 缺乏监督机制 | ||
| 联机线缆失效 | ||
| 缺乏审核轨迹 | ||
| 维护服务响应时间过长 | ||
| 通讯渗透 | 未保护敏感性数据的传输 | |
| 未保护通讯线路 | ||
| 缺乏正确使用通讯设备与讯息控管的策略 | ||
| 缺乏安全警觉 | ||
| 损害到线路 | 联机线缆失效 | |
| 网络组件的失效 | 不正确使用软件及硬件 | |
| 没有作好维护的工作 | ||
| 缺乏有效变更控制 | ||
| 缺乏监督机制 | ||
| 维护服务响应时间过长 | ||
| 网络效能低落 | 缺乏正确使用通讯设备与讯息控管的策略 | |
| 缺乏监督机制 | ||
| 窃听 | 未保护敏感性数据的传输 | |
| 未保护通讯线路 | ||
| 缺乏正确使用通讯设备与讯息控管的政策 | ||
| 缺乏安全警觉 | ||
| 口令传输未加密保护 | ||
| 火灾 | 人员安全训练不足 | |
| 缺乏建筑物、门、窗等物质的保护 | ||
| 存储易燃物 | ||
| 失窃 | 建筑物、房间的物质进出控制的不足或不小心使用 | |
| 缺乏安全警觉 | ||
| 缺乏建筑物、门、窗等物质的保护 | ||
| 识别与验证机制的不足 | ||
| 地震 | 缺乏建筑物、门、窗等物质的保护 | |
| 灰尘 | 容易潮湿、有灰尘、秽物 | |
| 空调失效 | 没有作好维护的工作 | |
| 维护服务响应时间过长 | ||
| 炸弹攻击 | 缺乏建筑物、门、窗等物质的保护 | |
| 闪电 | 缺乏建筑物、门、窗等物质的保护 | |
| 停电 | 不稳定的供电 | |
| 淹水 | 位于容易淹水的区域 | |
| 容易潮湿、有灰尘、秽物 | ||
| 群众运动(例如:罢工) | 缺乏建筑物、门、窗等物质的保护 | |
| 电源不稳定 | 不稳定的电压 | |
| 电磁辐射 | 易受电磁辐射影响 | |
| 台风 | 缺乏建筑物、门、窗等物质的保护 | |
| 静电的累积 | 易受电磁辐射影响 | |
| 信息 | 未适当控管储存介质的访问 | 人员安全训练不足 |
| 人员评选程序不够严谨 | ||
| 未保护存储文件 | ||
| 访问权限授与不当 | ||
| 缺乏安全警觉 | ||
| 储存介质内的数据没有适当删除就丢弃或重复使用 | ||
| 识别与验证机制的不足 | ||
| 硬件 | 不当维护 | 不正确的使用软件和硬件 |
| 文件化管理的缺乏或不足 | ||
| 缺乏有效的变更控制 | ||
| 缺乏监督机制 | ||
| 专业训练不足 | ||
| 复杂的使用者接口 | ||
| 硬件失效 | 不正确的使用软件和硬件 | |
| 没有作好维护的工作 | ||
| 缺乏有效变更控制 | ||
| 缺乏硬件耗损控管 | ||
| 专业训练不足 | ||
| 维护服务响应时间过长 | ||
| 存储介质的劣化 | 缺乏数据(数据,程序与文件)备份 | |
| 存储介质维护不足/安装瑕疵 | ||
| 人员 | 人员不足 | 人员的权责分工不当(人力不足) |
| 不当之人员异动(离职或故意挖角) | 工作负荷过重 | |
| 公司前景未明(公司、产业) | ||
| 福利制度不佳(薪资过低)、奖惩考核制度不当 | ||
| 失窃 | 人员安全训练不足 | |
| 人员评选程序不严谨 | ||
| 外部人员或清洁人员缺乏人员陪同作业 | ||
| 未保护储存文件 | ||
| 未经控管之数据复制 | ||
| 缺乏安全警觉 | ||
| 资料销毁时的不注意 | ||
| 机密数据的外泄 ( E-mail or 存储介质) | ||
| 存储介质内的数据没有适当删除就丢弃或重复使用 | ||
| 使用者错误 | 文件化管理之缺乏或不足 | |
| 访问权限授与不当 | ||
| 缺少口令管理 | ||
| 缺乏安全警觉 | ||
| 复杂的使用者接口 | ||
| 机密数据的外泄 ( E-mail or 存储介质) | ||
| 缺乏审核轨迹 | ||
| 故意的破坏 | 人员安全训练不足 | |
| 建筑物、房间的物质进出控制的不足或不小心使用 | ||
| 缺乏安全警觉 | ||
| 识别与认证机制的不足(非驻点人员不适用) | ||
| 能力不足 | 人员评选程序不够严谨 | |
| 专业训练不足 | ||
| 伪装成使用者身份 | 人员安全训练不足 | |
| 外部人员或清洁人员缺乏人员陪同作业(内部人员不适用) | ||
| 缺乏安全警觉 | ||
| 离开工作站时没有”注销” | ||
| 软件非法的输入/输出 | 人员安全训练不足 | |
| 未控管的软件使用和下载 | ||
| 缺乏安全警觉 | ||
| 资源的错误使用 | 人员安全训练不足 | |
| 访问权限授与不当 | ||
| 建筑物、房间的物质进出控制的不足或不小心使用 | ||
| 缺乏安全警觉 | ||
| 缺乏严谨的数据处理程序 | ||
| 随意的复印 | ||
| 操作人员的错误 | 不正确的使用软件和硬件 | |
| 文件化管理之缺乏或不足 | ||
| 缺乏安全警觉 | ||
| 缺乏数据(数据,程序与文件)备份 | ||
| 缺乏监督机制 | ||
| 专业训练不足 | ||
| 机密数据的外泄 ( E-mail or 储存媒体) | ||
| 软件 | 未经授权的使用者使用软件 | 不当使用拨接连线功能 |
| 未保护公共网络的连接 | ||
| 访问权限授与不当 | ||
| 缺少口令管理 | ||
| 缺乏监督机制 | ||
| 缺乏审核轨迹 | ||
| 离开工作站时没有”注销” | ||
| 识别与验证机制的不足 | ||
| 在未经授权的方式下使用软件 | 已知的软件瑕疵 | |
| 访问权限授与不当 | ||
| 缺乏安全警觉 | ||
| 缺乏监督机制 | ||
| 缺乏审核轨迹 | ||
| 否认性 | 缺乏正确使用通讯设备与讯息控管的政策 | |
| 缺乏传送或接收讯息的证据 | ||
| 缺乏传送者与接收者的识别与认证 | ||
| 非法使用软件 | 未控管的软件使用和下载 | |
| 访问权限授与不当 | ||
| 缺乏安全警觉 | ||
| 软件失效 | 已知的软件瑕疵 | |
| 不正确的使用软件和硬件 | ||
| 文件化管理的缺乏或不足 | ||
| 没有软件测试或软件测试不够 | ||
| 缺乏有效变更控制 | ||
| 缺乏数据(数据,程序与文件)备份 | ||
| 专业训练不足 | ||
| 开发者的规范不清楚或不完整 | ||
| 复杂的使用者界面 | ||
| 恶意的软件 | 人员安全训练不足 | |
| 已知的软件瑕疵 | ||
| 未控管的软件使用和下载 | ||
| 没有软件测试或软件测试不够 | ||
| 缺乏安全警觉 | ||
| 缺乏有效软件变更控制 | ||
| 机密数据的外泄 ( E-mail or 存储介质) |
广州满智企业管理咨询有限公司,华南区域领先的ITSS运维服务能力成熟度评估、CMMI能力成熟度模型集成、ISO27001信息安全管理体系、ISO20000信息技术服务管理体系、ISO9001、ISO14001、ISO45001、诚信管理体系、售后服务认证等专业一条龙整体解决方案提供商。
QQ客服