合法使用者对信息及信息系统的可用度在正常工作
时间低于 25%
1
2
3
4
5
很低 可用性价值可以忽略
可用性价值较低
中等 可用性价值中等
可用性价值较高
很高 可用性价值非常高
合法使用者对信息及信息系统的可用度在正常工作
时间达到 25%以上,或系统允许中断时间小于 60min
合法使用者对信息及信息系统的可用度在正常工作
时间达到 70%以上,或系统允许中断时间小于 30min
合法使用者对信息及信息系统的可用度达到每天
90%以上,或系统允许中断时间小于 10min
合法使用者对信息及信息系统的可用度达到年度
99.9%以上,或系统不允许中断
低
高
5.2.7 导出资产清单
识别出来的信息资产需要详细登记在《信息资产清单》中。
5.3 判定重要资产
根据信息资产的机密性、完整性和可用性赋值的结果相加除以 3 得出“资产
价值”,对于《信息资产清单》中“资产价值”在大于等于 4 的资产,作为重要
信息资产记录到《重要信息资产清单》。
5.3.1 审核确认
风险评估小组对各部门资产识别情况进行审核,确保没有遗漏重要资产,导
出《重要信息资产清单》,报总经理确认。
5.4 风险识别与分析
5.4.1 威胁识别与分析
威胁种类
设备硬件故障、通讯链路中断、系统本身或软件 Bug
TC02 物理环境威胁 断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、水灾、
地等环境问题和自然灾害;
TC03 无作为或操作 由于应该执行而没有执行相应的操作,或无意地执行了错误的操
失误
安全管理无法落实,不到位,造成安全管理不规范,或者管理混
乱,从而破坏信息系统正常有序运行
TC05 恶意代码和病 具有自我复制、自我传播能力,对信息系统构成破坏的程序代码
毒
通过采用一些措施,超越自己的权限访问了本来无权访问的资源;
或者滥用自己的职权,做出破坏信息系统的行为
利用黑客工具和技术,例如侦察、密码猜测攻击、缓冲区溢出攻
击、安装后门、嗅探、伪造和欺骗、拒绝服务攻击等手段对信息
TC07 黑客攻击
- 1
- 2
前往页