ISO27001风险评估威胁弱点参考清单

威胁弱点参考清单

类别

  

  

服务

在未经授权的方式下使用网络的设备

不正确的使用软件和硬件

外部人员或清洁人员缺乏人员陪同作业

访问权限授与不当

建筑物、房间的物质进出控制的不足或不小心使用

缺少口令管理

缺乏安全警觉

缺乏监督机制

口令表未适当保护

缺乏审核轨迹

拨接线路未适当控管

离开工作站时没有注销

识别与验证机制的不足

未经授权使用者的网络访问

不正确的使用软件和硬件

访问权限授与不当

缺乏安全警觉

缺乏监督机制

拨接线路未适当控管

识别与验证机制的不足

讯息的错误路径

缺乏正确使用通讯设备与讯息控管的策略

网络管理不足

讯息被绕道

缺乏正确使用通讯设备与讯息控管的策略

网络管理不足

通讯服务的失效(例如:网络服务)

没有做好维护的工作

缺乏有效变更控制

缺乏监督机制

联机线缆失效

缺乏审核轨迹

维护服务响应时间过长

通讯渗透

未保护敏感性数据的传输

未保护通讯线路

缺乏正确使用通讯设备与讯息控管的策略

缺乏安全警觉

损害到线路

联机线缆失效

网络组件的失效

不正确使用软件及硬件

没有作好维护的工作

缺乏有效变更控制

缺乏监督机制

维护服务响应时间过长

网络效能低落

缺乏正确使用通讯设备与讯息控管的策略

缺乏监督机制

窃听

未保护敏感性数据的传输

未保护通讯线路

缺乏正确使用通讯设备与讯息控管的政策

缺乏安全警觉

口令传输未加密保护

火灾

人员安全训练不足

缺乏建筑物、门、窗等物质的保护

存储易燃物

失窃

建筑物、房间的物质进出控制的不足或不小心使用

缺乏安全警觉

缺乏建筑物、门、窗等物质的保护

识别与验证机制的不足

地震

缺乏建筑物、门、窗等物质的保护

灰尘

容易潮湿、有灰尘、秽物

空调失效

没有作好维护的工作

维护服务响应时间过长

炸弹攻击

缺乏建筑物、门、窗等物质的保护

闪电

缺乏建筑物、门、窗等物质的保护

停电

不稳定的供电

淹水

位于容易淹水的区域

容易潮湿、有灰尘、秽物

群众运动(例如:罢工)

缺乏建筑物、门、窗等物质的保护

电源不稳定

不稳定的电压

电磁辐射

易受电磁辐射影响

台风

缺乏建筑物、门、窗等物质的保护

静电的累积

易受电磁辐射影响

信息

未适当控管储存介质的访问

人员安全训练不足

人员评选程序不够严谨

未保护存储文件

访问权限授与不当

缺乏安全警觉

储存介质内的数据没有适当删除就丢弃或重复使用

识别与验证机制的不足

硬件

不当维护

不正确的使用软件和硬件

文件化管理的缺乏或不足

缺乏有效的变更控制

缺乏监督机制

专业训练不足

复杂的使用者接口

硬件失效

不正确的使用软件和硬件

没有作好维护的工作

缺乏有效变更控制

缺乏硬件耗损控管

专业训练不足

维护服务响应时间过长

存储介质的劣化

缺乏数据(数据,程序与文件)备份

存储介质维护不足/安装瑕疵

人员

人员不足

人员的权责分工不当(人力不足)

不当之人员异动(离职或故意挖角)

工作负荷过重

公司前景未明(公司、产业)

福利制度不佳(薪资过低)、奖惩考核制度不当

失窃

人员安全训练不足

人员评选程序不严谨

外部人员或清洁人员缺乏人员陪同作业

未保护储存文件

未经控管之数据复制

缺乏安全警觉

资料销毁时的不注意

机密数据的外泄 ( E-mail or 存储介质)

存储介质内的数据没有适当删除就丢弃或重复使用

使用者错误

文件化管理之缺乏或不足

访问权限授与不当

缺少口令管理

缺乏安全警觉

复杂的使用者接口

机密数据的外泄 ( E-mail or 存储介质)

缺乏审核轨迹

故意的破坏

人员安全训练不足

建筑物、房间的物质进出控制的不足或不小心使用

缺乏安全警觉

识别与认证机制的不足(非驻点人员不适用)

能力不足

人员评选程序不够严谨

专业训练不足

伪装成使用者身份

人员安全训练不足

外部人员或清洁人员缺乏人员陪同作业(内部人员不适用)

缺乏安全警觉

离开工作站时没有注销

软件非法的输入/输出

人员安全训练不足

未控管的软件使用和下载

缺乏安全警觉

资源的错误使用

人员安全训练不足

访问权限授与不当

建筑物、房间的物质进出控制的不足或不小心使用

缺乏安全警觉

缺乏严谨的数据处理程序

随意的复印

操作人员的错误

不正确的使用软件和硬件

文件化管理之缺乏或不足

缺乏安全警觉

缺乏数据(数据,程序与文件)备份

缺乏监督机制

专业训练不足

机密数据的外泄 ( E-mail or 储存媒体)

软件

未经授权的使用者使用软件

不当使用拨接连线功能

未保护公共网络的连接

访问权限授与不当

缺少口令管理

缺乏监督机制

缺乏审核轨迹

离开工作站时没有注销

识别与验证机制的不足

在未经授权的方式下使用软件

已知的软件瑕疵

访问权限授与不当

缺乏安全警觉

缺乏监督机制

缺乏审核轨迹

否认性

缺乏正确使用通讯设备与讯息控管的政策

缺乏传送或接收讯息的证据

缺乏传送者与接收者的识别与认证

非法使用软件

未控管的软件使用和下载

访问权限授与不当

缺乏安全警觉

软件失效

已知的软件瑕疵

不正确的使用软件和硬件

文件化管理的缺乏或不足

没有软件测试或软件测试不够

缺乏有效变更控制

缺乏数据(数据,程序与文件)备份

专业训练不足

开发者的规范不清楚或不完整

复杂的使用者界面

恶意的软件

人员安全训练不足

已知的软件瑕疵

未控管的软件使用和下载

没有软件测试或软件测试不够

缺乏安全警觉

缺乏有效软件变更控制

机密数据的外泄  ( E-mail or 存储介质)

 


点击关闭
  • CMMI认证客服

    CMMI3认证客服

    CMMI咨询

    CMMI4认证