上官雨宝
2
CISM-WSE
中级信息安全等级测评师
官方采纳
上官雨宝2
CISM-WSE
中级信息安全等级测评师
缺少信息安全管理论坛,安全导向不明确,管理支持不明显;
组织信息系统管理制度不够健全;
缺少跨部门的信息安全协调机制;
保护特定资产以及完成特定安全过程的职责还不明确;
员工信息安全意识薄弱,缺少防范意识,外来人员很容易直接进入生产和工作场所;
组织信息系统主机房安全存在隐患,如:防火设施存在问题,与危险品仓库同处一幢办公楼等;
组织信息系统备份设备仍有欠缺;
组织信息系统安全防范技术投入欠缺;
软件知识产权保护欠缺;档案、记录等缺少可靠贮存场所;
缺少一旦发生意外时的保证生产经营连续性的措施和计划;
许多计数机处于不设防状态;
防范意识、管理措施、核心技术、安全产品,距离信息安全的要求相差很远;
各种重要数据和文件被滥用、泄露、丢失被盗;
据国外统计,企业信息受到的损失中,70%是由于内部员工的疏忽或者有意泄密造成的;
安全问题所带来的损失远大于交易的帐面损失,它可分为三类,包括直接损失、间接损失和法律损失: 直接损失:丢失订单,减少直接收入,损失生产率;间接损失:恢复成本,竞争力受损,品牌、声誉受损,负面的公众影响,失去未来的业务机会,影响股票市值或政治声誉;法律损失:法律、法规的制裁,带来相关联的诉讼或追索等。
GQQQy
2
风险管理(专业级)RM/PL
高级信息系统项目管理师
官方采纳
GQQQy2
风险管理(专业级)RM/PL
高级信息系统项目管理师
企业的信息安全管理风险有以下几方面:
缺少信息安全管理论坛,安全导向不明确,管理支持不明显;
员工信息安全意识薄弱,缺少防范意识,外来人员很容易直接进入生产和工作场所;
组织信息系统主机房安全存在隐患,如:防火设施存在问题,与危险品仓库同处一幢办公楼等;
组织信息系统管理制度不够健全;
缺少跨部门的信息安全协调机制;
保护特定资产以及完成特定安全过程的职责还不明确;
组织信息系统备份设备仍有欠缺;
组织信息系统安全防范技术投入欠缺;
软件知识产权保护欠缺;档案、记录等缺少可靠贮存场所;
缺少一旦发生意外时的保证生产经营连续性的措施和计划;
许多计数机处于不设防状态;
防范意识、管理措施、核心技术、安全产品,距离信息安全的要求相差很远;
各种重要数据和文件被滥用、泄露、丢失被盗。
GQQQy
2
风险管理(专业级)RM/PL
高级信息系统项目管理师
GQQQy2
风险管理(专业级)RM/PL
高级信息系统项目管理师
访问控制
对外部互联网主机无法进行有效隔离控制,缺乏访问控制等基本手段
入侵防御
对操作系统、数据库、WEB服务等存在的漏洞利用行为无法有效防御
业务保护
针对业务服务器的攻击,如非法扫描、数据注入、后门植入等攻击无法有效防御
网站监测
无法持续监测网站篡改、挂马、黑链、漏洞等事件,需要管理员三班倒监控风险
勒索病毒
无法在网络流虽侧防御来白于邮件、FTP、 SMB协议传输,导致的勒索病毒入侵行为
未知威胁
本地无法识别的未知文件、未知链接、未知域名直接放行,导致内网受到严重危害
行为监控
内部员工通过U盘、即时通讯等将病毒带入企业内部,无法有效根治
威胁隔离
受感染主机会快速将病毒扩散到其他内网主机,导致损失进步扩大
环境兼容
企业采用虚拟化技术来提供虚拟桌面,虚拟桌面缺乏有效防相威胁的手段
终端防御
对新型的勒索病毒、挖矿病毒等攻击无法进行有效防御
Andrew
2
CISP-PTE
CISM-WSE
Andrew2
CISP-PTE
CISM-WSE
访问控制
对外部互联网主机无法进行有效隔离控制,缺乏访问控制等基本手段
入侵防御
对操作系统、数据库、WEB服务等存在的漏洞利用行为无法有效防御
业务保护
针对业务服务器的攻击,如非法扫描、数据注入、后门植入等攻击无法有效防御
网站监测
无法持续监测网站篡改、挂马、黑链、漏洞等事件,需要管理员三班倒监控风险
勒索病毒
无法在网络流虽侧防御来白于邮件、FTP、 SMB协议传输,导致的勒索病毒入侵行为
未知威胁
本地无法识别的未知文件、未知链接、未知域名直接放行,导致内网受到严重危害
行为监控
内部员工通过U盘、即时通讯等将病毒带入企业内部,无法有效根治
威胁隔离
受感染主机会快速将病毒扩散到其他内网主机,导致损失进步扩大
环境兼容
企业采用虚拟化技术来提供虚拟桌面,虚拟桌面缺乏有效防相威胁的手段
终端防御
对新型的勒索病毒、挖矿病毒等攻击无法进行有效防御
推荐文章
