1、二二级级风风险险 三三级级风风险险风风险险分分类类风风险险识识别别信息系统风险信息系统安全风险1 、 意 外的安全风险1)自然灾害:由于水灾、火灾、雷电、地震等不可抗因素导致信息系统瘫痪的灾难。2)环境因素:由于断电、静电、灰尘、温度、湿度、虫蚁鼠害等环境因素导致信息系统出现故障或瘫痪。2、硬件安全风险1) 信 息 系 统 的 多 组 件 在 设 计 、 制 造 和 组 装 中 、 由 于 人 为 和 自 然 的 原 因 , 造 成 系 统 崩 溃 。2)信息系统的通讯链路由于自然或人为因素造成中断,从而导致信息系统崩溃的。3、软件安全风险1)由于软件本身的缺陷或系统存在BUG,造成系统发生故
2、障不能正常运行的。2)由于软件在抗误操作方面的能力较差而操作又不规范造成的。4、无恶意的人为风险1)内部人员由于缺乏培训,专业技能不足,不具备岗位技能要求而导致信息系统故障或被攻击。2)内部人员由于缺乏责任心,或者由于不关心和不专注,应该执行而没有执行相应的操作,或无意地执行了错误的操作,对系统造成影响5、恶意的人为风险1)冒充(欺骗):利用信息系统可能存在的缺陷,冒充一个网络实体与另一个实体通信,窃取信息等。2)篡改:所传输的数据被非法损害,可能被删除、插入、修改、改变次序、重放或延迟等。3)非授权接入:违反系统的安全政策而存取系统中的数据,比如通过后门、木马或其他手段接入信息系统等。4)拒
3、绝服务:当一个服务不能执行它的正当功能,或它的动作妨碍别的实体执行他们的正当功能的时候,便发生拒绝服务。5)抵赖:不承认收到的信息和所做的操作和交易。6)恶意代码或病毒:具有自我复制、自我传播能力,对信息系统构成破坏的程序代码。7)泄密:机密泄漏,机密信息泄漏给他人。8)物理接触:物理接触、物理破坏或盗窃。信息系统规划风险1、总体需求规划风险1)企业当前的总体需求与信息化系统不对应造成的风险。2)企业当前的财力不能支持信息化系统的实施。2、设计选型风险1)信息化系统正常运行后,各项业务是否都能处于有效的控制中。2)信息化系统软件提供商和系统集成商的行业应用经验、研发能力、信誉、服务品质等对项目
4、规划造成的风险。3、规划控制风险1)项目实施计划的不科学2)财务预算与资金来源不能保证;3)协调与沟通不畅对项目实施造成的风险4、管理文化风险安全管理无法落实,不到位,造成安全管理不规范,或者管理混乱,从而破坏信息系统正常有序运行信息系统架构风险1)信息系统架构不合理导致系统重复建设,对资源造成浪费。2)信息系统架构不合理导致网络传输出现不畅甚至断路。信息系统运行风险1、运行阶段风险1)应用程序运行中溢出或出错。2)应用程序运行中无法得出正确结果。2、维护硬件风险1)整机部件老化。2)零部件损坏。3、维护软件风险1)数据备份风险。2)数据恢复及数据时间性风险。3)维护人员配置、素质及流动风险。4、管理文化风险1)企业战略调整或观念改变风险。2)管理组织岗位或职能调整风险。3)管理模式或商业模式创新风险。信息系统风险信息系统运行风险
