| R3001 | 信息安全 | 物理安全 | 物理安全边界定义 | 物理安全区域划分标准不明确、不清晰 | 物理安全区域划分标准不明确、不清晰,可能导致无法有效保证重要信息科技设备的安全,难以实现资源最优配备,对其实施有效的预防、检测和恢复控制措施。 |
| R3002 | 安全边界保护措施 | 物理安全区域保护措施不完善 | 物理安全区域保护措施不完善,包括人员值守巡检、监控报警等方面,可能导致未经授权的访问,无法有效保证重要信息科技设备的安全。 |
| R3003 | 门禁管理 | 物理安全区域门禁授权机制不完善,未进行权限的检查 | 物理安全区域门禁授权机制,包括权限配置、授予、定期检查、回收等过程不完善,可能导致未经授权的访问,非授权访问者可以直接给信息系统带来物理破坏或进行数据窃取;未进行权限检查,可能导致不能及时发现授权机制存在的缺陷并持续完善。 |
| R3004 | 机房人员出入管理 | 人员出入机房未进行有效管控 | 机房出入管理中对人员的进出没有严格按照流程进行管理,或者进入过程没有严格遵循申请审批流程,可能导致非授权访问;未详尽记录人员进出情况,可能导致物理安全事件发生后无法溯源追责。 |
| R3005 | 机房设备出入管理 | 设备出入机房未进行有效管控 | 机房出入管理中对设备的进出没有严格按照流程进行管理,设备进入过程缺少审批,可能导致非授权设备进入机房;设备带出未进行有效登记,可能导致设备带出后无据可查,设备丢失后无法确认责任人。 |
| R3006 | 监控覆盖范围 | 安全监控未能全面覆盖机房、操作间、园区和办公出入口等重要物理安全区域 | 物理安全区域监控覆盖范围不全面,可能导致无法及时发现未经授权的物理安全区域访问,设备或人员非授权进出不能及时发现和记录。 |
| R3007 | 监控资料保存 | 物理安全区域监控资料保存不完整,保存期限短于相关规定 | 物理安全区域监控资料保存不完整,可能导致设备或人员非授权进出无法溯源追责。 |
| R3008 | 机房选址 | 机房选址时未对周围环境条件进行充分的评估 | 机房建设选址未评估,未考虑环境安全威胁,可能导致物理条件(防震、防风、承重等)不能满足设备运作要求或安全受到威胁,遭受自然和人为灾害的风险增加。 |
| R3009 | 基础设施配置 | 机房基础设施配置不完善,未经过有效验收 | 机房基础设施配置不完善,未经过有效验收,可能导致机房基础设施不能满足重要信息系统持续运行的需求。 |
| R3010 | 资料保存 | 机房规划、设计、建设、改造有关文档未妥善保存 | 机房建设或改造竣工后,未妥善保存相关资料和文档,不利于日后机房的安全管理及安全事件处理。 |
| R3011 | 日常巡检 | 机房管理人员未执行定期日常巡检,或巡检未有效执行 | 未安排定期设备日常巡检,或巡检未按照要求有效执行,未能及时发现设备运行异常情况,造成业务中断和银行财产受损。 |
| R3012 | 环境监测 | 机房管理人员未在机房部署监控系统,对物理环境(温度、湿度、灰尘、火情、水情、电力供应等)进行统一监测,或监控阈值设置不合理 | 未对物理环境(温度、湿度、灰尘、火情、水情、电力供应等)进行统一监测,或监控阈值设置不合理,可能导致未能及时发现环境变化或突发事件发生,引起业务中断和银行财产受损。 |
| R3013 | 定期维护 | 机房基础设施维护人员未对基础设施进行定期维护 | 未对机房基础设施进行定期维护,如UPS、供配电设施、空调设施、消防系统等,可能导致基础设施故障无法被及时排除,影响信息系统正常持续运行。 |
| R3014 | 网络安全 | 安全分区与隔离 | 网络安全区域未按可信级别统一划分 | 网络安全区域未按可信级别划分,可能导致网络安全域划分不合理,不统一,无法对不同安全域采取不同的安全策略,实现对网络安全域内资源的有效保护。 |
| R3015 | 访问控制策略制定 | 网络安全域间的访问未能按照最小需求原则配置访问控制策略 | 网络安全域间的访问未能按照最小需求原则配置访问控制策略,访问控制粒度未达到地址和端口级,未对常见病毒、蠕虫传播端口进行过滤,可能导致各网络安全域之间未进行有效访问控制,发生非授权访问和病毒传播,无法实现对各网络安全域内资源的有效保护,造成信息泄露。 |
| R3016 | 访问控制策略更新与审核 | 网络安全域之间的访问控制策略未及时更新,过期不用策略未及时清除 | 网络安全域之间的访问控制策略未及时更新,过期不用策略未及时清除,可能导致策略不适用当前网络安全域分区情况,造成非授权访问,无法实现对网络安全域内资源的有效保护。 |
| R3017 | 网络安全域间的访问控制策略部署未按照相关流程经过审核,未获得授权 | 网络安全域间的访问控制策略部署未按照相关流程经过审核,未获得授权,可能导致访问控制策略非授权部署,无法实现对各网络安全域内资源的有效保护,造成信息泄露。 |
| R3018 | 外联网安全 | 外联网出口连接外部网络使用的通信线路类型不符合相关管理办法规定 | 外联网出口连接外部网络使用的通信线路类型不符合相关管理办法规定,使用了互联网等公共性质的网络通信线路,可能导致重要网络暴露在公共环境下,黑客可以通过端口扫描获取访问目标或进行窃听,给恶意攻击和非授权访问提供了渠道。 |
| R3019 | 外网与内网之间的访问控制策略不完善 | 外网与内网之间未通过外联防火墙实现完善的访问控制策略,如DMZ区对外网区开放了非业务必须的地址和服务端口,访问控制策略未限制到DMZ区主机的地址和端口等,可能导致无法有效控制DMZ区主机、内网区主机对外网区资源的访问,或外网区直接可以发起连接访问内网区。 |
| R3020 | 外联网区域真实地址信息未通过地址转换隐藏 | 外联网的DMZ区及内网区真实地址信息未通过地址转换隐藏,可能导致银行内部网络IP地址直接透给外部机构。 |
| R3021 | 互联网安全 | 互联网出口实际用途与应承载的业务类型不同 | 互联网出口实际用途与应承载的业务类型不同,可能导致无法有效控制互联网服务的提供以及对互联网资源的访问,发生非授权访问、恶意攻击、信息泄露等。 |
| R3022 | 不同类型互联网出口区域未定义不同的访问控制策略 | 不同类型互联网出口区域未定义不同的访问控制策略,可能导致无法有效控制互联网服务的提供以及对互联网资源的访问,发生非授权访问、恶意攻击、信息泄露等。 |
| R3023 | 互联网区域真实地址信息未通过地址转换隐藏 | 互联网的DMZ区、AP/DB区及内网区真实地址信息未通过地址转换隐藏,可能导致银行内部网络IP地址直接透给外部机构。 |
| R3024 | 面向互联网开放服务的应用未遵循分层部署原则 | 面向互联网开放服务的应用未遵循分层部署原则,如WEB服务器、前置服务器未部署于DMZ区,应用服务器和数据库服务器未部署于AP/DB区,可能导致重要服务器面向互联网,缺少有效的访问控制措施,导致其访问路径暴露在互联网上,给黑客攻击提供渠道。 |
| R3025 | 内网用户的上网管理策略不完善 | 内网用户的上网管理策略不完善,包括访问互联网的方式,上网专用终端、专用上网业务终端的安全要求,除上网代理服务器外的内网服务器区主机访问互联网的审批管理,和内网用户的上网行为管理等,可能导致非授权访问互联网,内网资源暴露,而发生信息泄露或遭受恶意攻击、病毒感染等。 |
| R3026 | 入侵防护机制未明确定义,或在网络边界处未完全部署入侵检测设备 | 入侵防护机制未明确定义,或在网络边界处未完全部署入侵检测设备,可能导致在网络受到危害之前无法及时拦截和响应入侵,造成网络服务瘫痪,或未授权人员获取网络资源。 |
| R3027 | 网络安全监测 | 网络安全监测未能全面覆盖重点网络区域 | 安全监测未全面覆盖重点网络区域,可能导致不能及时发现所有重点网络区域的安全问题。 |
| R3028 | 网络安全监测策略设计不充分或未完全部署 | 网络安全监测策略设计不充分或未完全部署,可能导致恶意代码攻击行为成功,无法过滤非法数据,无法及时发现异常行为等,造成安全事件的发生。 |
| R3029 | 网络监测分析不充分,缺乏必要的监测分析工具、情报输入以及专业人员 | 网络监测分析不充分,如缺少专业的安全分析人员和分析工具,缺少外部情报输入,未结合历史监测数据等,可能导致关键异常行为未被识别,安全威胁来源趋势不能充分识别,不能及时采取相关应对措施。 |
| R3030 | 系统安全 | 安全基线 | 系统(包括主机、应用系统、数据库等)安全基线未明确定义,或不完善,未能覆盖所有的系统类型 | 系统(包括主机、应用系统、数据库等)安全基线未明确定义,或不完善,未完全部署安全基线,未配置合理权限,如未及时安装补丁,未开启防病毒程序,未禁用不必要的网络服务,未开启日志记录及配置日志策略,未配置账户安全策略,服务器进程以管理员权限运行等,可能导致系统自身存在安全弱点,发生资源非授权使用,信息泄露等安全事件。 |
| R3031 | 系统备份 | 系统安全配置未进行备份 | 系统安全配置未进行定期备份,可能导致系统发生故障后无法及时恢复安全配置。 |
| R3032 | 远程访问控制 | 系统远程访问控制策略未得到审批 | 服务器的远程访问未经过申请审批,无法控制远程访问地址,可能导致非法访问。 |
| R3033 | 入侵检测 | 重要服务器未对入侵行为进行检测 | 重要服务器未对入侵行为进行检测,无法尽早发现入侵攻击事件,可能导致信息系统遭到攻击造成信息泄露、业务中断等。 |
| R3034 | 应用安全 | 安全需求标准 | 不同应用系统未定义不同的安全需求标准,或安全需求标准未明确定义 | 不同应用系统未定义不同的安全需求标准,或安全需求标准未明确定义,可能导致应用系统安全需求考虑不充分,自身存在安全弱点。 |
| R3035 | 安全需求和设计定义 | 应用系统开发过程中未充分考虑安全需求,并进行安全设计 | 未按照要求在应用系统开发过程中充分考虑安全需求,如SQL注入漏洞、路径遍历漏洞等的防范,安全需求被忽略或安全功能考虑不足,或未对安全需求的实现方式进行有效设计,可能导致应用系统开发完成后存在安全隐患,造成信息泄露或易遭受攻击。 |
| R3036 | 需求分析和设计评审 | 安全需求分析和安全设计未经过有效评审 | 安全需求分析和安全设计未经过有效评审,可能导致安全需求分析不到位,不充分,或安全设计不合理,在设计方案中使用的实现方法、使用的设计工具不当、方案存在含糊不清的地方等,若未能及时发现调整,导致开发完成后,应用系统自身存在安全弱点,未满足安全需求标准。 |
| R3037 | 安全代码标准 | 针对应用系统的开发未制定安全代码标准 | 针对应用系统的开发未制定安全代码标准,无法从源头上避免安全漏洞的引入,可能导致开发完成后,应用自身存在安全弱点,进而被利用造成安全事件发生。 |
| R3038 | 安全代码检测 | 开发过程中未严格执行有关代码质量控制机制,未对代码进行安全检测,未对安全质量进行严格把控 | 系统开发过程中未严格执行有关代码质量控制机制,未对代码进行安全检测,未对安全质量进行严格把控,如开发阶段项目组未通过工具和人工结合的方式进行代码安全的审查,人工代码走查未同时采用双人互查与项目经理抽查两种方式,在测试阶段未再次使用工具进行代码审查等,可能导致开发完成后,应用自身存在安全弱点,进而被利用造成安全事件发生。 |
| R3039 | 投产环境安全评估 | 应用投产前未对投产环境进行有效的安全评估,包括系统环境、网络环境等 | 应用投产前未对投产环境进行有效的安全评估,包括系统环境、网络环境等,导致投产后,可能因环境存在安全隐患而发生安全事件。 |
| R3040 | 数据安全 | 数据分类 | 数据分类标准未明确定义,分类不准确,敏感数据未被全面准确识别 | 数据分类标准未明确定义,分类不准确,敏感数据未被全面准确识别,可能导致敏感数据未被有针对性的施加保护,导致敏感数据泄露。 |
| R3041 | 保护要求 | 数据管理和使用过程中未根据数据分类,明确数据保护要求 | 数据管理和使用过程中未根据数据分类,明确数据保护要求,未采取相应的数据保护措施可能导致数据泄露,关键数据因不完整而失效、数据不可用而影响业务的连续性造成业务中断等。 |
| R3042 | 数据调用 | 数据调用缺乏必要的授权流程 | 数据外借、查询,数据备份介质外借等数据提取过程前未经过有效审批,可能导致数据滥用和重要信息泄露,影响银行声誉。 |
| R3043 | 数据清理和销毁 | 数据清理和销毁缺乏必要的审核标准 | 数据清理和销毁缺乏必要的审核标准,可能导致误操作或恶意操作,造成信息泄露等。 |
| R3044 | 数据备份策略 | 重要数据备份及日志备份策略定义不完善,备份工作开展不充分 | 重要信息系统备份及日志备份策略不完善,如备份对象不全面,备份方式选择不当,备份数据的存放地点和环境不符合安全要求,导致备份无效或不能满足应用系统的业务连续性需求。 |
| R3045 | 数据备份执行 | 备份未按备份策略执行,或执行无效 | 备份未按备份策略执行,或执行无效,可能导致数据备份失败。 |
| R3046 | 数据备份介质管理 | 数据备份存储介质的管理不完善 | 数据备份存储介质的管理不完善,如物理存放环境,保存期限,管理人员职责,借出归还等,导致存储介质受到破坏,数据损坏丢失。 |
| R3047 | 数据备份恢复测试 | 备份数据未定期进行恢复测试 | 备份数据未定期进行恢复测试,验证备份数据的可用性,可能导致当灾难发生时无法从备份载体中恢复数据。 |
| R3048 | 终端安全 | 终端使用策略 | 终端外设接入未按照相关规定进行有效控制 | 终端外设接入未按照相关管理规定进行有效控制,如未禁用USB接口、存储卡、带刻录功能的光盘等存储设备,未设置Bios密码,可能导致信息泄露,病毒感染等安全事件发生。 |
| R3049 | 终端软件安装未经过授权 | 终端软件的安装未经过授权,未经授权安装运行的软件自身可能存在安全漏洞,可能导致终端安全受到威胁,导致信息泄露或病毒感染。 |
| R3050 | 终端未安装银行统一要求的防病毒软件,未及时更新病毒库 | 终端未安装银行统一要求的防病毒软件,未及时更新病毒库,可能导致终端感染病毒,对生产环境等造成破坏,造成信息泄露、业务中断等安全事件。 |
| R3051 | 终端未及时下载并安装安全补丁 | 终端未及时下载并安装安全补丁,可能导致终端存在安全漏洞,被不法分子利用,而遭受安全攻击。 |
| R3052 | 终端使用审批管理 | 终端生命周期各阶段,包括领用和登记、回收和再分配、检修及送修、报废及捐赠、遗失处理等阶段,操作未经过有效审批 | 终端生命周期各阶段,包括领用和登记、回收和再分配、检修及送修、报废及捐赠、遗失处理等阶段,操作未经过有效审批,可能导致终端管理混乱,终端毁坏、遗失、信息泄露等。 |
| R3053 | 设备盘点 | 终端设备未进行定期盘点 | 终端设备未进行定期盘点,可能导致无法及时发现终端设备的遗失、损毁等,无法保证信息资产的完整性。 |
| R3054 | 报废处置 | 终端报废处置前未对重要数据实施妥善清理 | 终端报废处置前未对敏感数据实施妥善清理,可能导致重要数据泄露。 |
| R3055 | 用户管理 | 用户分类定义 | 用户分类标准未明确定义 | 用户分类标准未明确,无法对各类用户制定不同的管理流程,可能导致用户越权访问或操作。 |
| R3056 | 权限变更审批管理 | 用户生命期中,创建、变更和注销申请未经过有效审批,未保存记录 | 用户创建、变更和注销申请未经过有效审批,可能导致非授权访问行内资源,造成信息泄露,操作未以电子或纸质方式留存记录,可能导致安全事件发生后无法溯源追责。 |
| R3057 | 用户权限管理 | 用户权限分配策略不完善 | 用户权限分配策略不完善,未按照“最小权限适用”、“关键权限分离”的原则进行分配,可能导致用户权限分配不合理,因权限过大导致资源滥用,越权操作,信息泄露。 |
| R3058 | 用户行为审计 | 用户操作行为审计未能全面覆盖所有类型用户的操作行为 | 对用户操作行为进行审计的覆盖范围不全面,可能导致不能及时发现异常操作行为,如非授权操作。 |
| R3059 | 用户操作行为审计结果未被有效跟踪 | 用户操作行为审计结果未被有效跟踪,未及时整改审计发现的问题,可能导致问题依然存在,进而造成更大的安全事故。 |
| R3060 | 恶意软件防范 | 恶意软件检测 | 恶意软件检测措施不完善 | 恶意软件检测措施不完善,如未在服务器和终端部署防病毒软件,未在网络边界部署防病毒机制、部署邮件安全扫描产品,未监测终端异常网络行为等,可能导致不能及时发现银行网内恶意软件并清除。 |
| R3061 | 来源阻断 | 常见的恶意软件传播渠道未被全面阻断 | 常见恶意软件传播渠道阻断措施不完善,未全面实施上网行为管控、终端联网行为管控、移动介质管控、可疑邮件过滤、网络限制常见蠕虫散播端口、规范软件介质获取来源等阻断措施,可能导致恶意软件在银行网内传播。 |
| R3062 | 补丁管理 | 系统补丁未及时更新 | 未及时发现系统漏洞并更新系统补丁,可能导致被黑客利用,进行系统攻击。 |
| R3063 | 环境隔离? | 不同类型业务环境未被隔离 | 不同类型业务环境未被隔离,可能导致无法在恶意软件大范围爆发时通过隔离措施控制危害影响范围。 |
| R3064 | 安全漏洞管理 | 检测要求? | 漏洞检测要求未明确定义 | 信息安全漏洞检测要求未明确定义,包括需要进行安全检测的信息系统范围;安全检测时间要求,包括检测周期、新系统上线前的检测和大版本上线前的检测等;安全检测使用的工具和方法,检测重点的选择;检测结果的报送、安全态势预警信息的接收和处理等,可能导致漏洞检测不全面,检测效果不佳,未及时全面发现存在的安全漏洞,无法全面避免安全事件的发生。 |
| R3065 | 检测范围 | 漏洞检测未能全面覆盖所有规定信息系统,或未考虑新技术应用引发的安全漏洞或威胁 | 漏洞检测范围未全面覆盖所有规定信息系统,或未覆盖新技术引发的安全漏洞或威胁,可能导致存在的漏洞没有及时识别,造成漏洞被利用,发生安全事件。 |
| R3066 | 检测工具 | 漏洞检测前,未对检测工具实施升级 | 漏洞检测前未先行对检测工具实施升级,未确保使用最新的漏洞特征库对信息系统进行检测,可能导致存在的漏洞没有及时识别,造成漏洞被利用,发生安全事件。 |
| R3067 | 漏洞级别划分 | 漏洞级别划分标准和定级方式不明确,漏洞修复策略制定依据未明确定义 | 未依照相关漏洞管理规定基于信息安全漏洞的潜在威胁级别,明确漏洞级别划分标准和定级方式,为漏洞修复策略的制订提供依据,可能导致漏洞修复不及时或修复不到位,造成漏洞被利用,发生安全事件。 |
| R3068 | 漏洞修复要求 | 漏洞修复要求未明确定义 | 未明确信息安全漏洞的修复要求,如需要修复的漏洞类型;各类漏洞完成修复的时间要求;高风险漏洞的紧急处置策略;漏洞修复后的复测;漏洞修复结果的跟踪;漏洞修复结果的报送等,可能导致漏洞修复不及时或修复不到位,造成漏洞被利用,发生安全事件。 |
| R3069 | 漏洞修复复测 | 漏洞修复后未进行复测 | 漏洞修复后未进行复测,可能导致漏洞修复不彻底未被及时发现,应用系统正常运行受到影响。 |
| R3070 | 安全事件管理 | 安全划分标准 | 信息安全事件分类、各类事件的严重性级别划分标准不完善,对应流程设计不完善 | 信息安全事件分类、各类事件的严重性级别划分标准不完善,不能根据事件类别和严重级别分别制订应对处置流程,可能导致安全事件处理不及时不到位。 |
| R3071 | 安全事件监测范围 | 事件监测未能全面覆盖主要的安全事件类型 | 事件监测覆盖的事件范围不全,未全面包括主要的安全事件类型,如用户生命周期相关事件;登录及认证相关事件;违反访问控制策略的事件;关键操作记录;其他物理、网络、系统、应用安全相关重要安全事件等,可能导致安全事件发生后未及时监测发现,不能及时采取应对措施解决处理。 |
| R3072 | 安全事件日志管理 | 事件日志记录信息不全面,保护不当 | 事件日志记录信息不全面,可能导致事件分析依据不足,分析不到位;日志保存不当,如保存期限、物理环境等不符合要求,未定期进行日志备份等,可能导致日志保护不到位,日志信息丢失。 |
| R3073 | 安全事件响应与处置及时性 | 事件响应与处置不及时 | 事件响应与处置不及时,可能导致安全事件影响扩大化,如病毒处置不及时导致病毒扩散范围扩大。 |
| R3074 | 安全事件处置方案 | 事件处置方案未得到有效审核 | 事件处置方案未得到相关人员的有效审核,可能导致不当处置方案应用,影响事件处置效率和效果,进而影响北京银行生产运行恢复。 |
| R3075 | 安全事件处置结果跟踪 | 处置结果未得到及时跟踪 | 未对处置结果进行及时跟踪,对处置效果不佳的情况,未及时整改处理,可能导致事件处置不彻底,或存在安全隐患,影响北京银行生产运行。 |
| R3076 | 安全事件分析 | 事件分析不充分,包括对发生原因和潜在后果的分析 | 事件分析不充分,包括对发生原因和潜在后果的分析,如未将多个相关事件源的日志信息进行关联分析,可能导致事件未从根源上解决,事件或关联事件重复发生。 |
| R3077 | 安全事件报告 | 信息安全事件报告流程未明确定义,或未及时上报 | 信息安全事件报告流程未明确定义,或未及时上报,可能导致安全事件不能及时告知有权人进行决策,发生不正确的信息安全事件处理,给银行带来经济、名誉上的损失。 |
| R3078 | 安全事件场景设计 | 安全事件管理中安全事件场景设计不充分 | 安全事件管理中安全事件场景设计不充分,可能导致不能确保不同场景发生的安全事件均能迅速、科学、有序地应对,最大程度减少突发安全事件造成的损害。 |
| R3079 | 安全演练 | 安全演练未按照相关规定有效进行,或未对演练结果进行跟踪 | 安全演练未按照相关规定有效进行,或未对演练结果进行跟踪,可能导致无法达成演练目标,不能有效验证安全预案的有效性,或不能根据演练结果对预案作出调整和完善。 |
| R3080 | 安全评估与评测 | 系统定级 | 系统定级未符合等级保护要求 | 系统定级未符合等级保护要求,可能导致相应系统保护措施不到位,导致合规风险。 |
| R3081 | 等级测评 | 信息系统未按照等级保护要求开展定期测评 | 信息系统未按照等级保护要求开展定期测评,可能导致不能及时发现不符合等级保护要求的情况,无法及时整改。 |
| R3082 | 测评结果应用 | 等级保护测评发现的问题尚未得到及时修正,未能够有效应用到安全管理体系完善中 | 等级保护测评发现的问题尚未得到及时修正,未能够有效应用到安全管理体系完善中,
? ?可能导致问题缺陷仍然存在,信息系统仍受到安全威胁,甚至存在合规风险。 |
| R3083 | 安全评估范围 | 信息安全评估未全面覆盖所有重点领域 | 信息安全评估未全面覆盖所有重点领域,如网上银行、互联网应用等,可能导致未及时全面识别重点领域存在的信息安全风险,无法及时整改,留有安全隐患。 |
| R3084 | 评估结果应用 | 评估结果未进行追踪,或未有效利用以弥补信息系统安全缺陷 | 评估结果未进行追踪,或未有效利用以弥补信息系统安全缺陷,可能导致信息系统安全缺陷仍存在,若尚未及时修复的安全漏洞被利用,造成安全事件的发生。 |
| R3085 | 服务资质 | 安全服务商或服务人员资质不足 | 安全服务商或服务人员资质不足,可能导致无法正常开展安全评估与评测等安全服务活动或是服务结果不符合专业要求。? |
| R3086 | 保密协议 | 安全服务商信息保密控制不到位,未与安全服务商签署保密协议 | 安全服务商信息保密控制不到位,未签署保密协议,可能导致信息泄露,或安全漏洞被不法分子利用。 |