常见 IT 资源的风险分类示例

根据风险评估的结果，与使用信息技术资源相关的风险可划分为三个不同的风险类别，即高风险、中等风险和低风险。风险评估应根据使用目的来考虑，良好的评估通常需要对突出的业务或操作问题有充分的了解。

为帮助 IT 资源用户和所有者针对其特定的使用情况进行适当的风险评估，本文件以常见的 IT 资源类型为例，介绍了一些风险分类示例。

由于风险评估与使用目的密切相关，预计在某些情况下，参考分类可能不够充分。我们强烈建议 BIMSA 的所有成员在使用任何 IT 资源之前对任何相关风险进行评估，如有疑问，应始终采用更强的保护措施。

风险类别： 高风险

高风险项目是指法律要求保护的项目，或一旦泄露会对研究院的业务、安全或财务造成重大影响的项目。属于高风险类别的常见 IT 资源包括但不限于以下内容：

数据层面

• 根据 BIMSA 数据分类指南以电子形式保存的受限数据
• 员工个人档案
• 学生个人档案
• 校友个人档案
• 捐赠者个人档案
• 财务数据
• 保密协议或合同

应用系统层面

• 处理高风险数据的应用系统
• 中央行政信息系统
• 中央电子邮件系统

终端层面

• 用于存储高风险数据的台式机或笔记本电脑

服务器层面

• 支持高风险应用程序的服务器
• 支持 IT 基础设施的服务器

网络层面

• 容纳高风险服务器的中央主干网络

风险类别：中度风险

中度风险项目是指一旦遭到破坏，可能会对研究所的业务、安全或财务造成明显影响的项目。属于中度风险类别的常见信息技术资源包括但不限于以下内容：

数据层面

• 非公开研究数据
• 非公开会议记录
• 使用和访问日志
• 含有可识别个人身份信息的非敏感数据

应用系统层面

• 处理中等风险数据的应用软件
• 学习管理系统
• 官方网站

终端层面

• 用于办公的台式电脑或笔记本电脑
• 计算机房的台式计算机

服务器层面

• 支持中等风险应用程序的服务器

网络层面

• 容纳中等风险服务器和终端的网络
• 办公室网络
• 教学场所网络
• 研究实验室网络
• 教职工住宅网络

风险类别： 低风险

低风险项目是指未被归类为高风险或中度风险的项目。应注意的是，即使是被归类为低风险的资源，在适用情况下也应符合最低安全标准。