信息资产分级分类标准
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
本文件目的在于通过对信息资产进行合理的分类,为信息资产管理提供科学、有效的方式。对现有信息资产进行信息安全属性的赋值,并对其进行等级划分,从而为以后的安全解决方案及安全保护措施的采用提供依据。
2.适用范围
本文件的适用于公司的信息资产的相关管理工作。
3.术语、定义和缩略语
无
4.职责
4.1.信息化科
负责本制度的制定与更新,协调和监督资产分级分类工作的实施。
4.2.信息资产管理人
负责信息资产的管理工作,负责相关信息资产的识别与登记。
4.3.全体员工
协助信息资产管理人进行资产的识别与分类工作。
概述信息资产是组织直接赋予了价值因而需要保护的东西。它可能是以多种形式存在,有无形的、有形的、硬件、软件、文档、代码、服务和组织形象等。它们分别具有不同的价值属性和存在特点,其存在的弱点、面临的威胁、需要进行的保护和安全控制都各不相同。为此,有必要对组织、机构中的信息资产进行科学分类,让组织清晰的了解需要重点保护的对象,并为的信息安全风险评估及信息安全解决方案的设计提供依据。
5.资产分类
5.1.硬件
主要指组织中的硬件信息设备,包括计算机硬件、路由器、交换机、硬件防火墙、加密设备、布线、备份存储设备等。硬件资产单指硬件设备,不包括运行在硬件设备中的软件系统、IOS、配置文件和存储的数据等,软件本身属于软件资产,运行中的软件系统和IOS等属于服务资产,配置文件和存储的数据属于数据资产。
5.2.软件
软件是现代组织中重要的信息资产之一,与组织的硬件资产一起构成了组织的整个的IT信息环境。一般情况下,软件资产包括已经安装并正在运行中的软件,软件的许可证、存储的媒体等,与可能安装或运行的硬件无关,软件的价值主要体现在已经安装并运行的软件提供应用和功能,也包括本身的许可证、序列号、软件使用权等。
安装或运行后的软件,也为组织提供服务和应用的功能,也有一定的服务的性质,但服务类资产强调的是业务流程和业务服务能力,是一个抽象的概念,一般不是一个软件就能提供,而是由一套有机组成的系统提供,包括软件提供的服务,标准和配置,人员的操作等,所以服务资产有别于软件资产。
数据在信息资产中占有非常重要的地位,通常作为组织知识产权、竞争优势、商业秘密的载体。属于需要重点评估、保护的对象。
通常,数据类资产需要保护的安全属性是机密性。例如,财务信息和薪酬数据就是属于高度机密性的数据。但是,完整性的重要性会随着机密性的提高而提高。
数据还包括纸质的各种打印和非打印的各种文档和文件,包含了组织有价值的信息,又以纸质的方式来保存,包括文件、合同、传真、财务报告、发展计划、业务流程、通讯录、组织人员职责等等。
5.4.人员
主要指组织与信息相关的人员和组织,包括各级安全组织,安全人员、各级管理人员,网管员,系统管理员,业务操作人员,第三方人员等与被评估信息系统相关人员和组织。
5.5.环境设施
指为了保障IT信息环境正常有效运行而建立的环境保护和支持设施,包括为保障IT信息系统正常运行的供电设施、空调制冷设施、排气设施等,以及为保护IT信息系统及相关硬件、数据不被非法访问而部署的门禁、监控、保险柜、文件柜等设施。
5.6.服务
服务在信息资产中占有非常重要的地位,通常作为组织运行管理、商业业务实现等形式存在。属于需要重点评估、保护的对象。
通常服务类资产最为需要保护的安全属性是可用性。但是,对于某些服务资产,完整性和机密性也可能成为重要的保护对象。例如通常的门户网站的新闻浏览、计算环境等的可用性最为重要。但是,完整性也同样重要,例如门户站点的主页被修改,造成的损失也可能是灾难性的。
服务类资产强调的是业务流程和业务服务能力,是一个抽象的概念,一般由一套有机组成的系统提供,包括软件提供的服务,标准和配置,人员的操作,各种资源提供的支持等。
5.7.资产分类列表
参照ISO27001对资产的描述和定义,将公司信息相关资产按照下面的分类方法进行分类:
以上资产分类列表可以在进行资产登记和风险评估过程中作为重要参考依据,也可以以此为基础对按照需求相关资产进行更细致的分类。
6.资产赋值与分级
6.1.赋值总述
资产分别具有不同的安全属性,机密性、完整性和可用性分别反映了资产在三个不同方面的特性。安全属性的不同通常也意味着安全控制、保护功能需求的不同。通过考察三种不同安全属性,可以得出一个能够基本反映资产价值的数值。对资产进行赋值的目的是为了更好地反映资产的价值,以便于进一步考察资产相关的弱点、威胁和风险属性,并进行量化。
对安全属性赋值时考虑的是对整个评估对象影响和损害,然后按照下面的赋值标准来衡量。这里整个评估对象是指评估的主体,可能是评估范围内的所有资产组成的系统,也可能是一个部门,也可能是整个组织。
机密性、完整性和可用性的定义如下:
●机密性:确保信息在存储、使用、传输过程中不会泄漏给非授权用户或实体;
●完整性:确保信息在存储、使用、传输过程中不会被非授权篡改,防止授权用户或实体不
恰当地修改信息,保持信息内部和外部的一致性。;
●可用性:确保授权用户或实体对信息及资源的正常使用不会被异常拒绝,允许其可靠而及
时地访问信息及资源。
通过考量受到损失时对整个评估对象的影响,其赋值表格如下:
6.2.资产赋值说明
(一)硬件
(二)软件
(三)数据
(四)文档
(六)
人员
资产价值用于反映某个资产作为一个整体的价值,综合了机密性、完整性和可用性三个属性。
在资产赋值中使用下面的公式来计算资产价值赋值:
Asset Value =Conf*Int*Avail
其中,Conf代表机密性赋值;Int代表完整性赋值;Avail代表可用性赋值。
注:该算式属于经验算式,使用与否、使用的方式根据经验和需要来决定。