ISO27001信息资产识别和分类培训共25页PPT资料
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
资产编号
调制解调器 调制解调器 激光打印机 激光打印机 复印机 笔记本电脑 网络集中器 以太网卡 以太网卡 以太网卡 磁带驱动器 备份磁带 DVD刻录机 存档CD/DVD
资产
资产例子——实体资产
所有者/位置 货仓 服务器 物流 货仓 物流 总经理 网络×2 市场&销售×2 物流×5 财务×3 服务器 服务器×3 服务器 服务器
资产例子——信息资产
所有者/位置 服务器 服务器 服务器 服务器 服务器 服务器 服务器 服务器 市场&销售 服务器 市场&销售
资产编号
资产 供应商合同 供应商合同 供应商合同 财务合同 预算 销售合同(信用卡) 销售合同(信用卡) 销售合同 销售合同 银行声明 账单 合同发票 客户信息
资产例子——纸质文件
信息资产 ISO27001 识别与分类
myulo:企业管理实战专家
信息安全事件损失估算
直接损失:(水上面的部分) 损失了数据 间接损失(5~30倍直接损失) 损失了时间 替代成本 法律费用 声誉受损 丢失了潜在业务 生产力受损
信息安全评估标准
国外标准 信息技术安全性评估准则ISO15408,GB/T18336 ISO13335信息安全管理规范 信息安全管理标准ISO17799
资产编号
资产 Windows98 operating system Windows98 operating system Windows98 operating system Windows98 operating system Microsoft Word 2000 Microsoft Word 2000 Microsoft Word 2000 Microsoft Access 2000 Microsoft Access 2000 Microsoft Access 2000 Microsoft Access 2000 Microsoft PowerPoint 2000 Microsoft PowerPoint 2000 Microsoft PowerPoint 2000
国内标准 信息安全风险评估指南
风险管理各要素之间的关系
业务战略
依赖
脆弱性
暴露
资产
拥有
资产价值
成本
利用
威胁
增加
风险
安全需求
导出
被满足
残留
演变
事件
可能诱发
残余风险
未控制
安全措施
风险评估的相关术语
资产(Asset)任何对组织有价值的东西,是一 个完整信息系统的组成部分,是风险评估的对象。
威胁(Threat) 可能导致对系统或组织的损害的 不期望事件发生的潜在原因
所有者/位置 财务 物流 市场&销售 财务 财务 财务 区域经理 物流 市场&销售 财务 财务 财务 市场&销售
资产编号
退税 信件 信件 公司介绍 外包服务合同 快信投寄单 供应商清单 客户信息 个人文件
资产
资产例子——纸质文件
所有者/位置 财务 财务 市场&销售 财务 物流 物流 物流 市场&销售 市场&销售
资产例子——软件资产
所有者/位置 财务×3 物流×5 货仓 市场&销售 财务×3 物流×5 市场&销售×2 财务×3 物流×5 货仓 市场&销售×2 财务×3 物流×5 市场&销售×2
资产编号
资产 Microsoft Outlook 2000 Microsoft Outlook 2000 Microsoft Outlook 2000 Microsoft Outlook 2000 金碟财务软件 PC Anywhere远程监控 PC Anywhere远程监控 PC Anywhere远程监控 金碟K3仓储软件 Pretty Good Privacy
是;公司电脑共享上网
是;公司上网用 是;公司例会,顾问去客 户那里讲课用 是;客户启动大会拍照用
其他资产例子2
资产编码
资产名称
类别
位置
用途 应用情况
EB-DOC-010 OA源代码
数据 192.168.0.5
脆弱性(Vulnerability)可能会被一个或多个威 胁所利用的资产或一组资产的弱点
风险分析原理
资产识别 脆弱性识别
威胁识别
价值 严重程度 出现的频率
损失 可能性
风险值
资产识别与分类
数据
存在信息媒介上的各种数据资料,包括源代码、数据 库数据、系统文档、运行管理规程、计划、报告、用 户手册等
软件 系统软件、应用软件、源程序、数据库等
硬件 文档 人员
网络设备、计算机设备、存储设备、移动存储设备、 传输线路、保障设备、安全保障设备、其他电子设备 等
纸质的各种文件、传真、电报、财务报告、发展计划 等
各级人员
服务 办公服务、网络服务、信息服务等
资产 薪资方案表 采购合同表-供应商 采购合同表-订约人 区域销售合同 股票控制记录 销售合同-Access数据库 供应商清单-Access数据库 金碟财务记录 销售代理清单 邮件 培训资料
资产例子——软件资产
所有者/位置 财务×3 物流×5 货仓 市场&销售×2 财务×3 货仓 服务器 市场&销售 货仓 服务器
资产编号
桌上个人电脑 桌上个人电脑 桌上个人电脑 桌上个人电脑 电话 电话 电话 电话 传真机 保险箱 储藏柜 储藏柜 储藏柜 计算器
资产
资产例子——实体资产
所有者/位置 财务×3 物流×5 货仓 市场&销售×2 财务×3 物流×5 货仓 市场&销售×3 物流 财务 财务×2 物流×3 市场&销售×3 财务×3
随身携带 XXX 是;办公用
随身携带
办公室 办公室 办公室 办公室 办公室 办公室 办公室 办公室 办公室
XXX
XXX XXX XXX XXX XXX XXX XXX XXX XXX
是;有用来联系业务,顾 问讲课录音用 是;存放客户资料与公司 资料
是;与客户互发传真
是;与客户联系用 是;打印扫描公司重要资 料 是;装订重要文件
资产编号
服务器
资产
电话系统(交换总机)
服务器UPS
资产例子——服务
所有者/位置
资产编号
市场&销售
物流
服务器
其他资产例子1
序号 资产类别 资产名称 硬件 笔记本电脑
硬件 手机
硬件 U盘
硬件 硬件 硬件 硬件 硬件 硬件
传真机
电话 扫描打印一 体机 热熔机
路由器
上网猫
硬件 投影仪
Leabharlann Baidu
硬件 照相机
资产编号 所在位置 责任人 是否重要信息资产及理由 备注