信息安全风险评估资产识别用例

1资产识别

1.1资产数据采集

1.1.1资产采集说明

通过资产调查和现场访谈，对信息系统的相关资产进行调查，形成资产列表。采集工作在前期调研的基础上开展，以调研所得的设备列表为依据，将所有与信息系统有关的信息资产核查清楚。

1.1.2资产采集检测表

1.2资产分类识别

1.2.1资产分类说明

将所采集的资产数据按照资产形态和用途进行分类，形成资产分类表。信息系统的资产一般可分为硬件、软件、文档与数据、人力资源、服务和其它资产等几大类。

1.2.1.1硬件

1.2.1.2软件

1.2.1.3文档与数据

一般指保存在信息媒介上的各种数据资料，包括源代码、数据库数据、系统文档、运行管理规程、计划、报告、用户手册、各类纸质的文档等。

1.2.1.4人力资源

人力资源一般包括掌握重要信息和核心业务的人员，如主机维护主管、网络维护主管及应用项目经理等。

1.2.1.5服务

1.2.1.6其它资产

其它资产是指一些无形的但同样对于企业本身具有一定的价值，如企业形象、客户关系等。

1.2.2资产分类检测表

1.2.3网络拓扑中常用的硬件资产

1.3资产赋值

1.3.1资产保密性赋值

1.3.2资产完整性赋值

1.3.3资产可用性赋值

1.3.4资产安全特性综合评定赋值

1.3.5资产脆弱性赋值

1.4资产部分评估实例1.4.1资产分类赋值表

1.4.2资产脆弱性分析

信息资产风险等级判定表如下所示：

依据对该银行系统信息资产风险计算的结果，按信息资产风险值的高低，形成如下风险列表：