资产和资产风险等级划分准则
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
软件资
产
各种本部门安装使用的软件,包括系统软件、应用软件(有后台数据库并存储应用数据的 软件系统)、工具软件(支持特定工作的软件工具)、桌面软件(日常办公所需的桌面软 件包)等。所列举的软件应该与产生、支持和操作已识别的数据资产有直接关系。
书面文
档
合冋,公司文件,企业成果,人事文档,培训文档,米购文件,发票,政府下达的文件, 也包括各类电子数据的归档件、打印件、复印件、书面管理文件等。
资产和资产风险等级划分准则
资产的分类
分类
一般扌田述
信息资
产
包括各种业务相关的电子类的文件资料,可按照部门现有文件明细列举,或者根据部门业 务流程从头至尾列举,列举时尽量按照确定的纬度来分类,比如按照职能,或者按照业务 流程的不冋环节。要求识别的是分组或类别,不要具体到特定的单个文件。数据资料的列 举和分组应该以业务功能和保密性要求为主要考虑,也就是说,识别出的数据资料应该具 有某种业务功能,此外,还应该重点考虑其保密性要求。本部门产生的以及其他部门按正 常流程交付过来供本部门使用的,都在列举范畴内。本部门尽量清晰,来自外部门的可以 按照比较宽泛的类别来界定。
对信息系统
执行其职
及信息的存
成公司某
统资源,只
到机密
有重大影
务内容,将
取可用度达
项业务的
能给少数必
级的信
响,而且(或
造成单位/
到每天95%
停顿或造
须知道者
息
者)对业务
部门之业
以上(7*24)
成重大影
(特定的任
造成严重冲
务运作效
响
务群体)。
击
率降低或
一旦泄漏会
停顿
对公司造成
严重的损害
可以接
未经授权的
如果该人
各类数据、软件和实物资产的操作直接相关。
公司形
象和名
影响公司形象及名誉的各种事件或信息。
誉
资产的分级标准
资产的等级通过资产的机密性(
计算公式为:机密性价值(
每个因素的判定标准如下:
等级
取
值
取值标准描述
保密性Confidentiality
完整性Integrity
可用性Availability
一般资产
人员
取可用度在
项任务造
内部公
泄漏,并不
公开的
影响,也不
会对业务
正常上班时
成负面影
开
会对公司造
信息
会对业务有
运作造成
间至少达到
响
成显著的影
明显冲击
影响
50%以上
响
(5*8)
合法使用者
突然缺
触/存
破坏或更改
员未正确
席,会造
一般性的公
取公司
会对信息系
执行其职
对信息系统
成公司某
Co nfid
司秘密,泄
及信息的存
Middl
2
en tial
漏后会给公
一般性
统造成一定
务内容,将
取可用度在
个项目或
e
秘密
司造成一疋
的秘密
的影响,而
造成相关
正常上班时
某项工作
信息和
且(或者)
工作任务
的停顿或
一般资产
人员
一般资产
人员
最高敏感性
的数据文
未经授权的
如果该人
件、信息处
破坏或更改
员未正确
合法使用者
突然缺
理设施和系
可以接
将会对信息
执行其职
对信息系统
席,会造
Top
统资源,仅
触/存
务内容,将
及信息的存
成公司日
Very
4
Secret
能被极少数
取各个
系统有非常
造成公司
取可用度达
常运营的
High
绝密
人知道。一
实体资
产
与业务相关的IT物理设备。如产生数据类服务器、笔记本计算机、PC机、打印机、复印
机、等)、通讯传输设备(路由器、防火墙等)、记录存储媒体(U盘、光盘、移动硬盘
等)
支持设
施
监控设备,门禁,暖气,供水,空调,报警,发电机
人员
承担某项与业务活动相关责任的角色和职位。例如总经理、部门经理、网络管理员、固定 资产管理员、业务主管、系统管理员、软件开发人员、清洁员、普通员工等,这些人员与
的损害
内部公
给业务带来
效率降低
间达到
造成负面
100%(5*8)
开信息
明显冲击
或停顿
影响
并非敏感信
未经授权的
如果该人
合法使用者
In terna
息,主要限
可以接
破坏或更改
员未正确
对信息系统
突然缺
l Use
于公司内部
触/存
不会对信息
执行其职
及信息的存
席,对某
Low
1
On ly
使用。一旦
取内部
系统有重大
务内容,不
级别的
重大的影
级业务运
到年度每天
停顿或造
响,可能导
旦泄漏会给
信息
致严重的业
作效率大
99.9%以上
成重大影
公司带来特
务中断
பைடு நூலகம்大降低或
(7*24)
响
别严重的损
停顿
害后果
重要的信
可以接
未经授权的
如果该人
合法使用者
突然缺
Secret
息、信息处
触/存
破坏或更改
员未正确
对信息系统
席,会造
High
3
机密
理设施和系
取最高
产
各种本部门安装使用的软件,包括系统软件、应用软件(有后台数据库并存储应用数据的 软件系统)、工具软件(支持特定工作的软件工具)、桌面软件(日常办公所需的桌面软 件包)等。所列举的软件应该与产生、支持和操作已识别的数据资产有直接关系。
书面文
档
合冋,公司文件,企业成果,人事文档,培训文档,米购文件,发票,政府下达的文件, 也包括各类电子数据的归档件、打印件、复印件、书面管理文件等。
资产和资产风险等级划分准则
资产的分类
分类
一般扌田述
信息资
产
包括各种业务相关的电子类的文件资料,可按照部门现有文件明细列举,或者根据部门业 务流程从头至尾列举,列举时尽量按照确定的纬度来分类,比如按照职能,或者按照业务 流程的不冋环节。要求识别的是分组或类别,不要具体到特定的单个文件。数据资料的列 举和分组应该以业务功能和保密性要求为主要考虑,也就是说,识别出的数据资料应该具 有某种业务功能,此外,还应该重点考虑其保密性要求。本部门产生的以及其他部门按正 常流程交付过来供本部门使用的,都在列举范畴内。本部门尽量清晰,来自外部门的可以 按照比较宽泛的类别来界定。
对信息系统
执行其职
及信息的存
成公司某
统资源,只
到机密
有重大影
务内容,将
取可用度达
项业务的
能给少数必
级的信
响,而且(或
造成单位/
到每天95%
停顿或造
须知道者
息
者)对业务
部门之业
以上(7*24)
成重大影
(特定的任
造成严重冲
务运作效
响
务群体)。
击
率降低或
一旦泄漏会
停顿
对公司造成
严重的损害
可以接
未经授权的
如果该人
各类数据、软件和实物资产的操作直接相关。
公司形
象和名
影响公司形象及名誉的各种事件或信息。
誉
资产的分级标准
资产的等级通过资产的机密性(
计算公式为:机密性价值(
每个因素的判定标准如下:
等级
取
值
取值标准描述
保密性Confidentiality
完整性Integrity
可用性Availability
一般资产
人员
取可用度在
项任务造
内部公
泄漏,并不
公开的
影响,也不
会对业务
正常上班时
成负面影
开
会对公司造
信息
会对业务有
运作造成
间至少达到
响
成显著的影
明显冲击
影响
50%以上
响
(5*8)
合法使用者
突然缺
触/存
破坏或更改
员未正确
席,会造
一般性的公
取公司
会对信息系
执行其职
对信息系统
成公司某
Co nfid
司秘密,泄
及信息的存
Middl
2
en tial
漏后会给公
一般性
统造成一定
务内容,将
取可用度在
个项目或
e
秘密
司造成一疋
的秘密
的影响,而
造成相关
正常上班时
某项工作
信息和
且(或者)
工作任务
的停顿或
一般资产
人员
一般资产
人员
最高敏感性
的数据文
未经授权的
如果该人
件、信息处
破坏或更改
员未正确
合法使用者
突然缺
理设施和系
可以接
将会对信息
执行其职
对信息系统
席,会造
Top
统资源,仅
触/存
务内容,将
及信息的存
成公司日
Very
4
Secret
能被极少数
取各个
系统有非常
造成公司
取可用度达
常运营的
High
绝密
人知道。一
实体资
产
与业务相关的IT物理设备。如产生数据类服务器、笔记本计算机、PC机、打印机、复印
机、等)、通讯传输设备(路由器、防火墙等)、记录存储媒体(U盘、光盘、移动硬盘
等)
支持设
施
监控设备,门禁,暖气,供水,空调,报警,发电机
人员
承担某项与业务活动相关责任的角色和职位。例如总经理、部门经理、网络管理员、固定 资产管理员、业务主管、系统管理员、软件开发人员、清洁员、普通员工等,这些人员与
的损害
内部公
给业务带来
效率降低
间达到
造成负面
100%(5*8)
开信息
明显冲击
或停顿
影响
并非敏感信
未经授权的
如果该人
合法使用者
In terna
息,主要限
可以接
破坏或更改
员未正确
对信息系统
突然缺
l Use
于公司内部
触/存
不会对信息
执行其职
及信息的存
席,对某
Low
1
On ly
使用。一旦
取内部
系统有重大
务内容,不
级别的
重大的影
级业务运
到年度每天
停顿或造
响,可能导
旦泄漏会给
信息
致严重的业
作效率大
99.9%以上
成重大影
公司带来特
务中断
பைடு நூலகம்大降低或
(7*24)
响
别严重的损
停顿
害后果
重要的信
可以接
未经授权的
如果该人
合法使用者
突然缺
Secret
息、信息处
触/存
破坏或更改
员未正确
对信息系统
席,会造
High
3
机密
理设施和系
取最高