信息系统资产评估分析实例
中级信息系统监理师之信息系统项目绩效评估案例分析
中级信息系统监理师之信息系统项目绩效评估案例分析绩效评估是信息系统项目实施中至关重要的一环,它能够帮助项目团队确定项目的进度和成果,从而对项目的成功与否进行评估。
本文将通过一个实际案例,探讨信息系统项目绩效评估的方法和技巧,并分析该案例的评估结果。
案例背景:某公司决定实施一个大型的信息系统项目,以提高内部运营效率和客户服务质量。
项目团队成立后,负责人联系了中级信息系统监理师,并委托其负责项目的绩效评估。
评估方法:在对信息系统项目进行绩效评估时,可采用以下方法和步骤:1.明确评估指标:根据项目的特性和目标,确定适合的评估指标。
常用的指标包括项目进度、成本、质量和满意度等。
2.数据收集:收集项目相关的数据和信息。
可以通过观察、访谈、问卷调查等方式获取数据,确保数据的准确性和可靠性。
3.数据分析:对收集到的数据进行分析,识别项目的绩效情况。
常用的数据分析方法包括趋势分析、对比分析和因果分析等。
4.绩效评估报告:根据数据分析的结果,编写绩效评估报告。
报告应包括项目的绩效情况、存在的问题以及改进建议等内容。
案例分析:针对该信息系统项目,中级信息系统监理师进行了绩效评估,并得出以下结论:1.项目进度:项目进展缓慢,与原计划相比存在明显延期的情况。
主要原因是项目团队的资源调配不合理,以及需求变更导致的开发工作重新调整。
2.项目成本:项目成本超出了最初的预算,主要是因为初步规划时对需求的估计不准确,导致后期的额外投入。
3.项目质量:项目在整体质量上表现良好,符合主要需求。
然而,在一些细节方面存在问题,例如部分功能的稳定性和用户交互的友好程度。
4.满意度:对于项目的满意度,公司内部员工和部分客户表示满意。
然而,还有一部分员工对于项目的交付速度和支持服务提出了质疑。
在评估结果的基础上,中级信息系统监理师向项目团队提出了如下改进建议:1.项目进度管理:合理分配资源,明确项目的关键路径和优化工作流程,以加快项目进度。
2.成本控制:进行更加细致的需求分析和成本估计,制定合理的项目预算,并进行有效的成本管控。
信息安全风险评估与管理案例分析
信息安全风险评估与管理案例分析随着社会的快速发展和科技的不断进步,信息安全问题越来越受到关注。
尤其是在数字化时代,人们对信息安全的需求变得日益迫切。
然而,信息安全不仅是一项技术问题,更是一个综合性的管理挑战。
本文将通过一个案例分析,探讨信息安全风险评估与管理的重要性和可行性。
案例描述:某企业A是一家拥有大量客户信息和商业机密的互联网公司。
由于其业务的特殊性,其面临的信息安全风险较高。
为了保护客户隐私和避免商业损失,企业A决定进行信息安全风险评估与管理。
第一步:信息安全风险评估信息安全风险评估是信息安全管理的基础,通过对企业A的信息系统进行系统性的评估,识别潜在的风险,分析可能导致信息安全问题的因素。
具体包括以下几个方面:1. 信息资产评估:对企业A的信息资产进行全面评估,包括对客户信息、商业机密、技术资料等进行分类和价值评估。
2. 潜在威胁识别:识别可能对信息安全构成威胁的因素,包括内部因素(员工行为、管理不善等)和外部因素(黑客攻击、病毒传播等)。
3. 脆弱性分析:评估企业A信息系统的脆弱性,包括系统漏洞、数据存储不当等。
4. 风险概率评估:基于潜在威胁和脆弱性分析,评估各个风险事件的发生概率。
通过以上评估,企业A可以清楚地了解自身存在的信息安全风险,为下一步的风险管理提供依据。
第二步:信息安全风险管理信息安全风险管理是信息安全保障的核心内容,主要目标是减轻潜在风险的影响和损失。
在企业A的案例中,信息安全风险管理需要从以下几个方面考虑:1. 风险应对策略:针对不同的风险事件,制定相应的应对策略。
例如,对于黑客攻击,可以加强网络安全防护措施;对于员工行为,可以加强对员工的监管和教育。
2. 信息安全政策和标准:建立健全的信息安全管理体系,明确信息安全政策和标准,确保各项安全措施得以有效实施。
3. 安全技术工具和设施:引入先进的信息安全技术工具,包括防火墙、入侵检测系统等,提高信息系统的安全性。
4. 员工培训和意识提高:加强对员工的信息安全培训,提高员工对信息安全的意识和重视程度,减少内部风险。
信息系统资产评估报告实例
信息系统资产评估报告实例信息系统资产评估报告实例一、概述信息系统作为企业组织中重要的资产之一,其安全性和可靠性的评估对于企业的长远发展至关重要。
本报告基于对某企业信息系统进行的资产评估工作,分析了信息系统的资产状况、关键安全漏洞及潜在风险,并提出了相应的改进建议。
二、资产状况评估1. 硬件资产通过对企业信息系统硬件资产的整体评估发现,硬件设备配置基本符合业务需求,但存在以下问题:(1)部分设备过旧,存在技术升级和维护困难的风险;(2)机房环境管理不足,温度和湿度未实现科学控制,存在硬件设备过热损坏的风险;(3)备份设备存在单点故障,需要考虑增加冗余备份设备。
2. 软件资产对企业信息系统软件资产进行评估,发现以下问题:(1)部分操作系统和应用软件存在安全漏洞,需要及时打补丁更新;(2)软件版本控制不规范,更新记录不健全,需要建立规范化的更新流程;(3)软件许可证管理不完善,存在潜在的侵权风险。
3. 数据资产对企业信息系统的数据资产进行评估,发现以下问题:(1)数据备份策略不完善,备份周期和容灾方案需进一步优化;(2)数据权限控制较弱,部分敏感数据没有设置访问权限限制;(3)数据加密管理不规范,需要对核心数据进行加密保护。
三、关键安全漏洞评估1. 网络安全漏洞通过对企业信息系统网络安全漏洞进行评估,发现以下问题:(1)网络设备存在默认账号和弱口令漏洞,需要对账号密码进行加强;(2)网络防火墙规则不规范,存在检查不彻底的盲点;(3)网络隔离不严格,内外网安全防护措施不充分。
2. 应用安全漏洞对企业信息系统应用安全漏洞进行评估,发现以下问题:(1)部分应用系统存在代码缺陷和漏洞,需要进行安全审计和修复;(2)应用系统权限控制不完善,部分系统存在未实现最小权限原则的风险;(3)应用系统日志管理不健全,存在未能及时发现异常行为的风险。
四、风险评估与改进建议1. 风险评估综合信息系统资产状况评估和关键安全漏洞评估的结果,对企业信息系统的风险进行评估,得出以下结论:(1)硬件设备老化可能导致故障的风险;(2)软件安全漏洞可能被黑客利用造成数据泄露或系统瘫痪的风险;(3)网络安全漏洞可能导致系统被攻击或病毒感染的风险;(4)数据资产丢失或泄露可能引发严重的商业损失的风险。
信息系统安全评估报告
信息系统安全评估报告信息系统安全评估报告是对某个信息系统进行安全评估的综合报告,旨在识别系统中存在的安全威胁和漏洞,并提供改进的建议和措施。
下面是一份信息系统安全评估报告的示例回答。
一、引言信息系统安全评估是确保信息系统安全性和可靠性的重要手段之一。
本报告对XX公司的信息系统进行了安全评估,目标是识别系统中的安全问题并提供相应的建议。
二、背景XX公司是一家互联网金融公司,其信息系统用于处理客户的财务数据和个人信息。
系统主要包括用户注册、账户管理、交易处理等模块。
鉴于该系统涉及大量的敏感信息,本次安全评估的重点是确保用户数据的机密性、完整性和可用性。
三、评估方法本次评估采用综合性的评估方法,包括:1.资产评估:评估公司信息系统中的关键资产和信息涉及的范围;2.漏洞扫描:使用专业的漏洞扫描工具对系统进行了全面扫描,并记录发现的弱点和漏洞;3.渗透测试:通过模拟攻击的方式尝试获取系统的未授权访问权限,评估系统的安全性;4.安全策略和流程评估:评估公司的安全策略和流程的有效性和实施情况;5.人员培训评估:评估公司员工的安全意识和信息安全培训情况。
四、评估结果1.资产评估发现,在系统中存在大量的敏感信息,包括客户的财务数据和个人身份信息。
这些信息需要得到有效的保护,防止未授权的访问和泄漏。
2.漏洞扫描和渗透测试发现系统存在多个安全漏洞,包括弱密码、未及时更新的软件和操作系统补丁以及未针对特定攻击进行的防护等。
这些漏洞可能导致系统被黑客攻击和数据泄露。
3.安全策略和流程评估发现公司对信息安全的重视程度较低,缺乏完善的安全策略和流程。
缺乏审核和监测机制,无法及时发现和应对安全事件。
4.人员培训评估发现,公司员工的安全意识较低,缺乏基本的安全操作和防范意识。
并且,缺乏定期的信息安全培训。
五、建议和措施综合以上评估结果,我们向XX公司提出以下建议和措施来改进系统的安全性:1.建立完善的安全策略和流程,包括授权和认证机制、访问控制、数据备份和恢复、安全监测等。
管理信息系统商业价值案例分析
管理信息系统商业价值案例分析第一篇:管理信息系统商业价值案例分析管理信息系统案例分析案例简介北京燕京啤酒集团公司是1993年以原北京市燕京啤酒厂为核心发展组建的国家二级企业,燕京啤酒集团现已成为中国啤酒行业吨位最大的“航空母舰”。
北京燕京啤酒股份有限公司(下文简称为燕京啤酒)是燕京啤酒集团的上市公司,2000年燕京完成啤酒销售量141万吨;实现销售收入25亿元;实现利税总额9.2亿元。
燕京啤酒股份有限公司在1991年已经实现财会电算化,而业务处理一直处于手工状态。
随着企业规模的日益增长,业务量也逐渐增加,手工处理方式带来的各种弊端开始暴露出来,侵蚀着企业的收益,阻碍了先进管理方法的运用。
1998年燕京啤酒股份有限公司开始制定新的战略目标:将企业管理与计算机技术、网络技术、数据处理技术相结合,将当代高新技术应用于业务流程管理与控制中,建立包括采购、库存、销售、财务管理和控制为一体的管理信息系统。
首先,公司厂区内建立一个内部网,这种解决方案为实现企业内部信息共享、传递提供了硬件设施,为燕京啤酒管理系统的运转提供了硬件平台。
燕京啤酒管理信息系统主要由财务系统、销售管理系统、采购管理系统和存货管理系统等构成,通过建立健全信息系统,各模块之间实时传递信息,完全实现了销售、财务信息共享。
企业管理信息系统应用效果评析燕京啤酒企业管理信息系统在实现企业信息共享、加强业务控制和利用信息加强企业管理等方面取得了显著的成效。
1、满足财务和业务协同,实现企业信息共享财务系统、存货管理系统和销售管理系统之间实现了数据的自动传递功能和信息共享。
这就从根本上解决了长期以来一直困扰财务的账务串户、错账问题,解决了部门与财务、仓库与财务等账账不符、账证不符的问题;实现了数据共享和信息的有机集成,全公司各部门可以根据管理需要和相应的权限及时、准确地获取财务、业务以及管理信息;销售部门和仓库部门数据的共享,为杜绝假票现象创造了条件。
信息系统风险评估案例
信息系统风险评估案例话说有这么一个小型电商公司,名字就叫“酷购网”吧。
他们主要在网上卖一些时尚的小玩意儿,生意做得还不错,全靠他们那个信息系统撑着,从商品管理、订单处理到客户信息存储,都靠这个系统。
一、资产识别。
1. 重要资产发现。
这个信息系统就像酷购网的心脏。
首先得确定里面有啥重要的东西,也就是资产识别。
商品数据库那肯定是重中之重啊,这就好比是商店的货架,如果数据乱了或者丢了,那顾客就看不到商品信息,生意就没法做了。
还有客户的订单处理系统,要是这个出问题,订单就会积压或者出错,客户收不到东西,那不得把客服电话打爆啊。
另外,客户的个人信息存储也很关键,这里面有顾客的地址、联系方式等隐私信息,要是泄露了,那可就触犯了法律红线,还会让公司名誉扫地。
2. 价值评估。
我们来给这些资产评个价。
商品数据库要是出故障一天,估计得损失好几千块的销售额,因为顾客没法下单啊。
订单处理系统故障一天,可能损失个一两千,主要是人工处理订单的成本和可能流失的客户。
而客户信息要是泄露了,那可就不是用钱能衡量的了,品牌信誉受损,可能以后都没人敢在酷购网买东西了,损失个几十万都有可能。
二、威胁识别。
1. 外部威胁。
酷购网这个小公司也面临着不少外部威胁呢。
比如说黑客攻击,就像有一群小偷在网络世界里到处找机会偷东西。
他们可能盯上了酷购网的客户信息,想把这些信息偷出去卖钱。
还有网络钓鱼攻击,就像骗子拿着假的鱼竿在网络的大海里钓鱼,骗顾客输入账号密码,要是成功了,顾客的钱就可能被转走,同时也会连累酷购网的信誉。
2. 内部威胁。
可别以为威胁都来自外面,内部也有隐患。
有个员工叫小李,他因为对工资不满,就有点小心思。
他有权限访问客户信息,如果他一时糊涂,把这些信息卖给竞争对手,那对酷购网来说就是个大灾难。
还有系统管理员老张,虽然他技术很牛,但是他有时候操作比较粗心,万一误删了商品数据库的重要数据,那也是个大麻烦。
三、脆弱性识别。
1. 技术脆弱性。
信息系统资产评估报告
信息系统资产评估报告信息系统资产评估报告一、引言随着信息技术的迅猛发展,信息系统在企业中扮演着不可或缺的角色。
信息系统作为企业核心资产之一,为企业的运营和决策提供了强大的支持。
然而,随之而来的是不断增长的信息系统资产,也给企业带来了新的挑战和风险。
为了更好地了解企业的信息系统资产,并有效评估其价值和风险,我们进行了一次信息系统资产评估,本文将详细介绍评估的目的、评估方法、结果分析及建议。
二、评估目的本次信息系统资产评估的主要目的如下:1. 了解企业的信息系统资产情况,包括硬件、软件、数据等方面的资产;2. 评估信息系统资产的价值,并根据其重要性进行分类和排序;3. 评估信息系统资产的风险,并提出相应的防范措施。
三、评估方法本次评估采用了综合性的评估方法,具体步骤如下:1. 资产收集:通过对企业各个部门的调研和访谈,收集企业的信息系统资产数据,包括硬件设备的型号和数量、软件系统的种类和版本、数据存储和处理情况等。
2. 资产价值评估:根据资产的重要性、使用频率、替代成本等因素,确定各项资产的价值。
采用打分法,将重要性和风险程度分别按照1-5分进行评估,并加权求和,以得到资产的综合价值。
3. 资产风险评估:通过对各项资产的安全性、稳定性、容错性等方面进行评估,确定资产的风险程度。
同样采用打分法,将各项风险因素按照1-5分进行评估,并加权求和。
4. 结果分析:将各项资产的价值和风险进行排序和分类,并进行数据分析和图表展示,以便更直观地了解企业的资产状况。
四、评估结果分析根据本次评估的结果,我们对企业的信息系统资产进行了如下分析:1. 资产价值分析:根据评估结果,我们将信息系统资产分为重要性高、中等和低三个等级。
其中,重要性高的资产主要包括核心业务系统、数据中心设备等,它们对企业的正常运行具有重要影响;中等和低等级的资产包括办公自动化系统、储存设备等。
这些资产虽然对企业的运营有一定的支持作用,但不太会影响到企业的核心业务。
计算机软件评估案例分析
计算机软件评估案例分析一、评估对象相关情况介绍(一)被评估企业介绍ZRRX是一家从事金融领域计算机软件服务的提供商,该公司主要为国内金融领域提供各种计算机软件服务和解决方案。
ZRRX目前拥有净资产账面价值约4,000万元, 2008年销售收入约9,000万元,实现净利润约290万元。
(二)评估目的根据相关经济行为批准文件的规定,ZRRX的股东需要引进一个战略投资者,因此需要对ZRRX的整体股权价值进行评估,评估师在对ZRRX进行资产基础法评估时需要对期自行研发的软件著作权无形资产进行评估.(三)委估无形资产简介本次评估的所包含的无形资产,为北京ZRRX计算机系统工程有限公司(以下简称“ZRRX”或“被评估企业")的软件著作权.ZRRX的软件著作权均为员工自有开发的成果,内容含82项软件著作权,软件著作权的全部所有权均归属ZRRX。
本次评估所涉及的全部软件著作权情况如下表:表3-13 软件著作权情况表(四)无形资产权属核实及价值类型定义1。
无形资产权属性质(1)根据评估人员的了解,本次评估的计算机软件仅包括著作权或版权,没有专利权/专有技术和商标权。
按照国内计算机版权保护条例和其他有关知识产权法律、法规对版权”权与利"的规定,本次评估的计算机版权转让应该包括如下权力:(2)修改权,即对软件进行增补、删节,或者改变指令、语句顺序的权利;(3)复制权,即将软件制作一份或者多份的权利;(4)发行权,即以出售或者赠与方式向公众提供软件的原件或者复制件的权利;(5)出租权,即有偿许可他人临时使用软件的权利,但是软件不是出租的主要标的的除外;(6)信息网络传播权,即以有线或者无线方式向公众提供软件,使公众可以在其个人选定的时间和地点获得软件的权利;(7)翻译权,即将原软件从一种自然语言文字转换成另一种自然语言文字的权利;(8)许可权,既许可他人行使上述1)~6)权利的权利,并获得报酬的权利;(9)转让权,即全部或者部分转让1)~7)权利的权利,并获得报酬。
中级信息系统监理师之信息系统项目资源评估案例分析
中级信息系统监理师之信息系统项目资源评估案例分析信息系统项目的成功与否往往依赖于项目资源的充足与合理分配。
作为中级信息系统监理师,我们需要具备对信息系统项目资源进行评估的能力,以确保项目能够按时、高质量地完成。
本文将通过一个案例,来分析信息系统项目资源评估的重要性以及具体的评估方法。
案例背景在某公司进行了一个信息系统升级项目,目标是将现有的人力资源管理系统进行功能扩展和性能优化,以适应公司快速发展的需求。
该项目涉及多个部门和团队的合作,并且可能涉及网络、数据库、服务器等多种资源的申请和配置。
资源评估的重要性信息系统项目的资源评估对项目的顺利进行和取得预期效果至关重要。
首先,资源评估可以帮助确定项目所需的资源种类和数量,从而合理安排项目计划和预算。
其次,评估可以发现资源的短缺或过剩,及时采取补充或调整措施,以避免项目进展受阻。
此外,评估还有助于确定项目进展中的瓶颈和风险,及时调整项目方向,保证项目的成功交付。
资源评估方法针对信息系统项目的资源评估,可以采取以下方法:1. 人力资源评估对于项目所需的人力资源,可以通过以下步骤进行评估:(1)明确项目的目标和范围,确定需要哪些专业技能和知识;(2)估计各个工作环节所需的时间和工作量,计算出总体的资源需求;(3)评估现有团队成员的技能和工作负荷,确定是否需要补充和调整团队人员。
2. 技术资源评估对于项目所需的技术资源,可以通过以下步骤进行评估:(1)明确项目的技术需求,包括硬件、软件等;(2)评估现有的技术设备和软件平台,确定是否需要升级或更新;(3)估计新技术设备和软件平台的采购成本和实施风险,评估是否值得投入。
3. 财务资源评估对于项目所需的财务资源,可以通过以下步骤进行评估:(1)编制项目预算,估计项目的总体成本;(2)评估公司财务状况和可用资金,确保项目的资金来源;(3)评估项目成本与公司利益的关系,评估项目的盈利预期。
案例分析在某公司信息系统升级项目中,经过资源评估,项目团队发现:1. 人力资源方面,项目需要具备的技能包括需求分析、系统设计、编码等,同时需要有项目管理和沟通协调能力。
中级信息系统监理师之信息系统项目成本评估案例分析
中级信息系统监理师之信息系统项目成本评估案例分析背景介绍:Information Technology (IT) has become an integral part of businesses across industries. Organizations depend on information systemsto streamline their operations, enhance efficiency, and gain a competitive edge. However, implementing an information system can be a costly endeavor. In this article, we will analyze a case study that focuses on thecost evaluation of an information system project.案例描述:ABC公司是一家中型制造企业,他们计划推出一个新的信息系统,以提高其业务流程和资源管理。
此系统的实施估计将涉及大量的人力资源和技术支持。
为了确保项目的可行性和收益,ABC公司决定进行成本评估。
1. 成本评估方法成本评估是一项细致复杂的任务,需要考虑多个方面的因素。
在这个案例中,ABC公司采用了以下三种常见的成本评估方法:a) 直接成本评估:这种方法通过估算项目的硬件、软件、人力资源等直接成本来评估项目的总体成本。
ABC公司评估了购买和安装新硬件设备的费用,购买和订阅软件许可证的费用,以及雇佣和培训员工所需的成本。
b) 间接成本评估:除了直接成本,项目实施还会涉及一些间接成本,如设备维护、项目管理、培训和支持等。
ABC公司考虑到这些间接成本,并将其纳入成本评估中。
c) 未来成本评估:信息系统项目的成本评估也要考虑到系统的未来运营和维护成本。
ABC公司估计了系统的维护、更新和升级所需的成本。
信息系统安全风险评估案例分析
信息系统安全风险评估案例分析某公司信息系统风险评估项目案例介绍介绍内容:项目相关信息、项目实施、项目结论及安全建议。
一、项目相关信息项目背景:随着某公司信息化建设的迅速发展,特别是面向全国、面向社会公众服务的业务系统陆续投入使用,对该公司的网络和信息系统安全防护都提出了新的要求。
为满足上述安全需求,需对该公司的网络和信息系统的安全进行一次系统全面的评估,以便更加有效保护该公司各项目业务应用的安全。
项目目标:第一通过对该公司的网络和信息系统进行全面的信息安全风险评估,找出系统目前存在的安全风险,提供风险评估报告。
并依据该报告,实现对信息系统进行新的安全建设规划。
构建安全的信息化应用平台,提高企业的信息安全技术保障能力。
第二通过本次风险评估,找出公司内信息安全管理制度的缺陷,并需协助该公司建立完善的信息安全管理制度、安全事件处置流程、应急服务机制等。
提高核心系统的信息安全管理保障能力。
项目评估范围:总部数据中心、分公司、灾备中心。
项目业务系统:核心业务系统、财务系统、销售管理统计系统、内部信息门户、外部信息门户、邮件系统、辅助办公系统等。
灾备中心,应急响应体系,应急演练核查。
评估对象:网络系统:17个设备,抽样率40%。
主机系统:9台,抽样率50%。
数据库系统:4个业务数据库,抽样率100%。
应用系统:3个(核心业务、财务、内部信息门户)安全管理:11个安全管理目标。
二、评估项目实施评估实施流程图:项目实施团队:(分工)现场工作内容:项目启动会、系统与业务介绍、系统与业务现场调查、信息资产调查统计、威胁调查统计、安全管理问卷的发放回收、网络与信息系统评估信息获取、机房物理环境现场勘察、系统漏洞扫描、系统运行状况核查。
评估工作内容:资产统计赋值、威胁统计分析并赋值、各系统脆弱性分析、系统漏洞扫描结果分析、已有安全措施分析、业务资产安全风险的计算与分析、编写评估报告。
资产统计样例(图表)威胁统计分析:3大类威胁(环境、系统、人为),7子类获取威胁统计,7子类,34项;4级威胁2子类2项;3级威胁6子类16项;2级威胁5子类16项。
信息安全风险评估之资产评估案例实施
-2-
赋值 5 4 3 2 1
标识 很高 高 中等 低 很低
表 3 资产可用性赋值表[4] 定义
可用性价值非常高,合法使用者对信息及信息系统的可用度达到年度 99.9%以 上,或系统不允许中断
可用性价值非常高,合法使用者对信息及信息系统的可用度达到每天 90%以上, 或系统允许中断时间小于 10 分钟
资产编号 ASSET_01 ASSET_02 ASSET_03 ASSET_04 ASSET_05 ASSET_06 ASSET_07 ASSET_08 ASSET_09 ASSET_10 ASSET_11 ASSET_12 ASSET_13 ASSET_14
表 10 资产 CIA 三性等级表
资产名称
因此,通常资产赋值也可以划分为 5 个等级。评估者可以根据资产赋值的结果,确定重 要资产的范围,并围绕重要资产,进行下一步的风险评估。
等级 5 4 3 2 1
标识 很高 高 中等 低 很低
表 4 资产等级及含意描述[4] 描述
非常重要,其安全属性破坏后可能对组织造成非常严重的损失 重要,其安全属性破坏后可能对组织造成比较严重的损失
3.1 机密性赋值
根据资产在机密性上的不同要求,将其分为 5 个不同的等级,分别对应资产在机密性缺 失时对整个组织的影响。表 4 提供了一种机密性赋值的参考。
赋值 5
4 3 2
1
标识 很高
高 中等 低
很低
表 1 资产机密性赋值表[4] 定义
包含组织最重要的秘密,关系未来发展的前途命运,对组织根本利益有着决定性 的影响,如果泄露会造成灾难性的损害
1. 引言
信息安全风险评估过程过程,是对资产、威胁、脆弱性、潜在影响和现有安全措施进行 识别、分析和评价,然后综合这些风险要素的评估结果,得出风险的评估结果。
中级信息系统监理师之信息系统监理决策与评估实战技巧案例
中级信息系统监理师之信息系统监理决策与评估实战技巧案例在信息技术快速发展的今天,信息系统的设计、建设和运维变得日益重要。
作为中级信息系统监理师,我们需要掌握一些实战技巧,以便更好地进行信息系统的监理决策与评估。
本文将通过案例分析的方式,介绍一些实战技巧,帮助各位信息系统监理师提升工作效率和质量。
案例一:数据备份与恢复方案评估某公司的信息系统涉及大量的重要数据,为了应对数据丢失等意外情况,他们想要评估当前的备份与恢复方案是否可靠。
作为信息系统监理师,我们可以采取以下步骤进行评估:1. 审查备份策略:了解该公司的备份策略,包括备份的频率、备份存储的位置以及备份软件的选择等方面。
同时,与公司的关键人员进行交流,了解他们对备份策略的满意程度和存在的问题。
2. 进行实地观察:到公司现场实地观察备份与恢复设备的部署情况,包括备份服务器、存储设备和关键网络设备等。
观察备份过程是否正常、数据存储是否安全可靠等。
3. 进行数据恢复测试:选择一些关键数据进行恢复测试,评估备份与恢复的时间成本和数据完整性。
同时,观察恢复过程中是否存在操作相关的问题。
4. 编写评估报告:根据实地观察和数据恢复测试的结果,撰写评估报告。
报告应准确地总结备份与恢复方案的优点和缺点,并提出改进建议。
案例二:系统性能评估与优化某企业的信息系统运行速度较慢,用户反馈较多。
作为信息系统监理师,我们可以采取以下步骤进行性能评估与优化:1. 对系统进行性能测试:使用专业的性能测试工具对系统进行全面的性能测试,包括响应时间、吞吐量等指标。
同时,通过日志分析等手段,了解系统瓶颈所在。
2. 针对性能问题进行调查:根据性能测试结果和用户反馈,重点调查影响系统性能的方面。
比如,可能存在的数据库设计不合理、代码编写不规范等问题。
3. 优化系统性能:根据调查结果,针对性地优化系统性能。
比如,优化数据库查询语句、对关键代码进行优化等。
4. 进行再次性能测试:对优化后的系统进行再次性能测试,确保性能优化的有效性。
信息技术公司资产评估
信息技术公司资产评估评估方法(一)评估方法的选择依据资产评估准则的规定,企业价值评估可以采用收益法、市场法、资产基础法三种方法。
收益法是企业整体资产预期获利能力的量化与现值化,强调的是企业的整体预期盈利能力。
市场法是以现实市场上的参照物来评价估值对象的现行公平市场价值,它具有估值数据直接取材于市场,估值结果说服力强的特点。
资产基础法是指在合理评估企业各项资产价值和负债的基础上确定评估对象价值的思路。
本次评估目的是股权收购,资产基础法从企业购建角度反映了企业的价值,为经济行为实现后企业的经营管理及考核提供了依据,因此本次评估选择资产基础法进行评估。
被评估企业历史年度经营收益较为稳定,在未来年度其收益与风险可以可靠地估计,因此本次评估可以选择收益法进行评估。
由于缺乏可比的市场交易案例,故本次评估不宜选用市场法进行评估。
综上,本次评估确定采用资产基础法和收益法进行评估。
(二)资产基础法介绍资产基础法,是以在评估基准日重新建造一个与评估对象相同的企业或独立获利实体所需的投资额作为判断整体资产价值的依据,具体是指将构成企业的各种要素资产的评估值加总减去负债评估值求得企业价值的方法。
各类资产及负债的评估方法如下:1、流动资产(1)货币资金:包括现金、银行存款和其他货币资金。
对于币种为人民币的货币资金,以核实后的账面值为评估值。
(2)应收类账款对应收账款、其他应收款的评估,评估人员在对应收款项核实无误的基础上,借助于历史资料和现在调查了解的情况,具体分析数额、欠款时间和原因、款项回收情况、欠款人资金、信用、经营管理现状等,应收类账款采用账龄分析的方法估计评估风险损失。
评估人员在对应收款项核实无误的基础上,借助于历史资料和现在调查了解的情况,具体分析数额、欠款时间和原因、款项回收情况、欠款人资金、信用、经营管理现状等,应收账款采用按组合计提和个别认定的方法估计评估风险损失。
按以上标准,确定评估风险损失,以应收类账款余额合计减去评估风险损失后的金额确定评估值。
信息安全风险评估方法及案例分析
信息安全风险评估方法及案例分析信息安全是现代社会的重要问题之一,互联网的普及和信息化的加速,给信息安全带来了更大的挑战。
信息安全风险评估是整个信息安全体系中最重要的环节之一,因为它能够帮助企业及个人了解自己的信息安全风险,制定合适的安全措施以及感知可能的威胁,从而保护自身利益和信息安全。
一、信息安全风险评估方法1. 根据威胁情报和漏洞情报进行评估企业在每周或每月进行威胁情报和漏洞情报的收集、分析和评估,以了解目前环境中的潜在威胁以及可能被攻击的漏洞,从而建立合理的信息安全防御体系。
2. 根据信息资产分类进行评估将企业的信息资产进行归类,依据其重要性对每个信息资产进行评估,以确定其敏感程度、威胁等级及重要性等因素,以强化其安全措施,确保其完整性、可用性和保密性。
3. 进行漏洞评估漏洞评估是一种对目标系统进行精确的评估分析,识别系统可能存在的漏洞,并提供相关修复方案的方法,主要是通过挖掘系统漏洞,来保护系统的安全性。
4. 使用工具进行评估使用各种信息安全评估工具,如漏洞扫描器、网络拓扑识别工具、隐患扫描器、漏洞利用工具等,对企业系统进行测试评估,以确定可能存在的安全漏洞及所需的安全补丁,并及时修复。
二、信息安全风险评估案例分析以一所大学的信息化中心为例,进行信息安全风险评估。
1. 收集资产信息首先,对该大学内的资产进行分类,包括西辅楼网络、东辅楼网络、研究生院网络、教室网络等,然后进一步收集这些网络的信息,包括IP地址、系统软件、应用软件、安全策略等信息。
2. 识别威胁通过调查和分析,发现该大学网络存在多种威胁,如恶意软件、未经授权的访问、密码猜测、网络钓鱼攻击等威胁,这些威胁可能导致大学的教学、科研、行政工作中断或泄露敏感信息。
3. 评估漏洞通过使用漏洞评估工具,评估大学的网络系统可能存在的漏洞,发现大量的漏洞,包括操作系统缺陷、未安装补丁、未加密通信等漏洞。
4. 制定安全计划基于前面的评估结果,安全专家为大学信息化中心制定了安全计划,包括加强对敏感信息和系统数据的控制、增强安全策略的实施、规范员工的安全行为、加强安全培训、加强漏洞修补等。
无形资产评估真实案例
无形资产评估真实案例无形资产评估是指对企业的无形资产进行评估,以确定其价值和市场价值的过程。
下面是一个真实案例,介绍了一家IT公司进行无形资产评估的情况。
这家IT公司是一家专注于开发和销售移动应用的公司,他们拥有自主开发的移动应用产品,并且在市场上有一定的知名度和用户群体。
为了进一步发展和扩大业务,该公司决定评估其无形资产的价值,以便更好地利用这些资产进行融资和战略决策。
为了实施这个项目,该公司聘请了一家专业的评估机构进行无形资产评估。
评估的过程主要包括以下几个步骤:首先,评估机构与该公司进行了深入的沟通和了解,以确定需要评估的无形资产的范围和具体内容。
在这个过程中,他们了解了该公司的业务模式、产品研发情况、市场份额和竞争情况等重要信息。
接下来,评估机构进行了大量的数据收集和分析工作。
他们收集了关于该公司产品的销售数据、用户数量和用户行为等信息,同时还对市场上其他相似产品的销售情况进行了调研和比较。
在数据收集和分析的基础上,评估机构开始对无形资产的每个方面进行评估。
他们对该公司的技术研发能力、品牌价值、用户群体和渠道网络等进行了详细的分析,并结合市场情况和行业趋势,对这些无形资产进行了评估。
最后,评估机构向该公司提供了评估报告,对每个无形资产的价值进行了量化和分析。
评估报告包括了各个方面的评估结果和结论,并给出了相关的市场价值和推荐的发展策略。
通过这次无形资产评估,该公司得到了关于其无形资产价值和市场潜力的重要信息。
这使得他们可以更准确地进行融资和战略决策,从而实现业务的进一步发展和扩大。
总结来说,无形资产评估对于企业而言是一项重要的工作。
通过评估,企业可以了解到自己的无形资产的价值和市场潜力,从而更好地利用这些资产进行业务发展和战略决策。
6.1 信息系统的价值评价 管理信息系统教学课件
信息化建设主要发展阶段
• 启动期 (1995—1997)
– 库存、商务系统、NOTES系统
• 发展期(1998—2000)
– 统一的全国商务物控系统建立 – 完成电子商务、计划-生控系统、服务系统等建设
– 2001—2002完成系统的结构整理工作,实现分公司商务管理、账务、 信用、定单审批过程的系统化管理;
• 1999年中完成了生控、物料、BOM与核算、采购定单管理 的ERP基本系统。
• 2001年中初到2002年与微软技术咨询合作的基于新的技术 架构的一体化的电子商务与供应链升级改造工作。
电子商务与供应链系统结构与功能示意
…
历年来的信息化投入情况
• 投入分析
1. 硬件成本:计算机、服务器、外设等当年摊销成本。 2. 软件成本:软件购买费用、升级费用、相关软件如操作系统、数据库
费用。 3. 需求成本:调整企业需求的成本,以及需求改变后,重新调查的成本。 4. 上线成本:上线过程中发生的如基础数据的整理费用等 5. 环境成本:布线、配套的机柜等费用。 6. 运营成本:如电费、网络接入费等。 7. 维护成本:如长期的软硬件厂商服务合约、紧急备份(软件维护费是20
供了数据基础。
财务成本系统单据处理分析
单据量(万张)
2002年东莞财务成本系统单据处理分析
2
1.5 1
0.5 0 1 2 3 4 5 6 7 8 9 10 11 12 月份
自动处理 (74%)
人工处理 (26%)
服务管理与备件支持系统
信息资产评估方法分析
东南大学硕士学位论文信息资产评估方法的研究姓名:***申请学位级别:硕士专业:管理科学与工程指导教师:***2002.3.1Y46333s信息资产评估方法的研究摘要本文首先提出了信息资产的概念,并分析了信息资产评估的必要性和现有评估方法的缺陷。
文中将信息资产分为三个部分:硬件资产;软件资产;数据信息。
为了科学地评估信息资产,文中分别分析了信息资产各部分的特征,还将软件资产和数据信息与实物资产进行了比较,得出了它们之问的很多差异。
硬件资产属于固定资产,按使用时间可分为新购入的硬件资产、使用不久的便件资产和使用已久的硬件资产。
对新购入的和使用不久的硬件资产采用现行市价法进行评估:对使用已久的硬件资产采用重置成本法进行评估。
软件资产属于无形资产,可以采用收益现值法进行评估,并得出初始评估值,然而使用收益现值法有很多不确定性因素,因此本文又采用了模糊评价法来进行涧整,模糊评价法以收益现值法的评估值为初评值,通过专家调查等方法得出了初始值的纠偏系数,从而得到了更为确切的结果。
数据信息也属于无形资产,却与专利、专有技术等其他无形资产有着很大的不同,对于数据信息价值的评估,实际上侧重于效用,计算获得数据信息前后的效用差,从而得出数据信息的价值。
本文最后结合提出的评估方法进行了实例研究。
关键词:信息资产:现行市价法;重置成本法:收益现值法;模糊评价法MethodsforEvaluationofStudyonInformationAssetsAbstractThisdissertationfoCUSeSonhowtoevaluateinformafionassets.Afterintroducingtheconceptofinformationassets.theauthorpointsoutthenecessityofevaluatinginfonnationassets,andanalysestheexistingmethodsoftheassetsevaluationandtheshortcomingsofthem.Theauthordividesinformationassetsjntothreeparts:thehardwareassets。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
密级:内部文档编号:2007002-005项目编号:2007002XX市地税局信息系统资产评估报告目录1概述 (3)2信息资产分类和识别 (3)2.1信息资产调查的过程 (3)2.2调查范围及方法 (4)2.3信息资料识别 (5)2.3.1硬件资产 (5)2.3.2软件资产 (10)2.3.3数据资产 (12)2.3.4文档资产 (12)2.3.5人员资产 (16)3资产赋值方法 (23)3.1保密性赋值 (24)3.2完整性赋值 (25)3.3可用性赋值 (25)3.4资产重要性等级 (26)4XX市地税局资产赋值 (28)4.1硬件资产赋值 (28)4.1.1主机设备 (28)4.1.2网络设备 (30)4.1.3安全设备 (31)4.1.4存储设备 (32)4.1.5保障设备 (32)4.1.6通讯线路 (34)4.2软件资产赋值 (35)4.2.1系统软件 (35)4.2.2应用软件 (37)4.3数据资产赋值 (37)4.4文档资产赋值 (38)4.5人员资产赋值 (41)5地税信息资产统计分析 (43)5.1资产价值分布 (43)5.2分段价值分布 (43)5.3资产分类对比 (44)1概述根据《XX省人民政府信息化工作办公室关于印发<信息安全风险评估试点工作实施方案>的通知》文件精神,XX省信息安全测评中心承担了XX市地税局“征管信息系统”的风险评估工作。
我中心以建立符合我省情况的风险评估方法、积累风险评估工作经验、培养队伍、协助XX市地税局更深入地了解其信息系统安全现状为目标,通过文档分析、现场访谈、问卷调查、技术评估等方法,对XX市地税局“征管信息系统”进行了全面的信息安全风险评估。
在整个风险评估项目过程中,资产调查是其首要工作。
资产调查过程主要包括资产识别和资产赋值。
一方面,项目组根据资产识别的情况设计出XX市地税局保护对象框架,并在此基础上进行安全体系设计;另一方面,项目组将资产赋值结果用于风险计算,以便准确地表达安全调查的结果。
2信息资产分类和识别2.1信息资产调查的过程在本项目中,项目组首先定制了资产调查表,通过访谈方式,对安全管理人员、网络管理人员、主机系统管理人员、应用开发和维护人员等进行了访谈。
逐步地识别XX市地税局信息资产并收集其信息。
随后,项目组通过对信息中心进行扫描,从第二条渠道获得了可扫描系统的系统信息,包括服务器主机、可网管的网络设备、数据库系统和PC机。
通过将上述访谈和扫描的结果进行人工对比,合并和除错,项目组获得所有必要的资产信息。
最后,项目组对所有已识别的资产进行赋值,并编制本报告。
2.2调查范围及方法2.3信息资料识别XX市地税局的信息资产是指在XX市地税局信息系统范围内,具有价值并需要保护的对象。
它可能是以多种形式存在,有无形的、有有形的,有硬件、有软件,有数据,也有服务等。
它们分别具有不同的价值属性和存在特点,存在的弱点、面临的威胁、需要进行的保护和安全控制都各不相同。
参照国家最新《信息安全风险评估规范》对信息资产的描述和定义,并结合XX市地税局的基本情况,我们将XX市地税局的信息资产分为5类,分别为:硬件资产、软件资产、数据资产、人员资产、文档资产,以下为本次调查的结果。
2.3.1硬件资产国家《信息安全风险评估规范》把硬件资产分为以下7大类:1.网络设备:路由器、网关、交换机等;2.计算机设备:大型机、小型机、服务器、工作站、台式计算机、便携计算机等;3.存储设备:磁带机、磁盘阵列、磁带、光盘、软盘、移动硬盘等;4.传输线路:光纤、双绞线等;5.保障设备:动力保障设备(UPS、变电设备等)、空调、保险柜、文件柜、门禁、消防设施等;6.安全保障设备:防火墙、入侵检测系统、身份鉴别等;7.其他:打印机、复印机、扫描仪、传真机等。
根据XX市地税局实际情况并结合《信息安全风险评估规范》,我们把XX市地税局的硬件资产分为以下6大类进行分别的调查识别:1.主机设备:大型机、小型机、服务器、工作站、台式计算机、便携计算机等;2.网络设备:路由器、网关、交换机等;3.安全设备:和信息安全相关的设备;4.存储设备:磁带机、磁盘阵列、磁带、光盘、软盘、移动硬盘等;5.传输线路:光纤、双绞线等;6.保障设备:动力保障设备(UPS、变电设备等)、空调、保险柜、文件柜、门禁、消防设施等。
2.3.1.1主机设备2.3.1.2网络设备2.3.1.3安全设备2.3.1.4存储设备2.3.1.5保障设备2.3.1.6通讯线路2.3.2软件资产国家《信息安全风险评估规范》把软件资产分为以下3大类:1.系统软件:操作系统、语句包、工具软件、各种库等;2.应用软件:外部购买的应用软件,外包开发的应用软件等;3.源程序:各种共享源代码、自行或合作开发的各种代码等。
根据XX市地税局实际情况并结合《信息安全风险评估规范》,我们把XX市地税局的软件资产分为以下2大类进行分别的调查识别:1.系统软件:操作系统、语句包、工具软件、各种库等;2.应用软件:外部购买的应用软件,外包开发的应用软件等。
2.3.2.1系统软件2.3.2.2应用软件2.3.3数据资产国家《信息安全风险评估规范》把数据资产定义为保存在信息媒介上的各种数据资料,包括源代码、数据库数据、系统文档、运行管理规程、计划、报告、用户手册等根据XX市地税局实际情况并结合《信息安全风险评估规范》,我们把XX市地税局数据资产的评估范围设定在核心征管系统的数据库数据。
2.3.4文档资产国家《信息安全风险评估规范》文档资产定义为纸质的各种文件,如传真、电报、财务报告、发展计划等。
根据XX市地税局实际情况并结合《信息安全风险评估规范》,我们把XX市地税局的文档资产的评估范围设定在信息中心现存的重要的文档、规范、制度及培训手册等。
此次共整理224个各类文档,从中提取出31个文档作为此次文档资产评估范围。
2.3.5人员资产国家《信息安全风险评估规范》人员资产定义为掌握重要信息和核心业务的人员,如主机维护主管、网络维护主管及应用项目主管等。
根据XX市地税局实际情况并结合《信息安全风险评估规范》,我们把XX市地税局的人员资产的评估范围设定在信息中心在职工作人员。
信息中心在职人员共有13人,主要进行高级管理的主任或副级的人员有三人,重要系统管理人员为六人。
因此,此次人员资产的评估范围是信息中心高级管理人员及重要资产管理人员共九人。
3资产赋值方法信息资产价值有别于资产的帐面价值和重置价值,而是指资产在安全方面的相对价值。
本文中所指的信息资产价值全部都表示相对价值。
进行资产估价时,不仅要考虑资产的帐面价值,更重要的是考虑资产对于组织商务或业务的重要性,即资产损失所引发潜在的商务或业务的影响来决定,例如导致业务中断、资金和市场份额的损失、企业形象的损害等直接和间接的经济损失。
为确保资产估价的一致性和准确性,应建立一个资产的价值尺度,即资产评价标准,以明确如何对资产进行赋值。
信息资产分别具有不同的安全属性,机密性、完整性和可用性分别反映了资产在三个不同方面的特性。
安全属性的不同通常也意味着安全控制、保护功能需求的不同。
通过考察三种不同安全属性,可以得出一个能够基本反映资产价值的定性的数值。
在信息资产估价时,主要对资产的这三个安全属性分别赋予价值,以此反映出信息资产的价值。
密性、完整性和可用性的定义如下:⏹保密性:确保只有经过授权的人才能访问信息。
如果信息或者服务被无关甚至怀有恶意的人获得,则表明该资产的保密性受到了损害。
⏹完整性:保护信息和信息的处理方法准确而完整;如果信息或者服务在传递过程中因为系统故障或者恶意的方法导致被修改,并引起错误,则表明该资产的完整性受到了损害。
⏹可用性:确保经过授权的用户在需要时可以访问信息并使用相关信息资产。
如果信息非正常丢失或者服务非正常中断,则表明该资产的可用性受到了损害。
保密性、完整性和可用性是评价资产的三个安全属性。
风险评估中资产的价值不是以资产的经济价值来衡量,而是由资产在这三个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的。
安全属性达成程度的不同将使资产具有不同的价值,而资产面临的威胁、存在的脆弱性、以及已采用的安全措施都将对资产安全属性的达成程度产生影响。
为此,有必要对组织中的资产进行识别。
3.1保密性赋值根据资产在保密性上的不同要求,将其分为五个不同的等级,分别对应资产在保密性上应达成的不同程度或者保密性缺失时对整个组织的影响。
表提供了一种保密性赋值的参考。
资产保密性赋值表3.2完整性赋值根据资产在完整性上的不同要求,将其分为五个不同的等级,分别对应资产在完整性上缺失时对整个组织的影响。
表提供了一种完整性赋值的参考。
资产完整性赋值表3.3可用性赋值根据资产在可用性上的不同要求,将其分为五个不同的等级,分别对应资产在可用性上应达成的不同程度。
表4提供了一种可用性赋值的参考。
资产可用性赋值表3.4资产重要性等级资产价值应依据资产在保密性、完整性和可用性上的赋值等级,经过综合评定得出。
综合评定方法可以根据自身的特点,选择对资产保密性、完整性和可用性最为重要的一个属性的赋值等级作为资产的最终赋值结果;也可以根据资产保密性、完整性和可用性的不同等级对其赋值进行加权计算得到资产的最终赋值结果。
加权方法可根据组织的业务特点确定。
本标准中,为与上述安全属性的赋值相对应,根据最终赋值将资产划分为五级,级别越高表示资产越重要,也可以根据组织的实际情况确定资产识别中的赋值依据和等级。
表中的资产等级划分表明了不同等级的重要性的综合描述。
评估者可根据资产赋值结果,确定重要资产的范围,并主要围绕重要资产进行下一步的风险评估。
资产等级及含义描述4XX市地税局资产赋值4.1硬件资产赋值4.1.1主机设备⏹保密性赋值:数据库主机中运行的是核心应用征管系统的数据库,保密性设为5;DC域控制器为征管系统提供集中身份验证,保密性为4;征管应用服务器为核心应用系统,保密性设为3;税收管理应用,为内部应用服务器,保密性设为3;WWW服务器为发布服务器,保密性要求相对比较低,因此设为2;公文流转及防病毒服务器,承担内部公文流转及防病毒的任务,由于有公文流转,因此设为4;⏹可用性赋值数据库主机承担征管系统数据查询及数据存储功能,虽然由两台数据库主机分别提供此项功能,但由于平时数据库主机的压力比较高,一台主机如果发生故障有可能影响整个征管系统的应用,因此可用性要求最高,设为5;DC域控制器为征管提供身体验证,由两台DC控制器分别进行,可能用性要求不是非常高,设为3;征管应用系统由四台主机分别提供,任何一台或两台主机发生故障,一般不会影响整个系统的应用,因此可用性设为2;税收管理应用,现阶段没有正式开通,可用性要求不高,设为2;WWW服务器为发布服务器,只有一台主机提供服务,可用性要求相对较高,设为4;公文流转及防病毒服务器,承担内部公文流转及防病毒的任务,只有一台主机提供相关服务,可用性要求相对较高,设为4;完整性赋值数据库承担征管系统数据查询及数据存储功能,数据内容不容被破坏或修改,因此,完整性要求最高,设为4;DC域控制器为征管提供身体验证,完整性要求相对较高设为3;征管应用系统由四台主机分别提供,征管应用是一项流程一项业务,对于流程或业务完整性的要求比较高,因此,设为4;税收管理应用,是一项应用服务,完整性的要求比较高,设为4;WWW服务器为发布服务器,但由于此服务器不是核心应用系统,因此完整性要求不是要求很严格,设为3公文流转及防病毒服务器,承担内部公文流转及防病毒的任务,公文流转和防病毒都是比较重要的应用服务,完整性要求相对较高,设为4;具体列表如下:4.1.2网络设备⏹保密性赋值核心路由器、核心交换机上的数据为重要的征管数据,保密性设为3;F5负载均衡的数据为重要的征管数据,保密性设为3;⏹可用性赋值核心路由器、核心交换机是整个设级地税网络的核心网络设备,可用性要求比较高,设为4F5负载均衡设备承担为内部四台征管应用提供数据中转,F5是否可用直接会影响整个征管系统,可用性要求最高,设为5;⏹完整性赋值核心路由器、核心交换机上的数据为重要的征管数据,因此,完整性要求比较高,设为4;F5负载均衡的数据为重要的征管数据,因此,完整性要求比较高,设为4;4.1.3安全设备⏹保密性赋值IPS为入侵防御系统,是一种安全设备,保密性要求比较低,设为2;⏹可用性赋值IPS为入侵防御系统,是一种安全设备,作为入侵防御系统,它串连在核心路由与核心交换机之间,IPS是否可用,直接影响市地税与下面分局或所的数据能信,因此,可用性设为4⏹完整性赋值IPS为入侵防御系统,是一种安全设备,完整性要求不是很高,设为3;4.1.4存储设备⏹保密性赋值存储设备存储的是重要数据库数据,保密性要求比较高,设为4;⏹可用性赋值存储设备对数据库进行备份,可用性要求比较高,设为4;⏹完整性赋值存储设备对数据库进行备份,如果备份数据有问题,可以进行重新备份,因此完整性的要求不是特别高,设为3;4.1.5保障设备⏹保密性赋值UPS、空调、防雷、气体消防系统均不存在数据和重要的监控信息,因此,保密性设为1;视频监控系统,由于负责机房视频监控,视频数据有比较强的保密性要求,因此,保密性设为4;⏹可用性赋值UPS、消防系统分别承担电源保障及机房消防,可用性要求最高,为4;空调设备有两台,一台出现故障不会很大程度影响机房运行,因此可用性设为2;防雷设备,由于地税大厦已经做了防雷处理,因此,机房防雷的可用性要求不是很高,设为2;动力和环境监测系统,不是核心保障设备,可用性设为2;设频监控系统,负责监控机房日常情况,可用性要求设为3完整性赋值UPS、消防系统分别承担电源保障及机房消防,设备的完整性直接影响整个机房的运行状态,因此完整性设为4;空调设备有两台,一台出现故障不会很大程度影响机房运行,因此完整性设为2;防雷设备,由于地税大厦已经做了防雷处理,因此,机房防雷的完整性要求不是很高,设为2;动力和环境监测系统,不是核心保障设备,完整性设为2;设频监控系统,负责监控机房日常情况,完整性要求设为34.1.6通讯线路⏹保密性赋值8M县(区)局线路和2M所级线路,是市局和各县(区)局级机关进行通讯的线路及市级和各所级机关进行通讯的线路,线路上主要是征管数据,保密性要求为3;⏹可用性赋值8M县(区)局线路,是市局和各县(区)局级机关进行通讯的线路及市级,线路上主要是征管数据,可用性要求为4;2M所级线路,是市级和各所级机关进行通讯的线路,线路上主要是征管数据,可用性要求为3;⏹完整性赋值8M县(区)局线路和2M所级线路,是市局和各县(区)局级机关进行通讯的线路及市级和各所级机关进行通讯的线路,线路上主要是征管数据,完整性要求为2;4.2软件资产赋值4.2.1系统软件⏹保密性赋值除DC控制器上的两个操作系统外,其它Win2000操作系统及IBM AIX 保密性均设为3;DC控制器上的主机系统由于承担用户验证的功能,因此,保密性要求为4;ORACLE数据库系统的保密性为3;⏹可用性赋值四台征管应用服务器上的主机系统由于采用了负载均衡,因此,征管应用系统上的操作系统可用性要求较底,为2;现台域控制器上的系统,可用性为3;公文流转上的主机系统,可用性为3IBMAIX主机系统及ORACLE数据库系统,可用性为4;⏹完整性赋值两台域控制系统、四台征管应用主机系统由于都是多台系统提供功能,因此完整性要求均为3;公文流转主机系统为单一主机系统,完整性为4;IBM AIX主机系统及Oracle数据库系统,完整性为4;4.2.2应用软件⏹保密性赋值四套征管应用系统保密性均为4;⏹可用性赋值四套征管应用系统,由于采用了集群负载均衡的工作方式,单套可用性要求不高,为2;⏹完整性赋值四套征管应用系统,由于为业务应用系统,对业务的完整性要求相对较高,因此设为3;4.3数据资产赋值⏹保密性赋值税收征管数据保密性要求非常高,设为5;⏹可用性赋值税收征管数据可用性要求非常高,设为5;⏹完整性赋值税收征管数据完整性要求非常高,设为5;4.4文档资产赋值⏹保密性赋值XX地税局信息中心中相关文档均为制度、规范、手册类文档,保密性要求不高,因此,设为2;⏹可用性赋值制度、规范、手册类文档可用性要求相对不是特别高,因此,设为3;手册类文档,直接指导具体操作,可用性要求相对较高,因此,设为4;⏹完整性赋值制度、规范、手册类文档完整要求相对不是特别高,因此,设为3;手册类文档,直接指导具体操作,完整性要求相对较高,因此,设为4;4.5人员资产赋值⏹密性赋值XX主任作为整个信息中心的主管领导,可以涉及到信息中心的所有重要信息,保密性要求最高设为4;副主任级领导及重要设备管理人员,因为可以涉及大部分重要信息,保密性要求相对较高设为3;其它普通管理人员,保密要求相对不高设为2;⏹可用性赋值XX主任作为整个信息中心的主管领导,职责要求最高,可用性为5;副主任级领导可用性设为3;重要设备管理人员可用性设为4;一般管理人员可用性设为2;其它普通维护人员,保密要求相对不高,设为2;完整性赋值XX主任作为整个信息中心的主管领导,职责要求最高,完整性为5;副主任级领导完整性设为3;重要设备管理人员完整性设为4;一般管理人员完整性设为2;5地税信息资产统计分析5.1资产价值分布5.2分段价值分布5.3资产分类对比。