信息资产分级分类标准Word文件下载.docx

资源描述

信息资产分级分类标准Word文件下载.docx

《信息资产分级分类标准Word文件下载.docx》由会员分享，可在线阅读，更多相关《信息资产分级分类标准Word文件下载.docx（7页珍藏版）》请在冰豆网上搜索。

信息资产分级分类标准Word文件下载.docx

4.2.信息资产管理人

负责信息资产的管理工作，负责相关信息资产的识别与登记。

4.3.全体员工

协助信息资产管理人进行资产的识别与分类工作。

概述信息资产是组织直接赋予了价值因而需要保护的东西。

它可能是以多种形式存在，有无形的、有形的、硬件、软件、文档、代码、服务和组织形象等。

它们分别具有不同的价值属性和存在特点，其存在的弱点、面临的威胁、需要进行的保护和安全控制都各不相同。

为此，有必要对组织、机构中的信息资产进行科学分类，让组织清晰的了解需要重点保护的对象，并为的信息安全风险评估及信息安全解决方案的设计提供依据。

5.资产分类

5.1.硬件

主要指组织中的硬件信息设备，包括计算机硬件、路由器、交换机、硬件防火墙、加密设备、布线、备份存储设备等。

硬件资产单指硬件设备，不包括运行在硬件设备中的软件系统、IOS、配置文件和存储的数据等，软件本身属于软件资产，运行中的软件系统和IOS等属于服务资产，配置文件和存储的数据属于数据资产。

5.2.软件

软件是现代组织中重要的信息资产之一，与组织的硬件资产一起构成了组织的整个的IT信息环境。

一般情况下，软件资产包括已经安装并正在运行中的软件，软件的许可证、存储的媒体等，与可能安装或运行的硬件无关，软件的价值主要体现在已经安装并运行的软件提供应用和功能，也包括本身的许可证、序列号、软件使用权等。

安装或运行后的软件，也为组织提供服务和应用的功能，也有一定的服务的性质，但服务类

文档密级：

□公开信息

■内部信息

□秘密

□机密

□绝秘

**-ISMS-WI-001

A/0

2017年07月01日

第7页/共7页

文件编号版本/版次制定日期页码

资产强调的是业务流程和业务服务能力，是一个抽象的概念，一般不是一个软件就能提供，而是由一套有机组成的系统提供，包括软件提供的服务，标准和配置，人员的操作等，所以服务资产有别于软件资产。

5.3.数据

数据在信息资产中占有非常重要的地位，通常作为组织知识产权、竞争优势、商业秘密的载体。

属于需要重点评估、保护的对象。

通常，数据类资产需要保护的安全属性是机密性。

例如，财务信息和薪酬数据就是属于高度机密性的数据。

但是，完整性的重要性会随着机密性的提高而提高。

数据还包括纸质的各种打印和非打印的各种文档和文件，包含了组织有价值的信息，又以纸质的方式来保存，包括文件、合同、传真、财务报告、发展计划、业务流程、通讯录、组织人员职责等等。

5.4.人员

主要指组织与信息相关的人员和组织，包括各级安全组织，安全人员、各级管理人员，网管员，系统管理员，业务操作人员，第三方人员等与被评估信息系统相关人员和组织。

5.5.环境设施

指为了保障IT信息环境正常有效运行而建立的环境保护和支持设施，包括为保障IT信息系统正常运行的供电设施、空调制冷设施、排气设施等，以及为保护IT信息系统及相关硬件、数据不被非法访问而部署的门禁、监控、保险柜、文件柜等设施。

5.6.服务

服务在信息资产中占有非常重要的地位，通常作为组织运行管理、商业业务实现等形式存在。

通常服务类资产最为需要保护的安全属性是可用性。

但是，对于某些服务资产，完整性和机密性也可能成为重要的保护对象。

例如通常的门户网站的新闻浏览、计算环境等的可用性最为重要。

但是，完整性也同样重要，例如门户站点的主页被修改，造成的损失也可能是灾难性的。

服务类资产强调的是业务流程和业务服务能力，是一个抽象的概念，一般由一套有机组成的系统提供，包括软件提供的服务，标准和配置，人员的操作，各种资源提供的支持等。

5.7.资产分类列表

参照ISO27001对资产的描述和定义，将公司信息相关资产按照下面的分类方法进行分类：

中文名称英文名称解释/示例

交换机、路由器、负载均衡器、大型机、小型机、PC服务器、台式机、笔记本、手持设备、磁带机、磁带库、磁带、磁盘阵列、移动存储、光盘、软盘、光纤、双绞线、电话线、HUB、同轴电缆、卫星

硬件 Hardware

线路、防火墙、入侵检测设备、漏洞扫描设备、令牌、审计设备、加密机、专有硬件设备、VPN设备、USBKEY、门禁系统、监控系统、报警系统、打印机、复印机、扫描仪、传真机、测试设备等。

软件 Software

操作系统、数据库、中间件、核心业务应用系统、非核心应用系统、固化产品软件模块、软件开发工具、测试工具、通讯软件、版本控制软件、文档加密系统、视频监控管理软件、门禁管理软件、管理信息系统、IT服务管理系统、网络管理系统、主机管理系统、存储管理系统、桌面端-操作系统桌、面端-应软件硬拷贝用软件、归档-

数据 Data

人员 HR

Environmen

以电子和纸质文档形式存在的IT规划与预算等信息、内部规章制度、收发文、源代码和安装包、软件开发文档、IT运维资料、大项目信息、备份存储数据、配置信息、帐户权限口令信息、日志、业务数据等

包括人员和组织，组织负责人、各部门负责人、科研人员、关键管理员、各室一般成员、各室劳务人员、开发外包人员、维护外包人员、技术外包人员、物业人员、保安人员、快递公司人员、其他外部人员等

UPS、发电机、空调、消防设施、门禁设施、办公大厦、保险柜、

环境设施

tal

Facilities

机房设备间、档案室、文件柜等。

服务 Service

机房供电、机房空调、通讯、快递服务、物流服务、设备维护保养服务、安全设备巡检服务、域巡检服务、软件开发外包服务、IT技术服务/IT管理服务、UPS季度检查、业务流程外包、大厦照明、日常供水、饮用水、职场空调、物业管理、宣传品/单证印刷等

以上资产分类列表可以在进行资产登记和风险评估过程中作为重要参考依据，也可以以此为基础对按照需求相关资产进行更细致的分类。

6.资产赋值与分级

6.1.赋值总述

资产分别具有不同的安全属性，机密性、完整性和可用性分别反映了资产在三个不同方面的特性。

安全属性的不同通常也意味着安全控制、保护功能需求的不同。

通过考察三种不同安全属性，可以得出一个能够基本反映资产价值的数值。

对资产进行赋值的目的是为了更好地反映资产的价值，以便于进一步考察资产相关的弱点、威胁和风险属性，并进行量化。

对安全属性赋值时考虑的是对整个评估对象影响和损害，然后按照下面的赋值标准来衡量。

这里整个评估对象是指评估的主体，可能是评估范围内的所有资产组成的系统，也可能是一个部门，也可能是整个组织。

机密性、完整性和可用性的定义如下：

l机密性：

确保信息在存储、使用、传输过程中不会泄漏给非授权用户或实体；

l完整性：

确保信息在存储、使用、传输过程中不会被非授权篡改，防止授权用户或实体不恰当地修改信息，保持信息内部和外部的一致性。

；

l可用性：

确保授权用户或实体对信息及资源的正常使用不会被异常拒绝，允许其可靠而及时地访问信息及资源。

信息资产等级

C－机密性

I－完整性

A－可用性

（非常高）

包含组织最重要

的秘密，关系未来发展的前途命运，对组织根本利益有着决定性影响，如果泄漏会造成灾难性的损害

（高）

包含组织的重要

秘密，其泄露会使组织的安全和利益遭受严重损害

完整性价值非常关

键，未经授权的修改或破坏会对组织造成重大的或无法接受的影响，对业务冲击重大，并可能造成严重的业务中断，难以弥补

完整性价值较高，未经授权的修改或破坏会对组织造成重大影响，对业务冲击严重，比较难以弥补

完整性价值中等，

可用性价值非常

高，合法使用者对信息及信息系统的可用度达到年度99.9%以上

可用性价值较高，

合法使用者对信息及信息系统的可用度达到每天90%以上

包含组织的一般

可用性价值中等，合

通过考量受到损失时对整个评估对象的影响，其赋值表格如下：

（中）

性秘密，其泄露会使组

织的安全和利益受到损害

未经授权的修改或破

法使用者对信息及信息系

坏会对组织造成影响，统的可用度在正常工作时

对业务冲击明显，但可

以弥补

间达到70%以上

（低）

（可忽略）

包含仅能在组织

内部或在组织某一部门内部公开的信息，向外扩散有可能对组织的利益造成损害

包含可对社会公开的信息，公用的信息处理设备和系统资源

等

完整性价值较低，

未经授权的修改或破坏会对组织造成轻微影响，可以忍受，对业务冲击轻微，容易弥补

完整性价值非常低，未经授权的修改或破坏对组织造成的影响可以忽略，对业务冲

击可以忽略

可用性价值较低，合

法使用者对信息及信息系统的可用度在正常工作时间达到25%以上

可用性价值可以忽

略，合法使用者对信息及信息系统的可用度在正常工作时间低于25%

6.2.资产赋值说明

（一）硬件

资产属性类别

资产属性说明

机密性

完整性可用性

指硬件的型号、配置、连接情况和端口等信息，对于主机服务器类一

般不高，所以赋值一般为1，关键硬件可以赋值为2，对于安全设备此赋值较高。

指硬件的完整性，不被毁坏或盗窃，不被非授权更改配置。

指用户在需要时可以使用，能满足或支撑其上面运行的软件服务。

赋值一般和硬件所支撑和承载的服务价值有较大关系。

（二）软件

完整性

指操作系统和应用软件服务的配置情况和应用情况，软件的版本，

Key等信息的机密性。

同时考量应用相关数据的机密性。

指软件的完整性和准确性，不被篡改和加入后门等，在需要应用时能保证软件的完整性和准确性。

可用性

指用户在需要时可以使用软件。

关键业务软件的值会最高。

（三）数据

指数据保持机密性，只在正式授权的范围内可知，确保只有经过授

权的人才能访问和使用数据，防止泄漏给其他人或竞争对手。

指数据的完整性和准确性，不被篡改。

确保经过授权的用户在需要时可以访问和使用数据。

（四）文档

指文档保持机密性，只在正式授权的范围内可知，确保只有经过授

权的人才能访问，防止泄漏文档上的信息和数据。

指文档的完整性和准确性，不被篡改。

确保经过授权的用户在需要时可以使用文档。

（五）服务

指服务和流程保持机密性，包括服务的细节情况和流程的过程和

方法论，例如业务流程中的方法论，各种资源的组合情况，人员操作和管理方式方法，和依据的标准等等。

指服务和流程的完整性和准确性，保证服务自身的完整性和准确性，不被篡改，中间过程不被替换和欺骗，可以

展开阅读全文