信息資產(chǎn)分類標(biāo)準(zhǔn)

1、精選優(yōu)質(zhì)文檔-傾情為你奉上專心-專注-專業(yè)陜西廣電網(wǎng)絡(luò)傳媒股份有限公司陜西廣電網(wǎng)絡(luò)傳媒股份有限公司信息資產(chǎn)分類標(biāo)準(zhǔn)信息資產(chǎn)分類標(biāo)準(zhǔn)精選優(yōu)質(zhì)文檔-傾情為你奉上專心-專注-專業(yè)文檔信息文檔信息機(jī)密級(jí)分類版本版本日期日期人員人員更新說(shuō)明更新說(shuō)明V1.02010-10-27版版本控制審核人審核人職務(wù)職務(wù)審核日期審核日期文文檔審核批準(zhǔn)人批準(zhǔn)人職務(wù)職務(wù)批準(zhǔn)日期批準(zhǔn)日期文文檔批準(zhǔn)部門部門人員人員文檔權(quán)限文檔權(quán)限復(fù)分發(fā)控制復(fù)查時(shí)間復(fù)查時(shí)間復(fù)查人員復(fù)查人員復(fù)查結(jié)果復(fù)查結(jié)果復(fù)復(fù)查計(jì)劃精選優(yōu)質(zhì)文檔-傾情為你奉上專心-專注-專業(yè)第一章第一章目目標(biāo)標(biāo)在企業(yè)資產(chǎn)中，IT 資產(chǎn)是非常重要組成部分，隨著企業(yè)經(jīng)營(yíng)越來(lái)越依賴信息

2、化，IT 資產(chǎn)的管理也變得越來(lái)越重要。同時(shí) IT 資產(chǎn)的特點(diǎn)又是復(fù)雜多變的，只有運(yùn)用科學(xué)的分類方法，才能實(shí)現(xiàn) IT 資產(chǎn)的良好管理。因此對(duì)陜西廣電 IT資產(chǎn)進(jìn)行等級(jí)分類，是資產(chǎn)管理的前提條件。其目標(biāo)主要體現(xiàn)在以下幾個(gè)方面：通過(guò)對(duì)陜西廣電合理的 IT 資產(chǎn)等級(jí)分類，為 IT 資產(chǎn)管理提供科學(xué)、有效的方式。對(duì)陜西廣電現(xiàn)有 IT 資產(chǎn)進(jìn)行信息安全屬性的賦值，并對(duì)其進(jìn)行等級(jí)劃分，從而為以后的安全解決方案提供依據(jù)。IT 資產(chǎn)等級(jí)分類也是整個(gè)評(píng)估工作的前提，是安全評(píng)估的基礎(chǔ)和重要依據(jù)，也為之后的資產(chǎn)管理標(biāo)準(zhǔn)制定提供了良好的基礎(chǔ)。因此本文檔可以幫助陜西廣電實(shí)現(xiàn) IT 資產(chǎn)等級(jí)分類標(biāo)準(zhǔn)化。第二章第二章概述概述

3、IT 資產(chǎn)是企業(yè)、機(jī)構(gòu)直接賦予了價(jià)值因而需要保護(hù)的東西。它可能是以多種形式存在，有無(wú)形的、有有形的，有硬件、有軟件，有文檔、代碼，也有服務(wù)、企業(yè)形象等。它們分別具有不同的價(jià)值屬性和存在特點(diǎn)，其存在的弱點(diǎn)、面臨的威脅、需要進(jìn)行的保護(hù)和安全控制都各不相同。為此，有必要對(duì)企業(yè)、機(jī)構(gòu)中的 IT 資產(chǎn)進(jìn)行科學(xué)分類，讓企業(yè)清晰的了解需要重點(diǎn)保護(hù)的 IT 資產(chǎn)，并為后期的基礎(chǔ)設(shè)備、應(yīng)用風(fēng)險(xiǎn)評(píng)估，進(jìn)而為解決方案的設(shè)計(jì)提供依據(jù)。IT 資產(chǎn)分類范圍資產(chǎn)分類范圍根據(jù)本標(biāo)準(zhǔn)的分類對(duì)象，包括 IT 和運(yùn)營(yíng)支撐中心所有信息系統(tǒng)、信息資產(chǎn)、軟件資產(chǎn)、實(shí)體資產(chǎn)、書(shū)面文件和服務(wù)。精選優(yōu)質(zhì)文檔-傾情為你奉上專心-專注-專業(yè)IT

4、資產(chǎn)分類步驟資產(chǎn)分類步驟根據(jù)陜西廣電的實(shí)際環(huán)境，對(duì)于 IT 資產(chǎn)等級(jí)分類，主要分成三部分進(jìn)行：IT 資產(chǎn)的分類方法：根據(jù)國(guó)際標(biāo)準(zhǔn) ISO27001：2005 關(guān)于資產(chǎn)的分類描述，參考最佳實(shí)踐，并結(jié)合陜西廣電自身的企業(yè)特點(diǎn)，定義陜西廣電 IT 資產(chǎn)的分類方法。IT 資產(chǎn)識(shí)別和安全屬性賦值：參照國(guó)際標(biāo)準(zhǔn) ISO27001：2005 關(guān)于對(duì)資產(chǎn)識(shí)別和安全屬性的定義，通過(guò)對(duì)陜西廣電的實(shí)際調(diào)研，綜合各方面因素，對(duì)陜西廣電 IT資產(chǎn)進(jìn)行識(shí)別和安全屬性賦值。IT 資產(chǎn)等級(jí)分類：通過(guò) IT 資產(chǎn)安全屬性值，計(jì)算出 IT 資產(chǎn)等級(jí)級(jí)別，并按等級(jí)進(jìn)行歸類。第三章第三章IT 資產(chǎn)等級(jí)分類標(biāo)準(zhǔn)資產(chǎn)等級(jí)分類標(biāo)準(zhǔn)IT 資

5、產(chǎn)的分類資產(chǎn)的分類ISO27001 資產(chǎn)分類資產(chǎn)分類ISO27001 對(duì)資產(chǎn)分類：1. 信息資產(chǎn)：數(shù)據(jù)庫(kù)數(shù)據(jù)文件、系統(tǒng)文檔、用戶手冊(cè)、培訓(xùn)材料、操作或支持步驟、連續(xù)性計(jì)劃、回退計(jì)劃、歸檔等信息；2. 軟件資產(chǎn)：應(yīng)用程序軟件、系統(tǒng)軟件、開(kāi)發(fā)工具以及實(shí)用程序；3. 實(shí)體資產(chǎn)：計(jì)算機(jī)設(shè)備（處理器、監(jiān)視器、膝上型電腦、調(diào)制解調(diào)器） 、通訊設(shè)備（路由器、PABX、傳真機(jī)、應(yīng)答機(jī)） 、磁介質(zhì)（磁帶和磁盤(pán)） 、其它技術(shù)設(shè)備（電源 、空調(diào)器） 、機(jī)房；4. 書(shū)面文件：包含系統(tǒng)文件、使用手冊(cè)、各種程序及指引辦法、合約書(shū)等。5. 服務(wù)：計(jì)算和通訊服務(wù)、常用設(shè)備，如加熱器、照明設(shè)備、電源、空調(diào)。在 ISO27001

6、 資產(chǎn)分類中包含范圍非常廣泛，考慮到本標(biāo)準(zhǔn)面對(duì)的對(duì)象，因精選優(yōu)質(zhì)文檔-傾情為你奉上專心-專注-專業(yè)此此次分類范圍中，將對(duì)所有 IT 資產(chǎn)進(jìn)行歸類。陜西廣電陜西廣電 IT 資產(chǎn)分類資產(chǎn)分類方法方法以 ISO27001 資產(chǎn)分類方法為基礎(chǔ)，結(jié)合陜西廣電的實(shí)際情況，以保護(hù)陜西廣電信息資產(chǎn)為核心，結(jié)合陜西廣電本身的業(yè)務(wù)特點(diǎn)，設(shè)計(jì)如下的資產(chǎn)分類方法。整個(gè)資產(chǎn)分類原則是圍繞信息資產(chǎn)展開(kāi)的，以信息資產(chǎn)為出發(fā)點(diǎn)，分層次進(jìn)行分類的。首先是：信息資產(chǎn)，它是陜西廣電核心保護(hù)資產(chǎn)；其次是：實(shí)體資產(chǎn)，它是信息資產(chǎn)的實(shí)際載體、它承擔(dān)著信息資產(chǎn)的存儲(chǔ)、傳輸、檢索、加工等各項(xiàng)功能，和信息資產(chǎn)有著最直接的關(guān)系；第三是：信息系統(tǒng)

7、，它是由基于實(shí)體資產(chǎn)，按照一定的應(yīng)用目標(biāo)和規(guī)則構(gòu)成的，能夠承載某項(xiàng)業(yè)務(wù)工作的系統(tǒng)。它是對(duì)實(shí)體資產(chǎn)圍繞業(yè)務(wù)的歸納、匯總；第四是：為實(shí)現(xiàn)以上資產(chǎn)的有效管理、運(yùn)維所依賴的 IT 政策、標(biāo)準(zhǔn)、流程、手冊(cè)及指南；第五是：使用、管理、維護(hù)這些資產(chǎn)的主體：人員，它也是整個(gè)資產(chǎn)中最活躍的因素，把它歸納為一類資產(chǎn)，有利對(duì)其實(shí)現(xiàn)有效的管理。最后就是服務(wù)資產(chǎn)，即各種本部門通過(guò)購(gòu)買方式獲取的，或者需要支持部門特別提供的，能夠?qū)ζ渌炎R(shí)別資產(chǎn)的操作起支持作用（也就是對(duì)業(yè)務(wù)有支持作用）的服務(wù)。通過(guò)以上對(duì)陜西廣電資產(chǎn)分類的方法，參考 ISO27001 的資產(chǎn)分類標(biāo)準(zhǔn)，分類概況如下：精選優(yōu)質(zhì)文檔-傾情為你奉上專心-專注-專業(yè)

8、信息系統(tǒng)表信息系統(tǒng)表在 IT 資產(chǎn)分類中，參考最佳實(shí)踐，首先需要統(tǒng)計(jì)陜西廣電目前的所有信息系統(tǒng)，及相關(guān)屬性，分析陜西廣電各信息系統(tǒng)的等級(jí)，為之后的分級(jí)保護(hù)提供依據(jù)；同時(shí)會(huì)對(duì)信息系統(tǒng)按照國(guó)家等級(jí)化的方法進(jìn)行等級(jí)劃分，為應(yīng)用系統(tǒng)的抽樣提供依據(jù)。信息資產(chǎn)表信息資產(chǎn)表本分類標(biāo)準(zhǔn)中，信息資產(chǎn)特指陜西廣電網(wǎng)絡(luò)傳媒股份有限公司經(jīng)營(yíng)活動(dòng)中所有信息在信息系統(tǒng)中以各種電子化形式存在的數(shù)據(jù)，對(duì)陜西廣電具有價(jià)值的，需要核心保護(hù)的 IT 資產(chǎn)。包括系統(tǒng)文件、數(shù)據(jù)庫(kù)數(shù)據(jù)、電子數(shù)據(jù)流等，以及以各種表格、報(bào)告、視圖等電子形式呈現(xiàn)給用戶的信息。實(shí)體資產(chǎn)表實(shí)體資產(chǎn)表實(shí)體資產(chǎn)主要指有形資產(chǎn)，其中考慮到數(shù)據(jù)庫(kù)的特點(diǎn)，也把其歸為實(shí)體資

9、產(chǎn)中。為更好的對(duì) IT 實(shí)體資產(chǎn)進(jìn)行歸類，按照實(shí)體資產(chǎn)的物理特性和其功能的不同特點(diǎn)，設(shè)計(jì)了資產(chǎn)組：主機(jī)資產(chǎn)、網(wǎng)絡(luò)和安全設(shè)備、數(shù)據(jù)庫(kù)分別對(duì)應(yīng)主機(jī)精選優(yōu)質(zhì)文檔-傾情為你奉上專心-專注-專業(yè)資產(chǎn)表、網(wǎng)絡(luò)和安全設(shè)備表、數(shù)據(jù)庫(kù)表。主機(jī)資產(chǎn)（系統(tǒng)主機(jī)，包括硬件、操作系統(tǒng)、應(yīng)用名稱、IP 地址等屬性） 。網(wǎng)絡(luò)、安全設(shè)備（網(wǎng)絡(luò)、安全設(shè)備，包括硬件、IOS、配置文件、主要功能，IP地址等屬性） 。數(shù)據(jù)庫(kù)（數(shù)據(jù)庫(kù)名稱、類型、版本、業(yè)務(wù)系統(tǒng)、用途等屬性） 。類別簡(jiǎn)稱解釋/示例主機(jī)資產(chǎn)Host一般為一臺(tái)主機(jī)，包括本臺(tái)主機(jī)中的硬件，OS，操作系統(tǒng)、應(yīng)用名稱、IP 地址等。網(wǎng)絡(luò)、安全設(shè)備Network一般為一臺(tái)網(wǎng)絡(luò)設(shè)備，

10、包括本臺(tái)網(wǎng)絡(luò)設(shè)備中的硬件，IOS，配置文件數(shù)據(jù)。包括路由器、交換機(jī)、硬件防火墻，RAS 等數(shù)據(jù)庫(kù)Database一般為一個(gè)數(shù)據(jù)庫(kù)，包括數(shù)據(jù)庫(kù)軟件，版本、業(yè)務(wù)系統(tǒng)、用途等IT 電子文檔資產(chǎn)表電子文檔資產(chǎn)表IT 電子文檔資產(chǎn)包含 IT 運(yùn)營(yíng)和支撐中心內(nèi)部類、中心各部門類三大類，每大類會(huì)分為不同的子類。按照這種方法對(duì)陜西廣電的電子文檔進(jìn)行梳理，有利于以后安全管理的培訓(xùn)及宣導(dǎo)。IT 資產(chǎn)安全屬性賦值資產(chǎn)安全屬性賦值在 ISO27001 體系中，安全的三個(gè)特性（機(jī)密性 C、完整性 I、可用性 A）是其核心思想，在 IT 資產(chǎn)等級(jí)定義中也是圍繞著這三個(gè)方面展開(kāi)的，因此對(duì)IT 資產(chǎn)機(jī)密性、完整性和可用性的賦

11、值也是評(píng)價(jià) IT 資產(chǎn)等級(jí)依據(jù)。對(duì) IT 資產(chǎn)進(jìn)行安全屬性賦值的目的就是為了更好地反映資產(chǎn)的業(yè)務(wù)價(jià)值，并區(qū)分出各資產(chǎn)的價(jià)值等級(jí)，為風(fēng)險(xiǎn)評(píng)估提供量化基礎(chǔ)。機(jī)密性、完整性和可用性的定義如下：保密性（C）：確保只有經(jīng)過(guò)授權(quán)的人才能訪問(wèn)信息；完整性（I）：保護(hù)信息和信息的處理方法準(zhǔn)確而完整；可用性（A）：確保經(jīng)過(guò)授權(quán)的用戶在需要時(shí)可以訪問(wèn)信息并使用相關(guān)精選優(yōu)質(zhì)文檔-傾情為你奉上專心-專注-專業(yè)IT 資產(chǎn)。在安全屬性賦值時(shí)，以陜西廣電業(yè)務(wù)為導(dǎo)向，以信息資產(chǎn)的 C、I、A 賦值為基礎(chǔ)，對(duì)陜西廣電 IT 資產(chǎn)的 C、I、A 屬性進(jìn)行的賦值。主要方法是：先對(duì)信息資產(chǎn)的 C、I、A 進(jìn)行賦值，并以此為基礎(chǔ)，通過(guò)

12、對(duì)這些承載信息數(shù)據(jù)的載體，網(wǎng)絡(luò)通信媒介、信息系統(tǒng)及相關(guān)的支撐資產(chǎn)識(shí)別，來(lái)完成對(duì)這些 IT 資產(chǎn)的C、I、A 屬性賦值。以下是參考業(yè)界經(jīng)驗(yàn)和最佳實(shí)踐，分別為 C、I、 、A 定義的 4 個(gè)具體等級(jí)。機(jī)密性賦值標(biāo)準(zhǔn)（機(jī)密性賦值標(biāo)準(zhǔn)（Confidentiality）根據(jù) IT 資產(chǎn)機(jī)密性屬性的不同，將它分為 4 個(gè)不同的等級(jí)，分別對(duì)應(yīng)資產(chǎn)在機(jī)密性方面的價(jià)值或者在機(jī)密性方面受到損失時(shí)對(duì)整個(gè)評(píng)估體的影響。賦值標(biāo)準(zhǔn)參照下表：賦值含義解釋4非常高（Very High）IT 資產(chǎn)為極機(jī)密，對(duì) IT 資產(chǎn)的訪問(wèn)僅授權(quán)極少數(shù)必須使用者，IT 資產(chǎn)機(jī)密性受破壞影響嚴(yán)重，用戶蒙受嚴(yán)重?fù)p失，無(wú)法接受。3高（High）I

13、T 資產(chǎn)為機(jī)密信息，對(duì)信息的訪問(wèn)只有必須使用者才予以授權(quán)，IT 資產(chǎn)機(jī)密性受破壞影響嚴(yán)重，用戶蒙受損失，并且損失較難彌補(bǔ)。2中（Medium）信息為內(nèi)部信息，公司內(nèi)部可以授權(quán)訪問(wèn)，對(duì)信息潛在未授權(quán)訪問(wèn)影響重大，但是造成的損失可以彌補(bǔ)。1低（Low）信息為公開(kāi)信息，對(duì)信息的訪問(wèn)無(wú)需特別授權(quán)。并且由于機(jī)密性原因造成的損失容易彌補(bǔ)。完整性賦值標(biāo)準(zhǔn)（完整性賦值標(biāo)準(zhǔn)（Integrity）根據(jù) IT 資產(chǎn)完整性屬性的不同，將它分為 4 個(gè)不同的等級(jí)，分別對(duì)應(yīng) IT資產(chǎn)在完整性方面的價(jià)值或者在完整性方面受到損失時(shí)對(duì)整個(gè)評(píng)估體的影響。賦值標(biāo)準(zhǔn)參照下表：賦值含義解釋精選優(yōu)質(zhì)文檔-傾情為你奉上專心-專注-專業(yè)4非

14、常高（Very High）對(duì) IT 資產(chǎn)的未經(jīng)授權(quán)的破壞或修改有重大影響，且可能導(dǎo)致 IT 資產(chǎn)價(jià)值損失非嚴(yán)重，用戶無(wú)法接受3高（High）對(duì)信息的未經(jīng)授權(quán)的破壞或修改有重大影響，且可能導(dǎo)致對(duì)信息價(jià)值資產(chǎn)損失嚴(yán)重，難以彌補(bǔ)2中（Medium）對(duì) IT 資產(chǎn)的未經(jīng)授權(quán)的破壞或修改造成影響，且可能導(dǎo)致對(duì) IT 資產(chǎn)價(jià)值損失，但可以彌補(bǔ)。1低（Low）對(duì) IT 資產(chǎn)的未經(jīng)授權(quán)的破壞或修改不會(huì)產(chǎn)生重大影響。且可能導(dǎo)致對(duì) IT 資產(chǎn)價(jià)值輕微損失，但容易彌補(bǔ)?？捎眯再x值標(biāo)準(zhǔn)（可用性賦值標(biāo)準(zhǔn)（Availability）根據(jù) IT 資產(chǎn)可用性屬性的不同，將它分為 4 個(gè)不同的等級(jí)，分別對(duì)應(yīng) IT資產(chǎn)在可用性方

15、面的價(jià)值或者在可用性方面受到損失時(shí)對(duì)整個(gè)評(píng)估體的影響。賦值標(biāo)準(zhǔn)參照下表：賦值含義解釋4非常高（Very High）合法使用者對(duì)信息的存取可用度達(dá)到年度 99.9%及以上。3高（High）合法使用者對(duì)信息的存取可用度達(dá)到年度 95%以上。2中（Medium）合法使用者對(duì)信息的存取可用度在正常工作時(shí)間達(dá)到100%。1低（Low）合法使用者對(duì)信息的存取可用度在正常工作時(shí)間至少達(dá)到 50%以上。IT 資產(chǎn)等級(jí)計(jì)算資產(chǎn)等級(jí)計(jì)算通過(guò)前面對(duì) IT 資產(chǎn)安全屬性的賦值，可以判斷該資產(chǎn)在陜西廣電經(jīng)營(yíng)活動(dòng)中的價(jià)值，經(jīng)過(guò)資產(chǎn)的價(jià)值等級(jí)計(jì)算，陜西廣電就可以非常明確的對(duì)資產(chǎn)采用分類保護(hù)措施，從而達(dá)到保障陜西廣電經(jīng)營(yíng)活動(dòng)

16、的目標(biāo)。IT 資產(chǎn)等級(jí)的計(jì)算主要來(lái)源于 ISO27001 的 CIA 屬性，同時(shí)參考最佳實(shí)踐，根據(jù)陜西廣電的企業(yè)特點(diǎn)，對(duì)完整性要求較高、保密性其次的特點(diǎn)，設(shè)計(jì)了如下公式對(duì)資產(chǎn)等級(jí)進(jìn)行精選優(yōu)質(zhì)文檔-傾情為你奉上專心-專注-專業(yè)計(jì)算。資產(chǎn)價(jià)值（V）=Round1Log2(A2Conf+B2Int+C2Ava)/3注：A 代表機(jī)密性的權(quán)值；B 代表完整性的權(quán)值；C 代表可用性的權(quán)值Round函數(shù)是按制定位數(shù)，對(duì)數(shù)值四舍五入，Round1表示保留1位小數(shù)。根據(jù)國(guó)際上對(duì)三類行業(yè)的權(quán)值定義慣例電信運(yùn)營(yíng)商（最關(guān)注可用性）：A=0.7，B=0.7，C1.6；金融行業(yè)（最關(guān)注完整性）：A=0.7，B=1.6，C

17、0.7；政府涉密部門（最關(guān)注機(jī)密性）：A=1.6，B=0.7，C0.7；陜西廣電企業(yè)性質(zhì)為電信運(yùn)營(yíng)商，因此權(quán)值分別?。篈=0.7，B=0.7，C1.6并通過(guò)下表進(jìn)行分類等級(jí)價(jià)值分類資產(chǎn)價(jià)值1較低=3.5第四章第四章陜西廣電陜西廣電 IT 資產(chǎn)等級(jí)分類資產(chǎn)等級(jí)分類操作方法操作方法IT 資產(chǎn)等級(jí)分類方法資產(chǎn)等級(jí)分類方法本章節(jié)主要指導(dǎo)陜西廣電對(duì) IT 資產(chǎn)等級(jí)分類的操作方法，以利于合理有效的完成 IT 資產(chǎn)等級(jí)分類的工作。精選優(yōu)質(zhì)文檔-傾情為你奉上專心-專注-專業(yè)陜西廣電陜西廣電 IT 資產(chǎn)登記資產(chǎn)登記首先，先要將整個(gè)分類標(biāo)準(zhǔn)對(duì)陜西廣電相關(guān)收集人員進(jìn)行講解，讓其充分了解。其次由相關(guān)資產(chǎn)負(fù)責(zé)人對(duì)照各收

18、集表進(jìn)行登記。以下建議了提供人員，在實(shí)際收集中可根據(jù)實(shí)際情況進(jìn)行調(diào)整。信息系統(tǒng)表建議由使用信息系統(tǒng)的管理人員填寫(xiě)或管理人員委托給對(duì)信息系統(tǒng)非常了解的人員填寫(xiě)。信息資產(chǎn)表：以業(yè)務(wù)系統(tǒng)表為基礎(chǔ)，對(duì)應(yīng)用系統(tǒng)應(yīng)用、管理人員進(jìn)行訪談，以訪談的內(nèi)容結(jié)果填寫(xiě)信息資產(chǎn)表。主機(jī)資產(chǎn)表：精選優(yōu)質(zhì)文檔-傾情為你奉上專心-專注-專業(yè)將此表下發(fā)各主機(jī)系統(tǒng)維護(hù)人員填寫(xiě)。網(wǎng)絡(luò)、安全設(shè)備表：由網(wǎng)絡(luò)維護(hù)人員填寫(xiě)。數(shù)據(jù)庫(kù)表：由數(shù)據(jù)庫(kù)管理人員填寫(xiě)。IT 電子文檔由相關(guān)層次文檔的制定或發(fā)布者提供。陜西廣電陜西廣電 IT 資產(chǎn)安全屬性賦值資產(chǎn)安全屬性賦值陜西廣電 IT 資產(chǎn)分類表填寫(xiě)之后，需對(duì)填寫(xiě)的結(jié)果進(jìn)行整理，并與各填表人員進(jìn)行溝通，對(duì) IT 資產(chǎn)進(jìn)行 CI