安全風(fēng)險(xiǎn)評(píng)估之信息資產(chǎn)賦值

1、精選優(yōu)質(zhì)文檔-傾情為你奉上信息資產(chǎn)賦值定義1.為什么要進(jìn)行信息資產(chǎn)的賦值？ 在完成信息資產(chǎn)的識(shí)別形成完整的信息資產(chǎn)表之后，為了明確對(duì)資產(chǎn)的保護(hù)，同時(shí)為了接下來(lái)對(duì)風(fēng)險(xiǎn)值的計(jì)算，有必要對(duì)資產(chǎn)的價(jià)值進(jìn)行評(píng)估，其價(jià)值大小不僅僅是考慮其自身的價(jià)值，還要考慮其業(yè)務(wù)的相關(guān)性和一定條件下的潛在價(jià)值。資產(chǎn)價(jià)值常常是以安全事件發(fā)生時(shí)所產(chǎn)生的潛在業(yè)務(wù)影響來(lái)衡量，安全事件會(huì)導(dǎo)致資產(chǎn)機(jī)密性、完整性和可用性的損失，從而導(dǎo)致企業(yè)資金、市場(chǎng)份額、企業(yè)形象的損失。為了資產(chǎn)評(píng)估的一致性與準(zhǔn)確性，我們建立一套資產(chǎn)價(jià)值的評(píng)估標(biāo)準(zhǔn)，對(duì)每一種資產(chǎn)和每一種可能的損失，例如機(jī)密性、完整性和可用性的損失，都可以賦予一個(gè)價(jià)值。但采用精確的方式給

2、資產(chǎn)賦值是較困難的一件事，一般采用定性的方式，按照資產(chǎn)的價(jià)值評(píng)估標(biāo)準(zhǔn)將資產(chǎn)的價(jià)值劃分為不同等級(jí)。經(jīng)過(guò)資產(chǎn)的識(shí)別與估價(jià)后，組織應(yīng)根據(jù)資產(chǎn)價(jià)值大小，進(jìn)一步確定要保護(hù)的關(guān)鍵資產(chǎn)。 在評(píng)估過(guò)程，為了保證沒(méi)有資產(chǎn)被忽略和遺漏，應(yīng)該先確定信息安全體系范圍，建立資產(chǎn)的評(píng)審邊界。評(píng)估資產(chǎn)最簡(jiǎn)單的方式是列出組織業(yè)務(wù)過(guò)程中、安全管理體系范圍內(nèi)所有具有價(jià)值的資產(chǎn)，然后對(duì)資產(chǎn)賦予一定的價(jià)值，這種價(jià)值應(yīng)該反映資產(chǎn)對(duì)組織業(yè)務(wù)運(yùn)營(yíng)的重要性，并以對(duì)業(yè)務(wù)的潛在影響程度表現(xiàn)出來(lái)。例如，資產(chǎn)價(jià)值越大，由于泄露、修改、損害、不可用等安全事件對(duì)組織業(yè)務(wù)的潛在影響就越大?；诮M織業(yè)務(wù)需要的資產(chǎn)的識(shí)別與估價(jià)，是建立信息安全體系，確定風(fēng)險(xiǎn)的

3、重要一步。 2.如何進(jìn)行信息資產(chǎn)賦值？ 在對(duì)資產(chǎn)賦予價(jià)值時(shí)，一方面要考慮資產(chǎn)購(gòu)買(mǎi)成本及維護(hù)成本，另一方面主要考慮當(dāng)這種資產(chǎn)的機(jī)密性、完整性、可用性受到損害時(shí)，對(duì)業(yè)務(wù)運(yùn)營(yíng)的負(fù)面影響程度。在信息安全管理中，并不是直接采用資產(chǎn)的賬面價(jià)值，而是采用以定性分級(jí)的方式建立資產(chǎn)的相對(duì)價(jià)值，以相對(duì)價(jià)值來(lái)作為確定重要資產(chǎn)的依據(jù)和為這種資產(chǎn)的保護(hù)投入多大資源的依據(jù)。 對(duì)資產(chǎn)的賦值不僅要考慮資產(chǎn)本身的價(jià)值，更重要的是要考慮資產(chǎn)的安全狀況對(duì)于組織的重要性，即由資產(chǎn)在其CIA三個(gè)安全屬性上的達(dá)成程度決定。依據(jù)CIA屬性分級(jí)的標(biāo)準(zhǔn)對(duì)資產(chǎn)在機(jī)密性、完整性和可用性上的達(dá)成程度進(jìn)行分析，并在此基礎(chǔ)上得出一個(gè)綜合結(jié)果信息資產(chǎn)的價(jià)

4、值。 賦值五分法資產(chǎn)賦值標(biāo)識(shí)C機(jī)密性I完整性A可用性5很高包含組織最重要的秘密，關(guān)系未來(lái)發(fā)展的前途命運(yùn)，對(duì)組織根本利益有著決定性影響，如果泄漏會(huì)造成災(zāi)難性的損害 （如企密AAA）完整性?xún)r(jià)值非常關(guān)鍵，未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)組織造成重大的或無(wú)法接受的影響，對(duì)業(yè)務(wù)沖擊重大，并可能造成嚴(yán)重的業(yè)務(wù)中斷，難以彌補(bǔ)可用性?xún)r(jià)值非常高，合法使用者對(duì)信息及信息系統(tǒng)的可用度達(dá)到年度99.9%以上4高包含組織的重要秘密，其泄露會(huì)使組織的安全和利益遭受?chē)?yán)重?fù)p害（如企密AA）完整性?xún)r(jià)值較高，未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)組織造成重大影響，對(duì)業(yè)務(wù)沖擊嚴(yán)重，比較難以彌補(bǔ)可用性?xún)r(jià)值較高，合法使用者對(duì)信息及信息系統(tǒng)的可用度達(dá)到每天9

5、0%以上3中等包含組織的一般性秘密，一般僅能在組織某一或幾個(gè)部門(mén)內(nèi)部公開(kāi),其泄露會(huì)使組織的安全和利益受到損害（如企密A）完整性?xún)r(jià)值中等，未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)組織造成影響，對(duì)業(yè)務(wù)沖擊明顯，但可以彌補(bǔ)可用性?xún)r(jià)值中等，合法使用者對(duì)信息及信息系統(tǒng)的可用度在正常工作時(shí)間達(dá)到70%以上2低包含組織較低級(jí)別秘密,僅能在組織內(nèi)部公開(kāi)的信息，向外擴(kuò)散有可能對(duì)組織的利益造成損害完整性?xún)r(jià)值較低，未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)組織造成輕微影響，可以忍受，對(duì)業(yè)務(wù)沖擊輕微，容易彌補(bǔ)可用性?xún)r(jià)值較低，合法使用者對(duì)信息及信息系統(tǒng)的可用度在正常工作時(shí)間達(dá)到25%以上1很低包含可對(duì)社會(huì)公開(kāi)的信息，公用的信息處理設(shè)備和系統(tǒng)資源等完整性

6、價(jià)值非常低，未經(jīng)授權(quán)的修改或破壞對(duì)組織造成的影響可以忽略，對(duì)業(yè)務(wù)沖擊可以忽略可用性?xún)r(jià)值可以忽略，合法使用者對(duì)信息及信息系統(tǒng)的可用度在正常工作時(shí)間低于25%不同資產(chǎn)對(duì)應(yīng)的賦值原則資產(chǎn)賦值標(biāo)識(shí)C機(jī)密性I完整性A可用性5很高關(guān)鍵系統(tǒng)主機(jī)；關(guān)鍵的網(wǎng)絡(luò)設(shè)備、安全設(shè)備、存儲(chǔ)設(shè)備；域控制器和關(guān)鍵基礎(chǔ)設(shè)施服務(wù)器；網(wǎng)絡(luò)和主機(jī)管理及監(jiān)控設(shè)備；備份設(shè)備、備份介質(zhì)；打印機(jī)；復(fù)印機(jī)；傳真機(jī)；個(gè)人辦公電腦關(guān)鍵系統(tǒng)主機(jī)；重要系統(tǒng)主機(jī)；關(guān)鍵的網(wǎng)絡(luò)設(shè)備、安全設(shè)備、存儲(chǔ)設(shè)備；重要網(wǎng)絡(luò)設(shè)備、安全設(shè)備、存儲(chǔ)設(shè)備；一般網(wǎng)絡(luò)設(shè)備、安全設(shè)備、存儲(chǔ)設(shè)備；域控制器和關(guān)鍵基礎(chǔ)設(shè)施服務(wù)器；重要（機(jī)房）環(huán)境設(shè)施監(jiān)控設(shè)備；備份設(shè)備、備份介質(zhì)關(guān)鍵系統(tǒng)主

7、機(jī)；關(guān)鍵的網(wǎng)絡(luò)設(shè)備、安全設(shè)備、存儲(chǔ)設(shè)備；域控制器和關(guān)鍵基礎(chǔ)設(shè)施服務(wù)器；備份設(shè)備、備份介質(zhì)4高重要系統(tǒng)主機(jī)；一般系統(tǒng)主機(jī)；重要網(wǎng)絡(luò)設(shè)備、安全設(shè)備、存儲(chǔ)設(shè)備；域成員服務(wù)器和重要基礎(chǔ)設(shè)施服務(wù)器；重要（機(jī)房）環(huán)境設(shè)施監(jiān)控設(shè)備；打印機(jī)；復(fù)印機(jī)；傳真機(jī)；個(gè)人辦公電腦一般系統(tǒng)主機(jī)；域成員服務(wù)器和重要基礎(chǔ)設(shè)施服務(wù)器；一般（機(jī)房）環(huán)境設(shè)施監(jiān)控設(shè)備；網(wǎng)絡(luò)和主機(jī)管理及監(jiān)控設(shè)備重要系統(tǒng)主機(jī)；重要網(wǎng)絡(luò)設(shè)備、安全設(shè)備、存儲(chǔ)設(shè)備；域成員服務(wù)器和重要基礎(chǔ)設(shè)施服務(wù)器；重要（機(jī)房）環(huán)境設(shè)施監(jiān)控設(shè)備；一般（機(jī)房）環(huán)境設(shè)施監(jiān)控設(shè)備；網(wǎng)絡(luò)和主機(jī)管理及監(jiān)控設(shè)備3中等一般網(wǎng)絡(luò)設(shè)備、安全設(shè)備、存儲(chǔ)設(shè)備；一般（機(jī)房）環(huán)境設(shè)施監(jiān)控設(shè)備；打印機(jī)；

8、復(fù)印機(jī)；傳真機(jī)；個(gè)人辦公電腦完整性?xún)r(jià)值中等，未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)組織造成影響，對(duì)業(yè)務(wù)沖擊明顯，但可以彌補(bǔ)；打印機(jī)；復(fù)印機(jī)；傳真機(jī)；個(gè)人辦公電腦一般系統(tǒng)主機(jī)；一般網(wǎng)絡(luò)設(shè)備、安全設(shè)備、存儲(chǔ)設(shè)備；打印機(jī)；復(fù)印機(jī)；傳真機(jī)；個(gè)人辦公電腦2低-1很低-信息資產(chǎn)賦值算法1.資產(chǎn)賦值算法說(shuō)明    信息資產(chǎn)的資產(chǎn)價(jià)值要考慮機(jī)密性（C）、完整性（I）、可用性（A）三個(gè)因素。為了資產(chǎn)評(píng)估的一致性與準(zhǔn)確性，我們建立一套資產(chǎn)價(jià)值的評(píng)估標(biāo)準(zhǔn)，對(duì)每一種資產(chǎn)和每一種可能的損失，例如機(jī)密性、完整性和可用性的損失，都可以賦予一個(gè)價(jià)值。然后利用確定的算法將信息資產(chǎn)三個(gè)因素的價(jià)值綜合考慮

9、，確定最終的資產(chǎn)價(jià)值大小，進(jìn)一步確定要保護(hù)的關(guān)鍵資產(chǎn)。     資產(chǎn)價(jià)值的算法通常包括算術(shù)平均法和對(duì)數(shù)平均法。算術(shù)平均法綜合考慮三個(gè)方面的因素，簡(jiǎn)便易用。對(duì)數(shù)平均法在考慮三個(gè)因素的同時(shí)，更易突出某一特定因素的影響，更加客觀準(zhǔn)確的體現(xiàn)出資產(chǎn)的價(jià)值。     在實(shí)際應(yīng)用過(guò)程中，通常不同類(lèi)別的資產(chǎn)對(duì)于三個(gè)因素的敏感程度是不同的，例如：人員資產(chǎn)通常不考慮完整性因素。因此，在實(shí)踐過(guò)程中，可以為不同類(lèi)別資產(chǎn)的三個(gè)因素配置相應(yīng)的權(quán)重，以保證對(duì)該類(lèi)資產(chǎn)價(jià)值分析的可靠性和準(zhǔn)確性。 2.請(qǐng)選擇【信息資產(chǎn)賦值算法】： 無(wú)權(quán)重 算術(shù)平均法

10、：綜合考慮資產(chǎn)三個(gè)方面的屬性，平均得出資產(chǎn)價(jià)值，簡(jiǎn)單易用。         對(duì)數(shù)平均法：在綜合考慮資產(chǎn)三個(gè)方面屬性的同時(shí)，重點(diǎn)突出某一屬性的特點(diǎn)。例如，某些信息資產(chǎn)的保密性要求很高，而可用性、完整性要求較低時(shí)，使用本算法更能夠凸顯出其資產(chǎn)價(jià)值的重要性。         有權(quán)重( + + = 1) 加權(quán)算術(shù)平均法：在算術(shù)平均法的基礎(chǔ)上，根據(jù)不同資產(chǎn)類(lèi)別的特點(diǎn)，人為設(shè)置該資產(chǎn)類(lèi)別中三個(gè)方面屬性的權(quán)重。例如，人員類(lèi)資產(chǎn)通常不考慮完整性，則可以通過(guò)調(diào)節(jié)權(quán)值體現(xiàn)出來(lái)。