ISO27001信息資產(chǎn)識(shí)別和分類培訓(xùn)共25張課件_第1頁
ISO27001信息資產(chǎn)識(shí)別和分類培訓(xùn)共25張課件_第2頁
ISO27001信息資產(chǎn)識(shí)別和分類培訓(xùn)共25張課件_第3頁
ISO27001信息資產(chǎn)識(shí)別和分類培訓(xùn)共25張課件_第4頁
ISO27001信息資產(chǎn)識(shí)別和分類培訓(xùn)共25張課件_第5頁
已閱讀5頁,還剩20頁未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

1、ISO27001信息資產(chǎn)識(shí)別與分類myulo:企業(yè)管理實(shí)戰(zhàn)專家第1頁,共25頁。信息安全事件損失估算直接損失:(水上面的部分)損失了數(shù)據(jù)間接損失(530倍直接損失)損失了時(shí)間替代成本法律費(fèi)用聲譽(yù)受損丟失了潛在業(yè)務(wù)生產(chǎn)力受損第2頁,共25頁。信息安全評(píng)估標(biāo)準(zhǔn)國外標(biāo)準(zhǔn)信息技術(shù)安全性評(píng)估準(zhǔn)則ISO15408,GB/T18336ISO13335信息安全管理規(guī)范信息安全管理標(biāo)準(zhǔn)ISO17799國內(nèi)標(biāo)準(zhǔn)信息安全風(fēng)險(xiǎn)評(píng)估指南 第3頁,共25頁。風(fēng)險(xiǎn)管理各要素之間的關(guān)系依賴擁有被滿足抗擊利用暴露降低增加增加增加導(dǎo)出演變未被滿足未控制可能誘發(fā)殘留成本業(yè)務(wù)戰(zhàn)略資產(chǎn)威脅安全需求事件殘余風(fēng)險(xiǎn)安全措施資產(chǎn)價(jià)值脆弱性風(fēng)險(xiǎn)

2、第4頁,共25頁。風(fēng)險(xiǎn)評(píng)估的相關(guān)術(shù)語資產(chǎn)(Asset)任何對(duì)組織有價(jià)值的東西,是一個(gè)完整信息系統(tǒng)的組成部分,是風(fēng)險(xiǎn)評(píng)估的對(duì)象。威脅(Threat) 可能導(dǎo)致對(duì)系統(tǒng)或組織的損害的不期望事件發(fā)生的潛在原因脆弱性(Vulnerability)可能會(huì)被一個(gè)或多個(gè)威脅所利用的資產(chǎn)或一組資產(chǎn)的弱點(diǎn)第5頁,共25頁。風(fēng)險(xiǎn)分析原理資產(chǎn)識(shí)別脆弱性識(shí)別威脅識(shí)別價(jià)值嚴(yán)重程度出現(xiàn)的頻率損失可能性風(fēng)險(xiǎn)值第6頁,共25頁。資產(chǎn)識(shí)別與分類數(shù)據(jù)存在信息媒介上的各種數(shù)據(jù)資料,包括源代碼、數(shù)據(jù)庫數(shù)據(jù)、系統(tǒng)文檔、運(yùn)行管理規(guī)程、計(jì)劃、報(bào)告、用戶手冊(cè)等軟件系統(tǒng)軟件、應(yīng)用軟件、源程序、數(shù)據(jù)庫等硬件網(wǎng)絡(luò)設(shè)備、計(jì)算機(jī)設(shè)備、存儲(chǔ)設(shè)備、移動(dòng)存儲(chǔ)

3、設(shè)備、傳輸線路、保障設(shè)備、安全保障設(shè)備、其他電子設(shè)備等文檔紙質(zhì)的各種文件、傳真、電報(bào)、財(cái)務(wù)報(bào)告、發(fā)展計(jì)劃等人員各級(jí)人員服務(wù)辦公服務(wù)、網(wǎng)絡(luò)服務(wù)、信息服務(wù)等第7頁,共25頁。資產(chǎn)例子信息資產(chǎn)資產(chǎn)所有者/位置資產(chǎn)編號(hào)薪資方案表服務(wù)器采購合同表-供應(yīng)商服務(wù)器采購合同表-訂約人服務(wù)器區(qū)域銷售合同服務(wù)器股票控制記錄服務(wù)器銷售合同-Access數(shù)據(jù)庫服務(wù)器供應(yīng)商清單-Access數(shù)據(jù)庫服務(wù)器金碟財(cái)務(wù)記錄服務(wù)器銷售代理清單市場(chǎng)&銷售郵件服務(wù)器培訓(xùn)資料市場(chǎng)&銷售第8頁,共25頁。資產(chǎn)例子紙質(zhì)文件資產(chǎn)所有者/位置資產(chǎn)編號(hào)供應(yīng)商合同財(cái)務(wù)供應(yīng)商合同物流供應(yīng)商合同市場(chǎng)&銷售財(cái)務(wù)合同財(cái)務(wù)預(yù)算財(cái)務(wù)銷售合同(信用卡)財(cái)務(wù)銷售

4、合同(信用卡)區(qū)域經(jīng)理銷售合同物流銷售合同市場(chǎng)&銷售銀行聲明財(cái)務(wù)賬單財(cái)務(wù)合同發(fā)票財(cái)務(wù)客戶信息市場(chǎng)&銷售第9頁,共25頁。資產(chǎn)例子紙質(zhì)文件資產(chǎn)所有者/位置資產(chǎn)編號(hào)退稅財(cái)務(wù)信件財(cái)務(wù)信件市場(chǎng)&銷售公司介紹財(cái)務(wù)外包服務(wù)合同物流快信投寄單物流供應(yīng)商清單物流客戶信息市場(chǎng)&銷售個(gè)人文件市場(chǎng)&銷售第10頁,共25頁。資產(chǎn)例子軟件資產(chǎn)資產(chǎn)所有者/位置資產(chǎn)編號(hào)Windows98 operating system財(cái)務(wù)3Windows98 operating system物流5Windows98 operating system貨倉Windows98 operating system市場(chǎng)&銷售Microsoft Wo

5、rd 2000財(cái)務(wù)3Microsoft Word 2000物流5Microsoft Word 2000市場(chǎng)&銷售2Microsoft Access 2000財(cái)務(wù)3Microsoft Access 2000物流5Microsoft Access 2000貨倉Microsoft Access 2000市場(chǎng)&銷售2Microsoft PowerPoint 2000財(cái)務(wù)3Microsoft PowerPoint 2000物流5Microsoft PowerPoint 2000市場(chǎng)&銷售2第11頁,共25頁。資產(chǎn)例子軟件資產(chǎn)資產(chǎn)所有者/位置資產(chǎn)編號(hào)Microsoft Outlook 2000財(cái)務(wù)3Mic

6、rosoft Outlook 2000物流5Microsoft Outlook 2000貨倉Microsoft Outlook 2000市場(chǎng)&銷售2金碟財(cái)務(wù)軟件財(cái)務(wù)3PC Anywhere遠(yuǎn)程監(jiān)控貨倉PC Anywhere遠(yuǎn)程監(jiān)控服務(wù)器PC Anywhere遠(yuǎn)程監(jiān)控市場(chǎng)&銷售金碟K3倉儲(chǔ)軟件貨倉Pretty Good Privacy服務(wù)器第12頁,共25頁。資產(chǎn)例子實(shí)體資產(chǎn)資產(chǎn)所有者/位置資產(chǎn)編號(hào)桌上個(gè)人電腦財(cái)務(wù)3桌上個(gè)人電腦物流5桌上個(gè)人電腦貨倉桌上個(gè)人電腦市場(chǎng)&銷售2電話財(cái)務(wù)3電話物流5電話貨倉電話市場(chǎng)&銷售3傳真機(jī)物流保險(xiǎn)箱財(cái)務(wù)儲(chǔ)藏柜財(cái)務(wù)2儲(chǔ)藏柜物流3儲(chǔ)藏柜市場(chǎng)&銷售3計(jì)算器財(cái)務(wù)3第13

7、頁,共25頁。資產(chǎn)例子實(shí)體資產(chǎn)資產(chǎn)所有者/位置資產(chǎn)編號(hào)調(diào)制解調(diào)器貨倉調(diào)制解調(diào)器服務(wù)器激光打印機(jī)物流激光打印機(jī)貨倉復(fù)印機(jī)物流筆記本電腦總經(jīng)理網(wǎng)絡(luò)集中器網(wǎng)絡(luò)2以太網(wǎng)卡市場(chǎng)&銷售2以太網(wǎng)卡物流5以太網(wǎng)卡財(cái)務(wù)3磁帶驅(qū)動(dòng)器服務(wù)器備份磁帶服務(wù)器3DVD刻錄機(jī)服務(wù)器存檔CD/DVD服務(wù)器第14頁,共25頁。資產(chǎn)例子服務(wù)資產(chǎn)所有者/位置資產(chǎn)編號(hào)服務(wù)器市場(chǎng)&銷售電話系統(tǒng)(交換總機(jī))物流服務(wù)器UPS服務(wù)器第15頁,共25頁。其他資產(chǎn)例子1序號(hào)資產(chǎn)類別資產(chǎn)名稱資產(chǎn)編號(hào)所在位置責(zé)任人是否重要信息資產(chǎn)及理由備注硬件筆記本電腦隨身攜帶XXX是;辦公用硬件手機(jī)隨身攜帶XXX是;有用來聯(lián)系業(yè)務(wù),顧問講課錄音用硬件U盤辦公室X

8、XX是;存放客戶資料與公司資料硬件傳真機(jī)辦公室XXX是;與客戶互發(fā)傳真硬件電話辦公室XXX是;與客戶聯(lián)系用硬件掃描打印一體機(jī)辦公室XXX是;打印掃描公司重要資料硬件熱熔機(jī)辦公室XXX是;裝訂重要文件硬件路由器辦公室XXX是;公司電腦共享上網(wǎng)硬件上網(wǎng)貓辦公室XXX是;公司上網(wǎng)用硬件投影儀辦公室XXX是;公司例會(huì),顧問去客戶那里講課用硬件照相機(jī)辦公室XXX是;客戶啟動(dòng)大會(huì)拍照用第16頁,共25頁。其他資產(chǎn)例子2資產(chǎn)編碼資產(chǎn)名稱類別位置用途應(yīng)用情況責(zé)任人備份位置EB-DOC-010OA源代碼數(shù)據(jù)192.168.0.5修改頻繁XXX220.28.9.224EB-SOF-001Windows操作系統(tǒng)系統(tǒng)

9、軟件10.10.5.160XXXEB-SOF-002HP-UX操作系統(tǒng)系統(tǒng)軟件220.28.9.224XXXEB-SOF-003ORACLE應(yīng)用軟件10.10.5.160數(shù)據(jù)庫XXXEB-SOF-004Turbo Linux操作系統(tǒng)系統(tǒng)軟件10.10.5.19XXXEB-SOF-005Windows Exchange server應(yīng)用軟件192.168.2.17郵件服務(wù)XXXEB-DAT-001客戶購物信息(來自EBS)數(shù)據(jù)10.10.5.25XXX220.28.9.224EB-DAT-002用戶注冊(cè)信息(來自EBS)數(shù)據(jù)10.10.5.25XXX220.28.9.224EB-DAT-003郵

10、件信息數(shù)據(jù)192.168.2.17XXX220.28.9.224EB-DAT-004郵件配置信息數(shù)據(jù)192.168.2.17XXX220.28.9.224第17頁,共25頁。7.1.2資產(chǎn)責(zé)任人指定部門或人員承擔(dān)責(zé)任。資產(chǎn)責(zé)任人應(yīng)負(fù)責(zé):確保與信息處理設(shè)施相關(guān)的信息和資產(chǎn)進(jìn)行了適當(dāng)?shù)姆诸?;確定并周期性評(píng)審訪問限制和分類,要考慮到可應(yīng)用的訪問控制策略。所有權(quán)可以分配給:業(yè)務(wù)過程;已定義的活動(dòng)集;應(yīng)用;已定義的數(shù)據(jù)集。其它信息日常任務(wù)可以委派給其他人,例如委派給一個(gè)管理人員每天照看資產(chǎn),但責(zé)任人仍保留職責(zé)。在復(fù)雜的信息系統(tǒng)中,將一組資產(chǎn)指派給一個(gè)責(zé)任人,可能是比較有用的,它們一起工作來提供特殊的“服

11、務(wù)”功能。在這種情況下,服務(wù)責(zé)任人負(fù)責(zé)提供服務(wù),包括資產(chǎn)本身提供的功能。第18頁,共25頁。信息資產(chǎn)識(shí)別表樣版序號(hào)資產(chǎn)類別資產(chǎn)名稱資產(chǎn)編號(hào)所在位置負(fù)責(zé)人備注第19頁,共25頁。信息安全的屬性保密性Confidentiality完整性integrity可用性Availability安全第20頁,共25頁。資產(chǎn)機(jī)密性賦值表賦值標(biāo)識(shí)定 義5極高包含組織最重要的秘密,關(guān)系未來發(fā)展的前途命運(yùn),對(duì)組織根本利益有著決定性影響,如果泄漏會(huì)造成災(zāi)難性的損害 4高包含組織的重要秘密,其泄露會(huì)使組織的安全和利益遭受嚴(yán)重?fù)p害3中等包含組織的一般性秘密,其泄露會(huì)使組織的安全和利益受到損害2低包含僅能在組織內(nèi)部或在組織某

12、一部門內(nèi)部公開的信息,向外擴(kuò)散有可能對(duì)組織的利益造成損害1可忽略包含可對(duì)社會(huì)公開的信息,公用的信息處理設(shè)備和系統(tǒng)資源等第21頁,共25頁。資產(chǎn)完整性賦值表賦值標(biāo)識(shí)定 義5極高完整性價(jià)值非常關(guān)鍵,未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)組織造成重大的或無法接受的影響,對(duì)業(yè)務(wù)沖擊重大,并可能造成嚴(yán)重的業(yè)務(wù)中斷,難以彌補(bǔ)4高完整性價(jià)值較高,未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)組織造成重大影響,對(duì)業(yè)務(wù)沖擊嚴(yán)重,比較難以彌補(bǔ)3中等完整性價(jià)值中等,未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)組織造成影響,對(duì)業(yè)務(wù)沖擊明顯,但可以彌補(bǔ)2低完整性價(jià)值較低,未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)組織造成輕微影響,可以忍受,對(duì)業(yè)務(wù)沖擊輕微,容易彌補(bǔ)1可忽略完整性價(jià)值非常低,未經(jīng)授權(quán)的修改或破壞對(duì)組織造成的影響可以忽略,對(duì)業(yè)務(wù)沖擊可以忽略第22頁,共25頁。資產(chǎn)可用性賦值表賦值標(biāo)識(shí)定 義5極高可用性價(jià)值非常高,合法使用者對(duì)信息及信息系統(tǒng)的可用度達(dá)到年度99.9%以上4高可用性價(jià)值較高,合法使用者對(duì)信息及信息系統(tǒng)的可用度

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論