安全風險評估之信息資產(chǎn)賦值

1、信息資產(chǎn)賦值定義1為什么要進行信息資產(chǎn)的賦值？在完成信息資產(chǎn)的識別形成完整的信息資產(chǎn)表之后，為了明確對資產(chǎn)的保護，同時為 了接下來對風險值的汁算，有必要對資產(chǎn)的價值進行評估，其價值大小不僅僅是考慮其自身 的價值，還要考慮其業(yè)務的相關性和一立條件下的潛在價值。資產(chǎn)價值常常是以安全事件發(fā) 生時所產(chǎn)生的潛在業(yè)務影響來衡量，安全事件會導致資產(chǎn)機密性、完整性和可用性的損失, 從而導致企業(yè)資金、市場份額、企業(yè)形象的損失。為了資產(chǎn)評估的一致性與準確性，我們建 立一套資產(chǎn)價值的評估標準，對每一種資產(chǎn)和每一種可能的損失，例如機密性、完整性和可 用性的損失，都可以賦予一個價值。但采用精確的方式給資產(chǎn)賦值是較困難的

2、一件事，一 般采用定性的方式，按照資產(chǎn)的價值評估標準將資產(chǎn)的價值劃分為不同等級經(jīng)過資產(chǎn)的 識別與估價后，組織應根據(jù)資產(chǎn)價值大小，進一步確立要保護的關鍵資產(chǎn)。在評估過程，為了保證沒有資產(chǎn)被忽略和遺漏，應該先確定信息安全體系范圍，建立 資產(chǎn)的評審邊界。評估資產(chǎn)最簡單的方式是列出組織業(yè)務過程中、安全管理體系范國內(nèi)所有 具有價值的資產(chǎn)，然后對資產(chǎn)賦予一沱的價值，這種價值應該反映資產(chǎn)對組織業(yè)務運營的重 要性，并以對業(yè)務的潛在影響程度表現(xiàn)岀來。例如，資產(chǎn)價值越大，由于泄露、修改、損害、 不可用等安全事件對組織業(yè)務的潛在影響就越大。基于組織業(yè)務需要的資產(chǎn)的識別與估價， 是建立信息安全體系，確建風險的重要一步

3、。2如何進行信息資產(chǎn)賦值？在對資產(chǎn)賦予價值時，一方而要考慮資產(chǎn)購買成本及維護成本，另一方面主要考慮當 這種資產(chǎn)的機密性、完整性、可用性受到損害時，對業(yè)務運營的負而影響程度。在信息安全 管理中，并不是直接采用資產(chǎn)的賬面價值，而是采用以定性分級的方式建立資產(chǎn)的相對價 值，以相對價值來作為確泄重要資產(chǎn)的依據(jù)和為這種資產(chǎn)的保護投入多大資源的依據(jù)。對資產(chǎn)的賦值不僅要考慮資產(chǎn)本身的價值，更重要的是要考慮資產(chǎn)的安全狀況對于組織 的重要性，即由資產(chǎn)在其01三個安全屬性上的達成程度決定。依據(jù)山屬性分級的標準對資 產(chǎn)在機密性、完整性和可用性上的達成程度進行分析，并在此基礎上得出一個綜合結果一一 信息資產(chǎn)的價值。賦

4、值五分法資產(chǎn)賦標識C機密性【一完整性1一可用性3很高包含組織最重要的秘 密，關系未來發(fā)展的前途 命運，對組織根木利益有 著決定性影響,如果泄漏 會造成災難性的損吿（如 企密山）完整性價值非常關 惟.未經(jīng)授權的修改或破 壞會對組織造成重大的或 無法接受的影響.對業(yè)務 沖擊重大,并可能造成嚴 重的業(yè)務中斷，難以彌補可用性價值非常商， 合法使用者對信息及信息 系統(tǒng)的可用度達到年度99慕以上1包含組織的重要秘 密，其池露會使組織的安 全和利益遭受嚴重損害（如企密11）完整性價值較商，未 經(jīng)授權的修改或破壞會對 組織造成重大影響.對業(yè) 務沖擊嚴重，比較難以彌 補可用性價值較商，合 法使用者對信息及信息系

5、 統(tǒng)的可用度達到每天姦以 上3中等包含組織的一般性秘 密，一般僅能在組織某一 或幾個部門內(nèi)部公開，其 泄露會使組織的安全和利 益受到損害（如企密D完整性價值中等，未 經(jīng)授權的修改或破壞會對 組織造成彩響對業(yè)務沖 擊明顯，但可以彌補可用性價值中等，合 法使用者對信息及信息系 統(tǒng)的可用度在正常匸作時 間達到解以上2低包含組織佼低級別秘 密僅能在組織內(nèi)部公開 的信息，向外擴散有可能 對組織的利益造成損害完整性價值較低.未 經(jīng)授權的修改或破壞會對 組織造成輕微彩響.可以 忍受，對業(yè)務沖擊輕微. 容易彌補可用性價值較低，合 法使用者對信息及信息系 統(tǒng)的可用度在正常工作時 間達到加以上1很低包含可對社會公

6、開的 信息.公用的信息處理設 備和系統(tǒng)資源等完整性價值非常低， 未經(jīng)授權的修改或破壞對 組織造成的影響可以忽 略,對業(yè)務沖擊可以忽略可用性價值可以忽 略.合法使用者對信息及 信息系統(tǒng)的可用度在正常 工作時間低于85不同資產(chǎn)對應的賦值原則資產(chǎn)賦值標識C 一機密性I 一完整性丄一可用性3很高關鍵系統(tǒng)主機：關鍵 的網(wǎng)絡設備、安全設備、 存儲設備:域控制器和關 鍵基礎設施服務器：網(wǎng)絡 和主機管理及監(jiān)控設備： 備份設備、備份介質：打 卬機：復印機：傳真機： 個人辦公電腦關鍵系統(tǒng)主機：重要 系統(tǒng)主機：關鍵的網(wǎng)絡設 備、安全設備.存儲設備： 重要網(wǎng)絡設備.安全設備. 存儲設備：一般網(wǎng)絡設備. 安全設備、存儲

7、設備：域 控制辭利關鍵基礎設施服 務器：重要（機房）環(huán)境 設施監(jiān)控設備：備份設備. 備份介質關鍵系統(tǒng)主機：關鍵 的網(wǎng)絡設備.安全設備、 存儲設備:域控制器和關 健基礎設施服務器；備份 設備.備份介質1高重要系統(tǒng)主機：一般 系統(tǒng)主機：重要網(wǎng)絡設備. 安全設備、存儲設備：域一般系統(tǒng)主機：域成 員服務器和重要基礎設施 服務湍：一般（機房）環(huán)重要系統(tǒng)主機：重要 網(wǎng)絡設備、安全設備.存 儲設備：域成員服務器和成員服務器和重婆基礎設 施服務器：重要（機房） 環(huán)境設施監(jiān)控設備：打卬 機：復印機：傳真機：個 人辦公電腦境設施監(jiān)控設備：網(wǎng)絡和 主機管理及監(jiān)控設備重要基礎設施服務器：重 耍（機房）環(huán)境設施監(jiān)控 設

8、備：一般（機房）環(huán)境 設施監(jiān)控設備：網(wǎng)絡和主 機管理及監(jiān)控設備3中等一般網(wǎng)絡設備、安全 設備、存儲設備：一般（機 房）環(huán)境設施監(jiān)控設備： 打印機：復印機：傳真機： 個人辦公電腦完整性價值中等，未 經(jīng)授權的修改或破壞會對 組織造成影響.對業(yè)務沖 擊明顯，但可以彌補:打 卬機：復印機：傳真機： 個人辦公電腦一般系統(tǒng)主機：一般 網(wǎng)絡設備、安全設備.存 儲設備:打印機:復印機： 傳真機：個人辦公電腦2低-1很低-信息資產(chǎn)賦值算法L資產(chǎn)賦值算法說明信息資產(chǎn)的資產(chǎn)價值要考慮機密性（C）、完整性（I）、可用性（.1）三個 因素。為了資產(chǎn)評佔的一致性與準確性，我們建立一套資產(chǎn)價值的評佔標準，對 每一種資產(chǎn)和每

9、一種可能的損失，例如機密性、完整性和可用性的損失，都可以 賦予一個價值。然后利用確定的算法將信息資產(chǎn)三個因素的價值綜合考慮，確定 最終的資產(chǎn)價值大小，進一步確定要保護的關鍵資產(chǎn)。資產(chǎn)價值的算法通常包括算術平均法和對數(shù)平均法。算術平均法綜合考慮 三個方面的因素，簡便易用。對數(shù)平均法在考慮三個因素的同時，更易突岀某一 特定因素的影響，更加客觀準確的體現(xiàn)岀資產(chǎn)的價值。在實際應用過程中，通常不同類別的資產(chǎn)對于三個因素的敬感程度是不同 的，例如：人員資產(chǎn)通常不考慮完整性因素。因此，在實踐過程中，可以為不同 類別資產(chǎn)的三個因素配置相應的權重，以保證對該類資產(chǎn)價值分析的可靠性和準 確性。2請選擇【信息資產(chǎn)賦值算法】：無權重廣算術平均法：綜合考慮資產(chǎn)三個方面的屬性，平均得出資產(chǎn)價值，簡單易用。C +1 +AV=3對數(shù)平均法：在綜合考慮資產(chǎn)三個方面屬性的同時，重點突出某一屬 性的特點。例如，某些信息資產(chǎn)的保密性要求很高，而可用性、完整性要求較 低時，使用本算法更能夠凸顯出其資產(chǎn)價值的重要性。有權重(a+y =1)加權算術平均法：在算術平均法的基礎上，根據(jù)不同資產(chǎn)類別的特點, 人為設置該資產(chǎn)