安全風險評價之信息資產(chǎn)賦值_第1頁
安全風險評價之信息資產(chǎn)賦值_第2頁
安全風險評價之信息資產(chǎn)賦值_第3頁
安全風險評價之信息資產(chǎn)賦值_第4頁
免費預(yù)覽已結(jié)束,剩余1頁可下載查看

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

1、信息資產(chǎn)賦值定義1.為什么要進行信息資產(chǎn)的賦值?在完成信息資產(chǎn)的識別形成完整的信息資產(chǎn)表之后,為了明確對資產(chǎn)的保護,同時為了接下來對風險值的計算,有必要對資產(chǎn)的價值進行評估, 其價值大小不僅僅是考慮其自身的價值,還要考慮其業(yè)務(wù)的相關(guān)性和一定條件下的潛在價值。資產(chǎn)價值常常是以安全事件發(fā)生時所產(chǎn)生的潛在業(yè)務(wù)影響來衡量,安全事件會導(dǎo)致資產(chǎn)機密性、完整性和可用性的損失,從而導(dǎo)致企業(yè)資金、市場份額、企業(yè)形象的損失。為了資產(chǎn)評估的一致性與準確性,我們建立一套資產(chǎn)價值的評估標準,對每一種資產(chǎn)和每一種可能的損失,例如機密性、完整性和可用性的損失,都可以賦予一個價值。但采用精確的方式給資產(chǎn)賦值是較困難的一件事,

2、一般采用定性的方式,按照資產(chǎn)的價值評估標準將資產(chǎn)的價值劃分為不同等級。經(jīng)過資產(chǎn)的識別與估價后,組織應(yīng)根據(jù)資產(chǎn)價值大小,進一步確定要保護的關(guān)鍵資產(chǎn)。在評估過程,為了保證沒有資產(chǎn)被忽略和遺漏,應(yīng)該先確定信息安全體系范圍,建立資產(chǎn)的評審邊界。評估資產(chǎn)最簡單的方式是列出組織業(yè)務(wù)過程中、安全管理體系范圍內(nèi)所有具有 價值的資產(chǎn),然后對資產(chǎn)賦予一定的價值, 這種價值應(yīng)該反映資產(chǎn)對組織業(yè)務(wù)運營的重要性,并以對業(yè)務(wù)的潛在影響程度表現(xiàn)出來。例如,資產(chǎn)價值越大,由于泄露、修改、損害、不可用等安全事件對組織業(yè)務(wù)的潛在影響就越大?;诮M織業(yè)務(wù)需要的資產(chǎn)的識別與估價,是建立信息安全體系,確定風險的重要一步。2.如何進行信

3、息資產(chǎn)賦值?在對資產(chǎn)賦予價值時,一方面要考慮資產(chǎn)購買成本及維護成本,另一方面主要考慮當這種資產(chǎn)的機密性、完整性、可用性受到損害時,對業(yè)務(wù)運營的負面影響程度。在信息安全管理中, 并不是直接采用資產(chǎn)的賬面價值,而是采用以定性分級的方式建立資產(chǎn)的相對價值,以相對價值來作為確定重要資產(chǎn)的依據(jù)和為這種資產(chǎn)的保護投入多大資源的依據(jù)。對資產(chǎn)的賦值不僅要考慮資產(chǎn)本身的價值,更重要的是要考慮資產(chǎn)的安全狀況對于組織的重要性,即由資產(chǎn)在其CIA三個安全屬性上的達成程度決定 。依據(jù)CIA屬性分級的標準對 資產(chǎn)在機密性、完整性和可用性上的達成程度進行分析,并在此基礎(chǔ)上得出一個綜合結(jié)果一一信息資產(chǎn)的價值。賦值五分法資產(chǎn)賦

4、值標識C一機密性I 完整性A一可用性5很高包含組織最重要的秘密,關(guān)系未來發(fā)展的前途命運,對組織根本利益有著決定性影響,如果泄漏會 造成災(zāi)難性的損害(如企密 AAA)完整性價值非常關(guān)鍵,未 經(jīng)授權(quán)的修改或破壞會對 組織造成重大的或無法接 受的影響,對業(yè)務(wù)沖擊重 大,并可能造成嚴重的業(yè) 務(wù)中斷,難以彌補可用性價值非常高,合法 使用者對信息及信息系統(tǒng) 的可用度達到年度99.9% 以上4高包含組織的重要秘密,其 泄露會使組織的安全和利 益遭受嚴重損害(如企密 AA完整性價值較高,未經(jīng)授 權(quán)的修改或破壞會對組織 造成重大影響,對業(yè)務(wù)沖 擊嚴重,比較難以彌補可用性價值較高,合法使 用者對信息及信息系統(tǒng)的

5、可用度達到每天90咐上3中等包含組織的一般性秘密,一般僅能在組織某一或幾 個部門內(nèi)部公開,其泄露 會使組織的安全和利益受 到損害(如企密A)完整性價值中等,未經(jīng)授 權(quán)的修改或破壞會對組織 造成影響,對業(yè)務(wù)沖擊明 顯,但可以彌補可用性價值中等,合法使 用者對信息及信息系統(tǒng)的 可用度在正常工作時間達 到70汕上2低包含組織較低級別秘密, 僅能在組織內(nèi)部公開的信 息,向外擴散有可能對組 織的利益造成損害完整性價值較低,未經(jīng)授 權(quán)的修改或破壞會對組織 造成輕微影響,可以忍受, 對業(yè)務(wù)沖擊輕微,容易彌 補可用性價值較低,合法使 用者對信息及信息系統(tǒng)的 可用度在正常工作時間達 到25汕上1很低包含可對社會

6、公開的信息,公用的信息處理設(shè)備和系統(tǒng)資源等完整性價值非常低,未經(jīng) 授權(quán)的修改或破壞對組織 造成的影響可以忽略,對 業(yè)務(wù)沖擊可以忽略可用性價值可以忽略,合 法使用者對信息及信息系 統(tǒng)的可用度在正常工作時 間低于25%不同資產(chǎn)對應(yīng)的賦值原則資產(chǎn)賦值標識C一機密性I 完整性A一可用性5很高關(guān)鍵系統(tǒng)主機;關(guān)鍵的網(wǎng) 絡(luò)設(shè)備、安全設(shè)備、存儲 設(shè)備;域控制器和關(guān)鍵基 礎(chǔ)設(shè)施服務(wù)器;網(wǎng)絡(luò)和主 機管理及監(jiān)控設(shè)備;備份 設(shè)備、備份介質(zhì);打印機; 復(fù)印機;傳真機;個人辦 公電腦關(guān)鍵系統(tǒng)主機;重要系統(tǒng) 主機;關(guān)鍵的網(wǎng)絡(luò)設(shè)備、 安全設(shè)備、存儲設(shè)備;重 要網(wǎng)絡(luò)設(shè)備、安全設(shè)備、 存儲設(shè)備;一般網(wǎng)絡(luò)設(shè)備、 安全設(shè)備、存儲設(shè)備

7、;域 控制器和關(guān)鍵基礎(chǔ)設(shè)施服 務(wù)器;重要(機房)環(huán)境 設(shè)施監(jiān)控設(shè)備;備份設(shè)備、 備份介質(zhì)關(guān)鍵系統(tǒng)主機;關(guān)鍵的網(wǎng) 絡(luò)設(shè)備、安全設(shè)備、存儲 設(shè)備;域控制器和關(guān)鍵基 礎(chǔ)設(shè)施服務(wù)器;備份設(shè)備、 備份介質(zhì)4高重要系統(tǒng)主機;一般系統(tǒng) 主機;重要網(wǎng)絡(luò)設(shè)備、安 全設(shè)備、存儲設(shè)備;域成 員服務(wù)器和重要基礎(chǔ)設(shè)施 服務(wù)器;重要(機房)環(huán) 境設(shè)施監(jiān)控設(shè)備;打印機; 復(fù)印機;傳真機;個人辦 公電腦一般系統(tǒng)主機;域成員服 務(wù)器和重要基礎(chǔ)設(shè)施服務(wù) 器;一般(機房)環(huán)境設(shè) 施監(jiān)控設(shè)備;網(wǎng)絡(luò)和主機 管理及監(jiān)控設(shè)備重要系統(tǒng)主機;重要網(wǎng)絡(luò) 設(shè)備、安全設(shè)備、存儲設(shè) 備;域成員服務(wù)器和重要 基礎(chǔ)設(shè)施服務(wù)器;重要(機 房)環(huán)境設(shè)施監(jiān)控設(shè)

8、備; 一般(機房)環(huán)境設(shè)施監(jiān) 控設(shè)備;網(wǎng)絡(luò)和主機管理 及監(jiān)控設(shè)備3中等一般網(wǎng)絡(luò)設(shè)備、安全設(shè)備、 存儲設(shè)備;一般(機房) 環(huán)境設(shè)施監(jiān)控設(shè)備;打印機;復(fù)印機;傳真機;個 人辦公電腦完整性價值中等,未經(jīng)授 權(quán)的修改或破壞會對組織 造成影響,對業(yè)務(wù)沖擊明 顯,但可以彌補;打印機; 復(fù)印機;傳真機;個人辦 公電腦一般系統(tǒng)主機;一般網(wǎng)絡(luò) 設(shè)備、安全設(shè)備、存儲設(shè) 備;打印機;復(fù)印機;傳 真機;個人辦公電腦2低-1很低-信息資產(chǎn)賦值算法1.資產(chǎn)賦值算法說明信息資產(chǎn)的資產(chǎn)價值要考慮機密性(C)、完整性(I )、可用性(A) 三個因素。為了資產(chǎn)評估的一致性與準確性,我們建立一套資產(chǎn)價值的評估標準, 對每一種資產(chǎn)和

9、每一種可能的損失, 例如機密性、完整性和可用性的損失,都可 以賦予一個價值。然后利用確定的算法將信息資產(chǎn)三個因素的價值綜合考慮,確定最終的資產(chǎn)價值大小,進一步確定要保護的關(guān)鍵資產(chǎn)。資產(chǎn)價值的算法通常包括算術(shù)平均法和對數(shù)平均法。算術(shù)平均法綜合考 慮三個方面的因素,簡便易用。對數(shù)平均法在考慮三個因素的同時, 更易突出某 一特定因素的影響,更加客觀準確的體現(xiàn)出資產(chǎn)的價值。在實際應(yīng)用過程中,通常不同類別的資產(chǎn)對丁三個因素的敏感程度是不 同的,例如:人員資產(chǎn)通常不考慮完整性因素。因此,在實踐過程中,可以為不 同類別資產(chǎn)的三個因素配置相應(yīng)的權(quán)重,以保證對該類資產(chǎn)價值分析的可靠性和 準確性。2.請選擇【信息資產(chǎn)賦值算法】:無權(quán)重C算術(shù)平均法:綜合考慮資產(chǎn)三個方面的屆性,平均得出資產(chǎn)價值,簡單易 用。C +J +A V =3癡 對數(shù)平均法:在綜合考慮資產(chǎn)三個方面屆性的同時,重點突出某一屆性的 特點。例如,某些信息資產(chǎn)的保密性要求很高, 而可用性、完整性要求較低時, 使用本算法更能夠凸顯出其資產(chǎn)價值的重要性。有權(quán)重(a + 0+ y = 1)L加權(quán)算術(shù)平均法:在算術(shù)平均法的基礎(chǔ)上,根據(jù)不同資產(chǎn)類別的特

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論