安全風(fēng)險評估之信息資產(chǎn)賦值5頁

1、信息資產(chǎn)賦值定義1.為什么要進(jìn)行信息資產(chǎn)的賦值？ 在完成信息資產(chǎn)的識別形成完整的信息資產(chǎn)表之后，為了明確對資產(chǎn)的保護(hù)，同時為了接下來對風(fēng)險值的計(jì)算，有必要對資產(chǎn)的價值進(jìn)行評估，其價值大小不僅僅是考慮其自身的價值，還要考慮其業(yè)務(wù)的相關(guān)性和一定條件下的潛在價值。資產(chǎn)價值常常是以安全事件發(fā)生時所產(chǎn)生的潛在業(yè)務(wù)影響來衡量，安全事件會導(dǎo)致資產(chǎn)機(jī)密性、完整性和可用性的損失，從而導(dǎo)致企業(yè)資金、市場份額、企業(yè)形象的損失。為了資產(chǎn)評估的一致性與準(zhǔn)確性，我們建立一套資產(chǎn)價值的評估標(biāo)準(zhǔn)，對每一種資產(chǎn)和每一種可能的損失，例如機(jī)密性、完整性和可用性的損失，都可以賦予一個價值。但采用精確的方式給資產(chǎn)賦值是較困難的一件事，

2、一般采用定性的方式，按照資產(chǎn)的價值評估標(biāo)準(zhǔn)將資產(chǎn)的價值劃分為不同等級。經(jīng)過資產(chǎn)的識別與估價后，組織應(yīng)根據(jù)資產(chǎn)價值大小，進(jìn)一步確定要保護(hù)的關(guān)鍵資產(chǎn)。 在評估過程，為了保證沒有資產(chǎn)被忽略和遺漏，應(yīng)該先確定信息安全體系范圍，建立資產(chǎn)的評審邊界。評估資產(chǎn)最簡單的方式是列出組織業(yè)務(wù)過程中、安全管理體系范圍內(nèi)所有具有價值的資產(chǎn)，然后對資產(chǎn)賦予一定的價值，這種價值應(yīng)該反映資產(chǎn)對組織業(yè)務(wù)運(yùn)營的重要性，并以對業(yè)務(wù)的潛在影響程度表現(xiàn)出來。例如，資產(chǎn)價值越大，由于泄露、修改、損害、不可用等安全事件對組織業(yè)務(wù)的潛在影響就越大?；诮M織業(yè)務(wù)需要的資產(chǎn)的識別與估價，是建立信息安全體系，確定風(fēng)險的重要一步。 2.如何進(jìn)行信

3、息資產(chǎn)賦值？ 在對資產(chǎn)賦予價值時，一方面要考慮資產(chǎn)購買成本及維護(hù)成本，另一方面主要考慮當(dāng)這種資產(chǎn)的機(jī)密性、完整性、可用性受到損害時，對業(yè)務(wù)運(yùn)營的負(fù)面影響程度。在信息安全管理中，并不是直接采用資產(chǎn)的賬面價值，而是采用以定性分級的方式建立資產(chǎn)的相對價值，以相對價值來作為確定重要資產(chǎn)的依據(jù)和為這種資產(chǎn)的保護(hù)投入多大資源的依據(jù)。 對資產(chǎn)的賦值不僅要考慮資產(chǎn)本身的價值，更重要的是要考慮資產(chǎn)的安全狀況對于組織的重要性，即由資產(chǎn)在其CIA三個安全屬性上的達(dá)成程度決定。依據(jù)CIA屬性分級的標(biāo)準(zhǔn)對資產(chǎn)在機(jī)密性、完整性和可用性上的達(dá)成程度進(jìn)行分析，并在此基礎(chǔ)上得出一個綜合結(jié)果信息資產(chǎn)的價值。 賦值五分法資產(chǎn)賦值標(biāo)

4、識C機(jī)密性I完整性A可用性5很高包含組織最重要的秘密，關(guān)系未來發(fā)展的前途命運(yùn)，對組織根本利益有著決定性影響，如果泄漏會造成災(zāi)難性的損害 （如企密AAA）完整性價值非常關(guān)鍵，未經(jīng)授權(quán)的修改或破壞會對組織造成重大的或無法接受的影響，對業(yè)務(wù)沖擊重大，并可能造成嚴(yán)重的業(yè)務(wù)中斷，難以彌補(bǔ)可用性價值非常高，合法使用者對信息及信息系統(tǒng)的可用度達(dá)到年度99.9%以上4高包含組織的重要秘密，其泄露會使組織的安全和利益遭受嚴(yán)重?fù)p害（如企密AA）完整性價值較高，未經(jīng)授權(quán)的修改或破壞會對組織造成重大影響，對業(yè)務(wù)沖擊嚴(yán)重，比較難以彌補(bǔ)可用性價值較高，合法使用者對信息及信息系統(tǒng)的可用度達(dá)到每天90%以上3中等包含組織的一

5、般性秘密，一般僅能在組織某一或幾個部門內(nèi)部公開,其泄露會使組織的安全和利益受到損害（如企密A）完整性價值中等，未經(jīng)授權(quán)的修改或破壞會對組織造成影響，對業(yè)務(wù)沖擊明顯，但可以彌補(bǔ)可用性價值中等，合法使用者對信息及信息系統(tǒng)的可用度在正常工作時間達(dá)到70%以上2低包含組織較低級別秘密,僅能在組織內(nèi)部公開的信息，向外擴(kuò)散有可能對組織的利益造成損害完整性價值較低，未經(jīng)授權(quán)的修改或破壞會對組織造成輕微影響，可以忍受，對業(yè)務(wù)沖擊輕微，容易彌補(bǔ)可用性價值較低，合法使用者對信息及信息系統(tǒng)的可用度在正常工作時間達(dá)到25%以上1很低包含可對社會公開的信息，公用的信息處理設(shè)備和系統(tǒng)資源等完整性價值非常低，未經(jīng)授權(quán)的修改

6、或破壞對組織造成的影響可以忽略，對業(yè)務(wù)沖擊可以忽略可用性價值可以忽略，合法使用者對信息及信息系統(tǒng)的可用度在正常工作時間低于25%不同資產(chǎn)對應(yīng)的賦值原則資產(chǎn)賦值標(biāo)識C機(jī)密性I完整性A可用性5很高關(guān)鍵系統(tǒng)主機(jī)；關(guān)鍵的網(wǎng)絡(luò)設(shè)備、安全設(shè)備、存儲設(shè)備；域控制器和關(guān)鍵基礎(chǔ)設(shè)施服務(wù)器；網(wǎng)絡(luò)和主機(jī)管理及監(jiān)控設(shè)備；備份設(shè)備、備份介質(zhì)；打印機(jī)；復(fù)印機(jī)；傳真機(jī)；個人辦公電腦關(guān)鍵系統(tǒng)主機(jī)；重要系統(tǒng)主機(jī)；關(guān)鍵的網(wǎng)絡(luò)設(shè)備、安全設(shè)備、存儲設(shè)備；重要網(wǎng)絡(luò)設(shè)備、安全設(shè)備、存儲設(shè)備；一般網(wǎng)絡(luò)設(shè)備、安全設(shè)備、存儲設(shè)備；域控制器和關(guān)鍵基礎(chǔ)設(shè)施服務(wù)器；重要（機(jī)房）環(huán)境設(shè)施監(jiān)控設(shè)備；備份設(shè)備、備份介質(zhì)關(guān)鍵系統(tǒng)主機(jī)；關(guān)鍵的網(wǎng)絡(luò)設(shè)備、安全設(shè)

7、備、存儲設(shè)備；域控制器和關(guān)鍵基礎(chǔ)設(shè)施服務(wù)器；備份設(shè)備、備份介質(zhì)4高重要系統(tǒng)主機(jī)；一般系統(tǒng)主機(jī)；重要網(wǎng)絡(luò)設(shè)備、安全設(shè)備、存儲設(shè)備；域成員服務(wù)器和重要基礎(chǔ)設(shè)施服務(wù)器；重要（機(jī)房）環(huán)境設(shè)施監(jiān)控設(shè)備；打印機(jī)；復(fù)印機(jī)；傳真機(jī)；個人辦公電腦一般系統(tǒng)主機(jī)；域成員服務(wù)器和重要基礎(chǔ)設(shè)施服務(wù)器；一般（機(jī)房）環(huán)境設(shè)施監(jiān)控設(shè)備；網(wǎng)絡(luò)和主機(jī)管理及監(jiān)控設(shè)備重要系統(tǒng)主機(jī)；重要網(wǎng)絡(luò)設(shè)備、安全設(shè)備、存儲設(shè)備；域成員服務(wù)器和重要基礎(chǔ)設(shè)施服務(wù)器；重要（機(jī)房）環(huán)境設(shè)施監(jiān)控設(shè)備；一般（機(jī)房）環(huán)境設(shè)施監(jiān)控設(shè)備；網(wǎng)絡(luò)和主機(jī)管理及監(jiān)控設(shè)備3中等一般網(wǎng)絡(luò)設(shè)備、安全設(shè)備、存儲設(shè)備；一般（機(jī)房）環(huán)境設(shè)施監(jiān)控設(shè)備；打印機(jī)；復(fù)印機(jī)；傳真機(jī)；個人辦公電

8、腦完整性價值中等，未經(jīng)授權(quán)的修改或破壞會對組織造成影響，對業(yè)務(wù)沖擊明顯，但可以彌補(bǔ)；打印機(jī)；復(fù)印機(jī)；傳真機(jī)；個人辦公電腦一般系統(tǒng)主機(jī)；一般網(wǎng)絡(luò)設(shè)備、安全設(shè)備、存儲設(shè)備；打印機(jī)；復(fù)印機(jī)；傳真機(jī)；個人辦公電腦2低-1很低-信息資產(chǎn)賦值算法1.資產(chǎn)賦值算法說明    信息資產(chǎn)的資產(chǎn)價值要考慮機(jī)密性（C）、完整性（I）、可用性（A）三個因素。為了資產(chǎn)評估的一致性與準(zhǔn)確性，我們建立一套資產(chǎn)價值的評估標(biāo)準(zhǔn)，對每一種資產(chǎn)和每一種可能的損失，例如機(jī)密性、完整性和可用性的損失，都可以賦予一個價值。然后利用確定的算法將信息資產(chǎn)三個因素的價值綜合考慮，確定最終的資產(chǎn)價值大小，

9、進(jìn)一步確定要保護(hù)的關(guān)鍵資產(chǎn)。     資產(chǎn)價值的算法通常包括算術(shù)平均法和對數(shù)平均法。算術(shù)平均法綜合考慮三個方面的因素，簡便易用。對數(shù)平均法在考慮三個因素的同時，更易突出某一特定因素的影響，更加客觀準(zhǔn)確的體現(xiàn)出資產(chǎn)的價值。     在實(shí)際應(yīng)用過程中，通常不同類別的資產(chǎn)對于三個因素的敏感程度是不同的，例如：人員資產(chǎn)通常不考慮完整性因素。因此，在實(shí)踐過程中，可以為不同類別資產(chǎn)的三個因素配置相應(yīng)的權(quán)重，以保證對該類資產(chǎn)價值分析的可靠性和準(zhǔn)確性。 2.請選擇【信息資產(chǎn)賦值算法】： 無權(quán)重 算術(shù)平均法：綜合考慮資產(chǎn)三個方面的屬性，平均得出資產(chǎn)價值，簡單易用。         對數(shù)平均法：在綜合考慮資產(chǎn)三個方面屬性的同時，重點(diǎn)突出某一屬性的特點(diǎn)。例如，某些信息資產(chǎn)的保密性要求很高，而可用性、完整性要求較低時，使用本算法更能夠凸顯出其資產(chǎn)價值的重要性。         有權(quán)重( + + = 1) 加權(quán)算術(shù)平均法：在算術(shù)平均法的基礎(chǔ)上，根據(jù)不同資產(chǎn)類別的特點(diǎn)，人為設(shè)置該資產(chǎn)類別中三個方面屬性的權(quán)重。例如，人員類資產(chǎn)通常不考慮完整性，則可以通過調(diào)節(jié)