安全風(fēng)險(xiǎn)評(píng)價(jià)之信息資產(chǎn)賦值

1、信息資產(chǎn)賦值定義1.為什么要進(jìn)行信息資產(chǎn)的賦值？在完成信息資產(chǎn)的識(shí)別形成完整的信息資產(chǎn)表之后，為了明確對(duì)資產(chǎn)的保護(hù)，同時(shí)為了接下來(lái)對(duì)風(fēng)險(xiǎn)值的計(jì)算，有必要對(duì)資產(chǎn)的價(jià)值進(jìn)行評(píng)估， 其價(jià)值大小不僅僅是考慮其自身的價(jià)值，還要考慮其業(yè)務(wù)的相關(guān)性和一定條件下的潛在價(jià)值。資產(chǎn)價(jià)值常常是以安全事件發(fā)生時(shí)所產(chǎn)生的潛在業(yè)務(wù)影響來(lái)衡量，安全事件會(huì)導(dǎo)致資產(chǎn)機(jī)密性、完整性和可用性的損失，從而導(dǎo)致企業(yè)資金、市場(chǎng)份額、企業(yè)形象的損失。為了資產(chǎn)評(píng)估的一致性與準(zhǔn)確性，我們建立一套資產(chǎn)價(jià)值的評(píng)估標(biāo)準(zhǔn)，對(duì)每一種資產(chǎn)和每一種可能的損失，例如機(jī)密性、完整性和可用性的損失，都可以賦予一個(gè)價(jià)值。但采用精確的方式給資產(chǎn)賦值是較困難的一件事，

2、一般采用定性的方式，按照資產(chǎn)的價(jià)值評(píng)估標(biāo)準(zhǔn)將資產(chǎn)的價(jià)值劃分為不同等級(jí)。經(jīng)過(guò)資產(chǎn)的識(shí)別與估價(jià)后，組織應(yīng)根據(jù)資產(chǎn)價(jià)值大小，進(jìn)一步確定要保護(hù)的關(guān)鍵資產(chǎn)。在評(píng)估過(guò)程，為了保證沒(méi)有資產(chǎn)被忽略和遺漏，應(yīng)該先確定信息安全體系范圍，建立資產(chǎn)的評(píng)審邊界。評(píng)估資產(chǎn)最簡(jiǎn)單的方式是列出組織業(yè)務(wù)過(guò)程中、安全管理體系范圍內(nèi)所有具有 價(jià)值的資產(chǎn)，然后對(duì)資產(chǎn)賦予一定的價(jià)值， 這種價(jià)值應(yīng)該反映資產(chǎn)對(duì)組織業(yè)務(wù)運(yùn)營(yíng)的重要性，并以對(duì)業(yè)務(wù)的潛在影響程度表現(xiàn)出來(lái)。例如，資產(chǎn)價(jià)值越大，由于泄露、修改、損害、不可用等安全事件對(duì)組織業(yè)務(wù)的潛在影響就越大?；诮M織業(yè)務(wù)需要的資產(chǎn)的識(shí)別與估價(jià)，是建立信息安全體系，確定風(fēng)險(xiǎn)的重要一步。2.如何進(jìn)行信

3、息資產(chǎn)賦值？在對(duì)資產(chǎn)賦予價(jià)值時(shí)，一方面要考慮資產(chǎn)購(gòu)買(mǎi)成本及維護(hù)成本，另一方面主要考慮當(dāng)這種資產(chǎn)的機(jī)密性、完整性、可用性受到損害時(shí)，對(duì)業(yè)務(wù)運(yùn)營(yíng)的負(fù)面影響程度。在信息安全管理中， 并不是直接采用資產(chǎn)的賬面價(jià)值，而是采用以定性分級(jí)的方式建立資產(chǎn)的相對(duì)價(jià)值，以相對(duì)價(jià)值來(lái)作為確定重要資產(chǎn)的依據(jù)和為這種資產(chǎn)的保護(hù)投入多大資源的依據(jù)。對(duì)資產(chǎn)的賦值不僅要考慮資產(chǎn)本身的價(jià)值，更重要的是要考慮資產(chǎn)的安全狀況對(duì)于組織的重要性，即由資產(chǎn)在其CIA三個(gè)安全屬性上的達(dá)成程度決定 。依據(jù)CIA屬性分級(jí)的標(biāo)準(zhǔn)對(duì) 資產(chǎn)在機(jī)密性、完整性和可用性上的達(dá)成程度進(jìn)行分析，并在此基礎(chǔ)上得出一個(gè)綜合結(jié)果一一信息資產(chǎn)的價(jià)值。賦值五分法資產(chǎn)賦

4、值標(biāo)識(shí)C一機(jī)密性I 完整性A一可用性5很高包含組織最重要的秘密，關(guān)系未來(lái)發(fā)展的前途命運(yùn)，對(duì)組織根本利益有著決定性影響，如果泄漏會(huì) 造成災(zāi)難性的損害（如企密 AAA）完整性價(jià)值非常關(guān)鍵，未 經(jīng)授權(quán)的修改或破壞會(huì)對(duì) 組織造成重大的或無(wú)法接 受的影響，對(duì)業(yè)務(wù)沖擊重 大，并可能造成嚴(yán)重的業(yè) 務(wù)中斷，難以彌補(bǔ)可用性價(jià)值非常高，合法 使用者對(duì)信息及信息系統(tǒng) 的可用度達(dá)到年度99.9% 以上4高包含組織的重要秘密，其 泄露會(huì)使組織的安全和利 益遭受嚴(yán)重?fù)p害（如企密 AA完整性價(jià)值較高，未經(jīng)授 權(quán)的修改或破壞會(huì)對(duì)組織 造成重大影響，對(duì)業(yè)務(wù)沖 擊嚴(yán)重，比較難以彌補(bǔ)可用性價(jià)值較高，合法使 用者對(duì)信息及信息系統(tǒng)的

5、可用度達(dá)到每天90咐上3中等包含組織的一般性秘密，一般僅能在組織某一或幾 個(gè)部門(mén)內(nèi)部公開(kāi)，其泄露 會(huì)使組織的安全和利益受 到損害（如企密A）完整性價(jià)值中等，未經(jīng)授 權(quán)的修改或破壞會(huì)對(duì)組織 造成影響，對(duì)業(yè)務(wù)沖擊明 顯，但可以彌補(bǔ)可用性價(jià)值中等，合法使 用者對(duì)信息及信息系統(tǒng)的 可用度在正常工作時(shí)間達(dá) 到70汕上2低包含組織較低級(jí)別秘密， 僅能在組織內(nèi)部公開(kāi)的信 息，向外擴(kuò)散有可能對(duì)組 織的利益造成損害完整性價(jià)值較低，未經(jīng)授 權(quán)的修改或破壞會(huì)對(duì)組織 造成輕微影響，可以忍受， 對(duì)業(yè)務(wù)沖擊輕微，容易彌 補(bǔ)可用性價(jià)值較低，合法使 用者對(duì)信息及信息系統(tǒng)的 可用度在正常工作時(shí)間達(dá) 到25汕上1很低包含可對(duì)社會(huì)

6、公開(kāi)的信息，公用的信息處理設(shè)備和系統(tǒng)資源等完整性價(jià)值非常低，未經(jīng) 授權(quán)的修改或破壞對(duì)組織 造成的影響可以忽略，對(duì) 業(yè)務(wù)沖擊可以忽略可用性價(jià)值可以忽略，合 法使用者對(duì)信息及信息系 統(tǒng)的可用度在正常工作時(shí) 間低于25%不同資產(chǎn)對(duì)應(yīng)的賦值原則資產(chǎn)賦值標(biāo)識(shí)C一機(jī)密性I 完整性A一可用性5很高關(guān)鍵系統(tǒng)主機(jī)；關(guān)鍵的網(wǎng) 絡(luò)設(shè)備、安全設(shè)備、存儲(chǔ) 設(shè)備；域控制器和關(guān)鍵基 礎(chǔ)設(shè)施服務(wù)器；網(wǎng)絡(luò)和主 機(jī)管理及監(jiān)控設(shè)備；備份 設(shè)備、備份介質(zhì)；打印機(jī)； 復(fù)印機(jī)；傳真機(jī)；個(gè)人辦 公電腦關(guān)鍵系統(tǒng)主機(jī)；重要系統(tǒng) 主機(jī)；關(guān)鍵的網(wǎng)絡(luò)設(shè)備、 安全設(shè)備、存儲(chǔ)設(shè)備；重 要網(wǎng)絡(luò)設(shè)備、安全設(shè)備、 存儲(chǔ)設(shè)備；一般網(wǎng)絡(luò)設(shè)備、 安全設(shè)備、存儲(chǔ)設(shè)備

7、；域 控制器和關(guān)鍵基礎(chǔ)設(shè)施服 務(wù)器；重要（機(jī)房）環(huán)境 設(shè)施監(jiān)控設(shè)備；備份設(shè)備、 備份介質(zhì)關(guān)鍵系統(tǒng)主機(jī)；關(guān)鍵的網(wǎng) 絡(luò)設(shè)備、安全設(shè)備、存儲(chǔ) 設(shè)備；域控制器和關(guān)鍵基 礎(chǔ)設(shè)施服務(wù)器；備份設(shè)備、 備份介質(zhì)4高重要系統(tǒng)主機(jī)；一般系統(tǒng) 主機(jī)；重要網(wǎng)絡(luò)設(shè)備、安 全設(shè)備、存儲(chǔ)設(shè)備；域成 員服務(wù)器和重要基礎(chǔ)設(shè)施 服務(wù)器；重要（機(jī)房）環(huán) 境設(shè)施監(jiān)控設(shè)備；打印機(jī)； 復(fù)印機(jī)；傳真機(jī)；個(gè)人辦 公電腦一般系統(tǒng)主機(jī)；域成員服 務(wù)器和重要基礎(chǔ)設(shè)施服務(wù) 器；一般（機(jī)房）環(huán)境設(shè) 施監(jiān)控設(shè)備；網(wǎng)絡(luò)和主機(jī) 管理及監(jiān)控設(shè)備重要系統(tǒng)主機(jī)；重要網(wǎng)絡(luò) 設(shè)備、安全設(shè)備、存儲(chǔ)設(shè) 備；域成員服務(wù)器和重要 基礎(chǔ)設(shè)施服務(wù)器；重要（機(jī) 房）環(huán)境設(shè)施監(jiān)控設(shè)

8、備； 一般（機(jī)房）環(huán)境設(shè)施監(jiān) 控設(shè)備；網(wǎng)絡(luò)和主機(jī)管理 及監(jiān)控設(shè)備3中等一般網(wǎng)絡(luò)設(shè)備、安全設(shè)備、 存儲(chǔ)設(shè)備；一般（機(jī)房） 環(huán)境設(shè)施監(jiān)控設(shè)備；打印機(jī)；復(fù)印機(jī)；傳真機(jī)；個(gè) 人辦公電腦完整性價(jià)值中等，未經(jīng)授 權(quán)的修改或破壞會(huì)對(duì)組織 造成影響，對(duì)業(yè)務(wù)沖擊明 顯，但可以彌補(bǔ)；打印機(jī)； 復(fù)印機(jī)；傳真機(jī)；個(gè)人辦 公電腦一般系統(tǒng)主機(jī)；一般網(wǎng)絡(luò) 設(shè)備、安全設(shè)備、存儲(chǔ)設(shè) 備；打印機(jī)；復(fù)印機(jī)；傳 真機(jī)；個(gè)人辦公電腦2低-1很低-信息資產(chǎn)賦值算法1.資產(chǎn)賦值算法說(shuō)明信息資產(chǎn)的資產(chǎn)價(jià)值要考慮機(jī)密性（C）、完整性（I ）、可用性（A） 三個(gè)因素。為了資產(chǎn)評(píng)估的一致性與準(zhǔn)確性，我們建立一套資產(chǎn)價(jià)值的評(píng)估標(biāo)準(zhǔn)， 對(duì)每一種資產(chǎn)和

9、每一種可能的損失， 例如機(jī)密性、完整性和可用性的損失，都可 以賦予一個(gè)價(jià)值。然后利用確定的算法將信息資產(chǎn)三個(gè)因素的價(jià)值綜合考慮，確定最終的資產(chǎn)價(jià)值大小，進(jìn)一步確定要保護(hù)的關(guān)鍵資產(chǎn)。資產(chǎn)價(jià)值的算法通常包括算術(shù)平均法和對(duì)數(shù)平均法。算術(shù)平均法綜合考 慮三個(gè)方面的因素，簡(jiǎn)便易用。對(duì)數(shù)平均法在考慮三個(gè)因素的同時(shí)， 更易突出某 一特定因素的影響，更加客觀準(zhǔn)確的體現(xiàn)出資產(chǎn)的價(jià)值。在實(shí)際應(yīng)用過(guò)程中，通常不同類別的資產(chǎn)對(duì)丁三個(gè)因素的敏感程度是不 同的，例如：人員資產(chǎn)通常不考慮完整性因素。因此，在實(shí)踐過(guò)程中，可以為不 同類別資產(chǎn)的三個(gè)因素配置相應(yīng)的權(quán)重，以保證對(duì)該類資產(chǎn)價(jià)值分析的可靠性和 準(zhǔn)確性。2.請(qǐng)選擇【信息資產(chǎn)賦值算法】：無(wú)權(quán)重C算術(shù)平均法：綜合考慮資產(chǎn)三個(gè)方面的屆性，平均得出資產(chǎn)價(jià)值，簡(jiǎn)單易 用。C +J +A V =3癡 對(duì)數(shù)平均法：在綜合考慮資產(chǎn)三個(gè)方面屆性的同時(shí)，重點(diǎn)突出某一屆性的 特點(diǎn)。例如，某些信息資產(chǎn)的保密性要求很高， 而可用性、完整性要求較低時(shí)， 使用本算法更能夠凸顯出其資產(chǎn)價(jià)值的重要性。有權(quán)重（a + 0+ y = 1）L加權(quán)算術(shù)平均法：在算術(shù)平均法的基礎(chǔ)上，根據(jù)不同資產(chǎn)類別的特