安全風險評估之信息資產(chǎn)賦值知識講解

1、精品文檔安全風險評估之信息資產(chǎn)賦值信息資產(chǎn)賦值定義1 .為什么要進行信息資產(chǎn)的賦值？在完成信息資產(chǎn)的識別形成完整的信息資產(chǎn)表之后，為了明確對資產(chǎn)的保護，同時為了接下來對風險值的計算，有必要對資產(chǎn)的價值進行評估，其價值大小不僅僅是考慮其自身的價值，還要考慮其業(yè)務的相關(guān)性和一定條件下的潛在價值。資產(chǎn)價值常常是以安全事件發(fā)生時所產(chǎn)生的潛在業(yè)務影響來衡量，安全事件會導致資產(chǎn)機密性、完整性和可用性的損失，從而導致企業(yè)資金、市場份額、企業(yè)形象的損失。為了資產(chǎn)評估的一致性與準確性，我們建立一套資產(chǎn)價值的評估標準，對每一種資產(chǎn)和每一種可能的損失，例如機密性、完整性和可用性的損失，都可以賦予一個價值。但采用精確

2、的方式給資產(chǎn)賦值是較困難的一件事，一般采用定性的方式，按照資產(chǎn)的價值評估標準將資產(chǎn)的價值劃分為不同等級。經(jīng)過資產(chǎn)的識別與估價后，組織應根據(jù)資產(chǎn)價值大小，進一步確定要保護的關(guān)鍵資產(chǎn)。在評估過程，為了保證沒有資產(chǎn)被忽略和遺漏，應該先確定信息安全體系范圍，建立資產(chǎn)的評審邊界。評估資產(chǎn)最簡單的方式是列出組織業(yè)務過程中、安全管理體系范圍內(nèi)所有具有價值的資產(chǎn)，然后對資產(chǎn)賦予一定的價值，這種價值應該反映資產(chǎn)對組織業(yè)務運營的重要性，并以對業(yè)務的潛在影響程度表現(xiàn)出來。例如，資產(chǎn)價值越大，由于泄露、修改、損害、不可用等安全事件對組織業(yè)務的潛在影響就越大?；诮M織業(yè)務需要的資產(chǎn)的識別與估價，是建立信息安全體系，確定

3、風險的重要一步。2 .如何進行信息資產(chǎn)賦值？在對資產(chǎn)賦予價值時，一方面要考慮資產(chǎn)購買成本及維護成本，另一方面主要考慮當這種資產(chǎn)的機密性、完整性、可用性受到損害時，對業(yè)務運營的負面影響程度。在信息安全管理中，并不是直接采用資產(chǎn)的賬面價值，而是采用以定性分級的方式建立資產(chǎn)的相對價值，以相對價值來作為確定重要資產(chǎn)的依據(jù)和為這種資產(chǎn)的保護投入多大資源的依據(jù)。對資產(chǎn)的賦值不僅要考慮資產(chǎn)本身的價值，更重要的是要考慮資產(chǎn)的安全狀況對于組織的重要性，即由資產(chǎn)在其CIA三個安全屬性上的達成程度決定依據(jù)CIA屬性分級的標準對資產(chǎn)在機密性、完整性和可用性上的達成程度進行分析，并在此基礎(chǔ)上得出一個綜合結(jié)果一一信息資產(chǎn)

4、的價值。賦值五分法資產(chǎn)賦值標識C機密性I完整性A可用性5很高包含組織最重要的秘密，關(guān)系未來發(fā)展的前途命運，對組織根本利益有著決定性影響，如果泄漏會造成災難性的損害（如企密AAA完整性價值非常關(guān)鍵，未經(jīng)授權(quán)的修改或破壞會對組織造成重大的或無法接受的影響，對業(yè)務沖擊重大，并可能造成嚴重的業(yè)務中斷，難以彌補可用性價值非常高，合法使用者對信息及信息系統(tǒng)的可用度達到年度99.9%以上4高包含組織的重要秘密，其泄露會使組織的安全和利益遭受嚴重損害（如企密AA完整性價值較高，未經(jīng)授權(quán)的修改或破壞會對組織造成重大影響，對業(yè)務沖擊嚴重，比較難以彌補可用性價值較高，合法使用者對信息及信息系統(tǒng)的可用度達到每天90蛆

5、上3中等包含組織的一般性秘密，一般僅能在組織某一或幾個部門內(nèi)部公開，其泄露會使組織的安全和利益受完整性價值中等，未經(jīng)授權(quán)的修改或破壞會對組織造成影響，對業(yè)務沖擊明顯，但可以彌補可用性價值中等，合法使用者對信息及信息系統(tǒng)的可用度在正常工作時間達到70蛆上到損害（如企密A）2低包含組織較低級別秘密，僅能在組織內(nèi)部公開的信息，向外擴散有可能對組織的利益造成損害完整性價值較低，未經(jīng)授權(quán)的修改或破壞會對組織造成輕微影響，可以忍受，對業(yè)務沖擊輕微，容易彌補可用性價值較低，合法使用者對信息及信息系統(tǒng)的可用度在正常工作時間達至ij25蛆上1很低包含可對社會公開的信息，公用的信息處理設(shè)備和系統(tǒng)資源等完整性價值非

6、常低，未經(jīng)授權(quán)的修改或破壞對組織造成的影響可以忽略，對業(yè)務沖擊可以忽略可用性價值可以忽略，合法使用者對信息及信息系統(tǒng)的可用度在正常工作時間低于25%不同資產(chǎn)對應的賦值原則資產(chǎn)賦值標識C機密性I完整性A可用性5很高關(guān)鍵系統(tǒng)主機；關(guān)鍵的網(wǎng)絡設(shè)備、安全設(shè)備、存儲設(shè)備；域控制器和關(guān)鍵基礎(chǔ)設(shè)施服務器；網(wǎng)絡和主機管理及監(jiān)控設(shè)備；備份設(shè)備、備份介質(zhì)；打印機；復印機；傳真機；個人辦公電腦關(guān)鍵系統(tǒng)主機；重要系統(tǒng)主機；關(guān)鍵的網(wǎng)絡設(shè)備、安全設(shè)備、存儲設(shè)備；重要網(wǎng)絡設(shè)備、安全設(shè)備、存儲設(shè)備；一般網(wǎng)絡設(shè)備、安全設(shè)備、存儲設(shè)備；域控制器和關(guān)鍵基礎(chǔ)設(shè)施服務器；重要（機房）環(huán)境設(shè)施監(jiān)控設(shè)備；備份設(shè)備、備份介質(zhì)關(guān)鍵系統(tǒng)主機；關(guān)

7、鍵的網(wǎng)絡設(shè)備、安全設(shè)備、存儲設(shè)備；域控制器和關(guān)鍵基礎(chǔ)設(shè)施服務器；備份設(shè)備、備份介質(zhì)4高重要系統(tǒng)主機；一般系統(tǒng)主機；重要網(wǎng)絡設(shè)備、安全設(shè)備、存儲設(shè)備；域成員服務器和重要基礎(chǔ)設(shè)施服務器；重要（機房）環(huán)境設(shè)施監(jiān)控設(shè)備；打印機；復印機；傳真機；個一般系統(tǒng)主機；域成員服務器和重要基礎(chǔ)設(shè)施服務器；一般（機房）環(huán)境設(shè)施監(jiān)控設(shè)備；網(wǎng)絡和主機管理及監(jiān)控設(shè)備重要系統(tǒng)主機；重要網(wǎng)絡設(shè)備、安全設(shè)備、存儲設(shè)備；域成員服務器和重要基礎(chǔ)設(shè)施服務器；重要（機房）環(huán)境設(shè)施監(jiān)控設(shè)備；一般（機房）環(huán)境設(shè)施監(jiān)控設(shè)備；網(wǎng)絡和主機人辦公電腦管理及監(jiān)控設(shè)備3中等一般網(wǎng)絡設(shè)備、安全設(shè)備、存儲設(shè)備；一般（機房）環(huán)境設(shè)施監(jiān)控設(shè)備；打印機；復印機

8、；傳真機；個人辦公電腦完整性價值中等，未經(jīng)授權(quán)的修改或破壞會對組織造成影響，對業(yè)務沖擊明顯，但可以彌補；打印機；復印機；傳真機；個人辦公電腦一般系統(tǒng)主機；一般網(wǎng)絡設(shè)備、安全設(shè)備、存儲設(shè)備；打印機；復印機；傳真機；個人辦公電腦2低-1很低-信息資產(chǎn)賦值算法1 .資產(chǎn)賦值算法說明信息資產(chǎn)的資產(chǎn)價值要考慮機密性（C）、完整性（I）、可用性（A）三個因素。為了資產(chǎn)評估的一致性與準確性，我們建立一套資產(chǎn)價值的評估標準，對每一種資產(chǎn)和每一種可能的損失，例如機密性、完整性和可用性的損失，都可以賦予一個價值。然后利用確定的算法將信息資產(chǎn)三個因素的價值綜合考慮，確定最終的資產(chǎn)價值大小，進一步確定要保護的關(guān)鍵資產(chǎn)

9、。資產(chǎn)價值的算法通常包括算術(shù)平均法和對數(shù)平均法。算術(shù)平均法綜合考慮三個方面的因素，簡便易用。對數(shù)平均法在考慮三個因素的同時，更易突出某一特定因素的影響，更加客觀準確的體現(xiàn)出資產(chǎn)的價值。在實際應用過程中，通常不同類別的資產(chǎn)對于三個因素的敏感程度是不同的，例如：人員資產(chǎn)通常不考慮完整性因素。因此，在實踐過程中，可以為不同類別資產(chǎn)的三個因素配置相應的權(quán)重，以保證對該類資產(chǎn)價值分析的可靠性和準確性。2 .請選擇【信息資產(chǎn)賦值算法】：無權(quán)重算術(shù)平均法：綜合考慮資產(chǎn)三個方面的屬性，平均得出資產(chǎn)價值，簡單易用。C+4V=日對數(shù)平均法：在綜合考慮資產(chǎn)三個方面屬性的同時，重點突出某一屬性的特點。例如，某些信息資產(chǎn)的保密性要求很高，而可用性、完整性要求較低時，使用本算法更能夠凸顯出其資產(chǎn)價值的重要性。V= log2(：2C + 2J + 2啟有權(quán)重(a+B+T=1)P加權(quán)算術(shù)平均法：在算術(shù)平均法的基礎(chǔ)上，根據(jù)不同資產(chǎn)類別的特點，人為設(shè)置該資產(chǎn)類別中三個方