信息資產(chǎn)分類標(biāo)準(zhǔn)

1、精選優(yōu)質(zhì)文檔-傾情為你奉上專心-專注-專業(yè)陜西廣電網(wǎng)絡(luò)傳媒股份有限公司陜西廣電網(wǎng)絡(luò)傳媒股份有限公司信息資產(chǎn)分類標(biāo)準(zhǔn)信息資產(chǎn)分類標(biāo)準(zhǔn)精選優(yōu)質(zhì)文檔-傾情為你奉上專心-專注-專業(yè)文檔信息文檔信息機(jī)密級分類版本版本日期日期人員人員更新說明更新說明V1.02010-10-27版版本控制審核人審核人職務(wù)職務(wù)審核日期審核日期文文檔審核批準(zhǔn)人批準(zhǔn)人職務(wù)職務(wù)批準(zhǔn)日期批準(zhǔn)日期文文檔批準(zhǔn)部門部門人員人員文檔權(quán)限文檔權(quán)限復(fù)分發(fā)控制復(fù)查時間復(fù)查時間復(fù)查人員復(fù)查人員復(fù)查結(jié)果復(fù)查結(jié)果復(fù)復(fù)查計劃精選優(yōu)質(zhì)文檔-傾情為你奉上專心-專注-專業(yè)第一章第一章目目標(biāo)標(biāo)在企業(yè)資產(chǎn)中，IT 資產(chǎn)是非常重要組成部分，隨著企業(yè)經(jīng)營越來越依賴信息

2、化，IT 資產(chǎn)的管理也變得越來越重要。同時 IT 資產(chǎn)的特點又是復(fù)雜多變的，只有運(yùn)用科學(xué)的分類方法，才能實現(xiàn) IT 資產(chǎn)的良好管理。因此對陜西廣電 IT資產(chǎn)進(jìn)行等級分類，是資產(chǎn)管理的前提條件。其目標(biāo)主要體現(xiàn)在以下幾個方面：通過對陜西廣電合理的 IT 資產(chǎn)等級分類，為 IT 資產(chǎn)管理提供科學(xué)、有效的方式。對陜西廣電現(xiàn)有 IT 資產(chǎn)進(jìn)行信息安全屬性的賦值，并對其進(jìn)行等級劃分，從而為以后的安全解決方案提供依據(jù)。IT 資產(chǎn)等級分類也是整個評估工作的前提，是安全評估的基礎(chǔ)和重要依據(jù)，也為之后的資產(chǎn)管理標(biāo)準(zhǔn)制定提供了良好的基礎(chǔ)。因此本文檔可以幫助陜西廣電實現(xiàn) IT 資產(chǎn)等級分類標(biāo)準(zhǔn)化。第二章第二章概述概述

3、IT 資產(chǎn)是企業(yè)、機(jī)構(gòu)直接賦予了價值因而需要保護(hù)的東西。它可能是以多種形式存在，有無形的、有有形的，有硬件、有軟件，有文檔、代碼，也有服務(wù)、企業(yè)形象等。它們分別具有不同的價值屬性和存在特點，其存在的弱點、面臨的威脅、需要進(jìn)行的保護(hù)和安全控制都各不相同。為此，有必要對企業(yè)、機(jī)構(gòu)中的 IT 資產(chǎn)進(jìn)行科學(xué)分類，讓企業(yè)清晰的了解需要重點保護(hù)的 IT 資產(chǎn)，并為后期的基礎(chǔ)設(shè)備、應(yīng)用風(fēng)險評估，進(jìn)而為解決方案的設(shè)計提供依據(jù)。IT 資產(chǎn)分類范圍資產(chǎn)分類范圍根據(jù)本標(biāo)準(zhǔn)的分類對象，包括 IT 和運(yùn)營支撐中心所有信息系統(tǒng)、信息資產(chǎn)、軟件資產(chǎn)、實體資產(chǎn)、書面文件和服務(wù)。精選優(yōu)質(zhì)文檔-傾情為你奉上專心-專注-專業(yè)IT

4、資產(chǎn)分類步驟資產(chǎn)分類步驟根據(jù)陜西廣電的實際環(huán)境，對于 IT 資產(chǎn)等級分類，主要分成三部分進(jìn)行：IT 資產(chǎn)的分類方法：根據(jù)國際標(biāo)準(zhǔn) ISO27001：2005 關(guān)于資產(chǎn)的分類描述，參考最佳實踐，并結(jié)合陜西廣電自身的企業(yè)特點，定義陜西廣電 IT 資產(chǎn)的分類方法。IT 資產(chǎn)識別和安全屬性賦值：參照國際標(biāo)準(zhǔn) ISO27001：2005 關(guān)于對資產(chǎn)識別和安全屬性的定義，通過對陜西廣電的實際調(diào)研，綜合各方面因素，對陜西廣電 IT資產(chǎn)進(jìn)行識別和安全屬性賦值。IT 資產(chǎn)等級分類：通過 IT 資產(chǎn)安全屬性值，計算出 IT 資產(chǎn)等級級別，并按等級進(jìn)行歸類。第三章第三章IT 資產(chǎn)等級分類標(biāo)準(zhǔn)資產(chǎn)等級分類標(biāo)準(zhǔn)IT 資

5、產(chǎn)的分類資產(chǎn)的分類ISO27001 資產(chǎn)分類資產(chǎn)分類ISO27001 對資產(chǎn)分類：1. 信息資產(chǎn)：數(shù)據(jù)庫數(shù)據(jù)文件、系統(tǒng)文檔、用戶手冊、培訓(xùn)材料、操作或支持步驟、連續(xù)性計劃、回退計劃、歸檔等信息；2. 軟件資產(chǎn)：應(yīng)用程序軟件、系統(tǒng)軟件、開發(fā)工具以及實用程序；3. 實體資產(chǎn)：計算機(jī)設(shè)備（處理器、監(jiān)視器、膝上型電腦、調(diào)制解調(diào)器） 、通訊設(shè)備（路由器、PABX、傳真機(jī)、應(yīng)答機(jī)） 、磁介質(zhì)（磁帶和磁盤） 、其它技術(shù)設(shè)備（電源 、空調(diào)器） 、機(jī)房；4. 書面文件：包含系統(tǒng)文件、使用手冊、各種程序及指引辦法、合約書等。5. 服務(wù)：計算和通訊服務(wù)、常用設(shè)備，如加熱器、照明設(shè)備、電源、空調(diào)。在 ISO27001

6、 資產(chǎn)分類中包含范圍非常廣泛，考慮到本標(biāo)準(zhǔn)面對的對象，因精選優(yōu)質(zhì)文檔-傾情為你奉上專心-專注-專業(yè)此此次分類范圍中，將對所有 IT 資產(chǎn)進(jìn)行歸類。陜西廣電陜西廣電 IT 資產(chǎn)分類資產(chǎn)分類方法方法以 ISO27001 資產(chǎn)分類方法為基礎(chǔ)，結(jié)合陜西廣電的實際情況，以保護(hù)陜西廣電信息資產(chǎn)為核心，結(jié)合陜西廣電本身的業(yè)務(wù)特點，設(shè)計如下的資產(chǎn)分類方法。整個資產(chǎn)分類原則是圍繞信息資產(chǎn)展開的，以信息資產(chǎn)為出發(fā)點，分層次進(jìn)行分類的。首先是：信息資產(chǎn)，它是陜西廣電核心保護(hù)資產(chǎn)；其次是：實體資產(chǎn)，它是信息資產(chǎn)的實際載體、它承擔(dān)著信息資產(chǎn)的存儲、傳輸、檢索、加工等各項功能，和信息資產(chǎn)有著最直接的關(guān)系；第三是：信息系統(tǒng)

7、，它是由基于實體資產(chǎn)，按照一定的應(yīng)用目標(biāo)和規(guī)則構(gòu)成的，能夠承載某項業(yè)務(wù)工作的系統(tǒng)。它是對實體資產(chǎn)圍繞業(yè)務(wù)的歸納、匯總；第四是：為實現(xiàn)以上資產(chǎn)的有效管理、運(yùn)維所依賴的 IT 政策、標(biāo)準(zhǔn)、流程、手冊及指南；第五是：使用、管理、維護(hù)這些資產(chǎn)的主體：人員，它也是整個資產(chǎn)中最活躍的因素，把它歸納為一類資產(chǎn)，有利對其實現(xiàn)有效的管理。最后就是服務(wù)資產(chǎn)，即各種本部門通過購買方式獲取的，或者需要支持部門特別提供的，能夠?qū)ζ渌炎R別資產(chǎn)的操作起支持作用（也就是對業(yè)務(wù)有支持作用）的服務(wù)。通過以上對陜西廣電資產(chǎn)分類的方法，參考 ISO27001 的資產(chǎn)分類標(biāo)準(zhǔn)，分類概況如下：精選優(yōu)質(zhì)文檔-傾情為你奉上專心-專注-專業(yè)

8、信息系統(tǒng)表信息系統(tǒng)表在 IT 資產(chǎn)分類中，參考最佳實踐，首先需要統(tǒng)計陜西廣電目前的所有信息系統(tǒng)，及相關(guān)屬性，分析陜西廣電各信息系統(tǒng)的等級，為之后的分級保護(hù)提供依據(jù)；同時會對信息系統(tǒng)按照國家等級化的方法進(jìn)行等級劃分，為應(yīng)用系統(tǒng)的抽樣提供依據(jù)。信息資產(chǎn)表信息資產(chǎn)表本分類標(biāo)準(zhǔn)中，信息資產(chǎn)特指陜西廣電網(wǎng)絡(luò)傳媒股份有限公司經(jīng)營活動中所有信息在信息系統(tǒng)中以各種電子化形式存在的數(shù)據(jù)，對陜西廣電具有價值的，需要核心保護(hù)的 IT 資產(chǎn)。包括系統(tǒng)文件、數(shù)據(jù)庫數(shù)據(jù)、電子數(shù)據(jù)流等，以及以各種表格、報告、視圖等電子形式呈現(xiàn)給用戶的信息。實體資產(chǎn)表實體資產(chǎn)表實體資產(chǎn)主要指有形資產(chǎn)，其中考慮到數(shù)據(jù)庫的特點，也把其歸為實體資

9、產(chǎn)中。為更好的對 IT 實體資產(chǎn)進(jìn)行歸類，按照實體資產(chǎn)的物理特性和其功能的不同特點，設(shè)計了資產(chǎn)組：主機(jī)資產(chǎn)、網(wǎng)絡(luò)和安全設(shè)備、數(shù)據(jù)庫分別對應(yīng)主機(jī)精選優(yōu)質(zhì)文檔-傾情為你奉上專心-專注-專業(yè)資產(chǎn)表、網(wǎng)絡(luò)和安全設(shè)備表、數(shù)據(jù)庫表。主機(jī)資產(chǎn)（系統(tǒng)主機(jī)，包括硬件、操作系統(tǒng)、應(yīng)用名稱、IP 地址等屬性） 。網(wǎng)絡(luò)、安全設(shè)備（網(wǎng)絡(luò)、安全設(shè)備，包括硬件、IOS、配置文件、主要功能，IP地址等屬性） 。數(shù)據(jù)庫（數(shù)據(jù)庫名稱、類型、版本、業(yè)務(wù)系統(tǒng)、用途等屬性） 。類別簡稱解釋/示例主機(jī)資產(chǎn)Host一般為一臺主機(jī)，包括本臺主機(jī)中的硬件，OS，操作系統(tǒng)、應(yīng)用名稱、IP 地址等。網(wǎng)絡(luò)、安全設(shè)備Network一般為一臺網(wǎng)絡(luò)設(shè)備，

10、包括本臺網(wǎng)絡(luò)設(shè)備中的硬件，IOS，配置文件數(shù)據(jù)。包括路由器、交換機(jī)、硬件防火墻，RAS 等數(shù)據(jù)庫Database一般為一個數(shù)據(jù)庫，包括數(shù)據(jù)庫軟件，版本、業(yè)務(wù)系統(tǒng)、用途等IT 電子文檔資產(chǎn)表電子文檔資產(chǎn)表IT 電子文檔資產(chǎn)包含 IT 運(yùn)營和支撐中心內(nèi)部類、中心各部門類三大類，每大類會分為不同的子類。按照這種方法對陜西廣電的電子文檔進(jìn)行梳理，有利于以后安全管理的培訓(xùn)及宣導(dǎo)。IT 資產(chǎn)安全屬性賦值資產(chǎn)安全屬性賦值在 ISO27001 體系中，安全的三個特性（機(jī)密性 C、完整性 I、可用性 A）是其核心思想，在 IT 資產(chǎn)等級定義中也是圍繞著這三個方面展開的，因此對IT 資產(chǎn)機(jī)密性、完整性和可用性的賦

11、值也是評價 IT 資產(chǎn)等級依據(jù)。對 IT 資產(chǎn)進(jìn)行安全屬性賦值的目的就是為了更好地反映資產(chǎn)的業(yè)務(wù)價值，并區(qū)分出各資產(chǎn)的價值等級，為風(fēng)險評估提供量化基礎(chǔ)。機(jī)密性、完整性和可用性的定義如下：保密性（C）：確保只有經(jīng)過授權(quán)的人才能訪問信息；完整性（I）：保護(hù)信息和信息的處理方法準(zhǔn)確而完整；可用性（A）：確保經(jīng)過授權(quán)的用戶在需要時可以訪問信息并使用相關(guān)精選優(yōu)質(zhì)文檔-傾情為你奉上專心-專注-專業(yè)IT 資產(chǎn)。在安全屬性賦值時，以陜西廣電業(yè)務(wù)為導(dǎo)向，以信息資產(chǎn)的 C、I、A 賦值為基礎(chǔ)，對陜西廣電 IT 資產(chǎn)的 C、I、A 屬性進(jìn)行的賦值。主要方法是：先對信息資產(chǎn)的 C、I、A 進(jìn)行賦值，并以此為基礎(chǔ)，通過

12、對這些承載信息數(shù)據(jù)的載體，網(wǎng)絡(luò)通信媒介、信息系統(tǒng)及相關(guān)的支撐資產(chǎn)識別，來完成對這些 IT 資產(chǎn)的C、I、A 屬性賦值。以下是參考業(yè)界經(jīng)驗和最佳實踐，分別為 C、I、 、A 定義的 4 個具體等級。機(jī)密性賦值標(biāo)準(zhǔn)（機(jī)密性賦值標(biāo)準(zhǔn)（Confidentiality）根據(jù) IT 資產(chǎn)機(jī)密性屬性的不同，將它分為 4 個不同的等級，分別對應(yīng)資產(chǎn)在機(jī)密性方面的價值或者在機(jī)密性方面受到損失時對整個評估體的影響。賦值標(biāo)準(zhǔn)參照下表：賦值含義解釋4非常高（Very High）IT 資產(chǎn)為極機(jī)密，對 IT 資產(chǎn)的訪問僅授權(quán)極少數(shù)必須使用者，IT 資產(chǎn)機(jī)密性受破壞影響嚴(yán)重，用戶蒙受嚴(yán)重?fù)p失，無法接受。3高（High）I

13、T 資產(chǎn)為機(jī)密信息，對信息的訪問只有必須使用者才予以授權(quán)，IT 資產(chǎn)機(jī)密性受破壞影響嚴(yán)重，用戶蒙受損失，并且損失較難彌補(bǔ)。2中（Medium）信息為內(nèi)部信息，公司內(nèi)部可以授權(quán)訪問，對信息潛在未授權(quán)訪問影響重大，但是造成的損失可以彌補(bǔ)。1低（Low）信息為公開信息，對信息的訪問無需特別授權(quán)。并且由于機(jī)密性原因造成的損失容易彌補(bǔ)。完整性賦值標(biāo)準(zhǔn)（完整性賦值標(biāo)準(zhǔn)（Integrity）根據(jù) IT 資產(chǎn)完整性屬性的不同，將它分為 4 個不同的等級，分別對應(yīng) IT資產(chǎn)在完整性方面的價值或者在完整性方面受到損失時對整個評估體的影響。賦值標(biāo)準(zhǔn)參照下表：賦值含義解釋精選優(yōu)質(zhì)文檔-傾情為你奉上專心-專注-專業(yè)4非

14、常高（Very High）對 IT 資產(chǎn)的未經(jīng)授權(quán)的破壞或修改有重大影響，且可能導(dǎo)致 IT 資產(chǎn)價值損失非嚴(yán)重，用戶無法接受3高（High）對信息的未經(jīng)授權(quán)的破壞或修改有重大影響，且可能導(dǎo)致對信息價值資產(chǎn)損失嚴(yán)重，難以彌補(bǔ)2中（Medium）對 IT 資產(chǎn)的未經(jīng)授權(quán)的破壞或修改造成影響，且可能導(dǎo)致對 IT 資產(chǎn)價值損失，但可以彌補(bǔ)。1低（Low）對 IT 資產(chǎn)的未經(jīng)授權(quán)的破壞或修改不會產(chǎn)生重大影響。且可能導(dǎo)致對 IT 資產(chǎn)價值輕微損失，但容易彌補(bǔ)?？捎眯再x值標(biāo)準(zhǔn)（可用性賦值標(biāo)準(zhǔn)（Availability）根據(jù) IT 資產(chǎn)可用性屬性的不同，將它分為 4 個不同的等級，分別對應(yīng) IT資產(chǎn)在可用性方

15、面的價值或者在可用性方面受到損失時對整個評估體的影響。賦值標(biāo)準(zhǔn)參照下表：賦值含義解釋4非常高（Very High）合法使用者對信息的存取可用度達(dá)到年度 99.9%及以上。3高（High）合法使用者對信息的存取可用度達(dá)到年度 95%以上。2中（Medium）合法使用者對信息的存取可用度在正常工作時間達(dá)到100%。1低（Low）合法使用者對信息的存取可用度在正常工作時間至少達(dá)到 50%以上。IT 資產(chǎn)等級計算資產(chǎn)等級計算通過前面對 IT 資產(chǎn)安全屬性的賦值，可以判斷該資產(chǎn)在陜西廣電經(jīng)營活動中的價值，經(jīng)過資產(chǎn)的價值等級計算，陜西廣電就可以非常明確的對資產(chǎn)采用分類保護(hù)措施，從而達(dá)到保障陜西廣電經(jīng)營活動

16、的目標(biāo)。IT 資產(chǎn)等級的計算主要來源于 ISO27001 的 CIA 屬性，同時參考最佳實踐，根據(jù)陜西廣電的企業(yè)特點，對完整性要求較高、保密性其次的特點，設(shè)計了如下公式對資產(chǎn)等級進(jìn)行精選優(yōu)質(zhì)文檔-傾情為你奉上專心-專注-專業(yè)計算。資產(chǎn)價值（V）=Round1Log2(A2Conf+B2Int+C2Ava)/3注：A 代表機(jī)密性的權(quán)值；B 代表完整性的權(quán)值；C 代表可用性的權(quán)值Round函數(shù)是按制定位數(shù)，對數(shù)值四舍五入，Round1表示保留1位小數(shù)。根據(jù)國際上對三類行業(yè)的權(quán)值定義慣例電信運(yùn)營商（最關(guān)注可用性）：A=0.7，B=0.7，C1.6；金融行業(yè)（最關(guān)注完整性）：A=0.7，B=1.6，C

17、0.7；政府涉密部門（最關(guān)注機(jī)密性）：A=1.6，B=0.7，C0.7；陜西廣電企業(yè)性質(zhì)為電信運(yùn)營商，因此權(quán)值分別?。篈=0.7，B=0.7，C1.6并通過下表進(jìn)行分類等級價值分類資產(chǎn)價值1較低=3.5第四章第四章陜西廣電陜西廣電 IT 資產(chǎn)等級分類資產(chǎn)等級分類操作方法操作方法IT 資產(chǎn)等級分類方法資產(chǎn)等級分類方法本章節(jié)主要指導(dǎo)陜西廣電對 IT 資產(chǎn)等級分類的操作方法，以利于合理有效的完成 IT 資產(chǎn)等級分類的工作。精選優(yōu)質(zhì)文檔-傾情為你奉上專心-專注-專業(yè)陜西廣電陜西廣電 IT 資產(chǎn)登記資產(chǎn)登記首先，先要將整個分類標(biāo)準(zhǔn)對陜西廣電相關(guān)收集人員進(jìn)行講解，讓其充分了解。其次由相關(guān)資產(chǎn)負(fù)責(zé)人對照各收

18、集表進(jìn)行登記。以下建議了提供人員，在實際收集中可根據(jù)實際情況進(jìn)行調(diào)整。信息系統(tǒng)表建議由使用信息系統(tǒng)的管理人員填寫或管理人員委托給對信息系統(tǒng)非常了解的人員填寫。信息資產(chǎn)表：以業(yè)務(wù)系統(tǒng)表為基礎(chǔ)，對應(yīng)用系統(tǒng)應(yīng)用、管理人員進(jìn)行訪談，以訪談的內(nèi)容結(jié)果填寫信息資產(chǎn)表。主機(jī)資產(chǎn)表：精選優(yōu)質(zhì)文檔-傾情為你奉上專心-專注-專業(yè)將此表下發(fā)各主機(jī)系統(tǒng)維護(hù)人員填寫。網(wǎng)絡(luò)、安全設(shè)備表：由網(wǎng)絡(luò)維護(hù)人員填寫。數(shù)據(jù)庫表：由數(shù)據(jù)庫管理人員填寫。IT 電子文檔由相關(guān)層次文檔的制定或發(fā)布者提供。陜西廣電陜西廣電 IT 資產(chǎn)安全屬性賦值資產(chǎn)安全屬性賦值陜西廣電 IT 資產(chǎn)分類表填寫之后，需對填寫的結(jié)果進(jìn)行整理，并與各填表人員進(jìn)行溝通，對 IT 資產(chǎn)進(jìn)行 CI