信息資產(chǎn)分類標準

1、精選優(yōu)質文檔-傾情為你奉上專心-專注-專業(yè)陜西廣電網(wǎng)絡傳媒股份有限公司陜西廣電網(wǎng)絡傳媒股份有限公司信息資產(chǎn)分類標準信息資產(chǎn)分類標準精選優(yōu)質文檔-傾情為你奉上專心-專注-專業(yè)文檔信息文檔信息機密級分類版本版本日期日期人員人員更新說明更新說明V1.02010-10-27版版本控制審核人審核人職務職務審核日期審核日期文文檔審核批準人批準人職務職務批準日期批準日期文文檔批準部門部門人員人員文檔權限文檔權限復分發(fā)控制復查時間復查時間復查人員復查人員復查結果復查結果復復查計劃精選優(yōu)質文檔-傾情為你奉上專心-專注-專業(yè)第一章第一章目目標標在企業(yè)資產(chǎn)中，IT 資產(chǎn)是非常重要組成部分，隨著企業(yè)經(jīng)營越來越依賴信息

2、化，IT 資產(chǎn)的管理也變得越來越重要。同時 IT 資產(chǎn)的特點又是復雜多變的，只有運用科學的分類方法，才能實現(xiàn) IT 資產(chǎn)的良好管理。因此對陜西廣電 IT資產(chǎn)進行等級分類，是資產(chǎn)管理的前提條件。其目標主要體現(xiàn)在以下幾個方面：通過對陜西廣電合理的 IT 資產(chǎn)等級分類，為 IT 資產(chǎn)管理提供科學、有效的方式。對陜西廣電現(xiàn)有 IT 資產(chǎn)進行信息安全屬性的賦值，并對其進行等級劃分，從而為以后的安全解決方案提供依據(jù)。IT 資產(chǎn)等級分類也是整個評估工作的前提，是安全評估的基礎和重要依據(jù)，也為之后的資產(chǎn)管理標準制定提供了良好的基礎。因此本文檔可以幫助陜西廣電實現(xiàn) IT 資產(chǎn)等級分類標準化。第二章第二章概述概述

3、IT 資產(chǎn)是企業(yè)、機構直接賦予了價值因而需要保護的東西。它可能是以多種形式存在，有無形的、有有形的，有硬件、有軟件，有文檔、代碼，也有服務、企業(yè)形象等。它們分別具有不同的價值屬性和存在特點，其存在的弱點、面臨的威脅、需要進行的保護和安全控制都各不相同。為此，有必要對企業(yè)、機構中的 IT 資產(chǎn)進行科學分類，讓企業(yè)清晰的了解需要重點保護的 IT 資產(chǎn)，并為后期的基礎設備、應用風險評估，進而為解決方案的設計提供依據(jù)。IT 資產(chǎn)分類范圍資產(chǎn)分類范圍根據(jù)本標準的分類對象，包括 IT 和運營支撐中心所有信息系統(tǒng)、信息資產(chǎn)、軟件資產(chǎn)、實體資產(chǎn)、書面文件和服務。精選優(yōu)質文檔-傾情為你奉上專心-專注-專業(yè)IT

4、資產(chǎn)分類步驟資產(chǎn)分類步驟根據(jù)陜西廣電的實際環(huán)境，對于 IT 資產(chǎn)等級分類，主要分成三部分進行：IT 資產(chǎn)的分類方法：根據(jù)國際標準 ISO27001：2005 關于資產(chǎn)的分類描述，參考最佳實踐，并結合陜西廣電自身的企業(yè)特點，定義陜西廣電 IT 資產(chǎn)的分類方法。IT 資產(chǎn)識別和安全屬性賦值：參照國際標準 ISO27001：2005 關于對資產(chǎn)識別和安全屬性的定義，通過對陜西廣電的實際調研，綜合各方面因素，對陜西廣電 IT資產(chǎn)進行識別和安全屬性賦值。IT 資產(chǎn)等級分類：通過 IT 資產(chǎn)安全屬性值，計算出 IT 資產(chǎn)等級級別，并按等級進行歸類。第三章第三章IT 資產(chǎn)等級分類標準資產(chǎn)等級分類標準IT 資

5、產(chǎn)的分類資產(chǎn)的分類ISO27001 資產(chǎn)分類資產(chǎn)分類ISO27001 對資產(chǎn)分類：1. 信息資產(chǎn)：數(shù)據(jù)庫數(shù)據(jù)文件、系統(tǒng)文檔、用戶手冊、培訓材料、操作或支持步驟、連續(xù)性計劃、回退計劃、歸檔等信息；2. 軟件資產(chǎn)：應用程序軟件、系統(tǒng)軟件、開發(fā)工具以及實用程序；3. 實體資產(chǎn)：計算機設備（處理器、監(jiān)視器、膝上型電腦、調制解調器） 、通訊設備（路由器、PABX、傳真機、應答機） 、磁介質（磁帶和磁盤） 、其它技術設備（電源 、空調器） 、機房；4. 書面文件：包含系統(tǒng)文件、使用手冊、各種程序及指引辦法、合約書等。5. 服務：計算和通訊服務、常用設備，如加熱器、照明設備、電源、空調。在 ISO27001

6、 資產(chǎn)分類中包含范圍非常廣泛，考慮到本標準面對的對象，因精選優(yōu)質文檔-傾情為你奉上專心-專注-專業(yè)此此次分類范圍中，將對所有 IT 資產(chǎn)進行歸類。陜西廣電陜西廣電 IT 資產(chǎn)分類資產(chǎn)分類方法方法以 ISO27001 資產(chǎn)分類方法為基礎，結合陜西廣電的實際情況，以保護陜西廣電信息資產(chǎn)為核心，結合陜西廣電本身的業(yè)務特點，設計如下的資產(chǎn)分類方法。整個資產(chǎn)分類原則是圍繞信息資產(chǎn)展開的，以信息資產(chǎn)為出發(fā)點，分層次進行分類的。首先是：信息資產(chǎn)，它是陜西廣電核心保護資產(chǎn)；其次是：實體資產(chǎn)，它是信息資產(chǎn)的實際載體、它承擔著信息資產(chǎn)的存儲、傳輸、檢索、加工等各項功能，和信息資產(chǎn)有著最直接的關系；第三是：信息系統(tǒng)

7、，它是由基于實體資產(chǎn)，按照一定的應用目標和規(guī)則構成的，能夠承載某項業(yè)務工作的系統(tǒng)。它是對實體資產(chǎn)圍繞業(yè)務的歸納、匯總；第四是：為實現(xiàn)以上資產(chǎn)的有效管理、運維所依賴的 IT 政策、標準、流程、手冊及指南；第五是：使用、管理、維護這些資產(chǎn)的主體：人員，它也是整個資產(chǎn)中最活躍的因素，把它歸納為一類資產(chǎn)，有利對其實現(xiàn)有效的管理。最后就是服務資產(chǎn)，即各種本部門通過購買方式獲取的，或者需要支持部門特別提供的，能夠對其他已識別資產(chǎn)的操作起支持作用（也就是對業(yè)務有支持作用）的服務。通過以上對陜西廣電資產(chǎn)分類的方法，參考 ISO27001 的資產(chǎn)分類標準，分類概況如下：精選優(yōu)質文檔-傾情為你奉上專心-專注-專業(yè)

8、信息系統(tǒng)表信息系統(tǒng)表在 IT 資產(chǎn)分類中，參考最佳實踐，首先需要統(tǒng)計陜西廣電目前的所有信息系統(tǒng)，及相關屬性，分析陜西廣電各信息系統(tǒng)的等級，為之后的分級保護提供依據(jù)；同時會對信息系統(tǒng)按照國家等級化的方法進行等級劃分，為應用系統(tǒng)的抽樣提供依據(jù)。信息資產(chǎn)表信息資產(chǎn)表本分類標準中，信息資產(chǎn)特指陜西廣電網(wǎng)絡傳媒股份有限公司經(jīng)營活動中所有信息在信息系統(tǒng)中以各種電子化形式存在的數(shù)據(jù)，對陜西廣電具有價值的，需要核心保護的 IT 資產(chǎn)。包括系統(tǒng)文件、數(shù)據(jù)庫數(shù)據(jù)、電子數(shù)據(jù)流等，以及以各種表格、報告、視圖等電子形式呈現(xiàn)給用戶的信息。實體資產(chǎn)表實體資產(chǎn)表實體資產(chǎn)主要指有形資產(chǎn)，其中考慮到數(shù)據(jù)庫的特點，也把其歸為實體資

9、產(chǎn)中。為更好的對 IT 實體資產(chǎn)進行歸類，按照實體資產(chǎn)的物理特性和其功能的不同特點，設計了資產(chǎn)組：主機資產(chǎn)、網(wǎng)絡和安全設備、數(shù)據(jù)庫分別對應主機精選優(yōu)質文檔-傾情為你奉上專心-專注-專業(yè)資產(chǎn)表、網(wǎng)絡和安全設備表、數(shù)據(jù)庫表。主機資產(chǎn)（系統(tǒng)主機，包括硬件、操作系統(tǒng)、應用名稱、IP 地址等屬性） 。網(wǎng)絡、安全設備（網(wǎng)絡、安全設備，包括硬件、IOS、配置文件、主要功能，IP地址等屬性） 。數(shù)據(jù)庫（數(shù)據(jù)庫名稱、類型、版本、業(yè)務系統(tǒng)、用途等屬性） 。類別簡稱解釋/示例主機資產(chǎn)Host一般為一臺主機，包括本臺主機中的硬件，OS，操作系統(tǒng)、應用名稱、IP 地址等。網(wǎng)絡、安全設備Network一般為一臺網(wǎng)絡設備，

10、包括本臺網(wǎng)絡設備中的硬件，IOS，配置文件數(shù)據(jù)。包括路由器、交換機、硬件防火墻，RAS 等數(shù)據(jù)庫Database一般為一個數(shù)據(jù)庫，包括數(shù)據(jù)庫軟件，版本、業(yè)務系統(tǒng)、用途等IT 電子文檔資產(chǎn)表電子文檔資產(chǎn)表IT 電子文檔資產(chǎn)包含 IT 運營和支撐中心內部類、中心各部門類三大類，每大類會分為不同的子類。按照這種方法對陜西廣電的電子文檔進行梳理，有利于以后安全管理的培訓及宣導。IT 資產(chǎn)安全屬性賦值資產(chǎn)安全屬性賦值在 ISO27001 體系中，安全的三個特性（機密性 C、完整性 I、可用性 A）是其核心思想，在 IT 資產(chǎn)等級定義中也是圍繞著這三個方面展開的，因此對IT 資產(chǎn)機密性、完整性和可用性的賦

11、值也是評價 IT 資產(chǎn)等級依據(jù)。對 IT 資產(chǎn)進行安全屬性賦值的目的就是為了更好地反映資產(chǎn)的業(yè)務價值，并區(qū)分出各資產(chǎn)的價值等級，為風險評估提供量化基礎。機密性、完整性和可用性的定義如下：保密性（C）：確保只有經(jīng)過授權的人才能訪問信息；完整性（I）：保護信息和信息的處理方法準確而完整；可用性（A）：確保經(jīng)過授權的用戶在需要時可以訪問信息并使用相關精選優(yōu)質文檔-傾情為你奉上專心-專注-專業(yè)IT 資產(chǎn)。在安全屬性賦值時，以陜西廣電業(yè)務為導向，以信息資產(chǎn)的 C、I、A 賦值為基礎，對陜西廣電 IT 資產(chǎn)的 C、I、A 屬性進行的賦值。主要方法是：先對信息資產(chǎn)的 C、I、A 進行賦值，并以此為基礎，通過

12、對這些承載信息數(shù)據(jù)的載體，網(wǎng)絡通信媒介、信息系統(tǒng)及相關的支撐資產(chǎn)識別，來完成對這些 IT 資產(chǎn)的C、I、A 屬性賦值。以下是參考業(yè)界經(jīng)驗和最佳實踐，分別為 C、I、 、A 定義的 4 個具體等級。機密性賦值標準（機密性賦值標準（Confidentiality）根據(jù) IT 資產(chǎn)機密性屬性的不同，將它分為 4 個不同的等級，分別對應資產(chǎn)在機密性方面的價值或者在機密性方面受到損失時對整個評估體的影響。賦值標準參照下表：賦值含義解釋4非常高（Very High）IT 資產(chǎn)為極機密，對 IT 資產(chǎn)的訪問僅授權極少數(shù)必須使用者，IT 資產(chǎn)機密性受破壞影響嚴重，用戶蒙受嚴重損失，無法接受。3高（High）I

13、T 資產(chǎn)為機密信息，對信息的訪問只有必須使用者才予以授權，IT 資產(chǎn)機密性受破壞影響嚴重，用戶蒙受損失，并且損失較難彌補。2中（Medium）信息為內部信息，公司內部可以授權訪問，對信息潛在未授權訪問影響重大，但是造成的損失可以彌補。1低（Low）信息為公開信息，對信息的訪問無需特別授權。并且由于機密性原因造成的損失容易彌補。完整性賦值標準（完整性賦值標準（Integrity）根據(jù) IT 資產(chǎn)完整性屬性的不同，將它分為 4 個不同的等級，分別對應 IT資產(chǎn)在完整性方面的價值或者在完整性方面受到損失時對整個評估體的影響。賦值標準參照下表：賦值含義解釋精選優(yōu)質文檔-傾情為你奉上專心-專注-專業(yè)4非

14、常高（Very High）對 IT 資產(chǎn)的未經(jīng)授權的破壞或修改有重大影響，且可能導致 IT 資產(chǎn)價值損失非嚴重，用戶無法接受3高（High）對信息的未經(jīng)授權的破壞或修改有重大影響，且可能導致對信息價值資產(chǎn)損失嚴重，難以彌補2中（Medium）對 IT 資產(chǎn)的未經(jīng)授權的破壞或修改造成影響，且可能導致對 IT 資產(chǎn)價值損失，但可以彌補。1低（Low）對 IT 資產(chǎn)的未經(jīng)授權的破壞或修改不會產(chǎn)生重大影響。且可能導致對 IT 資產(chǎn)價值輕微損失，但容易彌補?？捎眯再x值標準（可用性賦值標準（Availability）根據(jù) IT 資產(chǎn)可用性屬性的不同，將它分為 4 個不同的等級，分別對應 IT資產(chǎn)在可用性方

15、面的價值或者在可用性方面受到損失時對整個評估體的影響。賦值標準參照下表：賦值含義解釋4非常高（Very High）合法使用者對信息的存取可用度達到年度 99.9%及以上。3高（High）合法使用者對信息的存取可用度達到年度 95%以上。2中（Medium）合法使用者對信息的存取可用度在正常工作時間達到100%。1低（Low）合法使用者對信息的存取可用度在正常工作時間至少達到 50%以上。IT 資產(chǎn)等級計算資產(chǎn)等級計算通過前面對 IT 資產(chǎn)安全屬性的賦值，可以判斷該資產(chǎn)在陜西廣電經(jīng)營活動中的價值，經(jīng)過資產(chǎn)的價值等級計算，陜西廣電就可以非常明確的對資產(chǎn)采用分類保護措施，從而達到保障陜西廣電經(jīng)營活動

16、的目標。IT 資產(chǎn)等級的計算主要來源于 ISO27001 的 CIA 屬性，同時參考最佳實踐，根據(jù)陜西廣電的企業(yè)特點，對完整性要求較高、保密性其次的特點，設計了如下公式對資產(chǎn)等級進行精選優(yōu)質文檔-傾情為你奉上專心-專注-專業(yè)計算。資產(chǎn)價值（V）=Round1Log2(A2Conf+B2Int+C2Ava)/3注：A 代表機密性的權值；B 代表完整性的權值；C 代表可用性的權值Round函數(shù)是按制定位數(shù)，對數(shù)值四舍五入，Round1表示保留1位小數(shù)。根據(jù)國際上對三類行業(yè)的權值定義慣例電信運營商（最關注可用性）：A=0.7，B=0.7，C1.6；金融行業(yè)（最關注完整性）：A=0.7，B=1.6，C

17、0.7；政府涉密部門（最關注機密性）：A=1.6，B=0.7，C0.7；陜西廣電企業(yè)性質為電信運營商，因此權值分別?。篈=0.7，B=0.7，C1.6并通過下表進行分類等級價值分類資產(chǎn)價值1較低=3.5第四章第四章陜西廣電陜西廣電 IT 資產(chǎn)等級分類資產(chǎn)等級分類操作方法操作方法IT 資產(chǎn)等級分類方法資產(chǎn)等級分類方法本章節(jié)主要指導陜西廣電對 IT 資產(chǎn)等級分類的操作方法，以利于合理有效的完成 IT 資產(chǎn)等級分類的工作。精選優(yōu)質文檔-傾情為你奉上專心-專注-專業(yè)陜西廣電陜西廣電 IT 資產(chǎn)登記資產(chǎn)登記首先，先要將整個分類標準對陜西廣電相關收集人員進行講解，讓其充分了解。其次由相關資產(chǎn)負責人對照各收

18、集表進行登記。以下建議了提供人員，在實際收集中可根據(jù)實際情況進行調整。信息系統(tǒng)表建議由使用信息系統(tǒng)的管理人員填寫或管理人員委托給對信息系統(tǒng)非常了解的人員填寫。信息資產(chǎn)表：以業(yè)務系統(tǒng)表為基礎，對應用系統(tǒng)應用、管理人員進行訪談，以訪談的內容結果填寫信息資產(chǎn)表。主機資產(chǎn)表：精選優(yōu)質文檔-傾情為你奉上專心-專注-專業(yè)將此表下發(fā)各主機系統(tǒng)維護人員填寫。網(wǎng)絡、安全設備表：由網(wǎng)絡維護人員填寫。數(shù)據(jù)庫表：由數(shù)據(jù)庫管理人員填寫。IT 電子文檔由相關層次文檔的制定或發(fā)布者提供。陜西廣電陜西廣電 IT 資產(chǎn)安全屬性賦值資產(chǎn)安全屬性賦值陜西廣電 IT 資產(chǎn)分類表填寫之后，需對填寫的結果進行整理，并與各填表人員進行溝通，對 IT 資產(chǎn)進行 CI