信息資產(chǎn)分級(jí)管理

新疆匯和銀行信息資產(chǎn)分級(jí)管理1.信息資產(chǎn)分類鑒別為達(dá)到及維護(hù)組織資產(chǎn)的保護(hù)，應(yīng)明確識(shí)別所有資產(chǎn)，并制作與維持所有重要資產(chǎn)的清單，與信息處理設(shè)施相關(guān)的所有信息及資產(chǎn)由信息科技管理小組指定管理者。與信息處理設(shè)施相關(guān)的信息與資產(chǎn)。計(jì)算機(jī)管理中心和會(huì)計(jì)核心算中心具體負(fù)責(zé)做好信息資產(chǎn)定期更新與維護(hù)信息資產(chǎn)清單，由信息科技管理小組統(tǒng)一控管，確保信息資產(chǎn)列表完整性。信息資產(chǎn)依其性質(zhì)不同，分為5類：人員、硬件、軟件、電子數(shù)據(jù)、書面文件依序如下：人員：系指業(yè)務(wù)主管、承辦人員、委外廠商、契約人員等。硬件：系指網(wǎng)絡(luò)設(shè)備、主機(jī)設(shè)備、通訊設(shè)備、環(huán)境設(shè)備等相關(guān)硬件設(shè)施。例如：服務(wù)器主機(jī)、個(gè)人計(jì)算機(jī)、不斷電設(shè)備等。軟件：系指自行開發(fā)或委外開發(fā)之應(yīng)用系統(tǒng)程序、外購之軟件包等。例如：應(yīng)用系統(tǒng)、操作系統(tǒng)、軟件包、工具程序等。電子數(shù)據(jù)：系指以電子形式存在之信息數(shù)據(jù)。例如：網(wǎng)絡(luò)設(shè)定數(shù)據(jù)、備份文件等。書面文件：系指以紙本形式存在之文書數(shù)據(jù)、報(bào)表等相關(guān)信息。例如：合同、規(guī)范、系統(tǒng)文件、用戶手冊、訓(xùn)練教材等。所有資產(chǎn)經(jīng)由資產(chǎn)分類，制成「信息資產(chǎn)列表」。2.信息資產(chǎn)價(jià)值鑒別為信息依其對組織的價(jià)值、法律要求、敏感性及重要性加以分類，價(jià)值鑒別準(zhǔn)則依信息資產(chǎn)分類分別針對機(jī)密性、可用性、完整性，其評估標(biāo)準(zhǔn)如下：表1人員類評估標(biāo)準(zhǔn)項(xiàng)目價(jià)值價(jià)值描述機(jī)密性3可取存各類數(shù)據(jù)(含機(jī)密、內(nèi)部限閱、內(nèi)部使用及公開數(shù)據(jù))2可取存內(nèi)部使用及公開數(shù)據(jù)1可取存公開類資料可用性3為維系正常運(yùn)作，在該人員無法持續(xù)提供服務(wù)時(shí)，可容忍替換時(shí)間為最短2為維系正常運(yùn)作，在該人員無法持續(xù)提供服務(wù)時(shí)，可容忍替換時(shí)間為適中1為維系正常運(yùn)作，在該人員無法持續(xù)提供服務(wù)時(shí)，可容忍替換時(shí)間為最長表2硬件類評估標(biāo)準(zhǔn)項(xiàng)目價(jià)值價(jià)值描述可用性3可容許連續(xù)中斷的時(shí)間4個(gè)小時(shí)以下2可容許連續(xù)中斷的時(shí)間在4個(gè)小時(shí)以上，8個(gè)小時(shí)以下1可容許連續(xù)中斷的時(shí)間在8個(gè)小時(shí)以上表3軟件類評估標(biāo)準(zhǔn)項(xiàng)目價(jià)值價(jià)值描述機(jī)密性3其知識(shí)產(chǎn)權(quán)屬或所有權(quán)為銀行所有，且該軟件處理之?dāng)?shù)據(jù)內(nèi)容或設(shè)計(jì)規(guī)格涉及銀行經(jīng)營秘密2其知識(shí)產(chǎn)權(quán)屬或所有權(quán)為機(jī)關(guān)所有，且該軟件處理之?dāng)?shù)據(jù)內(nèi)容或設(shè)計(jì)規(guī)格，未經(jīng)書面同意，不得由第三方使用1其軟件處理之?dāng)?shù)據(jù)內(nèi)容或設(shè)計(jì)規(guī)格不具機(jī)密性完整性3軟件設(shè)計(jì)規(guī)格之不完整，可能造成業(yè)務(wù)運(yùn)行之全面性中斷或違反法令之遵循2軟件設(shè)計(jì)規(guī)格之不完整，可能造成應(yīng)用上之不便，須改以人工操作1軟件設(shè)計(jì)規(guī)格之不完整，并不影響日常運(yùn)作可用性3可容許連續(xù)中斷的時(shí)間2個(gè)小時(shí)以下2可容許連續(xù)中斷的時(shí)間在2個(gè)小時(shí)以上，8個(gè)小時(shí)以下1可容許連續(xù)中斷的時(shí)間在8個(gè)小時(shí)以上表4電子數(shù)據(jù)、書面文件類評估標(biāo)準(zhǔn)項(xiàng)目價(jià)值價(jià)值描述機(jī)密性3除工作職責(zé)之所須外，須經(jīng)擁有者同意后始可使用或閱讀2僅簽有保密協(xié)議之人員或總行可以使用1為公開信息，不具機(jī)密性完整性3其完整性可能影響法令之遵循，且會(huì)對該信息資產(chǎn)有重大影響且可能導(dǎo)致嚴(yán)重的業(yè)務(wù)中斷2其完整性可能影響業(yè)務(wù)導(dǎo)致效能降低，但不致對業(yè)務(wù)造成停頓1其完整性對該信息資產(chǎn)的影響極低，且不會(huì)對業(yè)務(wù)運(yùn)作的效能造成任何影響或影響極低可用性3該數(shù)據(jù)若未及時(shí)取得，可能直接影響運(yùn)作業(yè)務(wù)或法令之遵循2該數(shù)據(jù)若未及時(shí)取得，可能導(dǎo)致作業(yè)上之不便1該資料并無時(shí)效性之問題各資產(chǎn)價(jià)值為資產(chǎn)之機(jī)密性、完整性及可用性評估值取最大值；如以下式子：資產(chǎn)價(jià)值=機(jī)密性評估值+完整性評估值+可用性評估值。各資產(chǎn)依資產(chǎn)價(jià)值數(shù)值分級(jí)；詳如資產(chǎn)價(jià)值等級(jí)表表5資產(chǎn)價(jià)值等級(jí)表類別數(shù)值等級(jí)描述人員類6高資產(chǎn)價(jià)值(3)4~5中資產(chǎn)價(jià)值(2)2~3低資產(chǎn)價(jià)值(1)硬件類3高資產(chǎn)價(jià)值(3)2中資產(chǎn)價(jià)值(2)1低資產(chǎn)價(jià)值(1)軟件類電子數(shù)據(jù)類書面文件類9高資產(chǎn)價(jià)值(3)6~8中資產(chǎn)價(jià)值(2)3~5低資產(chǎn)價(jià)值(1)3.信息資產(chǎn)標(biāo)示與處理依照組織所采用的分類法，發(fā)展與實(shí)作一套適當(dāng)?shù)男畔?biāo)示與處置程序。資產(chǎn)標(biāo)示必須明確。資產(chǎn)標(biāo)示含資產(chǎn)風(fēng)險(xiǎn)等級(jí)并以顏色卷標(biāo)區(qū)分。硬件類資產(chǎn)標(biāo)示依其價(jià)值等級(jí)并以顏色卷標(biāo)區(qū)分。高資產(chǎn)價(jià)值：指該資產(chǎn)價(jià)值最高，貼紅色卷標(biāo)。中資產(chǎn)價(jià)值：指該資產(chǎn)價(jià)值中等，貼黃色標(biāo)簽。低資產(chǎn)價(jià)值：指該資產(chǎn)價(jià)值最低，不貼卷標(biāo)。資產(chǎn)在保存過程中，應(yīng)依適當(dāng)程序作妥善保存。資產(chǎn)的生命周期包含產(chǎn)生、使用、維護(hù)與銷毀。在整個(gè)生命周期中，每項(xiàng)資產(chǎn)皆由信息科技管理小組指派資產(chǎn)管理人。資產(chǎn)管理人必須妥善運(yùn)用與保存該資產(chǎn)。其他同事使用資產(chǎn)需經(jīng)由管理人授權(quán)，方可使用該資產(chǎn)。其使用過程需紀(jì)錄于該資產(chǎn)之使用記錄。資產(chǎn)之私密信息由管理人維護(hù)，采用僅知原則，授權(quán)給其他同事使用時(shí)，以最小量之信息提供給使用人得知。為掌握信息設(shè)備狀況，對于信息室有價(jià)值之信息設(shè)備之增置、轉(zhuǎn)移、報(bào)廢應(yīng)予確實(shí)登錄。資產(chǎn)借用應(yīng)予登記，以控管資產(chǎn)現(xiàn)況。資產(chǎn)于報(bào)廢時(shí)應(yīng)循相關(guān)報(bào)廢程序進(jìn)行報(bào)廢。4、鑒別風(fēng)險(xiǎn)弱點(diǎn)與威脅脆弱性，亦稱弱點(diǎn)。脆弱性是組織信息安全的弱點(diǎn)或漏洞?；旧希嗳跣员旧聿粫?huì)造成傷害，而是威脅利用這些脆弱性對系統(tǒng)進(jìn)行傷害。針對要鑒別的每項(xiàng)資產(chǎn)分類，依序?qū)ふ页鏊邢鄬?yīng)的弱點(diǎn)如下：人員：包括缺乏對外部團(tuán)體與信息安全相關(guān)之規(guī)范、缺乏一般辦公環(huán)境的安全控管、缺乏對人員之安全管理、缺乏對人員認(rèn)知之倡導(dǎo)及教育訓(xùn)練、缺乏工作之權(quán)責(zé)劃分與人員代理機(jī)制、缺乏信息安全事件通報(bào)及處理程序。硬件：缺乏對外部團(tuán)體與信息安全相關(guān)之規(guī)范、缺乏一般辦公環(huán)境的安全控管、缺乏書面化操作程序之控管、缺乏網(wǎng)絡(luò)之安全管理、缺乏數(shù)據(jù)交換之安全管理、缺乏對儲(chǔ)存媒體的安全控管、缺乏系統(tǒng)監(jiān)視、記錄與相關(guān)的系統(tǒng)稽核軌跡、缺乏對實(shí)體資產(chǎn)之保護(hù)與管理、缺乏取得信息系統(tǒng)之規(guī)劃及驗(yàn)收程序、缺乏對取得服務(wù)的安全控管、缺乏對管制區(qū)域之安全管理、缺乏信息安全事件通報(bào)及處理程序、缺乏對場外工作之安全控管。軟件：缺乏對外部團(tuán)體與信息安全相關(guān)之規(guī)范、缺乏一般辦公環(huán)境的安全控管、缺乏書面化操作程序之控管、缺乏網(wǎng)絡(luò)之安全管理、缺乏數(shù)據(jù)交換之安全管理、缺乏系統(tǒng)監(jiān)視、記錄與相關(guān)的系統(tǒng)稽核軌跡、缺乏數(shù)據(jù)的安全管理、缺乏取得資訊系統(tǒng)之規(guī)劃及驗(yàn)收程序、缺乏對信息系統(tǒng)存取之安全管理、缺乏系統(tǒng)聯(lián)機(jī)之安全管理、缺乏信息系統(tǒng)開發(fā)之安全管理、缺乏對取得服務(wù)的安全控管、缺乏信息系統(tǒng)安全防護(hù)機(jī)制、缺乏信息安全事件通報(bào)及處理程序、缺乏對電子商務(wù)之安全控管、缺乏對場外工作之安全控管。電子數(shù)據(jù)：缺乏對外部團(tuán)體與信息安全相關(guān)之規(guī)范、缺乏一般辦公環(huán)境的安全控管、缺乏書面化操作程序之控管、缺乏網(wǎng)絡(luò)之安全管理、乏數(shù)據(jù)交換之安全管理、缺乏系統(tǒng)監(jiān)視、記錄與相關(guān)的系統(tǒng)稽核軌跡、缺乏數(shù)據(jù)的安全管理、缺乏對實(shí)體資產(chǎn)之保護(hù)與管理、缺乏取得信息系統(tǒng)之規(guī)劃及驗(yàn)收程序、缺乏對信息系統(tǒng)存取之安全管理、缺乏信息系統(tǒng)開發(fā)之安全管理、缺乏對取得服務(wù)的安全控管、缺乏信息安全事件通報(bào)及處理程序、缺乏對電子商務(wù)之安全控管。書面文件：缺乏對外部團(tuán)體與信息安全相關(guān)之規(guī)范、缺乏一般辦公環(huán)境的安全控管、缺乏書面化操作程序之控管、缺乏數(shù)據(jù)交換之安全管理、缺乏系統(tǒng)監(jiān)視、記錄與相關(guān)的系統(tǒng)稽核軌跡、缺乏數(shù)據(jù)的安全管理、缺乏對實(shí)體資產(chǎn)之保護(hù)與管理、缺乏對取得服務(wù)的安全控管、缺乏對管制區(qū)域之安全管理、缺乏信息安全事件通報(bào)及處理程序。威脅的鑒別威脅是指對組織意圖造成傷害或損失，不論是意外或是蓄意，人為或是天災(zāi)。資產(chǎn)容易受到許多威脅，這些威脅來自利用脆弱性。威脅可區(qū)分為天然災(zāi)害、人為的威脅、非人為的威脅；威脅的鑒別，須針對每項(xiàng)資產(chǎn)，列出可能的威脅。針對要鑒別的每項(xiàng)資產(chǎn)分類，依序?qū)ふ页鏊邢鄬?yīng)的威脅如下：人員：無知、貪念、脅迫、惰性、人力不足、惡意、疏失、傳染病。硬件：毀損、竊取、災(zāi)害、故障、破壞。軟件：不法使用、錯(cuò)誤、竄改、延遲、失效、損毀、偽造。電子數(shù)據(jù)：盜賣、泄漏、錯(cuò)誤、竄改、損毀、偽造。書面文件：泄漏、竊取、竄改、偽造、遺失、損毀。計(jì)算信息資產(chǎn)風(fēng)險(xiǎn)權(quán)值綜合信息資產(chǎn)價(jià)值(如表5資產(chǎn)價(jià)值等級(jí)表)、弱點(diǎn)(如表6電子數(shù)據(jù)類弱點(diǎn)值判定表)、威脅等因素(如表7威脅值判定表)，透過信息資產(chǎn)之風(fēng)險(xiǎn)評鑒，可得知該項(xiàng)信息資產(chǎn)所面臨之風(fēng)險(xiǎn)程度并予以量化，作為選擇控制措施之依據(jù)。計(jì)算風(fēng)險(xiǎn)權(quán)值之公式為：信息資產(chǎn)風(fēng)險(xiǎn)權(quán)值=信息資產(chǎn)價(jià)值×弱點(diǎn)權(quán)值×威脅權(quán)值根據(jù)此一計(jì)算模型，風(fēng)險(xiǎn)權(quán)值最低為1，最高為27。表6電子數(shù)據(jù)類弱點(diǎn)值判定表弱點(diǎn)項(xiàng)目風(fēng)險(xiǎn)值判斷原則缺乏對外部團(tuán)體與信息安全之規(guī)范1以與外部團(tuán)體訂有信息安全相關(guān)之權(quán)利與義務(wù)契約2僅與部分外部團(tuán)體訂定委任之權(quán)利義務(wù)契約3尚無與外部團(tuán)體訂定權(quán)力與義務(wù)契約之機(jī)制缺乏一般辦公環(huán)境的安全控管1已制定完善之辦公環(huán)境控管政策并妥為遵循2已有辦公環(huán)境控管政策但未完備或未確實(shí)遵循3尚未對辦公環(huán)境制定控管政策缺乏書面化操作程序之控管1已有詳盡的書面處理程序，即時(shí)更新，且妥善遵循2處理程序不明3尚無操作程序控管之機(jī)制缺乏網(wǎng)絡(luò)之安全管理1已為網(wǎng)絡(luò)設(shè)置完善的安全管理機(jī)制2網(wǎng)絡(luò)安全管理機(jī)制未完備或未確實(shí)遵循3尚未有網(wǎng)絡(luò)安全管理機(jī)制缺乏數(shù)據(jù)交換之安全管理1未與外部交換數(shù)據(jù)或管控已完善2與外部數(shù)據(jù)交換，但數(shù)據(jù)不具機(jī)密性，或管控措施部完善3與外部數(shù)據(jù)交換，且為高價(jià)值的機(jī)密數(shù)據(jù)，未設(shè)置控管缺乏系統(tǒng)監(jiān)視、記錄與相關(guān)的審計(jì)軌跡1有完善的使用記錄及監(jiān)控設(shè)備留存完整審計(jì)軌跡2有部分的使用記錄，或監(jiān)控設(shè)備留存部分審計(jì)軌跡3沒有任何使用記錄，或監(jiān)控設(shè)備未留存部分審計(jì)軌跡表7威脅值判定表考慮現(xiàn)有控管機(jī)制及資產(chǎn)特性，進(jìn)行以下定義：沖擊\機(jī)率每年不超過一次每年超過一次每季超過一次高（價(jià)值=3）233中（價(jià)值=2）123低（價(jià)值=1）112資產(chǎn)風(fēng)險(xiǎn)處理的評估在匯整完風(fēng)險(xiǎn)評鑒結(jié)果之后應(yīng)召開管理階層審查會(huì)議，由會(huì)議討論決定可接受風(fēng)險(xiǎn)之風(fēng)險(xiǎn)值。低于此風(fēng)險(xiǎn)值之資產(chǎn)，視為低風(fēng)險(xiǎn)，也就是可接受之風(fēng)險(xiǎn)。風(fēng)險(xiǎn)值高于可