1、ISO27001信息资产信息资产识别与分类识别与分类myulomyulo:企业管理实战专家企业管理实战专家信息安全事件损失估算信息安全事件损失估算直接损失:(水上面的部分)直接损失:(水上面的部分)损失了数据间接损失(间接损失(530倍直接损失)倍直接损失)损失了时间替代成本法律费用声誉受损丢失了潜在业务生产力受损信息安全评估标准信息安全评估标准v国外标准国外标准信息技术安全性评估准则信息技术安全性评估准则ISO15408ISO15408,GB/T18336GB/T18336ISO13335ISO13335信息安全管理规范信息安全管理规范信息安全管理标准信息安全管理标准ISO17799ISO1
2、7799v国内标准国内标准信息安全风险评估指南信息安全风险评估指南 风险管理各要素之间的关系风险管理各要素之间的关系依赖依赖拥有拥有被满足被满足抗击抗击利用利用暴露暴露降低降低增加增加增加增加增加增加导出导出演变演变未被满足未被满足未控制未控制可能诱发可能诱发残留残留成本成本业务战略业务战略资产资产威胁威胁安全需求安全需求事件事件残余风险残余风险安全措施安全措施资产价值资产价值脆弱性脆弱性风险风险风险评估的相关术语风险评估的相关术语v资产资产(Asset)任何对组织有价值的东西,是一)任何对组织有价值的东西,是一个完整信息系统的组成部分,是风险评估的对象。个完整信息系统的组成部分,是风险评估的
3、对象。v威胁威胁(Threat)可能导致对系统或组织的损害的可能导致对系统或组织的损害的不期望事件发生的潜在原因不期望事件发生的潜在原因v脆弱性脆弱性(Vulnerability)可能会被一个或多个威)可能会被一个或多个威胁所利用的资产或一组资产的弱点胁所利用的资产或一组资产的弱点风险分析原理风险分析原理资产识别资产识别脆弱性识别脆弱性识别威胁识别威胁识别价值价值严重程度严重程度出现的频率出现的频率损失损失可能性可能性风险值风险值资产识别与分类资产识别与分类数据数据存在信息媒介上的各种数据资料,包括源代码、数据库数据、系统文档、运行管理规程、计划、报告、用户手册等软件软件系统软件、应用软件、源
4、程序、数据库等硬件硬件网络设备、计算机设备、存储设备、移动存储设备、传输线路、保障设备、安全保障设备、其他电子设备等文档文档纸质的各种文件、传真、电报、财务报告、发展计划等人员人员各级人员服务服务办公服务、网络服务、信息服务等资产例子资产例子信息资产信息资产资产所有者/位置资产编号薪资方案表服务器采购合同表-供应商服务器采购合同表-订约人服务器区域销售合同服务器股票控制记录服务器销售合同-Access数据库服务器供应商清单-Access数据库服务器金碟财务记录服务器销售代理清单市场&销售邮件服务器培训资料市场&销售资产例子资产例子纸质文件纸质文件资产所有者/位置资产编号供应商合同财务供应商合同
5、物流供应商合同市场&销售财务合同财务预算财务销售合同(信用卡)财务销售合同(信用卡)区域经理销售合同物流销售合同市场&销售银行声明财务账单财务合同发票财务客户信息市场&销售资产例子资产例子纸质文件纸质文件资产所有者/位置资产编号退税财务信件财务信件市场&销售公司介绍财务外包服务合同物流快信投寄单物流供应商清单物流客户信息市场&销售个人文件市场&销售资产例子资产例子软件资产软件资产资产所有者/位置资产编号Windows98 operating system财务3Windows98 operating system物流5Windows98 operating system货仓Windows98 o
6、perating system市场&销售Microsoft Word 2000财务3Microsoft Word 2000物流5Microsoft Word 2000市场&销售2Microsoft Access 2000财务3Microsoft Access 2000物流5Microsoft Access 2000货仓Microsoft Access 2000市场&销售2Microsoft PowerPoint 2000财务3Microsoft PowerPoint 2000物流5Microsoft PowerPoint 2000市场&销售2资产例子资产例子软件资产软件资产资产所有者/位置资产
7、编号Microsoft Outlook 2000财务3Microsoft Outlook 2000物流5Microsoft Outlook 2000货仓Microsoft Outlook 2000市场&销售2金碟财务软件财务3PC Anywhere远程监控货仓PC Anywhere远程监控服务器PC Anywhere远程监控市场&销售金碟K3仓储软件货仓Pretty Good Privacy服务器资产例子资产例子实体资产实体资产资产所有者/位置资产编号桌上个人电脑财务3桌上个人电脑物流5桌上个人电脑货仓桌上个人电脑市场&销售2电话财务3电话物流5电话货仓电话市场&销售3传真机物流保险箱财务储藏
8、柜财务2储藏柜物流3储藏柜市场&销售3计算器财务3资产例子资产例子实体资产实体资产资产所有者/位置资产编号调制解调器货仓调制解调器服务器激光打印机物流激光打印机货仓复印机物流笔记本电脑总经理网络集中器网络2以太网卡市场&销售2以太网卡物流5以太网卡财务3磁带驱动器服务器备份磁带服务器3DVD刻录机服务器存档CD/DVD服务器资产例子资产例子服务服务资产所有者/位置资产编号服务器市场&销售电话系统(交换总机)物流服务器UPS服务器其他资产例子其他资产例子1序号序号资产类别资产类别资产名称资产名称资产编号资产编号所在位置所在位置责任人责任人 是否重要信息资产及理由是否重要信息资产及理由 备注备注硬
9、件硬件笔记本电脑笔记本电脑随身携带随身携带XXX是;办公用是;办公用硬件硬件手机手机随身携带随身携带XXX是;有用来联系业务,顾是;有用来联系业务,顾问讲课录音用问讲课录音用硬件硬件U盘盘办公室办公室XXX是;存放客户资料与公司是;存放客户资料与公司资料资料硬件硬件传真机传真机办公室办公室XXX是;与客户互发传真是;与客户互发传真硬件硬件电话电话办公室办公室XXX是;与客户联系用是;与客户联系用硬件硬件扫描打印一扫描打印一体机体机办公室办公室XXX是;打印扫描公司重要资是;打印扫描公司重要资料料硬件硬件热熔机热熔机办公室办公室XXX是;装订重要文件是;装订重要文件硬件硬件路由器路由器办公室办公
10、室XXX是;公司电脑共享上网是;公司电脑共享上网硬件硬件上网猫上网猫办公室办公室XXX是;公司上网用是;公司上网用硬件硬件投影仪投影仪办公室办公室XXX是;公司例会,顾问去客是;公司例会,顾问去客户那里讲课用户那里讲课用硬件硬件照相机照相机办公室办公室XXX是;客户启动大会拍照用是;客户启动大会拍照用其他资产例子其他资产例子2资产编码资产编码资产名称资产名称类别类别位置位置用途用途应用情况应用情况责任人责任人备份位置备份位置EB-DOC-010OA源代码源代码数据数据192.168.0.5修改频繁修改频繁XXX220.28.9.224EB-SOF-001 Windows操作操作系统系统系统软件
11、系统软件10.10.5.160XXXEB-SOF-002 HP-UX操作系操作系统统系统软件系统软件220.28.9.224XXXEB-SOF-003 ORACLE应用软件应用软件 10.10.5.160数据库数据库XXXEB-SOF-004 Turbo Linux操操作系统作系统系统软件系统软件10.10.5.19XXXEB-SOF-005 Windows Exchange server应用软件应用软件192.168.2.17邮件服务邮件服务XXXEB-DAT-001 客户购物信息客户购物信息(来自(来自EBS)数据数据10.10.5.25XXX220.28.9.224EB-DAT-002
12、用户注册信息用户注册信息(来自(来自EBS)数据数据10.10.5.25XXX220.28.9.224EB-DAT-003邮件信息邮件信息数据数据192.168.2.17XXX220.28.9.224EB-DAT-004 邮件配置信息邮件配置信息数据数据192.168.2.17XXX220.28.9.2247.1.2资产责任人资产责任人指定部门或人员承担责任指定部门或人员承担责任。v资产责任人应负责:a)确保与信息处理设施相关的信息和资产进行了适当的分类;b)确定并周期性评审访问限制和分类,要考虑到可应用的访问控制策略。v所有权可以分配给:a)业务过程;b)已定义的活动集;c)应用;d)已定义
13、的数据集。v其它信息1.日常任务可以委派给其他人,例如委派给一个管理人员每天照看资产,但责任人仍保留职责。2.在复杂的信息系统中,将一组资产指派给一个责任人,可能是比较有用的,它们一起工作来提供特殊的“服务”功能。在这种情况下,服务责任人负责提供服务,包括资产本身提供的功能。信息资产识别表样版信息资产识别表样版序号资产类别资产名称资产编号所在位置负责人备注信息安全的属性信息安全的属性保密性保密性Confidentiality完整性完整性integrity可用性可用性Availability安安全全资产机密性赋值表资产机密性赋值表赋值标识定 义5极高包含组织最重要的秘密,关系未来发展的前途命运,
14、对组织根本利益有着决定性影响,如果泄漏会造成灾难性的损害 4高包含组织的重要秘密,其泄露会使组织的安全和利益遭受严重损害3中等包含组织的一般性秘密,其泄露会使组织的安全和利益受到损害2低包含仅能在组织内部或在组织某一部门内部公开的信息,向外扩散有可能对组织的利益造成损害1可忽略包含可对社会公开的信息,公用的信息处理设备和系统资源等资产完整性赋值表资产完整性赋值表赋值标识定 义5极高完整性价值非常关键,未经授权的修改或破坏会对组织造成重大的或无法接受的影响,对业务冲击重大,并可能造成严重的业务中断,难以弥补4高完整性价值较高,未经授权的修改或破坏会对组织造成重大影响,对业务冲击严重,比较难以弥补
15、3中等完整性价值中等,未经授权的修改或破坏会对组织造成影响,对业务冲击明显,但可以弥补2低完整性价值较低,未经授权的修改或破坏会对组织造成轻微影响,可以忍受,对业务冲击轻微,容易弥补1可忽略完整性价值非常低,未经授权的修改或破坏对组织造成的影响可以忽略,对业务冲击可以忽略资产可用性赋值表资产可用性赋值表赋值标识定 义5极高可用性价值非常高,合法使用者对信息及信息系统的可用度达到年度99.9%以上4高可用性价值较高,合法使用者对信息及信息系统的可用度达到每天90%以上3中等可用性价值中等,合法使用者对信息及信息系统的可用度在正常工作时间达到70%以上2低可用性价值较低,合法使用者对信息及信息系统的可用度在正常工作时间达到25%以上1可忽略可用性价值可以忽略,合法使用者对信息及信息系统的可用度在正常工作时间低于25%myulomyulo:企业管理实战专家企业管理实战专家-END-