《信息资产分类标准》由会员分享,可在线阅读,更多相关《信息资产分类标准(12页珍藏版)》请在金锄头文库上搜索。
1、陕西广电网络传媒股份有限公司陕西广电网络传媒股份有限公司信息资产分类标准信息资产分类标准陕西广电网络传媒股份有限公司-信息资产分类标准文档信息文档信息机 密级分类版本版本日期日期人员人员更新说明更新说明V1.02010-10-27版 版本控制审核人审核人职务职务审核日期审核日期文 文档审核批准人批准人职务职务批准日期批准日期文 文档批准部门部门人员人员文档权限文档权限复 分发控制复查时间复查时间复查人员复查人员复查结果复查结果复 复查计划陕西广电网络传媒股份有限公司-信息资产分类标准第一章第一章目目标标在企业资产中,IT 资产是非常重要组成部分,随着企业经营越来越依赖信息化,IT 资产的管理也
2、变得越来越重要。同时 IT 资产的特点又是复杂多变的,只有运用科学的分类方法,才能实现 IT 资产的良好管理。因此对陕西广电 IT资产进行等级分类,是资产管理的前提条件。其目标主要体现在以下几个方面:通过对陕西广电合理的 IT 资产等级分类,为 IT 资产管理提供科学、有效的方式。对陕西广电现有 IT 资产进行信息安全属性的赋值,并对其进行等级划分,从而为以后的安全解决方案提供依据。IT 资产等级分类也是整个评估工作的前提,是安全评估的基础和重要依据,也为之后的资产管理标准制定提供了良好的基础。因此本文档可以帮助陕西广电实现 IT 资产等级分类标准化。第二章第二章概述概述IT 资产是企业、机构
3、直接赋予了价值因而需要保护的东西。它可能是以多种形式存在,有无形的、有有形的,有硬件、有软件,有文档、代码,也有服务、企业形象等。它们分别具有不同的价值属性和存在特点,其存在的弱点、面临的威胁、需要进行的保护和安全控制都各不相同。为此,有必要对企业、机构中的 IT 资产进行科学分类,让企业清晰的了解需要重点保护的 IT 资产,并为后期的基础设备、应用风险评估,进而为解决方案的设计提供依据。IT 资产分类范围资产分类范围根据本标准的分类对象,包括 IT 和运营支撑中心所有信息系统、信息资产、软件资产、实体资产、书面文件和服务。陕西广电网络传媒股份有限公司-信息资产分类标准IT 资产分类步骤资产分
4、类步骤根据陕西广电的实际环境,对于 IT 资产等级分类,主要分成三部分进行:IT 资产的分类方法:根据国际标准 ISO27001:2005 关于资产的分类描述,参考最佳实践,并结合陕西广电自身的企业特点,定义陕西广电 IT 资产的分类方法。IT 资产识别和安全属性赋值:参照国际标准 ISO27001:2005 关于对资产识别和安全属性的定义,通过对陕西广电的实际调研,综合各方面因素,对陕西广电 IT资产进行识别和安全属性赋值。IT 资产等级分类:通过 IT 资产安全属性值,计算出 IT 资产等级级别,并按等级进行归类。第三章第三章IT 资产等级分类标准资产等级分类标准IT 资产的分类资产的分类
5、ISO27001 资产分类资产分类ISO27001 对资产分类:1. 信息资产:数据库数据文件、系统文档、用户手册、培训材料、操作或支持步骤、连续性计划、回退计划、归档等信息;2. 软件资产:应用程序软件、系统软件、开发工具以及实用程序;3. 实体资产:计算机设备(处理器、监视器、膝上型电脑、调制解调器) 、通讯设备(路由器、PABX、传真机、应答机) 、磁介质(磁带和磁盘) 、其它技术设备(电源 、空调器) 、机房;4. 书面文件:包含系统文件、使用手册、各种程序及指引办法、合约书等。5. 服务:计算和通讯服务、常用设备,如加热器、照明设备、电源、空调。在 ISO27001 资产分类中包含范
6、围非常广泛,考虑到本标准面对的对象,因陕西广电网络传媒股份有限公司-信息资产分类标准此此次分类范围中,将对所有 IT 资产进行归类。陕西广电陕西广电 IT 资产分类资产分类方法方法以 ISO27001 资产分类方法为基础,结合陕西广电的实际情况,以保护陕西广电信息资产为核心,结合陕西广电本身的业务特点,设计如下的资产分类方法。整个资产分类原则是围绕信息资产展开的,以信息资产为出发点,分层次进行分类的。首先是:信息资产,它是陕西广电核心保护资产;其次是:实体资产,它是信息资产的实际载体、它承担着信息资产的存储、传输、检索、加工等各项功能,和信息资产有着最直接的关系;第三是:信息系统,它是由基于实
7、体资产,按照一定的应用目标和规则构成的,能够承载某项业务工作的系统。它是对实体资产围绕业务的归纳、汇总;第四是:为实现以上资产的有效管理、运维所依赖的 IT 政策、标准、流程、手册及指南;第五是:使用、管理、维护这些资产的主体:人员,它也是整个资产中最活跃的因素,把它归纳为一类资产,有利对其实现有效的管理。最后就是服务资产,即各种本部门通过购买方式获取的,或者需要支持部门特别提供的,能够对其他已识别资产的操作起支持作用(也就是对业务有支持作用)的服务。通过以上对陕西广电资产分类的方法,参考 ISO27001 的资产分类标准,分类概况如下:陕西广电网络传媒股份有限公司-信息资产分类标准信息系统表
8、信息系统表在 IT 资产分类中,参考最佳实践,首先需要统计陕西广电目前的所有信息系统,及相关属性,分析陕西广电各信息系统的等级,为之后的分级保护提供依据;同时会对信息系统按照国家等级化的方法进行等级划分,为应用系统的抽样提供依据。信息资产表信息资产表本分类标准中,信息资产特指陕西广电网络传媒股份有限公司经营活动中所有信息在信息系统中以各种电子化形式存在的数据,对陕西广电具有价值的,需要核心保护的 IT 资产。包括系统文件、数据库数据、电子数据流等,以及以各种表格、报告、视图等电子形式呈现给用户的信息。实体资产表实体资产表实体资产主要指有形资产,其中考虑到数据库的特点,也把其归为实体资产中。为更
9、好的对 IT 实体资产进行归类,按照实体资产的物理特性和其功能的不同特点,设计了资产组:主机资产、网络和安全设备、数据库分别对应主机陕西广电网络传媒股份有限公司-信息资产分类标准资产表、网络和安全设备表、数据库表。主机资产(系统主机,包括硬件、操作系统、应用名称、IP 地址等属性) 。网络、安全设备(网络、安全设备,包括硬件、IOS、配置文件、主要功能,IP地址等属性) 。数据库(数据库名称、类型、版本、业务系统、用途等属性) 。类别简称解释/示例主机资产Host一般为一台主机,包括本台主机中的硬件,OS,操作系统、应用名称、IP 地址等。网络、安全设备Network一般为一台网络设备,包括本
10、台网络设备中的硬件,IOS,配置文件数据。包括路由器、交换机、硬件防火墙,RAS 等数据库Database一般为一个数据库,包括数据库软件,版本、业务系统、用途等IT 电子文档资产表电子文档资产表IT 电子文档资产包含 IT 运营和支撑中心内部类、中心各部门类三大类,每大类会分为不同的子类。按照这种方法对陕西广电的电子文档进行梳理,有利于以后安全管理的培训及宣导。IT 资产安全属性赋值资产安全属性赋值在 ISO27001 体系中,安全的三个特性(机密性 C、完整性 I、可用性 A)是其核心思想,在 IT 资产等级定义中也是围绕着这三个方面展开的,因此对IT 资产机密性、完整性和可用性的赋值也是
11、评价 IT 资产等级依据。对 IT 资产进行安全属性赋值的目的就是为了更好地反映资产的业务价值,并区分出各资产的价值等级,为风险评估提供量化基础。机密性、完整性和可用性的定义如下:保密性(C):确保只有经过授权的人才能访问信息;完整性(I):保护信息和信息的处理方法准确而完整;可用性(A):确保经过授权的用户在需要时可以访问信息并使用相关陕西广电网络传媒股份有限公司-信息资产分类标准IT 资产。在安全属性赋值时,以陕西广电业务为导向,以信息资产的 C、I、A 赋值为基础,对陕西广电 IT 资产的 C、I、A 属性进行的赋值。主要方法是:先对信息资产的 C、I、A 进行赋值,并以此为基础,通过对
12、这些承载信息数据的载体,网络通信媒介、信息系统及相关的支撑资产识别,来完成对这些 IT 资产的C、I、A 属性赋值。以下是参考业界经验和最佳实践,分别为 C、I、 、A 定义的 4 个具体等级。机密性赋值标准(机密性赋值标准(Confidentiality)根据 IT 资产机密性属性的不同,将它分为 4 个不同的等级,分别对应资产在机密性方面的价值或者在机密性方面受到损失时对整个评估体的影响。赋值标准参照下表:赋值含义解释4非常高(Very High)IT 资产为极机密,对 IT 资产的访问仅授权极少数必 须使用者,IT 资产机密性受破坏影响严重,用户蒙 受严重损失,无法接受。3高(High)
13、IT 资产为机密信息,对信息的访问只有必须使用者 才予以授权,IT 资产机密性受破坏影响严重,用户 蒙受损失,并且损失较难弥补。2中(Medium)信息为内部信息,公司内部可以授权访问,对信息 潜在未授权访问影响重大,但是造成的损失可以弥 补。1低(Low)信息为公开信息,对信息的访问无需特别授权。并 且由于机密性原因造成的损失容易弥补。完整性赋值标准(完整性赋值标准(Integrity)根据 IT 资产完整性属性的不同,将它分为 4 个不同的等级,分别对应 IT资产在完整性方面的价值或者在完整性方面受到损失时对整个评估体的影响。赋值标准参照下表:赋值含义解释陕西广电网络传媒股份有限公司-信息
14、资产分类标准4非常高(Very High)对 IT 资产的未经授权的破坏或修改有重大影响,且可 能导致 IT 资产价值损失非严重,用户无法接受3高(High)对信息的未经授权的破坏或修改有重大影响,且可能 导致对信息价值资产损失严重,难以弥补2中 (Medi um)对 IT 资产的未经授权的破坏或修改造成影响,且可能导致对 IT 资产价值损失,但可以弥补。1低(Low)对 IT 资产的未经授权的破坏或修改不会产生重大影响。且可能导致对 IT 资产价值轻微损失,但容易弥补。可用性赋值标准(可用性赋值标准(Availability)根据 IT 资产可用性属性的不同,将它分为 4 个不同的等级,分别
15、对应 IT资产在可用性方面的价值或者在可用性方面受到损失时对整个评估体的影响。赋值标准参照下表:赋值含义解释4非常高(Very High)合法使用者对信息的存取可用度达到年度 99.9%及以 上。3高(High)合法使用者对信息的存取可用度达到年度 95%以上。2中 (Medi um)合法使用者对信息的存取可用度在正常工作时间达到 100%。1低(Low)合法使用者对信息的存取可用度在正常工作时间至少 达到 50%以上。IT 资产等级计算资产等级计算通过前面对 IT 资产安全属性的赋值,可以判断该资产在陕西广电经营活动中的价值,经过资产的价值等级计算,陕西广电就可以非常明确的对资产采用分类保护
16、措施,从而达到保障陕西广电经营活动的目标。IT 资产等级的计算主要来源于 ISO27001 的 CIA 属性,同时参考最佳实践,根据陕西广电的企业特点,对完整性要求较高、保密性其次的特点,设计了如下公式对资产等级进行陕西广电网络传媒股份有限公司-信息资产分类标准计算。资产价值(V)=Round1Log2(A2Conf+B2Int+C2Ava)/3注:A 代表机密性的权值;B 代表完整性的权值;C 代表可用性的权值Round函数是按制定位数,对数值四舍五入,Round1表示保留1位小数。根据国际上对三类行业的权值定义惯例电信运营商(最关注可用性):A=0.7,B=0.7,C1.6;金融行业(最关注完整性):A=0.7,B=1.6,C0.7;政府涉密部门(最关注机密性):A=1.6,B=0.7,C0.7;陕西广电企业性质为电信运营商,因此权值分别取:A=0.7,B=0.7,C1.6并通过下表进行分类等级价值分类资产价值1较低=3.5第四章第四章陕西广电陕西广电 IT 资产等级分类资产等级分类操作方法操作方法IT 资产等级分类方
