《信息资产识别与分类.ppt》由会员分享,可在线阅读,更多相关《信息资产识别与分类.ppt(24页珍藏版)》请在金锄头文库上搜索。
1、ISO27001信息资产 识别与分类,myulo:企业管理实战专家,信息安全事件损失估算,直接损失:(水上面的部分) 损失了数据 间接损失(530倍直接损失) 损失了时间 替代成本 法律费用 声誉受损 丢失了潜在业务 生产力受损,信息安全评估标准,国外标准 信息技术安全性评估准则ISO15408,GB/T18336 ISO13335信息安全管理规范 信息安全管理标准ISO17799 国内标准 信息安全风险评估指南,风险管理各要素之间的关系,依赖,拥有,被满足,抗击,利用,暴露,降低,增加,增加,增加,导出,演变,未被满足,未控制,可能诱发,残留,成本,业务战略,资产,威胁,安全需求,事件,残余
2、风险,安全措施,资产价值,脆弱性,风险,风险评估的相关术语,资产(Asset)任何对组织有价值的东西,是一个完整信息系统的组成部分,是风险评估的对象。 威胁(Threat) 可能导致对系统或组织的损害的不期望事件发生的潜在原因 脆弱性(Vulnerability)可能会被一个或多个威胁所利用的资产或一组资产的弱点,风险分析原理,资产识别与分类,资产例子信息资产,资产例子纸质文件,资产例子纸质文件,资产例子软件资产,资产例子软件资产,资产例子实体资产,资产例子实体资产,资产例子服务,其他资产例子1,其他资产例子2,7.1.2 资产责任人,指定部门或人员承担责任。 资产责任人应负责: 确保与信息处
3、理设施相关的信息和资产进行了适当的分类; 确定并周期性评审访问限制和分类,要考虑到可应用的访问控制策略。 所有权可以分配给: 业务过程; 已定义的活动集; 应用; 已定义的数据集。 其它信息 日常任务可以委派给其他人,例如委派给一个管理人员每天照看资产,但责任人仍保留职责。 在复杂的信息系统中,将一组资产指派给一个责任人,可能是比较有用的,它们一起工作来提供特殊的“服务”功能。在这种情况下,服务责任人负责提供服务,包括资产本身提供的功能。,信息资产识别表样版,信息安全的属性,资产机密性赋值表,资产完整性赋值表,资产可用性赋值表,myulo:企业管理实战专家,Thank You !,-END-,
