ISO信息资产识别与分类培训.pptVIP

ISO27001信息资产识别与分类 myulo:企业管理实战专家 信息安全事件损失估算 信息安全评估标准 国外标准 信息技术安全性评估准则ISO15408，GB/T18336 ISO13335信息安全管理规范 信息安全管理标准ISO17799 国内标准 信息安全风险评估指南 风险管理各要素之间的关系 风险评估的相关术语 资产（Asset）任何对组织有价值的东西，是一个完整信息系统的组成部分，是风险评估的对象。 威胁（Threat） 可能导致对系统或组织的损害的不期望事件发生的潜在原因 脆弱性（Vulnerability）可能会被一个或多个威胁所利用的资产或一组资产的弱点 风险分析原理 资产识别与分类 资产例子——信息资产 资产例子——纸质文件 资产例子——纸质文件 资产例子——软件资产 资产例子——软件资产 资产例子——实体资产 资产例子——实体资产 资产例子——服务 其他资产例子1 其他资产例子2 7.1.2　资产责任人 指定部门或人员承担责任。 资产责任人应负责： 确保与信息处理设施相关的信息和资产进行了适当的分类； 确定并周期性评审访问限制和分类，要考虑到可应用的访问控制策略。 所有权可以分配给： 业务过程； 已定义的活动集； 应用； 已定义的数据集。 其它信息 日常任务可以委派给其他人，例如委派给一个管理人员每天照看资产，但责任人仍保留职责。 在复杂的信息系统中，将一组资产指派给一个责任人，可能是比较有用的，它们一起工作来提供特殊的“服务”功能。在这种情况下，服务责任人负责提供服务，包括资产本身提供的功能。 信息资产识别表样版 信息安全的属性 资产机密性赋值表 资产完整性赋值表 资产可用性赋值表 -END- myulo:企业管理实战专家 * 直接损失：（水上面的部分） 损失了数据 间接损失（5~30倍直接损失） 损失了时间 替代成本 法律费用 声誉受损 丢失了潜在业务 生产力受损 依赖 拥有 被满足 抗击 利用 暴露 降低 增加 增加 增加 导出 演变 未被满足 未控制 可能诱发 残留 成本 业务战略 资产 威胁 安全需求 事件 残余风险 安全措施 资产价值 脆弱性 风险 资产识别 脆弱性识别 威胁识别 价值 严重程度 出现的频率 损失 可能性 风险值 纸质的各种文件、传真、电报、财务报告、发展计划等 文档 办公服务、网络服务、信息服务等 服务 各级人员 人员 网络设备、计算机设备、存储设备、移动存储设备、传输线路、保障设备、安全保障设备、其他电子设备等 硬件 系统软件、应用软件、源程序、数据库等 软件 存在信息媒介上的各种数据资料，包括源代码、数据库数据、系统文档、运行管理规程、计划、报告、用户手册等 数据 市场销售 培训资料 服务器 邮件 市场销售 销售代理清单 服务器 金碟财务记录 服务器 供应商清单-Access数据库 服务器 销售合同-Access数据库 服务器 股票控制记录 服务器 区域销售合同 服务器 采购合同表-订约人 服务器 采购合同表-供应商 服务器 薪资方案表 资产编号 所有者/位置 资产 市场销售 客户信息 财务 合同发票 财务 账单 财务 银行声明 市场销售 销售合同 物流 销售合同 区域经理 销售合同（信用卡） 财务 销售合同（信用卡） 财务 预算 财务 财务合同 市场销售 供应商合同 物流 供应商合同 财务 供应商合同 资产编号 所有者/位置 资产 市场销售 个人文件 市场销售 客户信息 物流 供应商清单 物流 快信投寄单 物流 外包服务合同 财务 公司介绍 市场销售 信件 财务 信件 财务 退税 资产编号 所有者/位置 资产 市场销售×2 Microsoft PowerPoint 2000 物流×5 Microsoft PowerPoint 2000 财务×3 Microsoft PowerPoint 2000 市场销售×2 Microsoft Access 2000 货仓 Microsoft Access 2000 物流×5 Microsoft Access 2000 财务×3 Microsoft Access 2000 市场销售×2 Microsoft Word 2000 物流×5 Microsoft Word 2000 财务×3 Microsoft Word 2000 市场销售 Windows98 operating system 货仓 Windows98 operating system 物流×5 Windows98 operating system 财务×3 Windows98 operating system 资产编号 所有者/位置 资产 服务器 Pretty Good Privacy 货仓 金碟K3仓储软件 市场销售 PC Anywhere远程监控 服务器 PC An