信息资产识别与分类(ppt26页)分析.pptVIP

ISO27001信息资产识别与分类 myulo:企业管理实战专家 信息安全事件损失估算 信息安全评估标准 国外标准 信息技术安全性评估准则ISO15408，GB/T18336 ISO13335信息安全管理规范 信息安全管理标准ISO17799 国内标准 信息安全风险评估指南 风险管理各要素之间的关系 风险评估的相关术语 资产（Asset）任何对组织有价值的东西，是一个完整信息系统的组成部分，是风险评估的对象。 威胁（Threat） 可能导致对系统或组织的损害的不期望事件发生的潜在原因 脆弱性（Vulnerability）可能会被一个或多个威胁所利用的资产或一组资产的弱点 风险分析原理 资产识别与分类 资产例子——信息资产 资产例子——纸质文件 资产例子——纸质文件 资产例子——软件资产 资产例子——软件资产 资产例子——实体资产 资产例子——实体资产 资产例子——服务 其他资产例子1 其他资产例子2 7.1.2　资产责任人 指定部门或人员承担责任。 资产责任人应负责： 确保与信息处理设施相关的信息和资产进行了适当的分类； 确定并周期性评审访问限制和分类，要考虑到可应用的访问控制策略。 所有权可以分配给： 业务过程； 已定义的活动集； 应用； 已定义的数据集。 其它信息 日常任务可以委派给其他人，例如委派给一个管理人员每天照看资产，但责任人仍保留职责。 在复杂的信息系统中，将一