安全风险评估之信息资产赋值.pdf

信息资产赋值定义 1.为什么要进行信息资产的赋值？ 在完成信息资产的识别形成完整的信息资产表之后， 为了明确对资产的保护， 同时为了接下 来对风险值的计算， 有必要对资产的价值进行评估， 其价值大小不仅仅是考虑其自身的价值， 还要考虑其业务的相关性和一定条件下的潜在价值。 资产价值常常是以安全事件发生时所 产生的潜在业务影响来衡量，安全事件会导致资产机密性、完整性和可用性的损失 ，从而 导致企业资金、 市场份额、企业形象的损失。 为了资产评估的一致性与准确性，我们建立一 套资产价值的评估标准， 对每一种资产和每一种可能的损失， 例如机密性、 完整性和可用性 的损失，都可以赋予一个价值。 但采用精确的方式给资产赋值是较困难的一件事，一般采 用定性的方式，按照资产的价值评估标准将资产的价值划分为不同等级 。经过资产的识别 与估价后，组织应根据资产价值大小，进一步确定要保护的关键资产。 在评估过程， 为了保证没有资产被忽略和遗漏，应该先确定信息安全体系范围，建立资产 的评审边界 。评估资产最简单的方式是列出组织业务过程中、 安全管理体系范围内所有具有 价值的资产， 然后对资产赋予一定的价值， 这种价值应该反映资产对组织业务运营的重要性， 并以对业务的潜在影响程度表现出来。例如，资产价值越大，由于泄露、修改、损害、不可 用等安全事件对组织业务的潜在影响就越大。 基于组织业务需要的资产的识别与估价， 是建 立信息安全体系，确定风险的重要一步。 2.如何进行信息资产赋值？ 在对资产赋予价值时， 一方面要考虑资产购买成本及维护成本， 另一方面主要考虑当这种资 产的机密性、 完整性、 可用性受到损害时， 对业务运营的负面影响程度。 在信息安全管理中， 并不是直接采用资产的账面价值，而是采用以定性分级的方式建立资产的相对价值， 以相 对价值来作为确定重要资产的依据和为这种资产的保护投入多大资源的依据。 对资产的赋值不仅要考虑资产本身的价值， 更重要的是要考虑资产的安全状况对于组织 的重要性， 即由资产在其 CIA 三个安全属性上的达成程度决定 。依据 CIA 属性分级的标准对 资产在机密性、 完整性和可用性上的达成程度进行分析， 并在此基础上得出一个综合结果— —信息资产的价值。 赋值五分法 资产赋值 标识 C－机密性 I －完整性 A－可用性 包含组织最重要的秘密， 完整性价值非常关键，未 可用性价值非常高，合法 关系未来发展的前途命 经授权的修改或破坏会对 使用者对信息及信息系统 运，对组织根本利益有着 组织造成重大的或无法接 的可用度达到年度 99.9% 5 很高 决定性影响，如果泄漏会 受的影响，对业务冲击重 以上 造成灾难性的损害 （如企 大，并可能造成严重的业 密 AAA） 务中断，难以弥补 包含组织的重要秘密，其 完整性价值较高，未经授 可用性价值较高，合法使