(完整word版)资产和资产风险等级划分准则.docxVIP

资产和资产风险等级划分准则 一、 资产的分类 分类 一般描述 包括各种业务相关的电子类的文件资料，可按照部门现有文件明细列举，或者根据部门业 务流程从头至尾列举，列举时尽量按照确定的纬度来分类，比如按照职能，或者按照业务 流程的不同环节。要求识别的是分组或类别，不要具体到特定的单个文件。数据资料的列 信息资 举和分组应该以业务功能和保密性要求为主要考虑，也就是说，识别出的数据资料应该具 产 有某种业务功能，此外，还应该重点考虑其保密性要求。本部门产生的以及其他部门按正 常流程交付过来供本部门使用的，都在列举范畴内。本部门尽量清晰，来自外部门的可以 按照比较宽泛的类别来界定。 各种本部门安装使用的软件，包括系统软件、应用软件（有后台数据库并存储应用数据的 软件资 软件系统）、工具软件（支持特定工作的软件工具）、桌面软件（日常办公所需的桌面软 产 件包）等。所列举的软件应该与产生、支持和操作已识别的数据资产有直接关系。 书面文 合同，公司文件，企业成果，人事文档，培训文档，采购文件，发票，政府下达的文件， 档 也包括各类电子数据的归档件、打印件、复印件、书面管理文件等。 与业务相关的 IT 物理设备。如产生数据类服务器、笔记本计算机、 PC 机、打印机、复印 实体资 机、等）、通讯传输设备（路由器、防火墙等）、记录存储媒体（ U 盘、光盘、移动硬盘 产 等） 支持设 监控设备，门禁，暖气，供水，空调，报警，发电机 施 承担某项与业务活动相关责任的角色和职位。例如总经理、部门经理、网络管理员、固定 人员 资产管理员、业务主管、系统管理员、软件开发人员、清洁员、普通员工等，这些人员与 各类数据、软件和实物资产的操作直接相关。 公司形 象和名 影响公司形象及名誉的各种事件或信息。 誉 资产的分级标准 资产的等级通过资产的机密性 （ C）、完整性（ I）和可用性 (A) 三个因素表现。 计算公式为：机密性价值（ C）＋完整性价值（ I）＋可用性价值（ A） 每个因素的判定标准如下： 取值标准描述 取 等级 保密性 Confidentiality 完整性 Integrity 可用性 Availability 值 一般资产 人员 一般资产 人员 一般资产 人员 最高敏感性 的 数 据 文 如 果 该 人 未经授权的 件、信息处 员 未 正 确 合法使用者 突 然 缺 破坏或更改 理设施和系 可 以 接 执 行 其 职 对信息系统 席，会造 将会对信息 Top 统资源，仅 触 / 存 务内容， 将 及信息的存 成公司日 Very 系统有非常 4 Secret 能被极少数 取 各 个 造 成 公 司 取可用度达 常运营的 High 重 大 的 影 绝密 人知道。一 级 别 的 级 业 务 运 到年度每天 停顿或造 响，可能导 旦泄漏会给 信息 作 效 率 大 99.9% 以 上 成重大影 致严重的业 公司带来特 大 降 低 或 （ 7*24 ） 响 务中断 别严重的损 停顿 害后果 重 要 的 信 可 以 接 未经授权的 如 果 该 人 合法使用者 突 然 缺 Secret 息、信息处 触 / 存 破坏或更改 员 未 正 确 对信息系统 席，会造 High 3 机密 理设施和系 取 最 高 对信息系统 执 行 其 职 及信息的存 成公司某 统资源，只 到 机 密 有 重 大 影 务内容， 将 取可用度达 项业务的 能给少数必 级 的 信 响，而且（或 须 知 道 者 息 者）对业务 （特定的任 造成严重冲 务群体）。 击 一旦泄漏会 对公司造成 严重的损害  造 成 单 位 / 到每天 95% 停顿或造 部 门 之 业 以上（ 7*24 ） 成重大影 务 运 作 效 响 率 降 低 或 停顿 可 以 接 未经授权的 如 果 该 人 突 然 缺 合法使用者 触 / 存 破坏或更改 员 未 正 确 席，会造 一般性的公 对信息系统 取 公 司 会对信息系 执 行 其 职 成公司某 Confid 司秘密，泄 及信息的存 Middl 一 般 性 统造成一定 务内容， 将 个项目或 2 ential 漏后会给公 取可用度在 e 的 秘 密 的影响，而 造 成 相 关 某项工作 秘密 司造成一定 正常上班时 信 息 和 且（或者） 工 作 任 务 的停顿或 的损害 间 达 到 内 部 公 给业务带来 效 率 降 低 造成负面 100%（ 5*8） 开信息 明显冲击 或停顿 影响 并非敏感信 Interna 息，主要限 l Use 于公司内部 Low 1 Only 使用。一旦 内 部公 泄漏，并不 开 会对公司造 成显著的影  未经授权的 可 以 接 破坏或更改 / 存 不会对信息取 内 部 系统有重大公