安全风险评估之信息资产赋值.docx

信息资产赋值定义 1.为什么要进行信息资产的赋值？ 在完成信息资产的识别形成完整的信息资产表之后， 来对风险值的计算， 有必要对资产的价值进行评估， 还要考虑其业务的相关性和一定条件下的潜在价值。 为了明确对资产的保护， 同时为了接下 其价值大小不仅仅是考虑其自身的价值， 资产价值常常是以安全事件发生时所 产生的潜在业务影响来衡量，安全事件会导致资产机密性、完整性和可用性的损失 ，从而 导致企业资金、 市场份额、企业形象的损失。 为了资产评估的一致性与准确性，我们建立一 套资产价值的评估标准， 对每一种资产和每一种可能的损失， 例如机密性、 完整性和可用性 的损失，都可以赋予一个价值。 但采用精确的方式给资产赋值是较困难的一件事，一般采 用定性的方式，按照资产的价值评估标准将资产的价值划分为不同等级 。经过资产的识别 与估价后，组织应根据资产价值大小，进一步确定要保护的关键资产。 在评估过程， 为了保证没有资产被忽略和遗漏，应该先确定信息安全体系范围，建立资产 的评审边界 。 评估资产最简单的方式是列出组织业务过程中、 安全管理体系范围内所有具有 价值的资产， 然后对资产赋予一定的价值， 这种价值应该反映资产对组织业务运营的重要性， 并以对业务的潜在影响程度表现出来。例如，资产价值越大，由于泄露、修改、损害、不可 用等安全事件对组织业务的潜在影响就越大。 基于组织业务需要的资产的识别与估价， 是建 立信息安全体系，确定风险的重要一步。 2.如何进行信息资产赋值？ 在对资产赋予价值时， 一方面要考虑资产购买成本及维护成本， 另一方面主要考虑当这种资 产的机密性、 完整性、 可用性受到损害时， 对业务运营的负面影响程度。 在信息安全管理中， 并不是直接采用资产的账面价值，而是采用以定性分级的方式建立资产的相对价值， 以相 对价值来作为确定重要资产的依据和为这种资产的保护投入多大资源的依据。 对资产的赋值不仅要考虑资产本身的价值， 更重要的是要考虑资产的安全状况对于组织 的重要性， 即由资产在其 CIA 三个安全属性上的达成程度决定 。 依据 CIA 属性分级的标准对 资产在机密性、 完整性和可用性上的达成程度进行分析， 并在此基础上得出一个综合结果— —信息资产的价值。 赋值五分法 资产赋值 5 4 3 2 1 标识 很高 高 中等 低 很低 C－机密性 包含组织最重要的秘密， 关系未来发展的前途命 运，对组织根本利益有着 决定性影响，如果泄漏会 造成灾难性的损害 （如企 密 AAA） 包含组织的重要秘密，其 泄露会使组织的安全和利 益遭受严重损害（如企密 AA） 包含组织的一般性秘密， 一般仅能在组织某一或几 个部门内部公开 , 其泄露 会使组织的安全和利益受 到损害（如企密 A） 包含组织较低级别秘密 , 仅能在组织内部公开的信 息，向外扩散有可能对组 织的利益造成损害 包含可对社会公开的信 息，公用的信息处理设备 和系统资源等 I －完整性 完整性价值非常关键，未 经授权的修改或破坏会对 组织造成重大的或无法接 受的影响，对业务冲击重 大，并可能造成严重的业 务中断，难以弥补 完整性价值较高，未经授 权的修改或破坏会对组织 造成重大影响，对业务冲 击严重，比较难以弥补 完整性价值中等，未经授 权的修改或破坏会对组织 造成影响，对业务冲击明 显，但可以弥补 完整性价值较低，未经授 权的修改或破坏会对组织 造成轻微影响， 可以忍受， 对业务冲击轻微，容易弥 补 完整性价值非常低，未经 授权的修改或破坏对组织 造成的影响可以忽略，对 业务冲击可以忽略 A－可用性 可用性价值非常高，合法 使用者对信息及信息系统 的可用度达到年度 99.9% 以上 可用性价值较高，合法使 用者对信息及信息系统的 可用度达到每天 90%以上 可用性价值中等，合法使 用者对信息及信息系统的 可用度在正常工作时间达 到 70%以上 可用性价值较低，合法使 用者对信息及信息系统的 可用度在正常工作时间达 到 25%以上 可用性价值可以忽略，合 法使用者对信息及信息系 统的可用度在正常工作时 间低于 25% 不同资产对应的赋值原则 资产赋值 标识