网络信息系统安全管理 PPT课件5.pptVIP

资产识别与重要性评估 风险评估和管理过程 按照定量分析的思想，资产评价时应该考虑： 信息资产因为受损而对业务造成的直接损失 信息资产恢复到正常状态所付出的代价，包括检测、控制、修复时的人力和物力 信息资产受损对其他部门的业务造成的影响 组织在公众形象和名誉上的损失 因为业务受损导致竞争优势降级而引发的间接损失 其他损失，例如保险费用的增加 定性分析时，关心资产对组织的重要性或其敏感程度，即由于资产受损而引发的潜在的业务影响或后果。 可根据资产的重要性（影响或后果）来为资产划分等级，同时应该考虑CIA三方面受损可能引发的后果。 资产评价常采用定性的方法。 资产识别与重要性评估 风险评估和管理过程 资产的价值和其机构/业务紧密关联 为保证资产评价的一致性和准确性，应该由资产的所有者、使用者提供已识别资产的赋值信息 资产估价的尺度和准则主要依赖于机构的安全需求、规模以及其它特殊因素 各机构应该建立一个资产评估标准，即根据资产的重要性划分等级的一个尺度 资产识别与重要性评估 风险评估和管理过程 名称 等级 1 可忽略 最小程度的经济损失，并不影响整个程序或运营结果（例如只限于极少数的产品、服务或成员），对机构和人员不构成负面影响。 2 较小 少量经济损失，对整个程序或运营结果有较小的影响（例如，实际上只限于少数产品、服务或成员），批评只影响到经理或客户，对职员或整个士气有最低程度的影响。