信息资产识别与分类.pptxVIP

ISO27001信息资产识别与分类myulo:企业管理实战专家信息平安事件损失估算直接损失：〔水上面的局部〕损失了数据间接损失〔5~30倍直接损失〕损失了时间替代本钱法律费用声誉受损丧失了潜在业务生产力受损信息平安评估标准国外标准信息技术平安性评估准则ISO15408，GB/T18336ISO13335信息平安管理标准信息平安管理标准ISO17799国内标准信息平安风险评估指南 风险管理各要素之间的关系业务战略依赖资产价值脆弱性暴露资产拥有增加未被满足本钱利用增加平安需求威胁增加风险导出残留演变抗击被满足降低剩余风险事件平安措施可能诱发未控制风险评估的相关术语资产〔Asset〕任何对组织有价值的东西，是一个完整信息系统的组成局部，是风险评估的对象。威胁〔Threat〕 可能导致对系统或组织的损害的不期望事件发生的潜在原因脆弱性〔Vulnerability〕可能会被一个或多个威胁所利用的资产或一组资产的弱点资产识别价值损失风险值脆弱性识别严重程度可能性威胁识别出现的频率风险分析原理资产识别与分类数据存在信息媒介上的各种数据资料，包括源代码、数据库数据、系统文档、运行管理规程、计划、报告、用户手册等软件系统软件、应用软件、源程序、数据库等硬件网络设备、计算机设备、存储设备、移动存储设备、传输线路、保障设备、安全保障设备、其他电子设备等文档纸质的各种文件、传真、电报、财务报告、发展计划等人员各级人员服务办公服务、网络服务、信息服务等资产例子——信息资产资产例子——纸质文件资产例子——纸质文件资产例子——软件资产资产例子——软件资产资产例子——实体资产资产例子——实体资产资产例子——效劳其他资产例子1其他资产例子27.1.2　资产责任人指定部门或人员承担责任。资产责任人应负责：确保与信息处理设施相关的信息和资产进行了适当的分类；确定并周期性评审访问限制和分类，要考虑到可应用的访问控制策略。所有权可以分配给：业务过程；已定义的活动集；应用；已定义的数据集。其它信息日常任务可以委派给其他人，例如委派给一个管理人员每天照看资产，但责任人仍保存职责。在复杂的信息系统中，将一组资产指派给一个责任人，可能是比较有用的，它们一起工作来提供特殊的“效劳〞功能。在这种情况下，效劳责任人负责提供效劳，包括资产本身提供的功能。信息资产识别表样版保密性Confidentiality安全完整性integrity可用性Availability信息平安的属性资产机密性赋值表赋值标识定 义5极高包含组织最重要的秘密，关系未来发展的前途命运，对组织根本利益有着决定性影响，如果泄漏会造成灾难性的损害 4高包含组织的重要秘密，其泄露会使组织的安全和利益遭受严重损害3中等包含组织的一般性秘密，其泄露会使组织的安全和利益受到损害2低包含仅能在组织内部或在组织某一部门内部公开的信息，向外扩散有可能对组织的利益造成损害1可忽略包含可对社会公开的信息，公用的信息处理设备和系统资源等资产完整性赋值表赋值标识定 义5极高完整性价值非常关键，未经授权的修改或破坏会对组织造成重大的或无法接受的影响，对业务冲击重大，并可能造成严重的业务中断，难以弥补4高完整性价值较高，未经授权的修改或破坏会对组织造成重大影响，对业务冲击严重，比较难以弥补3中等完整性价值中等，未经授权的修改或破坏会对组织造成影响，对业务冲击明显，但可以弥补2低完整性价值较低，未经授权的修改或破坏会对组织造成轻微影响，可以忍受，对业务冲击轻微，容易弥补1可忽略完整性价值非常低，未经授权的修改或破坏对组织造成的影响可以忽略，对业务冲击可以忽略资产可用性赋值表赋值标识定 义5极高可用性价值非常高，合法使用者对信息及信息系统的可用度达到年度99.9%以上4高可用性价值较高，合法使用者对信息及信息系统的可用度达到每天90%以上3中等可用性价值中等，合法使用者对信息及信息系统的可用度在正常工作时间达到70%以上2低可用性价值较低，合法使用者对信息及信息系统的可用度在正常工作时间达到25%以上1可忽略可用性价值可以忽略，合法使用者对信息及信息系统的可用度在正常工作时间低于25%-END-Thank You !myulo:企业管理实战专家