原创力文档- 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
- 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 4、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 5、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 6、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 7、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
第六课 资产识别
本课目录
本课目录
1、资产概念
2、资产识别重要性
3、资产识别准备
4、实施资产识别及确认
5、资产赋值及确认
中中国国信信息息安安全全认认证证中中心心
2 信信息息安安全全保保障障人人员员认认证证
第六课资产识别
第六课
资产识别
中国信息安全认证中心信息安全保障人员认证PAGE
中国信息安全认证中心信息安全保障人员认证
PAGE10
一、概念:
1、资产:风险评估中的资产,是指信息系统的组成部分,是风险评估的对象。
一个信息系统的资产包括:
物理资产:包括服务器设备、终端设备、网络设备及其它设备等。
软件资产:包括系统软件、业务应用软件、办公自动化软件及其它应用软件等。
数据资产:包括系统数据、业务数据、办公数据、技术文档数据及其它数据等。
其他资产:包括组织机构的人力、声誉等。
2、资产识别:
资产识别就是测评或评估人员,按照技术方案中确定的范围,依次识别出被测(评估)组织及信息系统的物理、软件、数据及其它层面中的重要资产的活动。
资产识别包括三个步骤:
资产识别准备
资产识别实施
识别资产确认
资产赋值
中国信息安全认证中心信息安全保障人员认证PAGE
中国信息安全认证中心信息安全保障人员认证
PAGE5
?第六课 资产识别
?
3、资产识别在风险评估流程图中的位置
评估过程
评估过程
文档
评估过程
文档
Yes 风险是否接受
No
制定和实施风险处理计划并评估残余风险
No
是否接受残余风险
评估过程
Yes 文档
保持已有的安全措施
已有安全措施确认
脆弱性识别
资产识别
威胁识别
风险评估准备
实施风险管理
风险计算
第六课资产识别
第六课
资产识别
二、资产识别的重要性:
从风险评估流程图(见上页)中可以看出,资产识别是风险评估实施阶段的第一步,是风险评估的基础性工作,也是非常重要的工作。
只有完整、准确地识别出被测组织的资产,评估才能顺利地进行下去,得出可靠的评估结果。
该项工作看似简单,但如果不能严谨、一丝不苟地做,可能漏掉某些资产,导致项目返工,轻则延迟项目工期,重则导致评估结果的真实性和可靠性缺失,造成结果无用,项目失败,甚至引起法律纠纷。
三、资产识别准备
1、资产识别工具,包括资产识别列表(模板)、资产CIA三性等级表(模板)、资产CIA价值表(模板)、网络爬虫软件等。
2、资产识别需求资料清单,需要被服务方按清单提供相关的文档、手册、白皮书、网络拓补图等资料。
?
* 资产识别列表(模板)、资产CIA三性等级表(模板)等在
下面列出。
xxx项目xxx系统资产识别调研表(模板)
资产类别
资产子类
资产名称
型号
寿命/保密期
使用年限
……
物理资产
服务器设备
终端设备
网络设备
其它设备
软件资产
系统软件
业务应用软件
办公自动化软件
及其它应用软件
数据资产
系统数据
业务数据
办公数据
技术文档数据
其它数据
其他资产
组织机构的人力
组织机构的声誉
例:资产CIA三性等级表
资产编号
资产名称
安全属性赋值
保密性
完整性
可用性
1
核心交换机
3
5
5
2
Internet防火墙
3
5
5
3
流控设备
3
4
4
4
门户网站服务器
3
4
4
5
Xxx管理系统服务器
3
4
4
6
门户网站数据库
3
4
4
7
Xxx库管理系统数据库
4
4
4
8
门户网站中间件
3
4
4
……
……
例:资产CIA价值表
资产编号
资产名称
安全属性赋值
权值
资产价值
资产重要性
保密性
完整性
可用性
保密性
完整性
可用性
1
核心交换
机
3
5
5
0.2
0.4
0.4
4.6
很高
2
Internet防火墙
3
5
5
0.2
0.4
0.4
4.6
很高
3
4
。。。
。。。
5
四、资产识别并确认
1、预先将系统资产识别调研表发往被测组织,限时反馈。
?
2、在得到系统资产识别调研表的反馈后,梳理被测组织的管理
和技术等各种资产,并进行及时有效的沟通。
3、在被测组织的安全人员和资产管理人员的协助下,到被测组织的机房、实验室、办公场所等处进行资产现场确认,形成被测组织的资产列表。
五、资产赋值并确认
1、依据资产CIA三性等级表、资产CIA价值表,检测评估人员对被测组织的资产进行分析、计算并赋值,形成资产赋值列表。
2、资产赋值列表经被测组织相关人员复核及确认后,形成资产赋值
列表。
3、如果在检测评估过程中发现漏掉的资产、或新增加的资产,应及时修正、补充被测组织的资产列表和资产赋值列表。
谢谢!
您可能关注的文档
- 商用密码应用安全性评估量化评估规则.pdf
- 11 - 风险评价风险管理课件.docx
- 4 - 风险管理框架风险管理课件高校辅导员考试.docx
- 12 - 风险处置-监视评审风险管理课件.docx
- 10 - 风险分析风险管理课件.docx
- 【产品彩页】山石智感网络威胁检测与响应(NDR)BDS产品彩页v5.5_25.6.30 (1).pdf
- 5 - 项目启动风险管理课件高校辅导员考试.docx
- 3 - 风险管理原则风险管理课件高校辅导员考试.docx
- 2.信息确认及准考证打印平台操作手册.pdf
- 002-意大利《数据保护法》-英文翻译.docx
- 内蒙古自治区鄂尔多斯市第一中学2025-2026学年第一学期高一年级学业诊断检测12月月考语文试卷含答案.pdf
- 四川省2025-2026学年高三上学期12月阶段性自测地理试卷含答案.pdf
- 林区蓄水池防火配套建设指南.ppt
- 四川省2025-2026学年高三上学期12月阶段性自测历史试卷含答案.pdf
- 云南省2025-2026学年高三上学期12月阶段性自测地理试卷含答案.pdf
- 火灾区域生态修复实施指南.ppt
- 云南省2025-2026学年高三上学期12月阶段性自测历史试卷含答案.pdf
- 云南省2025-2026学年高三上学期12月阶段性自测日语试卷含答案.pdf
- 2025年水产养殖科技合作协议(鱼苗).docx
- 2025年水产养殖苗种繁育合作协议协议.docx
最近下载
- 2024年部编版初中语文古诗词必背81篇.doc VIP
- 装修方案审查报告.docx VIP
- Futaba GY701 使用手册说明书.pdf
- 2025年上海市春考语文真题试卷(详析版).docx VIP
- 农电工考试题目及答案.doc VIP
- DB13(J)T 8486-2022 装配式建筑施工安全技术规范(京津冀).pdf VIP
- DB13(J)T 8505-2022 历史建筑修缮与利用技术标准.pdf VIP
- DB13(J)T 8540-2023 地源热泵系统工程技术标准.pdf VIP
- 肿瘤科疑难护理病例讨论.pptx VIP
- 辽宁省大连市2024_2025学年高一生物上学期期末考试试题.doc VIP
文档评论(0)