第三讲 信息资产的分类与控制
从统计数据我们可以分析出,目前在用户中普遍比较流行的信息资产保护观点是:通过部署防病毒软件、防火墙及入侵检测系统等边界保护与检测设备来保护储存在计算机中的数据资产免受非法入侵。
然而信息资产真的只是储存在计算机中的数据吗?
英国泰晤士报曾对企业中知识的储存方式做了一个调查,结果发现在一个企业的知识结构中,26%的知识以纸质文件的形式储存,20%的知识以电子文件存储,42%的知识储存在员工的头脑中,12%以其他形式存在。
Ernst &Young在2002年经过调查发现:国家政府和军队信息受到的攻击70%来自外部,而银行和企业信息受到的攻击70%来自于内部。中国国家信息安全测评认证中心提供的调查结果也得出了相似的结论。
这就是说我们花了绝大部分的钱,保护了只占信息资产20%的数据资产!而且我们的技术手段还谈不上100%地有效保护这20%的数据资产。
也许,我们应该重新定义一下什么是信息资产了。
二、什么是信息资产?
信息可以理解为消息、情报、数据或知识,它可以以多种形式存在,可以是组织中信息设施中存储与处理的数据、程序,可以是打印出来的或写出来的论文、电子邮件、设计图纸、业务方案,也可以显示在胶片上或表达在会话中消息。所有的组织都有他们各自处理信息的形式,例如,银行、保险和信用卡公司都需要处理消费者信息,卫生保健部门需要管理病人信息,政府管理部门存储机密的和分类信息。
ISO17799列出了常见信息资产有:
●数据与文档:数据库和数据文件、系统文件、用户手册、培训材料、运行与支持程序、业务持续性计划、应急安排
●书面文件:合同、指南、企业文件、包含重要业务结果的文件。
●软件资产:应用软件、系统软件、开发工具和实用程序
●物理资产:计算机、通讯设备、磁介质(磁盘与磁带),其他技术设备(供电设备、空调设备)、家具、办公场所
●人员:员工、客户
●企业形象与声誉
●服务:计算和通讯服务,其他技术服务(供热、照明、电力、空调)
组织在实施ISO17799时,不一定要拘泥于以上资产类型,还可以列出适合自身需要的其他信息资产。
下面我们结合ISO17799在这个领域的措施目标与措施,来详细讨论如何识别信息资产,并进行科学而有效的分类,然后在各个管理层对资产落实责任,进行恰当的管理。
|
|
三、控制目标与控制措施
1、控制目标-落实资产责任
目标:为组织的资产提供适当的保护。
应当为所有主要财产确定所有权人,并且为维护适当的管理措施而分配责任。可以委派执行这些管理计划的责任。被提名的资产所有者应当承担保护资产的责任。
l控制措施-资产的清单
应该列出并维持一份与每个信息系统有关的所有重要资产的清单。
在信息安全体系范围内为资产编制清单是一项重要工作,每项资产都应该清晰地定义,合理地估价,在组织中明确资产所有权关系,进行安全分类,并以文件方式详细记录在案。
具体的措施如下:
2组织可根据业务运作流程和信息系统基础架构识别出信息资产,按照信息资产所属系统或所在部门列出资产清单,将每项资产的名称、所处位置、价值、资产负责人等相关信息记录在资产清单上。
2根据资产的相对价值大小来确定关键信息资产,并对其进行风险评估以确定适当的控制措施。
2对每一项信息资产,组织的管理者应指定专人负责其使用和保护,防止资产被盗、丢失与滥用。
2定期对信息资产进行清查盘点,确保资产账物相符和完好无损
以上措施中,确定资产的价值是难点,信息资产的价值不仅仅要考虑其自身的价值,还要考虑其对业务的重要性和一定条件下的潜在价值。比如:以同样价格的购买了二台同样配置的服务器,一台用于办公自动化,另一台用于处理财务总帐数据,这二台服务器的账面价值虽然一样,但作为信息资产进行评估时,其信息资产价值是不一样的,用于财务处理的服务器的相对价值一般要大于办公自动化服务器的相对价值。
资产价值常常是以安全事件发生时所产生的潜在业务影响来衡量,安全事件会导致资产机密性、完整性和可用性的损失,从而导致企业资金、市场份额、企业形象的损失。为了资产评估的一致性与准确性,组织应当建立一个资产的价值评估标准,对每一种资产和每一种可能的损失,例如机密性、完整性和可用性的损失,都可以赋予一个价值。
但采用精确的方式给资产赋值是较困难的一件事,一般采用定性的方式,按照事前建立的资产的价值评估标准将资产的价值划分为不同等级。
经过资产的识别与估价后,组织应根据资产价值大小,进一步确定要保护的关键资产。
在评估过程,为了保证没有资产被忽略和遗漏,应该先确定信息安全管理体系范围,这样资产的评审边界就建立起来了。评估资产最简单的方式就是列出组织业务过程中、安全管理体系范围内所有具有价值的资产,然后对资产赋予一定的价值,这种价值应该反映资产对组织业务运营的重要性,并以对业务的潜在影响程度表现出来。例如,资产价值越大,由于泄露、修改、损害、不可用等安全事件对组织业务的潜在影响就越大。基于组织业务需要的资产的识别与估价,是建立信息安全体系,确定风险的重要一步。
资产的价值应当由资产的所有者和相关用户来确定,只有他们才最清楚资产对组织业务的重要性,才能较准确地评估出资产的实际价值。
在对资产赋予价值时,一方面要考虑资产购买成本及维护成本,另一方面也要考虑当这种资产的机密性、完整性、可用性受到损害时,对业务运营的负面影响程度。在信息安全管理中,并不是直接采用资产的账面价值,比较实用的做法是以定性分级的方式建立资产的相对价值,以相对价值来作为确定重要资产的依据和为这种资产的保护投入多大资源的依据。
这种定性分级可以参照下表所示的方式:
资产定性分级表
|
||||||||
|
目标:确保信息资产得到适当程度的保护
应当将信息分类,指出其安全保护的具体要求、优先级和保护程度。
不同信息有不同的敏感性和重要性。有的信息资产可能需要额外保护或者特殊处理。
应当采用信息分类系统来定义适当的安全保护等级范围,并传达特殊处理措施的需要。
为信息标识和处理定义一个符合组织分类标准的处理程序是非常重要的。这些程序要涵盖实物形式和电子形式的信息。对于每种分类,应当包含以下信息处理活动的程序:
2复制
2存储
2通过邮局、传真和电子邮件的信息发送
2通过口头语言的信息传递,包括通过移动电话、语音邮件和录音电话传送的信息。
2销毁
对于那些含有被划定为敏感或者重要信息的应用系统,其输出应当带有适当的分类标识。该标识应当反映根据组织规则而建立的分类。需要考虑的项目包括打印的报告、屏幕显示、存储介质(磁带、磁盘、CD、卡式盒带)、电子消息和文档传输。
一般来说,物理标识是最合适的标识形式,一些信息资产例如电子文档无法加上物理标识时,可以采用电子标识。
下面是一个简化的信息敏感性分类策略的案例,供读者参考:
1.0 目标
制定信息敏感性分类政策是为了帮助员工判断什么样的信息的可以向非组织成员开放,什么样的信息属于敏感信息,未经适当授权不得向外界透露。这里所提到的信息是指通过任何方式存储与共享的信息,包括:电子信息、纸质信息和以声音或视频方式共享的信息(如:电话、视频会议)等。
所有员工都应当熟悉本政策规定的敏感信息分类标签办法和敏感信息管理指南。员工可以根据分类定义标准和管理指南来保护信息,另一方面也可以采用通用最佳实践的办法来保护公司的机密信息。(例如,员工不应该把ABC公司的机密信息遗留在无人值守的会议室里)
2.0 范围
ABC公司的所有信息可以分成两种类型:公开信息与机密信息。
公开信息是由公司内的授权人员宣布可公开的信息,这些可公开的信息不会对公司的信息安全造成损害。
机密信息是指公司内部所有不可公开的信息,这些信息属于敏感信息,需要以安全的方式加以保护。有些敏感信息需要非常仔细地加以保护,例如:商业机密,研发程序,潜在收购对象以及其他对ABC公司具有重要商业价值的数据。有些敏感信息比如电话号码薄,公司一般性信息,人事情况等,只需采用一般的保护措施,不需要像前一种数据那样严格。
3.0
策略
下面的管理指南介绍如何在不同的敏感级别下保护公司信息(硬拷贝形式及电子格式的信息标签指南)。这些指南仅作为一个参考,在不同的环境条件下,每一种敏感级别下推荐的信息保护办法可能或多或少地会有一些变化。
3.1 最小敏感性信息:公司的一般信息、一部分不重要的人事与技术信息。
“ABC机密”,除非由公司授权人员明确地宣布为公开信息。
最小敏感性信息分类及管理策略如下:(略)
3.2 比较敏感的信息:公司的业务、财务、技术信息、大部分人事信息。
由于敏感程度增加了,在对信息资产做标注时,应在显著位置写上“ABC机密-内部使用”。
比较敏感性信息分类及管理策略如下:(略)
3.3 非常敏感的信息:影响公司成功的核心商业机密、运营信息、人事信息、财务信息、技术信息、源代码等。
本文转自zrxin 51CTO博客,原文链接:http://blog.51cto.com/trustsec/124477,如需转载请自行联系原作者
第三讲 信息资产的分类与控制相关推荐
- 二级分类_iOS 13.3正式版,增加信息联系人二级分类,支持联通VoLTE功能
iOS 13.3正式版,增加信息联系人二级分类,支持联通VoLTE功能 就在今天凌晨Apple在apple store上架了Mac pro,同时也向iphone.ipad和ipad touch设备推送 ...
- 第四章第九节数据资产盘点-数据资产目录分类
第四章第九节数据资产盘点-数据资产目录分类 在形成数据资产清单以后,如何将清单进行分类?关于数据资产目录的分类,有几种方法,一是参考行业数据分类框架.二是参考监管数据分类.三是根据数据管理实践,结合企 ...
- 态势感知平台:化解高校信息资产安全管理难题
11月16日,2019年广东人工智能与信息安全教育应用高峰论坛暨广东网络安全空间协会教育专委会年会在广州举行,会议邀请了广东省相关的主管部门和高校以及安全行业的知名厂商参加,就高校网络安全的相关问题进 ...
- CISA Cert Prep: 5 Information Asset Protection for IS Auditors CISA证书准备:5 IS审计员的信息资产保护 Lynda课程中文字幕
CISA Cert Prep: 5 Information Asset Protection for IS Auditors 中文字幕 CISA证书准备:5 IS审计员的信息资产保护 中文字幕CISA ...
- 【学习笔记】第五章——I/O(设备分类、控制方式、软件层次结构、假脱机、缓冲)
文章目录 一. 设备分类与控制方式 1)设备分类 2)控制方式 1. 程序直接控制方式 2. 中断驱动方式 3. DMA 方式 4. 通道控制方式 总结 二. 软件层次结构与假脱机 1)软件层次结构 ...
- 魔兽世界python脚本拍卖行_Python大法之告别脚本小子系列—信息资产收集类脚本编写(上)...
0×01 前言 在采集到URL之后,要做的就是对目标进行信息资产收集了,收集的越好,你挖到洞也就越多了----当然这一切的前提,就是要有耐心了!!!由于要写工具较多,SO,我会分两部分写-- 0×02 ...
- 智安网络丨浅谈信息系统终止时如何确保信息资产的安全
前言 承载和支撑业务运行的信息系统是不是不用了就直接往哪里一放,置之不理或者随便处理掉就可以了呢?当然不是! 信息系统生命周期一般包括规划.设计.建设.运行.终止五个阶段.坊间关注的焦点多集中于信息系 ...
- 计算机科学归类为电子信息,电子信息类专业分类和区分
电子信息类专业分类和区分 目前专业名称和分类没有统一的标准,没有明确的界限划分. 电气信息类和电子信息类专业火成什么熊样不用我说了吧,但是你真的了解这类专业吗?好,来看看这些专业名字像不像绕口令?这下 ...
- **关于交流电机、直流电机、永磁同步电机、步进电机的分类与控制**
关于交流电机.直流电机.永磁同步电机(PMSM).步进电机的分类与控制 之前也阅读过各类电机分类的文章,总是一知半解,通过这几个月的实践,我想把我对电机的理解分享给大家,特别是初学者. 电机是将电磁力 ...
- 信息资产分级管理的具体方法(风险评估与风险管理的)朋友可以看看
信息资产分级管理 1. 信息资产分类鉴别 达到及维护组织资产的适当保护,宜明确識别所有资产,并制作与维持所有重要资产 的清册 ,与信息处理设施相关的所有信息及资产宜由组织指定拥有者.与信息处理设施相关 ...
最新文章
- 哪些人适合参加软件测试培训
- ElasticSearch 6.x 学习笔记:12.字段类型
- ue4 改变枢轴位置_UE4渲染模块概述(四)---反射
- 20个安全可靠的免费数据源,各领域数据任你挑
- 什么是java序列化,如何实现java序列化?
- C++描述杭电OJ 2010.水仙花数 ||
- 课时57.HTML被废弃的标签(掌握)
- php mysql orm_PHP ORM框架与简单代码实现(转)
- z-blog+php+漏洞,Z-Blog的PHP版前台存储型XSS漏洞一
- 算法设计与分析-动态规划
- Java语言实现矩阵卷积运算
- 计算机正向着巨型化,目前计算机正向着巨型化、()、网络化、智能化方向发展。...
- 数据库专辑--SQL分类汇总(group by...with rollup),增加“总计”字段
- [Bug]: Could not load dynamic library ‘libnvinfer.so.7‘
- excel单元格一分为二还要输入文字,不能编辑是什么原因?
- 爱立信助力银和瓷业打造智慧工厂;埃森哲2021财年全球营业收入达505亿美元;华为发布11大场景化解决方案 | 全球TMT...
- aws云服务器会自动扣费吗,亚马逊AWS云服务器不合理扣费怎么处理
- IDEA javadoc快捷键
- redis-使用Java代码操作
- 【学术篇】SDOI2008 山贼集团