ISO27001资产和资产风险等级划分准则
一、??? 资产的分类
| 分类 | 一般描述 |
| 信息资产 | 包括各种业务相关的电子类的文件资料,可按照部门现有文件明细列举,或者根据部门业务流程从头至尾列举,列举时尽量按照确定的纬度来分类,比如按照职能,或者按照业务流程的不同环节。要求识别的是分组或类别,不要具体到特定的单个文件。数据资料的列举和分组应该以业务功能和保密性要求为主要考虑,也就是说,识别出的数据资料应该具有某种业务功能,此外,还应该重点考虑其保密性要求。本部门产生的以及其他部门按正常流程交付过来供本部门使用的,都在列举范畴内。本部门尽量清晰,来自外部门的可以按照比较宽泛的类别来界定。 |
| 软件资产 | 各种本部门安装使用的软件,包括系统软件、应用软件(有后台数据库并存储应用数据的软件系统)、工具软件(支持特定工作的软件工具)、桌面软件(日常办公所需的桌面软件包)等。所列举的软件应该与产生、支持和操作已识别的数据资产有直接关系。 |
| 书面文档 | 合同,公司文件,企业成果,人事文档,培训文档,采购文件,发票,政府下达的文件,也包括各类电子数据的归档件、打印件、复印件、书面管理文件等。 |
| 实体资产 | 与业务相关的IT物理设备。如产生数据类服务器、笔记本计算机、PC机、打印机、复印机、等)、通讯传输设备(路由器、防火墙等)、记录存储媒体(U盘、光盘、移动硬盘等) |
| 支持设施 | 监控设备,门禁,暖气,供水,空调,报警,发电机 |
| 人员 | 承担某项与业务活动相关责任的角色和职位。例如总经理、部门经理、网络管理员、固定资产管理员、业务主管、系统管理员、软件开发人员、清洁员、普通员工等,这些人员与各类数据、软件和实物资产的操作直接相关。 |
| 公司形象和名誉 | 影响公司形象及名誉的各种事件或信息。 |
资产的分级标准
资产的等级通过资产的机密性(C)、完整性(I)和可用性(A)三个因素表现。计算公式为:机密性价值(C)+完整性价值(I)+可用性价值(A)
每个因素的判定标准如下:
| 等级 | 取值 | 取值标准描述 | ||||||
| 保密性Confidentiality | 完整性Integrity | 可用性Availability | ||||||
| 一般资产 | 人员 | 一般资产 | 人员 | 一般资产 | 人员 | |||
| Very High | 4 | Top Secret 绝密 |
最高敏感性的数据文件、信息处理设施和系统资源,仅能被极少数人知道。一旦泄漏会给公司带来特别严重的损害后果 | 可以接触/存取各个级别的信息 | 未经授权的破坏或更改将会对信息系统有非常重大的影响,可能导致严重的业务中断 | 如果该人员未正确执行其职务内容,将造成公司级业务运作效率大大降低或停顿 | 合法使用者对信息系统及信息的存取可用度达到年度每天99.9%以上(7*24) | 突然缺席,会造成公司日常运营的停顿或造成重大影响 |
| High | 3 | Secret 机密 |
重要的信息、信息处理设施和系统资源,只能给少数必须知道者(特定的任务群体)。一旦泄漏会对公司造成严重的损害 | 可以接触/存取最高到机密级的信息 | 未经授权的破坏或更改对信息系统有重大影响,而且(或者)对业务造成严重冲击 | 如果该人员未正确执行其职务内容,将造成单位/部门之业务运作效率降低或停顿 | 合法使用者对信息系统及信息的存取可用度达到每天95%以上(7*24) | 突然缺席,会造成公司某项业务的停顿或造成重大影响 |
| Middle | 2 | Confidential 秘密 |
一般性的公司秘密,泄漏后会给公司造成一定的损害 | 可以接触/存取公司一般性的秘密信息和内部公开信息 | 未经授权的破坏或更改会对信息系统造成一定的影响,而且(或者)给业务带来明显冲击 | 如果该人员未正确执行其职务内容,将造成相关工作任务效率降低或停顿 | 合法使用者对信息系统及信息的存取可用度在正常上班时间达到100%(5*8) | 突然缺席,会造成公司某个项目或某项工作的停顿或造成负面影响 |
| Low | 1 | Internal Use Only 内部公开 |
并非敏感信息,主要限于公司内部使用。一旦泄漏,并不会对公司造成显著的影响 | 可以接触/存取内部公开的信息 | 未经授权的破坏或更改不会对信息系统有重大影响,也不会对业务有明显冲击 | 如果该人员未正确执行其职务内容,不会对业务运作造成影响 | 合法使用者对信息系统及信息的存取可用度在正常上班时间至少达到50%以上(5*8) | 突然缺席,对某项任务造成负面影响 |
二、
