信息系统资产评估报告实例

1、密 级： 内部 文档编号：-005 项目编号： XXXX 市地税局信息系统市地税局信息系统 资产评估报告资产评估报告 目目 录录 1概述概述.3 2信息信息资产资产分分类类和和识别识别 .3 2.1信息资产调查的过程 .3 2.2调查范围及方法 .4 2.3信息资料识别.5 2.3.1硬件资产.5 2.3.2软件资产.9 2.3.3数据资产.11 2.3.4文档资产.12 2.3.5人员资产.15 3资产赋值资产赋值方法方法.21 3.1保密性赋值.22 3.2完整性赋值.22 3.3可用性赋值.23 3.4资产重要性等级 .24 4XX 市地税局市地税局资产赋值资产赋值 .26 4.1硬件资

2、产赋值.26 4.1.1主机设备.26 4.1.2网络设备.28 4.1.3安全设备.29 4.1.4存储设备.29 4.1.5保障设备.30 4.1.6通讯线路.31 4.2软件资产赋值.32 4.2.1系统软件.32 4.2.2应用软件.33 4.3数据资产赋值.34 4.4文档资产赋值.35 4.5人员资产赋值.38 5地税信息地税信息资产统计资产统计分析分析.40 5.1资产价值分布.40 5.2分段价值分布.40 5.3资产分类对比.41 1 概述概述 根据XX 省人民政府信息化工作办公室关于印发的通知文件精神，XX 省信息安全测评中心承担了 XX 市地税局 “征管信息系统”的风险评

3、估工作。我中心以建立符合我省情况的风险评估方法、 积累风险评估工作经验、培养队伍、协助 XX 市地税局更深入地了解其信息系统 安全现状为目标，通过文档分析、现场访谈、问卷调查、技术评估等方法，对 XX 市地税局“征管信息系统”进行了全面的信息安全风险评估。 在整个风险评估项目过程中，资产调查是其首要工作。资产调查过程主要包 括资产识别和资产赋值。一方面，项目组根据资产识别的情况设计出 XX 市地税 局保护对象框架，并在此基础上进行安全体系设计；另一方面，项目组将资产赋 值结果用于风险计算，以便准确地表达安全调查的结果。 2 信息资产分类和识别信息资产分类和识别 2.1信息资产调查的过程信息资产

4、调查的过程 在本项目中，项目组首先定制了资产调查表，通过访谈方式，对安全管理人 员、网络管理人员、主机系统管理人员、应用开发和维护人员等进行了访谈。逐 步地识别 XX 市地税局信息资产并收集其信息。 随后，项目组通过对信息中心进行扫描，从第二条渠道获得了可扫描系统的 系统信息，包括服务器主机、可网管的网络设备、数据库系统和 PC 机。 通过将上述访谈和扫描的结果进行人工对比，合并和除错，项目组获得所有 必要的资产信息。 最后，项目组对所有已识别的资产进行赋值，并编制本报告。 2.2调查范围及方法调查范围及方法 资料分类技术参考点输出成果评估范围评估方式涉及地税人员评估人员 主机设备 11 台主

5、机 调查访谈、实际核查赵白、梁志 网络设备3 台设备调查访谈、实际核查 王维、梁立 新、朱宁宁 安全设备1 台设备调查访谈、实际核查赵白、梁志 存储设备1 台设备调查访谈、实际核查 陈修杰、梁 立新、朱宁 宁 保障设备6 种保障设备调查访谈、实际核查赵白、梁志 硬件资产 通讯线路 硬件资产 调查表 140 条线路调查访谈、实际核查 陈修杰、梁 立新、朱宁 宁 系统软件 11 套主机系 统 调查访谈、实际核查 赵白、串广 义 软件资产 应用软件 软件资产 调查表 4 套应用系统调查访谈、实际核查 梁志、梁立 新、朱宁宁 人员资产中心人员 人员资产 调查表 9 人 调查访谈、文档检查 赵白、串广

6、义 数据资产 信息数据 数据资产 调查表 征管系统数 据 调查访谈、实际核查 赵白、梁立 新、朱宁宁 文档资资料文档文档资料 224 个相关 调查访谈、实际核 梁立新、 产 调查表 文档 查 朱宁宁 2.3信息资料识别信息资料识别 XX 市地税局的信息资产是指在 XX 市地税局信息系统范围内，具有价值并 需要保护的对象。它可能是以多种形式存在，有无形的、有有形的，有硬件、有软 件，有数据，也有服务等。它们分别具有不同的价值属性和存在特点，存在的弱 点、面临的威胁、需要进行的保护和安全控制都各不相同。 参照国家最新信息安全风险评估规范对信息资产的描述和定义，并结合 XX 市地税局的基本情况，我们

7、将 XX 市地税局的信息资产分为 5 类，分别为：硬 件资产、软件资产、数据资产、人员资产、文档资产，以下为本次调查的结果。 2.3.1 硬件硬件资产资产 国家信息安全风险评估规范把硬件资产分为以下 7 大类： 1.网络设备：路由器、网关、交换机等； 2.计算机设备：大型机、小型机、服务器、工作站、台式计算机、便携计算机 等； 3.存储设备：磁带机、磁盘阵列、磁带、光盘、软盘、移动硬盘等； 4.传输线路：光纤、双绞线等； 5.保障设备：动力保障设备（UPS、变电设备等）、空调、保险柜、文件柜、门 禁、消防设施等； 6.安全保障设备：防火墙、入侵检测系统、身份鉴别等； 7.其他：打印机、复印机、

8、扫描仪、传真机等。 根据 XX 市地税局实际情况并结合信息安全风险评估规范，我们把 XX 市 地税局的硬件资产分为以下 6 大类进行分别的调查识别： 1.主机设备：大型机、小型机、服务器、工作站、台式计算机、便携计算机等； 2.网络设备：路由器、网关、交换机等； 3.安全设备：和信息安全相关的设备； 4.存储设备：磁带机、磁盘阵列、磁带、光盘、软盘、移动硬盘等； 5.传输线路：光纤、双绞线等； 6.保障设备：动力保障设备（UPS、变电设备等）、空调、保险柜、文件柜、门 禁、消防设施等。 主机设备主机设备 序序 号号 设备设备名称名称 硬件型号硬件型号硬件配置硬件配置IPIP 地址

9、地址 操作系操作系统统用途用途说说明明 1SJZ_NODE1IBM RS6000 RS64 III750MHZ*4 8*512MB*2 18.2GB*2 XX.20.225.1AIX 征管业务系统数据库 2SJZ_NODE2IBM RS6000 RS64 III750MHZ*4 8*512MB*2 18.2GB*3 XX.20.225.3AIX 征管业务系统数据库 3ZG-APP1IBM x440 XEON 2.4G*2 4GB 36.4GB*2 XX.20.225.19Win2000 SRV 征管业务系统应用 4SJAPP2IBM x440XEON XX.20.225.21Win2000 S

10、RV 征管业务系统应用 2.4G*2 4GB 36.4GB*2 5SJAPP3IBM x440 XEON 2.4G*2 4GB 36.4GB*2 XX.20.225.23Win2000 SRV 征管业务系统应用 6SJAPP4IBM x440 XEON 2.4G*2 4GB 36.4GB*2 XX.20.225.25Win2000 SRV 征管业务系统应用 7sjdc1IBM x440 XEON 2.4G*2 4GB 36.4GB*2 XX.20.225.10Win2000 SRV DC 主域控制器 8sjdc2IBM x440 XEON 2.4G*2 4GB 36.4GB*2 XX.20.2

11、25.11Win2000 SRV DC 主域控制器 9IBM x366 XEON 2.8G*4 4GB 72GB*3 XX.20.225.71Win2000 SRV 税收管理员应用 10sjz-oa-webHP D360 XEON 3.0G*2 2GB 72GB*2 XX.20.224.10 （11） Win2000 SRV www 服务器 11sjzds-odpsHP D360 XEON 3.0G*2 2GB 72GB*2 XX.20.224.19 （9） Win2000 SRV 公文流转服务器/瑞 星杀毒服务器 12HP D360 XEON 3.0G*2 2GB 72GB*2 XX.168

12、.10.2Win2000 SRV 互联网服务器 网络设备网络设备 序号序号 设备设备名称名称 IPIP 地址地址硬件型号硬件型号 出出产产厂商厂商 用途用途安装日期安装日期 1sj7513XX.20.231.254 Cisco 7513 思科核心路由器 2003 年 5 月 2sj4506XX.20.231.1 Cisco 4506 思科 核心交换机 2003 年 5 月 3f5XX.20.225.18f5f5 负载均衡器 2005 年 9 月 安全设备安全设备 序号序号 设备设备名称名称设备设备形形态态 IPIP 地址地址 出出产产厂商厂商 品牌品牌用途用途 1I

13、PS 硬件 XX.20.225.251 绿盟 冰之眼 IPS 存储设备存储设备 序号序号 设备设备名称名称 IPIP 地址地址硬件型号硬件型号 出出产产 厂商厂商 品牌品牌 操作系操作系统统 用途用途 1sjnasXX.20.225.165194-226IBM nas 200 Windows 2000 Srv 磁盘阵 列 保障设备保障设备 序号序号 设备设备名称名称 物理地址物理地址硬件型号硬件型号 出出产产厂商厂商 品牌品牌用途用途 1UPS 机房 UL33-0600L Emerson network power EMERSON 停电时 供机房 所有设 备电源 2

14、 空调 机房 S23DW001HIROSSHIROSS 机房制 冷设备 3 防雷 配电柜 VAL-MSPhcenixPHCENIX 机房防 雷设备 4 视频监控器 机房 ARES 机房视 频监控 5 动力、环境 监测 机房 机房电 力、防水 监控 6 气体消防系 统 机房 LD-KP06 海湾安全技 术有限公司 GST 机房自 动消防 系统 通讯线路通讯线路 用用户户名称名称线线路供路供应应商商 端口速率端口速率 单单位位责责任人任人 网通2M*115 各税务所各单位 市局 网通 8M*25 各县（市）区局各单位 2.3.2 软软件件资产资产 国家信息安全风险评估规范把软件资产分

15、为以下 3 大类： 1.系统软件：操作系统、语句包、工具软件、各种库等； 2.应用软件：外部购买的应用软件，外包开发的应用软件等； 3.源程序：各种共享源代码、自行或合作开发的各种代码等。 根据 XX 市地税局实际情况并结合信息安全风险评估规范，我们把 XX 市 地税局的软件资产分为以下 2 大类进行分别的调查识别： 1.系统软件：操作系统、语句包、工具软件、各种库等； 2.应用软件：外部购买的应用软件，外包开发的应用软件等。 系统软件系统软件 序号序号 系系统统名名 称称 版本号版本号 对应对应主机主机资产资产应应用服用服务务出出产产厂商厂商 软软件服件服 务务期限期限 1wi

16、ndows 2000 server XX.20.225.19 tcp/ip 8020 8090 80 Microsoft 是 2windows 2000 server XX.20.225.21 tcp/ip 8020 8090 80 Microsoft 是 3windows 2000 server XX.20.225.23 tcp/ip 8020 8090 80 Microsoft 是 4windows 2000 server XX.20.225.25 tcp/ip 8020 8090 80 Microsoft 是 5windows 2000 server XX.20.225.10tcp/ip

17、Microsoft 是 6windows 2000 server XX.20.225.11tcp/ip Microsoft 是 7windows 2000 server XX.20.225.14 tcp/ip 110 25 80 Microsoft 是 8AIX4.3.3XX.20.225.1tcp/ipIbm 是 9AIX4.3.3XX.20.225.3tcp/ipIbm 是 10OracleXX.20.225.1tcp/ip 1521 甲骨文是 11OracleXX.20.225.3tcp/ip 1521 甲骨文是 应用软件应用软件 序序 号号 应

18、应用用软软件名称件名称对应对应主机主机资产资产应应用服用服务务 软软件版件版 本号本号 出出产产厂商厂商 1 XX 地税税收征收管 理系统 XX.20.225.19 tcp/ip 8020 8090 80 2005 版 北京华安通联有限 责任公司 2 XX 地税税收征收管 理系统 XX.20.225.21 tcp/ip 8020 8090 80 2005 版 北京华安通联有限 责任公司 3 XX 地税税收征收管 理系统 XX.20.225.23 tcp/ip 8020 8090 80 2005 版 北京华安通联有限 责任公司 4 XX 地税税收征收管 理系统 XX.20.225.25 tcp/

19、ip 8020 8090 80 2005 版 北京华安通联有限 责任公司 2.3.3 数据数据资产资产 国家信息安全风险评估规范把数据资产定义为保存在信息媒介上的各种 数据资料，包括源代码、数据库数据、系统文档、运行管理规程、计划、报告、用 户手册等 根据 XX 市地税局实际情况并结合信息安全风险评估规范，我们把 XX 市 地税局数据资产的评估范围设定在核心征管系统的数据库数据。 序号序号数据名称数据名称用途用途 分分发发范范围围对应对应主机主机资产资产应应用服用服务务 数据期限数据期限 1 税收征管相关 资料 反映纳税人相 关情况 地税系统 内部 XX.20.225.1 XX.20.225.

20、3 税收征管 系统 10 年 2.3.4 文档文档资产资产 国家信息安全风险评估规范文档资产定义为纸质的各种文件，如传真、电 报、财务报告、发展计划等。 根据 XX 市地税局实际情况并结合信息安全风险评估规范，我们把 XX 市 地税局的文档资产的评估范围设定在信息中心现存的重要的文档、规范、制度及 培训手册等。此次共整理 224 个各类文档，从中提取出 31 个文档作为此次文档 资产评估范围。 序序 号号 文档年份文档年份文档名称文档名称用途用途存放方式存放方式 12006 XX 地税计算机系统管理制度系统管理制度 纸质文档与 电子档 22006 系统数据库口令管理系统管理制度 纸质文档与 电

21、子档 32004 XX 市地方税务局信息化星级管 理办法 管理制度 纸质文档与 电子档 42004 XX 市地方税务局 2004 年信息 化建设实施方案 管理制度 纸质文档与 电子档 52004 信息化主要建设项目实行统一 审批管理 管理制度 纸质文档与 电子档 62004 关于成立信息化工作领导小组 管理制度 纸质文档与 电子档 72004 XX 市地方税务局基层局机房维 护管理制度 管理制度 纸质文档与 电子档 82004 XX 市地方税务局计算机使用维 护管理制度 管理制度 纸质文档与 电子档 92004 XX 市地方税务局网络安全管理 制度 管理制度 纸质文档与 电子档 102004

22、XX 市地方税务局网络运行维护 管理制度 管理制度 纸质文档与 电子档 112004 XX 市地方税务局应用软件维护 管理（暂行）办法 2004-7-29 管理制度 纸质文档与 电子档 122004 信息化星级管理办法 管理制度 纸质文档与 电子档 132004 XX 地税计算机系统管理制度 (定稿) 管理制度 纸质文档与 电子档 142004 XX 地税市局机房维护制度 管理制度 纸质文档与 电子档 152006 应用软件维护制度 22 号文 管理制度 纸质文档与 电子档 162007 2007 年信息化工作要点（定稿)管理制度 纸质文档与 电子档 172007 XX 市基层单位兼职信息化管

23、理 管理制度 纸质文档与 人员职责(新）电子档 182007 信息化星级管理办法 2007 管理制度 纸质文档与 电子档 192006 XX 地税市局征管数据库备份系 统维护管理办法 管理制度 纸质文档与 电子档 202005 XX 地税市局征管数据库备份系 统维护手册 维护手册 纸质文档与 电子档 212006 XX 地税数据复制系统使用维护 手册 维护手册 纸质文档与 电子档 222006 XX 地税数据复制系统维护管理 办法（试行） 管理制度 纸质文档与 电子档 232005 2005 版征管系统税务登记说明 书（一） 征管软件说明书 纸质文档与 电子档 242005 2005 版征管系

24、统申报征收说明 书（二） 征管软件说明书 纸质文档与 电子档 252005 2005 版征管系统税收计会说明 书（三） 征管软件说明书 纸质文档与 电子档 262005 2005 版征管系统税务管理说明 书（四） 征管软件说明书 纸质文档与 电子档 272005 2005 版征管系统征收管理说明 书（五） 征管软件说明书 纸质文档与 电子档 282005 2005 版征管系统文书审批说明 书（六） 征管软件说明书 纸质文档与 电子档 292005 2005 版征管系统基层查询说明 书（七） 征管软件说明书 纸质文档与 电子档 302005 2005 版征管系统设置说明书 （八） 征管软件说明书

25、 纸质文档与 电子档 312005 2005 版征管系统典型业务说明 书（九） 征管软件说明书 纸质文档与 电子档 2.3.5 人人员资产员资产 国家信息安全风险评估规范人员资产定义为掌握重要信息和核心业务的 人员，如主机维护主管、网络维护主管及应用项目主管等。 根据 XX 市地税局实际情况并结合信息安全风险评估规范，我们把 XX 市 地税局的人员资产的评估范围设定在信息中心在职工作人员。信息中心在职人 员共有 13 人，主要进行高级管理的主任或副级的人员有三人，重要系统管理人 员为六人。因此，此次人员资产的评估范围是信息中心高级管理人员及重要资产 管理人员共九人。 序号序号 人人员员名称名称

26、 所属所属 部部门门 人人员员 职务职务 人人员职责员职责 1XXX 信息中心主任 1 负责全面工作。 2 负责全系统信息化建设规划和实施方案的 组织制定工作。 3 负责协调组织全系统信息化建设规划和方 案的实施工作。 4 负责信息化队伍建设工作。 5 完成领导交办的其他工作。 2XXX 信息中心副主任 1主管软件维护工作。 2主管软件试点和推广工作。 3主管办公自动化工作。 4主管安全防范工作。 5完成领导交办的其他工作。 3XXX 信息中心副主任 1主管网络维护工作。 2主管系统运维工作。 3主管软件开发工作。 4主管综合工作。 5完成领导交办的其他工作。 4XXX 信息中心 组长 1负责

27、网络管理工作 2负责系统维护工作 3负责 DC1、DC2 服务器的硬件及系统的维护 4负责 FTP 服务器的硬件及软件的维护 5负责 NAS 服务器的硬件及数据备份的管理与 维护 6负责 Exchange 服务器的硬件及邮件系统的 维护 7负责辅助应用系统的硬件及操作系统的升级 与维护 8负责机房空调维护工作 9负责消防系统维护工作 10负责机房环境监控工作 11负责软件开发的前期开发工作 12领导安排的其他工作 5XXX 信息中心 科员 1. 负责市局办公网站的框架规划、版式设计及 组织编写网站程序。 2. 负责办公网站的部署实施与程序维护。 3. 负责办公网站的信息发布工作的技术指导 和培

28、训。 4. 负责市局办公网站的数据备份及服务器日 常管理。 5. 负责全系统计算机防病毒工作的维护工作， 定时升级防病毒软件。 6. 负责监控全系统下级防计算机病毒中心，督 导客户端及时升级查杀。 7. 负责全系统每年的计算机安全培训工作。 8. 负责长安办公楼的办公网站服务器的资源 管理。 9完成领导交办的其他工作。 6XXX 信息中心 科员 1.负责机房 UPS 维护工作 2.负责 UPS 电池维护工作 3.负责机房强电维护工作 4.负责机房 KVM 维护工作 5.负责主控室设备维护工作 6.负责软件开发的后期工作 7.负责 1721 层电脑维护及局域网维护工作 8.负责弱电井设备维护工作

29、 9.负责视频会议会前调试和维护工作 10.负责数据分析工作 7XXX 信息中心 科员 1. 负责有关网络的日常事务性维护； 2. 负责市局中心端内、外网网络设备故障的排 除； 3. 负责 CDMA 线路故障的排除； 4. 负责市局内、外网监控与管理； 5. 与有关同志共同负责网络建设项目； 6. 与有关同志共同负责有关网络知识的培训； 7. 协助基层单位分析网络故障； 8. 协调网通、基层局排除广域网线路故障； 9. 了解网络现状，适时向领导提出网络发展规 划； 10. 领导交办的其它工作。 8XXX 信息中心 科员 1负责小型机硬件维护、调试及保养 2负责小型机操作系统 AIX 的升级、维

30、护 3负责征管系统后台 Oracle 数据库的日常维 护、数据备份、状态监控及性能调优 4负责征管系统应用服务器的硬件及操作系统 的维护及升级 5负责 DC1、DC2 服务器的硬件及系统的维护 6负责 Exchange 服务器的硬件及邮件系统的 维护 7负责 FTP 服务器的硬件及软件的维护 8负责 NAS 服务器的硬件及数据备份的管理与 维护 9负责辅助应用系统的硬件及操作系统的升级 与维护 10负责培训环境的硬件及操作系统的升级与 维护 11负责车船税征收管理软件、建安房地产软件 相关设备维护及软件运行管理 12负责软件开发工作 13领导安排的其他工作 9XXX 信息中心 科员 1. 负责

31、征管软件的运行维护工作. 2. 负责个人所得税软件的运行维护工作. 3. 负责网上报税软件的运行维护工作. 4. 负责决策支持系统的运行维护工作. 5. 负责法制软件的运行维护工作. 6. 负责人事管理软件维护工作. 7. 负责其它软件的维护工作. 8. 负责应用软件的试点测试工作,做好方案制 定、培训和试点软件技术问题搜集、分析、解答 工作。 9. 负责应用软件的推广工作，做好方案制定、 培训和技术问题分析、解答工作。 10. 完成其它工作。 3 资产赋值方法资产赋值方法 信息资产价值有别于资产的帐面价值和重置价值，而是指资产在安全方面 的相对价值。本文中所指的信息资产价值全部都表示相对价值

32、。 进行资产估价时，不仅要考虑资产的帐面价值，更重要的是考虑资产对于组 织商务或业务的重要性，即资产损失所引发潜在的商务或业务的影响来决定，例 如导致业务中断、资金和市场份额的损失、企业形象的损害等直接和间接的经济 损失。为确保资产估价的一致性和准确性，应建立一个资产的价值尺度，即资产 评价标准，以明确如何对资产进行赋值。 信息资产分别具有不同的安全属性，机密性、完整性和可用性分别反映了资 产在三个不同方面的特性。安全属性的不同通常也意味着安全控制、保护功能需 求的不同。通过考察三种不同安全属性，可以得出一个能够基本反映资产价值的 定性的数值。在信息资产估价时，主要对资产的这三个安全属性分别赋

33、予价值， 以此反映出信息资产的价值。 密性、完整性和可用性的定义如下： 保密性：确保只有经过授权的人才能访问信息。如果信息或者服务被无 关甚至怀有恶意的人获得，则表明该资产的保密性受到了损害。 完整性：保护信息和信息的处理方法准确而完整；如果信息或者服务在 传递过程中因为系统故障或者恶意的方法导致被修改，并引起错误，则 表明该资产的完整性受到了损害。 可用性：确保经过授权的用户在需要时可以访问信息并使用相关信息 资产。如果信息非正常丢失或者服务非正常中断，则表明该资产的可用 性受到了损害。 保密性、完整性和可用性是评价资产的三个安全属性。风险评估中资产的价 值不是以资产的经济价值来衡量，而是由

34、资产在这三个安全属性上的达成程度 或者其安全属性未达成时所造成的影响程度来决定的。安全属性达成程度的不 同将使资产具有不同的价值，而资产面临的威胁、存在的脆弱性、以及已采用的 安全措施都将对资产安全属性的达成程度产生影响。为此，有必要对组织中的资 产进行识别。 3.1保密性赋值保密性赋值 根据资产在保密性上的不同要求，将其分为五个不同的等级，分别对应资产在保密性上 应达成的不同程度或者保密性缺失时对整个组织的影响。表提供了一种保密性赋值的参考。 资产保密性赋值表资产保密性赋值表 赋值标识定义 5 很高 包含组织最重要的秘密，关系未来发展的前途命运，对组织根本利益有着决定 性的影响，如果泄露会造

35、成灾难性的损害 4 高 包含组织的重要秘密，其泄露会使组织的安全和利益遭受严重损害 3 中等 组织的一般性秘密，其泄露会使组织的安全和利益受到损害 2 低 仅能在组织内部或在组织某一部门内部公开的信息，向外扩散有可能对组织的 利益造成轻微损害 1 很低 可对社会公开的信息，公用的信息处理设备和系统资源等 3.2完整性赋值完整性赋值 根据资产在完整性上的不同要求，将其分为五个不同的等级，分别对应资产 在完整性上缺失时对整个组织的影响。表提供了一种完整性赋值的参考。 资产完整性赋值表资产完整性赋值表 赋值标识定义 5 很高 完整性价值非常关键，未经授权的修改或破坏会对组织造成重大的或无法接受 的影

36、响，对业务冲击重大，并可能造成严重的业务中断，难以弥补。 4 高 完整性价值较高，未经授权的修改或破坏会对组织造成重大影响，对业务冲击 严重，较难弥补。 3 中等 完整性价值中等，未经授权的修改或破坏会对组织造成影响，对业务冲击明显， 但可以弥补。 2 低 完整性价值较低，未经授权的修改或破坏会对组织造成轻微影响，对业务冲击 轻微，容易弥补。 1 很低 完整性价值非常低，未经授权的修改或破坏对组织造成的影响可以忽略，对业 务冲击可以忽略。 3.3可用性赋值可用性赋值 根据资产在可用性上的不同要求，将其分为五个不同的等级，分别对应资产 在可用性上应达成的不同程度。表 4 提供了一种可用性赋值的参

37、考。 资产可用性赋值表资产可用性赋值表 赋值标识定义 5 很高 可用性价值非常高，合法使用者对信息及信息系统的可用度达到年度 99.9%以 上，或系统不允许中断。 4 高 可用性价值较高，合法使用者对信息及信息系统的可用度达到每天 90%以上， 或系统允许中断时间小于 10min。 3 中等 可用性价值中等，合法使用者对信息及信息系统的可用度在正常工作时间达到 70%以上，或系统允许中断时间小于 30min。 2 低 可用性价值较低，合法使用者对信息及信息系统的可用度在正常工作时间达到 25%以上，或系统允许中断时间小于 60min。 1 很低 可用性价值可以忽略，合法使用者对信息及信息系统的

38、可用度在正常工作时间 低于 25%。 3.4资产重要性等级资产重要性等级 资产价值应依据资产在保密性、完整性和可用性上的赋值等级，经过综合评 定得出。综合评定方法可以根据自身的特点，选择对资产保密性、完整性和可用 性最为重要的一个属性的赋值等级作为资产的最终赋值结果；也可以根据资产保 密性、完整性和可用性的不同等级对其赋值进行加权计算得到资产的最终赋值 结果。加权方法可根据组织的业务特点确定。 本标准中，为与上述安全属性的赋值相对应，根据最终赋值将资产划分为五 级，级别越高表示资产越重要，也可以根据组织的实际情况确定资产识别中的赋 值依据和等级。表中的资产等级划分表明了不同等级的重要性的综合描

39、述。评估 者可根据资产赋值结果，确定重要资产的范围，并主要围绕重要资产进行下一步 的风险评估。 资产等级及含义描述资产等级及含义描述 等级标识 描述 5 很高 非常重要，其安全属性破坏后可能对组织造成非常严重的损失。 4 高 重要，其安全属性破坏后可能对组织造成比较严重的损失。 3 中 比较重要，其安全属性破坏后可能对组织造成中等程度的损失。 2 低 不太重要，其安全属性破坏后可能对组织造成较低的损失。 1 很低 不重要，其安全属性破坏后对组织造成导很小的损失，甚至忽略不计。 4 XX 市地税局资产赋值市地税局资产赋值 4.1硬件资产赋值硬件资产赋值 4.1.1 主机主机设备设备 保密性赋值：

40、 数据库主机中运行的是核心应用征管系统的数据库，保密性设为 5； DC 域控制器为征管系统提供集中身份验证，保密性为 4； 征管应用服务器为核心应用系统，保密性设为 3； 税收管理应用，为内部应用服务器，保密性设为 3； WWW 服务器为发布服务器，保密性要求相对比较低，因此设为 2； 公文流转及防病毒服务器，承担内部公文流转及防病毒的任务，由于有公文 流转，因此设为 4； 可用性赋值 数据库主机承担征管系统数据查询及数据存储功能，虽然由两台数据库主 机分别提供此项功能，但由于平时数据库主机的压力比较高，一台主机如果 发生故障有可能影响整个征管系统的应用，因此可用性要求最高，设为 5； DC

41、域控制器为征管提供身体验证，由两台 DC 控制器分别进行，可能用性 要求不是非常高，设为 3； 征管应用系统由四台主机分别提供，任何一台或两台主机发生故障，一般不 会影响整个系统的应用，因此可用性设为 2； 税收管理应用，现阶段没有正式开通，可用性要求不高，设为 2； WWW 服务器为发布服务器，只有一台主机提供服务，可用性要求相对较高， 设为 4； 公文流转及防病毒服务器，承担内部公文流转及防病毒的任务，只有一台主 机提供相关服务，可用性要求相对较高，设为 4； 完整性赋值 数据库承担征管系统数据查询及数据存储功能，数据内容不容被破坏或修 改，因此，完整性要求最高，设为 4； DC 域控制器

42、为征管提供身体验证，完整性要求相对较高设为 3； 征管应用系统由四台主机分别提供，征管应用是一项流程一项业务，对于流 程或业务完整性的要求比较高，因此，设为 4； 税收管理应用，是一项应用服务，完整性的要求比较高，设为 4； WWW 服务器为发布服务器，但由于此服务器不是核心应用系统，因此完整 性要求不是要求很严格，设为 3 公文流转及防病毒服务器，承担内部公文流转及防病毒的任务，公文流转和 防病毒都是比较重要的应用服务，完整性要求相对较高，设为 4； 具体列表如下： 序序 号号 设备设备名称名称 IPIP 地址地址 用途用途说说明明 保密性保密性可用性可用性完整性完整性 资产资产 等等级级

43、1SJZ_NODE1XX.20.225.1 征管业务系统数据库 544 2SJZ_NODE1XX.20.225.3 征管业务系统数据库 544 3ZG-APP1XX.20.225.19 征管业务系统应用 324 4SJAPP2XX.20.225.21 征管业务系统应用 324 5SJAPP3XX.20.225.23 征管业务系统应用 324 6SJAPP4XX.20.225.25 征管业务系统应用 324 7sjdc1XX.20.225.10 DC 主域控制器433 8sjdc2XX.20.225.11 DC 主域控制器433 9XX.20.225.71 税收管理员应用 324 10sjz-o

44、a-web XX.20.224.10（1 1） www 服务器 243 11sjzds-odps XX.20.224.19（9 ） 公文流转服务器/瑞 星杀毒服务器 444 4.1.2 网网络设备络设备 保密性赋值 核心路由器、核心交换机上的数据为重要的征管数据，保密性设为 3； F5 负载均衡的数据为重要的征管数据，保密性设为 3； 可用性赋值 核心路由器、核心交换机是整个设级地税网络的核心网络设备，可用性要求 比较高，设为 4 F5 负载均衡设备承担为内部四台征管应用提供数据中转，F5 是否可用直接 会影响整个征管系统，可用性要求最高，设为 5； 完整性赋值 核心路由器、核心交换机上的数据

45、为重要的征管数据，因此，完整性要求比 较高，设为 4； F5 负载均衡的数据为重要的征管数据，因此，完整性要求比较高，设为 4； 序号序号 设备设备名称名称 IPIP 地址地址用途用途保密性保密性可用性可用性完整性完整性 资产资产 等等级级 1sj7513XX.20.231.254 核心路由 器 344 2sj4506XX.20.231.1 核心交换 机 344 3f5XX.20.225.18 负载均衡 器 354 4.1.3 安全安全设备设备 保密性赋值 IPS 为入侵防御系统，是一种安全设备，保密性要求比较低，设为 2； 可用性赋值 IPS 为入侵防御系统，是一种安全设备，作为入侵防御系统

46、，它串连在核心 路由与核心交换机之间，IPS 是否可用，直接影响市地税与下面分局或所的数据 能信，因此，可用性设为 4 完整性赋值 IPS 为入侵防御系统，是一种安全设备，完整性要求不是很高，设为 3； 序号序号 设备设备名称名称 IPIP 地址地址保密性保密性可用性可用性完整性完整性 资产资产等等级级 1IPSXX.20.225.251243 4.1.4 存存储设备储设备 保密性赋值 存储设备存储的是重要数据库数据，保密性要求比较高，设为 4； 可用性赋值 存储设备对数据库进行备份，可用性要求比较高，设为 4； 完整性赋值 存储设备对数据库进行备份，如果备份数据有问题，可以进行重新备份，因

47、此完整性的要求不是特别高，设为 3； 序号序号 设备设备名称名称 IPIP 地址地址硬件型号硬件型号 出出产产 厂商厂商 保密性保密性可用性可用性完整性完整性 1sjnasXX.20.225.165194-226IBM443 4.1.5 保障保障设备设备 保密性赋值 UPS、空调、防雷、气体消防系统均不存在数据和重要的监控信息，因此，保 密性设为 1； 视频监控系统，由于负责机房视频监控，视频数据有比较强的保密性要求， 因此，保密性设为 4； 可用性赋值 UPS、消防系统分别承担电源保障及机房消防，可用性要求最高，为 4； 空调设备有两台，一台出现故障不会很大程度影响机房运行，因此可用性设 为

48、 2； 防雷设备，由于地税大厦已经做了防雷处理，因此，机房防雷的可用性要求 不是很高，设为 2； 动力和环境监测系统，不是核心保障设备，可用性设为 2； 设频监控系统，负责监控机房日常情况，可用性要求设为 3 完整性赋值 UPS、消防系统分别承担电源保障及机房消防，设备的完整性直接影响整个 机房的运行状态，因此完整性设为 4； 空调设备有两台，一台出现故障不会很大程度影响机房运行，因此完整性设 为 2； 防雷设备，由于地税大厦已经做了防雷处理，因此，机房防雷的完整性要求 不是很高，设为 2； 动力和环境监测系统，不是核心保障设备，完整性设为 2； 设频监控系统，负责监控机房日常情况，完整性要求

49、设为 3 序号序号 设备设备名称名称 硬件型号硬件型号 出出产产厂商厂商 保密性保密性可用性可用性完整性完整性 资产资产 等等级级 1UPSUL33-0600L Emerson network power 144 2 空调 S23DW001HIROSS122 3 空调 S23DW001HIROSS122 4 防雷 VAL-MS122 5 视频监控器 433 6 动力、环境 监测 222 7 气体消防系 LD-KP06144 统 4.1.6 通通讯线讯线路路 保密性赋值 8M 县（区）局线路和 2M 所级线路，是市局和各县（区）局级机关进行通讯的 线路及市级和各所级机关进行通讯的线路，线路上主要是征管数据，保密性要求 为 3； 可用性赋值 8M 县（区）局线路，是市局和各县（区）局级机关进行通讯的线路及市级，线 路上主要是征管数据，可用性要求为 4； 2M 所级线路，是市级和各所级机关进行通讯的线路，线路上主要是征管数 据，可用性