安全风险评价之信息资产赋值

1、信息资产赋值定义1.为什么要进行信息资产的赋值 在完成信息资产的识别形成完整的信息资产表之后，为了明确对资产的保护，同时为 了接下来对风险值的计算， 有必要对资产的价值进行评估， 其价值大小不仅仅是考虑其自身 的价值， 还要考虑其业务的相关性和一定条件下的潜在价值。 资产价值常常是以安全事件发 生时所产生的潜在业务影响来衡量，安全事件会导致资产机密性、完整性和可用性的损失 从而导致企业资金、 市场份额、 企业形象的损失。 为了资产评估的一致性与准确性，我们建 立一套资产价值的评估标准， 对每一种资产和每一种可能的损失， 例如机密性、 完整性和可 用性的损失，都可以赋予一个价值。 但采用精确的方

2、式给资产赋值是较困难的一件事，一 般采用定性的方式，按照资产的价值评估标准将资产的价值划分为不同等级 。经过资产的 识别与估价后，组织应根据资产价值大小，进一步确定要保护的关键资产。在评估过程， 为了保证没有资产被忽略和遗漏，应该先确定信息安全体系范围，建立 资产的评审边界 。评估资产最简单的方式是列出组织业务过程中、 安全管理体系范围内所有 具有价值的资产， 然后对资产赋予一定的价值， 这种价值应该反映资产对组织业务运营的重 要性，并以对业务的潜在影响程度表现出来。 例如，资产价值越大， 由于泄露、 修改、 损害、 不可用等安全事件对组织业务的潜在影响就越大。基于组织业务需要的资产的识别与估

3、价， 是建立信息安全体系，确定风险的重要一步。2.如何进行信息资产赋值 在对资产赋予价值时，一方面要考虑资产购买成本及维护成本，另一方面主要考虑当 这种资产的机密性、完整性、 可用性受到损害时， 对业务运营的负面影响程度。 在信息安全 管理中，并不是直接采用资产的账面价值，而是采用以定性分级的方式建立资产的相对价 值， 以相对价值来作为确定重要资产的依据和为这种资产的保护投入多大资源的依据。 对资产的赋值不仅要考虑资产本身的价值， 更重要的是要考虑资产的安全状况对于组织的重 要性， 即由资产在其 CIA 三个安全属性上的达成程度决定 。依据 CIA属性分级的标准对资产 在机密性、 完整性和可用

4、性上的达成程度进行分析， 并在此基础上得出一个综合结果信 息资产的价值。赋值五分法资产赋值标识C机密性I完整性A可用性5很高包含组织最重要的秘密， 关系未来发展的前途命 运，对组织根本利益有着 决定性影响，如果泄漏会 造成灾难性的损害 （如企完整性价值非常关键，未 经授权的修改或破坏会对 组织造成重大的或无法接 受的影响，对业务冲击重 大，并可能造成严重的业可用性价值非常高，合法 使用者对信息及信息系统 的可用度达到年度 %以上密 AAA )务中断，难以弥补4高包含组织的重要秘密，其 泄露会使组织的安全和利 益遭受严重损害（如企密 AA）完整性价值较高，未经授 权的修改或破坏会对组织 造成重大

5、影响，对业务冲 击严重，比较难以弥补可用性价值较高，合法使用者对信息及信息系统的 可用度达到每天 90%以上3中等包含组织的一般性秘密， 一般仅能在组织某一或几 个部门内部公开 ,其泄露 会使组织的安全和利益受 到损害（如企密 A）完整性价值中等，未经授 权的修改或破坏会对组织 造成影响，对业务冲击明 显，但可以弥补可用性价值中等，合法使 用者对信息及信息系统的 可用度在正常工作时间达 到 70% 以上2低包含组织较低级别秘密 , 仅能在组织内部公开的信 息，向外扩散有可能对组 织的利益造成损害完整性价值较低，未经授 权的修改或破坏会对组织 造成轻微影响， 可以忍受， 对业务冲击轻微，容易弥

6、补可用性价值较低，合法使 用者对信息及信息系统的 可用度在正常工作时间达 到 25% 以上1很低包含可对社会公开的信 息，公用的信息处理设备 和系统资源等完整性价值非常低，未经 授权的修改或破坏对组织 造成的影响可以忽略，对 业务冲击可以忽略可用性价值可以忽略，合 法使用者对信息及信息系 统的可用度在正常工作时 间低于 25%不同资产对应的赋值原则资产赋值标识C机密性I完整性A可用性5很高关键系统主机；关键的网 络设备、安全设备、存储 设备；域控制器和关键基 础设施服务器；网络和主 机管理及监控设备；备份 设备、备份介质； 打印机； 复印机；传真机；个人办 公电脑关键系统主机；重要系统 主机；

7、关键的网络设备、 安全设备、存储设备；重 要网络设备、安全设备、 存储设备； 一般网络设备、 安全设备、存储设备；域 控制器和关键基础设施服 务器；重要（机房）环境 设施监控设备； 备份设备、 备份介质关键系统主机；关键的网 络设备、安全设备、存储 设备；域控制器和关键基 础设施服务器； 备份设备、 备份介质4高重要系统主机；一般系统 主机；重要网络设备、安 全设备、存储设备；域成一般系统主机；域成员服 务器和重要基础设施服务 器；一般（机房）环境设重要系统主机；重要网络 设备、安全设备、存储设 备；域成员服务器和重要员服务器和重要基础设施 服务器；重要（机房）环 境设施监控设备； 打印机；

8、复印机；传真机；个人办 公电脑施监控设备；网络和主机管理及监控设备基础设施服务器； 重要（机 房）环境设施监控设备； 一般（机房）环境设施监 控设备；网络和主机管理 及监控设备3中等一般网络设备、 安全设备、 存储设备；一般（机房） 环境设施监控设备；打印 机；复印机；传真机；个 人办公电脑完整性价值中等，未经授 权的修改或破坏会对组织 造成影响，对业务冲击明 显，但可以弥补； 打印机； 复印机；传真机；个人办 公电脑一般系统主机；一般网络 设备、安全设备、存储设 备；打印机；复印机；传 真机；个人办公电脑2低-1很低-信息资产赋值算法1.资产赋值算法说明信息资产的资产价值要考虑机密性（ C）

9、、完整性（ I）、可用性（ A）三个因 素。为了资产评估的一致性与准确性， 我们建立一套资产价值的评估标准， 对每 一种资产和每一种可能的损失， 例如机密性、 完整性和可用性的损失， 都可以赋 予一个价值。 然后利用确定的算法将信息资产三个因素的价值综合考虑， 确定最 终的资产价值大小，进一步确定要保护的关键资产。 资产价值的算法通常包 括算术平均法和对数平均法。算术平均法综合考虑三个方面的因素，简便易用。 对数平均法在考虑三个因素的同时， 更易突出某一特定因素的影响， 更加客观准 确的体现出资产的价值。 在实际应用过程中，通常不同类别的资产对于三个 因素的敏感程度是不同的，例如：人员资产通常不考虑完整性因素。因此，在实 践过程中， 可以为不同类别资产的三个因素配置相应的权重， 以保证对该类资产 价值分析的可靠性和准确性。2.请选择【信息资产赋值算法】：无权重算术平均法： 综合考虑资产三个方面的属性，平均得出资产价值，简单易对数平均法： 在综合考虑资产三个方面属性的同时，重点突出某一属性的 特点。例如，某些信息资产的保密性要求很高， 而可用性、 完整性要求较低时， 使用本算法更能够凸显出其资产价值的重要性