信息资产识别与评估方法的探讨

1、信息资产识别与评估方法的探讨随着信息技术应用的迅猛发展，基于固定和移动网络的应用巳经 渗透到人类活动的各个领域。当人类受益于新技术带来便利的同时, 接踵而至的信息安全事件不断提醒人们，信息传递的方式、速度、广 度以及造成的后果不容小视，把信息安全视为头等重要的大事一点都 不过分。鉴于上述原因近年来许多组织正在按照ISO/ICE 27001:2()()5的信 息安全管理体系(1SMS)这一国际标准建立和改进自己的信息安全管 理机制。由于这一领域涉及的技术和运营模式还在日新月异的演进之 中，人们尚缺乏经验和方法如何遵照国际标准来构筑符合实际需要的 信息安全管理体系。在我们接触的案例中，普遍存在信息

2、资产识别不 充分、方法不系统等问题。以往只考虑硬件和软件，忽视了人员、数 据、文档、服务、无形资产等重要对象。进而造成风险评估不够系统， 主观性强，实用性垦，事后补漏多，事前预防少。因此，我们认为信 息资产识别是体系搭建的基石并对体系能否成功起着至关重要的作 用。为了便于识别和评价信息资产，充分反映信息资产的重要程度、 脆弱程度、面临的威胁、以及被威胁源利用的可能性，我们在咨询实 践中独创性的采用了细分评价对象属性的方法，收到了良好的效果。 我们的做法是参照马克思主义原理中对人从自然属性和社会属性两 个角度进行分析的思路，对信息资产从其固有属性和控制属性，这两 方面分别进行考察。为信息资产的识

3、别与描述过程，提供了指导实施 者思考和深入分析的框架。这里我们没有给出固有属性和控制属性整 体性的定义，但通过范例的列举让大家了解实现这一方法的思路。首先是明确信息资产的主要类型，一般包括：硬件、软件、电子数据、 实体信息、办公设施、安防设施、人员、服务、其它。（这只是一种 设计方案，组织的信息资产类型要根据所从事活动的特点、部门设置、 数量等进行规划。例如：对于小型组织，可将上述类型中的办公设施 归到硬件中）当组织确定了信息资产类型定义后，我们建议按照信息资产固有 属性和控制属性两方面定义信息资产的表述方式，以帮助参与信息资 产识别与评估工作的人员系统思考，统一评价标准，减少误判和遗漏, 通

4、过多角度观察，准确的认识与表述信息资产特征，深入揭示信息资 产的价值、脆弱性和潜在的威胁，进而有效提高整个评估工作的质量。 信息资产的固有属性一般包括：类型、所有者、作用（用途）、特征、 价值、数量（规模）等。1. 所有者：描述信息资产的实际所有者，可能包括：国家、公众、 公司、部门、顾客、供方、个人等。（注意有处置权的才是所有者， 很多信息资产只是暂时被企业所使用和保管并没有权利处置）。2. 作用：描述信息资产在既定条件和范围内（对象、时间、环境 等）信息资产的用途。3. 特点：描述信息资产（或在同类信息资产中）具有的特殊之处, 如：存在形式、生命周期。4. 价值：描述信息资产的重要程度、获

5、得时付出的成本或被利用 后产生的效益。同时考虑其对于本组织的意义和法律效力，如：公章。5. 数量：描述信息资产在组织业务实现过程中的应用度和依赖度。 数量少时要考虑备份的必要性。在实际工作中往往当完成了固有属性的描述后，就会发现一批没 有纳入管理范围或明显失控的信息资产。信息资产的控制属性一般包括：资产标识、管理者、使用者、位 置及存放方式、密级、访问限制等。控制属性是描述根据其固有属性 而制定的现有的控制情况。1. 管理者：可以是信息资产的控制人、监护人、使用人等，是日 常对其操作和接触最为频繁的人，尽量做到使用权利和管理职责的统 一，是每个信息资产都有对应的管理者，并明确的加以标识。2.

6、位置及存放方式：是信息资产的物理存放或部署的地点、介质 及存在形式。3. 密级：是信息资产保密的等级。要根据信息资产的固有属性制 订明确的划分规则，并明确的加以标识。4. 访问限制：是获得使用信息资产的权利被申请、审核、批准、 授予和撤销的过程。是一个综合了前三点的流程，需要有相应的制度 和规定。如：登记、签字、密码、钥匙、门禁、守卫、通行证件、口 令等5. 资产标识：对信息资产的分类号、编号、版本号、管理者、密 级、条码等或其组合进行标识。如果巳经采用的固定资产编号，要注 意保持分类和标识的兼容性。当完成了控制属性的描述，目前信息资产的管理力度是否合适，制度 是否齐备，措施是否到位，就比较清楚的呈现在眼前了。按照上述思路，可以在一定程度上规范、指导信息资产的识别与 评价工作，使其更具有可操作性。在具体的