版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
1、精选优质文档-倾情为你奉上专心-专注-专业陕西广电网络传媒股份有限公司陕西广电网络传媒股份有限公司信息资产分类标准信息资产分类标准精选优质文档-倾情为你奉上专心-专注-专业文档信息文档信息机密级分类版本版本日期日期人员人员更新说明更新说明V1.02010-10-27版版本控制审核人审核人职务职务审核日期审核日期文文档审核批准人批准人职务职务批准日期批准日期文文档批准部门部门人员人员文档权限文档权限复分发控制复查时间复查时间复查人员复查人员复查结果复查结果复复查计划精选优质文档-倾情为你奉上专心-专注-专业第一章第一章目目标标在企业资产中,IT 资产是非常重要组成部分,随着企业经营越来越依赖信息
2、化,IT 资产的管理也变得越来越重要。同时 IT 资产的特点又是复杂多变的,只有运用科学的分类方法,才能实现 IT 资产的良好管理。因此对陕西广电 IT资产进行等级分类,是资产管理的前提条件。其目标主要体现在以下几个方面:通过对陕西广电合理的 IT 资产等级分类,为 IT 资产管理提供科学、有效的方式。对陕西广电现有 IT 资产进行信息安全属性的赋值,并对其进行等级划分,从而为以后的安全解决方案提供依据。IT 资产等级分类也是整个评估工作的前提,是安全评估的基础和重要依据,也为之后的资产管理标准制定提供了良好的基础。因此本文档可以帮助陕西广电实现 IT 资产等级分类标准化。第二章第二章概述概述
3、IT 资产是企业、机构直接赋予了价值因而需要保护的东西。它可能是以多种形式存在,有无形的、有有形的,有硬件、有软件,有文档、代码,也有服务、企业形象等。它们分别具有不同的价值属性和存在特点,其存在的弱点、面临的威胁、需要进行的保护和安全控制都各不相同。为此,有必要对企业、机构中的 IT 资产进行科学分类,让企业清晰的了解需要重点保护的 IT 资产,并为后期的基础设备、应用风险评估,进而为解决方案的设计提供依据。IT 资产分类范围资产分类范围根据本标准的分类对象,包括 IT 和运营支撑中心所有信息系统、信息资产、软件资产、实体资产、书面文件和服务。精选优质文档-倾情为你奉上专心-专注-专业IT
4、资产分类步骤资产分类步骤根据陕西广电的实际环境,对于 IT 资产等级分类,主要分成三部分进行:IT 资产的分类方法:根据国际标准 ISO27001:2005 关于资产的分类描述,参考最佳实践,并结合陕西广电自身的企业特点,定义陕西广电 IT 资产的分类方法。IT 资产识别和安全属性赋值:参照国际标准 ISO27001:2005 关于对资产识别和安全属性的定义,通过对陕西广电的实际调研,综合各方面因素,对陕西广电 IT资产进行识别和安全属性赋值。IT 资产等级分类:通过 IT 资产安全属性值,计算出 IT 资产等级级别,并按等级进行归类。第三章第三章IT 资产等级分类标准资产等级分类标准IT 资
5、产的分类资产的分类ISO27001 资产分类资产分类ISO27001 对资产分类:1. 信息资产:数据库数据文件、系统文档、用户手册、培训材料、操作或支持步骤、连续性计划、回退计划、归档等信息;2. 软件资产:应用程序软件、系统软件、开发工具以及实用程序;3. 实体资产:计算机设备(处理器、监视器、膝上型电脑、调制解调器) 、通讯设备(路由器、PABX、传真机、应答机) 、磁介质(磁带和磁盘) 、其它技术设备(电源 、空调器) 、机房;4. 书面文件:包含系统文件、使用手册、各种程序及指引办法、合约书等。5. 服务:计算和通讯服务、常用设备,如加热器、照明设备、电源、空调。在 ISO27001
6、 资产分类中包含范围非常广泛,考虑到本标准面对的对象,因精选优质文档-倾情为你奉上专心-专注-专业此此次分类范围中,将对所有 IT 资产进行归类。陕西广电陕西广电 IT 资产分类资产分类方法方法以 ISO27001 资产分类方法为基础,结合陕西广电的实际情况,以保护陕西广电信息资产为核心,结合陕西广电本身的业务特点,设计如下的资产分类方法。整个资产分类原则是围绕信息资产展开的,以信息资产为出发点,分层次进行分类的。首先是:信息资产,它是陕西广电核心保护资产;其次是:实体资产,它是信息资产的实际载体、它承担着信息资产的存储、传输、检索、加工等各项功能,和信息资产有着最直接的关系;第三是:信息系统
7、,它是由基于实体资产,按照一定的应用目标和规则构成的,能够承载某项业务工作的系统。它是对实体资产围绕业务的归纳、汇总;第四是:为实现以上资产的有效管理、运维所依赖的 IT 政策、标准、流程、手册及指南;第五是:使用、管理、维护这些资产的主体:人员,它也是整个资产中最活跃的因素,把它归纳为一类资产,有利对其实现有效的管理。最后就是服务资产,即各种本部门通过购买方式获取的,或者需要支持部门特别提供的,能够对其他已识别资产的操作起支持作用(也就是对业务有支持作用)的服务。通过以上对陕西广电资产分类的方法,参考 ISO27001 的资产分类标准,分类概况如下:精选优质文档-倾情为你奉上专心-专注-专业
8、信息系统表信息系统表在 IT 资产分类中,参考最佳实践,首先需要统计陕西广电目前的所有信息系统,及相关属性,分析陕西广电各信息系统的等级,为之后的分级保护提供依据;同时会对信息系统按照国家等级化的方法进行等级划分,为应用系统的抽样提供依据。信息资产表信息资产表本分类标准中,信息资产特指陕西广电网络传媒股份有限公司经营活动中所有信息在信息系统中以各种电子化形式存在的数据,对陕西广电具有价值的,需要核心保护的 IT 资产。包括系统文件、数据库数据、电子数据流等,以及以各种表格、报告、视图等电子形式呈现给用户的信息。实体资产表实体资产表实体资产主要指有形资产,其中考虑到数据库的特点,也把其归为实体资
9、产中。为更好的对 IT 实体资产进行归类,按照实体资产的物理特性和其功能的不同特点,设计了资产组:主机资产、网络和安全设备、数据库分别对应主机精选优质文档-倾情为你奉上专心-专注-专业资产表、网络和安全设备表、数据库表。主机资产(系统主机,包括硬件、操作系统、应用名称、IP 地址等属性) 。网络、安全设备(网络、安全设备,包括硬件、IOS、配置文件、主要功能,IP地址等属性) 。数据库(数据库名称、类型、版本、业务系统、用途等属性) 。类别简称解释/示例主机资产Host一般为一台主机,包括本台主机中的硬件,OS,操作系统、应用名称、IP 地址等。网络、安全设备Network一般为一台网络设备,
10、包括本台网络设备中的硬件,IOS,配置文件数据。包括路由器、交换机、硬件防火墙,RAS 等数据库Database一般为一个数据库,包括数据库软件,版本、业务系统、用途等IT 电子文档资产表电子文档资产表IT 电子文档资产包含 IT 运营和支撑中心内部类、中心各部门类三大类,每大类会分为不同的子类。按照这种方法对陕西广电的电子文档进行梳理,有利于以后安全管理的培训及宣导。IT 资产安全属性赋值资产安全属性赋值在 ISO27001 体系中,安全的三个特性(机密性 C、完整性 I、可用性 A)是其核心思想,在 IT 资产等级定义中也是围绕着这三个方面展开的,因此对IT 资产机密性、完整性和可用性的赋
11、值也是评价 IT 资产等级依据。对 IT 资产进行安全属性赋值的目的就是为了更好地反映资产的业务价值,并区分出各资产的价值等级,为风险评估提供量化基础。机密性、完整性和可用性的定义如下:保密性(C):确保只有经过授权的人才能访问信息;完整性(I):保护信息和信息的处理方法准确而完整;可用性(A):确保经过授权的用户在需要时可以访问信息并使用相关精选优质文档-倾情为你奉上专心-专注-专业IT 资产。在安全属性赋值时,以陕西广电业务为导向,以信息资产的 C、I、A 赋值为基础,对陕西广电 IT 资产的 C、I、A 属性进行的赋值。主要方法是:先对信息资产的 C、I、A 进行赋值,并以此为基础,通过
12、对这些承载信息数据的载体,网络通信媒介、信息系统及相关的支撑资产识别,来完成对这些 IT 资产的C、I、A 属性赋值。以下是参考业界经验和最佳实践,分别为 C、I、 、A 定义的 4 个具体等级。机密性赋值标准(机密性赋值标准(Confidentiality)根据 IT 资产机密性属性的不同,将它分为 4 个不同的等级,分别对应资产在机密性方面的价值或者在机密性方面受到损失时对整个评估体的影响。赋值标准参照下表:赋值含义解释4非常高(Very High)IT 资产为极机密,对 IT 资产的访问仅授权极少数必须使用者,IT 资产机密性受破坏影响严重,用户蒙受严重损失,无法接受。3高(High)I
13、T 资产为机密信息,对信息的访问只有必须使用者才予以授权,IT 资产机密性受破坏影响严重,用户蒙受损失,并且损失较难弥补。2中(Medium)信息为内部信息,公司内部可以授权访问,对信息潜在未授权访问影响重大,但是造成的损失可以弥补。1低(Low)信息为公开信息,对信息的访问无需特别授权。并且由于机密性原因造成的损失容易弥补。完整性赋值标准(完整性赋值标准(Integrity)根据 IT 资产完整性属性的不同,将它分为 4 个不同的等级,分别对应 IT资产在完整性方面的价值或者在完整性方面受到损失时对整个评估体的影响。赋值标准参照下表:赋值含义解释精选优质文档-倾情为你奉上专心-专注-专业4非
14、常高(Very High)对 IT 资产的未经授权的破坏或修改有重大影响,且可能导致 IT 资产价值损失非严重,用户无法接受3高(High)对信息的未经授权的破坏或修改有重大影响,且可能导致对信息价值资产损失严重,难以弥补2中(Medium)对 IT 资产的未经授权的破坏或修改造成影响,且可能导致对 IT 资产价值损失,但可以弥补。1低(Low)对 IT 资产的未经授权的破坏或修改不会产生重大影响。且可能导致对 IT 资产价值轻微损失,但容易弥补。可用性赋值标准(可用性赋值标准(Availability)根据 IT 资产可用性属性的不同,将它分为 4 个不同的等级,分别对应 IT资产在可用性方
15、面的价值或者在可用性方面受到损失时对整个评估体的影响。赋值标准参照下表:赋值含义解释4非常高(Very High)合法使用者对信息的存取可用度达到年度 99.9%及以上。3高(High)合法使用者对信息的存取可用度达到年度 95%以上。2中(Medium)合法使用者对信息的存取可用度在正常工作时间达到100%。1低(Low)合法使用者对信息的存取可用度在正常工作时间至少达到 50%以上。IT 资产等级计算资产等级计算通过前面对 IT 资产安全属性的赋值,可以判断该资产在陕西广电经营活动中的价值,经过资产的价值等级计算,陕西广电就可以非常明确的对资产采用分类保护措施,从而达到保障陕西广电经营活动
16、的目标。IT 资产等级的计算主要来源于 ISO27001 的 CIA 属性,同时参考最佳实践,根据陕西广电的企业特点,对完整性要求较高、保密性其次的特点,设计了如下公式对资产等级进行精选优质文档-倾情为你奉上专心-专注-专业计算。资产价值(V)=Round1Log2(A2Conf+B2Int+C2Ava)/3注:A 代表机密性的权值;B 代表完整性的权值;C 代表可用性的权值Round函数是按制定位数,对数值四舍五入,Round1表示保留1位小数。根据国际上对三类行业的权值定义惯例电信运营商(最关注可用性):A=0.7,B=0.7,C1.6;金融行业(最关注完整性):A=0.7,B=1.6,C
17、0.7;政府涉密部门(最关注机密性):A=1.6,B=0.7,C0.7;陕西广电企业性质为电信运营商,因此权值分别取:A=0.7,B=0.7,C1.6并通过下表进行分类等级价值分类资产价值1较低=3.5第四章第四章陕西广电陕西广电 IT 资产等级分类资产等级分类操作方法操作方法IT 资产等级分类方法资产等级分类方法本章节主要指导陕西广电对 IT 资产等级分类的操作方法,以利于合理有效的完成 IT 资产等级分类的工作。精选优质文档-倾情为你奉上专心-专注-专业陕西广电陕西广电 IT 资产登记资产登记首先,先要将整个分类标准对陕西广电相关收集人员进行讲解,让其充分了解。其次由相关资产负责人对照各收
18、集表进行登记。以下建议了提供人员,在实际收集中可根据实际情况进行调整。信息系统表建议由使用信息系统的管理人员填写或管理人员委托给对信息系统非常了解的人员填写。信息资产表:以业务系统表为基础,对应用系统应用、管理人员进行访谈,以访谈的内容结果填写信息资产表。主机资产表:精选优质文档-倾情为你奉上专心-专注-专业将此表下发各主机系统维护人员填写。网络、安全设备表:由网络维护人员填写。数据库表:由数据库管理人员填写。IT 电子文档由相关层次文档的制定或发布者提供。陕西广电陕西广电 IT 资产安全属性赋值资产安全属性赋值陕西广电 IT 资产分类表填写之后,需对填写的结果进行整理,并与各填表人员进行沟通,对 IT 资产进行 CI
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 二零二四年建筑装饰设计合同2篇
- 2024年度授权代理合同标的为进口商品代理3篇
- 2024版物联网应用开发建设项目合同2篇
- 二零二四年度软件测试与优化服务合同2篇
- 2024版数据服务与处理合同2篇
- 管道清淤施工承包合同
- 房屋买卖合同公证所需文件2024年一览3篇
- 基于二零二四年度5G技术的智能交通系统建设合同3篇
- 二零二四年度医疗设备租赁合同(含安装与培训)
- 2024年度网络游戏开发与运营合同.3篇
- 小学生校园文明礼仪教育课件
- 电缆绝缘电阻测试记录表格模板
- 2022年工程勘察设计收费管理规定
- DB44∕T 858-2011 空调器高处作业安全规范
- 实验室十大危险操作和安全隐患
- 01第三届北京市大学生模拟法庭竞赛第一轮赛题B
- Pixhawk飞控快速使用指南
- 铝合金模板工程水电精确定位施工工艺
- 红色大气乘风破浪开拓未来年会PPT模板课件
- 顺丰快递公司视觉识别VI手册(清晰电子版)
- 家庭教育讲座必备(课堂PPT)
评论
0/150
提交评论