ISO27001信息资产识别和分类培训共25张课件

1、ISO27001信息资产识别与分类myulo:企业管理实战专家第1页，共25页。信息安全事件损失估算直接损失：（水上面的部分）损失了数据间接损失（530倍直接损失）损失了时间替代成本法律费用声誉受损丢失了潜在业务生产力受损第2页，共25页。信息安全评估标准国外标准信息技术安全性评估准则ISO15408，GB/T18336ISO13335信息安全管理规范信息安全管理标准ISO17799国内标准信息安全风险评估指南 第3页，共25页。风险管理各要素之间的关系依赖拥有被满足抗击利用暴露降低增加增加增加导出演变未被满足未控制可能诱发残留成本业务战略资产威胁安全需求事件残余风险安全措施资产价值脆弱性风险

2、第4页，共25页。风险评估的相关术语资产（Asset）任何对组织有价值的东西，是一个完整信息系统的组成部分，是风险评估的对象。威胁（Threat） 可能导致对系统或组织的损害的不期望事件发生的潜在原因脆弱性（Vulnerability）可能会被一个或多个威胁所利用的资产或一组资产的弱点第5页，共25页。风险分析原理资产识别脆弱性识别威胁识别价值严重程度出现的频率损失可能性风险值第6页，共25页。资产识别与分类数据存在信息媒介上的各种数据资料，包括源代码、数据库数据、系统文档、运行管理规程、计划、报告、用户手册等软件系统软件、应用软件、源程序、数据库等硬件网络设备、计算机设备、存储设备、移动存储

3、设备、传输线路、保障设备、安全保障设备、其他电子设备等文档纸质的各种文件、传真、电报、财务报告、发展计划等人员各级人员服务办公服务、网络服务、信息服务等第7页，共25页。资产例子信息资产资产所有者/位置资产编号薪资方案表服务器采购合同表-供应商服务器采购合同表-订约人服务器区域销售合同服务器股票控制记录服务器销售合同-Access数据库服务器供应商清单-Access数据库服务器金碟财务记录服务器销售代理清单市场&销售邮件服务器培训资料市场&销售第8页，共25页。资产例子纸质文件资产所有者/位置资产编号供应商合同财务供应商合同物流供应商合同市场&销售财务合同财务预算财务销售合同（信用卡）财务销售

4、合同（信用卡）区域经理销售合同物流销售合同市场&销售银行声明财务账单财务合同发票财务客户信息市场&销售第9页，共25页。资产例子纸质文件资产所有者/位置资产编号退税财务信件财务信件市场&销售公司介绍财务外包服务合同物流快信投寄单物流供应商清单物流客户信息市场&销售个人文件市场&销售第10页，共25页。资产例子软件资产资产所有者/位置资产编号Windows98 operating system财务3Windows98 operating system物流5Windows98 operating system货仓Windows98 operating system市场&销售Microsoft Wo

5、rd 2000财务3Microsoft Word 2000物流5Microsoft Word 2000市场&销售2Microsoft Access 2000财务3Microsoft Access 2000物流5Microsoft Access 2000货仓Microsoft Access 2000市场&销售2Microsoft PowerPoint 2000财务3Microsoft PowerPoint 2000物流5Microsoft PowerPoint 2000市场&销售2第11页，共25页。资产例子软件资产资产所有者/位置资产编号Microsoft Outlook 2000财务3Mic

6、rosoft Outlook 2000物流5Microsoft Outlook 2000货仓Microsoft Outlook 2000市场&销售2金碟财务软件财务3PC Anywhere远程监控货仓PC Anywhere远程监控服务器PC Anywhere远程监控市场&销售金碟K3仓储软件货仓Pretty Good Privacy服务器第12页，共25页。资产例子实体资产资产所有者/位置资产编号桌上个人电脑财务3桌上个人电脑物流5桌上个人电脑货仓桌上个人电脑市场&销售2电话财务3电话物流5电话货仓电话市场&销售3传真机物流保险箱财务储藏柜财务2储藏柜物流3储藏柜市场&销售3计算器财务3第13

7、页，共25页。资产例子实体资产资产所有者/位置资产编号调制解调器货仓调制解调器服务器激光打印机物流激光打印机货仓复印机物流笔记本电脑总经理网络集中器网络2以太网卡市场&销售2以太网卡物流5以太网卡财务3磁带驱动器服务器备份磁带服务器3DVD刻录机服务器存档CD/DVD服务器第14页，共25页。资产例子服务资产所有者/位置资产编号服务器市场&销售电话系统（交换总机）物流服务器UPS服务器第15页，共25页。其他资产例子1序号资产类别资产名称资产编号所在位置责任人是否重要信息资产及理由备注硬件笔记本电脑随身携带XXX是；办公用硬件手机随身携带XXX是；有用来联系业务，顾问讲课录音用硬件U盘办公室X

8、XX是；存放客户资料与公司资料硬件传真机办公室XXX是；与客户互发传真硬件电话办公室XXX是；与客户联系用硬件扫描打印一体机办公室XXX是；打印扫描公司重要资料硬件热熔机办公室XXX是；装订重要文件硬件路由器办公室XXX是；公司电脑共享上网硬件上网猫办公室XXX是；公司上网用硬件投影仪办公室XXX是；公司例会，顾问去客户那里讲课用硬件照相机办公室XXX是；客户启动大会拍照用第16页，共25页。其他资产例子2资产编码资产名称类别位置用途应用情况责任人备份位置EB-DOC-010OA源代码数据192.168.0.5修改频繁XXX220.28.9.224EB-SOF-001Windows操作系统系统

9、软件10.10.5.160XXXEB-SOF-002HP-UX操作系统系统软件220.28.9.224XXXEB-SOF-003ORACLE应用软件10.10.5.160数据库XXXEB-SOF-004Turbo Linux操作系统系统软件10.10.5.19XXXEB-SOF-005Windows Exchange server应用软件192.168.2.17邮件服务XXXEB-DAT-001客户购物信息（来自EBS）数据10.10.5.25XXX220.28.9.224EB-DAT-002用户注册信息（来自EBS）数据10.10.5.25XXX220.28.9.224EB-DAT-003邮

10、件信息数据192.168.2.17XXX220.28.9.224EB-DAT-004邮件配置信息数据192.168.2.17XXX220.28.9.224第17页，共25页。7.1.2资产责任人指定部门或人员承担责任。资产责任人应负责：确保与信息处理设施相关的信息和资产进行了适当的分类；确定并周期性评审访问限制和分类，要考虑到可应用的访问控制策略。所有权可以分配给：业务过程；已定义的活动集；应用；已定义的数据集。其它信息日常任务可以委派给其他人，例如委派给一个管理人员每天照看资产，但责任人仍保留职责。在复杂的信息系统中，将一组资产指派给一个责任人，可能是比较有用的，它们一起工作来提供特殊的“服

11、务”功能。在这种情况下，服务责任人负责提供服务，包括资产本身提供的功能。第18页，共25页。信息资产识别表样版序号资产类别资产名称资产编号所在位置负责人备注第19页，共25页。信息安全的属性保密性Confidentiality完整性integrity可用性Availability安全第20页，共25页。资产机密性赋值表赋值标识定 义5极高包含组织最重要的秘密，关系未来发展的前途命运，对组织根本利益有着决定性影响，如果泄漏会造成灾难性的损害 4高包含组织的重要秘密，其泄露会使组织的安全和利益遭受严重损害3中等包含组织的一般性秘密，其泄露会使组织的安全和利益受到损害2低包含仅能在组织内部或在组织某

12、一部门内部公开的信息，向外扩散有可能对组织的利益造成损害1可忽略包含可对社会公开的信息，公用的信息处理设备和系统资源等第21页，共25页。资产完整性赋值表赋值标识定 义5极高完整性价值非常关键，未经授权的修改或破坏会对组织造成重大的或无法接受的影响，对业务冲击重大，并可能造成严重的业务中断，难以弥补4高完整性价值较高，未经授权的修改或破坏会对组织造成重大影响，对业务冲击严重，比较难以弥补3中等完整性价值中等，未经授权的修改或破坏会对组织造成影响，对业务冲击明显，但可以弥补2低完整性价值较低，未经授权的修改或破坏会对组织造成轻微影响，可以忍受，对业务冲击轻微，容易弥补1可忽略完整性价值非常低，未经授权的修改或破坏对组织造成的影响可以忽略，对业务冲击可以忽略第22页，共25页。资产可用性赋值表赋值标识定 义5极高可用性价值非常高，合法使用者对信息及信息系统的可用度达到年度99.9%以上4高可用性价值较高，合法使用者对信息及信息系统的可用度