ISO27001信息资产识别与分类培训

ISO27001信息资产识别与分类myulo:企业管理实战专家信息安全事件损失估算直接损失：（水上面的部分）损失了数据间接损失（5~30倍直接损失）损失了时间替代成本法律费用声誉受损丢失了潜在业务生产力受损信息安全评估标准国外标准信息技术安全性评估准则ISO15408，GB/T18336ISO13335信息安全管理规范信息安全管理标准ISO17799国内标准信息安全风险评估指南风险管理各要素之间的关系依赖拥有被满足利用暴露增加导出演变未控制可能诱发残留成本业务战略资产威胁安全需求事件残余风险安全措施资产价值脆弱性风险风险评估的相关术语资产（Asset）任何对组织有价值的东西，是一个完整信息系统的组成部分，是风险评估的对象。威胁（Threat）可能导致对系统或组织的损害的不期望事件发生的潜在原因脆弱性（Vulnerability）可能会被一个或多个威胁所利用的资产或一组资产的弱点风险分析原理资产识别脆弱性识别威胁识别价值严重程度出现的频率损失可能性风险值资产识别与分类数据存在信息媒介上的各种数据资料，包括源代码、数据库数据、系统文档、运行管理规程、计划、报告、用户手册等软件系统软件、应用软件、源程序、数据库等硬件网络设备、计算机设备、存储设备、移动存储设备、传输线路、保障设备、安全保障设备、其他电子设备等文档纸质的各种文件、传真、电报、财务报告、发展计划等人员各级人员服务办公服务、网络服务、信息服务等资产例子——信息资产资产所有者/位置资产编号薪资方案表服务器采购合同表-供应商服务器采购合同表-订约人服务器区域销售合同服务器股票控制记录服务器销售合同-Access数据库服务器供应商清单-Access数据库服务器金碟财务记录服务器销售代理清单市场&销售邮件服务器培训资料市场&销售资产例子——纸质文件资产所有者/位置资产编号供应商合同财务供应商合同物流供应商合同市场&销售财务合同财务预算财务销售合同（信用卡）财务销售合同（信用卡）区域经理销售合同物流销售合同市场&销售银行声明财务账单财务合同发票财务客户信息市场&销售资产例子——纸质文件资产所有者/位置资产编号退税财务信件财务信件市场&销售公司介绍财务外包服务合同物流快信投寄单物流供应商清单物流客户信息市场&销售个人文件市场&销售资产例子——软件资产资产所有者/位置资产编号Windows98operatingsystem财务×3Windows98operatingsystem物流×5Windows98operatingsystem货仓Windows98operatingsystem市场&销售MicrosoftWord2000财务×3MicrosoftWord2000物流×5MicrosoftWord2000市场&销售×2MicrosoftAccess2000财务×3MicrosoftAccess2000物流×5MicrosoftAccess2000货仓MicrosoftAccess2000市场&销售×2MicrosoftPowerPoint2000财务×3MicrosoftPowerPoint2000物流×5MicrosoftPowerPoint2000市场&销售×2资产例子——软件资产资产所有者/位置资产编号MicrosoftOutlook2000财务×3MicrosoftOutlook2000物流×5MicrosoftOutlook2000货仓MicrosoftOutlook2000市场&销售×2金碟财务软件财务×3PCAnywhere远程监控货仓PCAnywhere远程监控服务器PCAnywhere远程监控市场&销售金碟K3仓储软件货仓PrettyGoodPrivacy服务器资产例子——实体资产资产所有者/位置资产编号桌上个人电脑财务×3桌上个人电脑物流×5桌上个人电脑货仓桌上个人电脑市场&销售×2电话财务×3电话物流×5电话货仓电话市场&销售×3传真机物流保险箱财务储藏柜财务×2储藏柜物流×3储藏柜市场&销售×3计算器财务×3资产例子——实体资产资产所有者/位置资产编号调制解调器货仓调制解调器服务器激光打印机物流激光打印机货仓复印机物流笔记本电脑总经理网络集中器网络×2以太网卡市场&销售×2以太网卡物流×5以太网卡财务×3磁带驱动器服务器备份磁带服务器×3DVD刻录机服务器存档CD/DVD服务器资产例子——服务资产所有者/位置资产编号服务器市场&销售电话系统（交换总机）物流服务器UPS服务器其他资产例子1序号资产类别资产名称资产编号所在位置责任人是否重要信息资产及理由备注硬件笔记本电脑随身携带XXX是；办公用硬件手机随身携带XXX是；有用来联系业务，顾问讲课录音用硬件U盘办公室XXX是；存放客户资料与公司资料硬件传真机办公室XXX是；与客户互发传真硬件电话办公室XXX是；与客户联系用硬件扫描打印一体机办公室XXX是；打印扫描公司重要资料硬件热熔机办公室XXX是；装订重要文件硬件路由器办公室XXX是；公司电脑共享上网硬件上网猫办公室XXX是；公司上网用硬件投影仪办公室XXX是；公司例会，顾问去客户那里讲课用硬件照相机办公室XXX是；客户启动大会拍照用其他资产例子2资产编码资产名称类别位置用途应用情况责任人备份位置EB-DOC-010OA源代码数据192.168.0.5修改频繁XXX220.28.9.224EB-SOF-001Windows操作系统系统软件10.10.5.160XXXEB-SOF-002HP-UX操作系统系统软件220.28.9.224XXXEB-SOF-003ORACLE应用软件10.10.5.160数据库XXXEB-SOF-004TurboLinux操作系统系统软件10.10.5.19XXXEB-SOF-005WindowsExchangeserver应用软件192.168.2.17邮件服务XXXEB-DAT-001客户购物信息（来自EBS）数据10.10.5.25XXX220.28.9.224EB-DAT-002用户注册信息（来自EBS）数据10.10.5.25XXX220.28.9.224EB-DAT-003邮件信息数据192.168.2.17XXX220.28.9.224EB-DAT-004邮件配置信息数据192.168.2.17XXX220.28.9.2247.1.2资产责任人指定部门或人员承担责任。资产责任人应负责：a)确保与信息处理设施相关的信息和资产进行了适当的分类；b)确定并周期性评审访问限制和分类，要考虑到可应用的访问控制策略。所有权可以分配给：a)业务过程；b)已定义的活动集；c)应用；d)已定义的数据集。其它信息1.日常任务可以委派给其他人，例如委派给一个管理人员每天照看资产，但责任人仍保留职责。2.在复杂的信息系统中，将一组资产指派给一个责任人，可能是比较有用的，它们一起工作来提供特殊的“服务”功能。在这种情况下，服务责任人负责提供服务，包括资产本身提供的功能。信息资产识别表样版序号资产类别资产名称资产编号所在位置负责人备注信息安全的属性保密性Confidentiality完整性integrity可用性Availability安全资产机密性赋值表赋值标识定义5极高包含组织最重要的秘密，关系未来发展的前途命运，对组织根本利益有着决定性影响，如果泄漏会造成灾难性的损害4高包含组织的重要秘密，其泄露会使组织的安全和利益遭受严重损害3中等包含组织的一般性秘密，其泄露会使组织的安全和利益受到损害2低包含仅能在组织内部或在组织某一部门内部公开的信息，向外扩散有可能对组织的利益造成损害1可忽略包含可对社会公开的信息，公用的信息处理设备和系统资源等资产完整性赋值表赋值标识定义5极高完整性价值非常关键，未经授权的修改或破坏会对组织造成重大的或无法接受的影响，对业务冲击重大，并可能造成严重的业务中断，难以弥补4高完整性价值较高，未经授权的修改或破坏会对组织造成重大影响，对业务冲击严重，比较难以弥补3中等完整性价值中等，未经授权的修改或破坏会对组织造成影响，对业务冲击明显，但可以弥补2低完整性价值较低，未经授权的修改或破坏会对组织造成轻微影响，可以忍受，对业务冲击轻微，容易弥补1可忽略完整性价值非常低，未经授权的修改或破坏对组织造成的影响可以忽略，对业务冲击可以忽略资产可用性赋值表赋值标识定义5极高可用性价值非常高，合法使用者对信息及信息系统的可用度达到年度99.9%以上4高可用性价值较高，合法使用者对信息及信息系统的可用度达到每天90%以上3中等可用性价值中等，合法使用者对信息及信息系统的可用度在正常工作时间达到70%以上2低可用性价值较低，合法使用者对信息及信息系统的可用度在正常工作时间达到25%以上1可忽略可用性价值可以忽略，合法使用者对信息及信息系统的可用度在正常工作时间低于25%myulo:企业管理实战专家-END-