【文章內(nèi)容簡(jiǎn)介】 ，另一方面主要考慮當(dāng)這種資產(chǎn)的機(jī)密性、完整性、可用性受到損害時(shí)，對(duì)業(yè)務(wù)運(yùn)營(yíng)的負(fù)面影響程度。在信息安全管理中，并不是直接采用資產(chǎn)的賬面價(jià)值，在運(yùn)維中心風(fēng)險(xiǎn)評(píng)估中采用以定性分級(jí)的方式建立資產(chǎn)的相對(duì)價(jià)值，以相對(duì)價(jià)值來(lái)作為確定重要資產(chǎn)的依據(jù)和為這種資產(chǎn)的保護(hù)投入多大資源的依據(jù)。 資產(chǎn)分類 運(yùn)維中心資產(chǎn)分類見下表：大類 小類 名稱H010 大型機(jī)H020 小型機(jī)H030 PC 服務(wù)器H040 PC 臺(tái)式機(jī)H050 PC 移動(dòng)電腦硬件類H060 業(yè)務(wù)終端15大類 小類 名稱H070 通訊設(shè)施H080 網(wǎng)絡(luò)交換機(jī)H090 網(wǎng)絡(luò)路由器H100 負(fù)載均衡器H110 網(wǎng)絡(luò)安全設(shè)備H120 數(shù)據(jù)存儲(chǔ)設(shè)備H130 移動(dòng)存儲(chǔ)設(shè)備H140 存儲(chǔ)介質(zhì)H150 紙質(zhì)文檔H160 智能卡設(shè)備H170 UPS 設(shè)備H180 發(fā)電機(jī)H190 設(shè)備管理間H200 電線電纜H210 顯示設(shè)備H220 監(jiān)控設(shè)備H230 傳真機(jī)/傳真系統(tǒng)H240 照明設(shè)施H250 供電設(shè)施H260 供水設(shè)施H270 暖通空調(diào)H280 消防設(shè)施H290 門禁系統(tǒng)H300 打印機(jī)H310 復(fù)印機(jī)H320 掃描儀H330 投影機(jī)H340 機(jī)架16大類 小類 名稱S010 核心業(yè)務(wù)應(yīng)用系統(tǒng)S020 輔助業(yè)務(wù)應(yīng)用系統(tǒng)S030 網(wǎng)絡(luò)基礎(chǔ)應(yīng)用系統(tǒng)S040 網(wǎng)絡(luò)安全系統(tǒng)S050 操作系統(tǒng)S060 數(shù)據(jù)庫(kù)S070 中間件S080 軟件開發(fā)工具S090 軟件測(cè)試工具系統(tǒng)服務(wù)類S100 其他系統(tǒng)或服務(wù)I010 軟件I020 開發(fā)文檔及源代碼I030 用戶文檔I040 系統(tǒng)業(yè)務(wù)數(shù)據(jù)I050 系統(tǒng)支撐數(shù)據(jù)I060 密碼數(shù)據(jù)信息類I070 其他F010 通訊服務(wù)F020 系統(tǒng)運(yùn)行F030 系統(tǒng)維護(hù)F040 軟件開發(fā)F050 軟件維護(hù)F060 安全保衛(wèi)F070 人力資源服務(wù)F080 財(cái)務(wù)服務(wù)F090 供電F100 供暖支撐服務(wù)類F110 消防17大類 小類 名稱F120 照明F130 空調(diào)F140 咨詢服務(wù)F150 培訓(xùn)服務(wù)F160 審計(jì)服務(wù)R010 管理層人員R020 網(wǎng)絡(luò)管理人員R030 系統(tǒng)管理人員R040 安全管理人員R050 軟件開發(fā)人員R060 軟件測(cè)試人員R070 通訊管理人員R080 文檔管理人員R090 系統(tǒng)用戶R100 企業(yè)客戶R110 簽約供應(yīng)商R120 第三方人員人員類R130 臨時(shí)人員W010 公信力 W020 組織形象與聲譽(yù) W030 商標(biāo)W040 產(chǎn)品名稱無(wú)形資產(chǎn)類W050 知識(shí)產(chǎn)權(quán)表 52 資產(chǎn)分類表 資產(chǎn)價(jià)值屬性除了機(jī)密性、完整性和可用性外，在運(yùn)維中心風(fēng)險(xiǎn)評(píng)估中引入系統(tǒng)對(duì)業(yè)務(wù)的重要程度、資產(chǎn)對(duì)系統(tǒng)的重要程度，資產(chǎn)花費(fèi)等資產(chǎn)價(jià)值屬性，各價(jià)值屬性圖示如下：18系 統(tǒng) 對(duì) 業(yè) 務(wù) 的 重 要 程 度系 統(tǒng) 服 務(wù) 范 圍業(yè) 務(wù) 對(duì) 系 統(tǒng) 的 依 賴 程 度信 息 保 密 性信 息 完 整 性信 息 可 用 性資 產(chǎn) 信 息重 要 性資 產(chǎn) 對(duì) 業(yè)務(wù) 的 重 要程 度資 產(chǎn) 對(duì) 系 統(tǒng) 的 重 要 程 度資 產(chǎn) 業(yè)務(wù) 價(jià) 值花 費(fèi)資 產(chǎn) 價(jià) 值圖 52 資產(chǎn)價(jià)值屬性1. 系統(tǒng)服務(wù)范圍：說(shuō)明當(dāng)前業(yè)務(wù)系統(tǒng)應(yīng)用或服務(wù)的范圍，評(píng)估人員可以人工分析并選擇系統(tǒng)服務(wù)范圍值。2. 業(yè)務(wù)對(duì)系統(tǒng)的依賴程度：用于衡量部門業(yè)務(wù)對(duì)當(dāng)前業(yè)務(wù)系統(tǒng)的依賴程度，評(píng)估人員可以人工分析并選擇業(yè)務(wù)對(duì)系統(tǒng)的依賴程度值。3. 系統(tǒng)對(duì)業(yè)務(wù)的重要程度：用于衡量業(yè)務(wù)系統(tǒng)對(duì)業(yè)務(wù)的重要性，其值由系統(tǒng)服務(wù)范圍和業(yè)務(wù)對(duì)系統(tǒng)的依賴程度確定。4. 信息保密性：說(shuō)明信息資產(chǎn)本身或硬件、系統(tǒng)服務(wù)類資產(chǎn)所包含信息的保密性價(jià)值，評(píng)估人員可以人工分析并選擇信息保密性值。5. 信息完整性：說(shuō)明信息資產(chǎn)本身或硬件、系統(tǒng)服務(wù)類資產(chǎn)所包含信息的完整性價(jià)值，評(píng)估人員可以人工分析并選擇信息完整性值。6. 信息可用性：說(shuō)明信息資產(chǎn)本身或硬件、系統(tǒng)服務(wù)類資產(chǎn)所包含信息的可用性價(jià)值，評(píng)估人員可以人工分析并選擇信息可用性值。7. 資產(chǎn)信息重要性：用于衡量信息資產(chǎn)本身或硬件、系統(tǒng)服務(wù)類資產(chǎn)所包含信息的信息價(jià)值，其值由信息保密性、信息完整性和信息可用性確定。8. 資產(chǎn)對(duì)系統(tǒng)的重要程度：用于衡量硬件、系統(tǒng)服務(wù)類資產(chǎn)對(duì)業(yè)務(wù)系統(tǒng)的可用性價(jià)值，評(píng)估人員可以人工分析并選擇對(duì)系統(tǒng)的重要程度值。9. 資產(chǎn)對(duì)業(yè)務(wù)的重要程度：用于衡量硬件、系統(tǒng)服務(wù)類資產(chǎn)對(duì)業(yè)務(wù)的重要性，其值由系統(tǒng)對(duì)業(yè)務(wù)的重要程度和資產(chǎn)對(duì)系統(tǒng)的重要程度確定。10. 資產(chǎn)業(yè)務(wù)價(jià)值：用于衡量硬件、系統(tǒng)服務(wù)、人員及其它類資產(chǎn)對(duì)業(yè)務(wù)的價(jià)值，對(duì)于人員及無(wú)形類資產(chǎn)，其值由對(duì)業(yè)務(wù)的重要程度確定，對(duì)于硬件、系統(tǒng)服務(wù)類資產(chǎn)，其值由對(duì)業(yè)務(wù)的重要程度和資產(chǎn)信息重要性確定。11. 花費(fèi)：用于衡量購(gòu)買或恢復(fù)被破壞的資產(chǎn)所需要的花消，評(píng)估人員可以19人工分析并選擇花費(fèi)值。12. 資產(chǎn)價(jià)值：用于表示資產(chǎn)的重要性，其值由資產(chǎn)業(yè)務(wù)價(jià)值和花費(fèi)確定。不同類別資產(chǎn)賦值可能采用不同的價(jià)值屬性。具體見下表：資產(chǎn)類別價(jià)值屬性硬件類 系統(tǒng)服務(wù)類 信息類 支撐服務(wù) 人員 無(wú)形資產(chǎn)系統(tǒng)服務(wù)范圍 √ √ √ √ √業(yè)務(wù)對(duì)系統(tǒng)的依賴程度 √ √ √ √ √系統(tǒng)對(duì)業(yè)務(wù)的重要程度 √ √ √ √ √保密性 √ √完整性 √ √可用性 √ √ √ √ √資產(chǎn) CIA 重要性 √ √ √ √ √資產(chǎn)對(duì)系統(tǒng)的重要程度 √ √ √ √ √資產(chǎn)對(duì)業(yè)務(wù)的重要程度 √ √ √ √ √資產(chǎn)業(yè)務(wù)價(jià)值 √ √ √ √ √花費(fèi) √ √ √ √ √表 53 不同資產(chǎn)采用的價(jià)值屬性 資產(chǎn)價(jià)值屬性賦值標(biāo)準(zhǔn)運(yùn)維中心風(fēng)險(xiǎn)評(píng)估使用的資產(chǎn)屬性賦值標(biāo)準(zhǔn)見下表：? 系統(tǒng)服務(wù)范圍賦值系統(tǒng)服務(wù)范圍賦值 描述1 運(yùn)維中心內(nèi)部。2 面向開發(fā)基地。3 面向整個(gè)公司內(nèi)部。4 面向整個(gè)公司內(nèi)部及客戶、政府、組織等。表 54 系統(tǒng)服務(wù)范圍賦值表20? 業(yè)務(wù)對(duì)系統(tǒng)的依賴程度賦值業(yè)務(wù)對(duì)系統(tǒng)依賴程度賦值描述1整個(gè)業(yè)務(wù)處理流程可以通過(guò)手工方式或其他方式完成，而且這些替代方式對(duì)組織業(yè)務(wù)的開展沒(méi)有或極少影響。2整個(gè)業(yè)務(wù)處理流程可以通過(guò)手工方式或其他方式完成，但這些替代方式對(duì)組織業(yè)務(wù)的開展有較大的影響。3業(yè)務(wù)處理流程的部分環(huán)節(jié)可以通過(guò)手工方式或其他方式替代完成, 這些替代方式對(duì)組織業(yè)務(wù)的開展有較大的影響。4 業(yè)務(wù)處理流程完全依賴信息系統(tǒng)，手工方式無(wú)法完成。表 55 業(yè)務(wù)對(duì)系統(tǒng)的依賴程度賦值表? 系統(tǒng)對(duì)業(yè)務(wù)的重要程度計(jì)算系統(tǒng)重要程度權(quán)值（W）＝系統(tǒng)服務(wù)范圍值+業(yè)務(wù)對(duì)系統(tǒng)依賴程度值系統(tǒng)重要程度值＝T1（W）T1 是非線性函數(shù)，用于將計(jì)算出的權(quán)值 W 映射到 5 級(jí)，得到系統(tǒng)重要程度值，見下表：系統(tǒng)對(duì)業(yè)務(wù)重要程度賦值 描述1 W={2，3}2 W={4}3 W={5}4 W={6}5 W={7，8}表 56 系統(tǒng)對(duì)業(yè)務(wù)的重要程度計(jì)算表? 信息保密性賦值信息保密性賦值 描述1 信息的未授權(quán)泄露對(duì)運(yùn)維中心的業(yè)務(wù)以及利益基本不會(huì)受到影響或損害極小。2 信息的未授權(quán)泄露對(duì)運(yùn)維中心的業(yè)務(wù)以及利益帶來(lái)21信息保密性賦值 描述一定的損失或破壞。3 信息的未授權(quán)泄露對(duì)運(yùn)維中心的業(yè)務(wù)、利益以及整個(gè)公司利益帶來(lái)嚴(yán)重的損失或破壞。4 信息的未授權(quán)泄露對(duì)運(yùn)維中心的業(yè)務(wù)、利益以及整個(gè)公司利益帶來(lái)極其嚴(yán)重的損失或破壞。5 信息的未授權(quán)泄露會(huì)對(duì)運(yùn)維中心的業(yè)務(wù)、利益以及整個(gè)公司利益帶來(lái)災(zāi)難性的損失或破壞。表 57 信息保密性賦值表? 信息完整性賦值信息完整性賦值 描述1 信息的未授權(quán)的修改或破壞對(duì)運(yùn)維中心的業(yè)務(wù)以及利益基本不會(huì)受到影響或損害極小。2 信息的未授權(quán)的修改或破壞對(duì)運(yùn)維中心的業(yè)務(wù)以及利益帶來(lái)一定的損失或破壞。3 信息的未授權(quán)的修改或破壞對(duì)運(yùn)維中心的業(yè)務(wù)、利益以及整個(gè)公司利益帶來(lái)嚴(yán)重的損失或破壞。4 信息的未授權(quán)的修改或破壞會(huì)對(duì)運(yùn)維中心的業(yè)務(wù)、利益以及整個(gè)公司利益帶來(lái)極其嚴(yán)重的損失或破壞。5 信息的未授權(quán)的修改或破壞會(huì)對(duì)運(yùn)維中心的業(yè)務(wù)、利益以及整個(gè)公司利益帶來(lái)災(zāi)難性的損失或破壞。表 58 信息完整性賦值表? 信息可用性賦值信息可用性賦值 描述1 可用性價(jià)值可以忽略，合法使用者對(duì)信息及信息系統(tǒng)的可用度在正常工作時(shí)間低于 25%2 可用性價(jià)值較低，合法使用者對(duì)信息及信息系統(tǒng)的可用度在正常工作時(shí)間達(dá)到 25%以上3 可用性價(jià)值中等，合法使用者對(duì)信息及信息系統(tǒng)的可用22信息可用性賦值 描述度在正常工作時(shí)間達(dá)到 70%以上4 可用性價(jià)值較高，合法使用者對(duì)信息及信息系統(tǒng)的可用度達(dá)到每天 90%以上5 可用性價(jià)值非常高，合法使用者對(duì)信息及信息系統(tǒng)的可用度達(dá)到年度 %以上表 59 信息可用性賦值表? 資產(chǎn) CIA 重要性計(jì)算資產(chǎn) CIA 重要性值＝MAX（保密性值、完整性值、可用性值）? 資產(chǎn)對(duì)系統(tǒng)的重要程度賦值對(duì)系統(tǒng)的重要程度賦值描述1資產(chǎn)出現(xiàn)問(wèn)題對(duì)整個(gè)業(yè)務(wù)系統(tǒng)的可用性影響極小或沒(méi)有影響。2 資產(chǎn)出現(xiàn)問(wèn)題對(duì)整個(gè)業(yè)務(wù)系統(tǒng)的可用性有一定的影響。3 資產(chǎn)出現(xiàn)問(wèn)題對(duì)整個(gè)業(yè)務(wù)系統(tǒng)的可用性有較大的影響。4 資產(chǎn)出現(xiàn)問(wèn)題將導(dǎo)致整個(gè)業(yè)務(wù)系統(tǒng)喪失可用性。表 510 資產(chǎn)對(duì)系統(tǒng)的重要程度賦值表? 資產(chǎn)對(duì)業(yè)務(wù)的重要程度計(jì)算資產(chǎn)對(duì)業(yè)務(wù)的重要程度權(quán)重(W)＝系統(tǒng)對(duì)業(yè)務(wù)的重要程度值資產(chǎn)對(duì)系統(tǒng)的重要程度值 資產(chǎn)對(duì)業(yè)務(wù)的重要程度值＝T2（W）T2 是非線性函數(shù)，用于將計(jì)算出的權(quán)值 W 映射到 5 級(jí)，得到資產(chǎn)對(duì)業(yè)務(wù)重要程度值，見下表：資產(chǎn)對(duì)業(yè)務(wù)重要程度賦值描述1 W={1，2}2 W={3，4，5}3 W={6，8，9}4 W={10，12}23資產(chǎn)對(duì)業(yè)務(wù)重要程度賦值描述5 W={15，16，20}表 511 資產(chǎn)對(duì)業(yè)務(wù)的重要程度計(jì)算表? 資產(chǎn)業(yè)務(wù)價(jià)值計(jì)算資產(chǎn)業(yè)務(wù)價(jià)值＝MAX（資產(chǎn)對(duì)業(yè)務(wù)的重要程度值、資產(chǎn) CIA 重要性值）? 花費(fèi)賦值資產(chǎn)花費(fèi)賦值 描述1 購(gòu)買或恢復(fù)資產(chǎn)花費(fèi)= 萬(wàn)元。2 萬(wàn)元購(gòu)買或恢復(fù)資產(chǎn)花費(fèi)1 萬(wàn)元。3 1 萬(wàn)元購(gòu)買或恢復(fù)資產(chǎn)花費(fèi)10 萬(wàn)元。4 10 萬(wàn)元購(gòu)買或恢復(fù)資產(chǎn)花費(fèi)50 萬(wàn)元。5 50 萬(wàn)元購(gòu)買或恢復(fù)資產(chǎn)花費(fèi)表 512 資產(chǎn)花費(fèi)賦值表? 資產(chǎn)價(jià)值計(jì)算資產(chǎn)價(jià)值＝MAX（資產(chǎn)業(yè)務(wù)價(jià)值、花費(fèi)） 威脅評(píng)估威脅是一種對(duì)運(yùn)維中心資產(chǎn)構(gòu)成潛在破壞的可能性因素或者事件。無(wú)論對(duì)于實(shí)施多少安全控制的信息系統(tǒng)，威脅始終是一個(gè)客觀存在的，因此在風(fēng)險(xiǎn)評(píng)估中威脅是需要考慮的重要因素之一。威脅可以通