[原创]什么是信息安全资产管理?
1 什么是资产?是任何对组织有价值的东西;
2 什么是信息资产? 是具有价值的信息或资源,它能够以多种形式存在,有无形的,有形的。在ISO17799中,对信息的定义更确切、具体:“信息是一种资产,像其他重要的业务资产一样,对组织具有价值,因此需要妥善保护”。
3 什么信息安全资产管理流程:(1)首先要明确什么是信息资产 (2)资产识别 (3) 资产的评价 (4)资产风险评估(5)资产的管理 ;
4 资产识别其中资产识别需要考虑的有:
(1)信息资产:数据库和数据文件、合同和协议、 系统文件、研究信息、用户手册、培训材料、操作或支 持程序、业务连续性计划、后备运行安排、审计记录、 归档的信息;
(2)软件资产:应用软件、系统软件、开发工具和 实用程序;
(3)物理资产:计算机设备、通信设备、可移动媒 体和其他设备;
(4)服务:计算和通信服务、通用公用事业,例如, 供暖、照明、能源、空调;
(5)人员及其资格、技能和经验;
无形资产,如组织的声誉和形象。简单来讲就是有形资产和无形资产。
所有的资产对组织来讲都是有用的,当然要进行“资产评价”,通常资产评价依据:信息的机密 性(安全性)、完整性、可用性及其他需求进行评估。
5 资产评价10大因素:
(1)获取或开发该资产所需的成本;
(2)维护和保护该资产所需的成本;
(3)该资产对所有者和用户所具有的价值;
(4)该资产对竞争对手所具有的价值;
(5)知识产权的价值;
(6)其他人愿意为购买该资产所付出的价格;
(7)在损失的情况下替换该资产所付出的资格;
(8)在该资产不可用的情况下损失的运行和工作能力;
(9)该资产贬值时的债务问题;
(10)该资产的用处。 其中,资产赋值比较常用的方式是 采用定性分级的方式建立资产的相对价值,以相对价 值来作为确定重要资产的依据和为这种资产的保护 投入多大资源的依据。
6 资产风险评估:实施控制 措施以避免、转移和降低风险至可接受 水平。
(1)威胁识别(威胁是对组织及其资产构成潜在破坏的可能性因素或者事件)其中威胁受影响4因素:
1)资产的吸引力;
2)资产转化成报酬的容易程度;
3)威胁的技术力量;
4)脆弱性被利用的难易程度。
2)脆弱性识别 (脆弱性识别可通过脆弱性评估来完成,弱点是资 产本身存在的,它可以被威胁利用,引起资产或商业 目标的损害) 。
脆弱性识别所采用的方法主要为:问卷调查、人员问询、工具扫描、手动检查、文档审查、渗透测试等。
(3) 风险评估 完成威胁发生的频率或者发生的概率和脆弱性赋值后,可通过如下公式计算资产所受到的风险:R= f(A,V,T)=f(Ia,L(Va,T)) R 表示风险;
A 表示资产;V 表示脆弱性;T 表示威胁;Ia 表示资产发生安全事件后对机构业务的影响(也称为资产的重要程度);
Va 表示某一资产 本身的脆弱性,L 表示威胁利用资产的脆弱性造成安 全事件发生的可能性。
(4)安全控制措施选择与实施
(1)资产所要求的保障程度;
(2)成本;
(3)实施的容易性;
(4)法律法规的要求;
(5)客户及其他合同要求。
(5) 风险接受 对残余的风险加以分类,可以 是“可接受的”或是“不可接受的”。
7 资产管理 在信息安全管理体系建立、实施和运行过程中, 资产主要采取以下几种控制方式进行管理:
(1)资产清单
(1.1)新的资产的采购和获得;
(1.2)原有信息 资产的级别变更;
(1.3)资产的时效性;
(1.4)法律法规及合同方要求的变更。
(2)资产责任人
(3)可接受的资产使用
(4)分类指南
(5) 信息的标记和处理
(6) 明确使用管理
6.1)涉密信息的保管
6.2)涉密信息的访问权限
6.3)涉密信息的使用
6.4)涉密信息的发送
最后用一句话描述:信息资产作为信息安全管理体系的作用对象,信息资产管理在整个信息安全管理体系的建立、实施和运行中有着重要的地位。