信息资产分类标准12页文档资料.docx
- 文档编号:10910395
- 上传时间:2023-02-23
- 格式:DOCX
- 页数:13
- 大小:22.78KB
信息资产分类标准12页文档资料.docx
《信息资产分类标准12页文档资料.docx》由会员分享,可在线阅读,更多相关《信息资产分类标准12页文档资料.docx(13页珍藏版)》请在冰豆网上搜索。
信息资产分类标准12页文档资料
陕西广电网络传媒股份有限公司
教师范读的是阅读教学中不可缺少的部分,我常采用范读,让幼儿学习、模仿。
如领读,我读一句,让幼儿读一句,边读边记;第二通读,我大声读,我大声读,幼儿小声读,边学边仿;第三赏读,我借用录好配朗读磁带,一边放录音,一边幼儿反复倾听,在反复倾听中体验、品味。
信息资产分类标准
“教书先生”恐怕是市井百姓最为熟悉的一种称呼,从最初的门馆、私塾到晚清的学堂,“教书先生”那一行当怎么说也算是让国人景仰甚或敬畏的一种社会职业。
只是更早的“先生”概念并非源于教书,最初出现的“先生”一词也并非有传授知识那般的含义。
《孟子》中的“先生何为出此言也?
”;《论语》中的“有酒食,先生馔”;《国策》中的“先生坐,何至于此?
”等等,均指“先生”为父兄或有学问、有德行的长辈。
其实《国策》中本身就有“先生长者,有德之称”的说法。
可见“先生”之原意非真正的“教师”之意,倒是与当今“先生”的称呼更接近。
看来,“先生”之本源含义在于礼貌和尊称,并非具学问者的专称。
称“老师”为“先生”的记载,首见于《礼记?
曲礼》,有“从于先生,不越礼而与人言”,其中之“先生”意为“年长、资深之传授知识者”,与教师、老师之意基本一致。
文档信息
课本、报刊杂志中的成语、名言警句等俯首皆是,但学生写作文运用到文章中的甚少,即使运用也很难做到恰如其分。
为什么?
还是没有彻底“记死”的缘故。
要解决这个问题,方法很简单,每天花3-5分钟左右的时间记一条成语、一则名言警句即可。
可以写在后黑板的“积累专栏”上每日一换,可以在每天课前的3分钟让学生轮流讲解,也可让学生个人搜集,每天往笔记本上抄写,教师定期检查等等。
这样,一年就可记300多条成语、300多则名言警句,日积月累,终究会成为一笔不小的财富。
这些成语典故“贮藏”在学生脑中,自然会出口成章,写作时便会随心所欲地“提取”出来,使文章增色添辉。
机密级分类
版版本控制
版本
日期
人员
更新说明
V1.0
2019-10-27
文文档审核
审核人
职务
审核日期
文文档批准
批准人
职务
批准日期
复分发控制
部门
人员
文档权限
复复查计划
复查时间
复查人员
复查结果
第一章目标
在企业资产中,IT资产是非常重要组成部分,随着企业经营越来越依赖信息化,IT资产的管理也变得越来越重要。
同时IT资产的特点又是复杂多变的,只有运用科学的分类方法,才能实现IT资产的良好管理。
因此对陕西广电IT资产进行等级分类,是资产管理的前提条件。
其目标主要体现在以下几个方面:
●通过对陕西广电合理的IT资产等级分类,为IT资产管理提供科学、有效的方式。
●对陕西广电现有IT资产进行信息安全属性的赋值,并对其进行等级划分,从而为以后的安全解决方案提供依据。
IT资产等级分类也是整个评估工作的前提,是安全评估的基础和重要依据,也为之后的资产管理标准制定提供了良好的基础。
因此本文档可以帮助陕西广电实现IT资产等级分类标准化。
第二章概述
IT资产是企业、机构直接赋予了价值因而需要保护的东西。
它可能是以多种形式存在,有无形的、有有形的,有硬件、有软件,有文档、代码,也有服务、企业形象等。
它们分别具有不同的价值属性和存在特点,其存在的弱点、面临的威胁、需要进行的保护和安全控制都各不相同。
为此,有必要对企业、机构中的IT资产进行科学分类,让企业清晰的了解需要重点保护的IT资产,并为后期的基础设备、应用风险评估,进而为解决方案的设计提供依据。
IT资产分类范围
根据本标准的分类对象,包括IT和运营支撑中心所有信息系统、信息资产、软件资产、实体资产、书面文件和服务。
IT资产分类步骤
根据陕西广电的实际环境,对于IT资产等级分类,主要分成三部分进行:
●IT资产的分类方法:
根据国际标准ISO27001:
2019关于资产的分类描述,参考最佳实践,并结合陕西广电自身的企业特点,定义陕西广电IT资产的分类方法。
●IT资产识别和安全属性赋值:
参照国际标准ISO27001:
2019关于对资产识别和安全属性的定义,通过对陕西广电的实际调研,综合各方面因素,对陕西广电IT资产进行识别和安全属性赋值。
●IT资产等级分类:
通过IT资产安全属性值,计算出IT资产等级级别,并按等级进行归类。
第三章IT资产等级分类标准
IT资产的分类
ISO27001资产分类
ISO27001对资产分类:
1.信息资产:
数据库数据文件、系统文档、用户手册、培训材料、操作或支持步骤、连续性计划、回退计划、归档等信息;
2.软件资产:
应用程序软件、系统软件、开发工具以及实用程序;
3.实体资产:
计算机设备(处理器、监视器、膝上型电脑、调制解调器)、通讯设备(路由器、PABX、传真机、应答机)、磁介质(磁带和磁盘)、其它技术设备(电源、空调器)、机房;
4.书面文件:
包含系统文件、使用手册、各种程序及指引办法、合约书等。
5.服务:
计算和通讯服务、常用设备,如加热器、照明设备、电源、空调。
在ISO27001资产分类中包含范围非常广泛,考虑到本标准面对的对象,因此此次分类范围中,将对所有IT资产进行归类。
陕西广电IT资产分类方法
以ISO27001资产分类方法为基础,结合陕西广电的实际情况,以保护陕西广电信息资产为核心,结合陕西广电本身的业务特点,设计如下的资产分类方法。
整个资产分类原则是围绕信息资产展开的,以信息资产为出发点,分层次进行分类的。
首先是:
信息资产,它是陕西广电核心保护资产;
其次是:
实体资产,它是信息资产的实际载体、它承担着信息资产的存储、传输、检索、加工等各项功能,和信息资产有着最直接的关系;
第三是:
信息系统,它是由基于实体资产,按照一定的应用目标和规则构成的,能够承载某项业务工作的系统。
它是对实体资产围绕业务的归纳、汇总;
第四是:
为实现以上资产的有效管理、运维所依赖的IT政策、标准、流程、手册及指南;
第五是:
使用、管理、维护这些资产的主体:
人员,它也是整个资产中最活跃的因素,把它归纳为一类资产,有利对其实现有效的管理。
最后就是服务资产,即各种本部门通过购买方式获取的,或者需要支持部门特别提供的,能够对其他已识别资产的操作起支持作用(也就是对业务有支持作用)的服务。
通过以上对陕西广电资产分类的方法,参考ISO27001的资产分类标准,分类概况如下:
信息系统表
在IT资产分类中,参考最佳实践,首先需要统计陕西广电目前的所有信息系统,及相关属性,分析陕西广电各信息系统的等级,为之后的分级保护提供依据;同时会对信息系统按照国家等级化的方法进行等级划分,为应用系统的抽样提供依据。
信息资产表
本分类标准中,信息资产特指陕西广电网络传媒股份有限公司经营活动中所有信息在信息系统中以各种电子化形式存在的数据,对陕西广电具有价值的,需要核心保护的IT资产。
包括系统文件、数据库数据、电子数据流等,以及以各种表格、报告、视图等电子形式呈现给用户的信息。
实体资产表
实体资产主要指有形资产,其中考虑到数据库的特点,也把其归为实体资产中。
为更好的对IT实体资产进行归类,按照实体资产的物理特性和其功能的不同特点,设计了资产组:
主机资产、网络和安全设备、数据库分别对应主机资产表、网络和安全设备表、数据库表。
●主机资产(系统主机,包括硬件、操作系统、应用名称、IP地址等属性)。
●网络、安全设备(网络、安全设备,包括硬件、IOS、配置文件、主要功能,IP地址等属性)。
●数据库(数据库名称、类型、版本、业务系统、用途等属性)。
类别
简称
解释/示例
主机资产
Host
一般为一台主机,包括本台主机中的硬件,OS,操作系统、应用名称、IP地址等。
网络、安全设备
Network
一般为一台网络设备,包括本台网络设备中的硬件,IOS,配置文件数据。
包括路由器、交换机、硬件防火墙,RAS等
数据库
Database
一般为一个数据库,包括数据库软件,版本、业务系统、用途等
IT电子文档资产表
IT电子文档资产包含IT运营和支撑中心内部类、中心各部门类三大类,每大类会分为不同的子类。
按照这种方法对陕西广电的电子文档进行梳理,有利于以后安全管理的培训及宣导。
IT资产安全属性赋值
在ISO27001体系中,安全的三个特性(机密性C、完整性I、可用性A)是其核心思想,在IT资产等级定义中也是围绕着这三个方面展开的,因此对IT资产机密性、完整性和可用性的赋值也是评价IT资产等级依据。
对IT资产进行安全属性赋值的目的就是为了更好地反映资产的业务价值,并区分出各资产的价值等级,为风险评估提供量化基础。
机密性、完整性和可用性的定义如下:
●保密性(C):
确保只有经过授权的人才能访问信息;
●完整性(I):
保护信息和信息的处理方法准确而完整;
●可用性(A):
确保经过授权的用户在需要时可以访问信息并使用相关IT资产。
在安全属性赋值时,以陕西广电业务为导向,以信息资产的C、I、A赋值为基础,对陕西广电IT资产的C、I、A属性进行的赋值。
主要方法是:
先对信息资产的C、I、A进行赋值,并以此为基础,通过对这些承载信息数据的载体,网络通信媒介、信息系统及相关的支撑资产识别,来完成对这些IT资产的C、I、A属性赋值。
以下是参考业界经验和最佳实践,分别为C、I、、A定义的4个具体等级。
机密性赋值标准(Confidentiality)
根据IT资产机密性属性的不同,将它分为4个不同的等级,分别对应资产在机密性方面的价值或者在机密性方面受到损失时对整个评估体的影响。
赋值标准参照下表:
赋值
含义
解释
4
非常高(VeryHigh)
IT资产为极机密,对IT资产的访问仅授权极少数必须使用者,IT资产机密性受破坏影响严重,用户蒙受严重损失,无法接受。
3
高(High)
IT资产为机密信息,对信息的访问只有必须使用者才予以授权,IT资产机密性受破坏影响严重,用户蒙受损失,并且损失较难弥补。
2
中(Medium)
信息为内部信息,公司内部可以授权访问,对信息潜在未授权访问影响重大,但是造成的损失可以弥补。
1
低(Low)
信息为公开信息,对信息的访问无需特别授权。
并且由于机密性原因造成的损失容易弥补。
完整性赋值标准(Integrity)
根据IT资产完整性属性的不同,将它分为4个不同的等级,分别对应IT资产在完整性方面的价值或者在完整性方面受到损失时对整个评估体的影响。
赋值标准参照下表:
赋值
含义
解释
4
非常高(VeryHigh)
对IT资产的XX的破坏或修改有重大影响,且可能导致IT资产价值损失非严重,用户无法接受
3
高(High)
对信息的XX的破坏或修改有重大影响,且可能导致对信息价值资产损失严重,难以弥补
2
中(Medium)
对IT资产的XX的破坏或修改造成影响,且可能导致对IT资产价值损失,但可以弥补。
1
低(Low)
对IT资产的XX的破坏或修改不会产生重大影响。
且可能导致对IT资产价值轻微损失,但容易弥补。
可用性赋值标准(Availability)
根据IT资产可用性属性的不同,将它分为4个不同的等级,分别对应IT资产在可用性方面的价值或者在可用性方面受到损失时对整个评估体的影响。
赋值标准参照下表:
赋值
含义
解释
4
非常高(VeryHigh)
合法使用者对信息的存取可用度达到年度99.9%及以上。
3
高(High)
合法使用者对信息的存取可用度达到年度95%以上。
2
中(Medium)
合法使用者对信息的存取可用度在正常工作时间达到100%。
1
低(Low)
合法使用者对信息的存取可用度在正常工作时间至少达到50%以上。
IT资产等级计算
通过前面对IT资产安全属性的赋值,可以判断该资产在陕西广电经营活动中的价值,经过资产的价值等级计算,陕西广电就可以非常明确的对资产采用分类保护措施,从而达到保障陕西广电经营活动的目标。
IT资产等级的计算主要来源于ISO27001的CIA属性,同时参考最佳实践,根据陕西广电的企业特点,对完整性要求较高、保密性其次的特点,设计了如下公式对资产等级进行计算。
资产价值(V)=Round1{Log2[(A×2Conf+B×2Int+C×2Ava)/3]}
注:
A代表机密性的权值;B代表完整性的权值;C代表可用性的权值
▫Round函数是按制定位数,对数值四舍五入,Round1表示保留1位小数。
根据国际上对三类行业的权值定义惯例
●电信运营商(最关注可用性):
A=0.7,B=0.7,C=1.6;
●金融行业(最关注完整性):
A=0.7,B=1.6,C=0.7;
●政府涉密部门(最关注机密性):
A=1.6,B=0.7,C=0.7;
陕西广电企业性质为电信运营商,因此权值分别取:
A=0.7,B=0.7,C=1.6
并通过下表进行分类
等级
价值分类
资产价值
1
较低
<=1.49
2
中等
1.5-2.49
3
高
2.5-3.49
4
很高
>=3.5
第四章陕西广电IT资产等级分类操作方法
IT资产等级分类方法
本章节主要指导陕西广电对IT资产等级分类的操作方法,以利于合理有效的完成IT资产等级分类的工作。
陕西广电IT资产登记
首先,先要将整个分类标准对陕西广电相关收集人员进行讲解,让其充分了解。
其次由相关资产负责人对照各收集表进行登记。
以下建议了提供人员,在实际收集中可根据实际情况进行调整。
●信息系统表
建议由使用信息系统的管理人员填写或管理人员委托给对信息系统非常了解的人员填写。
●信息资产表:
以业务系统表为基础,对应用系统应用、管理人员进行访谈,以访谈的内容结果填写信息资产表。
●主机资产表:
将此表下发各主机系统维护人员填写。
●网络、安全设备表:
由网络维护人员填写。
●数据库表:
由数据库管理人员填写。
●IT电子文档
由相关层次文档的制定或发布者提供。
陕西广电IT资产安全属性赋值
陕西广电IT资产分类表填写之后,需对填写的结果进行整理,并与各填表人员进行沟通,对IT资产进行CIA赋值。
IT资产等级分类统计
根据前期得到的陕西广电IT资产C、I、A值,再按照资产等级分类计算公式,将得出IT资产的等级,根据对等级的相应统计、分类,可以作为下阶段风险评估的输入。
第五章IT资产等级分类标准更新和维护
IT资产等级分类标准更新
陕西广电IT资产等级分类标准的更新周期为半年或者当信息系统发生变更后执行更新及修改。
修改完成后,提交相应的部门进行审批。
其中针对IT资产等级分类标准有几个关键步骤,将作为周期检查及更新的重点内容:
1.信息资产表
在实际运行过程中,由于陕西广电的信息资产也会发生变化,因此需对信息资产表的内容作相应的添加或修改,以符合陕西广电的当前状况。
2.信息系统表
根据陕西广电的业务变化情况及企业经营方面的调整,信息系统的种类及安全属性同时也需要做相应的调整,以适应企业的变化。
3.IT资产属性
在标准运行过程中,可能由于资产属性的设计存在一些不符合陕西广电实际现状或不能清晰表达该资产的特性的情形,因此需要作相应的调整及更新。
IT资产等级分类标准维护
由于整个标准在其生命周期中需要有相应的组织去执行、维护及更新。
第六章附则
本方针由陕西广电网络传媒股份有限公司制定并负责解释和修订。
本方针自发布之日起执行。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息 资产 分类 标准 12 文档 资料