[原创]什么是信息安全资产管理?

     1 什么是资产?是任何对组织有价值的东西;

     2 什么是信息资产? 是具有价值的信息或资源,它能够以多种形式存在,有无形的,有形的。在ISO17799中,对信息的定义更确切、具体:“信息是一种资产,像其他重要的业务资产一样,对组织具有价值,因此需要妥善保护”。

     3 什么信息安全资产管理流程:(1)首先要明确什么是信息资产 (2)资产识别 (3) 资产的评价 (4)资产风险评估(5)资产的管理 ;

     4 资产识别其中资产识别需要考虑的有:

    (1)信息资产:数据库和数据文件、合同和协议、 系统文件、研究信息、用户手册、培训材料、操作或支 持程序、业务连续性计划、后备运行安排、审计记录、 归档的信息;

    (2)软件资产:应用软件、系统软件、开发工具和 实用程序;

    (3)物理资产:计算机设备、通信设备、可移动媒 体和其他设备;

    (4)服务:计算和通信服务、通用公用事业,例如, 供暖、照明、能源、空调;

    (5)人员及其资格、技能和经验;

    无形资产,如组织的声誉和形象。简单来讲就是有形资产和无形资产。

    所有的资产对组织来讲都是有用的,当然要进行“资产评价”,通常资产评价依据:信息的机密 性(安全性)、完整性、可用性及其他需求进行评估。

      5 资产评价10大因素:

     (1)获取或开发该资产所需的成本;

     (2)维护和保护该资产所需的成本;

     (3)该资产对所有者和用户所具有的价值;

     (4)该资产对竞争对手所具有的价值;

     (5)知识产权的价值;

     (6)其他人愿意为购买该资产所付出的价格;

     (7)在损失的情况下替换该资产所付出的资格;

     (8)在该资产不可用的情况下损失的运行和工作能力;

     (9)该资产贬值时的债务问题;

     (10)该资产的用处。 其中,资产赋值比较常用的方式是 采用定性分级的方式建立资产的相对价值,以相对价 值来作为确定重要资产的依据和为这种资产的保护 投入多大资源的依据。

     6 资产风险评估:实施控制 措施以避免、转移和降低风险至可接受 水平。

    (1)威胁识别(威胁是对组织及其资产构成潜在破坏的可能性因素或者事件)其中威胁受影响4因素:

      1)资产的吸引力;

      2)资产转化成报酬的容易程度;

      3)威胁的技术力量;

      4)脆弱性被利用的难易程度。

     2)脆弱性识别 (脆弱性识别可通过脆弱性评估来完成,弱点是资 产本身存在的,它可以被威胁利用,引起资产或商业 目标的损害) 。

      脆弱性识别所采用的方法主要为:问卷调查、人员问询、工具扫描、手动检查、文档审查、渗透测试等。

      (3) 风险评估 完成威胁发生的频率或者发生的概率和脆弱性赋值后,可通过如下公式计算资产所受到的风险:R= f(A,V,T)=f(Ia,L(Va,T)) R 表示风险;

      A 表示资产;V 表示脆弱性;T 表示威胁;Ia 表示资产发生安全事件后对机构业务的影响(也称为资产的重要程度);

      Va 表示某一资产 本身的脆弱性,L 表示威胁利用资产的脆弱性造成安 全事件发生的可能性。

      (4)安全控制措施选择与实施

      (1)资产所要求的保障程度;

      (2)成本;

      (3)实施的容易性;

      (4)法律法规的要求;

      (5)客户及其他合同要求。

      (5) 风险接受 对残余的风险加以分类,可以 是“可接受的”或是“不可接受的”。

     7 资产管理 在信息安全管理体系建立、实施和运行过程中, 资产主要采取以下几种控制方式进行管理:

      (1)资产清单

        (1.1)新的资产的采购和获得;

        (1.2)原有信息 资产的级别变更;

        (1.3)资产的时效性;

        (1.4)法律法规及合同方要求的变更。

     (2)资产责任人

     (3)可接受的资产使用 

      (4)分类指南

      (5) 信息的标记和处理

      (6) 明确使用管理

        6.1)涉密信息的保管

        6.2)涉密信息的访问权限

        6.3)涉密信息的使用

        6.4)涉密信息的发送

最后用一句话描述:信息资产作为信息安全管理体系的作用对象,信息资产管理在整个信息安全管理体系的建立、实施和运行中有着重要的地位。

关注我的微信公众号:质量保障技术与管理

[原创]什么是信息安全资产管理?-风君雪科技博客