ISO9001认证
认证
热线
0571-85800212
186 5718 6548
加入收藏 网站地图
联系我们 投诉受理
ISO27001认证 ISO27001认证介绍 | ISO27001体系相关知识
您当前位置:网站首页 >> ISO27001认证 >> ISO27001体系相关知识 >> 阅读文章

风险评估之二:识别并评价资产(1)

来源:ISO9001认证 作者:ISO9001认证 发布时间:2017-09-04 查看次数:2600
    资产:对组织具有价值的任何东西。资产的范围是非常宽泛的,所以被组织赋予了价值并且需要保护的资源,都是资产。我们把信息资产定义为与信息相关的所有资产,例如信息、信息处理设施以及信息处理人等。信息处理设施是任何信息处理系统、服务或基础设施,或放置它们的物理位置。在实践中,信息本身的资产的识别和评估是这个过程的难点和重点。
    资产分类通常包括:信息资产,如数据库和数据文件、合同和协议、系统文件、研究信息、用户手册、培训材料、操作或支持程序、业务连续性计划、应变安排、审核跟踪记录、归档信息;软件资产,如应用软件、系统软件、开发工具和实用程序等;物理资产,如计算机设备、通信设备、可移动介质和其他设备等;服务,如计算和通信服务、公用设施如供暖、照明、能源、空调;人员,如人员的资格、技能和经验;无形资产,如组织的声誉和形象。
    可以根据保密性、完整性、可用性三个安全目标,来确定不同信息类型对组织的潜在影响级别,分为低、中、高、不适用:
    SC信息类别={〔保密性,影响级别〕,〔完整性,影响级别〕,〔可用性,影响级别〕}。例如某组织的投资信息,如果保密性被破坏其潜在影响为高,完整性被破坏其潜在影响为中,可用性被破坏潜在影响为中,那么投资信息的安全类别描述为下面的形式:
    SC投资信息={〔保密性,高〕,〔完整性,中〕,〔可用性,中〕}。
    针对这种方法,我们可以把信息资产分为高度业务影响资产,中度业务影响资产和低度业务影响资产。
    识别资产应该细致到什么程度并没有统一的标准。一项资产面临很多威胁,而一项威胁又有很多的脆弱性,那么最后的结果过于复杂。
    资产之间的关联的识别有时和资产本身的识别同等重要。组织应该按照实践中的经验,摸索出自己的方法,只有把这种关联管理起来,才能使基于系统或基于整体业务的评估方法变得切实可行。
相关文章
危险源辨识及风险防控
最新更新  
·ISO 27001信息安全体系认证(四)
·ISO 27001信息安全体系认证(三)
·ISO 27001信息安全体系认证(二)
·ISO 27001信息安全体系认证(一)
·一家网络书店可能面临的主要威胁来源
·信息安全管理体系中资产的重要度分级
·识别控制措施(之二)
·识别控制措施(之一)
·什么是风险应对和应对选项
·如何分析风险的大小
·风险应对的基本流程
·分析影响
·分析可能性
·风险评估之三:识别威胁和脆弱性(2)
·风险评估之三:识别威胁和脆弱性(1)
站内搜索:
GJB9001C-2017标准学习与理解
阅读排行  
·风险评估之三:识别威胁和脆弱性(1)
·风险的定义和理解
·风险评估之三:识别威胁和脆弱性(2)
·定性和定量风险分析方法
·信息安全管理体系中资产的重要度分级
·风险评估的三步
·风险评估之一:风险评估准备(1)
·认识“风险应对”
·一家网络书店可能面临的主要威胁来源
·风险评估之一:风险评估准备(2)
·什么是风险应对和应对选项
·风险应对的基本流程
·如何分析风险的大小
·风险评估之二:识别并评价资产(1)
·识别控制措施(之一)
网站地图 | 关于我们 | 联系我们 | 友情链接 | 浙ICP备12024011号/浙ICP备12024011号-1
Copyright © 2003-2024 HZBH.COM All Rights Reserved Powered by Ok3w
杭州北航企业管理服务有限公司 版权所有
地址:浙江省杭州市文晖路108号浙江出版物资大厦A座1516室 认证热线:0571-85800972