信息安全管理体系中资产的重要度是如何定义、识别和评价的?举例说明。
重要度等级高的示例:财务数据;核心业务数据;密码、私用密钥;知识产权;重要管理数据;招聘资料及员工个人私密信息;市场研究包括市场分析和趋势预测等;客户投诉资料;定价策略及定价资料,包括成本、市场价、结算价等;客户分类信息及客户资料数据;开发文档;测试文档;项目管理文档;存放或者支持这些服务的软硬件设施。
重要度等级中的示例:员工目录及联系信息;网络基础架构设计;内部网站信息;内部业务使用的文件等共享的数据;办公自动化数据;存放或者支持这些服务的软硬件设施。
重要度等级低的示例:公钥;已发布的新闻稿、产品小册子、白皮书;随产品提供的说明文档;过时的企业信息;IT操作指南及相关信息等;存放或者支持这些服务的软硬件设施。
当定义结束后,就可以按照这个定义进行资产重要度的评价工作。
