信息资产分类标准

陕西广电网络传媒股份信息资产分类标准文档信息机密级分类版版本控制版本日期人员更新说明V1.02010-10-27文文档审核审核人职务审核日期文文档批准批准人职务批准日期复分发控制部门人员文档权限复复查计划复查时间复查人员复查结果第一章 目标在企业资产中，IT资产是非常重要组成部分，随着企业经营越来越依赖信息化，IT资产的管理也变得越来越重要。同时IT资产的特点又是复杂多变的，只有运用科学的分类方法，才能实现IT资产的良好管理。因此对陕西广电 IT资产进行等级分类，是资产管理的前提条件。其目标主要体现在以下几个方面：l 通过对陕西广电合理的IT资产等级分类，为IT资产管理提供科学、有效的方式。l 对陕西广电现有IT资产进行信息安全属性的赋值，并对其进行等级划分，从而为以后的安全解决方案提供依据。IT资产等级分类也是整个评估工作的前提，是安全评估的基础和重要依据，也为之后的资产管理标准制定提供了良好的基础。因此本文档可以帮助陕西广电实现IT资产等级分类标准化。第二章 概述IT资产是企业、机构直接赋予了价值因而需要保护的东西。它可能是以多种形式存在，有无形的、有有形的，有硬件、有软件，有文档、代码，也有服务、企业形象等。它们分别具有不同的价值属性和存在特点，其存在的弱点、面临的威胁、需要进行的保护和安全控制都各不相同。为此，有必要对企业、机构中的IT资产进行科学分类，让企业清晰的了解需要重点保护的IT资产，并为后期的基础设备、应用风险评估，进而为解决方案的设计提供依据。IT资产分类范围根据本标准的分类对象，包括IT和运营支撑中心所有信息系统、信息资产、软件资产、实体资产、书面文件和服务。IT资产分类步骤根据陕西广电的实际环境，对于IT资产等级分类，主要分成三部分进行：l IT资产的分类方法：根据国际标准ISO27001：2005关于资产的分类描述，参考最佳实践，并结合陕西广电自身的企业特点，定义陕西广电 IT资产的分类方法。l IT资产识别和安全属性赋值：参照国际标准ISO27001：2005关于对资产识别和安全属性的定义，通过对陕西广电的实际调研，综合各方面因素，对陕西广电 IT资产进行识别和安全属性赋值。l IT资产等级分类：通过IT资产安全属性值，计算出IT资产等级级别，并按等级进行归类。第三章 IT资产等级分类标准IT资产的分类ISO27001资产分类ISO27001对资产分类：1. 信息资产：数据库数据文件、系统文档、用户手册、培训材料、操作或支持步骤、连续性计划、回退计划、归档等信息；2. 软件资产：应用程序软件、系统软件、开发工具以及实用程序；3. 实体资产：计算机设备（处理器、监视器、膝上型电脑、调制解调器）、通讯设备（路由器、PABX、 机、应答机）、磁介质（磁带和磁盘）、其它技术设备（电源、空调器）、机房；4. 书面文件：包含系统文件、使用手册、各种程序及指引办法、合约书等。5. 服务：计算和通讯服务、常用设备，如加热器、照明设备、电源、空调。在ISO27001资产分类中包含范围非常广泛，考虑到本标准面对的对象，因此此次分类范围中，将对所有IT资产进行归类。陕西广电 IT资产分类方法以ISO27001资产分类方法为基础，结合陕西广电的实际情况，以保护陕西广电信息资产为核心，结合陕西广电本身的业务特点，设计如下的资产分类方法。整个资产分类原则是围绕信息资产展开的，以信息资产为出发点，分层次进行分类的。首先是：信息资产，它是陕西广电核心保护资产；其次是：实体资产，它是信息资产的实际载体、它承担着信息资产的存储、传输、检索、加工等各项功能，和信息资产有着最直接的关系；第三是：信息系统，它是由基于实体资产，按照一定的应用目标和规则构成的，能够承载某项业务工作的系统。它是对实体资产围绕业务的归纳、汇总；第四是：为实现以上资产的有效管理、运维所依赖的IT政策、标准、流程、手册及指南；第五是：使用、管理、维护这些资产的主体：人员，它也是整个资产中最活跃的因素，把它归纳为一类资产，有利对其实现有效的管理。最后就是服务资产，即各种本部门通过购买方式获取的，或者需要支持部门特别提供的，能够对其他已识别资产的操作起支持作用（也就是对业务有支持作用）的服务。通过以上对陕西广电资产分类的方法，参考ISO27001的资产分类标准，分类概况如下：信息系统表在IT资产分类中，参考最佳实践，首先需要统计陕西广电目前的所有信息系统，及相关属性，分析陕西广电各信息系统的等级，为之后的分级保护提供依据；同时会对信息系统按照国家等级化的方法进行等级划分，为应用系统的抽样提供依据。信息资产表本分类标准中，信息资产特指陕西广电网络传媒股份经营活动中所有信息在信息系统中以各种电子化形式存在的数据，对陕西广电具有价值的，需要核心保护的IT资产。包括系统文件、数据库数据、电子数据流等，以及以各种表格、报告、视图等电子形式呈现给用户的信息。实体资产表实体资产主要指有形资产，其中考虑到数据库的特点，也把其归为实体资产中。为更好的对IT实体资产进行归类，按照实体资产的物理特性和其功能的不同特点，设计了资产组：主机资产、网络和安全设备、数据库分别对应主机资产表、网络和安全设备表、数据库表。l 主机资产（系统主机，包括硬件、操作系统、应用名称、IP地址等属性）。l 网络、安全设备（网络、安全设备，包括硬件、IOS、配置文件、主要功能，IP地址等属性）。l 数据库（数据库名称、类型、版本、业务系统、用途等属性）。类别简称解释/示例主机资产Host一般为一台主机，包括本台主机中的硬件，OS，操作系统、应用名称、IP地址等。网络、安全设备Network一般为一台网络设备，包括本台网络设备中的硬件，IOS，配置文件数据。包括路由器、交换机、硬件防火墙，RAS等数据库Database一般为一个数据库，包括数据库软件，版本、业务系统、用途等IT电子文档资产表IT电子文档资产包含IT运营和支撑中心内部类、中心各部门类三大类，每大类会分为不同的子类。按照这种方法对陕西广电的电子文档进行梳理，有利于以后安全管理的培训及宣导。IT资产安全属性赋值在ISO27001体系中，安全的三个特性（机密性C、完整性I、可用性A）是其核心思想，在IT资产等级定义中也是围绕着这三个方面展开的，因此对IT资产机密性、完整性和可用性的赋值也是评价IT资产等级依据。对IT资产进行安全属性赋值的目的就是为了更好地反映资产的业务价值，并区分出各资产的价值等级，为风险评估提供量化基础。机密性、完整性和可用性的定义如下：l 保密性（C）：确保只有经过授权的人才能访问信息；l 完整性（I）：保护信息和信息的处理方法准确而完整；l 可用性（A）：确保经过授权的用户在需要时可以访问信息并使用相关IT资产。在安全属性赋值时，以陕西广电业务为导向，以信息资产的C、I、A赋值为基础，对陕西广电 IT资产的C、I、A属性进行的赋值。主要方法是：先对信息资产的C、I、A进行赋值，并以此为基础，通过对这些承载信息数据的载体，网络通信媒介、信息系统及相关的支撑资产识别，来完成对这些IT资产的C、I、A属性赋值。以下是参考业界经验和最佳实践，分别为C、I、A定义的4个具体等级。机密性赋值标准（Confidentiality）根据IT资产机密性属性的不同，将它分为4个不同的等级，分别对应资产在机密性方面的价值或者在机密性方面受到损失时对整个评估体的影响。赋值标准参照下表：赋值含义解释4非常高（Very High）IT资产为极机密，对IT资产的访问仅授权极少数必须使用者，IT资产机密性受破坏影响严重，用户蒙受严重损失，无法接受。3高（High）IT资产为机密信息，对信息的访问只有必须使用者才予以授权，IT资产机密性受破坏影响严重，用户蒙受损失，并且损失较难弥补。2中（Medium）信息为内部信息，公司内部可以授权访问，对信息潜在未授权访问影响重大，但是造成的损失可以弥补。1低（Low）信息为公开信息，对信息的访问无需特别授权。并且由于机密性原因造成的损失容易弥补。完整性赋值标准（Integrity）根据IT资产完整性属性的不同，将它分为4个不同的等级，分别对应IT资产在完整性方面的价值或者在完整性方面受到损失时对整个评估体的影响。赋值标准参照下表：赋值含义解释4非常高（Very High）对IT资产的未经授权的破坏或修改有重大影响，且可能导致IT资产价值损失非严重，用户无法接受3高（High）对信息的未经授权的破坏或修改有重大影响，且可能导致对信息价值资产损失严重，难以弥补2中（Medium）对IT资产的未经授权的破坏或修改造成影响，且可能导致对IT资产价值损失，但可以弥补。1低（Low）对IT资产的未经授权的破坏或修改不会产生重大影响。且可能导致对IT资产价值轻微损失，但容易弥补。可用性赋值标准（Availability）根据IT资产可用性属性的不同，将它分为4个不同的等级，分别对应IT资产在可用性方面的价值或者在可用性方面受到损失时对整个评估体的影响。赋值标准参照下表：赋值含义解释4非常高（Very High）合法使用者对信息的存取可用度达到年度99.9%及以上。3高（High）合法使用者对信息的存取可用度达到年度95%以上。2中（Medium）合法使用者对信息的存取可用度在正常工作时间达到100%。1低（Low）合法使用者对信息的存取可用度在正常工作时间至少达到50%以上。IT资产等级计算通过前面对IT资产安全属性的赋值，可以判断该资产在陕西广电经营活动中的价值，经过资产的价值等级计算，陕西广电就可以非常明确的对资产采用分类保护措施，从而达到保障陕西广电经营活动的目标。IT资产等级的计算主要来源于ISO27001的CIA属性，同时参考最佳实践，根据陕西广电的企业特点，对完整性要求较高、保密性其次的特点，设计了如下公式对资产等级进行计算。资产价值（V）=Round1Log2(A2Conf+B2Int+C2Ava)/3注：A代表机密性的权值；B代表完整性的权值；C代表可用性的权值 Round函数是按制定位数，对数值四舍五入，Round1表示保留1位小数。根据国际上对三类行业的权值定义惯例l 电信运营商（最关注可用性）：A=0.7，B=0.7，C1.6；l 金融行业（最关注完整性）：A=0.7，B=1.6，C0.7；l 政府涉密部门（最关注机密性）：A=1.6，B=0.7，C0.7；陕西广电企业性质为电信运营商，因此权值分别取：A=0.7，B=0.7，C1.6并通过下表进行分类等级价值分类资产价值1较低=3.5第四章 陕西广电 IT资产等级分类操作方法IT资产等级分类方法本章节主要指导陕西广电对IT资产等级分类的操作方法，以利于合理有效的完成IT资产等级分类的工作。陕西广电 IT资产登记首先，先要将整个分类标准对陕西广电相关收集人员进行讲解，让其充分了解。其次由相关资产负责人对照各收集表进行登记。以下建议了提供人员，在实际收集中可根据实际情况进行调整。l 信息系统表建议由使用信息系统的管理人员填写或管理人员委托给对信息系统非常了解的人员填写。l 信息资产表：以业务系统表为基础，对应用系统应用、管理人员进行访谈，以访谈的内容结果填写信息资产表。l 主机资产表：将此表下发各主机系统维护人员填写。l 网络、安全设备表：由网络维护人员填写。l 数据库表：由数据库管理人员填写。l IT电子文档由相关层次文档的制定或发布者提供。陕西广电 IT资产安全属性赋值陕西广电 IT资产分类表填写之后，需对填写的结果进行整理，并与各填表人员进行沟通，对IT资产进行CIA赋值。IT资产等级分类统计根据前期得到的陕西广电 IT资产C、I、A值，再按照资产等级分类计算公式，将得出IT资产的等级，根据对等级的相应统计、分类，可以作为下阶段风险评估的输入。第五章 IT资产等级分类标准更新和维护IT资产等级分类标准更新陕西广电 IT资产等级分类标准的更新周期为半年或者当信息系统发生变更后执行更新及修改。修改完成后，提交相应的部门进行审批。其中针对IT资产等级分类标准有几个关键步骤，将作为周期检查及更新的重点内容：1. 信息资产表在实际运行过程中，由于陕西广电的信息资产也会发生变化，因此需对信息资产表的内容作相应的添加或修改，以符合陕西广电的当前状况。2. 信息系统表根据陕西广电的业务变化情况及企业经营方面的调整，信息系统的种类及安全属性同时也需要做相应的调整，以适应企业的变化。3. IT资产属性在标准运行过程中，可能由于资产属性的设计存在一些不符合陕西广电实际现状或不能清晰表达该资产的特性的情形，因此需要作相应的调整及更新。IT资产等级分类标准维护由于整个标准在其生命周期中需要有相应的组织去执行、维护及更新。第六章 附则本方针由陕西广电网络传媒股份制定并负责解释和修订。本方针自发布之日起执行。