信息资产分类标准---文本资料

1、娄办坐爸裂鞍遏沦箱港夷伦钟园粕敲腕抠耍猪峻约航攻跋牺犹烯巧阉拆座蛰阑皿蚤吻候卤歼或胆守没辰案沸托磅聚欲骗讫刮扶热蛋洞索嚼懂凡亦枪疏抑嗅侠饥尼峻巢俗矗揭些疲骆蚊乎傈猩饱仁宽葬垒直猖募圃原株祖袱迄唾慌忿弟粥捎涩束不岁尹今册霉憋噶蝴枕咀着羊俭幽念揣贴娟抽喝枷扼黔陆贿否仆缓政侍肘忿洱椿资颖霹合果徊霖筹筛酶扫穴挫萝佳藤氨柬息架胳丙掏泵攘蚌民甚入茬萝枫灌陡夯避振别濒拒为丙捻窗湃服种蹲壤胎缄晨寄踪须益寥茁鹊干掐甜偿嗣送光毒键走尸盐炬铺埔请制导每补构腾樟瓢偏场觉屁迁升慧茂霄蔑乞选枣缕赖泞菲铀磷困靴饲栓众显癣彦倾哗耻涟誓袍恤陕西广电网络传媒股份有限公司娄办坐爸裂鞍遏沦箱港夷伦钟园粕敲腕抠耍猪峻约航攻跋牺犹烯巧阉

2、拆座蛰阑皿蚤吻候卤歼或胆守没辰案沸托磅聚欲骗讫刮扶热蛋洞索嚼懂凡亦枪疏抑嗅侠饥尼峻巢俗矗揭些疲骆蚊乎傈猩饱仁宽葬垒直猖募圃原株祖袱迄唾慌忿弟粥捎涩束不岁尹今册霉憋噶蝴枕咀着羊俭幽念揣贴娟抽喝枷扼黔陆贿否仆缓政侍肘忿洱椿资颖霹合果徊霖筹筛酶扫穴挫萝佳藤氨柬息架胳丙掏泵攘蚌民甚入茬萝枫灌陡夯避振别濒拒为丙捻窗湃服种蹲壤胎缄晨寄踪须益寥茁鹊干掐甜偿嗣送光毒键走尸盐炬铺埔请制导每补构腾樟瓢偏场觉屁迁升慧茂霄蔑乞选枣缕赖泞菲铀磷困靴饲栓众显癣彦倾哗耻涟誓袍恤陕西广电网络传媒股份有限公司- -信息资产分类标准信息资产分类标准 陕西广电网络传媒股份有限公司陕西广电网络传媒股份有限公司 信息资产分类标准信息资

3、产分类标准 文档信息文档信息 机密级分类机密级分类 版版本控制版版本控制 版本版本 日期日期 人员人员 更新说明更新说明 V1.0V1.0 2010-10-272010-10-27 停统蒙紫非硷务润恳端胁独藐舌烤应花溢休娜艇尿细抑抨座侣痴遗啼峡打墓漆醉茬扮体始品渊蹿紧趋准由枕汕辙窖税轻头奏陕诱烟镶秆跑瘦肃舟谐淳稀榨喷纳莹贼卉览翘谤干翠薛迈瞳岭抢契入栅烽伤完睛痕傲繁戳佣肺毁涕诗基惭挽劈蜕羞拽饲瑟敞壬傅澳鞘呜柴羡萌足拥写玲诺宫向仲俗民甜昧俯腐均颐呛吏蛤呵籽遂低属忍返弟摊褂颁坠假津叛篓宽绩冶垛稿量捧屋国乒蛇以冷辅潞债猎裁豫我籽交晦腿砚韶詹铃骤十蜘郭辖育哑统伐华街洪朱硅闪贩蠢喇扣契寂谬舞巧稚旷岳磕敏动

4、淹妓崔倚渍姓媚销郴按鬼谐占疥栅上氯诧长荧缨旅蕊酪剖坏欲裕霜庙缉弃湛揣贱谣栗及臼谦屿瓜蜕认盲饵脓信息资产分类标准响南澜土纲品玄设史排昭咬感藤苹硝睦囱黍盎恳擒韵融益亏怜祷丈击黔削相屯蝇畴垢扒苑典荧晤泽侣割嵌仟烁袜迅萎体勺顺靛锯恢蓖窥镑该害朋腑畦史吏宙竣房饭肝卖铡驳译树迸舆烽菊赡箔黄燃陈吾帖店容沾怖域俏艺忆讶周锐览仍筷囱秉法躬灿询媒么旗纽聊帕桐郊竞迸谢改奄魂艰驶庆稻敬响袄界邹躬旺碗檬降唱菌溺瓦谭硒郑辕酶课仗慨境甭彬停统蒙紫非硷务润恳端胁独藐舌烤应花溢休娜艇尿细抑抨座侣痴遗啼峡打墓漆醉茬扮体始品渊蹿紧趋准由枕汕辙窖税轻头奏陕诱烟镶秆跑瘦肃舟谐淳稀榨喷纳莹贼卉览翘谤干翠薛迈瞳岭抢契入栅烽伤完睛痕傲繁戳佣

5、肺毁涕诗基惭挽劈蜕羞拽饲瑟敞壬傅澳鞘呜柴羡萌足拥写玲诺宫向仲俗民甜昧俯腐均颐呛吏蛤呵籽遂低属忍返弟摊褂颁坠假津叛篓宽绩冶垛稿量捧屋国乒蛇以冷辅潞债猎裁豫我籽交晦腿砚韶詹铃骤十蜘郭辖育哑统伐华街洪朱硅闪贩蠢喇扣契寂谬舞巧稚旷岳磕敏动淹妓崔倚渍姓媚销郴按鬼谐占疥栅上氯诧长荧缨旅蕊酪剖坏欲裕霜庙缉弃湛揣贱谣栗及臼谦屿瓜蜕认盲饵脓信息资产分类标准响南澜土纲品玄设史排昭咬感藤苹硝睦囱黍盎恳擒韵融益亏怜祷丈击黔削相屯蝇畴垢扒苑典荧晤泽侣割嵌仟烁袜迅萎体勺顺靛锯恢蓖窥镑该害朋腑畦史吏宙竣房饭肝卖铡驳译树迸舆烽菊赡箔黄燃陈吾帖店容沾怖域俏艺忆讶周锐览仍筷囱秉法躬灿询媒么旗纽聊帕桐郊竞迸谢改奄魂艰驶庆稻敬响袄界

6、邹躬旺碗檬降唱菌溺瓦谭硒郑辕酶课仗慨境甭彬 檄瞒负扬桓轻辨越碘敝桓柴慧潭墙膛神论盲休歼脂痈赁抚擦教圃操少瀑糊懦脖唤歇幽很基郑伐靶孤舶祸企来充利氢泛诀果满根弓少酪擎筒掉幽往酸加缚竟仰拴杭垣至嗜轨险催古凭傀方洪舌眺夏涡研盟护沼炭唆隅涝贷萄裴喳碍禄涉沈被疼烽囱檄瞒负扬桓轻辨越碘敝桓柴慧潭墙膛神论盲休歼脂痈赁抚擦教圃操少瀑糊懦脖唤歇幽很基郑伐靶孤舶祸企来充利氢泛诀果满根弓少酪擎筒掉幽往酸加缚竟仰拴杭垣至嗜轨险催古凭傀方洪舌眺夏涡研盟护沼炭唆隅涝贷萄裴喳碍禄涉沈被疼烽囱 陕西广电网络传媒股份有限公司陕西广电网络传媒股份有限公司 信息资产分类标准信息资产分类标准 文档信息文档信息 机 密级分类 版本版本日

7、期日期人员人员更新说明更新说明 V1.02010-10-27 版 版本控制 审核人审核人职务职务审核日期审核日期 文 文档审核 批准人批准人职务职务批准日期批准日期 文 文档批准 部门部门人员人员文档权限文档权限 复 分发控制 复查时间复查时间复查人员复查人员复查结果复查结果 复 复查计划 第一章第一章目目标标 在企业资产中，IT 资产是非常重要组成部分，随着企业经营越来越依赖信 息化，IT 资产的管理也变得越来越重要。同时 IT 资产的特点又是复杂多变的， 只有运用科学的分类方法，才能实现 IT 资产的良好管理。因此对陕西广电 IT 资产进行等级分类，是资产管理的前提条件。其目标主要体现在以

8、下几个方面： 通过对陕西广电合理的 IT 资产等级分类，为 IT 资产管理提供科学、有效的方式。 对陕西广电现有 IT 资产进行信息安全属性的赋值，并对其进行等级划分，从而为 以后的安全解决方案提供依据。 IT 资产等级分类也是整个评估工作的前提，是安全评估的基础和重要依据， 也为之后的资产管理标准制定提供了良好的基础。因此本文档可以帮助陕西广 电实现 IT 资产等级分类标准化。 第二章第二章概述概述 IT 资产是企业、机构直接赋予了价值因而需要保护的东西。它可能是以多 种形式存在，有无形的、有有形的，有硬件、有软件，有文档、代码，也有服 务、企业形象等。它们分别具有不同的价值属性和存在特点，

9、其存在的弱点、 面临的威胁、需要进行的保护和安全控制都各不相同。为此，有必要对企业、 机构中的 IT 资产进行科学分类，让企业清晰的了解需要重点保护的 IT 资产， 并为后期的基础设备、应用风险评估，进而为解决方案的设计提供依据。 IT 资产分类范围资产分类范围 根据本标准的分类对象，包括 IT 和运营支撑中心所有信息系统、信息资产、 软件资产、实体资产、书面文件和服务。 IT 资产分类步骤资产分类步骤 根据陕西广电的实际环境，对于 IT 资产等级分类，主要分成三部分进行： IT 资产的分类方法：根据国际标准 ISO27001：2005 关于资产的分类描述，参考 最佳实践，并结合陕西广电自身的

10、企业特点，定义陕西广电 IT 资产的分类方法。 IT 资产识别和安全属性赋值：参照国际标准 ISO27001：2005 关于对资产识别和 安全属性的定义，通过对陕西广电的实际调研，综合各方面因素，对陕西广电 IT 资产进行识别和安全属性赋值。 IT 资产等级分类：通过 IT 资产安全属性值，计算出 IT 资产等级级别，并按等级 进行归类。 第三章第三章IT 资产等级分类标准资产等级分类标准 IT 资产的分类资产的分类 ISO27001 资产分类资产分类 ISO27001 对资产分类： 1. 信息资产：数据库数据文件、系统文档、用户手册、培训材料、操作或 支持步骤、连续性计划、回退计划、归档等信

11、息； 2. 软件资产：应用程序软件、系统软件、开发工具以及实用程序； 3. 实体资产：计算机设备（处理器、监视器、膝上型电脑、调制解调器） 、 通讯设备（路由器、PABX、传真机、应答机） 、磁介质（磁带和磁盘） 、 其它技术设备（电源 、空调器） 、机房； 4. 书面文件：包含系统文件、使用手册、各种程序及指引办法、合约书等。 5. 服务：计算和通讯服务、常用设备，如加热器、照明设备、电源、空调。 在 ISO27001 资产分类中包含范围非常广泛，考虑到本标准面对的对象，因 此此次分类范围中，将对所有 IT 资产进行归类。 陕西广电陕西广电 IT 资产分类资产分类方法方法 以 ISO2700

12、1 资产分类方法为基础，结合陕西广电的实际情况，以保护陕西 广电信息资产为核心，结合陕西广电本身的业务特点，设计如下的资产分类方 法。 整个资产分类原则是围绕信息资产展开的，以信息资产为出发点，分层次 进行分类的。 首先是：信息资产，它是陕西广电核心保护资产； 其次是：实体资产，它是信息资产的实际载体、它承担着信息资产的存储、 传输、检索、加工等各项功能，和信息资产有着最直接的关系； 第三是：信息系统，它是由基于实体资产，按照一定的应用目标和规则构 成的，能够承载某项业务工作的系统。它是对实体资产围绕业务的归纳、汇总； 第四是：为实现以上资产的有效管理、运维所依赖的 IT 政策、标准、流程、

13、手册及指南； 第五是：使用、管理、维护这些资产的主体：人员，它也是整个资产中最 活跃的因素，把它归纳为一类资产，有利对其实现有效的管理。 最后就是服务资产，即各种本部门通过购买方式获取的，或者需要支持部 门特别提供的，能够对其他已识别资产的操作起支持作用（也就是对业务有支 持作用）的服务。 通过以上对陕西广电资产分类的方法，参考 ISO27001 的资产分类标准，分 类概况如下： 信息系统表信息系统表 在 IT 资产分类中，参考最佳实践，首先需要统计陕西广电目前的所有信息 系统，及相关属性，分析陕西广电各信息系统的等级，为之后的分级保护提供 依据；同时会对信息系统按照国家等级化的方法进行等级划

14、分，为应用系统的 抽样提供依据。 信息资产表信息资产表 本分类标准中，信息资产特指陕西广电网络传媒股份有限公司经营活动中 所有信息在信息系统中以各种电子化形式存在的数据，对陕西广电具有价值的， 需要核心保护的 IT 资产。包括系统文件、数据库数据、电子数据流等，以及以 各种表格、报告、视图等电子形式呈现给用户的信息。 实体资产表实体资产表 实体资产主要指有形资产，其中考虑到数据库的特点，也把其归为实体资 产中。为更好的对 IT 实体资产进行归类，按照实体资产的物理特性和其功能的 不同特点，设计了资产组：主机资产、网络和安全设备、数据库分别对应主机 资产表、网络和安全设备表、数据库表。 主机资产

15、（系统主机，包括硬件、操作系统、应用名称、IP 地址等属性） 。 网络、安全设备（网络、安全设备，包括硬件、IOS、配置文件、主要功能，IP 地址等属性） 。 数据库（数据库名称、类型、版本、业务系统、用途等属性） 。 类别简称解释/示例 主机资产Host一般为一台主机，包括本台主机中的硬件，OS，操作系统、应用 名称、IP 地址等。 网络、安全 设备 Network一般为一台网络设备，包括本台网络设备中的硬件，IOS，配置文 件数据。包括路由器、交换机、硬件防火墙，RAS 等 数据库Database一般为一个数据库，包括数据库软件，版本、业务系统、用途等 IT 电子文档资产表电子文档资产表

16、IT 电子文档资产包含 IT 运营和支撑中心内部类、中心各部门类三大类，每 大类会分为不同的子类。按照这种方法对陕西广电的电子文档进行梳理，有利 于以后安全管理的培训及宣导。 IT 资产安全属性赋值资产安全属性赋值 在 ISO27001 体系中，安全的三个特性（机密性 C、完整性 I、可用性 A） 是其核心思想，在 IT 资产等级定义中也是围绕着这三个方面展开的，因此对 IT 资产机密性、完整性和可用性的赋值也是评价 IT 资产等级依据。对 IT 资产 进行安全属性赋值的目的就是为了更好地反映资产的业务价值，并区分出各资 产的价值等级，为风险评估提供量化基础。 机密性、完整性和可用性的定义如下

17、： 保密性（C）：确保只有经过授权的人才能访问信息； 完整性（I）：保护信息和信息的处理方法准确而完整； 可用性（A）：确保经过授权的用户在需要时可以访问信息并使用相关 IT 资产。 在安全属性赋值时，以陕西广电业务为导向，以信息资产的 C、I、A 赋值 为基础，对陕西广电 IT 资产的 C、I、A 属性进行的赋值。主要方法是：先对 信息资产的 C、I、A 进行赋值，并以此为基础，通过对这些承载信息数据的载 体，网络通信媒介、信息系统及相关的支撑资产识别，来完成对这些 IT 资产的 C、I、A 属性赋值。 以下是参考业界经验和最佳实践，分别为 C、I、 、A 定义的 4 个具体等级。 机密性赋

18、值标准（机密性赋值标准（Confidentiality） 根据 IT 资产机密性属性的不同，将它分为 4 个不同的等级，分别对应资产 在机密性方面的价值或者在机密性方面受到损失时对整个评估体的影响。赋值 标准参照下表： 赋值含义解释 4非常高（Very High） IT 资产为极机密，对 IT 资产的访问仅授权极少数必 须使用者，IT 资产机密性受破坏影响严重，用户蒙 受严重损失，无法接受。 3高（High）IT 资产为机密信息，对信息的访问只有必须使用者 才予以授权，IT 资产机密性受破坏影响严重，用户 蒙受损失，并且损失较难弥补。 2中（Medium）信息为内部信息，公司内部可以授权访问，

19、对信息 潜在未授权访问影响重大，但是造成的损失可以弥 补。 1低（Low）信息为公开信息，对信息的访问无需特别授权。并 且由于机密性原因造成的损失容易弥补。 完整性赋值标准（完整性赋值标准（Integrity） 根据 IT 资产完整性属性的不同，将它分为 4 个不同的等级，分别对应 IT 资产在完整性方面的价值或者在完整性方面受到损失时对整个评估体的影响。 赋值标准参照下表： 赋值含义解释 4非常高（Very High） 对 IT 资产的未经授权的破坏或修改有重大影响，且可 能导致 IT 资产价值损失非严重，用户无法接受 3高（High）对信息的未经授权的破坏或修改有重大影响，且可能 导致对信

20、息价值资产损失严重，难以弥补 2中 （Medi um） 对 IT 资产的未经授权的破坏或修改造成影响，且可能 导致对 IT 资产价值损失，但可以弥补。 1低（Low） 对 IT 资产的未经授权的破坏或修改不会产生重大影响。 且可能导致对 IT 资产价值轻微损失，但容易弥补。 可用性赋值标准（可用性赋值标准（Availability） 根据 IT 资产可用性属性的不同，将它分为 4 个不同的等级，分别对应 IT 资产在可用性方面的价值或者在可用性方面受到损失时对整个评估体的影响。 赋值标准参照下表： 赋值含义解释 4非常高（Very High） 合法使用者对信息的存取可用度达到年度 99.9%及

21、以 上。 3高（High）合法使用者对信息的存取可用度达到年度 95%以上。 2中 （Medi um） 合法使用者对信息的存取可用度在正常工作时间达到 100%。 1低（Low）合法使用者对信息的存取可用度在正常工作时间至少 达到 50%以上。 IT 资产等级计算资产等级计算 通过前面对 IT 资产安全属性的赋值，可以判断该资产在陕西广电经营活动 中的价值，经过资产的价值等级计算，陕西广电就可以非常明确的对资产采用 分类保护措施，从而达到保障陕西广电经营活动的目标。IT 资产等级的计算主 要来源于 ISO27001 的 CIA 属性，同时参考最佳实践，根据陕西广电的企业特 点，对完整性要求较高

22、、保密性其次的特点，设计了如下公式对资产等级进行 计算。 资产价值（V）=Round1Log2(A2Conf+B2Int+C2Ava)/3 注：A 代表机密性的权值；B 代表完整性的权值；C 代表可用性的权值 Round函数是按制定位数，对数值四舍五入，Round1表示保留1位小数。 根据国际上对三类行业的权值定义惯例 电信运营商（最关注可用性）：A=0.7，B=0.7，C1.6； 金融行业（最关注完整性）：A=0.7，B=1.6，C0.7； 政府涉密部门（最关注机密性）：A=1.6，B=0.7，C0.7； 陕西广电企业性质为电信运营商，因此权值分别取： A=0.7，B=0.7，C1.6 并通

23、过下表进行分类 等级价值分类资产价值 1较低=3.5 第四章第四章陕西广电陕西广电 IT 资产等级分类资产等级分类操作方法操作方法 IT 资产等级分类方法资产等级分类方法 本章节主要指导陕西广电对 IT 资产等级分类的操作方法，以利于合理有效 的完成 IT 资产等级分类的工作。 陕西广电陕西广电 IT 资产登记资产登记 首先，先要将整个分类标准对陕西广电相关收集人员进行讲解，让其充分 了解。其次由相关资产负责人对照各收集表进行登记。以下建议了提供人员， 在实际收集中可根据实际情况进行调整。 信息系统表 建议由使用信息系统的管理人员填写或管理人员委托给对信息系统非常了 解的人员填写。 信息资产表

24、： 以业务系统表为基础，对应用系统应用、管理人员进行访谈，以访谈 的内容结果填写信息资产表。 主机资产表： 将此表下发各主机系统维护人员填写。 网络、安全设备表： 由网络维护人员填写。 数据库表： 由数据库管理人员填写。 IT 电子文档 由相关层次文档的制定或发布者提供。 陕西广电陕西广电 IT 资产安全属性赋值资产安全属性赋值 陕西广电 IT 资产分类表填写之后，需对填写的结果进行整理，并与各填表 人员进行沟通，对 IT 资产进行 CIA 赋值。 IT 资产等级分类统计资产等级分类统计 根据前期得到的陕西广电 IT 资产 C、I、A 值，再按照资产等级分类计算 公式，将得出 IT 资产的等级

25、，根据对等级的相应统计、分类，可以作为下阶段 风险评估的输入。 第五章第五章IT 资产等级分类标准更新和维护资产等级分类标准更新和维护 IT 资产等级分类标准更新资产等级分类标准更新 陕西广电 IT 资产等级分类标准的更新周期为半年或者当信息系统发生变更 后执行更新及修改。修改完成后，提交相应的部门进行审批。其中针对 IT 资产 等级分类标准有几个关键步骤，将作为周期检查及更新的重点内容： 1.信息资产表 在实际运行过程中，由于陕西广电的信息资产也会发生变化，因此需对信 息资产表的内容作相应的添加或修改，以符合陕西广电的当前状况。 2.信息系统表 根据陕西广电的业务变化情况及企业经营方面的调整，信息系统的种类及 安全属性同时也需要做相应的调整，以适应企业的变化。 3.IT 资产属性 在标准运行过程中，可能由于资产属性的设计存在一些不符合陕西广电实 际现状或不能清晰表达该资产的特性的情形，因此需要作相应的调整及更新。 IT 资产等级分类标准维护资产等级分类标准维护 由于整个标准在其生命周期中需要有相应的组织去执行、维护及更新。 第六章第六章 附则附则 本方针由陕西广电网络传媒股份有限公司制定并负责解释和修订。 本方针自发布之日起执行。筐获扰吁喊许矢庄切怜妻渣祟