安全风险评估之信息资产赋值

1、安全风险评估之信息资产赋值信息资产赋值定义1.为什么要进行信息资产的赋值？在完成信息资产的识别形成完整的信息资 产表之后，为了明确对资产的保护，同时为了接 下来对风险值的计算，有必要对资产的价值进行 评估，其价值大小不仅仅是考虑其自身的价值， 还要考虑其业务的相关性和一定条件下的潜在 价值。资产价值常常是以安全事件发生时所产生 的潜在业务影响来衡量，安全事件会导致资产机 密性、完整性和可用性的损失，从而导致企业资 金、市场份额、企业形象的损失。为了资产评估 的一致性与准确性，我们建立一套资产价值的评 估标准，对每一种资产和每一种可能的损失，例 如机密性、完整性和可用性的损失，都可以赋予 一个价

2、值。但采用精确的方式给资产赋值是较困 难的一件事，一般采用定性的方式，按照资产的 价值评估标准将资产的价值划分为不同等级。经 过资产的识别与估价后，组织应根据资产价值大 小，进一步确定要保护的关键资产。在评估过程，为了保证没有资产被忽略和遗 漏，应该先确定信息安全体系范围，建立资产的 评审边界。评估资产最简单的方式是列出组织业 务过程中、安全管理体系范围内所有具有价值的 资产，然后对资产赋予一定的价值，这种价值应 该反映资产对组织业务运营的重要性， 并以对业 务的潜在影响程度表现出来。例如，资产价值越 大，由于泄露、修改、损害、不可用等安全事件 对组织业务的潜在影响就越大。基于组织业务需 要的

3、资产的识别与估价，是建立信息安全体系， 确定风险的重要一步。2.如何进行信息资产赋值？在对资产赋予价值时，一方面要考虑资产购 买成本及维护成本，另一方面主要考虑当这种资 产的机密性、完整性、可用性受到损害时，对业 务运营的负面影响程度。在信息安全管理中，并 不是直接采用资产的账面价值，而是采用以定性 分级的方式建立资产的相对价值，以相对价值来 作为确定重要资产的依据和为这种资产的保护 投入多大资源的依据。对资产的赋值不仅要考虑资产本身的价值， 更 重要的是要考虑资产的安全状况对于组织的重 要性，即由资产在其CIA三个安全属性上的达成 程度决定。依据CIA属性分级的标准对资产在机密性、完整性和可

4、用性上的达成程度进行分析， 并在此基础上得出一个综合结果一一信息资产 的价值。赋值五分法资产赋值标识C机密性I 完整性A可用性5很高包含组织最重要的秘密， 关系未来发展的前途命 运，对组织根本利益有着 决定性影响，如果泄漏会 造成灾难性的损害 （如企 密AAA完整性价值非常关键，未 经授权的修改或破坏会对 组织造成重大的或无法接 受的影响，对业务冲击重 大，并可能造成严重的业 务中断，难以弥补可用性价值非常高，合法使用者对信息及信息系统的可用度达到年度99.9%以上4高包含组织的重要秘密，其 泄露会使组织的安全和利 益遭受严重损害（如企密AA完整性价值较高，未经授 权的修改或破坏会对组织 造成

5、重大影响，对业务冲 击严重，比较难以弥补可用性价值较高，合法使用者对信息及信息系统的 可用度达到每天90浓上3中等包含组织的一般性秘密， 一般仅能在组织某一或几 个部门内部公开，其泄露 会使组织的安全和利益受到损害（如企密A）完整性价值中等，未经授 权的修改或破坏会对组织 造成影响，对业务冲击明 显，但可以弥补可用性价值中等，合法使 用者对信息及信息系统的 可用度在正常工作时间达到 70%以上2低包含组织较低级别秘密， 仅能在组织内部公开的信 息，向外扩散有可能对组 织的利益造成损害完整性价值较低，未经授 权的修改或破坏会对组织 造成轻微影响，可以忍受， 对业务冲击轻微，容易弥 补可用性价值较

6、低，合法使 用者对信息及信息系统的 可用度在正常工作时间达到25%以上1很低包含可对社会公开的信完整性价值非常低，未经可用性价值可以忽略，合息，公用的信息处理设备和系统资源等授权的修改或破坏对组织造成的影响可以忽略，对业务冲击可以忽略法使用者对信息及信息系统的可用度在正常工作时间低于25%不同资产对应的赋值原则资产赋值标识C机密性I 完整性A可用性5很高关键系统主机；关键的网 络设备、安全设备、存储 设备；域控制器和关键基 础设施服务器；网络和主 机管理及监控设备；备份 设备、备份介质；打印机； 复印机；传真机；个人办 公电脑关键系统主机；重要系统 主机；关键的网络设备、 安全设备、存储设备；

7、重 要网络设备、安全设备、 存储设备；一般网络设备、 安全设备、存储设备；域 控制器和关键基础设施服 务器；重要（机房）环境 设施监控设备；备份设备、 备份介质关键系统主机；关键的网 络设备、安全设备、存储 设备；域控制器和关键基 础设施服务器；备份设备、 备份介质4高重要系统主机；一般系统 主机；重要网络设备、安 全设备、存储设备；域成 员服务器和重要基础设施 服务器；重要（机房）环 境设施监控设备；打印机； 复印机；传真机；个人办 公电脑一般系统主机；域成员服 务器和重要基础设施服务 器；一般（机房）环境设 施监控设备；网络和主机 管理及监控设备重要系统主机；重要网络 设备、安全设备、存储

8、设 备；域成员服务器和重要 基础设施服务器；重要（机 房）环境设施监控设备； 一般（机房）环境设施监 控设备；网络和主机管理 及监控设备3中等一般网络设备、安全设备、 存储设备；一般（机房） 环境设施监控设备；打印 机；复印机；传真机；个 人办公电脑完整性价值中等，未经授 权的修改或破坏会对组织 造成影响，对业务冲击明 显，但可以弥补；打印机； 复印机；传真机；个人办一般系统主机；一般网络 设备、安全设备、存储设 备；打印机；复印机；传 真机；个人办公电脑公电脑2低-1很低-信息资产赋值算法1.资产赋值算法说明信息资产的资产价值要考虑机密性（C）、完整性（I ）、可用性（A） 三个因素。为了资

9、产评估的一致性与准确性，我们建立一套资产价值的评估标 准，对每一种资产和每一种可能的损失，例如机密性、完整性和可用性的损失， 都可以赋予一个价值。然后利用确定的算法将信息资产三个因素的价值综合考 虑，确定最终的资产价值大小，进一步确定要保护的关键资产。资产价值的算法通常包括算术平均法和对数平均法。算术平均法综合 考虑三个方面的因素，简便易用。对数平均法在考虑三个因素的同时，更易突 出某一特定因素的影响，更加客观准确的体现出资产的价值。在实际应用过程中，通常不同类别的资产对于三个因素的敏感程度是 不同的，例如：人员资产通常不考虑完整性因素。因此，在实践过程中，可以 为不同类别资产的三个因素配置相应的权重，以保证对该类资产价值分析的可 靠性和准确性。2.请选择【信息资产赋值算法】：无权重算术平均法：综合考虑资产三个方面的属性，平均得出资产价值，简单易用。r-对数平均法：在综合考虑资产三个方面属性的同时，重点突出某一属性的 特点。例如，某些信息资产的保密性要求很高，而可用性、完整性要求较低时, 使用本算法更能够凸显出其资产价值的重要性。2C + 2f + 2a呱(§)有权重(a + B + 丫 = 1)P加权算术平均法：在算术平均法的基础上，根据不同资产类别的特点，