信息系统资产评估报告实例

1、密 级： 内部文档编号：200070022-005项目编号：20070002XX市地税局信信息系统资产评估报告目 录TOC o 1-3 h z u HYPERLINK l _Toc181103545 1概述 PAGEREF _Toc181103545 h 3 HYPERLINK l _Toc181103546 2信息资产分分类和识别 PAGEREF _Toc181103546 h 3 HYPERLINK l _Toc181103547 2.1信息资资产调查的过过程 PAGEREF _Toc181103547 h 3 HYPERLINK l _Toc181103548 2.2调查范范围及方法 P

2、AGEREF _Toc181103548 h 4 HYPERLINK l _Toc181103549 2.3信息资资料识别 PAGEREF _Toc181103549 h 5 HYPERLINK l _Toc181103550 2.3.1硬硬件资产 PAGEREF _Toc181103550 h 5 HYPERLINK l _Toc181103551 2.3.2软软件资产 PAGEREF _Toc181103551 h 9 HYPERLINK l _Toc181103552 2.3.3数数据资产 PAGEREF _Toc181103552 h 11 HYPERLINK l _Toc181103

3、553 2.3.44文档资产 PAGEREF _Toc181103553 h 12 HYPERLINK l _Toc181103554 2.3.5人人员资产 PAGEREF _Toc181103554 h 15 HYPERLINK l _Toc181103555 3资产赋值方方法 PAGEREF _Toc181103555 h 21 HYPERLINK l _Toc181103556 3.1保密性性赋值 PAGEREF _Toc181103556 h 22 HYPERLINK l _Toc181103557 3.2完整性性赋值 PAGEREF _Toc181103557 h 22 HYPERL

4、INK l _Toc181103558 3.3可用性性赋值 PAGEREF _Toc181103558 h 23 HYPERLINK l _Toc181103559 3.4资产重重要性等级 PAGEREF _Toc181103559 h 24 HYPERLINK l _Toc181103560 4XX市地税税局资产赋值值 PAGEREF _Toc181103560 h 26 HYPERLINK l _Toc181103561 4.1硬件资资产赋值 PAGEREF _Toc181103561 h 26 HYPERLINK l _Toc181103562 4.1.1主主机设备 PAGEREF _T

5、oc181103562 h 26 HYPERLINK l _Tocc1811003563 4.1.22网络设备 PAGEREF _Toc181103563 h 28 HYPERLINK l _Toc181103564 4.1.3安安全设备 PAGEREF _Toc181103564 h 29 HYPERLINK l _Toc181103565 4.1.4存存储设备 PAGEREF _Toc181103565 h 29 HYPERLINK l _Toc181103566 4.1.5保保障设备 PAGEREF _Toc181103566 h 30 HYPERLINK l _Toc181103567

6、 4.1.6通通讯线路 PAGEREF _Toc181103567 h 31 HYPERLINK l _Toc181103568 4.2软件资资产赋值 PAGEREF _Toc181103568 h 32 HYPERLINK l _Toc181103569 4.2.1系系统软件 PAGEREF _Toc181103569 h 32 HYPERLINK l _Toc181103570 4.2.2应应用软件 PAGEREF _Toc181103570 h 33 HYPERLINK l _Toc181103571 4.3数据资资产赋值 PAGEREF _Toc181103571 h 34 HYPER

7、LINK l _Toc181103572 4.4文档资资产赋值 PAGEREF _Toc181103572 h 35 HYPERLINK l _Toc181103573 4.5人员资资产赋值 PAGEREF _Toc181103573 h 38 HYPERLINK l _Toc181103574 5地税信息资资产统计分析析 PAGEREF _Toc181103574 h 40 HYPERLINK l _Toc181103575 5.1资产价价值分布 PAGEREF _Toc181103575 h 40 HYPERLINK l _Toc1811035776 5.2分段价值分分布 PAGEREF

8、_Toc181103576 h 40 HYPERLINK l _Toc181103577 5.3资产分分类对比 PAGEREF _Toc181103577 h 41概述根据XX省人人民政府信息息化工作办公公室关于印发发的通通知文件精精神，XX省信息安安全测评中心心承担了XXX市地税局“征管信息系系统”的风险评估估工作。我中中心以建立符符合我省情况况的风险评估估方法、积累累风险评估工工作经验、培培养队伍、协协助XX市地税局局更深入地了了解其信息系系统安全现状状为目标，通过文档分分析、现场访访谈、问卷调调查、技术评评估等方法，对对XX市地税局局“征管信息系系统”进行了全面面的信息安全全风险评估。在

9、整个风险评估估项目过程中中，资产调查查是其首要工工作。资产调调查过程主要要包括资产识识别和资产赋赋值。一方面面，项目组根根据资产识别别的情况设计计出XX市地税局局保护对象框框架，并在此此基础上进行行安全体系设设计；另一方方面，项目组组将资产赋值值结果用于风风险计算，以以便准确地表表达安全调查查的结果。信息资产分类和和识别信息资产调查的的过程在本项目中，项项目组首先定定制了资产调调查表，通过过访谈方式，对对安全管理人人员、网络管管理人员、主主机系统管理理人员、应用用开发和维护护人员等进行行了访谈。逐逐步地识别XXX市地税局局信息资产并并收集其信息息。随后，项目组通通过对信息中中心进行扫描描，从第

10、二条条渠道获得了了可扫描系统统的系统信息息，包括服务务器主机、可可网管的网络络设备、数据据库系统和PPC机。通过将上述访谈谈和扫描的结结果进行人工工对比，合并并和除错，项项目组获得所所有必要的资资产信息。最后，项目组对对所有已识别别的资产进行行赋值，并编编制本报告。调查范围及方法法资料分类技术参考点输出成果评估范围评估方式涉及地税人员评估人员硬件资产主机设备硬件资产调查表表11台主机调查访谈、实际际核查赵白、梁志网络设备3台设备调查访谈、实际际核查王维、梁立新、朱朱宁宁安全设备1台设备调查访谈、实际际核查赵白、梁志存储设备1台设备调查访谈、实际际核查陈修杰、梁立新新、朱宁宁保障设备6种保障设备

11、调查访谈、实际际核查赵白、梁志通讯线路140条线路调查访谈、实际际核查陈修杰、梁立新新、朱宁宁软件资产系统软件软件资产调查表表11套主机系统统调查访谈、实际际核查赵白、串广义应用软件4套应用系统调查访谈、实际际核查梁志、梁立新、朱朱宁宁人员资产中心人员人员资产调查表表9人调查访谈、文档档检查赵白、串广义数据资产信息数据数据资产调查表表征管系统数据调查访谈、实际际核查赵白、梁立新、朱朱宁宁文档资产资料文档文档资料调查表表224个相关文文档调查访谈、实际际核查梁立新、朱宁宁宁信息资料识别XX市地税局的的信息资产是是指在XX市地税局局信息系统范范围内，具有有价值并需要要保护的对象象。它可能是是以多种

12、形式式存在，有无无形的、有有有形的，有硬硬件、有软件件，有数据，也也有服务等。它它们分别具有有不同的价值值属性和存在在特点，存在在的弱点、面面临的威胁、需需要进行的保保护和安全控控制都各不相相同。参照国家最新信信息安全风险险评估规范对信息资产的描述和定义，并结合XX市地税局的基本情况，我们将XX市地税局的信息资产分为5类，分别为：硬件资产、软件资产、数据资产、人员资产、文档资产，以下为本次调查的结果。硬件资产国家信息安全全风险评估规规范把硬件件资产分为以下7大类：网络设备：路由由器、网关、交交换机等；计算机设备：大大型机、小型型机、服务器器、工作站、台台式计算机、便便携计算机等等；存储设备：磁

13、带带机、磁盘阵阵列、磁带、光光盘、软盘、移移动硬盘等；传输线路：光纤纤、双绞线等等；保障设备：动力力保障设备（UUPS、变电电设备等）、空空调、保险柜柜、文件柜、门门禁、消防设设施等；安全保障设备：防火墙、入入侵检测系统统、身份鉴别别等；其他：打印机、复复印机、扫描描仪、传真机机等。根据XX市地税税局实际情况况并结合信息息安全风险评评估规范，我我们把XX市地税局局的硬件资产产分为以下6大类进行分分别的调查识识别：主机设备：大型型机、小型机机、服务器、工工作站、台式式计算机、便便携计算机等等；网络设备：路由由器、网关、交交换机等；安全设备：和信信息安全相关关的设备；存储设备：磁带带机、磁盘阵阵列

14、、磁带、光光盘、软盘、移移动硬盘等；传输线路：光纤纤、双绞线等等；保障设备：动力力保障设备（UUPS、变电电设备等）、空空调、保险柜柜、文件柜、门门禁、消防设设施等。主机设备序号设备名称硬件型号硬件配置IP地址操作系统用途说明1SJZ_NODDE1IBM RS66000RS64 IIII750MMHZ*4 8*5112MB*22 188.2GB*2XX.20.2225.1AIX征管业务系统数数据库2SJZ_NODDE2IBM RS66000RS64 IIII750MMHZ*4 8*5112MB*22 188.2GB*3XX.20.2225.3AIX征管业务系统数数据库3ZG-APP11IBM

15、x4440XEON 22.4G*22 4GB 36.44GB*2 XX.20.2225.199Win20000 SRV征管业务系统应应用4SJAPP2IBM x4440XEON 22.4G*22 4GB 36.44GB*2 XX.20.2225.211Win20000 SRV征管业务系统应应用5SJAPP3IBM x4440XEON 22.4G*22 4GB 36.44GB*2 XX.20.2225.233Win20000 SRV征管业务系统应应用6SJAPP4IBM x4440XEON 22.4G*22 4GB 36.44GB*2 XX.20.2225.255Win20000 SRV征管业务

16、系统应应用7sjdc1IBM x4440XEON 22.4G*22 4GB 36.44GB*2 XX.20.2225.100Win20000 SRVDC主域控制器器8sjdc2IBM x4440XEON 22.4G*22 4GB 36.44GB*2 XX.20.2225.111Win20000 SRVDC主域控制器器9IBM x3666XEON 22.8G*44 4GB 72GBB*3XX.20.2225.711Win20000 SRV税收管理员应用用10sjz-oa-webHP D3600XEON 33.0G*22 2GB 72GBB*2 XX.20.2224.100（11）Win20000

17、 SRVwww服务器11sjzds-oodpsHP D3600XEON 33.0G*22 2GB 72GBB*2 XX.20.2224.199（9）Win20000 SRV公文流转服务器器/瑞星杀毒毒服务器12HP D3600XEON 33.0G*22 2GB 72GBB*2 XX.168.10.2Win20000 SRV互联网服务器网络设备序号设备名称IP地址硬件型号出产厂商用途安装日期1sj7513XX.20.2231.2554Cisco 77513思科核心路由器2003年5月月2sj4506XX.20.2231.1Cisco 44506思科核心交换机2003年5月月3f5XX.20.22

18、25.188f5f5负载均衡器2005年9月月安全设备序号设备名称设备形态IP地址出产厂商品牌用途1IPS硬件XX.20.2225.2551绿盟冰之眼IPS存储设备序号设备名称IP地址硬件型号出产厂商品牌操作系统用途1sjnasXX.20.2225.1665194-2226IBMnas 2000Windowss 20000 Srv磁盘阵列保障设备序号设备名称物理地址硬件型号出产厂商品牌用途1UPS机房UL33-06600LEmersonn netwwork ppowerEMERSONN停电时供机房所所有设备电源源2空调机房S23DW0001HIROSSHIROSS机房制冷设备3防雷配电柜VAL

19、-MSPhcenixxPHCENIXX机房防雷设备4视频监控器机房ARES机房视频监控5动力、环境监测测机房机房电力、防水水监控6气体消防系统机房LD-KP066海湾安全技术有有限公司GST机房自动消防系系统通讯线路用户名称线路供应商端口速率单位责任人市局网通2M*115各税务所各单位网通8M*25各县（市）区局局各单位软件资产国家信息安全全风险评估规规范把软件件资产分为以以下3大类：系统软件：操作作系统、语句句包、工具软软件、各种库库等；应用软件：外部部购买的应用用软件，外包包开发的应用用软件等；源程序：各种共共享源代码、自自行或合作开开发的各种代代码等。根据XX市地税税局实际情况况并结合信

20、息息安全风险评评估规范，我我们把XX市地税局局的软件资产产分为以下22大类进行分分别的调查识识别：系统软件：操作作系统、语句句包、工具软软件、各种库库等；应用软件：外部部购买的应用用软件，外包包开发的应用用软件等。系统软件序号系统名称版本号对应主机资产应用服务出产厂商软件服务期限1windowss 2000 seerverXX.20.2225.199tcp/ip 8020 80900 80Microsooft是2windowss 2000 seerverXX.20.2225.211tcp/ip 8020 80900 80Microsooft是3windowss 2000 seerverXX.2

21、0.2225.233tcp/ip 8020 80900 80Microsooft是4windowss 2000 seerverXX.20.2225.255tcp/ip 8020 80900 80Microsooft是5windowss 2000 seerverXX.20.2225.100tcp/ipMicrosooft是6windowss 2000 seerverXX.20.2225.111tcp/ip Microsooft是7windowss 2000 seerverXX.20.2225.144tcp/ip 110 225 80Microsooft是8AIX4.3.3XX.20.2225.1

22、tcp/ipIbm是9AIX4.3.3XX.20.2225.3tcp/ipIbm是10Oracle1XX.20.2225.1tcp/ip 1521甲骨文是11Oracle1XX.20.2225.3tcp/ip 1521甲骨文是应用软件序号应用软件名称对应主机资产应用服务软件版本号出产厂商1XX地税税收征征收管理系统统XX.20.2225.199tcp/ip 80200 80990 8002005版北京华安通联有有限责任公司司2XX地税税收征征收管理系统统XX.20.2225.211tcp/ip 80200 80990 8002005版北京华安通联有有限责任公司司3XX地税税收征征收管理系统统X

23、X.20.2225.233tcp/ip 80200 80990 8002005版北京华安通联有有限责任公司司4XX地税税收征征收管理系统统XX.20.2225.255tcp/ip 80200 80990 8002005版北京华安通联有有限责任公司司数据资产国家信息安全全风险评估规规范把数据据资产定义为为保存在信息息媒介上的各各种数据资料料，包括源代代码、数据库库数据、系统统文档、运行行管理规程、计计划、报告、用用户手册等根据XX市地税税局实际情况况并结合信息息安全风险评评估规范，我我们把XX市地税局局数据资产的评估范范围设定在核核心征管系统统的数据库数数据。序号数据名称用途分发范围对应主机资产

24、应用服务数据期限1税收征管相关资资料反映纳税人相关关情况地税系统内部XX.20.2225.1 XX.20.225.33税收征管系统10年文档资产国家信息安全全风险评估规规范文档资资产定义为纸纸质的各种文文件，如传真真、电报、财财务报告、发发展计划等。根据XX市地税税局实际情况况并结合信息息安全风险评评估规范，我我们把XX市地税局局的文档资产产的评估范围围设定在信息息中心现存的的重要的文档档、规范、制制度及培训手手册等。此次次共整理2224个各类文文档，从中提提取出31个个文档作为此此次文档资产产评估范围。序号文档年份文档名称用途存放方式12006XX地税计算机机系统管理制制度系统管理制度纸质文

25、档与电子子档22006系统数据库口令令管理系统管理制度纸质文档与电子子档32004XX市地方税务务局信息化星星级管理办法法管理制度纸质文档与电子子档42004XX市地方税务务局20044年信息化建建设实施方案案管理制度纸质文档与电子子档52004信息化主要建设设项目实行统统一审批管理理管理制度纸质文档与电子子档62004关于成立信息化化工作领导小小组管理制度纸质文档与电子子档72004XX市地方税务务局基层局机机房维护管理理制度管理制度纸质文档与电子子档82004XX市地方税务务局计算机使使用维护管理理制度管理制度纸质文档与电子子档92004XX市地方税务务局网络安全全管理制度管理制度纸质文档

26、与电子子档102004XX市地方税务务局网络运行行维护管理制制度管理制度纸质文档与电子子档112004XX市地方税务务局应用软件件维护管理（暂暂行）办法22004-77-29管理制度纸质文档与电子子档122004信息化星级管理理办法管理制度纸质文档与电子子档132004XX地税计算机机系统管理制制度(定稿)管理制度纸质文档与电子子档142004XX地税市局机机房维护制度度管理制度纸质文档与电子子档152006应用软件维护制制度22号文文管理制度纸质文档与电子子档1620072007年信息息化工作要点点（定稿)管理制度纸质文档与电子子档172007XX市基层单位位兼职信息化化管理人员职职责(新）

27、管理制度纸质文档与电子子档182007信息化星级管理理办法20007管理制度纸质文档与电子子档192006XX地税市局征征管数据库备备份系统维护护管理办法管理制度纸质文档与电子子档202005XX地税市局征征管数据库备备份系统维护护手册维护手册纸质文档与电子子档212006XX地税数据复复制系统使用用维护手册维护手册纸质文档与电子子档222006XX地税数据复复制系统维护护管理办法（试试行）管理制度纸质文档与电子子档2320052005版征管管系统税务登登记说明书（一一）征管软件说明书书纸质文档与电子子档2420052005版征管管系统申报征征收说明书（二二）征管软件说明书书纸质文档与电子子档

28、2520052005版征管管系统税收计计会说明书（三三）征管软件说明书书纸质文档与电子子档2620052005版征管管系统税务管管理说明书（四四）征管软件说明书书纸质文档与电子子档2720052005版征管管系统征收管管理说明书（五五）征管软件说明书书纸质文档与电子子档2820052005版征管管系统文书审审批说明书（六六）征管软件说明书书纸质文档与电子子档2920052005版征管管系统基层查查询说明书（七七）征管软件说明书书纸质文档与电子子档3020052005版征管管系统设置说说明书（八）征管软件说明书书纸质文档与电子子档3120052005版征管管系统典型业业务说明书（九九）征管软件说

29、明书书纸质文档与电子子档人员资产国家信息安全全风险评估规规范人员资资产定义为掌掌握重要信息息和核心业务务的人员，如如主机维护主主管、网络维维护主管及应应用项目主管管等。根据XX市地税税局实际情况况并结合信息息安全风险评评估规范，我我们把XX市地税局局的人员资产产的评估范围围设定在信息息中心在职工工作人员。信信息中心在职职人员共有113人，主要要进行高级管管理的主任或或副级的人员员有三人，重重要系统管理理人员为六人人。因此，此此次人员资产产的评估范围围是信息中心心高级管理人人员及重要资资产管理人员员共九人。序号人员名称所属部门人员职务人员职责1XXX信息中心主任1 负责全面面工作。2 负责全系系

30、统信息化建建设规划和实实施方案的组组织制定工作作。3 负负责协调组织织全系统信息息化建设规划划和方案的实实施工作。44 负责信信息化队伍建建设工作。55 完成领领导交办的其其他工作。2XXX信息中心副主任1主管软件维维护工作。22主管软件件试点和推广广工作。3主管办公自自动化工作。4主管安全防范工作。5完成领导交办的其他工作。3XXX信息中心副主任1主管网络维维护工作。22主管系统统运维工作。3主管软件开发工作。4主管综合工作。5完成领导交办的其他工作。4XXX信息中心组长1负责网络管管理工作2负责系统维维护工作3负责DC11、DC2服服务器的硬件件及系统的维维护4负责责FTP服务务器的硬件及

31、及软件的维护护5负责NNAS服务器器的硬件及数数据备份的管管理与维护66负责Exxchangge服务器的的硬件及邮件件系统的维护护7负责辅辅助应用系统统的硬件及操操作系统的升升级与维护88负责机房房空调维护工工作9负责责消防系统维维护工作100负责机房房环境监控工工作11负负责软件开发发的前期开发发工作12领导安排的的其他工作5XXX信息中心科员1. 负责市局局办公网站的的框架规划、版版式设计及组组织编写网站站程序。2. 负责办公公网站的部署署实施与程序序维护。3. 负责办公公网站的信息息发布工作的的技术指导和和培训。4. 负责市局局办公网站的的数据备份及及服务器日常常管理。5. 负责全系系统

32、计算机防防病毒工作的的维护工作，定定时升级防病病毒软件。66. 负责监监控全系统下下级防计算机机病毒中心，督督导客户端及及时升级查杀杀。7. 负负责全系统每每年的计算机机安全培训工工作。8. 负责长安办办公楼的办公公网站服务器器的资源管理理。9完成成领导交办的的其他工作。6XXX信息中心科员1.负责机房UUPS维护工工作2.负责责UPS电池池维护工作33.负责机房房强电维护工工作4.负责责机房KVMM维护工作55.负责主控控室设备维护护工作6.负负责软件开发发的后期工作作7.负责11721层电脑脑维护及局域域网维护工作作8.负责弱弱电井设备维维护工作9.负责视频会会议会前调试试和维护工作作10

33、.负责责数据分析工工作7XXX信息中心科员1. 负责有关关网络的日常常事务性维护护；2. 负负责市局中心心端内、外网网网络设备故故障的排除；3. 负责责 CDMAA线路故障的的排除；4. 负责市局局内、外网监监控与管理；5. 与有有关同志共同同负责网络建建设项目；66. 与有关关同志共同负负责有关网络络知识的培训训；7. 协协助基层单位位分析网络故故障；8. 协调网通、基基层局排除广广域网线路故故障；9. 了解网络现现状，适时向向领导提出网网络发展规划划；10. 领导交办的的其它工作。8XXX信息中心科员1负责小型机机硬件维护、调调试及保养22负责小型型机操作系统统AIX的升升级、维护3负责征

34、征管系统后台台Oraclle数据库的的日常维护、数数据备份、状状态监控及性性能调优4负责征管系系统应用服务务器的硬件及及操作系统的的维护及升级级5负责DDC1、DCC2服务器的的硬件及系统统的维护6负责Excchangee服务器的硬硬件及邮件系系统的维护77负责FTTP服务器的的硬件及软件件的维护8负责NASS服务器的硬硬件及数据备备份的管理与与维护9负负责辅助应用用系统的硬件件及操作系统统的升级与维维护10负负责培训环境境的硬件及操操作系统的升升级与维护111负责车车船税征收管管理软件、建建安房地产软软件相关设备备维护及软件件运行管理112负责软软件开发工作作13领导导安排的其他他工作9XX

35、X信息中心科员1. 负责征管管软件的运行行维护工作.2. 负责责个人所得税税软件的运行行维护工作.3. 负责责网上报税软软件的运行维维护工作.44. 负责决决策支持系统统的运行维护护工作.5. 负责法制制软件的运行行维护工作.6. 负责责人事管理软软件维护工作作.7. 负负责其它软件件的维护工作作.8. 负负责应用软件件的试点测试试工作,做好好方案制定、培培训和试点软软件技术问题题搜集、分析析、解答工作作。9. 负负责应用软件件的推广工作作，做好方案案制定、培训训和技术问题题分析、解答答工作。100. 完成其其它工作。资产赋值方法信息资产价值有有别于资产的的帐面价值和和重置价值，而而是指资产在

36、在安全方面的的相对价值。本本文中所指的的信息资产价价值全部都表表示相对价值值。进行资产估价时时，不仅要考考虑资产的帐帐面价值，更更重要的是考考虑资产对于于组织商务或或业务的重要要性，即资产产损失所引发发潜在的商务务或业务的影影响来决定，例例如导致业务务中断、资金金和市场份额额的损失、企企业形象的损损害等直接和和间接的经济济损失。为确确保资产估价价的一致性和和准确性，应应建立一个资资产的价值尺尺度，即资产产评价标准，以以明确如何对对资产进行赋赋值。信息资产分别具具有不同的安安全属性，机机密性、完整整性和可用性性分别反映了了资产在三个个不同方面的的特性。安全全属性的不同同通常也意味味着安全控制制、

37、保护功能能需求的不同同。通过考察察三种不同安安全属性，可可以得出一个个能够基本反反映资产价值值的定性的数数值。在信息息资产估价时时，主要对资资产的这三个个安全属性分分别赋予价值值，以此反映映出信息资产产的价值。密性、完整性和和可用性的定定义如下：保密性：确保只只有经过授权权的人才能访访问信息。如如果信息或者者服务被无关关甚至怀有恶恶意的人获得得，则表明该该资产的保密密性受到了损损害。完整性：保护护信息和信息息的处理方法法准确而完整整；如果信息息或者服务在在传递过程中中因为系统故故障或者恶意意的方法导致致被修改，并并引起错误，则则表明该资产产的完整性受受到了损害。可用性：确保保经过授权的的用户在

38、需要要时可以访问问信息并使用用相关信息资资产。如果信信息非正常丢丢失或者服务务非正常中断断，则表明该该资产的可用用性受到了损损害。保密性、完整性性和可用性是是评价资产的的三个安全属属性。风险评评估中资产的的价值不是以以资产的经济济价值来衡量量，而是由资资产在这三个个安全属性上上的达成程度度或者其安全全属性未达成成时所造成的的影响程度来来决定的。安安全属性达成成程度的不同同将使资产具具有不同的价价值，而资产产面临的威胁胁、存在的脆脆弱性、以及及已采用的安安全措施都将将对资产安全全属性的达成成程度产生影影响。为此，有有必要对组织织中的资产进进行识别。保密性赋值根据资产在保密密性上的不同同要求，将其

39、其分为五个不不同的等级，分分别对应资产产在保密性上上应达成的不不同程度或者者保密性缺失失时对整个组组织的影响。表表提供了一种种保密性赋值值的参考。资产保密性赋值值表赋值标识定义5很高包含组织最重要要的秘密，关关系未来发展展的前途命运运，对组织根根本利益有着着决定性的影影响，如果泄泄露会造成灾灾难性的损害害 4高包含组织的重要要秘密，其泄泄露会使组织织的安全和利利益遭受严重重损害3中等组织的一般性秘秘密，其泄露露会使组织的的安全和利益益受到损害2低仅能在组织内部部或在组织某某一部门内部部公开的信息息，向外扩散散有可能对组组织的利益造造成轻微损害害1很低可对社会公开的的信息，公用用的信息处理理设备

40、和系统统资源等完整性赋值根据资产在完整整性上的不同同要求，将其其分为五个不不同的等级，分分别对应资产产在完整性上上缺失时对整整个组织的影影响。表提供供了一种完整整性赋值的参参考。资产完整性赋值值表赋值标识定义5很高完整性价值非常常关键，未经经授权的修改改或破坏会对对组织造成重重大的或无法法接受的影响响，对业务冲冲击重大，并并可能造成严严重的业务中中断，难以弥弥补。4高完整性价值较高高，未经授权权的修改或破破坏会对组织织造成重大影影响，对业务务冲击严重，较较难弥补。3中等完整性价值中等等，未经授权权的修改或破破坏会对组织织造成影响，对对业务冲击明明显，但可以以弥补。2低完整性价值较低低，未经授权

41、权的修改或破破坏会对组织织造成轻微影影响，对业务务冲击轻微，容容易弥补。1很低完整性价值非常常低，未经授授权的修改或或破坏对组织织造成的影响响可以忽略，对对业务冲击可可以忽略。可用性赋值根据资产在可用用性上的不同同要求，将其其分为五个不不同的等级，分分别对应资产产在可用性上上应达成的不不同程度。表表4提供了一一种可用性赋赋值的参考。资产可用性赋值值表赋值标识定义5很高可用性价值非常常高，合法使使用者对信息息及信息系统统的可用度达达到年度999.9%以上上，或系统不不允许中断。4高可用性价值较高高，合法使用用者对信息及及信息系统的的可用度达到到每天90%以上，或系系统允许中断断时间小于110mi

42、n。3中等可用性价值中等等，合法使用用者对信息及及信息系统的的可用度在正正常工作时间间达到70%以上，或系系统允许中断断时间小于330min。2低可用性价值较低低，合法使用用者对信息及及信息系统的的可用度在正正常工作时间间达到25%以上，或系系统允许中断断时间小于660min。1很低可用性价值可以以忽略，合法法使用者对信信息及信息系系统的可用度度在正常工作作时间低于225%。资产重要性等级级资产价值应依据据资产在保密密性、完整性性和可用性上上的赋值等级级，经过综合合评定得出。综综合评定方法法可以根据自自身的特点，选选择对资产保保密性、完整整性和可用性性最为重要的的一个属性的的赋值等级作作为资产

43、的最最终赋值结果果；也可以根根据资产保密密性、完整性性和可用性的的不同等级对对其赋值进行行加权计算得得到资产的最最终赋值结果果。加权方法法可根据组织织的业务特点点确定。本标准中，为与与上述安全属属性的赋值相相对应，根据据最终赋值将将资产划分为为五级，级别别越高表示资资产越重要，也也可以根据组组织的实际情情况确定资产产识别中的赋赋值依据和等等级。表中的的资产等级划划分表明了不不同等级的重重要性的综合合描述。评估估者可根据资资产赋值结果果，确定重要要资产的范围围，并主要围围绕重要资产产进行下一步步的风险评估估。资产等级及含义义描述等级标识描述5很高非常重要，其安安全属性破坏坏后可能对组组织造成非常

44、常严重的损失失。4高重要，其安全属属性破坏后可可能对组织造造成比较严重重的损失。3中比较重要，其安安全属性破坏坏后可能对组组织造成中等等程度的损失失。2低不太重要，其安安全属性破坏坏后可能对组组织造成较低低的损失。1很低不重要，其安全全属性破坏后后对组织造成成导很小的损损失，甚至忽忽略不计。XX市地税局资资产赋值硬件资产赋值主机设备保密性赋值：数据库主机中运运行的是核心心应用征管系系统的数据库库，保密性设为为5；DC域控制器为为征管系统提提供集中身份验证，保密密性为4；征管应用服务器器为核心应用系统统，保密性设设为3；税收管理应用，为为内部应用服服务器，保密密性设为3；WWW服务器为为发布服务

45、器器，保密性要要求相对比较较低，因此设设为2；公文流转及防病病毒服务器，承承担内部公文文流转及防病病毒的任务，由于有公文流转，因此设为4；可用性赋值数据库主机承担担征管系统数数据查询及数数据存储功能能，虽然由两两台数据库主主机分别提供供此项功能，但但由于平时数数据库主机的的压力比较高高，一台主机机如果发生故故障有可能影影响整个征管管系统的应用用，因此可用用性要求最高高，设为5；DC域控制器为为征管提供身身体验证，由由两台DC控控制器分别进进行，可能用用性要求不是是非常高，设设为3；征管应用系统由由四台主机分分别提供，任任何一台或两两台主机发生生故障，一般般不会影响整整个系统的应应用，因此可可用

46、性设为22；税收管理应用，现现阶段没有正正式开通，可可用性要求不不高，设为22；WWW服务器为为发布服务器器，只有一台台主机提供服服务，可用性性要求相对较较高，设为44；公文流转及防病病毒服务器，承承担内部公文文流转及防病病毒的任务，只只有一台主机机提供相关服服务，可用性性要求相对较较高，设为44；完整性赋值数据库承担征管管系统数据查查询及数据存储功能能，数据内容容不容被破坏坏或修改，因因此，完整性性要求最高，设设为4；DC域控制器为为征管提供身身体验证，完完整性要求相相对较高设为为3；征管应用系统由由四台主机分分别提供，征征管应用是一一项流程一项项业务，对于于流程或业务务完整性的要要求比较高

47、，因因此，设为44；税收管理应用，是是一项应用服服务，完整性性的要求比较较高，设为44；WWW服务器为为发布服务器器，但由于此此服务器不是是核心应用系系统，因此完完整性要求不不是要求很严严格，设为33公文流转及防病病毒服务器，承承担内部公文文流转及防病病毒的任务，公公文流转和防防病毒都是比比较重要的应应用服务，完完整性要求相相对较高，设设为4；具体列表如下：序号设备名称IP地址用途说明保密性可用性完整性资产等级1SJZ_NODDE1XX.20.2225.1征管业务系统数数据库5442SJZ_NODDE1XX.20.2225.3征管业务系统数数据库5443ZG-APP11XX.20.2225.1

48、99征管业务系统应应用3244SJAPP2XX.20.2225.211征管业务系统应应用3245SJAPP3XX.20.2225.233征管业务系统应应用3246SJAPP4XX.20.2225.255征管业务系统应应用3247sjdc1XX.20.2225.100DC主域控制器器4338sjdc2XX.20.2225.111DC主域控制器器4339XX.20.2225.711税收管理员应用用32410sjz-oa-webXX.20.2224.100（11）www服务器24311sjzds-oodpsXX.20.2224.199（9）公文流转服务器器/瑞星杀毒毒服务器444网络设备保密性赋值核

49、心路由器、核核心交换机上上的数据为重重要的征管数数据，保密性性设为3；F5负载均衡的的数据为重要要的征管数据据，保密性设为3；可用性赋值核心路由器、核核心交换机是是整个设级地地税网络的核核心网络设备备，可用性要要求比较高，设设为4F5负载均衡设设备承担为内内部四台征管管应用提供数数据中转，FF5是否可用用直接会影响响整个征管系系统，可用性性要求最高，设设为5；完整性赋值核心路由器、核核心交换机上上的数据为重重要的征管数数据，因此，完完整性要求比比较高，设为为4；F5负载均衡的的数据为重要要的征管数据据，因此，完完整性要求比比较高，设为为4；序号设备名称IP地址用途保密性可用性完整性资产等级1s

50、j7513XX.20.2231.2554核心路由器3442sj4506XX.20.2231.1核心交换机3443f5XX.20.2225.188负载均衡器354安全设备保密性赋值IPS为入侵防防御系统，是是一种安全设设备，保密性性要求比较低低，设为2；可用性赋值IPS为入侵防防御系统，是是一种安全设设备，作为入入侵防御系统统，它串连在在核心路由与与核心交换机机之间，IPPS是否可用用，直接影响响市地税与下下面分局或所所的数据能信信，因此，可可用性设为44完整性赋值IPS为入侵防防御系统，是是一种安全设设备，完整性性要求不是很很高，设为33；序号设备名称IP地址保密性可用性完整性资产等级1IPS

51、XX.20.2225.2551243存储设备保密性赋值存储设备存储的的是重要数据据库数据，保保密性要求比比较高，设为为4；可用性赋值存储设备对数据据库进行备份份，可用性要要求比较高，设设为4；完整性赋值存储设备对数据据库进行备份份，如果备份份数据有问题题，可以进行行重新备份，因因此完整性的的要求不是特特别高，设为为3；序号设备名称IP地址硬件型号出产厂商保密性可用性完整性1sjnasXX.20.2225.1665194-2226IBM443保障设备保密性赋值UPS、空调、防防雷、气体消消防系统均不不存在数据和和重要的监控控信息，因此此，保密性设设为1；视频监控系统，由由于负责机房房视频监控，视

52、视频数据有比比较强的保密密性要求，因因此，保密性性设为4；可用性赋值UPS、消防系系统分别承担担电源保障及及机房消防，可可用性要求最最高，为4；空调设备有两台台，一台出现现故障不会很很大程度影响响机房运行，因因此可用性设设为2；防雷设备，由于于地税大厦已已经做了防雷雷处理，因此此，机房防雷雷的可用性要要求不是很高高，设为2；动力和环境监测测系统，不是是核心保障设设备，可用性性设为2；设频监控系统，负负责监控机房房日常情况，可可用性要求设设为3完整性赋值UPS、消防系系统分别承担担电源保障及及机房消防，设备的完整性直接影响整个机房的运行状态，因此完整性设为4；空调设备有两台台，一台出现现故障不会

53、很很大程度影响响机房运行，因因此完整性设为22；防雷设备，由于于地税大厦已已经做了防雷雷处理，因此此，机房防雷雷的完整性要求不不是很高，设设为2；动力和环境监测测系统，不是是核心保障设设备，完整性设为22；设频监控系统，负负责监控机房房日常情况，完整性要求设为3序号设备名称硬件型号出产厂商保密性可用性完整性资产等级1UPSUL33-06600LEmersonn netwwork ppower1442空调S23DW0001HIROSS1223空调S23DW0001HIROSS1224防雷VAL-MS1225视频监控器4336动力、环境监测测2227气体消防系统LD-KP066144通讯线路保密性

54、赋值8M县（区）局局线路和2MM所级线路，是是市局和各县县（区）局级级机关进行通通讯的线路及及市级和各所所级机关进行行通讯的线路路，线路上主主要是征管数数据，保密性性要求为3；可用性赋值8M县（区）局局线路，是市市局和各县（区区）局级机关关进行通讯的的线路及市级级，线路上主主要是征管数数据，可用性性要求为4；2M所级线路，是是市级和各所所级机关进行行通讯的线路路，线路上主主要是征管数数据，可用性性要求为3；完整性赋值8M县（区）局局线路和2MM所级线路，是是市局和各县县（区）局级级机关进行通通讯的线路及及市级和各所所级机关进行行通讯的线路路，线路上主主要是征管数数据，完整性性要求为2；用户名称

55、线路供应商端口速率单位保密性可用性完整性资产等级市局网通2M*115各税务所333网通8M*25各县（市）区局局343软件资产赋值系统软件保密性赋值除控制器上上的两个操作作系统外，其其它Win22000操作作系统及IBBM AIXX保密性均设设为；控制器上的的主机系统由由于承担用户户验证的功能能，因此，保保密性要求为为；数数据库系统的的保密性为；可用性赋值四台征管应用服服务器上的主主机系统由于于采用了负载载均衡，因此此，征管应用用系统上的操操作系统可用用性要求较底底，为；现台域控制器上上的系统，可可用性为；公文流转上的主主机系统，可可用性为主机系统及及数据库系系统，可用性性为；完整性赋值两台域

56、控制系统统、四台征管管应用主机系系统由于都是是多台系统提提供功能，因因此完整性要要求均为；公文流转主机系系统为单一主主机系统，完完整性为；IBM AIIX主机系统统及Oraccle数据库库系统，完整整性为；序号系统名称版本号对应主机资产出产厂商保密性可用性完整性资产等级1Windowss2000 seerverXX.20.2225.199Microsooft3232Windowss2000 seerverXX.20.2225.211Microsooft3233Windowss2000 seerverXX.20.2225.233Microsooft3234Windowss2000 seerver

57、XX.20.2225.255Microsooft3235Windowss2000 seerverXX.20.2225.100Microsooft4336Windowss2000 seerverXX.20.2225.111Microsooft4337windowss2000 seerverXX.20.2225.144Microsooft3448AIX4.3.3XX.20.2225.1IBM3449AIX4.3.3XX.20.2225.3IBM34410Oracle1XX.20.2225.1甲骨文4411Oracle1XX.20.2225.3甲骨文44应用软件保密性赋值四套征管应用系系统保密性均均为；可用性赋值四套征管应用系系统，由于采采用了集群负负载均衡的工工作方式，单单套可用性要要求不高，为为；完整性赋值四套征管应用系系统，由于为为业务应用系系统，对业务务的完整性要要求相对较高高，因此设为为；序号应用软件名称对应主机资产软件版本号出产厂商保密性可用性完整性资产等级1XX地税税收征征收管理系统统XX.20.2225.1992005版北京华安通联有有限责任公司司4232XX地税税收征征收管理系统统XX.20.2225.2112005版北京华安通联有有限责任公司司