51Testing软件测试论坛

 找回密码
 (注-册)加入51Testing

QQ登录

只需一步,快速开始

微信登录,快人一步

手机号码,快捷登录

查看: 2292|回复: 0
打印 上一主题 下一主题

[原创]什么是信息安全资产管理?

[复制链接]

该用户从未签到

跳转到指定楼层
1#
发表于 2012-6-8 09:56:45 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
[原创]什么是信息安全资产管理?
     1 什么是资产?是任何对组织有价值的东西;
     2 什么是信息资产? 是具有价值的信息或资源,它能够以多种形式存在,有无形的,有形的。在ISO17799中,对信息的定义更确切、具体:“信息是一种资产,像其他重要的业务资产一样,对组织具有价值,因此需要妥善保护”。
     3 什么信息安全资产管理流程:(1)首先要明确什么是信息资产 (2)资产识别 (3) 资产的评价 (4)资产风险评估(5)资产的管理 ;
     4 资产识别其中资产识别需要考虑的有:
    (1)信息资产:数据库和数据文件、合同和协议、 系统文件、研究信息、用户手册、培训材料、操作或支 持程序、业务连续性计划、后备运行安排、审计记录、 归档的信息;
    (2)软件资产:应用软件、系统软件、开发工具和 实用程序;
    (3)物理资产:计算机设备、通信设备、可移动媒 体和其他设备;
    (4)服务:计算和通信服务、通用公用事业,例如, 供暖、照明、能源、空调;
    (5)人员及其资格、技能和经验;
    无形资产,如组织的声誉和形象。简单来讲就是有形资产和无形资产。
    所有的资产对组织来讲都是有用的,当然要进行“资产评价”,通常资产评价依据:信息的机密 性(安全性)、完整性、可用性及其他需求进行评估。
      5 资产评价10大因素:
     (1)获取或开发该资产所需的成本;
     (2)维护和保护该资产所需的成本;
     (3)该资产对所有者和用户所具有的价值;
     (4)该资产对竞争对手所具有的价值;
     (5)知识产权的价值;
     (6)其他人愿意为购买该资产所付出的价格;
     (7)在损失的情况下替换该资产所付出的资格;
     (8)在该资产不可用的情况下损失的运行和工作能力;
     (9)该资产贬值时的债务问题;
     (10)该资产的用处。 其中,资产赋值比较常用的方式是 采用定性分级的方式建立资产的相对价值,以相对价 值来作为确定重要资产的依据和为这种资产的保护 投入多大资源的依据。
     6 资产风险评估:实施控制 措施以避免、转移和降低风险至可接受 水平。
    (1)威胁识别(威胁是对组织及其资产构成潜在破坏的可能性因素或者事件)其中威胁受影响4因素:
      1)资产的吸引力;
      2)资产转化成报酬的容易程度;
      3)威胁的技术力量;
      4)脆弱性被利用的难易程度。
     2)脆弱性识别 (脆弱性识别可通过脆弱性评估来完成,弱点是资 产本身存在的,它可以被威胁利用,引起资产或商业 目标的损害) 。
      脆弱性识别所采用的方法主要为:问卷调查、人员问询、工具扫描、手动检查、文档审查、渗透测试等。
      (3) 风险评估 完成威胁发生的频率或者发生的概率和脆弱性赋值后,可通过如下公式计算资产所受到的风险:R= f(A,V,T)=f(Ia,L(Va,T)) R 表示风险;
      A 表示资产;V 表示脆弱性;T 表示威胁;Ia 表示资产发生安全事件后对机构业务的影响(也称为资产的重要程度);
      Va 表示某一资产 本身的脆弱性,L 表示威胁利用资产的脆弱性造成安 全事件发生的可能性。
      (4)安全控制措施选择与实施
      (1)资产所要求的保障程度;
      (2)成本;
      (3)实施的容易性;
      (4)法律法规的要求;
      (5)客户及其他合同要求。
      (5) 风险接受 对残余的风险加以分类,可以 是“可接受的”或是“不可接受的”。
     7 资产管理 在信息安全管理体系建立、实施和运行过程中, 资产主要采取以下几种控制方式进行管理:
      (1)资产清单
        (1.1)新的资产的采购和获得;
        (1.2)原有信息 资产的级别变更;
        (1.3)资产的时效性;
        (1.4)法律法规及合同方要求的变更。
     (2)资产责任人
     (3)可接受的资产使用
      (4)分类指南
      (5) 信息的标记和处理
      (6) 明确使用管理
        6.1)涉密信息的保管
        6.2)涉密信息的访问权限
        6.3)涉密信息的使用
        6.4)涉密信息的发送
最后用一句话描述:信息资产作为信息安全管理体系的作用对象,信息资产管理在整个信息安全管理体系的建立、实施和运行中有着重要的地位。
分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
收藏收藏
回复

使用道具 举报

本版积分规则

关闭

站长推荐上一条 /1 下一条

小黑屋|手机版|Archiver|51Testing软件测试网 ( 沪ICP备05003035号 关于我们

GMT+8, 2024-11-14 13:10 , Processed in 0.059613 second(s), 25 queries .

Powered by Discuz! X3.2

© 2001-2024 Comsenz Inc.

快速回复 返回顶部 返回列表