[原创]什么是信息安全资产管理?

卖烧烤的鱼

[原创]什么是信息安全资产管理?
     1 什么是资产？是任何对组织有价值的东西；
     2 什么是信息资产？ 是具有价值的信息或资源，它能够以多种形式存在，有无形的，有形的。在ISO17799中，对信息的定义更确切、具体：“信息是一种资产，像其他重要的业务资产一样，对组织具有价值，因此需要妥善保护”。
     3 什么信息安全资产管理流程：（1）首先要明确什么是信息资产 （2）资产识别 （3） 资产的评价 (4)资产风险评估（5）资产的管理 ；
     4 资产识别其中资产识别需要考虑的有：
    (1)信息资产：数据库和数据文件、合同和协议、 系统文件、研究信息、用户手册、培训材料、操作或支 持程序、业务连续性计划、后备运行安排、审计记录、 归档的信息；
    (2)软件资产：应用软件、系统软件、开发工具和 实用程序；
    (3)物理资产：计算机设备、通信设备、可移动媒 体和其他设备；
    (4)服务：计算和通信服务、通用公用事业，例如， 供暖、照明、能源、空调；
    (5)人员及其资格、技能和经验；
    无形资产，如组织的声誉和形象。简单来讲就是有形资产和无形资产。
    所有的资产对组织来讲都是有用的，当然要进行“资产评价”，通常资产评价依据：信息的机密 性（安全性）、完整性、可用性及其他需求进行评估。
      5 资产评价10大因素：
     (1)获取或开发该资产所需的成本；
     (2)维护和保护该资产所需的成本；
     (3)该资产对所有者和用户所具有的价值；
     (4)该资产对竞争对手所具有的价值；
     (5)知识产权的价值；
     (6)其他人愿意为购买该资产所付出的价格；
     (7)在损失的情况下替换该资产所付出的资格；
     (8)在该资产不可用的情况下损失的运行和工作能力；
     (9)该资产贬值时的债务问题；
     (10)该资产的用处。 其中，资产赋值比较常用的方式是 采用定性分级的方式建立资产的相对价值，以相对价 值来作为确定重要资产的依据和为这种资产的保护 投入多大资源的依据。
     6 资产风险评估：实施控制 措施以避免、转移和降低风险至可接受 水平。
    （1）威胁识别（威胁是对组织及其资产构成潜在破坏的可能性因素或者事件）其中威胁受影响4因素：
      1)资产的吸引力；
      2)资产转化成报酬的容易程度；
      3)威胁的技术力量；
      4)脆弱性被利用的难易程度。
     2）脆弱性识别 （脆弱性识别可通过脆弱性评估来完成，弱点是资 产本身存在的，它可以被威胁利用，引起资产或商业 目标的损害) 。
      脆弱性识别所采用的方法主要为：问卷调查、人员问询、工具扫描、手动检查、文档审查、渗透测试等。
      (3) 风险评估 完成威胁发生的频率或者发生的概率和脆弱性赋值后，可通过如下公式计算资产所受到的风险：R= f(A,V,T)=f(Ia,L(Va,T)) R 表示风险；
      A 表示资产；V 表示脆弱性；T 表示威胁；Ia 表示资产发生安全事件后对机构业务的影响(也称为资产的重要程度)；
      Va 表示某一资产 本身的脆弱性，L 表示威胁利用资产的脆弱性造成安 全事件发生的可能性。
      (4)安全控制措施选择与实施
      (1)资产所要求的保障程度；
      (2)成本；
      (3)实施的容易性；
      (4)法律法规的要求；
      (5)客户及其他合同要求。
      (5) 风险接受 对残余的风险加以分类，可以 是“可接受的”或是“不可接受的”。
     7 资产管理 在信息安全管理体系建立、实施和运行过程中， 资产主要采取以下几种控制方式进行管理：
      （1）资产清单
        (1.1)新的资产的采购和获得；
        (1.2)原有信息 资产的级别变更；
        (1.3)资产的时效性；
        (1.4)法律法规及合同方要求的变更。
     （2）资产责任人
     （3）可接受的资产使用
      (4)分类指南
      (5) 信息的标记和处理
      (6) 明确使用管理
        6.1)涉密信息的保管
        6.2)涉密信息的访问权限
        6.3)涉密信息的使用
        6.4)涉密信息的发送
最后用一句话描述：信息资产作为信息安全管理体系的作用对象，信息资产管理在整个信息安全管理体系的建立、实施和运行中有着重要的地位。