一、資產的分類
| 分類 | 一般描述 |
| 信息資產 | 包括各種業務相關的電子類的文件資料,可按照部門現有文件明細列舉,或者根據部門業務流程從頭至尾列舉,列舉時盡量按照確定的緯度來分類,比如按照職能,或者按照業務流程的不同環節。要求識別的是分組或類別,不要具體到特定的單個文件。數據資料的列舉和分組應該以業務功能和保密性要求為主要考慮,也就是說,識別出的數據資料應該具有某種業務功能,此外,還應該重點考慮其保密性要求。本部門產生的以及其他部門按正常流程交付過來供本部門使用的,都在列舉范疇內。本部門盡量清晰,來自外部門的可以按照比較寬泛的類別來界定。 |
| 軟件資產 | 各種本部門安裝使用的軟件,包括系統軟件、應用軟件(有后臺數據庫并存儲應用數據的軟件系統)、工具軟件(支持特定工作的軟件工具)、桌面軟件(日常辦公所需的桌面軟件包)等。所列舉的軟件應該與產生、支持和操作已識別的數據資產有直接關系。 |
| 書面文檔 | 合同,公司文件,企業成果,人事文檔,培訓文檔,采購文件,發票,政府下達的文件,也包括各類電子數據的歸檔件、打印件、復印件、書面管理文件等。 |
| 實體資產 | 與業務相關的IT物理設備。如產生數據類服務器、筆記本計算機、PC機、打印機、復印機、等)、通訊傳輸設備(路由器、防火墻等)、記錄存儲媒體(U盤、光盤、移動硬盤等) |
| 支持設施 | 監控設備,門禁,暖氣,供水,空調,報警,發電機 |
| 人員 | 承擔某項與業務活動相關責任的角色和職位。例如總經理、部門經理、網絡管理員、固定資產管理員、業務主管、系統管理員、軟件開發人員、清潔員、普通員工等,這些人員與各類數據、軟件和實物資產的操作直接相關。 |
| 公司形象和名譽 | 影響公司形象及名譽的各種事件或信息。 |
資產的分級標準
資產的等級通過資產的機密性(C)、完整性(I)和可用性(A)三個因素表現。計算公式為:機密性價值(C)+完整性價值(I)+可用性價值(A)
每個因素的判定標準如下:
| 等級 | 取值 | 取值標準描述 | ||||||
| 保密性Confidentiality | 完整性Integrity | 可用性Availability | ||||||
| 一般資產 | 人員 | 一般資產 | 人員 | 一般資產 | 人員 | |||
| Very High | 4 | Top Secret 絕密 |
最高敏感性的數據文件、信息處理設施和系統資源,僅能被極少數人知道。一旦泄漏會給公司帶來特別嚴重的損害后果 | 可以接觸/存取各個級別的信息 | 未經授權的破壞或更改將會對信息系統有非常重大的影響,可能導致嚴重的業務中斷 | 如果該人員未正確執行其職務內容,將造成公司級業務運作效率大大降低或停頓 | 合法使用者對信息系統及信息的存取可用度達到年度每天99.9%以上(7*24) | 突然缺席,會造成公司日常運營的停頓或造成重大影響 |
| High | 3 | Secret 機密 |
重要的信息、信息處理設施和系統資源,只能給少數必須知道者(特定的任務群體)。一旦泄漏會對公司造成嚴重的損害 | 可以接觸/存取最高到機密級的信息 | 未經授權的破壞或更改對信息系統有重大影響,而且(或者)對業務造成嚴重沖擊 | 如果該人員未正確執行其職務內容,將造成單位/部門之業務運作效率降低或停頓 | 合法使用者對信息系統及信息的存取可用度達到每天95%以上(7*24) | 突然缺席,會造成公司某項業務的停頓或造成重大影響 |
| Middle | 2 | Confidential 秘密 |
一般性的公司秘密,泄漏后會給公司造成一定的損害 | 可以接觸/存取公司一般性的秘密信息和內部公開信息 | 未經授權的破壞或更改會對信息系統造成一定的影響,而且(或者)給業務帶來明顯沖擊 | 如果該人員未正確執行其職務內容,將造成相關工作任務效率降低或停頓 | 合法使用者對信息系統及信息的存取可用度在正常上班時間達到100%(5*8) | 突然缺席,會造成公司某個項目或某項工作的停頓或造成負面影響 |
| Low | 1 | Internal Use Only 內部公開 |
并非敏感信息,主要限于公司內部使用。一旦泄漏,并不會對公司造成顯著的影響 | 可以接觸/存取內部公開的信息 | 未經授權的破壞或更改不會對信息系統有重大影響,也不會對業務有明顯沖擊 | 如果該人員未正確執行其職務內容,不會對業務運作造成影響 | 合法使用者對信息系統及信息的存取可用度在正常上班時間至少達到50%以上(5*8) | 突然缺席,對某項任務造成負面影響 |
實施ISO27001注意要點?信息安全管理體系文件編制完成以后,組織應按照文件的控制要求進行審核與批準,并發布實施,至此,信息安全管理體系……
ISO/IEC 27001:2013新版信息安全管理國際標準正式發布
ISO/IEC 27001:2013新版信息安全管理國際標準正式發布信息安全管理體系國際標準新版BS ISO/IEC 27001:2013與BS ISO/IEC 27002:2013日前已正……
ISO27001信息安全管理體系的三大要素? 一;保密性:確保只有經過授權的人才能存取信息。二;完整性:維護提供使用的信息為正確與完整的,未……
ISO27000簡介?標準的主要內容 ISO/IEC17799-2000(BS7799-1)對信息安全管理給出建議,供負責在其組織啟動、實施或維護安全的人員使用。該……
中企認證咨詢網積累了豐富的國際質量認證工作經驗,各項業務均成果卓著。始終以服務國家經濟社會發展和提升人民生活品質為己任,依托產品認證(包括服務認證、自愿性認證)、管理體系認證和認證培訓業務,著力開展節能。在積極促進國際貿易,調整經濟結構,保護消費者安全健康,構建社會誠信體系,參與"兩型"社會建設等方面做出了積極貢獻。同時,自身獲得了跨越式發展,已成為業務門類全、服務網絡廣、工作手段新、技術力量強、人員素質高的一流認證機構,可以方便快捷地為世界各地的客戶提供高效、優質的"一站式"服務。中企認證咨詢網秉承"和諧、進取、責任"的理念,正在朝著建立社會公信力高,有較強創新能力、市場競爭能力和可持續發展能力,向業界有較高知名度的國際型認證機構的目標努力前行,優質的服務、雄厚的技術力量、先進的管理水平保障了中企認證咨詢網業務的順利開展,為順利實現中企認證咨詢網的質量目標、為認證機構的品牌提供了有力保障。
中企認證咨詢網專業從事ISO9001、ISO14001、OHSAS18001、IATF16949、ISO27001、ISO13485、ISO22000、HACCP、ISO20000、ISO45001、QC080000、GB/T50430、GB/T27922售后服務體系認證、GB/T29490知識產權管理體系、ISO37001、ISO50001、ISO22163、兩化融合體系、系統集成資質、十環認證、SMETA、SEDEX、BSCI、SA8000、FSC、ICTI、GSV、C-TPAT、WRAP、EICC、GMP、GMPC、ETI、BRC、驗廠咨詢、商務部信用等級、誠信信用等級、ISO體系、CE、3C、AAA等認證咨詢服務。認證價格實惠,證書真實有效,認監委可查,如有疑問,可點擊www.lxwynx.com了解詳情,竭誠為您服務!
