信息资产赋值定义1
为什么要进行信息资产的赋值
在完成信息资产的识别形成完整的信息资产表之后,为了明确对资产的保护,同时为了接下来对风险值的计算,有必要对资产的价值进行评估,其价值大小不仅仅是考虑其自身的价值,还要考虑其业务的相关性和一定条件下的潜在价值
资产价值常常是以安全事件发生时所产生的潜在业务影响来衡量,安全事件会导致资产机密性、完整性和可用性的损失,从而导致企业资金、市场份额、企业形象的损失
为了资产评估的一致性与准确性,我们建立一套资产价值的评估标准,对每一种资产和每一种可能的损失,例如机密性、完整性和可用性的损失,都可以给予一个价值
但采纳精确的方式给资产赋值是较困难的一件事,一般采纳定性的方式,根据资产的价值评估标准将资产的价值划分为不同等级
经过资产的识别与估价后,组织应根据资产价值大小,进一步确定要保护的关键资产
在评估过程,为了保证没有资产被忽略和遗漏,应该先确定信息安全体系范围,建立资产的评审边界
评估资产最简单的方式是列出组织业务过程中、安全管理体系范围内所有具有价值的资产,然后对资产给予一定的价值,这种价值应该反映资产对组织业务运营的重要性,并以对业务的潜在影响程度表现出来
例如,资产价值越大,由于泄露、修改、损害、不可用等安全事件对组织业务的潜在影响就越大
基于组织业务需要的资产的识别与估价,是建立信息安全体系,确定风险的重要一步
如何进行信息资产赋值
在对资产给予价值时,一方面要考虑资产购买成本及维护成本,另一方面主要考虑当这种资产的机密性、完整性、可用性受到损害时,对业务运营的负面影响程度
在信息安全管理中,并不是直接采纳资产的账面价值,而是采纳以定性分级的方式建立资产的相对价值,以相对价值来作为确定重要资产的依据和为这种资产的保护投入多大资源的依据
对资产的赋值不仅要考虑资产本身的价值,更重要的是要考虑资产的安全状况对于组织的重要性,
