信息资产赋值定义1、为什么要进行信息资产得赋值? 在完成信息资产得识别形成完整得信息资产表之后,为了明确对资产得保护,同时为了接下来对风险值得计算,有必要对资产得价值进行评估,其价值大小不仅仅就是考虑其自身得价值,还要考虑其业务得相关性与一定条件下得潜在价值。资产价值常常就是以安全事件发生时所产生得潜在业务影响来衡量,安全事件会导致资产机密性、完整性与可用性得损失,从而导致企业资金、市场份额、企业形象得损失。为了资产评估得一致性与准确性,我们建立一套资产价值得评估标准,对每一种资产与每一种可能得损失,例如机密性、完整性与可用性得损失,都可以给予一个价值.但采纳精确得方式给资产赋值就是较困难得一件事,一般采纳定性得方式,根据资产得价值评估标准将资产得价值划分为不同等级。经过资产得识别与估价后,组织应根据资产价值大小,进一步确定要保护得关键资产. 在评估过程,为了保证没有资产被忽略与遗漏,应该先确定信息安全体系范围,建立资产得评审边界。评估资产最简单得方式就是列出组织业务过程中、安全管理体系范围内所有具有价值得资产,然后对资产给予一定得价值,这种价值应该反映资产对组织业务运营得重要性,并以对业务得潜在影响程度表现出来.例如,资产价值越大,由于泄露、修改、损害、不可用等安全事件对组织业务得潜在影响就越大。基于组织业务需要得资产得识别与估价,就是建立信息安全体系,确定风险得重要一步. 2、如何进行信息资产赋值? 在对资产给予价值时,一方面要考虑资产购买成本及维护成本,另一方面主要考虑当这种资产得机密性、完整性、可用性受到损害时,对业务运营得负面影响程度。在信息安全管理中,并不就是直接采纳资产得账面价值,而就是采纳以定性分级得方式建立资产得相对价值,以相对价值来作为确定重要资产得依据与为这种资产得保护投入多大资源得依据。 对资产得赋值不仅要考虑资产本身得价值,更重要得就是要考虑资产得安全状况对于组织得重要性,即由资产在其 CIA 三个安全属性上得达成程度决定。依据 C I A 属性分级得标准对资产在机密性、完整性与可用性上得达成程度进行分析,并在此基础上得出一个综合结果--信息资产得价值。 赋值五分法资产赋值标识C—机密性I—完整性A-可用性5很高包含组织最重要得秘密,关系未来进展得前途命运,对组织根本利益有着完整性价值非常关键,未经授权得修改或破坏会对组织造成重大得或无法接可用性价值非常高,合法使用...
