信息资产分级分类标准VIP免费

信息资产分级分类标准文档密级：□公开信息■内部信息□秘密□机密□绝秘1.目的本文件目的在于通过对信息资产进行合理的分类，为信息资产管理提供科学、有效的方式。对现有信息资产进行信息安全属性的赋值，并对其进行等级划分，从而为以后的安全解决方案及安全保护措施的采用提供依据。2.适用范围本文件的适用于公司的信息资产的相关管理工作。3.术语、定义和缩略语无4.职责4.1.信息化科负责本制度的制定与更新，协调和监督资产分级分类工作的实施。4.2.信息资产管理人负责信息资产的管理工作，负责相关信息资产的识别与登记。4.3.全体员工协助信息资产管理人进行资产的识别与分类工作。概述信息资产是组织直接赋予了价值因而需要保护的东西。它可能是以多种形式存在，有无形的、有形的、硬件、软件、文档、代码、服务和组织形象等。它们分别具有不同的价值属性和存在特点，其存在的弱点、面临的威胁、需要进行的保护和安全控制都各不相同。为此，有必要对组织、机构中的信息资产进行科学分类，让组织清晰的了解需要重点保护的对象，并为的信息安全风险评估及信息安全解决方案的设计提供依据。5.资产分类5.1.硬件主要指组织中的硬件信息设备，包括计算机硬件、路由器、交换机、硬件防火墙、加密设备、布线、备份存储设备等。硬件资产单指硬件设备，不包括运行在硬件设备中的软件系统、IOS、配置文件和存储的数据等，软件本身属于软件资产，运行中的软件系统和IOS等属于服务资产，配置文件和存储的数据属于数据资产。5.2.软件软件是现代组织中重要的信息资产之一，与组织的硬件资产一起构成了组织的整个的IT信息环境。一般情况下，软件资产包括已经安装并正在运行中的软件，软件的许可证、存储的媒体等，与可能安装或运行的硬件无关，软件的价值主要体现在已经安装并运行的软件提供应用和功能，也包括本身的许可证、序列号、软件使用权等。安装或运行后的软件，也为组织提供服务和应用的功能，也有一定的服务的性质，但服务类资产强调的是业务流程和业务服务能力，是一个抽象的概念，一般不是一个软件就能提供，而是由一套有机组成的系统提供，包括软件提供的服务，标准和配置，人员的操作等，所以服务资产有别于软件资产。信息资产分级分类标准5.3.数据数据在信息资产中占有非常重要的地位，通常作为组织知识产权、竞争优势、商业秘密的载体。属于需要重点评估、保护的对象。通常，数据类资产需要保护的安全属性是机密性。例如，财务信息和薪酬数据就是属于高度机密性的数据。但是，完整性的重要性会随着机密性的提高而提高。数据还包括纸质的各种打印和非打印的各种文档和文件，包含了组织有价值的信息，又以纸质的方式来保存，包括文件、合同、传真、财务报告、发展计划、业务流程、通讯录、组织人员职责等等。5.4.人员主要指组织与信息相关的人员和组织，包括各级安全组织，安全人员、各级管理人员，网管员，系统管理员，业务操作人员，第三方人员等与被评估信息系统相关人员和组织。5.5.环境设施指为了保障IT信息环境正常有效运行而建立的环境保护和支持设施，包括为保障IT信息系统正常运行的供电设施、空调制冷设施、排气设施等，以及为保护IT信息系统及相关硬件、数据不被非法访问而部署的门禁、监控、保险柜、文件柜等设施。5.6.服务服务在信息资产中占有非常重要的地位，通常作为组织运行管理、商业业务实现等形式存在。属于需要重点评估、保护的对象。通常服务类资产最为需要保护的安全属性是可用性。但是，对于某些服务资产，完整性和机密性也可能成为重要的保护对象。例如通常的门户网站的新闻浏览、计算环境等的可用性最为重要。但是，完整性也同样重要，例如门户站点的主页被修改，造成的损失也可能是灾难性的。服务类资产强调的是业务流程和业务服务能力，是一个抽象的概念，一般由一套有机组成的系统提供，包括软件提供的服务，标准和配置，人员的操作，各种资源提供的支持等。5.7.资产分类列表参照ISO27001对资产的描述和定义，将公司信息相关资产按照下面的分类方法进行分类：中文名称英文名称解释/示例硬件Hardware交换机、路由器、负载均衡器、大型机、小型机...