信息资产分级分类标准文档密级:□公开信息■内部信息□秘密□机密□绝秘1.目的本文件目的在于通过对信息资产进行合理的分类,为信息资产管理提供科学、有效的方式。对现有信息资产进行信息安全属性的赋值,并对其进行等级划分,从而为以后的安全解决方案及安全保护措施的采用提供依据。2.适用范围本文件的适用于公司的信息资产的相关管理工作。3.术语、定义和缩略语无4.职责4.1.信息化科负责本制度的制定与更新,协调和监督资产分级分类工作的实施。4.2.信息资产管理人负责信息资产的管理工作,负责相关信息资产的识别与登记。4.3.全体员工协助信息资产管理人进行资产的识别与分类工作。概述信息资产是组织直接赋予了价值因而需要保护的东西。它可能是以多种形式存在,有无形的、有形的、硬件、软件、文档、代码、服务和组织形象等。它们分别具有不同的价值属性和存在特点,其存在的弱点、面临的威胁、需要进行的保护和安全控制都各不相同。为此,有必要对组织、机构中的信息资产进行科学分类,让组织清晰的了解需要重点保护的对象,并为的信息安全风险评估及信息安全解决方案的设计提供依据。5.资产分类5.1.硬件主要指组织中的硬件信息设备,包括计算机硬件、路由器、交换机、硬件防火墙、加密设备、布线、备份存储设备等。硬件资产单指硬件设备,不包括运行在硬件设备中的软件系统、IOS、配置文件和存储的数据等,软件本身属于软件资产,运行中的软件系统和IOS等属于服务资产,配置文件和存储的数据属于数据资产。5.2.软件软件是现代组织中重要的信息资产之一,与组织的硬件资产一起构成了组织的整个的IT信息环境。一般情况下,软件资产包括已经安装并正在运行中的软件,软件的许可证、存储的媒体等,与可能安装或运行的硬件无关,软件的价值主要体现在已经安装并运行的软件提供应用和功能,也包括本身的许可证、序列号、软件使用权等。安装或运行后的软件,也为组织提供服务和应用的功能,也有一定的服务的性质,但服务类资产强调的是业务流程和业务服务能力,是一个抽象的概念,一般不是一个软件就能提供,而是由一套有机组成的系统提供,包括软件提供的服务,标准和配置,人员的操作等,所以服务资产有别于软件资产。信息资产分级分类标准5.3.数据数据在信息资产中占有非常重要的地位,通常作为组织知识产权、竞争优势、商业秘密的载体。属于需要重点评估、保护的对象。通常,数据类资产需要保护的安全属性是机密性。例如,财务信息和薪酬数据就是属于高度机密性的数据。但是,完整性的重要性会随着机密性的提高而提高。数据还包括纸质的各种打印和非打印的各种文档和文件,包含了组织有价值的信息,又以纸质的方式来保存,包括文件、合同、传真、财务报告、发展计划、业务流程、通讯录、组织人员职责等等。5.4.人员主要指组织与信息相关的人员和组织,包括各级安全组织,安全人员、各级管理人员,网管员,系统管理员,业务操作人员,第三方人员等与被评估信息系统相关人员和组织。5.5.环境设施指为了保障IT信息环境正常有效运行而建立的环境保护和支持设施,包括为保障IT信息系统正常运行的供电设施、空调制冷设施、排气设施等,以及为保护IT信息系统及相关硬件、数据不被非法访问而部署的门禁、监控、保险柜、文件柜等设施。5.6.服务服务在信息资产中占有非常重要的地位,通常作为组织运行管理、商业业务实现等形式存在。属于需要重点评估、保护的对象。通常服务类资产最为需要保护的安全属性是可用性。但是,对于某些服务资产,完整性和机密性也可能成为重要的保护对象。例如通常的门户网站的新闻浏览、计算环境等的可用性最为重要。但是,完整性也同样重要,例如门户站点的主页被修改,造成的损失也可能是灾难性的。服务类资产强调的是业务流程和业务服务能力,是一个抽象的概念,一般由一套有机组成的系统提供,包括软件提供的服务,标准和配置,人员的操作,各种资源提供的支持等。5.7.资产分类列表参照ISO27001对资产的描述和定义,将公司信息相关资产按照下面的分类方法进行分类:中文名称英文名称解释/示例硬件Hardware交换机、路由器、负载均衡器、大型机、小型机...
