本文共 2983 字,大约阅读时间需要 9 分钟。
信息资产分级管理
1. 信息资产分类鉴别达到及维护组织资产的适当保护,宜明确識别所有资产,并制作与维持所有重要资产的清册 ,与信息处理设施相关的所有信息及资产宜由组织指定拥有者。与信息处理设施相关的信息与资产,其可被接受的使用之规则宜予以識别、文件化及实作。各单位负责信息资产应定期更新与维护信息资产清册,各单位汇总整合,由信息安全小组统一控管确保信息资产列表完整性。信息资产依其性质不同,分为5類:人员、硬件、软件、电子数据、书面文件依序如下:人员:系指业务主管、承办人员、委外厂商、契约人员等。硬件:系指网络设备、主机设备、通讯设备、环境设备等相关硬件设施。例如:服务器主机、个人计算机、不断电设备等。软件:系指自行开发或委外开发之应用系统程序、外购之软件包等。例如:应用系统、操作系统、软件包、工具程序等。电子数据:系指以电子形式存在之信息数据。例如:网络设定数据、备份文件等。书面文件:系指以纸本形式存在之文书数据、报表等相关信息。例如:合同、规范、系统文件、用户手册、训练教材等。所有资产经由资产分類,制成「信息资产列表」。2. 信息资产价值鉴别
信息宜依其对组织的价值、法律要求、敏感性及重要性加以分類 ,价值鉴别准则依信息资产分類分别针对机密性、可用性、完整性,其评估标准如下:表1 人员评估标准
表2 硬件评估标准
表3 软件评估标准
表4 电子数据、书面文件评估标准
各资产价值为资产之机密性、完整性及可用性评估值取最大值;如以下式子:
资产价值 = 机密性评估值 + 完整性评估值 + 可用性评估值。
各资产依资产价值数值分级;详如资产价值等级表
表5 资产价值等级表
3. 信息资产标示与处理
宜依照组织所采用的分類法,发展与实作一套适当的信息标示与处置程序 。资产标示必须明确。资产标示含资产风险等级并以颜色卷标区分。硬件類资产标示依其价值等级并以颜色卷标区分。高资产价值:指该资产价值最高,贴红色卷标。中资产价值:指该资产价值中等,贴×××标签。低资产价值:指该资产价值最低,不贴卷标。资产在保存过程中,应依适当程序作妥善保存。资产的生命周期包含产生、使用、维护与销毁。在整个生命周期中,每项资产皆由信息科技部领导指派资产管理人。资产管理人必须妥善运用与保存该资产。其他同仁使用资产需经由管理人授权,方可使用该资产。其使用过程需纪录于该资产之使用记录。资产之私密信息由管理人维护,采用仅知原则(Need-To-Know),授权给其他同仁使用时,以最小量之信息提供给使用人得知。为掌握信息设备状况,对于信息室有价值之信息设备之增置、转移、报废应予确实登录。资产借用应予登记,以控管资产现况。资产于报废时应循相关报废程序进行报废。鉴别风险弱点与威胁
脆弱性,亦称弱点。脆弱性是组织信息安全的弱点或漏洞。基本上,脆弱性本身不会造成伤害,而是威胁利用这些脆弱性对系统进行伤害。针对要鉴别的每项资产分類,依序寻找出所有相对应的弱点如下:人员:包括缺乏对外部团体与信息安全相关之规范、缺乏一般办公环境的安全控管、缺乏对人员之安全管理、缺乏对人员认知之倡导及教育训练、缺乏工作之权责划分与人员代理机制、缺乏信息安全事件通报及处理程序。硬件:缺乏对外部团体与信息安全相关之规范、.缺乏一般办公环境的安全控管、缺乏书面化操作程序之控管、缺乏网络之安全管理、缺乏数据交换之安全管理、缺乏对储存媒体的安全控管、缺乏系统监视、记录与相关的系统稽核轨迹、缺乏对实体资产之保护与管理、缺乏取得信息系统之规划及验收程序、缺乏对取得服务的安全控管、缺乏对管制区域之安全管理、缺乏信息安全事件通报及处理程序、缺乏对场外工作之安全控管。软件:缺乏对外部团体与信息安全相关之规范、缺乏一般办公环境的安全控管、缺乏书面化操作程序之控管、缺乏网络之安全管理、缺乏数据交换之安全管理、缺乏系统监视、记录与相关的系统稽核轨迹、缺乏数据的安全管理、缺乏取得资讯系统之规划及验收程序、缺乏对信息系统存取之安全管理、缺乏系统联机之安全管理、缺乏信息系统开发之安全管理、缺乏对取得服务的安全控管、缺乏信息系统安全防护机制、缺乏信息安全事件通报及处理程序、缺乏对电子商务之安全控管、缺乏对场外工作之安全控管。电子数据:缺乏对外部团体与信息安全相关之规范、缺乏一般办公环境的安全控管、缺乏书面化操作程序之控管、缺乏网络之安全管理、乏数据交换之安全管理、缺乏系统监视、记录与相关的系统稽核轨迹、缺乏数据的安全管理、.缺乏对实体资产之保护与管理、缺乏取得信息系统之规划及验收程序、缺乏对信息系统存取之安全管理、缺乏信息系统开发之安全管理、缺乏对取得服务的安全控管、缺乏信息安全事件通报及处理程序、缺乏对电子商务之安全控管。书面文件:缺乏对外部团体与信息安全相关之规范、缺乏一般办公环境的安全控管、缺乏书面化操作程序之控管、缺乏数据交换之安全管理、缺乏系统监视、记录与相关的系统稽核轨迹、缺乏数据的安全管理、.缺乏对实体资产之保护与管理、缺乏对取得服务的安全控管、缺乏对管制区域之安全管理、缺乏信息安全事件通报及处理程序。威胁的鉴别威胁是指对组织意图造成伤害或损失,不论是意外或是蓄意,人为或是天
灾。资产容易受到许多威胁,这些威胁来自利用脆弱性。威胁可区分为天然灾害、人为的威胁、非人为的威胁;威胁的鉴别,须针对每项资产,列出可能的威胁。针对要鉴别的每项资产分類,依序寻找出所有相对应的威胁如下:人员:无知、贪念、胁迫、惰性、人力不足、惡意、疏失、传染病。硬件:毁损、窃取、灾害、故障、破坏。软件:不法使用、错误、窜改、延迟、失效、损毁、伪造。电子数据:盗卖、泄漏、错误、窜改、损毁、伪造。书面文件:泄漏、窃取、窜改、伪造、遗失、损毁。计算信息资产风险权值
综合信息资产价值(如表5资产价值等级表)、弱点(如表6 电子数据類弱点值判定表)、威胁等因素(如表7威胁值判定表),透过信息资产之风险评鉴,可得知该项信息资产所面临之风险程度并予以量化,作为选择控制措施之依据。计算风险权值之公式为:信息资产风险权值 = 信息资产价值 × 弱点权值 × 威胁权值根据此一计算模型,风险权值最低为1,最高为27。表6 电子数据類弱点值判定表
表7 威胁值判定表
考虑现有控管机制及资产特性,进行以下定义:资产风险处理的评估
在汇整完风险评鉴结果之后应召开管理阶层审查会议,由会议讨论决定可接受风险之风险值。低于此风险值之资产,视为低风险,也就是可接受之风险。风险值高于可接受风险之信息资产,应采取风险处理。风险处理的方法主要分成以下四种:降低风险:设置有效的内部控制措施,针对不同的领域进行管控,以达到风险值降低之目的。转移风险:利用转嫁的方式降低风险,例如购买保险以补偿方式降低风险。避免风险:利用取代方案或其他之资产以替代此资产所带来之风险,不过若采取此方法,需再评估替代方案之可行性,以及带来的风险值。前提是替代方案能带来更低的风险。接受风险:在以上三个方式都无法采用时,管理阶层可以决定接受此风险,也就是接受此风险。对应的相关表
转载于:https://blog.51cto.com/13769225/2124513