一、資產(chǎn)的分類
分類 | 一般描述 |
信息資產(chǎn) | 包括各種業(yè)務(wù)相關(guān)的電子類的文件資料,可按照部門現(xiàn)有文件明細(xì)列舉,或者根據(jù)部門業(yè)務(wù)流程從頭至尾列舉,列舉時盡量按照確定的緯度來分類,比如按照職能,或者按照業(yè)務(wù)流程的不同環(huán)節(jié)。要求識別的是分組或類別,不要具體到特定的單個文件。數(shù)據(jù)資料的列舉和分組應(yīng)該以業(yè)務(wù)功能和保密性要求為主要考慮,也就是說,識別出的數(shù)據(jù)資料應(yīng)該具有某種業(yè)務(wù)功能,此外,還應(yīng)該重點(diǎn)考慮其保密性要求。本部門產(chǎn)生的以及其他部門按正常流程交付過來供本部門使用的,都在列舉范疇內(nèi)。本部門盡量清晰,來自外部門的可以按照比較寬泛的類別來界定。 |
軟件資產(chǎn) | 各種本部門安裝使用的軟件,包括系統(tǒng)軟件、應(yīng)用軟件(有后臺數(shù)據(jù)庫并存儲應(yīng)用數(shù)據(jù)的軟件系統(tǒng))、工具軟件(支持特定工作的軟件工具)、桌面軟件(日常辦公所需的桌面軟件包)等。所列舉的軟件應(yīng)該與產(chǎn)生、支持和操作已識別的數(shù)據(jù)資產(chǎn)有直接關(guān)系。 |
書面文檔 | 合同,公司文件,企業(yè)成果,人事文檔,培訓(xùn)文檔,采購文件,發(fā)票,政府下達(dá)的文件,也包括各類電子數(shù)據(jù)的歸檔件、打印件、復(fù)印件、書面管理文件等。 |
實體資產(chǎn) | 與業(yè)務(wù)相關(guān)的IT物理設(shè)備。如產(chǎn)生數(shù)據(jù)類服務(wù)器、筆記本計算機(jī)、PC機(jī)、打印機(jī)、復(fù)印機(jī)、等)、通訊傳輸設(shè)備(路由器、防火墻等)、記錄存儲媒體(U盤、光盤、移動硬盤等) |
支持設(shè)施 | 監(jiān)控設(shè)備,門禁,暖氣,供水,空調(diào),報警,發(fā)電機(jī) |
人員 | 承擔(dān)某項與業(yè)務(wù)活動相關(guān)責(zé)任的角色和職位。例如總經(jīng)理、部門經(jīng)理、網(wǎng)絡(luò)管理員、固定資產(chǎn)管理員、業(yè)務(wù)主管、系統(tǒng)管理員、軟件開發(fā)人員、清潔員、普通員工等,這些人員與各類數(shù)據(jù)、軟件和實物資產(chǎn)的操作直接相關(guān)。 |
公司形象和名譽(yù) | 影響公司形象及名譽(yù)的各種事件或信息。 |
資產(chǎn)的分級標(biāo)準(zhǔn)
資產(chǎn)的等級通過資產(chǎn)的機(jī)密性(C)、完整性(I)和可用性(A)三個因素表現(xiàn)。計算公式為:機(jī)密性價值(C)+完整性價值(I)+可用性價值(A)
每個因素的判定標(biāo)準(zhǔn)如下:
等級 | 取值 | 取值標(biāo)準(zhǔn)描述 | ||||||
保密性Confidentiality | 完整性Integrity | 可用性Availability | ||||||
一般資產(chǎn) | 人員 | 一般資產(chǎn) | 人員 | 一般資產(chǎn) | 人員 | |||
Very High | 4 | Top Secret 絕密 |
最高敏感性的數(shù)據(jù)文件、信息處理設(shè)施和系統(tǒng)資源,僅能被極少數(shù)人知道。一旦泄漏會給公司帶來特別嚴(yán)重的損害后果 | 可以接觸/存取各個級別的信息 | 未經(jīng)授權(quán)的破壞或更改將會對信息系統(tǒng)有非常重大的影響,可能導(dǎo)致嚴(yán)重的業(yè)務(wù)中斷 | 如果該人員未正確執(zhí)行其職務(wù)內(nèi)容,將造成公司級業(yè)務(wù)運(yùn)作效率大大降低或停頓 | 合法使用者對信息系統(tǒng)及信息的存取可用度達(dá)到年度每天99.9%以上(7*24) | 突然缺席,會造成公司日常運(yùn)營的停頓或造成重大影響 |
High | 3 | Secret 機(jī)密 |
重要的信息、信息處理設(shè)施和系統(tǒng)資源,只能給少數(shù)必須知道者(特定的任務(wù)群體)。一旦泄漏會對公司造成嚴(yán)重的損害 | 可以接觸/存取最高到機(jī)密級的信息 | 未經(jīng)授權(quán)的破壞或更改對信息系統(tǒng)有重大影響,而且(或者)對業(yè)務(wù)造成嚴(yán)重沖擊 | 如果該人員未正確執(zhí)行其職務(wù)內(nèi)容,將造成單位/部門之業(yè)務(wù)運(yùn)作效率降低或停頓 | 合法使用者對信息系統(tǒng)及信息的存取可用度達(dá)到每天95%以上(7*24) | 突然缺席,會造成公司某項業(yè)務(wù)的停頓或造成重大影響 |
Middle | 2 | Confidential 秘密 |
一般性的公司秘密,泄漏后會給公司造成一定的損害 | 可以接觸/存取公司一般性的秘密信息和內(nèi)部公開信息 | 未經(jīng)授權(quán)的破壞或更改會對信息系統(tǒng)造成一定的影響,而且(或者)給業(yè)務(wù)帶來明顯沖擊 | 如果該人員未正確執(zhí)行其職務(wù)內(nèi)容,將造成相關(guān)工作任務(wù)效率降低或停頓 | 合法使用者對信息系統(tǒng)及信息的存取可用度在正常上班時間達(dá)到100%(5*8) | 突然缺席,會造成公司某個項目或某項工作的停頓或造成負(fù)面影響 |
Low | 1 | Internal Use Only 內(nèi)部公開 |
并非敏感信息,主要限于公司內(nèi)部使用。一旦泄漏,并不會對公司造成顯著的影響 | 可以接觸/存取內(nèi)部公開的信息 | 未經(jīng)授權(quán)的破壞或更改不會對信息系統(tǒng)有重大影響,也不會對業(yè)務(wù)有明顯沖擊 | 如果該人員未正確執(zhí)行其職務(wù)內(nèi)容,不會對業(yè)務(wù)運(yùn)作造成影響 | 合法使用者對信息系統(tǒng)及信息的存取可用度在正常上班時間至少達(dá)到50%以上(5*8) | 突然缺席,對某項任務(wù)造成負(fù)面影響 |
實施ISO27001注意要點(diǎn)?信息安全管理體系文件編制完成以后,組織應(yīng)按照文件的控制要求進(jìn)行審核與批準(zhǔn),并發(fā)布實施,至此,信息安全管理體系……
ISO/IEC 27001:2013新版信息安全管理國際標(biāo)準(zhǔn)正式發(fā)布
ISO/IEC 27001:2013新版信息安全管理國際標(biāo)準(zhǔn)正式發(fā)布信息安全管理體系國際標(biāo)準(zhǔn)新版BS ISO/IEC 27001:2013與BS ISO/IEC 27002:2013日前已正……
ISO27001信息安全管理體系的三大要素? 一;保密性:確保只有經(jīng)過授權(quán)的人才能存取信息。二;完整性:維護(hù)提供使用的信息為正確與完整的,未……
ISO27000簡介?標(biāo)準(zhǔn)的主要內(nèi)容 ISO/IEC17799-2000(BS7799-1)對信息安全管理給出建議,供負(fù)責(zé)在其組織啟動、實施或維護(hù)安全的人員使用。該……
中企認(rèn)證咨詢網(wǎng)積累了豐富的國際質(zhì)量認(rèn)證工作經(jīng)驗,各項業(yè)務(wù)均成果卓著。始終以服務(wù)國家經(jīng)濟(jì)社會發(fā)展和提升人民生活品質(zhì)為己任,依托產(chǎn)品認(rèn)證(包括服務(wù)認(rèn)證、自愿性認(rèn)證)、管理體系認(rèn)證和認(rèn)證培訓(xùn)業(yè)務(wù),著力開展節(jié)能。在積極促進(jìn)國際貿(mào)易,調(diào)整經(jīng)濟(jì)結(jié)構(gòu),保護(hù)消費(fèi)者安全健康,構(gòu)建社會誠信體系,參與"兩型"社會建設(shè)等方面做出了積極貢獻(xiàn)。同時,自身獲得了跨越式發(fā)展,已成為業(yè)務(wù)門類全、服務(wù)網(wǎng)絡(luò)廣、工作手段新、技術(shù)力量強(qiáng)、人員素質(zhì)高的一流認(rèn)證機(jī)構(gòu),可以方便快捷地為世界各地的客戶提供高效、優(yōu)質(zhì)的"一站式"服務(wù)。中企認(rèn)證咨詢網(wǎng)秉承"和諧、進(jìn)取、責(zé)任"的理念,正在朝著建立社會公信力高,有較強(qiáng)創(chuàng)新能力、市場競爭能力和可持續(xù)發(fā)展能力,向業(yè)界有較高知名度的國際型認(rèn)證機(jī)構(gòu)的目標(biāo)努力前行,優(yōu)質(zhì)的服務(wù)、雄厚的技術(shù)力量、先進(jìn)的管理水平保障了中企認(rèn)證咨詢網(wǎng)業(yè)務(wù)的順利開展,為順利實現(xiàn)中企認(rèn)證咨詢網(wǎng)的質(zhì)量目標(biāo)、為認(rèn)證機(jī)構(gòu)的品牌提供了有力保障。
中企認(rèn)證咨詢網(wǎng)專業(yè)從事ISO9001、ISO14001、OHSAS18001、IATF16949、ISO27001、ISO13485、ISO22000、HACCP、ISO20000、ISO45001、QC080000、GB/T50430、GB/T27922售后服務(wù)體系認(rèn)證、GB/T29490知識產(chǎn)權(quán)管理體系、ISO37001、ISO50001、ISO22163、兩化融合體系、系統(tǒng)集成資質(zhì)、十環(huán)認(rèn)證、SMETA、SEDEX、BSCI、SA8000、FSC、ICTI、GSV、C-TPAT、WRAP、EICC、GMP、GMPC、ETI、BRC、驗廠咨詢、商務(wù)部信用等級、誠信信用等級、ISO體系、CE、3C、AAA等認(rèn)證咨詢服務(wù)。認(rèn)證價格實惠,證書真實有效,認(rèn)監(jiān)委可查,如有疑問,可點(diǎn)擊garryr.com了解詳情,竭誠為您服務(wù)!
本文內(nèi)容整合網(wǎng)站:百度百科、搜狗百科、360百科、知乎、市場監(jiān)督總局、國家認(rèn)證認(rèn)可監(jiān)督管理委員會、質(zhì)量認(rèn)證中心
本文標(biāo)題:ISO27001資產(chǎn)和資產(chǎn)風(fēng)險等級劃分準(zhǔn)則
本文地址:http://garryr.com/isos/202309/zs_7508.html