服务项目

信息安全认证：信息安全资产赋值方法

文章录入：华道众合文章来源：华道众合添加时间：2021-2-4

资产赋值是信息安全风险评估定量处理的重要环节，赋值的准确性。资产赋值应该与组织的信息安全定义相结合，要进行信息安全风险评估就要关注组织关心的信息安全属性是什么?通常组织都是关心机密性、完整性和可用性，但实际上不同的组织应该特别关注不同的属性，往往除了这三个属性外，还应关心其他属性，如真实性、不可否认性、可控性等。

资产赋值为了尽量准确，通常是针对不同的信息安全属性分别进行赋值的，多数组织在针对不同的属性赋值之后，会确定一个综合的赋值指标，形成一个资产重要性指标。这个指标通常为所有属性赋值最大值或加权平均形成。

资产赋值过程也就是对资产信息安全属性影响分析的过程。影响就是由人为或突发性引起的安全事件对资产破坏的后果。这一后果可能毁灭某些资产，危及信息资产并使其丧失信息安全属性，最终还会导致财产损失、市场份额或公司形象的损失。一般情况下，影响主要从以下几方面来考虑：

1）违反了有关法律或（和）规章制度

2）影响了业务执行

3）造成了信誉、声誉损失

4）侵犯了个人隐私

5）造成了人身伤害

6）对法律实施造成了负面影响

7）侵犯了商业机密

8）违反了社会公共准则

9）造成了经济损失

10）破坏了业务活动

11）危害了公共安全

这里仅针对信息资产的机密性这一属性进行赋值举例（见表5-3），通常分为5个不同的等级，分别对应资产在机密性方面的价值或者在机密性方面受到损失时对整个评估的影响。

资产赋值最后关键需要确定资产的重要度，确定重要度的主要依据就是信息安全属性的赋值结果。通常资产的重要性可分为五个等级（见表5-4），从1～5由低到高分别代表五个级别的资产相对价值，等级越大，资产越重要。

由于资产最终价值的等级评估是依据资产信息安全属性的赋值级别经过综合评定得出的，这里我们选择"最高的属性级别"为综合资产赋值准则的方法。

当然，风险评估小组也可以根据被评估系统的实际情况自定义资产的等级，但该评定方法必须事先得到信息系统所有者认可。

资产赋值的结果是重要资产清单。

想了解更多的关于信息安全认证信息可以经常关注我们

【相关文章】