服务项目

信息安全认证：信息安全资产如何识别？iso27000信息安全体系认证申请

文章录入：华道众合文章来源：华道众合添加时间：2022-11-28

1、概述
资产识别是风险评估的核心环节。资产按照层次可划分为业务资产、系统资产、系统组件和单元资产.如图3所示。因此资产识别应从三个层次进行识别。

2、业务识别

2.1识别内容

业务是实现组织发展规划的具体活动,业务识别是风险评估的关键环节。业务识别内容包括业务的属性、定位、完整性和关联性识别。业务识别主要识别业务的功能、对象、流程和范围等。业务的定位主要识别业务在发展规划中的地位。业务的完整性主要识别其为独立业务或非独立业务。业务的关联性识别主要识别与其他业务之间的关系。表1提供了一种业务识别内容的参考。

业务识别数据应来自熟悉组织业务结构的业务人员或管理人员。业务识别既可通过访谈、文档查阅、资料查阅,还可通过对信息系统进行梳理后总结整理进行补充。

2.2 业务重要性赋值

应根据业务的重要程度进行等级划分,并对其重要性进行赋值。表2提供了一种业务重要性赋值的参考。

业务的关联性会对业务的重要性造成影响。若被评估业务与高于其重要性赋值的业务具有紧密关联关系,则该业务重要性赋值应在原赋值基础上进行赋值调整。附录D中表D.1给出了一种存在紧密关联业务影响时的业务重要性赋值调整方法。

3、系统资产识别

3.1识别内容

系统资产识别包括资产分类和业务承载性识别两个方面。表3给出了系统资产识别的主要内容描述。系统资产分类包括信息系统、数据资源和通信网络,业务承载性包括承载类别和关联程度。

3.2系统资产价值赋值

系统资产价值应依据资产的保密性、完整性和可用性赋值,结合业务承载性、业务重要性,进行综合计算,并设定相应的评级方法进行价值等级划分.等级越高表示资产越重要。表4中给出了系统资产价值等级划分的描述。资产保密性、完整性、可用性赋值以及业务承载性赋值方法见附录D。

4、系统组件和单元资产识别

4.1识别内容

系统组件和单元资产应分类识别,系统组件和单元资产分类包括系统组件、系统单元、人力资源和其他资产。表5给出了系统组件和单元资产识别的主要内容描述。

4.2系统组件和单元资产价值赋值

系统组件和单元资产价值应依据其保密性、完整性、可用性赋值进行综合计算,并设定相应的评级方法进行价值等级划分，等级越高表示资产越重要。表6中给出了系统组件和单元资产价值等级划分的描述。资产保密性、完整性、可用性赋值方法见附录D。

想了解更多的关于信息安全认证信息可以经常关注我们

【相关文章】