服务项目
最新动态
热点文章
首页 > 服务项目 > ISO27000认证咨询 > 信息安全资产如何识别?iso27000信息安全体系认证申请
信息安全认证:信息安全资产如何识别?iso27000信息安全体系认证申请
1、概述
资产识别是风险评估的核心环节。资产按照层次可划分为业务资产、系统资产、系统组件和单元资产.如图3所示。因此资产识别应从三个层次进行识别。
资产识别是风险评估的核心环节。资产按照层次可划分为业务资产、系统资产、系统组件和单元资产.如图3所示。因此资产识别应从三个层次进行识别。
2、业务识别
2.1识别内容
业务是实现组织发展规划的具体活动,业务识别是风险评估的关键环节。业务识别内容包括业务的属性、定位、完整性和关联性识别。业务识别主要识别业务的功能、对象、流程和范围等。业务的定位主要识别业务在发展规划中的地位。业务的完整性主要识别其为独立业务或非独立业务。业务的关联性识别主要识别与其他业务之间的关系。表1提供了一种业务识别内容的参考。
业务识别数据应来自熟悉组织业务结构的业务人员或管理人员。业务识别既可通过访谈、文档查阅、资料查阅,还可通过对信息系统进行梳理后总结整理进行补充。
2.2 业务重要性赋值
应根据业务的重要程度进行等级划分,并对其重要性进行赋值。表2提供了一种业务重要性赋值的参考。
业务的关联性会对业务的重要性造成影响。若被评估业务与高于其重要性赋值的业务具有紧密关联关系,则该业务重要性赋值应在原赋值基础上进行赋值调整。附录D中表D.1给出了一种存在紧密关联业务影响时的业务重要性赋值调整方法。
3、系统资产识别
3.1识别内容
系统资产识别包括资产分类和业务承载性识别两个方面。表3给出了系统资产识别的主要内容描述。系统资产分类包括信息系统、数据资源和通信网络,业务承载性包括承载类别和关联程度。
3.2系统资产价值赋值
系统资产价值应依据资产的保密性、完整性和可用性赋值,结合业务承载性、业务重要性,进行综合计算,并设定相应的评级方法进行价值等级划分.等级越高表示资产越重要。表4中给出了系统资产价值等级划分的描述。资产保密性、完整性、可用性赋值以及业务承载性赋值方法见附录D。
4、系统组件和单元资产识别
4.1识别内容
系统组件和单元资产应分类识别,系统组件和单元资产分类包括系统组件、系统单元、人力资源和其他资产。表5给出了系统组件和单元资产识别的主要内容描述。
4.2系统组件和单元资产价值赋值
系统组件和单元资产价值应依据其保密性、完整性、可用性赋值进行综合计算,并设定相应的评级方法进行价值等级划分,等级越高表示资产越重要。表6中给出了系统组件和单元资产价值等级划分的描述。资产保密性、完整性、可用性赋值方法见附录D。
想了解更多的关于信息安全认证信息可以经常关注我们
【相关文章】
- 《信息技术 安全技术 可鉴别的加密机制 GB/T36624-2018》免费下载
- 《信息安全技术 信息技术产品安全可控评价指标 第2部分:中央处理器 GB/T36630.2-2018》免费下载
- 《中国银保监会监管数据安全管理办法(试行)》
- 如何降低互联智能企业信息安全的风险?
- 量子计算挑战信息安全 我国量子通信产业加速布局
- 健康码信息安全保护力度是否足够?委员建议设置“准入门槛”
- 中国电信加快布局信息安全市场,护航5G时代公共安全
- ISO27001标准“A.12.5 运行软件控制”条款讲解
- ISO27001标准“A.12.6 技术方面的脆弱性管理”条款讲解
- ISO27000标准“A.12.7 信息系统审计的考虑”条款讲解