好看的课外书,《完美世界》txt全集,遮天 http://znojukyf.cn 安信達(dá)咨詢|安信達(dá)企業(yè)管理咨詢機構(gòu) Thu, 07 Jul 2011 06:30:55 +0000 zh-Hans hourly 1 https://wordpress.org/?v=6.6.4 ISO27001資產(chǎn)和資產(chǎn)風(fēng)險等級劃分準(zhǔn)則 http://znojukyf.cn/isos/iso27001-1/1549.html http://znojukyf.cn/isos/iso27001-1/1549.html#respond Thu, 07 Jul 2011 06:30:55 +0000 http://znojukyf.cn/?p=1549 一、??? 資產(chǎn)的分類 分類 一般描述 信息資產(chǎn) 包括各種業(yè)務(wù)相關(guān)的電子類的文件資料,可按照部門現(xiàn)有文件明細(xì)列...

Read More →

The post ISO27001資產(chǎn)和資產(chǎn)風(fēng)險等級劃分準(zhǔn)則 first appeared on 深圳市安信達(dá)咨詢有限公司.

]]>

一、??? 資產(chǎn)的分類

分類 一般描述
信息資產(chǎn) 包括各種業(yè)務(wù)相關(guān)的電子類的文件資料,可按照部門現(xiàn)有文件明細(xì)列舉,或者根據(jù)部門業(yè)務(wù)流程從頭至尾列舉,列舉時盡量按照確定的緯度來分類,比如按照職能,或者按照業(yè)務(wù)流程的不同環(huán)節(jié)。要求識別的是分組或類別,不要具體到特定的單個文件。數(shù)據(jù)資料的列舉和分組應(yīng)該以業(yè)務(wù)功能和保密性要求為主要考慮,也就是說,識別出的數(shù)據(jù)資料應(yīng)該具有某種業(yè)務(wù)功能,此外,還應(yīng)該重點考慮其保密性要求。本部門產(chǎn)生的以及其他部門按正常流程交付過來供本部門使用的,都在列舉范疇內(nèi)。本部門盡量清晰,來自外部門的可以按照比較寬泛的類別來界定。
軟件資產(chǎn) 各種本部門安裝使用的軟件,包括系統(tǒng)軟件、應(yīng)用軟件(有后臺數(shù)據(jù)庫并存儲應(yīng)用數(shù)據(jù)的軟件系統(tǒng))、工具軟件(支持特定工作的軟件工具)、桌面軟件(日常辦公所需的桌面軟件包)等。所列舉的軟件應(yīng)該與產(chǎn)生、支持和操作已識別的數(shù)據(jù)資產(chǎn)有直接關(guān)系。
書面文檔 合同,公司文件,企業(yè)成果,人事文檔,培訓(xùn)文檔,采購文件,發(fā)票,政府下達(dá)的文件,也包括各類電子數(shù)據(jù)的歸檔件、打印件、復(fù)印件、書面管理文件等。
實體資產(chǎn) 與業(yè)務(wù)相關(guān)的IT物理設(shè)備。如產(chǎn)生數(shù)據(jù)類服務(wù)器、筆記本計算機、PC機、打印機、復(fù)印機、等)、通訊傳輸設(shè)備(路由器、防火墻等)、記錄存儲媒體(U盤、光盤、移動硬盤等)
支持設(shè)施 監(jiān)控設(shè)備,門禁,暖氣,供水,空調(diào),報警,發(fā)電機
人員 承擔(dān)某項與業(yè)務(wù)活動相關(guān)責(zé)任的角色和職位。例如總經(jīng)理、部門經(jīng)理、網(wǎng)絡(luò)管理員、固定資產(chǎn)管理員、業(yè)務(wù)主管、系統(tǒng)管理員、軟件開發(fā)人員、清潔員、普通員工等,這些人員與各類數(shù)據(jù)、軟件和實物資產(chǎn)的操作直接相關(guān)。
公司形象和名譽 影響公司形象及名譽的各種事件或信息。


資產(chǎn)的分級標(biāo)準(zhǔn)

資產(chǎn)的等級通過資產(chǎn)的機密性(C)、完整性(I)和可用性(A)三個因素表現(xiàn)。計算公式為:機密性價值(C)+完整性價值(I)+可用性價值(A)
每個因素的判定標(biāo)準(zhǔn)如下:

等級 取值 取值標(biāo)準(zhǔn)描述
保密性Confidentiality 完整性Integrity 可用性Availability
一般資產(chǎn) 人員 一般資產(chǎn) 人員 一般資產(chǎn) 人員
Very High 4 Top Secret
絕密		 最高敏感性的數(shù)據(jù)文件、信息處理設(shè)施和系統(tǒng)資源,僅能被極少數(shù)人知道。一旦泄漏會給公司帶來特別嚴(yán)重的損害后果 可以接觸/存取各個級別的信息 未經(jīng)授權(quán)的破壞或更改將會對信息系統(tǒng)有非常重大的影響,可能導(dǎo)致嚴(yán)重的業(yè)務(wù)中斷 如果該人員未正確執(zhí)行其職務(wù)內(nèi)容,將造成公司級業(yè)務(wù)運作效率大大降低或停頓 合法使用者對信息系統(tǒng)及信息的存取可用度達(dá)到年度每天99.9%以上(7*24) 突然缺席,會造成公司日常運營的停頓或造成重大影響
High 3 Secret
機密		 重要的信息、信息處理設(shè)施和系統(tǒng)資源,只能給少數(shù)必須知道者(特定的任務(wù)群體)。一旦泄漏會對公司造成嚴(yán)重的損害 可以接觸/存取最高到機密級的信息 未經(jīng)授權(quán)的破壞或更改對信息系統(tǒng)有重大影響,而且(或者)對業(yè)務(wù)造成嚴(yán)重沖擊 如果該人員未正確執(zhí)行其職務(wù)內(nèi)容,將造成單位/部門之業(yè)務(wù)運作效率降低或停頓 合法使用者對信息系統(tǒng)及信息的存取可用度達(dá)到每天95%以上(7*24) 突然缺席,會造成公司某項業(yè)務(wù)的停頓或造成重大影響
Middle 2 Confidential
秘密		 一般性的公司秘密,泄漏后會給公司造成一定的損害 可以接觸/存取公司一般性的秘密信息和內(nèi)部公開信息 未經(jīng)授權(quán)的破壞或更改會對信息系統(tǒng)造成一定的影響,而且(或者)給業(yè)務(wù)帶來明顯沖擊 如果該人員未正確執(zhí)行其職務(wù)內(nèi)容,將造成相關(guān)工作任務(wù)效率降低或停頓 合法使用者對信息系統(tǒng)及信息的存取可用度在正常上班時間達(dá)到100%(5*8) 突然缺席,會造成公司某個項目或某項工作的停頓或造成負(fù)面影響
Low 1 Internal Use Only
內(nèi)部公開		 并非敏感信息,主要限于公司內(nèi)部使用。一旦泄漏,并不會對公司造成顯著的影響 可以接觸/存取內(nèi)部公開的信息 未經(jīng)授權(quán)的破壞或更改不會對信息系統(tǒng)有重大影響,也不會對業(yè)務(wù)有明顯沖擊 如果該人員未正確執(zhí)行其職務(wù)內(nèi)容,不會對業(yè)務(wù)運作造成影響 合法使用者對信息系統(tǒng)及信息的存取可用度在正常上班時間至少達(dá)到50%以上(5*8) 突然缺席,對某項任務(wù)造成負(fù)面影響

二、

 

The post ISO27001資產(chǎn)和資產(chǎn)風(fēng)險等級劃分準(zhǔn)則 first appeared on 深圳市安信達(dá)咨詢有限公司.

]]> http://znojukyf.cn/isos/iso27001-1/1549.html/feed 0