日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

信息資產(chǎn)分級管理
1. 信息資產(chǎn)分類鑒別
達(dá)到及維護(hù)組織資產(chǎn)的適當(dāng)保護(hù)，宜明確識別所有資產(chǎn)，并制作與維持所有重要資產(chǎn)
的清冊 ，與信息處理設(shè)施相關(guān)的所有信息及資產(chǎn)宜由組織指定擁有者。與信息處理設(shè)施相關(guān)的信息與資產(chǎn)，其可被接受的使用之規(guī)則宜予以識別、文件化及實(shí)作。各單位負(fù)責(zé)信息資產(chǎn)應(yīng)定期更新與維護(hù)信息資產(chǎn)清冊，各單位匯總整合，由信息安全小組統(tǒng)一控管確保信息資產(chǎn)列表完整性。信息資產(chǎn)依其性質(zhì)不同，分為5類：人員、硬件、軟件、電子數(shù)據(jù)、書面文件依序如下：
人員：系指業(yè)務(wù)主管、承辦人員、委外廠商、契約人員等。
硬件：系指網(wǎng)絡(luò)設(shè)備、主機(jī)設(shè)備、通訊設(shè)備、環(huán)境設(shè)備等相關(guān)硬件設(shè)施。例如：服務(wù)器主機(jī)、個(gè)人計(jì)算機(jī)、不斷電設(shè)備等。
軟件：系指自行開發(fā)或委外開發(fā)之應(yīng)用系統(tǒng)程序、外購之軟件包等。例如：應(yīng)用系統(tǒng)、操作系統(tǒng)、軟件包、工具程序等。
電子數(shù)據(jù)：系指以電子形式存在之信息數(shù)據(jù)。例如：網(wǎng)絡(luò)設(shè)定數(shù)據(jù)、備份文件等。
書面文件：系指以紙本形式存在之文書數(shù)據(jù)、報(bào)表等相關(guān)信息。例如：合同、規(guī)范、系統(tǒng)文件、用戶手冊、訓(xùn)練教材等。
所有資產(chǎn)經(jīng)由資產(chǎn)分類，制成「信息資產(chǎn)列表」。

創(chuàng)新互聯(lián)是一家專注網(wǎng)站建設(shè)、網(wǎng)絡(luò)營銷策劃、微信小程序開發(fā)、電子商務(wù)建設(shè)、網(wǎng)絡(luò)推廣、移動(dòng)互聯(lián)開發(fā)、研究、服務(wù)為一體的技術(shù)型公司。公司成立十多年以來，已經(jīng)為數(shù)千家垃圾桶各業(yè)的企業(yè)公司提供互聯(lián)網(wǎng)服務(wù)?，F(xiàn)在，服務(wù)的數(shù)千家客戶與我們一路同行，見證我們的成長；未來，我們一起分享成功的喜悅。

2. 信息資產(chǎn)價(jià)值鑒別
信息宜依其對組織的價(jià)值、法律要求、敏感性及重要性加以分類 ，價(jià)值鑒別準(zhǔn)則依
信息資產(chǎn)分類分別針對機(jī)密性、可用性、完整性，其評估標(biāo)準(zhǔn)如下：

表1 人員評估標(biāo)準(zhǔn)

表2 硬件評估標(biāo)準(zhǔn)

表3 軟件評估標(biāo)準(zhǔn)

表4 電子數(shù)據(jù)、書面文件評估標(biāo)準(zhǔn)

各資產(chǎn)價(jià)值為資產(chǎn)之機(jī)密性、完整性及可用性評估值取最大值；如以下式子：

資產(chǎn)價(jià)值 = 機(jī)密性評估值 + 完整性評估值 + 可用性評估值。

各資產(chǎn)依資產(chǎn)價(jià)值數(shù)值分級；詳如資產(chǎn)價(jià)值等級表

表5 資產(chǎn)價(jià)值等級表

3. 信息資產(chǎn)標(biāo)示與處理
宜依照組織所采用的分類法，發(fā)展與實(shí)作一套適當(dāng)?shù)男畔?biāo)示與處置程序 。資產(chǎn)標(biāo)
示必須明確。資產(chǎn)標(biāo)示含資產(chǎn)風(fēng)險(xiǎn)等級并以顏色卷標(biāo)區(qū)分。硬件類資產(chǎn)標(biāo)示依其價(jià)值等級并以顏色卷標(biāo)區(qū)分。
高資產(chǎn)價(jià)值：指該資產(chǎn)價(jià)值最高，貼紅色卷標(biāo)。
中資產(chǎn)價(jià)值：指該資產(chǎn)價(jià)值中等，貼×××標(biāo)簽。
低資產(chǎn)價(jià)值：指該資產(chǎn)價(jià)值最低，不貼卷標(biāo)。
資產(chǎn)在保存過程中，應(yīng)依適當(dāng)程序作妥善保存。資產(chǎn)的生命周期包含產(chǎn)生、使用、維護(hù)與銷毀。在整個(gè)生命周期中，每項(xiàng)資產(chǎn)皆由信息科技部領(lǐng)導(dǎo)指派資產(chǎn)管理人。資產(chǎn)管理人必須妥善運(yùn)用與保存該資產(chǎn)。其他同仁使用資產(chǎn)需經(jīng)由管理人授權(quán)，方可使用該資產(chǎn)。其使用過程需紀(jì)錄于該資產(chǎn)之使用記錄。資產(chǎn)之私密信息由管理人維護(hù)，采用僅知原則(Need-To-Know)，授權(quán)給其他同仁使用時(shí)，以最小量之信息提供給使用人得知。為掌握信息設(shè)備狀況，對于信息室有價(jià)值之信息設(shè)備之增置、轉(zhuǎn)移、報(bào)廢應(yīng)予確實(shí)登錄。資產(chǎn)借用應(yīng)予登記，以控管資產(chǎn)現(xiàn)況。資產(chǎn)于報(bào)廢時(shí)應(yīng)循相關(guān)報(bào)廢程序進(jìn)行報(bào)廢。

鑒別風(fēng)險(xiǎn)弱點(diǎn)與威脅
脆弱性，亦稱弱點(diǎn)。脆弱性是組織信息安全的弱點(diǎn)或漏洞?；旧希嗳跣员旧聿粫?br/>造成傷害，而是威脅利用這些脆弱性對系統(tǒng)進(jìn)行傷害。針對要鑒別的每項(xiàng)資產(chǎn)分類，依序?qū)ふ页鏊邢鄬?yīng)的弱點(diǎn)如下：
人員：包括缺乏對外部團(tuán)體與信息安全相關(guān)之規(guī)范、缺乏一般辦公環(huán)境的安全控管、缺乏對人員之安全管理、缺乏對人員認(rèn)知之倡導(dǎo)及教育訓(xùn)練、缺乏工作之權(quán)責(zé)劃分與人員代理機(jī)制、缺乏信息安全事件通報(bào)及處理程序。
硬件：缺乏對外部團(tuán)體與信息安全相關(guān)之規(guī)范、.缺乏一般辦公環(huán)境的安全控管、缺乏書面化操作程序之控管、缺乏網(wǎng)絡(luò)之安全管理、缺乏數(shù)據(jù)交換之安全管理、
缺乏對儲存媒體的安全控管、缺乏系統(tǒng)監(jiān)視、記錄與相關(guān)的系統(tǒng)稽核軌跡、缺
乏對實(shí)體資產(chǎn)之保護(hù)與管理、缺乏取得信息系統(tǒng)之規(guī)劃及驗(yàn)收程序、缺乏對取
得服務(wù)的安全控管、缺乏對管制區(qū)域之安全管理、缺乏信息安全事件通報(bào)及處
理程序、缺乏對場外工作之安全控管。
軟件：缺乏對外部團(tuán)體與信息安全相關(guān)之規(guī)范、缺乏一般辦公環(huán)境的安全控管、缺乏書面化操作程序之控管、缺乏網(wǎng)絡(luò)之安全管理、缺乏數(shù)據(jù)交換之安全管理、缺乏系統(tǒng)監(jiān)視、記錄與相關(guān)的系統(tǒng)稽核軌跡、缺乏數(shù)據(jù)的安全管理、缺乏取得資訊系統(tǒng)之規(guī)劃及驗(yàn)收程序、缺乏對信息系統(tǒng)存取之安全管理、缺乏系統(tǒng)聯(lián)機(jī)之安全管理、缺乏信息系統(tǒng)開發(fā)之安全管理、缺乏對取得服務(wù)的安全控管、缺乏信息系統(tǒng)安全防護(hù)機(jī)制、缺乏信息安全事件通報(bào)及處理程序、缺乏對電子商務(wù)之安全控管、缺乏對場外工作之安全控管。
電子數(shù)據(jù)：缺乏對外部團(tuán)體與信息安全相關(guān)之規(guī)范、缺乏一般辦公環(huán)境的安全控管、缺乏書面化操作程序之控管、缺乏網(wǎng)絡(luò)之安全管理、乏數(shù)據(jù)交換之安全管理、缺乏系統(tǒng)監(jiān)視、記錄與相關(guān)的系統(tǒng)稽核軌跡、缺乏數(shù)據(jù)的安全管理、.缺乏對實(shí)體資產(chǎn)之保護(hù)與管理、缺乏取得信息系統(tǒng)之規(guī)劃及驗(yàn)收程序、缺乏對信息系統(tǒng)存取之安全管理、缺乏信息系統(tǒng)開發(fā)之安全管理、缺乏對取得服務(wù)的安全控管、缺乏信息安全事件通報(bào)及處理程序、缺乏對電子商務(wù)之安全控管。
書面文件：缺乏對外部團(tuán)體與信息安全相關(guān)之規(guī)范、缺乏一般辦公環(huán)境的安全控管、缺乏書面化操作程序之控管、缺乏數(shù)據(jù)交換之安全管理、缺乏系統(tǒng)監(jiān)視、記錄與相關(guān)的系統(tǒng)稽核軌跡、缺乏數(shù)據(jù)的安全管理、.缺乏對實(shí)體資產(chǎn)之保護(hù)與管理、缺乏對取得服務(wù)的安全控管、缺乏對管制區(qū)域之安全管理、缺乏信息安全事件通報(bào)及處理程序。

威脅的鑒別威脅是指對組織意圖造成傷害或損失，不論是意外或是蓄意，人為或是天
災(zāi)。資產(chǎn)容易受到許多威脅，這些威脅來自利用脆弱性。威脅可區(qū)分為天然災(zāi)害、人為的威脅、非人為的威脅；威脅的鑒別，須針對每項(xiàng)資產(chǎn)，列出可能的威脅。針對要鑒別的每項(xiàng)資產(chǎn)分類，依序?qū)ふ页鏊邢鄬?yīng)的威脅如下：
人員：無知、貪念、脅迫、惰性、人力不足、惡意、疏失、傳染病。
硬件：毀損、竊取、災(zāi)害、故障、破壞。
軟件：不法使用、錯(cuò)誤、竄改、延遲、失效、損毀、偽造。
電子數(shù)據(jù)：盜賣、泄漏、錯(cuò)誤、竄改、損毀、偽造。
書面文件：泄漏、竊取、竄改、偽造、遺失、損毀。

計(jì)算信息資產(chǎn)風(fēng)險(xiǎn)權(quán)值
綜合信息資產(chǎn)價(jià)值(如表5資產(chǎn)價(jià)值等級表)、弱點(diǎn)(如表6 電子數(shù)據(jù)類弱點(diǎn)值判定
表)、威脅等因素(如表7威脅值判定表)，透過信息資產(chǎn)之風(fēng)險(xiǎn)評鑒，可得知該項(xiàng)信息資產(chǎn)所面臨之風(fēng)險(xiǎn)程度并予以量化，作為選擇控制措施之依據(jù)。計(jì)算風(fēng)險(xiǎn)權(quán)值之公式為：
信息資產(chǎn)風(fēng)險(xiǎn)權(quán)值 = 信息資產(chǎn)價(jià)值 × 弱點(diǎn)權(quán)值 × 威脅權(quán)值
根據(jù)此一計(jì)算模型，風(fēng)險(xiǎn)權(quán)值最低為1，最高為27。

表6 電子數(shù)據(jù)類弱點(diǎn)值判定表

表7 威脅值判定表
考慮現(xiàn)有控管機(jī)制及資產(chǎn)特性，進(jìn)行以下定義：

資產(chǎn)風(fēng)險(xiǎn)處理的評估
在匯整完風(fēng)險(xiǎn)評鑒結(jié)果之后應(yīng)召開管理階層審查會議，由會議討論決定可接受風(fēng)險(xiǎn)之
風(fēng)險(xiǎn)值。低于此風(fēng)險(xiǎn)值之資產(chǎn)，視為低風(fēng)險(xiǎn)，也就是可接受之風(fēng)險(xiǎn)。風(fēng)險(xiǎn)值高于可接受風(fēng)險(xiǎn)之信息資產(chǎn)，應(yīng)采取風(fēng)險(xiǎn)處理。風(fēng)險(xiǎn)處理的方法主要分成以下四種：
降低風(fēng)險(xiǎn)：設(shè)置有效的內(nèi)部控制措施，針對不同的領(lǐng)域進(jìn)行管控，以達(dá)到風(fēng)險(xiǎn)值降低之目的。
轉(zhuǎn)移風(fēng)險(xiǎn)：利用轉(zhuǎn)嫁的方式降低風(fēng)險(xiǎn)，例如購買保險(xiǎn)以補(bǔ)償方式降低風(fēng)險(xiǎn)。
避免風(fēng)險(xiǎn)：利用取代方案或其他之資產(chǎn)以替代此資產(chǎn)所帶來之風(fēng)險(xiǎn)，不過若采取此方法，需再評估替代方案之可行性，以及帶來的風(fēng)險(xiǎn)值。前提是替代方案能帶來更低的風(fēng)險(xiǎn)。
接受風(fēng)險(xiǎn)：在以上三個(gè)方式都無法采用時(shí)，管理階層可以決定接受此風(fēng)險(xiǎn)，也就是接受此風(fēng)險(xiǎn)。

對應(yīng)的相關(guān)表

分享題目：信息資產(chǎn)分級管理的具體方法（風(fēng)險(xiǎn)評估與風(fēng)險(xiǎn)管理的）朋友可以看看
鏈接分享：http://www.dlmjj.cn/article/gihojh.html