[原創]什么是信息安全資產管理?

1 什么是資產？是任何對組織有價值的東西；

2 什么是信息資產？ 是具有價值的信息或資源，它能夠以多種形式存在，有無形的，有形的。在ISO17799中，對信息的定義更確切、具體：“信息是一種資產，像其他重要的業務資產一樣，對組織具有價值，因此需要妥善保護”。

3 什么信息安全資產管理流程：（1）首先要明確什么是信息資產 （2）資產識別 （3） 資產的評價 (4)資產風險評估（5）資產的管理 ；

4 資產識別其中資產識別需要考慮的有：

(1)信息資產：數據庫和數據文件、合同和協議、 系統文件、研究信息、用戶手冊、培訓材料、操作或支 持程序、業務連續性計劃、后備運行安排、審計記錄、 歸檔的信息；

(2)軟件資產：應用軟件、系統軟件、開發工具和 實用程序；

(3)物理資產：計算機設備、通信設備、可移動媒 體和其他設備；

(4)服務：計算和通信服務、通用公用事業，例如， 供暖、照明、能源、空調；

(5)人員及其資格、技能和經驗；

無形資產，如組織的聲譽和形象。簡單來講就是有形資產和無形資產。

所有的資產對組織來講都是有用的，當然要進行“資產評價”，通常資產評價依據：信息的機密 性（安全性）、完整性、可用性及其他需求進行評估。

5 資產評價10大因素：

(1)獲取或開發該資產所需的成本；

(2)維護和保護該資產所需的成本；

(3)該資產對所有者和用戶所具有的價值；

(4)該資產對競爭對手所具有的價值；

(5)知識產權的價值；

(6)其他人愿意為購買該資產所付出的價格；

(7)在損失的情況下替換該資產所付出的資格；

(8)在該資產不可用的情況下損失的運行和工作能力；

(9)該資產貶值時的債務問題；

(10)該資產的用處。 其中，資產賦值比較常用的方式是 采用定性分級的方式建立資產的相對價值，以相對價 值來作為確定重要資產的依據和為這種資產的保護 投入多大資源的依據。

6 資產風險評估：實施控制 措施以避免、轉移和降低風險至可接受 水平。

（1）威脅識別（威脅是對組織及其資產構成潛在破壞的可能性因素或者事件）其中威脅受影響4因素：

1)資產的吸引力；

2)資產轉化成報酬的容易程度；

3)威脅的技術力量；

4)脆弱性被利用的難易程度。

2）脆弱性識別 （脆弱性識別可通過脆弱性評估來完成，弱點是資 產本身存在的，它可以被威脅利用，引起資產或商業 目標的損害) 。

脆弱性識別所采用的方法主要為：問卷調查、人員問詢、工具掃描、手動檢查、文檔審查、滲透測試等。

(3) 風險評估 完成威脅發生的頻率或者發生的概率和脆弱性賦值后，可通過如下公式計算資產所受到的風險：R= f(A,V,T)=f(Ia,L(Va,T)) R 表示風險；

A 表示資產；V 表示脆弱性；T 表示威脅；Ia 表示資產發生安全事件后對機構業務的影響(也稱為資產的重要程度)；

Va 表示某一資產 本身的脆弱性，L 表示威脅利用資產的脆弱性造成安 全事件發生的可能性。

(4)安全控制措施選擇與實施

(1)資產所要求的保障程度；

(2)成本；

(3)實施的容易性；

(4)法律法規的要求；

(5)客戶及其他合同要求。

(5) 風險接受 對殘余的風險加以分類，可以 是“可接受的”或是“不可接受的”。

7 資產管理 在信息安全管理體系建立、實施和運行過程中， 資產主要采取以下幾種控制方式進行管理：

（1）資產清單

(1.1)新的資產的采購和獲得；

(1.2)原有信息 資產的級別變更；

(1.3)資產的時效性；

(1.4)法律法規及合同方要求的變更。

（2）資產責任人

（3）可接受的資產使用

(4)分類指南

(5) 信息的標記和處理

(6) 明確使用管理

6.1)涉密信息的保管

6.2)涉密信息的訪問權限

6.3)涉密信息的使用

6.4)涉密信息的發送

最后用一句話描述：信息資產作為信息安全管理體系的作用對象，信息資產管理在整個信息安全管理體系的建立、實施和運行中有著重要的地位。

關注我的微信公眾號：質量保障技術與管理

總結

以上是生活随笔為你收集整理的[原创]什么是信息安全资产管理?的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。