IT部信息资产分类分级实践探索
在当今数字化时代,企业的信息资产日益庞大且复杂,如何有效地管理和保护这些资产成为企业面临的重要挑战。本文将详细介绍一种基于ITIL先锋论坛实践的资产分类与信息分级管理方法,帮助企业更好地应对这一挑战。
资产分类的重要性资产分类是信息资产管理的基础。通过科学分类,企业可以清晰地了解需要重点保护的IT资产,为后续的风险评估及解决方案设计提供依据。合理的资产分类有助于优化资源配置,提高管理效率,确保企业信息资产的安全性和可用性。
资产分类方法参照ISO27001标准,信息相关资产可按以下分类方法进行划分:● 数据文件:包括各种业务相关的电子类及纸质文件资料。这些资料应以业务功能和保密性要求为主要考虑因素进行分组或类别识别。● 软件资产:涵盖本部门安装使用的各类软件,如系统软件、应用软件、工具软件和桌面软件等。所列举的软件应与已识别的数据文件资产有直接关联。● 实物资产:指本部门使用的硬件设施,如机房、通信设备、网络设备等。这些设施可能安装有已识别的软件或存放有已识别的数据文件资产。● 人员资产:涉及对已识别的数据文件资产、软件资产和实物资产进行使用、操作和支持的人员角色。● 服务资产:包括业务流程、各种业务生产应用、为客户提供的服务能力等。例如WWW、SMTP、POP3、FTP、DNS等服务,以及外部对客户提供的网络接入、IT产品售后服务和IT系统维护等服务。
资产赋值原则资产赋值的目的是为了更好地反映资产的价值,以便进一步考察资产相关的弱点、威胁和风险属性,并进行量化。资产分别具有不同的安全属性,包括保密性(C)、完整性和可用性(A)。通过对这三种安全属性的考察,可以得出一个能够基本反映资产价值的数值。
保密性、完整性和可用性的定义● 保密性:确保只有经过授权的人才能访问信息。● 完整性:保护信息和信息的处理方法准确而完整。● 可用性:确保经过授权的用户在需要时可以访问信息并使用相关信息资产。
资产价值计算公式资产价值用于反映某个资产作为一个整体的价值,综合了保密性、完整性和可用性三个属性。通常,三个安全属性中最高的一个对最终的资产价值影响最大。使用以下公式来计算资产价值赋值:Asset Value=Round1{log2 [(2Conf+2Int+2Avail)/3]}其中,Conf代表保密性赋值;Int代表完整性赋值;Avail代表可用性赋值;Round1{}表示四舍五入处理,保留一位小数;Log2[]表示取以2为底的对数。
文档资料类信息分级对于核心关注的数据、文档类资产,即信息资产,根据资产的敏感性将资产分为以下四级:● 绝密信息:具有最高安全级别,对企业形象、业务收益起到至关重要作用的信息。一旦被非法访问或篡改,会导致灾难性的影响,并且这种影响在短时期内是不可恢复的。● 机密信息:对企业具有重大价值的信息,必须有严格访问控制。任何对机密信息的非法访问、修改或删除会严重影响企业形象或业务收益,但这种影响是可以在一定时期内恢复的。● 秘密信息:对企业具有价值的信息,必须有访问控制。任何对秘密信息的非法访问、修改或删除会影响企业形象或业务收益,但这种影响是可以在较短时期内恢复的。● 公开信息:可以公共访问和对外发布的信息,此部分信息归口到特定单位负责,并且一般信息可以自由散布而不会产生任何安全问题。
不同等级信息资产的管理策略
绝密级文档类信息资产● 由专人在特定位置进行管理维护,不允许随意打印,授权打印后的文档经负责领导签署后由专人专柜进行保存和管理。● 电子版文档原则上不允许放置在可移动的客户端设备上,不允许通过网络进行流转。● DLP系统指纹提取,定期规范性扫描,主机和网关DLP实时阻止外出。● 文档的访问需要特殊的流程进行控制,纸质版文档每次访问需要做好登记和记录。
机密级文档类信息资产● 附有该类文档的邮件注明机密字样,不允许邮件转发。● 该类文档控制打印功能,需要打印要进行审批。● DLP系统指纹提取,定期规范性扫描,主机DLP实时阻止外发。● 文档的访问需要一定的流程和权限进行控制。
秘密级文档类信息资产● 文档显著位置表明秘密级别,不得外传字样。● 主机DLP打标签,主机边界的防泄密,网络DLP在网络边界监控。● 文档访问需要设置权限控制。
数据、文档标识方法对不同安全类别的信息进行明确的标识,有助于内部相关人员依照有关信息安全规章制度进行具体操作和处理,从而最大限度地降低了由于人为的误操作所带来的安全隐患的概率。应明确规定信息处于不同载体的标识方法。敏感信息的密级应该被明确标识。根据存储和输出方式的不同,可以采用物理标签、电子标记等方法。
资产标识的原则● 所有信息安全分类标识必须正确反映该信息的安全防护级别,PMO对信息安全分类有最终决定权。● 绝密、机密和秘密信息必须进行详尽标识,其内容和格式必须统一。其他等级信息根据情况自行进行标识管理。● 对所有的信息安全分类标识,必须由专人作定期更新维护(每1年一次)。
资产标识的内容信息资产分标识可包括并不仅限于下列信息:● 简单描述或内部编号● 创建日期和最后修改日期● 版本控制信息● 信息分级(绝密,机密,秘密,公开)● 专管人员或专管部门
信息资产的访问控制和数据保护
信息资产分类、owner和访问权限信息系统部信息资产分类,所有人和访问权限等详细信息请参见:《IT部信息资产分类表》。
信息资产的数据保护要求
信息资产的处置
信息处置是对信息资产进行以下类型的信息处理活动:● 向第三方公开● 通过口头对话方式进行传播,包括会议,电话录音,手机,电话,公开谈话等● 通过电子通讯手段传递,包括互联网服务,电子邮件,传真,内部网络,手机短信息等● 复制拷贝,包括复印,电子拷贝,数据备份等● 存储,包括电子邮件,电子文档,打印文档等● 作废处理,包括非写存储介质,可写存储介质,纸张,硬件设备等● 物理访问控制,包括机房和办公区域进出● 逻辑访问控制,包括本机访问和网络访问● 日志● 审计
公司应明确规定不同密级的信息,在处置过程中需要采取的相应控制和保护措施。
页:
[1]