第三講 信息資產的分類與控制

轉自：谷安論壇

 

1、前言

根據《光明日報》 2004 年 2 月 9 日 的統計數字，國內 2003 年 電子政務 信息安全市場規模超過 5 億元，金融信息化安全市場規模約有 4.5 億元，電信行業信息安全市場規模不低於 10 億元，石化、 電力 、 交通 運輸、製造、 教育 、衛生等行業和我的市場的安全市場規模約有近 10 億元。從 2003 年的總共將近 30 億元市場狀況看，防火牆、防病毒、***檢測系統、虛擬專用網設備等佔了整個安全產品市值的絕大部分，企業花費在信息安全管理、諮詢、安全意識、培訓、教育方面的費用微乎其微。
從統計數據咱們能夠分析出，目前在用戶中廣泛比較流行的信息資產保護觀點是：經過部署防病毒軟件、防火牆及***檢測系統等邊界保護與檢測設備來保護儲存在計算機中的數據資產免受非法***。　　
然而信息資產真的只是儲存在計算機中的數據嗎？
英國泰晤士報曾對企業中知識的儲存方式作了一個調查，結果發如今一個企業的知識結構中， 26% 的知識以紙質文件的形式儲存， 20% 的知識以電子文件存儲， 42% 的知識儲存在員工的頭腦中， 12% 以其餘形式存在。
Ernst &Young 在 2002 年通過調查發現：國家政府和軍隊信息受到的*** 70% 來自外部，而銀行和企業信息受到的*** 70% 來自於內部。中國國家信息安全測評認證中心提供的調查結果也得出了類似的結論。
這就是說咱們花了絕大部分的錢，保護了只佔信息資產 20% 的數據資產！並且咱們的技術手段還談不上 100% 地有效保護這 20% 的數據資產。
也許，咱們應該從新定義一下什麼是信息資產了。

 

2、什麼是信息資產？ 信息能夠理解爲消息、情報、數據或知識，它能夠以多種形式存在，能夠是組織中信息設施中存儲與處理的數據、程序，能夠是打印出來的或寫出來的論文、電子郵件、設計圖紙、業務方案，也能夠顯示在膠片上或表達在會話中消息。全部的組織都有他們各自處理信息的形式，例如，銀行、保險和信用卡公司都須要處理消費者信息，衛生保健部門須要管理病人信息，政府管理部門存儲機密的和分類信息。 不管組織對這些信息採用什麼樣的共享、處理和存儲方式，都須要對敏感信息加以安全、妥善的保護，不只要保證信息處理和傳輸過程是可靠的、有效的，並且要求重要的敏感信息是機密的、完整的和真實的。爲達到這樣的目標，組織必須採起一系列適當的信息安全控制措施纔可使信息避免一系列威脅，保障業務的連續性，最大限度地減小業務的損失，最大限度地獲取投資回報。 在ISO17799中，對信息的定義更確切、具體：「信息是一種資產，像其餘重要的業務資產同樣，對組織具備價值，所以須要妥善保護」。 咱們習慣於把計算機、通信設備、磁介質等當作信息資產，而不習慣於把對組織有重要價值的檔案資料、人員、企業形象、服務等看做是資產，每每忽略了對這些資產的保護，而實際上這些資產對組織的業務持續性來講是相當重要的。 ISO17799 列出了常見信息資產有： ● 數據與文檔：數據庫和數據文件、系統文件、用戶手冊、培訓材料、運行與支持程序、業務持續性計劃、應急安排 ● 書面文件：合同、指南、企業文件、包含重要業務結果的文件。 ● 軟件資產：應用軟件、系統軟件、開發工具和實用程序 ● 物理資產：計算機、通信設備、磁介質（磁盤與磁帶），其餘技術設備（供電設備、空調設備）、傢俱、辦公場所 ● 人員：員工、客戶 ● 企業形象與聲譽 ● 服務：計算和通信服務，其餘技術服務（供熱、照明、電力、空調） 組織在實施ISO17799時，不必定要拘泥於以上資產類型，還能夠列出適合自身須要的其餘信息資產。 下面咱們結合 ISO17799 在這個領域的措施目標與措施，來詳細討論如何識別信息資產，並進行科學而有效的分類，而後在各個管理層對資產落實責任，進行恰當的管理。

 

3、控制目標與控制措施 1 、控制目標－落實資產責任     目標：爲組織的資產提供適當的保護。 應當爲全部主要財產肯定全部權人，而且爲維護適當的管理措施而分配責任。能夠委派執行這些管理計劃的責任。被提名的資產全部者應當承擔保護資產的責任。       l 控制措施－資產的清單 應該列出並維持一份與每一個信息系統有關的全部重要資產的清單。     在信息安全體系範圍內爲資產編制清單是一項重要工做，每項資產都應該清晰地定義，合理地估價，在組織中明確資產全部權關係，進行安全分類，並以文件方式詳細記錄在案。   　具體的措施以下： 2 組織可根據業務運做流程和信息系統基礎架構識別出信息資產，按照信息資產所屬系統或所在部門列出資產清單，將每項資產的名稱、所處位置、價值、資產負責人等相關信息記錄在資產清單上。 2 根據資產的相對價值大小來肯定關鍵信息資產，並對其進行風險評估以肯定適當的控制措施。 2 對每一項信息資產，組織的管理者應指定專人負責其使用和保護，防止資產被盜、丟失與濫用。 2 按期對信息資產進行清查盤點，確保資產帳物相符和無缺無損   以上措施中，肯定資產的價值是難點，信息資產的價值不只僅要考慮其自身的價值，還要考慮其對業務的重要性和必定條件下的潛在價值。好比：以一樣價格的購買了二臺一樣配置的服務器，一臺用於辦公自動化，另外一臺用於處理財務總賬數據，這二臺服務器的帳面價值雖然同樣，但做爲信息資產進行評估時，其信息資產價值是不同的，用於財務處理的服務器的相對價值通常要大於辦公自動化服務器的相對價值。 資產價值經常是以安全事件發生時所產生的潛在業務影響來衡量，安全事件會致使資產機密性、完整性和可用性的損失，從而致使企業資金、市場份額、企業形象的損失。爲了資產評估的一致性與準確性，組織應當創建一個資產的價值評估標準，對每一種資產和每一種可能的損失，例如機密性、完整性和可用性的損失，均可以賦予一個價值。 但採用精確的方式給資產賦值是較困難的一件事，通常採用定性的方式，按照事前創建的資產的價值評估標準將資產的價值劃分爲不一樣等級。 通過資產的識別與估價後，組織應根據資產價值大小，進一步肯定要保護的關鍵資產。 在評估過程，爲了保證沒有資產被忽略和遺漏，應該先肯定信息安全管理體系範圍，這樣資產的評審邊界就創建起來了。評估資產最簡單的方式就是列出組織業務過程當中、安全管理體系範圍內全部具備價值的資產，而後對資產賦予必定的價值，這種價值應該反映資產對組織業務運營的重要性，並以對業務的潛在影響程度表現出來。例如，資產價值越大，因爲泄露、修改、損害、不可用等安全事件對組織業務的潛在影響就越大。基於組織業務須要的資產的識別與估價，是創建信息安全體系，肯定風險的重要一步。 資產的價值應當由資產的全部者和相關用戶來肯定，只有他們才最清楚資產對組織業務的重要性，才能較準確地評估出資產的實際價值。 在對資產賦予價值時，一方面要考慮資產購買成本及維護成本，另外一方面也要考慮當這種資產的機密性、完整性、可用性受到損害時，對業務運營的負面影響程度。在信息安全管理中，並非直接採用資產的帳面價值，比較實用的作法是以定性分級的方式創建資產的相對價值，以相對價值來做爲肯定重要資產的依據和爲這種資產的保護投入多大資源的依據。 這種定性分級能夠參照下表所示的方式： 資產定性分級表    分級類型       定性分級程度       相對較粗的分級       低、中、高       詳細分級       可忽略、低、中、高、很是高       更詳細的分級       （低） 0 、 1 、 2 、 …… 、 10 （高）

 

2 、控制目標－信息的分類

目標：確保信息資產獲得適當程度的保護
應當將信息分類，指出其安全保護的具體要求、優先級和保護程度。
不一樣信息有不一樣的敏感性和重要性。有的信息資產可能須要額外保護或者特殊處理。
應當採用信息分類系統來定義適當的安全保護等級範圍，並傳達特殊處理措施的須要。

l 控制措施－信息資產分類原則

　信息的分類及相關的保護控制，應適合於企業運營對於信息分享或限制的須要，以及這些須要對企業營運所帶來的影響。

　信息的分類和相關保護措施應當綜合考慮到信息共享和信息限制的業務須要，還要考慮對業務的影響，例如對信息未經受權的訪問或者對信息的破壞。通常說來，信息分類是一種處理和保護該信息的簡捷方法。

信息分類時要注意如下幾點：

2 信息的分類等級要合理

信息和處理分類數據的系統輸出應當按照其對於組織的價值和敏感性加以標識。應當仔細考慮分類範疇的數量以及使用這種分類所帶來的好處。過於複雜的分類規劃可能很累贅，並且使用和執行起來也不經濟實用。解釋其它組織發送過來的文件上的標籤時應當十分當心，相同或者類似的標籤名稱可能具備不一樣的含義。

2 信息的保密期限

通過一段時間之後，信息經常會變得再也不敏感或者再也不重要了，例如在敏感信息被公開發布之後，原來的分類就沒有意義了。若是把安全保護的分類劃定得太高就會致使沒必要要的業務開支。對於任何信息的分類都不必定自始至終固定不變，可能按照一些預約的策略發生改變。組織制定信息分類指南時應當考慮到這些狀況。

2 誰對信息的分類負責

信息的始發人或指定的全部權人應當承擔肯定信息類別的責任，例如對一份文件、數據記錄、數據文件或者磁盤進行分類的責任，以及按期檢查這些分類的責任。

好比：《中國人民共和國保守國家祕密法》第九條對國家祕密是這樣劃分的等級的，國家祕密的密級分爲「絕密」、「機密」、「祕密」三級。「絕密」是最重要的國家機密，泄露會使國家的安全和利益遭受特別嚴重的損害；「機密」是重要的國家祕密，泄露會使國家的安全和利益遭受嚴重的損害；「祕密」是通常的國家祕密，泄露會使國家的安全和利益遭受損害。

l 控制措施－信息的標識與處理

 

應當制定信息標識及處理的程序，以符合組織所採行的分類法則。

爲信息標識和處理定義一個符合組織分類標準的處理程序是很是重要的。這些程序要涵蓋實物形式和電子形式的信息。對於每種分類，應當包含如下信息處理活動的程序：
2 複製
2 存儲
2 經過郵局、傳真和電子郵件的信息發送
2 經過口頭語言的信息傳遞，包括經過移動電話、語音郵件和錄音電話傳送的信息。
2 銷燬
對於那些含有被劃定爲敏感或者重要信息的應用系統，其輸出應當帶有適當的分類標識。該標識應當反映根據組織規則而創建的分類。須要考慮的項目包括打印的報告、屏幕顯示、存儲介質（磁帶、磁盤、 CD 、卡式盒帶）、電子消息和文檔傳輸。
通常來講，物理標識是最合適的標識形式，一些信息資產例如電子文檔沒法加上物理標識時，能夠採用電子標識。

 

4、案例

下面是一個簡化的信息敏感性分類策略的案例，供讀者參考：