返回
信息资产分级管理

信息资产分级管理

ID:12158217

大小:28.84 KB

页数:6页

时间:2018-07-15

信息资产分级管理_第1页
信息资产分级管理_第2页
信息资产分级管理_第3页
信息资产分级管理_第4页
信息资产分级管理_第5页
资源描述:

《信息资产分级管理》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、信息资产分级管理1.信息资产分类鉴别达到及维护组织资产的适当保护,宜明确識别所有资产,并制作与维持所有重要资产的清册,与信息处理设施相关的所有信息及资产宜由组织指定拥有者。与信息处理设施相关的信息与资产,其可被接受的使用之规则宜予以識别、文件化及实作。各单位负责信息资产应定期更新与维护信息资产清册,各单位汇总整合,由信息安全小组统一控管确保信息资产列表完整性。信息资产依其性质不同,分为5類:人员、硬件、软件、电子数据、书面文件依序如下:·人员:系指业务主管、承办人员、委外厂商、契约人员等。·硬件:系指网络设备、主机设备、通讯

2、设备、环境设备等相关硬件设施。例如:服务器主机、个人计算机、不断电设备等。·软件:系指自行开发或委外开发之应用系统程序、外购之软件包等。例如:应用系统、操作系统、软件包、工具程序等。·电子数据:系指以电子形式存在之信息数据。例如:网络设定数据、备份文件等。·书面文件:系指以纸本形式存在之文书数据、报表等相关信息。例如:合同、规范、系统文件、用户手册、训练教材等。所有资产经由资产分類,制成「信息资产列表」。2.信息资产价值鉴别信息宜依其对组织的价值、法律要求、敏感性及重要性加以分類,价值鉴别准则依信息资产分類分别针对机密性、可

3、用性、完整性,其评估标准如下:表1人员類评估标准项目价值价值描述机密性3可取存各類数据(含机密、内部限阅、内部使用及公开数据)2可取存内部使用及公开数据1可取存公开類资料可用性3为维系正常运作,在该人员无法持续提供服务时,可容忍替换时间为最短2为维系正常运作,在该人员无法持续提供服务时,可容忍替换时间为适中1为维系正常运作,在该人员无法持续提供服务时,可容忍替换时间为最长表2硬件類评估标准项目价值价值描述可用性3可容许连续中断的时间4个小时以下2可容许连续中断的时间在4个小时以上,8个小时以下1可容许连续中断的时间在8个小时

4、以上表3软件類评估标准项目价值价值描述机密性3其知识产权属或所有权为机关所有,且该软件处理之数据内容或设计规格涉及机关营业秘密2其知识产权属或所有权为机关所有,且该软件处理之数据内容或设计规格,未经书面同意,不得由第三方使用1其软件处理之数据内容或设计规格不具机密性完整性3软件设计规格之不完整,可能造成业务营运之全面性中断或违反法令之遵循2软件设计规格之不完整,可能造成作业上之不便,须改以人工操作1软件设计规格之不完整,并不影响日常作业可用性3可容许连续中断的时间4个小时以下2可容许连续中断的时间在4个小时以上,8个小时以下

5、1可容许连续中断的时间在8个小时以上表4电子数据、书面文件類评估标准项目价值价值描述机密性3除工作职责之所须外,须经拥有者同意后始可使用或阅读2仅签有保密协议之人员或主管机关可以使用1为公开信息,不具机密性完整性3其完整性可能影响法令之遵循,且会对该信息资产有重大影响且可能导致严重的业务中断2其完整性可能影响业务导致效能降低,但不致对业务造成停顿1其完整性对该信息资产的影响极低,且不会对业务运作的效能造成任何影响或影响极低可用性3该数据若未及时取得,可能直接影响营运业务或法令之遵循2该数据若未及时取得,可能导致作业上之不便1

6、该资料并无时效性之问题各资产价值为资产之机密性、完整性及可用性评估值取最大值;如以下式子:资产价值=机密性评估值+完整性评估值+可用性评估值。各资产依资产价值数值分级;详如资产价值等级表表5资产价值等级表類别数值等级描述人员類6高资产价值(3)4~5中资产价值(2)2~3低资产价值(1)硬件類3高资产价值(3)2中资产价值(2)1低资产价值(1)软件類电子数据類书面文件類9高资产价值(3)6~8中资产价值(2)3~5低资产价值(1)3.信息资产标示与处理宜依照组织所采用的分類法,发展与实作一套适当的信息标示与处置程序。资产标

7、示必须明确。资产标示含资产风险等级并以颜色卷标区分。硬件類资产标示依其价值等级并以颜色卷标区分。高资产价值:指该资产价值最高,贴红色卷标。中资产价值:指该资产价值中等,贴黄色标签。低资产价值:指该资产价值最低,不贴卷标。资产在保存过程中,应依适当程序作妥善保存。资产的生命周期包含产生、使用、维护与销毁。在整个生命周期中,每项资产皆由信息科技部领导指派资产管理人。资产管理人必须妥善运用与保存该资产。其他同仁使用资产需经由管理人授权,方可使用该资产。其使用过程需纪录于该资产之使用记录。资产之私密信息由管理人维护,采用仅知原则(N

8、eed-To-Know),授权给其他同仁使用时,以最小量之信息提供给使用人得知。为掌握信息设备状况,对于信息室有价值之信息设备之增置、转移、报废应予确实登录。资产借用应予登记,以控管资产现况。资产于报废时应循相关报废程序进行报废。鉴别风险弱点与威胁脆弱性,亦称弱点。脆弱性是组织信息安全的弱

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。