信息安全
资产管理:责任划分
编制资产清单:
- 识别所有资产
- 对资产的所有权、信息进行分类,并形成文件
- 资产清单内容:资产类型、格式、位置、备份信息、许可信息、业务价值
明确资产所有权:
- 与信息处理有关的所有信息资产都应当由指定的部门
资产的使用
- 应当明确信息资产的使用规划,并形成文件,加以实施
风险因素评估:信息资产评估
根据客户的行业特点、应用特性的安全目标,信息资产的赋值形式:
- 形式一:为机密性、完整性、可用性分别赋予不同的价值等级
- 形式二:依据机密性、完整性、可用性赋予等级,经过综合评定得出资产价值
- 形式三:用相对信息价值的货币来衡量
资产的机密性赋值参考
- 3 高
- 2 中等
- 1 低
- 0 可忽略
资产的重要性等级划分参考
- 4 高 严重损失
- 3 中 中等程度损失
- 2 低
- 1 很低
信息资产价值的货币化表示
威胁分析
- 潜在威胁分析
- 威胁审计和入侵检测
- 安全威胁综合分析
威胁来源于识别
外在
环境因素
- 自然环境
- 物流环境
- 人文环境
人为因素- 无恶意内部人员
- 有恶意内部人员
- 第三方
- 外部人员
内在
- 任务确定
- 系统设计
威胁发生的可能性
- 应根据经验和有关统计数据判断威胁发生的频率或概率
- 影响威胁发生可能性的因素:
- 资产的吸引力
- 组织的知名度
- 资产转换成利益的容易程度
- 威胁的技术力量
- 脆弱性被利用的难易程度
- 有关统计信息获取的取到包括
- 依赖历史纪录或安全事件报告
- 通过各种设备,获取威胁发生的数据统计和分析结果
- 各种日志中威胁发生的数据统计和分析结果
- 近年来权威机构发布的报告
威胁产生的影响
- 对威胁发生概率和产生影响的评估结论是识别和确定每种威胁发生风险的等级
- 先确定没有控制措施条件下威胁所产生的影响,建立基本风险基线
- 考虑已有控制措施对威胁可能产生的阻碍作用,确定风险级别
脆弱性分类
技术脆弱性:物理安全、网络安全、系统安全、应用安全
管理脆弱性:安全管理