信息资产分类标准.docVIP

陕西广电网络传媒股份有限公司 信息资产分类标准 文档信息 机密级分类 版版本控制 版本 日期 人员 更新说明 V1.0 2010-10-27 文文档审核 审核人 职务 审核日期 文文档批准 批准人 职务 批准日期 复分发控制 部门 人员 文档权限 复复查计划 复查时间 复查人员 复查结果 目标 在企业资产中，IT资产是非常重要组成部分，随着企业经营越来越依赖信息化，IT资产的管理也变得越来越重要。同时IT资产的特点又是复杂多变的，只有运用科学的分类方法，才能实现IT资产的良好管理。因此对陕西广电 IT资产进行等级分类，是资产管理的前提条件。其目标主要体现在以下几个方面： 通过对陕西广电资产IT资产 对陕西广电IT资产 IT资产等级分类也是整个评估工作的前提，是安全评估的基础和重要依据，也为之后的资产管理标准制定提供了良好的基础。因此本文档可以帮助陕西广电实现IT资产等级分类标准化。 概述 IT资产是企业、机构直接赋予了价值因而需要保护的东西。它可能是以多种形式存在，有无形的、有有形的，有硬件、有软件，有文档、代码，也有服务、企业形象等。它们分别具有不同的价值属性和存在特点，其存在的弱点、面临的威胁、需要进行的保护和安全控制都各不相同。为此，有必要对企业、机构中的IT资产进行科学分类，让企业清晰的了解需要重点保护的IT资产，并为后期的基础设备、应用风险评估，进而为解决方案的设计提供依据。 IT资产分类范围 根据本标准的分类对象，包括IT和运营支撑中心所有信息系统、信息资产、软件资产、实体资产、书面文件和服务。 IT资产分类步骤 根据陕西广电ISO27001：2005关于资产的分类描述，参考最佳实践，并结合陕西广电ISO27001：2005关于对资产识别和安全属性的定义，通过对陕西广电的实际调研，综合各方面因素，对陕西广电 IT资产进行识别和安全属性赋值。 IT资产等级分类：通过IT资产安全属性值，计算出IT资产等级级别，并按等级进行归类。 IT资产等级分类标准 IT资产的分类 ISO27001资产分类 ISO27001对资产分类： 信息资产：数据库数据文件、系统文档、用户手册、培训材料、操作或支持步骤、连续性计划、回退计划、归档等信息； 软件资产：应用程序软件、系统软件、开发工具以及实用程序； 实体资产：计算机设备（处理器、监视器、膝上型电脑、调制解调器）、通讯设备（路由器、PABX、传真机、应答机）、磁介质（磁带和磁盘）、其它技术设备（电源 、空调器）、机房； 书面文件：包含系统文件、使用手册、各种程序及指引办法、合约书等。 服务：计算和通讯服务、常用设备，如加热器、照明设备、电源、空调。 在ISO27001资产分类中包含范围非常广泛，考虑到本标准面对的对象，因此此次分类范围中，将对所有IT资产进行归类。 陕西广电 IT资产分类方法 以ISO27001资产分类方法为基础，结合陕西广电 信息系统表 在IT资产分类中，参考最佳实践，首先需要统计陕西广电 网络、安全设备（网络、安全设备，包括硬件、IOS、配置文件、主要功能，IP地址等属性）。 数据库（数据库名称、类型、版本、业务系统、用途等属性）。 类别 简称 解释/示例 主机资产 Host 一般为一台主机，包括本台主机中的硬件，OS，操作系统、应用名称、IP地址等。 网络、安全设备 Network 一般为一台网络设备，包括本台网络设备中的硬件，IOS，配置文件数据。包括路由器、交换机、硬件防火墙，RAS等 数据库 Database 一般为一个数据库，包括数据库软件，版本、业务系统、用途等 IT电子文档资产表 IT电子文档资产包含IT运营和支撑中心内部类、中心各部门类三大类，每大类会分为不同的子类。按照这种方法对陕西广电的电子文档进行梳理，有利于以后安全管理的培训及宣导。 IT资产安全属性赋值 在ISO27001体系中，安全的三个特性（机密性C、完整性I、可用性A）是其核心思想，在IT资产等级定义中也是围绕着这三个方面展开的，因此对IT资产机密性、完整性和可用性的赋值也是评价IT资产等级依据。对IT资产进行安全属性赋值的目的就是为了更好地反映资产的业务价值，并区分出各资产的价值等级，为风险评估提供量化基础。 机密性、完整性和可用性的定义如下： 必威体育官网网址性（C）：确保只有经过授权的人才能访问信息； 完整性（I）：保护信息和信息的处理方法准确而完整； 可用性（A）：确保经过授权的用户在需要