一、背景
近年来,我国经济社会持续快速发展,信息化的步伐也随着新技术的应用不断加快。信息化在促进经济发展、调整经济结构、改造传统产业和提高人民生活质量等方面发挥了不可替代的重要作用。一方面社会经济对信息化的依赖程度越来越高,另一方面,信息化过程中逐步建设和积累的信息资产却越来越多的受到安全的威胁,加上信息资产的脆弱性,对于病毒破坏、黑客侵扰、系统故障等造成信息资产丢失而造成的经济损失呈逐年增长态势。
如何保护信息资产,使其最大限度地促进组织的健康发展已成为至关重要的课题。ISO/IEC27001:2005《信息安全管理体系要求》标准的发布,提供给我们一套管理组织信息资产、确保信息安全的最佳实践模型。建立信息安全管理体系的目的是最大范围内保护信息资产,以预防信息安全事故,确保组织业务的连续性,使业务风险最小化,投资回报和商业机遇最大化。达到这样的目的是通过实施一组合适的控制目标和措施而达到的,它包括策略、过程、程序、组织结构和软件硬件功能。信息资产作为信息安全管理体系的作用对象,信息资产管理在整个信息安全管理体系的建立、实施和运行中有着重要的地位。
二、什么是资产
ISO/IECTR13335-1:2004中对资产的定义是“对组织具有价值的任何东西”。它能够以多种形式存在,如有形财产(基础设施、硬件、软件、文档等);如无形财产(声誉、友好关系、员工的生产力);如IT服务(如电话传真、网络服务等)。在信息安全管理体系中,要保护、要管理的是信息资产的安全,但信息资产的效能发挥,还要包括信息资产制造、存储、传输、处理、销毁等辅助资产。本文所指资产包括了信息资产:本身和其辅助资产。
三、资产识别
组织在保障信息安全的过程中,首先应清晰地识别其所有资产,这些资产应包括所有为从灾难中恢复而需要的信息。
与信息系统相关的资产有很多类型,在识别资产时,可考虑以下6种资产:
(1)信息资产:数据库和数据文件、合同和协议、系统文件、研究信息、用户手册、培训材料、操作或支持程序、业务连续性计划、后备运行安排、审计记录、归档的信息;
(2)软件资产:应用软件、系统软件、开发工具和实用程序;
(3)物理资产:计算机设备、通信设备、可移动媒体和其他设备:
(4)服务:计算和通信服务、通用公用事业,例如,供暖、照明、能源、空调;
(5)人员及其资格、技能和经验:
(6)无形资产,如组织的声誉和形象。
四、资产评价
所有的资产对一个组织来说都是有用的,但使所有资产都受到有效的保护又是与保护所需成本相矛盾的,在实际运作中也是不必要的。因此,要对资产实施评价,以确保在处理信息时指明保护的需求、优先级和期望程度,资产评价的目的是确保资产受到相应等级的保护。保护级别可通过分析被考虑信息的机密性、完整性、可用性及其他需求进行评估。
在对资产赋予价值时,一方面要考虑资产购买成本,另一方面也要考虑当这种资产的保密性、完整性和可用性受到损害时,对业务运营的负面影响程度。
一般可从如下10个因素考虑资产的价值:
(1)获取或开发该资产所需的成本:
(2)维护和保护该资产所需的成本;
(3)该资产对所有者和用户所具有的价值:
(4)该资产对竞争对手所具有的价值;
(5)知识产权的价值;
(6)其他人愿意为购买该资产所付出的价格;
(7)在损失的情况下替换该资产所付出的资格;
(8)在该资产不可用的情况下损失的运行和工作能力:
(9)该资产贬值时的债务问题:
(10)该资产的用处。
在信息安全管理中,资产赋值比较常用的方式是采用定性分级的方式建立资产的相对价值,以相对价值来作为确定重要资产的依据和为这种资产的保护投入多大资源的依据。
这种定性分级的方式可以参照下列方式.
分级类型 定性分级程度
相对粗略的分级 低、中、高
详细分级 低、中、高、很高、非常高
更详细的分级 (低)1、2、3—10(高)
组织可以制定符合组织自身需要的资产价值评价资产级别,比如:“低、中、高”。价值级别应该与组织选择的价值标准相一致。
五、对资产进行风险评估,实施控制
措施以避免、转移和降低风险至可接受水平
1.威胁识别
威胁是对组织及其资产构成潜在破坏的可能性因素或者事件。无论对于多么安全的资产保护系统,安全威胁是一个客观存在的事物,它是评估资产重要与否的重要因素之一。
评估确定威胁发生的可能性是威胁评估阶段的重要工作,评估者应根据经验和(或)有关的统计数据来判断威胁发生的频率或者发生的概率。其中,威胁发生的可能性受下列因素影响:
(1)资产的吸引力;
(2)资产转化成报酬的容易程度;
(3)威胁的技术力量:
(4)脆弱性被利用的难易程度。
2.脆弱性识别
脆弱性识别可通过脆弱性评估来完成,弱点是资产本身存在的,它可以被威胁利用,引起资产或商业目标的损害。弱点包括物理环境、机构、过程、人员、管理、配置、硬件、软件和信息等各种资产的脆弱性。脆弱性识别将针对每一项需要保护的信息资产,找出每一种威胁所能利用的脆弱性,并对脆弱性的严重程度进行评估,为其赋相对等级值。脆弱性识别所采用的方法土要为:问卷调查、人员问询、工具扫描、手动检查、文档审查、渗透测试等。
3.风险评估
完成威胁发生的频率或者发生的概率和脆弱性赋值后,可通过如下公式计算资产所受到的风险:
R=f(A,V,T)=f(Ia,L(Va,T))
其中R表示风险:A表示资产;V表示脆弱性:T表示威胁;Ia表示资产发生安全事件后对机构业务的影响(也称为资产的重要程度);va表示某一资产本身的脆弱性,L表示威胁利用资产的脆弱性造成安全事件发生的可能性。
4.安全控制措施选择与实施
根据上述评估中识别的风险,应识别适当的安全控制措施来阻止这些风险,这些控制目标及措施可从标准附录A中进行选择,在控制措施的选择上,应从以下几方面考虑:
(1)资产所要求的保障程度;
(2)成本:
(3)实施的容易性;
(4)法律法规的要求:
(5)客户及其他合同要求。
最后根据所选择的控制措施实施风险处理计划, 以完成预先设定的目标,并且评估被选择的控制措施 在多大程度上降低了被识别的风险。
5.风险接受
实施控制措施后应对残余的风险加以分类,可以 是“可接受的”或是“不可接受的”,对那些确定的“不 可接受的”,组织要决定是否应该采取进一步的控制 措施,或是接受残余的风险。
六、资产管理
在信息安全管理体系建立、实施和运行过程中, 资产主要采取以下几种控制方式进行管理:
1.资产清单
在清晰地识别所有资产后,组织应根据资产的重 要性形成文件,资产清单应包括所有为从灾难中恢复 而需要的信息,包括资产类型、格式、位置、备份信息、 许可信息和业务价值。
资产清单可帮助确保有效的资产保护,其他业务 目的也可能需要资产清单,例如健康与安全、保险和 财务原因。编制和维护一份资产清单的过程是风险管 理的一个重要的先决条件。
在维护资产清单的过程中,要充分考虑以下几种 因素:
(1)新的资产的采购和获得;
(2)原有信息资产的级别变更:
(3)资产的时效性;
(4)法律法规及合同方要求的变更。
2.资产责任人
与信息处理设施有关的所有信息及资产应由组 织的指定部门或人员承担责任。
资产责任人应负责:
(1)确保与信息处理设施相关的信息和资产进行 了适当的分类;
(2)确定并周期性评审访问控制和分类,要考虑 到可应用的访问控制策略。
这里的责任人视为控制生产、开发、保持、使用和 保护资产而确定的赞同管理职责的个人或实体,不指 对资产有实际所有权的人员。
3.可接受的资产使用
与信息处理设施有关的信息和资产的可接受的使用规则应被识别、形成文件并加以实施。
所有员工、订约人和第三方用户应遵循信息处理设施相关信息和资产的可接受的使用规则,包括:
(1)电子邮件和互联网使用(见10.8)规则;
(2)移动设备,尤其是在组织外部使用设备(见11.7:1)的使用指南:
具体规则或指南应由相关管理层提供。使用或拥有访问组织资产权利的员工、订约人和第三方用户应意识到他们使用信息处理设施相关的信息和资产以及资源时的限制条件。他们应对信息处理资源的使用及在他们职责下进行的使用负责。
4.分类指南
信息应按照它对组织的价值、法律要求、敏感性和关键性予以分类。
信息的分类及相关保护控制要考虑到共享或限制信息的业务需求以及与这种需求相关的业务影响。 分类指南应包括根据预先确定的访问控制策略进行初始分类和一段时间后进行重新分类的惯例。
5.信息的标记和处理
应按照组织所采纳的分类机制建立和实施一组合适的信息标记和处理程序。
信息标记的程序需要涌盖物理和电子格式的信息资产。
系统的输出包含的分类为敏感的或重要的信息应在该输出中携带合适的分类标记。该标记要根据分类指南中所建立的规则反映出分类。待考虑的项目包括打印报告、屏幕显示、记录媒体(例如磁带、磁盘、CD)、电子报文和文件传送。
对每种分类级别,要定义包括安全处理、储存、传输、删除、销毁的处理程序。还要包括任何安全相关事件的监督和记录以及保管链的程序。
涉及信息共享的与其他组织的协议应包括识别信息分类和解释其他组织分类标记的程序。
