信息安全管理體系 第三講 信息資產(chǎn)的分類與控制

linkboy

第三講   信息資產(chǎn)的分類與控制




一、前言



根據(jù)《光明日報》2004年2月9日的統(tǒng)計數(shù)字，國內(nèi)2003年電子政務信息安全市場規(guī)模超過5億元，金融信息化安全市場規(guī)模約有4.5億元，電信行業(yè)信息安全市場規(guī)模不低于10億元，石化、電力、交通運輸、制造、教育、衛(wèi)生等行業(yè)和個人市場的安全市場規(guī)模約有近10億元。從2003年的總共將近30億元市場情況看，防火墻、防病毒、入侵檢測系統(tǒng)、虛擬專用網(wǎng)設備等占了整個安全產(chǎn)品市值的絕大部分，企業(yè)花費在信息安全管理、咨詢、安全意識、培訓、教育方面的費用微乎其微。
從統(tǒng)計數(shù)據(jù)我們可以分析出，目前在用戶中普遍比較流行的信息資產(chǎn)保護觀點是：通過部署防病毒軟件、防火墻及入侵檢測系統(tǒng)等邊界保護與檢測設備來保護儲存在計算機中的數(shù)據(jù)資產(chǎn)免受非法入侵�！　�
然而信息資產(chǎn)真的只是儲存在計算機中的數(shù)據(jù)嗎？
英國泰晤士報曾對企業(yè)中知識的儲存方式做了一個調(diào)查，結果發(fā)現(xiàn)在一個企業(yè)的知識結構中，26%的知識以紙質(zhì)文件的形式儲存，20%的知識以電子文件存儲，42%的知識儲存在員工的頭腦中，12%以其他形式存在。
Ernst &Young在2002年經(jīng)過調(diào)查發(fā)現(xiàn)：國家政府和軍隊信息受到的攻擊70%來自外部，而銀行和企業(yè)信息受到的攻擊70%來自于內(nèi)部。中國國家信息安全測評認證中心提供的調(diào)查結果也得出了相似的結論。
這就是說我們花了絕大部分的錢，保護了只占信息資產(chǎn)20%的數(shù)據(jù)資產(chǎn)！而且我們的技術手段還談不上100%地有效保護這20%的數(shù)據(jù)資產(chǎn)。
也許，我們應該重新定義一下什么是信息資產(chǎn)了。

[ 本帖最后由 linkboy 于 2008-1-26 12:39 編輯 ]

linkboy

二、什么是信息資產(chǎn)？



信息可以理解為消息、情報、數(shù)據(jù)或知識，它可以以多種形式存在，可以是組織中信息設施中存儲與處理的數(shù)據(jù)、程序，可以是打印出來的或寫出來的論文、電子郵件、設計圖紙、業(yè)務方案，也可以顯示在膠片上或表達在會話中消息。所有的組織都有他們各自處理信息的形式，例如，銀行、保險和信用卡公司都需要處理消費者信息，衛(wèi)生保健部門需要管理病人信息，政府管理部門存儲機密的和分類信息。
無論組織對這些信息采用什么樣的共享、處理和存儲方式，都需要對敏感信息加以安全、妥善的保護，不僅要保證信息處理和傳輸過程是可靠的、有效的，而且要求重要的敏感信息是機密的、完整的和真實的。為達到這樣的目標，組織必須采取一系列適當?shù)男畔�安全控制措施才可以使信息避免一系列威脅，保障業(yè)務的連續(xù)性，最大限度地減少業(yè)務的損失，最大限度地獲取投資回報。
在ISO17799中，對信息的定義更確切、具體：“信息是一種資產(chǎn)，像其他重要的業(yè)務資產(chǎn)一樣，對組織具有價值，因此需要妥善保護”。
我們習慣于把計算機、通訊設備、磁介質(zhì)等看成信息資產(chǎn)，而不習慣于把對組織有重要價值的檔案資料、人員、企業(yè)形象、服務等看作是資產(chǎn)，往往忽略了對這些資產(chǎn)的保護，而實際上這些資產(chǎn)對組織的業(yè)務持續(xù)性來說是至關重要的。


ISO17799列出了常見信息資產(chǎn)有：



●
數(shù)據(jù)與文檔：數(shù)據(jù)庫和數(shù)據(jù)文件、系統(tǒng)文件、用戶手冊、培訓材料、運行與支持程序、業(yè)務持續(xù)性計劃、應急安排



●
書面文件：合同、指南、企業(yè)文件、包含重要業(yè)務結果的文件。



●
軟件資產(chǎn)：應用軟件、系統(tǒng)軟件、開發(fā)工具和實用程序



●
物理資產(chǎn)：計算機、通訊設備、磁介質(zhì)（磁盤與磁帶），其他技術設備（供電設備、空調(diào)設備）、家具、辦公場所



●
人員：員工、客戶



●
企業(yè)形象與聲譽



●
服務：計算和通訊服務，其他技術服務（供熱、照明、電力、空調(diào)）


組織在實施ISO17799時，不一定要拘泥于以上資產(chǎn)類型，還可以列出適合自身需要的其他信息資產(chǎn)。


下面我們結合ISO17799在這個領域的措施目標與措施，來詳細討論如何識別信息資產(chǎn)，并進行科學而有效的分類，然后在各個管理層對資產(chǎn)落實責任，進行恰當?shù)墓芾怼?/td>

linkboy

三、控制目標與控制措施






1、控制目標－落實資產(chǎn)責任










目標：為組織的資產(chǎn)提供適當?shù)谋Ｗo。


應當為所有主要財產(chǎn)確定所有權人，并且為維護適當?shù)墓芾泶胧┒�分配責任�？梢晕�派�?zhí)行這些管理計劃的責任。被提名的資產(chǎn)所有者應當承擔保護資產(chǎn)的責任。


















l
控制措施－資產(chǎn)的清單



應該列出并維持一份與每個信息系統(tǒng)有關的所有重要資產(chǎn)的清單。
















在信息安全體系范圍內(nèi)為資產(chǎn)編制清單是一項重要工作，每項資產(chǎn)都應該清晰地定義，合理地估價，在組織中明確資產(chǎn)所有權關系，進行安全分類，并以文件方式詳細記錄在案。








　具體的措施如下：



²
組織可根據(jù)業(yè)務運作流程和信息系統(tǒng)基礎架構識別出信息資產(chǎn)，按照信息資產(chǎn)所屬系統(tǒng)或所在部門列出資產(chǎn)清單，將每項資產(chǎn)的名稱、所處位置、價值、資產(chǎn)負責人等相關信息記錄在資產(chǎn)清單上。



²
根據(jù)資產(chǎn)的相對價值大小來確定關鍵信息資產(chǎn)，并對其進行風險評估以確定適當?shù)目刂拼胧��?br />


²
對每一項信息資產(chǎn)，組織的管理者應指定專人負責其使用和保護，防止資產(chǎn)被盜、丟失與濫用。



²
定期對信息資產(chǎn)進行清查盤點，確保資產(chǎn)賬物相符和完好無損








以上措施中，確定資產(chǎn)的價值是難點，信息資產(chǎn)的價值不僅僅要考慮其自身的價值，還要考慮其對業(yè)務的重要性和一定條件下的潛在價值。比如：以同樣價格的購買了二臺同樣配置的服務器，一臺用于辦公自動化，另一臺用于處理財務總帳數(shù)據(jù)，這二臺服務器的賬面價值雖然一樣，但作為信息資產(chǎn)進行評估時，其信息資產(chǎn)價值是不一樣的，用于財務處理的服務器的相對價值一般要大于辦公自動化服務器的相對價值。



資產(chǎn)價值常常是以安全事件發(fā)生時所產(chǎn)生的潛在業(yè)務影響來衡量，安全事件會導致資產(chǎn)機密性、完整性和可用性的損失，從而導致企業(yè)資金、市場份額、企業(yè)形象的損失。為了資產(chǎn)評估的一致性與準確性，組織應當建立一個資產(chǎn)的價值評估標準，對每一種資產(chǎn)和每一種可能的損失，例如機密性、完整性和可用性的損失，都可以賦予一個價值。



但采用精確的方式給資產(chǎn)賦值是較困難的一件事，一般采用定性的方式，按照事前建立的資產(chǎn)的價值評估標準將資產(chǎn)的價值劃分為不同等級。



經(jīng)過資產(chǎn)的識別與估價后，組織應根據(jù)資產(chǎn)價值大小，進一步確定要保護的關鍵資產(chǎn)。



在評估過程，為了保證沒有資產(chǎn)被忽略和遺漏，應該先確定信息安全管理體系范圍，這樣資產(chǎn)的評審邊界就建立起來了。評估資產(chǎn)最簡單的方式就是列出組織業(yè)務過程中、安全管理體系范圍內(nèi)所有具有價值的資產(chǎn)，然后對資產(chǎn)賦予一定的價值，這種價值應該反映資產(chǎn)對組織業(yè)務運營的重要性，并以對業(yè)務的潛在影響程度表現(xiàn)出來。例如，資產(chǎn)價值越大，由于泄露、修改、損害、不可用等安全事件對組織業(yè)務的潛在影響就越大�；�于組織業(yè)務需要的資產(chǎn)的識別與估價，是建立信息安全體系，確定風險的重要一步。



資產(chǎn)的價值應當由資產(chǎn)的所有者和相關用戶來確定，只有他們才最清楚資產(chǎn)對組織業(yè)務的重要性，才能較準確地評估出資產(chǎn)的實際價值。



在對資產(chǎn)賦予價值時，一方面要考慮資產(chǎn)購買成本及維護成本，另一方面也要考慮當這種資產(chǎn)的機密性、完整性、可用性受到損害時，對業(yè)務運營的負面影響程度。在信息安全管理中，并不是直接采用資產(chǎn)的賬面價值，比較實用的做法是以定性分級的方式建立資產(chǎn)的相對價值，以相對價值來作為確定重要資產(chǎn)的依據(jù)和為這種資產(chǎn)的保護投入多大資源的依據(jù)。



這種定性分級可以參照下表所示的方式：






資產(chǎn)定性分級表


  

分級類型


     

定性分級程度


   
  

相對較粗的分級


     

低、中、高


   
  

詳細分級


     

可忽略、低、中、高、非常高


   
  

更詳細的分級


     

（低）0、1、2、……、10（高）

linkboy

2、控制目標－信息的分類





目標：確保信息資產(chǎn)得到適當程度的保護
應當將信息分類，指出其安全保護的具體要求、優(yōu)先級和保護程度。
不同信息有不同的敏感性和重要性。有的信息資產(chǎn)可能需要額外保護或者特殊處理。
應當采用信息分類系統(tǒng)來定義適當?shù)陌踩�保護等級范圍，并傳達特殊處理措施的需要。





l
控制措施－信息資產(chǎn)分類原則



　信息的分類及相關的保護控制，應適合于企業(yè)運營對于信息分享或限制的需要，以及這些需要對企業(yè)營運所帶來的影響。




　信息的分類和相關保護措施應當綜合考慮到信息共享和信息限制的業(yè)務需要，還要考慮對業(yè)務的影響，例如對信息未經(jīng)授權的訪問或者對信息的破壞。一般說來，信息分類是一種處理和保護該信息的簡捷方法。



信息分類時要注意以下幾點：



²
信息的分類等級要合理



信息和處理分類數(shù)據(jù)的系統(tǒng)輸出應當按照其對于組織的價值和敏感性加以標識。應當仔細考慮分類范疇的數(shù)量以及使用這種分類所帶來的好處。過于復雜的分類規(guī)劃可能很累贅，而且使用和執(zhí)行起來也不經(jīng)濟實用。解釋其它組織發(fā)送過來的文件上的標簽時應當十分小心，相同或者相似的標簽名稱可能具有不同的含義。



²
信息的保密期限



經(jīng)過一段時間以后，信息常常會變得不再敏感或者不再重要了，例如在敏感信息被公開發(fā)布以后，原來的分類就沒有意義了。如果把安全保護的分類劃定得過高就會導致不必要的業(yè)務開支。對于任何信息的分類都不一定自始至終固定不變，可能按照一些預定的策略發(fā)生改變。組織制定信息分類指南時應當考慮到這些情況。



²
誰對信息的分類負責



信息的始發(fā)人或指定的所有權人應當承擔確定信息類別的責任，例如對一份文件、數(shù)據(jù)記錄、數(shù)據(jù)文件或者磁盤進行分類的責任，以及定期檢查這些分類的責任。



比如：《中國人民共和國保守國家秘密法》第九條對國家秘密是這樣劃分的等級的，國家秘密的密級分為“絕密”、“機密”、“秘密”三級。“絕密”是最重要的國家機密，泄露會使國家的安全和利益遭受特別嚴重的損害；“機密”是重要的國家秘密，泄露會使國家的安全和利益遭受嚴重的損害；“秘密”是一般的國家秘密，泄露會使國家的安全和利益遭受損害。






l
控制措施－信息的標識與處理







應當制定信息標識及處理的程序，以符合組織所采行的分類法則。

為信息標識和處理定義一個符合組織分類標準的處理程序是非常重要的。這些程序要涵蓋實物形式和電子形式的信息。對于每種分類，應當包含以下信息處理活動的程序：
²
復制
²
存儲
²
通過郵局、傳真和電子郵件的信息發(fā)送
²
通過口頭語言的信息傳遞，包括通過移動電話、語音郵件和錄音電話傳送的信息。
²
銷毀
對于那些含有被劃定為敏感或者重要信息的應用系統(tǒng)，其輸出應當帶有適當?shù)姆诸悩俗R。該標識應當反映根據(jù)組織規(guī)則而建立的分類。需要考慮的項目包括打印的報告、屏幕顯示、存儲介質(zhì)（磁帶、磁盤、CD、卡式盒帶）、電子消息和文檔傳輸。
一般來說，物理標識是最合適的標識形式，一些信息資產(chǎn)例如電子文檔無法加上物理標識時，可以采用電子標識。

linkboy

四、案例



下面是一個簡化的信息敏感性分類策略的案例，供讀者參考：




ABC科技股份有限公司



信息敏感性分類策略





1.0　目標
　　制定信息敏感性分類政策是為了幫助員工判斷什么樣的信息的可以向非組織成員開放，什么樣的信息屬于敏感信息，未經(jīng)適當授權不得向外界透露。這里所提到的信息是指通過任何方式存儲與共享的信息，包括：電子信息、紙質(zhì)信息和以聲音或視頻方式共享的信息（如：電話、視頻會議）等。
　　所有員工都應當熟悉本政策規(guī)定的敏感信息分類標簽辦法和敏感信息管理指南。員工可以根據(jù)分類定義標準和管理指南來保護信息，另一方面也可以采用通用最佳實踐的辦法來保護公司的機密信息。（例如，員工不應該把ABC公司的機密信息遺留在無人值守的會議室里）

2.0　范圍
ABC公司的所有信息可以分成兩種類型：公開信息與機密信息。
公開信息是由公司內(nèi)的授權人員宣布可公開的信息，這些可公開的信息不會對公司的信息安全造成損害。
　　機密信息是指公司內(nèi)部所有不可公開的信息，這些信息屬于敏感信息，需要以安全的方式加以保護。有些敏感信息需要非常仔細地加以保護，例如：商業(yè)機密，研發(fā)程序，潛在收購對象以及其他對ABC公司具有重要商業(yè)價值的數(shù)據(jù)。有些敏感信息比如電話號碼薄，公司一般性信息，人事情況等，只需采用一般的保護措施，不需要像前一種數(shù)據(jù)那樣嚴格。


3.0
策略
　　下面的管理指南介紹如何在不同的敏感級別下保護公司信息（硬拷貝形式及電子格式的信息標簽指南）。這些指南僅作為一個參考，在不同的環(huán)境條件下，每一種敏感級別下推薦的信息保護辦法可能或多或少地會有一些變化。

3.1 最小敏感性信息：公司的一般信息、一部分不重要的人事與技術信息。


　　在對信息資產(chǎn)做標注時，應在顯著位置寫上“ABC機密”。如果信息不作標注，那么這種信息將被默認為
“ABC機密”，除非由公司授權人員明確地宣布為公開信息。



最小敏感性信息分類及管理策略如下：（略）

3.2 比較敏感的信息：公司的業(yè)務、財務、技術信息、大部分人事信息。

由于敏感程度增加了，在對信息資產(chǎn)做標注時，應在顯著位置寫上“ABC機密－內(nèi)部使用”。　
比較敏感性信息分類及管理策略如下：（略）

3.3 非常敏感的信息：影響公司成功的核心商業(yè)機密、運營信息、人事信息、財務信息、技術信息、源代碼等。



對于這類非常敏感的信息，在對信息資產(chǎn)做標注時，應在顯著位置寫上“ABC機密－限制使用”。


非常敏感信息分類及管理策略如下：（略）

4.0　執(zhí)行紀律
　　對有意或無意地暴露公司信息，對違反此政策的任何員工將要按公司懲戒程序進行處罰，甚至開除，情節(jié)嚴重者還將面臨民事或刑事訴訟。


linkboy2007@yahoo.com.cn  歡迎討論

[ 本帖最后由 linkboy 于 2008-1-26 13:00 編輯 ]