协同信息资产的分类和评估

文：鼎捷ERP

作者：鼎捷数智 | 发布时间：2012-11-30 14:50:34

4．3．2 自动化风险管理工具
    有时，自动化工具能够识别组成硬件、管理软件及网络组件的系统要素。例如，许多机构使用自动化资产清单系统。这个清单系统通常适用于数据库，或者能够导出到数据库中，作为安全资产的定制信息。存储好清单系统后，就必须使该系统保持较新，通常使用定期更新数据的工具来更新。
    在探讨风险管理的后续步骤时，因为这些步骤涉及损失和成本的计算，使用自动化风险管理工具跟踪信息资产的情形比较多。但在这个过程中，简单的字处理、电子表格和数据库工具能提供足够的记录存储功能。
4．3．3信息资产分类
    一些机构将表4-1所列的类列进一步细分。例如，因特网组件再细分为服务器、网络设备(路由器、集线器、交换机)、保护设备(防火墙、代理服务器)以及电缆。其他种类可以依据机构的需求进一步细分。
    除了这些子类别之外，较好再添加一列，表示数据的敏感性和安全优先等级，以及存储、传输和处理数据的设备。许多机构已经建立了数据分类模式。这种分类的例子有机密数据、内部数据和公共数据。非正规的机构必须组织建立一个便于使用的数据分类模型。数据分类模式的另一个方面是人员安全调查结构，根据每个人需要了解信息的多少，来确定授权给他查看的信息等级。
    不论机构如何识别各种系统组件，通过组件的分类来决定其优先级都是非常重要的，这是十分必要的，因为下一步将根据类别建立的标准给组件指定优先级。分类必须全面、互斥，全面意味着所有的信息资产必须对应各部门的资产清单，互斥意味着一份信息资产应该只对应一个种类。例如，假定机构拥有公钥基础结构认证授权，这是一个提供密钥管理服务的协同软件应用程序。通过一个完全的技术标准，分析人员能够把表4-1中所列的认证授权归类为软件，在软件一类中在归类为应用程序或安全组件。实际上，认证授权应该归类为软件安全组件，因为它是安全基础结构的一部分，必须仔细地保护。为了简化可以归为许多类别的要素的分类，必须建立一组清晰而全面的类别。
4，3．4信息资产评估
    在对机构的每一项资产归类时，应提出一些问题，来确定用于信息资产评估或者影响评估的权重标准。当提出和回答每个问题时，应该准备一个工作表，记录答案，用于以后的分析。在开始清单处理过程之前，机构应确定一些评估信息资产价值的较佳标准。要考虑的标准如下：
    ● 哪一项信息资产对于机构的成功是较关键的?当决定每一项资产的相对重要性时，应参考机构的任务陈述或者目标陈述。根据这些陈述，确定机构的何种要素对于实现机构的目标是必不可的，哪个要素支持目标，哪个要素仅仅是附属的。例如，一家生产飞机引擎的制造公司发现，在装配线上控制机器的过程控制系统是较重要的。尽管传送和接收数据项的控制台对于这些功能而言也很重要，但不如前者重要，它们可以替换，或较容易安排。另外一个例子是像Amazon．com一样的在线机构。刊登产品广告，每天24小时接收订单的网络服务器对于公司的成功是必不可少的，而公司的客户服务部用来给客户回信的桌面系统就不那么重要了。
● 哪一项信息资产创造的收益较多?还可以根据某一项资产来评估机构的收益，从而决定哪一项信息资产是至关重要的。非盈利性机构决定哪一项信息资产对于服务的移交而言是较关键的。在一些机构中，每一项业务或者提供的服务都有不同的管理信息系统。哪个系统在创造收益或者移交服务时扮演较重要的角色?哪一项信息资产的获利较多?机构应该根据某项资产来评估机构获利的多少。例如，在Amazon．com，一些服务器支持销售工作，其他服务器支持拍卖过程，还有一些服务器支持客户查阅数据库。哪些服务器对机构获利的贡献较大?支持客户查阅数据库的服务器非常重要，但是它无法直接获利，至少不如支持销售工作的服务器获利多。注意，一些服务可能会获取很大的利润，但在利润如此微薄的环境里，它们没有什么赢利。非盈利机构可以确定从所评估的信息资产中接受服务的客户的百分比是多少。
● 哪一项信息资产在替换时较昂贵?有时一项信息资产拥有特殊的价值，因为它是惟一的。例如，如果企业仍在使用一台Model-129型穿孔记录机，为一个重要的工序生产特定的穿孔记录卡，这台机器就比它本身更有价值，因为其他部门或者服务提供商都不会再使用它。另一个例子是一种专业设备，因为制造和运输的要求，这种设备在很长时间都处于领先地位。它对于机构而言具有独特的价值。在机构确定了这种独特的价值后，就能设法控制丧失此类惟一资产的风险。机构还可以购买或储备该设备，控制丧失此类资产的风险。
● 哪项信息资产的保护费用较高?在这个问题中，应该思考提供控制的成本。一些资产本身是很难保护的。这个问题的完整答案不能仅在风险识别阶段考虑，因为在采取控制措施之前，控制的成本是无法计算出来的，而采取控制措施是风险识别阶段之后的步骤。但是，在识别阶段，应收集建立控制时遇到的困难信息。
● 哪项信息资产是较麻烦的，或者泄露后麻烦较大?几乎每个机构都非常在意他们在当地、国内及国际上的形象。对于许多机构而言，破坏某些资产对其形象有特别显著的损害，而不仅仅是麻烦。例如，Microsoft的一名员工成为QAZ特洛伊木马的受害者，被盗走了MicrosoftOffice的较新版本，使Microsoft的形象大大受损。
   除了上面所列的，还有其他公司特定的标准在评估过程中增加资产的价值。它们应该进行描述和记录，并加入到这个过程中。要想完成信息资产评估过程，每个机构应该根据各个问题的答案，给每项资产赋予一个权重，这些权重可以使用数字来表示，如表4-2所示。

4．3．5 按照重要性列出资产
完成列出和评估价值的过程后，就可以使用一个简单的过程，来计算每项资产的相对重要性。这个过程称为权重因子分析，如表4-2所示。在这个过程中，每项信息资产都为每个关键因子指定一个分数。在表4-2所示的例子中，这些分数从0．1到1．0，这是NISTSP800-30推荐的值域。NISTSP800-30是国家标准与技术协会发布的一份文件，命名为“信息技术系统的风险管理”。另外，每个关键因子还指定了一个权重，说明各个标准对于机构的重要性。
从表4-2可以看出，通过SSL的客户订单(输入)数据流程，在这个表单中是较重要的资产，其权重是100，EDI文件集2——供应商管理履行协议(输入)是较不重要的，其权重是41。