您好,登錄后才能下訂單哦!
一、 目的
為降低或規(guī)避公司重要資產(chǎn)因遺失、損壞、篡改、外泄等事件帶來(lái)的潛在風(fēng)險(xiǎn),這些風(fēng)險(xiǎn)將對(duì)公司的信譽(yù)、經(jīng)營(yíng)活動(dòng)、經(jīng)濟(jì)利益等造成較大或重大損失,需要規(guī)范信息資產(chǎn)分類定義與各項(xiàng)信息機(jī)密等級(jí)之準(zhǔn)則,并規(guī)范各類信息資產(chǎn)之對(duì)應(yīng)的災(zāi)備要求。
二、 信息資產(chǎn)分類指導(dǎo)原則
1. 應(yīng)對(duì)現(xiàn)有資產(chǎn)按不同存在形態(tài)和性質(zhì)進(jìn)行分類、依各種資產(chǎn)自身特性采取相應(yīng)管控措施;
2. 應(yīng)對(duì)同一形態(tài)的資產(chǎn)類別依重要程度及價(jià)值分類,依重要層級(jí)采取相應(yīng)保護(hù)措施;
3. 每項(xiàng)資產(chǎn)應(yīng)明確資產(chǎn)管理負(fù)責(zé)人或所有人、安全級(jí)別、技術(shù)文檔、所處位置等;
4. 應(yīng)定期進(jìn)行資產(chǎn)盤點(diǎn)工作,定期檢視資產(chǎn)分級(jí)分類的合理性,并防止資產(chǎn)流失。
三、 參考文件
為確保與公司所定義的標(biāo)準(zhǔn)保持一致性,信息資產(chǎn)分類及資產(chǎn)價(jià)值的鑒別-- 參【略 】
四、 信息資產(chǎn)分類
公司信息資產(chǎn)是指一切關(guān)系公司安全和利益,在保護(hù)期限內(nèi)只限一定范圍的人員知悉、操作、維護(hù)的事物、文檔、項(xiàng)目、數(shù)據(jù)等資源。
信息資產(chǎn)依指導(dǎo)原則,分為以下六類:
資產(chǎn)分類 |
代號(hào) |
示例 |
文檔和數(shù)據(jù) |
D |
1
)保存在信息媒介上的各種數(shù)據(jù)資料,包括源代碼、數(shù)據(jù)庫(kù)數(shù)據(jù)、系統(tǒng)文檔、運(yùn)行管理規(guī)程、計(jì)劃、報(bào)告、用戶手冊(cè)等
(
項(xiàng)目開發(fā)過(guò)程中產(chǎn)生的過(guò)程文檔
)
|
軟件和系統(tǒng) |
R |
系統(tǒng)軟件:操作系統(tǒng)、語(yǔ)言包、工具軟件、各種庫(kù)等
|
硬件和設(shè)施 |
H |
網(wǎng)絡(luò)設(shè)備:路由器、網(wǎng)關(guān)、交換機(jī)等
|
服務(wù) |
S |
辦公服務(wù):為提高效率而開發(fā)的管理信息系統(tǒng)(
MIS
),包括各種內(nèi)部配置管理、文件流轉(zhuǎn)管理等服務(wù)
|
人員 |
P |
掌握重要信息和核心業(yè)務(wù)的人員,如主機(jī)維護(hù)主管、網(wǎng)絡(luò)維護(hù)主管等 |
其他 |
O |
|
五、 信息資產(chǎn)價(jià)值的鑒別
5.1 機(jī)密性賦值
根據(jù)資產(chǎn)在機(jī)密性上的不同要求,將其分為五個(gè)不同的等級(jí),分別對(duì)應(yīng)資產(chǎn)在機(jī)密性上應(yīng)達(dá)成的不同程度或者機(jī)密性缺失時(shí)對(duì)整個(gè)組織的影響,見下表:
賦值 |
標(biāo)識(shí) |
定義 |
5 |
很高 |
包含組織最重要的秘密,關(guān)系未來(lái)發(fā)展的前途命運(yùn),對(duì)組織根本利益有著決定性的影響,如果泄露會(huì)造成災(zāi)難性的損害。 |
4 |
高 |
包含組織的重要秘密,其泄露會(huì)使組織的安全和利益遭受嚴(yán)重?fù)p害。 |
3 |
中等 |
組織的一般性秘密,其泄露會(huì)使組織的安全和利益受到損害。 |
2 |
低 |
僅能在組織內(nèi)部或在組織某一部門內(nèi)部公開的信息,向外擴(kuò)散有可能對(duì)組織的利益造成輕微損害。 |
1 |
很低 |
可對(duì)社會(huì)公開的信息,公用的信息處理設(shè)備和系統(tǒng)資源等。 |
5.2 完整性賦值
根據(jù)資產(chǎn)在完整性上的不同要求,將其分為五個(gè)不同的等級(jí),分別對(duì)應(yīng)資產(chǎn)在完整性上缺失時(shí)對(duì)整個(gè)組織的影響,見下表:
賦值 |
標(biāo)識(shí) |
定義 |
5 |
很高 |
完整性價(jià)值非常關(guān)鍵,未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)組織造成重大的或無(wú)法接受的影響,對(duì)業(yè)務(wù)沖擊重大,并可能造成嚴(yán)重的業(yè)務(wù)中斷,難以彌補(bǔ)。 |
4 |
高 |
完整性價(jià)值較高,未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)組織造成重大影響,對(duì)業(yè)務(wù)沖擊嚴(yán)重,較難彌補(bǔ)。 |
3 |
中等 |
完整性價(jià)值中等,未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)組織造成影響,對(duì)業(yè)務(wù)沖擊明顯,但可以彌補(bǔ)。 |
2 |
低 |
完整性價(jià)值較低,未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)組織造成輕微影響,對(duì)業(yè)務(wù)沖擊輕微,容易彌補(bǔ)。 |
1 |
很低 |
完整性價(jià)值非常低,未經(jīng)授權(quán)的修改或破壞對(duì)組織造成的影響可以忽略,對(duì)業(yè)務(wù)沖擊可以忽略。 |
5.3 可用性賦值
根據(jù)資產(chǎn)在可用性上的不同要求,將其分為五個(gè)不同的等級(jí),分別對(duì)應(yīng)資產(chǎn)在可用性上的達(dá)成的不同程度,見下表:
賦值 |
標(biāo)識(shí) |
定義 |
5 |
很高 |
可用性價(jià)值非常高,合法使用者對(duì)信息及信息系統(tǒng)的可用度達(dá)到年度 99.9% 以上,或系統(tǒng)不允許中斷。 |
4 |
高 |
可用性價(jià)值較高,合法使用者對(duì)信息及信息系統(tǒng)的可用度達(dá)到每天 90% 以上,或系統(tǒng)允許中斷時(shí)間小于 10 分鐘。 |
3 |
中等 |
可用性價(jià)值中等,合法使用者對(duì)信息及信息系統(tǒng)的可用度在正常工作時(shí)間達(dá)到 70% 以上,或系統(tǒng)允許中斷時(shí)間小于 30 分鐘。 |
2 |
低 |
可用性價(jià)值較低,合法使用者對(duì)信息及信息系統(tǒng)的可用度在正常工作時(shí)間達(dá)到 25% 以上,或系統(tǒng)允許中斷時(shí)間小于 60 分鐘。 |
1 |
很低 |
可用性價(jià)值可以忽略,合法使用者對(duì)信息及信息系統(tǒng)的可用度在正常工作時(shí)間低于 25% 。 |
5.4 判定重要資 產(chǎn)
資產(chǎn)重要性(價(jià)值)應(yīng)依據(jù)資產(chǎn)在機(jī)密性、完整性和可用性上的賦值等級(jí),經(jīng)過(guò)綜合評(píng)定得出,本公司資產(chǎn)重要性評(píng)價(jià)計(jì)算模型如下:
等級(jí) |
標(biāo)識(shí) |
描述 |
5 |
很高 |
非常重要,其安全屬性破壞后可能對(duì)組織造成非常嚴(yán)重的損失。 |
4 |
高 |
重要,其安全屬性破壞后可能對(duì)組織造成比較嚴(yán)重的損失。 |
3 |
中 |
比較重要,其安全屬性破壞后可能對(duì)組織造成中等程度的損失。 |
2 |
低 |
不太重要,其安全屬性破壞后可能對(duì)組織造成較低的損失。 |
1 |
很低 |
不重要,其安全屬性破壞后對(duì)組織造成很小的損失,甚至忽略不計(jì)。 |
六、 資產(chǎn)重要性與災(zāi)備要求
6-1 服務(wù)器( 含虛擬機(jī))
A. 等級(jí)為高及很高的服務(wù)器,應(yīng)確保雙電源接入且網(wǎng)絡(luò)具有冗余機(jī)制(如兩張網(wǎng)卡組成橋接)
B. 等級(jí)為高及很高的服務(wù)器,OS 應(yīng)具有冗余機(jī)制,如RAID1
C. 應(yīng)統(tǒng)一納入AD 管理及防毒體系
D. 應(yīng)建立性能監(jiān)控機(jī)制,提前預(yù)警通報(bào)
E. 定期更新補(bǔ)丁,緊急補(bǔ)丁與產(chǎn)線協(xié)調(diào)可安裝的時(shí)間
等級(jí) |
標(biāo)識(shí) |
雙電源 |
雙網(wǎng)絡(luò) |
OS-RAID |
AD 管理 |
防毒 |
性能監(jiān)控 |
補(bǔ)丁更新 |
●標(biāo)配 ○選配 ☆不要求 | ||||||||
5 |
很高 |
● |
● |
RAID1 |
● |
● |
● |
與 MP 協(xié)調(diào) |
4 |
高 |
● |
● |
RAID1 |
● |
● |
● |
與 MP 協(xié)調(diào) |
3 |
中 |
○ |
○ |
RAID5 |
● |
● |
○ |
與 MP 協(xié)調(diào) |
2 |
低 |
○ |
○ |
☆ |
● |
● |
○ |
周末 |
1 |
很低 |
☆ |
☆ |
☆ |
● |
● |
☆ |
周末 |
6-2 DB&WEB& 源代碼
A. 等級(jí)為高及很高的DB&WEB 服務(wù)器,應(yīng)建立Cluster 機(jī)制
B. 建立完善的備份機(jī)制,至少應(yīng)包括本機(jī)備份,集中備份及離線備份三種模式
C. 應(yīng)視數(shù)據(jù)量的大小、備份所耗時(shí)間及負(fù)載情況,定義采用備份的方式,如完整備份,增量備份或差異備份
D. 應(yīng)視重要程度,規(guī)范數(shù)據(jù)損失的時(shí)間并做相應(yīng)的配置
E. 應(yīng)建立DB&WEB 運(yùn)作的監(jiān)控機(jī)制
F. 應(yīng)對(duì)備份數(shù)據(jù)進(jìn)行權(quán)限保護(hù),并定期對(duì)備份進(jìn)行恢復(fù)測(cè)試,以確保數(shù)據(jù)的完整性和可用性
等級(jí) |
標(biāo)識(shí) |
Cluster |
數(shù)據(jù)損失 (本機(jī)日志) |
Backup (本機(jī)各一份) |
Backup center |
Backup | ||
Daily |
Weekly |
Monthly |
Daily |
offline | ||||
●標(biāo)配 ○選配 ☆不要求 | ||||||||
5 |
很高 |
● |
0~15min |
● |
● |
● |
● |
Daily |
4 |
高 |
● |
15~30min |
● |
● |
● |
● |
Weekly |
3 |
中 |
○ |
30min~1h |
● |
○ |
○ |
● |
Weekly |
2 |
低 |
○ |
1h~2h |
● |
○ |
○ |
○ |
○ |
1 |
很低 |
☆ |
☆ |
● |
☆ |
☆ |
○ |
○ |
6-3 網(wǎng)絡(luò)
A. 核心網(wǎng)絡(luò)應(yīng)建立冗余機(jī)制
B. 核心網(wǎng)絡(luò)應(yīng)建立防護(hù)機(jī)制,如防火墻,VLAN 劃分等
C. 定期對(duì)網(wǎng)絡(luò)配置進(jìn)行存檔,有變更時(shí),應(yīng)在變更后及時(shí)備份
D. 核心網(wǎng)絡(luò)設(shè)備應(yīng)建立備份設(shè)備,如樓層匯聚層交換機(jī)
E. 應(yīng)建立網(wǎng)絡(luò)實(shí)時(shí)流量監(jiān)控及動(dòng)作監(jiān)控機(jī)制,提前預(yù)警
等級(jí) |
標(biāo)識(shí) |
Cluster |
安全防護(hù) |
Backup (配置檔) |
備援設(shè)備及監(jiān)控 |
●標(biāo)配 ○選配 ☆不要求 | |||||
5 |
很高 |
● |
● |
Monthly |
● |
4 |
高 |
● |
● |
Monthly |
● |
3 |
中 |
○ |
● |
season |
○ |
2 |
低 |
○ |
○ |
☆ |
☆ |
1 |
很低 |
☆ |
○ |
☆ |
☆ |
免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如果涉及侵權(quán)請(qǐng)聯(lián)系站長(zhǎng)郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。