1、安全風險評估之信息資產賦值信息資產賦值定義1.為什么要進行信息資產的賦值？在完成信息資產的識別形成完整的信息資 產表之后，為了明確對資產的保護，同時為了接 下來對風險值的計算，有必要對資產的價值進行 評估，其價值大小不僅僅是考慮其自身的價值， 還要考慮其業務的相關性和一定條件下的潛在 價值。資產價值常常是以安全事件發生時所產生 的潛在業務影響來衡量，安全事件會導致資產機 密性、完整性和可用性的損失，從而導致企業資 金、市場份額、企業形象的損失。為了資產評估 的一致性與準確性，我們建立一套資產價值的評 估標準，對每一種資產和每一種可能的損失，例 如機密性、完整性和可用性的損失，都可以賦予 一個價

2、值。但采用精確的方式給資產賦值是較困 難的一件事，一般采用定性的方式，按照資產的 價值評估標準將資產的價值劃分為不同等級。經 過資產的識別與估價后，組織應根據資產價值大 小，進一步確定要保護的關鍵資產。在評估過程，為了保證沒有資產被忽略和遺 漏，應該先確定信息安全體系范圍，建立資產的 評審邊界。評估資產最簡單的方式是列出組織業 務過程中、安全管理體系范圍內所有具有價值的 資產，然后對資產賦予一定的價值，這種價值應 該反映資產對組織業務運營的重要性， 并以對業 務的潛在影響程度表現出來。例如，資產價值越 大，由于泄露、修改、損害、不可用等安全事件 對組織業務的潛在影響就越大。基于組織業務需 要的

3、資產的識別與估價，是建立信息安全體系， 確定風險的重要一步。2.如何進行信息資產賦值？在對資產賦予價值時，一方面要考慮資產購 買成本及維護成本，另一方面主要考慮當這種資 產的機密性、完整性、可用性受到損害時，對業 務運營的負面影響程度。在信息安全管理中，并 不是直接采用資產的賬面價值，而是采用以定性 分級的方式建立資產的相對價值，以相對價值來 作為確定重要資產的依據和為這種資產的保護 投入多大資源的依據。對資產的賦值不僅要考慮資產本身的價值， 更 重要的是要考慮資產的安全狀況對于組織的重 要性，即由資產在其CIA三個安全屬性上的達成 程度決定。依據CIA屬性分級的標準對資產在機密性、完整性和可

4、用性上的達成程度進行分析， 并在此基礎上得出一個綜合結果一一信息資產 的價值。賦值五分法資產賦值標識C機密性I 完整性A可用性5很高包含組織最重要的秘密， 關系未來發展的前途命 運，對組織根本利益有著 決定性影響，如果泄漏會 造成災難性的損害 （如企 密AAA完整性價值非常關鍵，未 經授權的修改或破壞會對 組織造成重大的或無法接 受的影響，對業務沖擊重 大，并可能造成嚴重的業 務中斷，難以彌補可用性價值非常高，合法使用者對信息及信息系統的可用度達到年度99.9%以上4高包含組織的重要秘密，其 泄露會使組織的安全和利 益遭受嚴重損害（如企密AA完整性價值較高，未經授 權的修改或破壞會對組織 造成

5、重大影響，對業務沖 擊嚴重，比較難以彌補可用性價值較高，合法使用者對信息及信息系統的 可用度達到每天90濃上3中等包含組織的一般性秘密， 一般僅能在組織某一或幾 個部門內部公開，其泄露 會使組織的安全和利益受到損害（如企密A）完整性價值中等，未經授 權的修改或破壞會對組織 造成影響，對業務沖擊明 顯，但可以彌補可用性價值中等，合法使 用者對信息及信息系統的 可用度在正常工作時間達到 70%以上2低包含組織較低級別秘密， 僅能在組織內部公開的信 息，向外擴散有可能對組 織的利益造成損害完整性價值較低，未經授 權的修改或破壞會對組織 造成輕微影響，可以忍受， 對業務沖擊輕微，容易彌 補可用性價值較

6、低，合法使 用者對信息及信息系統的 可用度在正常工作時間達到25%以上1很低包含可對社會公開的信完整性價值非常低，未經可用性價值可以忽略，合息，公用的信息處理設備和系統資源等授權的修改或破壞對組織造成的影響可以忽略，對業務沖擊可以忽略法使用者對信息及信息系統的可用度在正常工作時間低于25%不同資產對應的賦值原則資產賦值標識C機密性I 完整性A可用性5很高關鍵系統主機；關鍵的網 絡設備、安全設備、存儲 設備；域控制器和關鍵基 礎設施服務器；網絡和主 機管理及監控設備；備份 設備、備份介質；打印機； 復印機；傳真機；個人辦 公電腦關鍵系統主機；重要系統 主機；關鍵的網絡設備、 安全設備、存儲設備；

7、重 要網絡設備、安全設備、 存儲設備；一般網絡設備、 安全設備、存儲設備；域 控制器和關鍵基礎設施服 務器；重要（機房）環境 設施監控設備；備份設備、 備份介質關鍵系統主機；關鍵的網 絡設備、安全設備、存儲 設備；域控制器和關鍵基 礎設施服務器；備份設備、 備份介質4高重要系統主機；一般系統 主機；重要網絡設備、安 全設備、存儲設備；域成 員服務器和重要基礎設施 服務器；重要（機房）環 境設施監控設備；打印機； 復印機；傳真機；個人辦 公電腦一般系統主機；域成員服 務器和重要基礎設施服務 器；一般（機房）環境設 施監控設備；網絡和主機 管理及監控設備重要系統主機；重要網絡 設備、安全設備、存儲

8、設 備；域成員服務器和重要 基礎設施服務器；重要（機 房）環境設施監控設備； 一般（機房）環境設施監 控設備；網絡和主機管理 及監控設備3中等一般網絡設備、安全設備、 存儲設備；一般（機房） 環境設施監控設備；打印 機；復印機；傳真機；個 人辦公電腦完整性價值中等，未經授 權的修改或破壞會對組織 造成影響，對業務沖擊明 顯，但可以彌補；打印機； 復印機；傳真機；個人辦一般系統主機；一般網絡 設備、安全設備、存儲設 備；打印機；復印機；傳 真機；個人辦公電腦公電腦2低-1很低-信息資產賦值算法1.資產賦值算法說明信息資產的資產價值要考慮機密性（C）、完整性（I ）、可用性（A） 三個因素。為了資

9、產評估的一致性與準確性，我們建立一套資產價值的評估標 準，對每一種資產和每一種可能的損失，例如機密性、完整性和可用性的損失， 都可以賦予一個價值。然后利用確定的算法將信息資產三個因素的價值綜合考 慮，確定最終的資產價值大小，進一步確定要保護的關鍵資產。資產價值的算法通常包括算術平均法和對數平均法。算術平均法綜合 考慮三個方面的因素，簡便易用。對數平均法在考慮三個因素的同時，更易突 出某一特定因素的影響，更加客觀準確的體現出資產的價值。在實際應用過程中，通常不同類別的資產對于三個因素的敏感程度是 不同的，例如：人員資產通常不考慮完整性因素。因此，在實踐過程中，可以 為不同類別資產的三個因素配置相應的權重，以保證對該類資產價值分析的可 靠性和準確性。2.請選擇【信息資產賦值算法】：無權重算術平均法：綜合考慮資產三個方面的屬性，平均得出資產價值，簡單易用。r-對數平均法：在綜合考慮資產三個方面屬性的同時，重點突出某一屬性的 特點。例如，某些信息資產的保密性要求很高，而可用性、完整性要求較低時, 使用本算法更能夠凸顯出其資產價值的重要性。2C + 2f + 2a呱(§)有權重(a + B + 丫 = 1)P加權算術平均法：在算術平均法的基礎上，根據不同資產類別的特點，