文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

信息资产分级分类及灾备要求

2023-06-03 14:00

关注

一、目的

为降低或规避公司重要资产因遗失、损坏、篡改、外泄等事件带来的潜在风险,这些风险将对公司的信誉、经营活动、经济利益等造成较大或重大损失,需要规范信息资产分类定义与各项信息机密等级之准则,并规范各类信息资产之对应的灾备要求。

二、信息资产分类指导原则

      应对现有资产按不同存在形态和性质进行分类、依各种资产自身特性采取相应管控措施;

      应对同一形态的资产类别依重要程度及价值分类,依重要层级采取相应保护措施;

      每项资产应明确资产管理负责人或所有人、安全级别、技术文档、所处位置等;

      应定期进行资产盘点工作,定期检视资产分级分类的合理性,并防止资产流失。

 

三、参考文件

为确保与公司所定义的标准保持一致性,信息资产分类及资产价值的鉴别--参【略】

 

四、信息资产分类

公司信息资产是指一切关系公司安全和利益,在保护期限内只限一定范围的人员知悉、操作、维护的事物、文档、项目、数据等资源。

信息资产依指导原则,分为以下六类:

 

资产分类

代号

示例

文档和数据

D

1)保存在信息媒介上的各种数据资料,包括源代码、数据库数据、系统文档、运行管理规程、计划、报告、用户手册等(项目开发过程中产生的过程文档)
  2)纸质的各种文件,如传真、电报、财务报告、发展计划等(公司经营中产生的行政文档)

软件和系统

R

系统软件:操作系统、语言包、工具软件、各种库等
  应用软件:外部购买的应用软件,外包开发的应用软件
  源程序:各种共享源代码

硬件和设施

H

网络设备:路由器、网关、交换机等
  计算机设备:大型机、小型机、服务器、工作站、台式计算机、移动计算机等
  存储设备:磁带机、磁盘阵列、磁带、光盘、软盘、移动硬盘等
  传输线路:光纤、双绞线等
  保障设备:动力保障设备(UPS、变电设备等)、空调、保险柜、文件柜、门禁、消防设施等
  安全保障设备:防火墙、入侵检测系统、身份验证等
  其他:打印机、复印机、扫描仪、传真机等

服务

S

办公服务:为提高效率而开发的管理信息系统(MIS),包括各种内部配置管理、文件流转管理等服务
  网络服务:各种网络设备、设施提供的网络连接服务
  信息服务:对外依赖该系统开展的各类服务

人员

P

掌握重要信息和核心业务的人员,如主机维护主管、网络维护主管等

其他

O


五、信息资产价值的鉴别

     5.1 机密性赋值

根据资产在机密性上的不同要求,将其分为五个不同的等级,分别对应资产在机密性上应达成的不同程度或者机密性缺失时对整个组织的影响,见下表:

赋值

标识

定义

5

很高

包含组织最重要的秘密,关系未来发展的前途命运,对组织根本利益有着决定性的影响,如果泄露会造成灾难性的损害。  

4

包含组织的重要秘密,其泄露会使组织的安全和利益遭受严重损害。

3

中等

组织的一般性秘密,其泄露会使组织的安全和利益受到损害。

2

仅能在组织内部或在组织某一部门内部公开的信息,向外扩散有可能对组织的利益造成轻微损害。

1

很低

可对社会公开的信息,公用的信息处理设备和系统资源等。

   

2完整性赋值

        根据资产在完整性上的不同要求,将其分为五个不同的等级,分别对应资产在完整性上缺失时对整个组织的影响,见下表:

赋值

标识

定义

5

很高

完整性价值非常关键,未经授权的修改或破坏会对组织造成重大的或无法接受的影响,对业务冲击重大,并可能造成严重的业务中断,难以弥补。

4

完整性价值较高,未经授权的修改或破坏会对组织造成重大影响,对业务冲击严重,较难弥补。

3

中等

完整性价值中等,未经授权的修改或破坏会对组织造成影响,对业务冲击明显,但可以弥补。

2

完整性价值较低,未经授权的修改或破坏会对组织造成轻微影响,对业务冲击轻微,容易弥补。

1

很低

完整性价值非常低,未经授权的修改或破坏对组织造成的影响可以忽略,对业务冲击可以忽略。

3 可用性赋值

        根据资产在可用性上的不同要求,将其分为五个不同的等级,分别对应资产在可用性上的达成的不同程度,见下表:

赋值

标识

定义

5

很高

可用性价值非常高,合法使用者对信息及信息系统的可用度达到年度99.9%以上,或系统不允许中断。

4

可用性价值较高,合法使用者对信息及信息系统的可用度达到每天90%以上,或系统允许中断时间小于10分钟。

3

中等

可用性价值中等,合法使用者对信息及信息系统的可用度在正常工作时间达到70%以上,或系统允许中断时间小于30分钟。

2

可用性价值较低,合法使用者对信息及信息系统的可用度在正常工作时间达到25%以上,或系统允许中断时间小于60分钟。

1

很低

可用性价值可以忽略,合法使用者对信息及信息系统的可用度在正常工作时间低于25%。

4   判定重要资产

        资产重要性(价值)应依据资产在机密性、完整性和可用性上的赋值等级,经过综合评定得出,本公司资产重要性评价计算模型如下:

资产价值重要性=(机密性*0.5+完整性*0.3+可用性*0.2)四舍五入取整
根据资产在重要性上的不同赋值结果,将其分为五个不同的等级,3级以上属本公司重要信息资产,将对重要信息资产进行信息安全风险评估(具体评估过程见信息安全风险评估表),资产重要性等级划分见下表:

等级

标识

描述

5

很高

非常重要,其安全属性破坏后可能对组织造成非常严重的损失。

4

重要,其安全属性破坏后可能对组织造成比较严重的损失。

3

比较重要,其安全属性破坏后可能对组织造成中等程度的损失。

2

不太重要,其安全属性破坏后可能对组织造成较低的损失。

1

很低

不重要,其安全属性破坏后对组织造成很小的损失,甚至忽略不计。

六、资产重要性与灾备要求

 6-1服务器(含虚拟机)  

    A.      等级为高及很高的服务器,应确保双电源接入且网络具有冗余机制(如两张网卡组成桥接)

    B.      等级为高及很高的服务器,OS应具有冗余机制,如RAID1

    C.      应统一纳入AD管理及防毒体系

    D.     应建立性能监控机制,提前预警通报

    E.      定期更新补丁,紧急补丁与产线协调可安装的时间  

等级

标识

双电源

双网络

OS-RAID

AD管理

防毒

性能监控

补丁更新

●标配   ○选配  ☆不要求

5

很高

RAID1

与MP协调

4

RAID1

与MP协调

3

RAID5

与MP协调

2

周末

1

很低

周末

   

6-2 DB&WEB&源代码

            A.      等级为高及很高的DB&WEB服务器,应建立Cluster机制

            B.      建立完善的备份机制,至少应包括本机备份,集中备份及离线备份三种模式

            C.      应视数据量的大小、备份所耗时间及负载情况,定义采用备份的方式,如完整备份,增量备份或差异备份

            D.     应视重要程度,规范数据损失的时间并做相应的配置

            E.      应建立DB&WEB运作的监控机制

            F.       应对备份数据进行权限保护,并定期对备份进行恢复测试,以确保数据的完整性和可用性

 

等级

标识

Cluster

数据损失

(本机日志)

Backup(本机各一份)

Backup center

Backup

Daily

Weekly

Monthly

Daily

offline

●标配   ○选配  ☆不要求

5

很高

0~15min

Daily

4

15~30min

Weekly

3

30min~1h

Weekly

2

1h~2h

1

很低

   

 6-3网络

        A.    核心网络应建立冗余机制

        B. 核心网络应建立防护机制,如防火墙,VLAN划分等

        C. 定期对网络配置进行存档,有变更时,应在变更后及时备份

        D.   核心网络设备应建立备份设备,如楼层汇聚层交换机

        E.  应建立网络实时流量监控及动作监控机制,提前预警

等级

标识

Cluster

安全防护

Backup(配置档)

备援设备及监控

●标配   ○选配  ☆不要求

5

很高

Monthly

4

Monthly

3

season

2

1

很低

 

阅读原文内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯