2.3.3 资产识别与评估
1.资产识别
资产的定义如2.1.1小节所述,是指对组织具有价值的信息资源。资产识别是风险识别的必要环节。资产识别的任务就是对确定的评估对象所涉及或包含的资产进行详细的标识,由于它以多种形式存在,有无形的、有形的,资产识别过程中要特别注意无形资产的遗漏,同时还应注意不同资产间的相互依赖关系,关系紧密的资产可作为一个整体来考虑,同一种类型的资产也应放在一起考虑。
资产识别的方法主要有访谈、现场调查、问卷、文档查阅等。
2.资产评估
资产的评价是对资产的价值或重要程度进行评估,资产本身的货币价值是资产价值的体现,但更重要的是资产对组织关键业务的顺利开展乃至组织目标实现的重要程度。由于多数资产不能以货币形式的价值来衡量,资产评价很难以定量的方式来进行,多数情况下只能以定性的形式,依据重要程度的不同划分等级,具体划分为多少级应根据具体问题具体分析,如5级划分方法为:非常重要、重要、比较重要、不太重要、不重要等,对这些定性值也可赋以相应的定量值,如5、4、3、2、1。
通常信息资产的机密性、完整性、可用性、可审计性和不可抵赖性等是评价资产的安全属性。信息安全风险评估中资产的价值可由资产在这些安全属性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的。可以先分别对资产在以上各方面的重要程度进行评估,然后通过一定的方法进行综合,可得资产的综合价值。
资产在机密性、完整性、可用性、可审计性和不可抵赖性的赋值分别记为VAc、VAi、VAa、VAac、VAn,综合价值记为VA。综合的方法可以是:
(1)最大原则:资产价值在机密性、完整性、可用性、可审计性和不可抵赖性方面不是均衡的,在某个方面可能大,某个方面可能小,最大原则是取最大的那个方面的赋值作为综合评价值,即VA=max{VAc,VAi,VAa,VAac,VAn}。
(2)加权原则:根据机密性、完整性、可用性、可审计性和不可抵赖性保护对组织业务开展影响的大小,分别为机密性、完整性、可用性、可审计性和不可抵赖性赋予一非负的权值Wc、Wi、Wa、Wac、Wn(Wc+Wi+Wa+Wac+Wn=1),综合机制由加权求得,即VA=VAc·Wc+VAi·Wi+VAa·Wa+VAac·Wac+VAn·Wn。
比如,若某资产在机密性、完整性、可用性、可审计性和不可抵赖性的赋值分别为:1、2、4、1、3,若采用最大值原则,该资产的综合评估值为4;若采用加权原则,并假定机密性、完整性、可用性、可审计性和不可抵赖性对应的权值分别为0.1、0.2、0.35、0.1、0.15,则该资产的综合赋值为0.1×1+0.2×2+0.35×4+0.1×1+0.15×3=2.45。
在资产评价方面,我国的《信息安全风险评估指南》推荐了一种方法,就是先对资产在机密性、完整性、可用性三个方面分别进行定性赋值,然后通过一定的方法进行综合,所使用的综合方法基本属于最大原则。表2-3、表2-4、表2-5分别给出了机密性、完整性、可用性参考赋值表。
表2-3 资产机密性赋值表
另外,由于系统所包含的资产往往很多,资产识别与评价时应注意区分哪些是影响组织目标的关键资产。风险评估应重点对关键资产进行。
表2-4 资产完整性赋值表
表2-5 资产可用性赋值表
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
