信息资产的赋值

4.3.1　信息资产的赋值

1.明确评估范围

信息资产的赋值是进行风险评估的关键，如果参与风险评估的人员对信息资产的价值没有一个统一的认识，那么要进行一个准确的风险评估是很困难的。

在信息资产识别过程中，风险评估小组负责人和信息资产拥有者要定义被评估的过程、应用、系统及其所涉及的信息资产。此处的关键是确立评估的边界，许多不成功的风险评估案例主要都是由于评估的范围没有确定好或者评估范围被不断扩大直至无法控制而造成的。

在执行一个风险评估项目时，定义资产就是确定评估范围，有关评估范围的所有描述都应为资产定义服务。在任何一个风险评估项目中，评估者和资产拥有者都应对评估的内容和相关的参数表示达成共识，并以书面形式记录下对评估任务的描述与声明。在项目声明中应描述出识别的结果，如“评估小组将识别出被评估资产潜在的威胁，并依据其发生的可能性大小对这些潜在的威胁进行排序，或依据其发生时对信息资产的影响大小进行排序；使用风险列表，评估小组将识别出可能发挥作用的控制措施，使信息资产面临的风险降至可接受的程度”，这就是风险评估范围的描述，它明确了风险评估的范围和重点。

2.确定评估参数

应在讨论评估项目所涉及的参数时投入足够的时间，尽管这些参数会随项目的不同而发生改变，但对任何项目都应考虑到以下几个方面的内容。

（1）评估目的

如果评估的目的是为了纠正问题，那么应识别和确定产生问题的原因。风险评估的目的是为了推进某一任务的进程，那么就首先应该明确该任务的目的是什么，风险评估的目的是什么。

（2）面向对象

即面向风险评估的受益者，明确谁是风险评估结果的接收者。

（3）提交的文档

风险评估过程中需要记录或提交的文档，包括威胁识别记录、风险级别记录、可用的控制措施列表等。

（4）所需资源

为完成风险评估需要得到的支持，包括财务方面的支持、人员方面的支持、设备方面的支持、服务等。

（5）制约因素

识别和确定那些可能影响项目实施和文档交付的因素和条件，如法律、法规、政策、环境条件等。

（6）假设

识别和确定评估小组认为是正确的或已完成的工作，包括已完成的框架上的风险评估、已完成的最基本的控制措施等。

（7）标准

对客户如何看待评估结果和评估成功与否达成一致，确定客户对风险评估时间、费用和质量的评价标准，评价标准是相对的。依据评估标准，可以对评估结果是否满足最初的要求进行度量。评估人员需要帮助客户澄清其真实的愿望，以便确保评价标准能够正确反映出评估成功与否。

3.信息资产赋值

对信息资产进行赋值并不是一件容易的事情，通常需要资产拥有者的积极配合。对其做好形式化描述是进行合理赋值的基础，随着信息经济学的产生和发展，为信息价值的正确评价创造了条件。

目前人们常用的信息资产赋值方法是对资产价值进行等级化，对资产在机密性、完整性和可用性方面需达到的程度进行分析，并在此基础上得出一个综合的结果。

（1）资产机密性赋值

根据资产在机密性方面的不同要求，将其分为若干不同等级，分别对应资产在机密性方面应达成的不同程度或者机密性缺失时对整个组织可能造成的影响。表4-4提供了一个有关机密性赋值的参考。

表4-4　资产机密性赋值表

（2）资产完整性赋值

根据资产在完整性方面的不同要求，将其分为若干不同等级，分别对应资产在完整性方面应达成的不同程度或者完整性缺失时对整个组织可能造成的影响。表4-5提供了一个有关完整性赋值的参考。

表4-5　资产完整性赋值表

（3）资产可用性赋值

根据资产在可用性方面的不同要求，将其分为若干不同等级，分别对应资产在可用性方面应达成的不同程度或者可用性缺失时对整个组织可能造成的影响。表4-6提供了一个有关可用性赋值的参考。

表4-6　资产可用性赋值表

（4）资产重要性等级划分

最后依据资产在机密性、完整性和可用性方面的赋值等级，经过综合评定得出资产价值。在综合评定时，可以根据组织自身的特点，选择对资产机密性、完整性和可用性最重要的一个属性赋值等级作为资产的最终赋值结果，也可以根据资产机密性、完整性和可用性的不同重要程度对其赋值进行加权计算而得到资产的最终赋值，加权方法可以根据组织的业务特点确定。最后将资产价值分级表示，级别越高表示资产的重要性程度越高。表4-7提供了一个有关资产重要性等级划分的参考。

表4-7　资产重要性等级划分