91超碰碰碰碰久久久久久综合_超碰av人澡人澡人澡人澡人掠_国产黄大片在线观看画质优化_txt小说免费全本

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

信息資產分級管理的具體方法(風險評估與風險管理的)朋友可以看看

發布時間:2020-06-25 01:10:57 來源:網絡 閱讀:4443 作者:Wuli王蜀黎 欄目:安全技術

信息資產分級管理
1. 信息資產分類鑒別
達到及維護組織資產的適當保護,宜明確識別所有資產,并制作與維持所有重要資產
的清冊 ,與信息處理設施相關的所有信息及資產宜由組織指定擁有者。與信息處理設施相關的信息與資產,其可被接受的使用之規則宜予以識別、文件化及實作。各單位負責信息資產應定期更新與維護信息資產清冊,各單位匯總整合,由信息安全小組統一控管確保信息資產列表完整性。信息資產依其性質不同,分為5類:人員、硬件、軟件、電子數據、書面文件依序如下:
人員:系指業務主管、承辦人員、委外廠商、契約人員等。
硬件:系指網絡設備、主機設備、通訊設備、環境設備等相關硬件設施。例如:服務器主機、個人計算機、不斷電設備等。
軟件:系指自行開發或委外開發之應用系統程序、外購之軟件包等。例如:應用系統、操作系統、軟件包、工具程序等。
電子數據:系指以電子形式存在之信息數據。例如:網絡設定數據、備份文件等。
書面文件:系指以紙本形式存在之文書數據、報表等相關信息。例如:合同、規范、系統文件、用戶手冊、訓練教材等。
所有資產經由資產分類,制成「信息資產列表」。

2. 信息資產價值鑒別
信息宜依其對組織的價值、法律要求、敏感性及重要性加以分類 ,價值鑒別準則依
信息資產分類分別針對機密性、可用性、完整性,其評估標準如下:

表1 人員評估標準
信息資產分級管理的具體方法(風險評估與風險管理的)朋友可以看看

表2 硬件評估標準
信息資產分級管理的具體方法(風險評估與風險管理的)朋友可以看看

表3 軟件評估標準
信息資產分級管理的具體方法(風險評估與風險管理的)朋友可以看看

表4 電子數據、書面文件評估標準
信息資產分級管理的具體方法(風險評估與風險管理的)朋友可以看看

各資產價值為資產之機密性、完整性及可用性評估值取最大值;如以下式子:

資產價值 = 機密性評估值 + 完整性評估值 + 可用性評估值。

各資產依資產價值數值分級;詳如資產價值等級表

表5 資產價值等級表
信息資產分級管理的具體方法(風險評估與風險管理的)朋友可以看看

3. 信息資產標示與處理
宜依照組織所采用的分類法,發展與實作一套適當的信息標示與處置程序 。資產標
示必須明確。資產標示含資產風險等級并以顏色卷標區分。硬件類資產標示依其價值等級并以顏色卷標區分。
高資產價值:指該資產價值最高,貼紅色卷標。
中資產價值:指該資產價值中等,貼×××標簽。
低資產價值:指該資產價值最低,不貼卷標。
資產在保存過程中,應依適當程序作妥善保存。資產的生命周期包含產生、使用、維護與銷毀。在整個生命周期中,每項資產皆由信息科技部領導指派資產管理人。資產管理人必須妥善運用與保存該資產。其他同仁使用資產需經由管理人授權,方可使用該資產。其使用過程需紀錄于該資產之使用記錄。資產之私密信息由管理人維護,采用僅知原則(Need-To-Know),授權給其他同仁使用時,以最小量之信息提供給使用人得知。為掌握信息設備狀況,對于信息室有價值之信息設備之增置、轉移、報廢應予確實登錄。資產借用應予登記,以控管資產現況。資產于報廢時應循相關報廢程序進行報廢。

鑒別風險弱點與威脅
脆弱性,亦稱弱點。脆弱性是組織信息安全的弱點或漏洞。基本上,脆弱性本身不會
造成傷害,而是威脅利用這些脆弱性對系統進行傷害。針對要鑒別的每項資產分類,依序尋找出所有相對應的弱點如下:
人員:包括缺乏對外部團體與信息安全相關之規范、缺乏一般辦公環境的安全控管、缺乏對人員之安全管理、缺乏對人員認知之倡導及教育訓練、缺乏工作之權責劃分與人員代理機制、缺乏信息安全事件通報及處理程序。
硬件:缺乏對外部團體與信息安全相關之規范、.缺乏一般辦公環境的安全控管、缺乏書面化操作程序之控管、缺乏網絡之安全管理、缺乏數據交換之安全管理、
缺乏對儲存媒體的安全控管、缺乏系統監視、記錄與相關的系統稽核軌跡、缺
乏對實體資產之保護與管理、缺乏取得信息系統之規劃及驗收程序、缺乏對取
得服務的安全控管、缺乏對管制區域之安全管理、缺乏信息安全事件通報及處
理程序、缺乏對場外工作之安全控管。
軟件:缺乏對外部團體與信息安全相關之規范、缺乏一般辦公環境的安全控管、缺乏書面化操作程序之控管、缺乏網絡之安全管理、缺乏數據交換之安全管理、缺乏系統監視、記錄與相關的系統稽核軌跡、缺乏數據的安全管理、缺乏取得資訊系統之規劃及驗收程序、缺乏對信息系統存取之安全管理、缺乏系統聯機之安全管理、缺乏信息系統開發之安全管理、缺乏對取得服務的安全控管、缺乏信息系統安全防護機制、缺乏信息安全事件通報及處理程序、缺乏對電子商務之安全控管、缺乏對場外工作之安全控管。
電子數據:缺乏對外部團體與信息安全相關之規范、缺乏一般辦公環境的安全控管、缺乏書面化操作程序之控管、缺乏網絡之安全管理、乏數據交換之安全管理、缺乏系統監視、記錄與相關的系統稽核軌跡、缺乏數據的安全管理、.缺乏對實體資產之保護與管理、缺乏取得信息系統之規劃及驗收程序、缺乏對信息系統存取之安全管理、缺乏信息系統開發之安全管理、缺乏對取得服務的安全控管、缺乏信息安全事件通報及處理程序、缺乏對電子商務之安全控管。
書面文件:缺乏對外部團體與信息安全相關之規范、缺乏一般辦公環境的安全控管、缺乏書面化操作程序之控管、缺乏數據交換之安全管理、缺乏系統監視、記錄與相關的系統稽核軌跡、缺乏數據的安全管理、.缺乏對實體資產之保護與管理、缺乏對取得服務的安全控管、缺乏對管制區域之安全管理、缺乏信息安全事件通報及處理程序。

威脅的鑒別威脅是指對組織意圖造成傷害或損失,不論是意外或是蓄意,人為或是天
災。資產容易受到許多威脅,這些威脅來自利用脆弱性。威脅可區分為天然災害、人為的威脅、非人為的威脅;威脅的鑒別,須針對每項資產,列出可能的威脅。針對要鑒別的每項資產分類,依序尋找出所有相對應的威脅如下:
人員:無知、貪念、脅迫、惰性、人力不足、惡意、疏失、傳染病。
硬件:毀損、竊取、災害、故障、破壞。
軟件:不法使用、錯誤、竄改、延遲、失效、損毀、偽造。
電子數據:盜賣、泄漏、錯誤、竄改、損毀、偽造。
書面文件:泄漏、竊取、竄改、偽造、遺失、損毀。

計算信息資產風險權值
綜合信息資產價值(如表5資產價值等級表)、弱點(如表6 電子數據類弱點值判定
表)、威脅等因素(如表7威脅值判定表),透過信息資產之風險評鑒,可得知該項信息資產所面臨之風險程度并予以量化,作為選擇控制措施之依據。計算風險權值之公式為:
信息資產風險權值 = 信息資產價值 × 弱點權值 × 威脅權值
根據此一計算模型,風險權值最低為1,最高為27。

表6 電子數據類弱點值判定表

信息資產分級管理的具體方法(風險評估與風險管理的)朋友可以看看

表7 威脅值判定表
考慮現有控管機制及資產特性,進行以下定義:

信息資產分級管理的具體方法(風險評估與風險管理的)朋友可以看看

資產風險處理的評估
在匯整完風險評鑒結果之后應召開管理階層審查會議,由會議討論決定可接受風險之
風險值。低于此風險值之資產,視為低風險,也就是可接受之風險。風險值高于可接受風險之信息資產,應采取風險處理。風險處理的方法主要分成以下四種:
降低風險:設置有效的內部控制措施,針對不同的領域進行管控,以達到風險值降低之目的。
轉移風險:利用轉嫁的方式降低風險,例如購買保險以補償方式降低風險。
避免風險:利用取代方案或其他之資產以替代此資產所帶來之風險,不過若采取此方法,需再評估替代方案之可行性,以及帶來的風險值。前提是替代方案能帶來更低的風險。
接受風險:在以上三個方式都無法采用時,管理階層可以決定接受此風險,也就是接受此風險。

對應的相關表
信息資產分級管理的具體方法(風險評估與風險管理的)朋友可以看看

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

洛扎县| 林西县| 赞皇县| 牙克石市| 股票| 广州市| 山西省| 石嘴山市| 安顺市| 高安市| 井陉县| 榆中县| 西丰县| 军事| 北辰区| 齐河县| 呼图壁县| 常州市| 丹阳市| 浮梁县| 额尔古纳市| 禄丰县| 潼关县| 墨脱县| 灵台县| 加查县| 贵阳市| 孝感市| 调兵山市| 南汇区| 陇南市| 蕉岭县| 庆安县| 彰化县| 林周县| 高密市| 海淀区| 台北县| 隆化县| 洞口县| 芷江|