论文关键词：等级保护 资产识别 资产赋值 风险评估

　　论文摘要：文章通过对组织业务进行分析，根据组织的业务识别出重要的资产，提出一种基于业务的信息资产识别和评估方法，为等级保护的定级、测评和整改等工作提供科学的参考依据。

　　1引言

　　伴随着信息技术的发展和信息时代的到来，信息系统在国家的政治、军事和经济领域的广泛应用，整个社会对信息系统的依赖性越来越大，信息系统的安全问题己成为关系经济稳定、发展和国家安全的社会问题。信息安全经历了最初以密码技术为主的信息保密阶段和以防火墙、入侵检测技术为主的信息保护阶段，发展到以综合保护、检测、反应技术为主的信息安全保障时代，而对系统实施安全等级保护、进行风险评估是信息安全保障的重要基础l1]。为加快推进信息安全等级保护，规范信息安全等级保护管理，提高信息安全保障能力和水平，维护国家安全，构建和谐社会的需要，2007年，全国信息安全标准化委员会正式下达了公安部牵头制定的《信息系统安全保护等级定级指南》、《信息系统安全等级保护实施指南》、《信息系统安全等级保护基本要求》等系列指导标准(审批稿)，拉开了全国信息安全等级保护的序幕。等级保护不仅是对信息安全产品或系统的检测、评估以及定级，更是一项基础性和制度性的工作。

　　我国的信息安全等级保护制度就是要根据信息系统的特点和风险状况，对信息系统的安全需求进行分级，实施不同级别的保护措施。根据2004年9月四部委联合签发的《关于信息安全等级保护工作的实施意见》的要求，要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定的重要信息系统。这类系统主要包括：国家事务处理信息系统；财政、金融、税务、海关、审计、工商、社会保障、能源、交通运输、国防工业等关系到国计民生的信息系统；教育、国家科研等单位的信息系统；公用通信、广播电视传输等基础信息网络中的信息系统；网络管理中心、重要网站中的重要信息系统和其他领域的重要信息系统。因此，我国的信息安全等级保护制度从一定角度看是信息安全保障工作中国家意志的体现，体现了国家对相应系统建设和使用单位在信息安全建设的基本要求。通过评估单位的特点可以看出，其对象主要是重要的行业和企事业单位[。

　　实施等级保护的一个重要前提就是了解系统的风险状况和安全等级，所以风险评估是等级保护的重要基础与依据。信息安全风险评估是一个组织确保信息安全的基础和前提，所以注重信息安全风险评估的质量是保证信息安全的基础性工作。

　　信息安全风险评估是对信息系统风险进行辨识和分析的过程，是对威胁、影响、脆弱性三者发生的可能性的评估。目的就是了解目前与未来的风险所在，评估这些风险可能带来的安全威胁与影响程度，为安全策略的确定、信息系统的建立及安全运行提供依据E引。文章提出的基于业务的信息资产评估方法试图建立一种适应等级保护的信息安全风险评估方法，为信息安全等级保护工作的开展做好前期风险评估和系统定级工作。

　　2基于业务的信息资产评估流程

　　资产是风险评估的第一要素，其他要素的评估都以资产为前提的。信息安全的资产评估目的是为了明晰评估范围内与信息安全相关的资产清单、资产关系和资产价值。先是摸清家底，列出评估范围内关系到信息安全的所有资产。然后整理家底，针对资产的性质进行分类，针对资产的关系进行梳理，针对资产的价值进行分级。这样就为分类分级和适度有效地保护资产打下了良好基础。