通过将组织的业务合理科学的映射到所对应的信息资产上,我们也就把组织的业务安全映射成组织的信息资产安全。这样伴随着组织业务的变化,相应的组织的业务安全需求也要发生变化,这样我们就要适时对信息安全系统进行评估检查,并根据存在的问题及时制定相关的安全措施,以提高信息安全的整体水平,适应企业业务变化对信息安全的要求。
4信息资产的分类和赋值
在明确了组织或机构的业务以后,我们就要对资产进行分类和赋值。信息资产是一个组织业务运行的载体,是企业、机构内付出了一定的成本购置的具有很大价值的、需要保护的东西。它可能以多种形式存在,有无形的、有形的,有硬件、软件,有代码,文档,还有服务、企业形象等。
到目前,针对资产的分类还没有一个统一的标准,在BS7799及国际草案《信息安全风险评估指南》中l6],对资产分类有一个大致的描述,并把资产分为数据、软件、硬件、服务、文档、设备、人员和其他类别,此分类逻辑性强,但实际操作中它把企业中复杂的信息系统按照表现形式进行了简单分类忽略了资产之间的相互关系,也没有注重资产的地理位置和所处环境对其价值的影响,进行这样的划分得到的最终评价结果往往会成为单台设备的漏洞检查和分析,或是单条制度的修改,无法从整体意义或是不同客户群体关心的问题出发,具有极大的片面性l_7j。
在基于业务的信息安全风险评估中,对资产进行分类时,我们始终坚持以业务为出发点,通过“业务一资产识别一资产分类一资产安全性赋值”的过程,通过业务主线贯穿整个资产的识别过程。本文将资产分为信息、信息载体和信息环境。信息包括业务信息、用户信息和系统管理维护信息;信息载体指信息的承载体,包括硬件载体(计算机设备、网络设备、安全设备、传输介质、存储设备、保障设备和软件载体(应用软件、系统软件、网络通信协议软件);信息环境包括硬环境(机房、动力供应设备、环境控制设备和环境防护设备)和软环境(规章制度组织机构、人员)。通过这种分类方式,我们能很清晰的分析机构所从事的业务,定位该业务所涉及的相关业务信息、用户信息,同时科学划分和标识承载这些信息的相关硬件和软件载体,最后再锁定相应的环境信息(如图2所示)。例如,要对政府税务部门的信息系统进行风险评估,我们通过业务分析,发现其业务主要是进行各种税务的征收和管理,那么所牵涉的信息就有纳税人的基本信息、税务数据信息等,相应的信息载体有处理和储存信息的计算机、存储设备、传输介质和纳税人数据库服务器、大型应用软件(譬如税务信息采集系统、税务信息申报系统等),还有支撑相关信息和载体的信息环境,像机房、电力设施、规章制度、人员等。
通过业务对信息资产“提纲挈领”进行分类和分解以后,我们就要对其资产进行赋值,确定资产的重要性,提炼资产的安全需求。信息资产的重要性体现在保密性、完整性和可用性这三个信息安全最基本的三个属性上。我们对分类后的每一个资产分别进行保密性赋值、完整性赋值和可用性赋值,然后在此基础上综合分析得到资产的重要性等级。