《ISO27001信息资产识别与分类培训课件.ppt》由会员分享,可在线阅读,更多相关《ISO27001信息资产识别与分类培训课件.ppt(24页珍藏版)》请在三一办公上搜索。
1、ISO27001信息资产识别与分类,myulo:企业管理实战专家,ISO27001信息资产识别与分类myulo:企业管理实战,信息安全事件损失估算,直接损失:(水上面的部分)损失了数据间接损失(530倍直接损失)损失了时间替代成本法律费用声誉受损丢失了潜在业务生产力受损,信息安全事件损失估算直接损失:(水上面的部分),信息安全评估标准,国外标准信息技术安全性评估准则ISO15408,GB/T18336ISO13335信息安全管理规范信息安全管理标准ISO17799国内标准信息安全风险评估指南,信息安全评估标准国外标准,风险管理各要素之间的关系,依赖,拥有,被满足,抗击,利用,暴露,降低,增加,
2、增加,增加,导出,演变,未被满足,未控制,可能诱发,残留,成本,业务战略,资产,威胁,安全需求,事件,残余风险,安全措施,资产价值,脆弱性,风险,风险管理各要素之间的关系依赖拥有被满足抗击利用暴露降低增加增,风险评估的相关术语,资产(Asset)任何对组织有价值的东西,是一个完整信息系统的组成部分,是风险评估的对象。威胁(Threat) 可能导致对系统或组织的损害的不期望事件发生的潜在原因脆弱性(Vulnerability)可能会被一个或多个威胁所利用的资产或一组资产的弱点,风险评估的相关术语资产(Asset)任何对组织有价值的东西,,风险分析原理,风险分析原理资产识别脆弱性识别威胁识别价值严
3、重程度出现的频率,资产识别与分类,资产识别与分类数据存在信息媒介上的各种数据资料,包括源代码、,资产例子信息资产,资产例子信息资产资产所有者/位置资产编号薪资方案表服务器,资产例子纸质文件,资产例子纸质文件资产所有者/位置资产编号供应商合同财务供,资产例子纸质文件,资产例子纸质文件资产所有者/位置资产编号退税财务信件财务,资产例子软件资产,资产例子软件资产资产所有者/位置资产编号Windows9,资产例子软件资产,资产例子软件资产资产所有者/位置资产编号Microsof,资产例子实体资产,资产例子实体资产资产所有者/位置资产编号桌上个人电脑财务,资产例子实体资产,资产例子实体资产资产所有者/位
4、置资产编号调制解调器货仓调,资产例子服务,资产例子服务资产所有者/位置资产编号服务器市场&销售电话,其他资产例子1,其他资产例子1序号资产类别资产名称资产编号所在位置责任人是否,其他资产例子2,其他资产例子2资产编码资产名称类别位置用途应用情况责任人备份,7.1.2资产责任人,指定部门或人员承担责任。资产责任人应负责:确保与信息处理设施相关的信息和资产进行了适当的分类;确定并周期性评审访问限制和分类,要考虑到可应用的访问控制策略。所有权可以分配给:业务过程;已定义的活动集;应用;已定义的数据集。其它信息日常任务可以委派给其他人,例如委派给一个管理人员每天照看资产,但责任人仍保留职责。在复杂的信
5、息系统中,将一组资产指派给一个责任人,可能是比较有用的,它们一起工作来提供特殊的“服务”功能。在这种情况下,服务责任人负责提供服务,包括资产本身提供的功能。,7.1.2资产责任人指定部门或人员承担责任。,信息资产识别表样版,信息资产识别表样版序号资产类别资产名称资产编号所在位置负责人,信息安全的属性,信息安全的属性保密性完整性可用性安全,资产机密性赋值表,资产机密性赋值表赋值标识定 义5极高包含组织最重要的秘密,,资产完整性赋值表,资产完整性赋值表赋值标识定 义5极高完整性价值非常关键,未,资产可用性赋值表,资产可用性赋值表赋值标识定 义5极高可用性价值非常高,合法,myulo:企业管理实战专家,Thank You !,-END-,myulo:企业管理实战专家Thank You !-END-,
