資訊資產分級分類及災備要求

zerohand發表於2020-03-18


一、 目的

為降低或規避公司重要資產因遺失、損壞、篡改、外洩等事件帶來的潛在風險,這些風險將對公司的信譽、經營活動、經濟利益等造成較大或重大損失,需要規範資訊資產分類定義與各項資訊機密等級之準則,並規範各類資訊資產之對應的災備要求。

 

二、 資訊資產分類指導原則

1.       應對現有資產按不同存在形態和性質進行分類、依各種資產自身特性採取相應管控措施;

2.       應對同一形態的資產類別依重要程度及價值分類,依重要層級採取相應保護措施;

3.       每項資產應明確資產管理負責人或所有人、安全級別、技術文件、所處位置等;

4.       應定期進行資產盤點工作,定期檢視資產分級分類的合理性,並防止資產流失。

 

三、 參考檔案

為確保與公司所定義的標準保持一致性,資訊資產分類及資產價值的鑑別-- 參【

 

四、 資訊資產分類

公司資訊資產是指一切關係公司安全和利益,在保護期限內只限一定範圍的人員知悉、操作、維護的事物、文件、專案、資料等資源。

資訊資產依指導原則,分為以下六類:

 

資產分類

代號

示例

D

1 )儲存在資訊媒介上的各種資料資料,包括原始碼、資料庫資料、系統文件、執行管理規程、計劃、報告、使用者手冊等 ( 專案開發過程中產生的過程文件 )
  2 )紙質的各種檔案,如傳真、電報、財務報告、發展計劃等(公司經營中產生的行政文件)

軟體和系統

R

系統軟體:作業系統、語言包、工具軟體、各種庫等
  應用軟體:外部購買的應用軟體,外包開發的應用軟體
  源程式:各種共享原始碼

硬體和設施

H

網路裝置:路由器、閘道器、交換機等
  計算機裝置:大型機、小型機、伺服器、工作站、臺式計算機、移動計算機等
  儲存裝置:磁帶機、磁碟陣列、磁帶、光碟、軟盤、行動硬碟等
  傳輸線路:光纖、雙絞線等
  保障裝置:動力保障裝置( UPS 、變電裝置等)、空調、保險櫃、檔案櫃、門禁、消防設施等
  安全保障裝置:防火牆、入侵檢測系統、身份驗證等
  其他:印表機、影印機、掃描器、傳真機等

服務

S

辦公服務:為提高效率而開發的管理資訊系統( MIS ),包括各種內部配置管理、檔案流轉管理等服務
  網路服務:各種網路裝置、設施提供的網路連線服務
  資訊服務:對外依賴該系統開展的各類服務

人員

P

掌握重要資訊和核心業務的人員,如主機維護主管、網路維護主管等

其他

O


五、 資訊資產價值的鑑別

     5.1 機密性賦值

根據資產在機密性上的不同要求,將其分為五個不同的等級,分別對應資產在機密性上應達成的不同程度或者機密性缺失時對整個組織的影響,見下表:

賦值

標識

定義

5

很高

包含組織最重要的秘密,關係未來發展的前途命運,對組織根本利益有著決定性的影響,如果洩露會造成災難性的損害。  

4

包含組織的重要秘密,其洩露會使組織的安全和利益遭受嚴重損害。

3

中等

組織的一般性秘密,其洩露會使組織的安全和利益受到損害。

2

僅能在組織內部或在組織某一部門內部公開的資訊,向外擴散有可能對組織的利益造成輕微損害。

1

很低

可對社會公開的資訊,公用的資訊處理裝置和系統資源等。

   

5.2 完整性賦值

        根據資產在完整性上的不同要求,將其分為五個不同的等級,分別對應資產在完整性上缺失時對整個組織的影響,見下表:

賦值

標識

定義

5

很高

完整性價值非常關鍵,未經授權的修改或破壞會對組織造成重大的或無法接受的影響,對業務衝擊重大,並可能造成嚴重的業務中斷,難以彌補。

4

完整性價值較高,未經授權的修改或破壞會對組織造成重大影響,對業務衝擊嚴重,較難彌補。

3

中等

完整性價值中等,未經授權的修改或破壞會對組織造成影響,對業務衝擊明顯,但可以彌補。

2

完整性價值較低,未經授權的修改或破壞會對組織造成輕微影響,對業務衝擊輕微,容易彌補。

1

很低

完整性價值非常低,未經授權的修改或破壞對組織造成的影響可以忽略,對業務衝擊可以忽略。


5.3 可用性賦值

        根據資產在可用性上的不同要求,將其分為五個不同的等級,分別對應資產在可用性上的達成的不同程度,見下表:

賦值

標識

定義

5

很高

可用性價值非常高,合法使用者對資訊及資訊系統的可用度達到年度 99.9% 以上,或系統不允許中斷。

4

可用性價值較高,合法使用者對資訊及資訊系統的可用度達到每天 90% 以上,或系統允許中斷時間小於 10 分鐘。

3

中等

可用性價值中等,合法使用者對資訊及資訊系統的可用度在正常工作時間達到 70% 以上,或系統允許中斷時間小於 30 分鐘。

2

可用性價值較低,合法使用者對資訊及資訊系統的可用度在正常工作時間達到 25% 以上,或系統允許中斷時間小於 60 分鐘。

1

很低

可用性價值可以忽略,合法使用者對資訊及資訊系統的可用度在正常工作時間低於 25%

 

5.4     判定重要資

        資產重要性(價值)應依據資產在機密性、完整性和可用性上的賦值等級,經過綜合評定得出,本公司資產重要性評價計算模型如下:

資產價值重要性 =( 機密性 *0.5+ 完整性 *0.3+ 可用性 *0.2) 四捨五入取整

根據資產在重要性上的不同賦值結果,將其分為五個不同的等級, 3 級以上屬本公司重要資訊資產,將對重要資訊資產進行資訊保安風險評估(具體評估過程見資訊保安風險評估表),資產重要性等級劃分見下表:

等級

標識

描述

5

很高

非常重要,其安全屬性破壞後可能對組織造成非常嚴重的損失。

4

重要,其安全屬性破壞後可能對組織造成比較嚴重的損失。

3

比較重要,其安全屬性破壞後可能對組織造成中等程度的損失。

2

不太重要,其安全屬性破壞後可能對組織造成較低的損失。

1

很低

不重要,其安全屬性破壞後對組織造成很小的損失,甚至忽略不計。


六、 資產重要性與災備要求

 6-1 伺服器( 含虛擬機器)  

    A.       等級為高及很高的伺服器,應確保雙電源接入且網路具有冗餘機制(如兩張網路卡組成橋接)

    B.       等級為高及很高的伺服器,OS 應具有冗餘機制,如RAID1

    C.       應統一納入AD 管理及防毒體系

    D.      應建立效能監控機制,提前預警通報

    E.       定期更新補丁,緊急補丁與產線協調可安裝的時間  

等級

標識

雙電源

雙網路

OS-RAID

AD 管理

防毒

效能監控

補丁更新

●標配    ○選配  ☆不要求

5

很高

RAID1

MP 協調

4

RAID1

MP 協調

3

RAID5

MP 協調

2

週末

1

很低

週末

   

6-2 DB&WEB& 原始碼

            A.       等級為高及很高的DB&WEB 伺服器,應建立Cluster 機制

            B.       建立完善的備份機制,至少應包括本機備份,集中備份及離線備份三種模式

            C.       應視資料量的大小、備份所耗時間及負載情況,定義採用備份的方式,如完整備份,增量備份或差異備份

            D.      應視重要程度,規範資料損失的時間並做相應的配置

            E.       應建立DB&WEB 運作的監控機制

            F.        應對備份資料進行許可權保護,並定期對備份進行恢復測試,以確保資料的完整性和可用性

 

等級

標識

Cluster

資料損失

(本機日誌)

Backup (本機各一份)

Backup center

Backup

Daily

Weekly

Monthly

Daily

offline

●標配    ○選配  ☆不要求

5

很高

0~15min

Daily

4

15~30min

Weekly

3

30min~1h

Weekly

2

1h~2h

1

很低

   

 6-3 網路

        A.     核心網路應建立冗餘機制

        B. 核心網路應建立防護機制,如防火牆,VLAN 劃分等

        C. 定期對網路配置進行存檔,有變更時,應在變更後及時備份

        D.    核心網路裝置應建立備份裝置,如樓層匯聚層交換機

        E.   應建立網路實時流量監控及動作監控機制,提前預警

等級

標識

Cluster

安全防護

Backup (配置檔)

備援裝置及監控

●標配    ○選配  ☆不要求

5

很高

Monthly

4

Monthly

3

season

2

1

很低

 


來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/7320663/viewspace-2681047/,如需轉載,請註明出處,否則將追究法律責任。

相關文章