信息资产分级分类标准
信息资产分级分类标准
信息资产分级分类标准一、保密性1.定义:保密性是指信息不被未授权方获取的属性。
2.分级:信息资产应根据其保密性要求分为不同的级别,如机密、秘密、内部公开等。
3.分类:根据信息的保密性级别,应将其分为不同的类别,如绝密、高级机密、机密等。
二、完整性1.定义:完整性是指信息在未授权方未对其进行修改或破坏的情况下保持原状的属性。
2.分级:信息资产应根据其完整性要求分为不同的级别,如高度完整、中度完整、低度完整等。
3.分类:根据信息的完整性级别,应将其分为不同的类别,如高度完整信息、中度完整信息、低度完整信息等。
三、可用性1.定义:可用性是指信息在需要时能够被授权方访问和使用的属性。
2.分级:信息资产应根据其可用性要求分为不同的级别,如高可用、中可用、低可用等。
3.分类:根据信息的可用性级别,应将其分为不同的类别,如高可用信息、中可用信息、低可用信息等。
四、安全性1.定义:安全性是指保护信息资产免受未授权方访问、篡改、删除等攻击的属性。
2.分级:信息资产应根据其安全性要求分为不同的级别,如高安全、中安全、低安全等。
3.分类:根据信息的安全性级别,应将其分为不同的类别,如高安全信息、中安全信息、低安全信息等。
五、可靠性和可信性1.定义:可靠性和可信性是指信息在传输、存储和使用过程中的稳定性和可信度。
2.分级:信息资产应根据其可靠性和可信性要求分为不同的级别,如高度可靠和可信、中度可靠和可信、低度可靠和可信等。
3.分类:根据信息的可靠性和可信性级别,应将其分为不同的类别,如高度可靠和可信信息、中度可靠和可信信息、低度可靠和可信信息等。
六、法律和合规性1.定义:法律和合规性是指信息在采集、使用和处置过程中遵守法律法规和相关规定的要求。
2.分级:信息资产应根据其法律和合规性要求分为不同的级别,如高度合规、中度合规、低度合规等。
3.分类:根据信息的法律和合规性级别,应将其分为不同的类别,如高度合规信息、中度合规信息、低度合规信息等。
信息资产分类分级流程
信息资产分类分级流程下载温馨提示:该文档是我店铺精心编制而成,希望大家下载以后,能够帮助大家解决实际的问题。
文档下载后可定制随意修改,请根据实际需要进行相应的调整和使用,谢谢!并且,本店铺为大家提供各种各样类型的实用资料,如教育随笔、日记赏析、句子摘抄、古诗大全、经典美文、话题作文、工作总结、词语解析、文案摘录、其他资料等等,如想了解不同资料格式和写法,敬请关注!Download tips: This document is carefully compiled by theeditor. I hope that after you download them,they can help yousolve practical problems. The document can be customized andmodified after downloading,please adjust and use it according toactual needs, thank you!In addition, our shop provides you with various types ofpractical materials,such as educational essays, diaryappreciation,sentence excerpts,ancient poems,classic articles,topic composition,work summary,word parsing,copy excerpts,other materials and so on,want to know different data formats andwriting methods,please pay attention!信息资产分类分级流程是对组织内的信息资产进行分类和分级的过程,以便更好地管理和保护这些资产。
ISO27001:2013信息资产分类分级管理制度
XXXXXX软件有限公司人性化科技提升业绩信息资产分类分级管理程序目录1.目的和范围 (2)2.引用文件 (2)3.职责和权限 (3)4.信息资产的分类分级 (3)4.1信息资产的分类 (3)4.2信息资产的分级管理 (4)4.3信息资产分类指导 (5)5.信息分级标识 (5)5.1分级标识编号 (5)5.2公司绝密、机密信息定义 (6)5.3各密级知晓范围 (6)5.4分级标识编号可作为分级标识使用 (7)6.公司秘密信息使用管理 (8)6.1涉密信息的保管 (8)6.2涉密信息的访问限制 (9)6.3涉密信息的使用 (10)6.4涉密信息发送 (12)6.5涉密信息的废弃处置 (13)7.保密原则 (14)1.目的和范围为降低公司重要资产因遗失、损坏、篡改、外泄等事件带来的潜在风险,这些风险将对公司的信誉、经营活动、经济利益等造成较大或重大损失,需要规范信息资产保护方法和管理要求,特制订本管理制度。
本规定适用于本公司信息资产的安全管理,适用对象为本公司员工和所有外来人员。
特殊岗位或特殊人员,另有规定的从其规定。
公司信息资产是指一切关系公司安全和利益,在保护期内只限一定范围内人员知悉、操作、维护的事物、文档、项目、数据等资源。
2.引用文件1)下列文件中的条款通过本规定的引用而成为本规定的条款。
凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励各部门研究是否可使用这些文件的最新版本。
凡是不注日期的引用文件,其最新版本适用于本标准。
2)GB/T 22080-2016/ISO/IEC 27001:2013 信息技术-安全技术-信息安全管理体系要求3)GB/T 22081-2016/ISO/IEC 27002:2013 信息技术-安全技术-信息安全管理实施细则4)《备份管理规定》5)《访问控制程序》6)《文件控制程序》3.职责和权限本管理规定作为全公司范围信息类资产的最低管理要求,各部门或各项目组,均可以根据客户要求,添加补充策略,并在本部门、本项目组内实施,与本规定一起,作为信息安全管理的工作指南。
信息安全资产管理制度
第一章总则第一条为加强我单位信息安全资产的管理,确保信息安全资产的合理配置、有效保护和高效利用,根据《中华人民共和国网络安全法》、《信息安全技术—信息安全管理体系要求》等相关法律法规,结合我单位实际情况,制定本制度。
第二条本制度适用于我单位所有信息安全资产,包括但不限于硬件设备、软件系统、数据资源、网络设施、信息系统等。
第三条信息安全资产管理制度遵循以下原则:1. 全面性原则:覆盖所有信息安全资产,确保管理的全面性;2. 安全性原则:确保信息安全资产的安全,防止泄露、篡改和破坏;3. 合理性原则:合理配置信息安全资产,提高资源利用率;4. 动态管理原则:根据业务发展和安全需求,动态调整信息安全资产配置;5. 责任到人原则:明确信息安全资产管理的责任人和职责。
第二章组织机构与职责第四条成立信息安全资产管理委员会,负责制定信息安全资产管理制度,监督实施,协调解决信息安全资产管理中的重大问题。
第五条信息安全资产管理委员会组成如下:1. 主任:由单位负责人担任;2. 副主任:由信息管理部门负责人担任;3. 成员:由相关部门负责人、信息安全管理人员等组成。
第六条信息安全资产管理委员会职责:1. 制定、修订信息安全资产管理制度;2. 审议信息安全资产配置方案;3. 监督信息安全资产管理工作;4. 定期评估信息安全资产管理制度实施效果;5. 处理信息安全资产管理中的重大问题。
第七条信息管理部门负责信息安全资产的具体管理工作,包括:1. 制定信息安全资产分类、分级标准;2. 建立信息安全资产清单;3. 监督信息安全资产配置、使用、维护和报废;4. 组织信息安全资产安全评估;5. 组织信息安全资产培训。
第三章信息安全资产分类与分级第八条信息安全资产按照以下分类:1. 硬件设备:包括服务器、网络设备、存储设备、终端设备等;2. 软件系统:包括操作系统、数据库、应用软件等;3. 数据资源:包括业务数据、用户数据、管理数据等;4. 网络设施:包括网络设备、网络线路、网络安全设备等;5. 信息系统:包括内部信息系统、外部信息系统等。
iso27001:2013信息资产分类分级管理制度
XXXXXX软件有限公司人性化科技提升业绩信息资产分类分级管理程序目录1.目的和范围 (2)2.引用文件 (2)3.职责和权限 (3)4.信息资产的分类分级 (3)4.1信息资产的分类 (3)4.2信息资产的分级管理 (4)4.3信息资产分类指导 (5)5.信息分级标识 (5)5.1分级标识编号 (5)5.2公司绝密、机密信息定义 (6)5.3各密级知晓范围 (6)5.4分级标识编号可作为分级标识使用 (7)6.公司秘密信息使用管理 (8)6.1涉密信息的保管 (8)6.2涉密信息的访问限制 (9)6.3涉密信息的使用 (10)6.4涉密信息发送 (12)6.5涉密信息的废弃处置 (13)7.保密原则 (14)1.目的和范围为降低公司重要资产因遗失、损坏、篡改、外泄等事件带来的潜在风险,这些风险将对公司的信誉、经营活动、经济利益等造成较大或重大损失,需要规范信息资产保护方法和管理要求,特制订本管理制度。
本规定适用于本公司信息资产的安全管理,适用对象为本公司员工和所有外来人员。
特殊岗位或特殊人员,另有规定的从其规定。
公司信息资产是指一切关系公司安全和利益,在保护期内只限一定范围内人员知悉、操作、维护的事物、文档、项目、数据等资源。
2.引用文件1)下列文件中的条款通过本规定的引用而成为本规定的条款。
凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励各部门研究是否可使用这些文件的最新版本。
凡是不注日期的引用文件,其最新版本适用于本标准。
2)GB/T 22080-2016/ISO/IEC 27001:2013 信息技术-安全技术-信息安全管理体系要求3)GB/T 22081-2016/ISO/IEC 27002:2013 信息技术-安全技术-信息安全管理实施细则4)《备份管理规定》5)《访问控制程序》6)《文件控制程序》3.职责和权限本管理规定作为全公司范围信息类资产的最低管理要求,各部门或各项目组,均可以根据客户要求,添加补充策略,并在本部门、本项目组内实施,与本规定一起,作为信息安全管理的工作指南。
数据资产分级分类标准
数据资产分级分类标准1. 引言数据资产是组织中最重要的资源之一。
为了更有效地管理和保护数据资产,需要将其进行分级分类。
本文档旨在为组织提供数据资产分级分类的标准。
2. 数据资产分级分类的目的数据资产分级分类的目的是根据其重要性和敏感性将数据资产划分为不同的等级,以便采取适当的保护和管理措施。
3. 分级分类标准为了准确划分数据资产等级,以下几个因素需要考虑:3.1 数据重要性数据的重要性取决于其对组织运营的关键性。
以下是数据重要性的评估标准:- 关键数据:对组织运营至关重要的数据,例如财务信息、客户数据等。
关键数据:对组织运营至关重要的数据,例如财务信息、客户数据等。
- 重要数据:对组织运营具有重要影响的数据,例如市场研究数据、合作伙伴信息等。
重要数据:对组织运营具有重要影响的数据,例如市场研究数据、合作伙伴信息等。
- 一般数据:对组织运营有一定影响的数据,例如员工数据、日常运营数据等。
一般数据:对组织运营有一定影响的数据,例如员工数据、日常运营数据等。
3.2 数据敏感性数据敏感性是指数据被泄露、篡改或冒用可能造成的风险程度。
以下是数据敏感性的评估标准:- 密级数据:数据被泄露、篡改或冒用会造成严重影响的数据,例如个人身份信息、商业机密等。
密级数据:数据被泄露、篡改或冒用会造成严重影响的数据,例如个人身份信息、商业机密等。
- 内部数据:数据被泄露、篡改或冒用会造成适度影响的数据,例如内部报告、内部沟通记录等。
内部数据:数据被泄露、篡改或冒用会造成适度影响的数据,例如内部报告、内部沟通记录等。
- 一般数据:数据被泄露、篡改或冒用的影响较小的数据,例如息、业务公告等。
一般数据:数据被泄露、篡改或冒用的影响较小的数据,例如公开信息、业务公告等。
3.3 数据访问权限数据的访问权限是指谁有权访问数据的能力。
以下是数据访问权限的评估标准:- 高度受限访问:仅授权的特定人员或部门可访问的数据,例如高层管理人员访问的数据。
信息资产安全管理制度
第一章总则第一条为加强我单位信息资产安全管理,确保信息安全,依据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》等相关法律法规,结合我单位实际情况,制定本制度。
第二条本制度适用于我单位所有信息资产,包括但不限于信息系统、网络设备、存储设备、移动存储设备、数据等。
第三条信息资产安全管理工作应遵循以下原则:1. 预防为主,防治结合;2. 安全责任到人,明确分工;3. 技术与管理相结合;4. 依法依规,持续改进。
第二章信息资产分类与分级第四条信息资产根据其重要性、敏感性、影响范围等因素进行分类和分级。
第五条信息资产分类:1. 核心资产:涉及国家安全、公共利益、重大社会影响的资产;2. 重要资产:涉及单位关键业务、重要职能的资产;3. 一般资产:除核心资产和重要资产外的其他资产。
第六条信息资产分级:1. 特级:对国家安全、公共利益、重大社会影响具有特别重要性的资产;2. 一级:对国家安全、公共利益、重大社会影响具有重要性的资产;3. 二级:对国家安全、公共利益、重大社会影响有一定重要性的资产;4. 三级:对国家安全、公共利益、重大社会影响影响较小的资产。
第三章信息资产安全管理制度第七条信息资产安全管理制度包括:1. 信息资产安全管理制度体系;2. 信息资产安全风险评估与控制;3. 信息资产安全防护措施;4. 信息资产安全事件处理;5. 信息资产安全教育与培训;6. 信息资产安全监督检查。
第八条信息资产安全管理制度体系:1. 制定信息资产安全管理制度;2. 明确信息资产安全管理组织架构及职责;3. 建立信息资产安全管理制度评审、修订机制。
第九条信息资产安全风险评估与控制:1. 定期开展信息资产安全风险评估;2. 根据风险评估结果,制定相应的安全防护措施;3. 对重要信息资产实施重点监控。
第十条信息资产安全防护措施:1. 物理安全防护:确保信息资产物理安全,防止信息资产丢失、损坏、被窃取;2. 网络安全防护:加强网络安全防护,防止网络攻击、入侵、病毒感染;3. 数据安全防护:对重要数据实施加密、备份等措施,防止数据泄露、篡改;4. 信息系统安全防护:定期对信息系统进行安全检查、漏洞修复,确保信息系统安全稳定运行。
信息安全管理标准(iso27001)资产分类方法
ISO27001信息安全管理标准是全球范围内被广泛认可的信息安全标准之一,它为组织提供了建立、实施、维护和持续改进信息安全管理体系的框架和方法。
资产分类是ISO27001标准中一个重要的环节,它有助于组织识别和管理信息资产,确保其安全性和完整性。
1. 什么是资产分类资产分类是指将组织内的信息资产按照一定的标准和原则进行划分和归类,以便更好地管理和保护这些资产。
在ISO27001标准中,对资产进行分类有助于组织确定其价值、优先级和安全要求,从而合理分配资源和采取措施来保护这些资产。
2. 资产分类的方法在ISO27001标准中,资产分类的方法通常包括以下几个步骤:- 需要识别和确定组织内的所有信息资产,包括数据、设备、软件等,无论其形式和存储方式。
- 根据信息资产的重要性、机密性、完整性和可用性等特征,对这些资产进行分类和分级。
通常可以采用“机密性、完整性和可用性(CIA)”三个维度进行分类,也可以根据具体情况结合其他因素进行综合分类。
- 根据不同级别的信息资产,制定相应的安全措施和管理规定。
对于高级别的资产,可能需要采取更严格的加密、访问控制、备份等措施,而对于低级别的资产,则可以适当降低安全要求和成本。
- 需要建立完善的资产管理制度和流程,包括对资产进行标识、登记、审查和更新,以确保资产分类的持续有效和准确性。
3. 个人观点和理解从我个人的观点来看,资产分类对于信息安全管理至关重要。
通过对信息资产进行科学合理的分类,组织可以更好地了解其拥有的资源和风险,有针对性地制定和实施安全措施,提高信息资产的保护水平。
资产分类也有助于优化资源配置和管理成本,避免对所有资产一刀切的安全策略,提高安全管理的效率和灵活性。
总结回顾在ISO27001信息安全管理标准中,资产分类是一个重要的环节,它有助于组织识别和管理信息资产,确保其安全性和完整性。
通过合理的资产分类方法,组织可以更好地了解自身的信息资产,有针对性地制定安全措施,并提高信息资产的保护水平。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
1.目的
本文件目的在于通过对信息资产进行合理的分类,为信息资产管理提供科学、有效的方式。
对现有信息资产进行信息安全属性的赋值,并对其进行等级划分,从而为以后的安全解决方案及安全保护措施的采用提供依据。
2.适用范围
本文件的适用于公司的信息资产的相关管理工作。
3.术语、定义和缩略语
无
4.职责
4.1.信息化科
负责本制度的制定与更新,协调和监督资产分级分类工作的实施。
4.2.信息资产管理人
负责信息资产的管理工作,负责相关信息资产的识别与登记。
4.3.全体员工
协助信息资产管理人进行资产的识别与分类工作。
概述信息资产是组织直接赋予了价值因而需要保护的东西。
它可能是以多种形式存在,有无形的、有形的、硬件、软件、文档、代码、服务和组织形象等。
它们分别具有不同的价值属性和存在特点,其存在的弱点、面临的威胁、需要进行的保护和安全控制都各不相同。
为此,有必要对组织、机构中的信息资产进行科学分类,让组织清晰的了解需要重点保护的对象,并为的信息安全风险评估及信息安全解决方案的设计提供依据。
5.资产分类
5.1.硬件
主要指组织中的硬件信息设备,包括计算机硬件、路由器、交换机、硬件防火墙、加密设备、布线、备份存储设备等。
硬件资产单指硬件设备,不包括运行在硬件设备中的软件系统、IOS、配置文件和存储的数据等,软件本身属于软件资产,运行中的软件系统和IOS等属于服务资产,配置文件和存储的数据属于数据资产。
5.2.软件
软件是现代组织中重要的信息资产之一,与组织的硬件资产一起构成了组织的整个的IT信息环境。
一般情况下,软件资产包括已经安装并正在运行中的软件,软件的许可证、存储的媒体等,与可能安装或运行的硬件无关,软件的价值主要体现在已经安装并运行的软件提供应用和功能,也包括本身的许可证、序列号、软件使用权等。
安装或运行后的软件,也为组织提供服务和应用的功能,也有一定的服务的性质,但服务类
资产强调的是业务流程和业务服务能力,是一个抽象的概念,一般不是一个软件就能提供,而是由一套有机组成的系统提供,包括软件提供的服务,标准和配置,人员的操作等,所以服务资产有别于软件资产。
5.3.数据
数据在信息资产中占有非常重要的地位,通常作为组织知识产权、竞争优势、商业秘密的载体。
属于需要重点评估、保护的对象。
通常,数据类资产需要保护的安全属性是机密性。
例如,财务信息和薪酬数据就是属于高度机密性的数据。
但是,完整性的重要性会随着机密性的提高而提高。
数据还包括纸质的各种打印和非打印的各种文档和文件,包含了组织有价值的信息,又以纸质的方式来保存,包括文件、合同、传真、财务报告、发展计划、业务流程、通讯录、组织人员职责等等。
5.4.人员
主要指组织与信息相关的人员和组织,包括各级安全组织,安全人员、各级管理人员,网管员,系统管理员,业务操作人员,第三方人员等与被评估信息系统相关人员和组织。
5.5.环境设施
指为了保障IT信息环境正常有效运行而建立的环境保护和支持设施,包括为保障IT信息系统正常运行的供电设施、空调制冷设施、排气设施等,以及为保护IT信息系统及相关硬件、数据不被非法访问而部署的门禁、监控、保险柜、文件柜等设施。
5.6.服务
服务在信息资产中占有非常重要的地位,通常作为组织运行管理、商业业务实现等形式存在。
属于需要重点评估、保护的对象。
通常服务类资产最为需要保护的安全属性是可用性。
但是,对于某些服务资产,完整性和机密性也可能成为重要的保护对象。
例如通常的门户网站的新闻浏览、计算环境等的可用性最为重要。
但是,完整性也同样重要,例如门户站点的主页被修改,造成的损失也可能是灾难性的。
服务类资产强调的是业务流程和业务服务能力,是一个抽象的概念,一般由一套有机组成的系统提供,包括软件提供的服务,标准和配置,人员的操作,各种资源提供的支持等。
5.7.资产分类列表
参照ISO27001对资产的描述和定义,将公司信息相关资产按照下面的分类方法进行分类:
以上资产分类列表可以在进行资产登记和风险评估过程中作为重要参考依据,也可以以此为基础对按照需求相关资产进行更细致的分类。
6.资产赋值与分级
6.1.赋值总述
资产分别具有不同的安全属性,机密性、完整性和可用性分别反映了资产在三个不同方面的特性。
安全属性的不同通常也意味着安全控制、保护功能需求的不同。
通过考察三种不同安全属性,可以得出一个能够基本反映资产价值的数值。
对资产进行赋值的目的是为了更好地反映资产的价值,以便于进一步考察资产相关的弱点、威胁和风险属性,并进行量化。
对安全属性赋值时考虑的是对整个评估对象影响和损害,然后按照下面的赋值标准来衡量。
这里整个评估对象是指评估的主体,可能是评估范围内的所有资产组成的系统,也可能是一个部门,也可能是整个组织。
机密性、完整性和可用性的定义如下:
●机密性:确保信息在存储、使用、传输过程中不会泄漏给非授权用户或实体;
●完整性:确保信息在存储、使用、传输过程中不会被非授权篡改,防止授权用户或实体不
恰当地修改信息,保持信息内部和外部的一致性。
;
●可用性:确保授权用户或实体对信息及资源的正常使用不会被异常拒绝,允许其可靠而及
时地访问信息及资源。
通过考量受到损失时对整个评估对象的影响,其赋值表格如下:
6.2.资产赋值说明
(一)硬件
(二)软件
(三)数据
(四)文档
(五)服务
(六)人员
6.3.资产价值
资产价值用于反映某个资产作为一个整体的价值,综合了机密性、完整性和可用性三个属性。
在资产赋值中使用下面的公式来计算资产价值赋值:
Asset Value =Conf*Int*Avail
其中,Conf代表机密性赋值;Int代表完整性赋值;Avail代表可用性赋值。
注:该算式属于经验算式,使用与否、使用的方式根据经验和需要来决定。
7.相关文件
《信息资产管理程序》
《信息资产标识要求》
《信息资产风险评估管理流程》
《文件资料安全保密管理办法》。