信息資產(chǎn)分級(jí)分類(lèi)及災(zāi)備要求

一、 目的

創(chuàng)新互聯(lián)堅(jiān)持“要么做到，要么別承諾”的工作理念，服務(wù)領(lǐng)域包括：網(wǎng)站建設(shè)、網(wǎng)站制作、企業(yè)官網(wǎng)、英文網(wǎng)站、手機(jī)端網(wǎng)站、網(wǎng)站推廣等服務(wù)，滿(mǎn)足客戶(hù)于互聯(lián)網(wǎng)時(shí)代的連云港網(wǎng)站設(shè)計(jì)、移動(dòng)媒體設(shè)計(jì)的需求，幫助企業(yè)找到有效的互聯(lián)網(wǎng)解決方案。努力成為您成熟可靠的網(wǎng)絡(luò)建設(shè)合作伙伴！

為降低或規(guī)避公司重要資產(chǎn)因遺失、損壞、篡改、外泄等事件帶來(lái)的潛在風(fēng)險(xiǎn)，這些風(fēng)險(xiǎn)將對(duì)公司的信譽(yù)、經(jīng)營(yíng)活動(dòng)、經(jīng)濟(jì)利益等造成較大或重大損失，需要規(guī)范信息資產(chǎn)分類(lèi)定義與各項(xiàng)信息機(jī)密等級(jí)之準(zhǔn)則，并規(guī)范各類(lèi)信息資產(chǎn)之對(duì)應(yīng)的災(zāi)備要求。

二、 信息資產(chǎn)分類(lèi)指導(dǎo)原則

1.       應(yīng)對(duì)現(xiàn)有資產(chǎn)按不同存在形態(tài)和性質(zhì)進(jìn)行分類(lèi)、依各種資產(chǎn)自身特性采取相應(yīng)管控措施；

2.       應(yīng)對(duì)同一形態(tài)的資產(chǎn)類(lèi)別依重要程度及價(jià)值分類(lèi)，依重要層級(jí)采取相應(yīng)保護(hù)措施；

3.       每項(xiàng)資產(chǎn)應(yīng)明確資產(chǎn)管理負(fù)責(zé)人或所有人、安全級(jí)別、技術(shù)文檔、所處位置等；

4.       應(yīng)定期進(jìn)行資產(chǎn)盤(pán)點(diǎn)工作，定期檢視資產(chǎn)分級(jí)分類(lèi)的合理性，并防止資產(chǎn)流失。

 

三、 參考文件

為確保與公司所定義的標(biāo)準(zhǔn)保持一致性，信息資產(chǎn)分類(lèi)及資產(chǎn)價(jià)值的鑒別-- 參【略 】

 

四、 信息資產(chǎn)分類(lèi)

公司信息資產(chǎn)是指一切關(guān)系公司安全和利益，在保護(hù)期限內(nèi)只限一定范圍的人員知悉、操作、維護(hù)的事物、文檔、項(xiàng)目、數(shù)據(jù)等資源。

信息資產(chǎn)依指導(dǎo)原則，分為以下六類(lèi)：

 

資產(chǎn)分類(lèi)	代號(hào)	示例
文檔和數(shù)據(jù)	D	1 ）保存在信息媒介上的各種數(shù)據(jù)資料，包括源代碼、數(shù)據(jù)庫(kù)數(shù)據(jù)、系統(tǒng)文檔、運(yùn)行管理規(guī)程、計(jì)劃、報(bào)告、用戶(hù)手冊(cè)等 ( 項(xiàng)目開(kāi)發(fā)過(guò)程中產(chǎn)生的過(guò)程文檔 )   2 ）紙質(zhì)的各種文件，如傳真、電報(bào)、財(cái)務(wù)報(bào)告、發(fā)展計(jì)劃等（公司經(jīng)營(yíng)中產(chǎn)生的行政文檔）
軟件和系統(tǒng)	R	系統(tǒng)軟件：操作系統(tǒng)、語(yǔ)言包、工具軟件、各種庫(kù)等   應(yīng)用軟件：外部購(gòu)買(mǎi)的應(yīng)用軟件，外包開(kāi)發(fā)的應(yīng)用軟件   源程序：各種共享源代碼
硬件和設(shè)施	H	網(wǎng)絡(luò)設(shè)備：路由器、網(wǎng)關(guān)、交換機(jī)等   計(jì)算機(jī)設(shè)備：大型機(jī)、小型機(jī)、服務(wù)器、工作站、臺(tái)式計(jì)算機(jī)、移動(dòng)計(jì)算機(jī)等   存儲(chǔ)設(shè)備：磁帶機(jī)、磁盤(pán)陣列、磁帶、光盤(pán)、軟盤(pán)、移動(dòng)硬盤(pán)等   傳輸線(xiàn)路：光纖、雙絞線(xiàn)等   保障設(shè)備：動(dòng)力保障設(shè)備（ UPS 、變電設(shè)備等）、空調(diào)、保險(xiǎn)柜、文件柜、門(mén)禁、消防設(shè)施等   安全保障設(shè)備：防火墻、入侵檢測(cè)系統(tǒng)、身份驗(yàn)證等   其他：打印機(jī)、復(fù)印機(jī)、掃描儀、傳真機(jī)等
服務(wù)	S	辦公服務(wù)：為提高效率而開(kāi)發(fā)的管理信息系統(tǒng)（ MIS ），包括各種內(nèi)部配置管理、文件流轉(zhuǎn)管理等服務(wù)   網(wǎng)絡(luò)服務(wù)：各種網(wǎng)絡(luò)設(shè)備、設(shè)施提供的網(wǎng)絡(luò)連接服務(wù)   信息服務(wù)：對(duì)外依賴(lài)該系統(tǒng)開(kāi)展的各類(lèi)服務(wù)
人員	P	掌握重要信息和核心業(yè)務(wù)的人員，如主機(jī)維護(hù)主管、網(wǎng)絡(luò)維護(hù)主管等
其他	O

五、 信息資產(chǎn)價(jià)值的鑒別

     5.1 機(jī)密性賦值

根據(jù)資產(chǎn)在機(jī)密性上的不同要求，將其分為五個(gè)不同的等級(jí)，分別對(duì)應(yīng)資產(chǎn)在機(jī)密性上應(yīng)達(dá)成的不同程度或者機(jī)密性缺失時(shí)對(duì)整個(gè)組織的影響，見(jiàn)下表：

賦值	標(biāo)識(shí)	定義
5	很高	包含組織最重要的秘密，關(guān)系未來(lái)發(fā)展的前途命運(yùn)，對(duì)組織根本利益有著決定性的影響，如果泄露會(huì)造成災(zāi)難性的損害。
4	高	包含組織的重要秘密，其泄露會(huì)使組織的安全和利益遭受?chē)?yán)重?fù)p害。
3	中等	組織的一般性秘密，其泄露會(huì)使組織的安全和利益受到損害。
2	低	僅能在組織內(nèi)部或在組織某一部門(mén)內(nèi)部公開(kāi)的信息，向外擴(kuò)散有可能對(duì)組織的利益造成輕微損害。
1	很低	可對(duì)社會(huì)公開(kāi)的信息，公用的信息處理設(shè)備和系統(tǒng)資源等。

   

5.2 完整性賦值

        根據(jù)資產(chǎn)在完整性上的不同要求，將其分為五個(gè)不同的等級(jí)，分別對(duì)應(yīng)資產(chǎn)在完整性上缺失時(shí)對(duì)整個(gè)組織的影響，見(jiàn)下表：

賦值	標(biāo)識(shí)	定義
5	很高	完整性?xún)r(jià)值非常關(guān)鍵，未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)組織造成重大的或無(wú)法接受的影響，對(duì)業(yè)務(wù)沖擊重大，并可能造成嚴(yán)重的業(yè)務(wù)中斷，難以彌補(bǔ)。
4	高	完整性?xún)r(jià)值較高，未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)組織造成重大影響，對(duì)業(yè)務(wù)沖擊嚴(yán)重，較難彌補(bǔ)。
3	中等	完整性?xún)r(jià)值中等，未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)組織造成影響，對(duì)業(yè)務(wù)沖擊明顯，但可以彌補(bǔ)。
2	低	完整性?xún)r(jià)值較低，未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)組織造成輕微影響，對(duì)業(yè)務(wù)沖擊輕微，容易彌補(bǔ)。
1	很低	完整性?xún)r(jià)值非常低，未經(jīng)授權(quán)的修改或破壞對(duì)組織造成的影響可以忽略，對(duì)業(yè)務(wù)沖擊可以忽略。

5.3 可用性賦值

        根據(jù)資產(chǎn)在可用性上的不同要求，將其分為五個(gè)不同的等級(jí)，分別對(duì)應(yīng)資產(chǎn)在可用性上的達(dá)成的不同程度，見(jiàn)下表：

賦值	標(biāo)識(shí)	定義
5	很高	可用性?xún)r(jià)值非常高，合法使用者對(duì)信息及信息系統(tǒng)的可用度達(dá)到年度 99.9% 以上，或系統(tǒng)不允許中斷。
4	高	可用性?xún)r(jià)值較高，合法使用者對(duì)信息及信息系統(tǒng)的可用度達(dá)到每天 90% 以上，或系統(tǒng)允許中斷時(shí)間小于 10 分鐘。
3	中等	可用性?xún)r(jià)值中等，合法使用者對(duì)信息及信息系統(tǒng)的可用度在正常工作時(shí)間達(dá)到 70% 以上，或系統(tǒng)允許中斷時(shí)間小于 30 分鐘。
2	低	可用性?xún)r(jià)值較低，合法使用者對(duì)信息及信息系統(tǒng)的可用度在正常工作時(shí)間達(dá)到 25% 以上，或系統(tǒng)允許中斷時(shí)間小于 60 分鐘。
1	很低	可用性?xún)r(jià)值可以忽略，合法使用者對(duì)信息及信息系統(tǒng)的可用度在正常工作時(shí)間低于 25% 。

5.4     判定重要資 產(chǎn)

        資產(chǎn)重要性（價(jià)值）應(yīng)依據(jù)資產(chǎn)在機(jī)密性、完整性和可用性上的賦值等級(jí)，經(jīng)過(guò)綜合評(píng)定得出，本公司資產(chǎn)重要性評(píng)價(jià)計(jì)算模型如下：

資產(chǎn)價(jià)值重要性 =( 機(jī)密性 *0.5+ 完整性 *0.3+ 可用性 *0.2) 四舍五入取整

根據(jù)資產(chǎn)在重要性上的不同賦值結(jié)果，將其分為五個(gè)不同的等級(jí)， 3 級(jí)以上屬本公司重要信息資產(chǎn)，將對(duì)重要信息資產(chǎn)進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估（具體評(píng)估過(guò)程見(jiàn)信息安全風(fēng)險(xiǎn)評(píng)估表），資產(chǎn)重要性等級(jí)劃分見(jiàn)下表：

等級(jí)	標(biāo)識(shí)	描述
5	很高	非常重要，其安全屬性破壞后可能對(duì)組織造成非常嚴(yán)重的損失。
4	高	重要，其安全屬性破壞后可能對(duì)組織造成比較嚴(yán)重的損失。
3	中	比較重要，其安全屬性破壞后可能對(duì)組織造成中等程度的損失。
2	低	不太重要，其安全屬性破壞后可能對(duì)組織造成較低的損失。
1	很低	不重要，其安全屬性破壞后對(duì)組織造成很小的損失，甚至忽略不計(jì)。

六、 資產(chǎn)重要性與災(zāi)備要求

 6-1 服務(wù)器( 含虛擬機(jī))  

    A.       等級(jí)為高及很高的服務(wù)器，應(yīng)確保雙電源接入且網(wǎng)絡(luò)具有冗余機(jī)制（如兩張網(wǎng)卡組成橋接）

    B.       等級(jí)為高及很高的服務(wù)器，OS 應(yīng)具有冗余機(jī)制，如RAID1

    C.       應(yīng)統(tǒng)一納入AD 管理及防毒體系

    D.      應(yīng)建立性能監(jiān)控機(jī)制，提前預(yù)警通報(bào)

    E.       定期更新補(bǔ)丁，緊急補(bǔ)丁與產(chǎn)線(xiàn)協(xié)調(diào)可安裝的時(shí)間  

等級(jí)	標(biāo)識(shí)	雙電源	雙網(wǎng)絡(luò)	OS-RAID	AD 管理	防毒	性能監(jiān)控	補(bǔ)丁更新
●標(biāo)配    ○選配  ☆不要求
5	很高	●	●	RAID1	●	●	●	與 MP 協(xié)調(diào)
4	高	●	●	RAID1	●	●	●	與 MP 協(xié)調(diào)
3	中	○	○	RAID5	●	●	○	與 MP 協(xié)調(diào)
2	低	○	○	☆	●	●	○	周末
1	很低	☆	☆	☆	●	●	☆	周末

   

6-2 DB&WEB& 源代碼

            A.       等級(jí)為高及很高的DB&WEB 服務(wù)器，應(yīng)建立Cluster 機(jī)制

            B.       建立完善的備份機(jī)制，至少應(yīng)包括本機(jī)備份，集中備份及離線(xiàn)備份三種模式

            C.       應(yīng)視數(shù)據(jù)量的大小、備份所耗時(shí)間及負(fù)載情況，定義采用備份的方式，如完整備份，增量備份或差異備份

            D.      應(yīng)視重要程度，規(guī)范數(shù)據(jù)損失的時(shí)間并做相應(yīng)的配置

            E.       應(yīng)建立DB&WEB 運(yùn)作的監(jiān)控機(jī)制

            F.        應(yīng)對(duì)備份數(shù)據(jù)進(jìn)行權(quán)限保護(hù)，并定期對(duì)備份進(jìn)行恢復(fù)測(cè)試，以確保數(shù)據(jù)的完整性和可用性

 

等級(jí)	標(biāo)識(shí)	Cluster	數(shù)據(jù)損失 （本機(jī)日志）	Backup （本機(jī)各一份）			Backup center	Backup
				Daily	Weekly	Monthly	Daily	offline
●標(biāo)配    ○選配  ☆不要求
5	很高	●	0~15min	●	●	●	●	Daily
4	高	●	15~30min	●	●	●	●	Weekly
3	中	○	30min~1h	●	○	○	●	Weekly
2	低	○	1h~2h	●	○	○	○	○
1	很低	☆	☆	●	☆	☆	○	○

   

 6-3 網(wǎng)絡(luò)

        A．     核心網(wǎng)絡(luò)應(yīng)建立冗余機(jī)制

        B． 核心網(wǎng)絡(luò)應(yīng)建立防護(hù)機(jī)制，如防火墻，VLAN 劃分等

        C． 定期對(duì)網(wǎng)絡(luò)配置進(jìn)行存檔，有變更時(shí)，應(yīng)在變更后及時(shí)備份

        D．    核心網(wǎng)絡(luò)設(shè)備應(yīng)建立備份設(shè)備，如樓層匯聚層交換機(jī)

        E．   應(yīng)建立網(wǎng)絡(luò)實(shí)時(shí)流量監(jiān)控及動(dòng)作監(jiān)控機(jī)制，提前預(yù)警

等級(jí)	標(biāo)識(shí)	Cluster	安全防護(hù)	Backup （配置檔）	備援設(shè)備及監(jiān)控
●標(biāo)配    ○選配  ☆不要求
5	很高	●	●	Monthly	●
4	高	●	●	Monthly	●
3	中	○	●	season	○
2	低	○	○	☆	☆
1	很低	☆	○	☆	☆

 

網(wǎng)頁(yè)名稱(chēng)：信息資產(chǎn)分級(jí)分類(lèi)及災(zāi)備要求
URL標(biāo)題：http://m.kartarina.com/article20/pihjjo.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供用戶(hù)體驗(yàn)、品牌網(wǎng)站建設(shè)、網(wǎng)站收錄、企業(yè)建站、營(yíng)銷(xiāo)型網(wǎng)站建設(shè)、品牌網(wǎng)站制作

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶(hù)投稿、用戶(hù)轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話(huà)：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)