资产和资产风险等级划分准则

资产和资产风险等级划分准则 资产的分类 分类一般扌田述 包括各种业务相关的电子类的文件资料，可按照部门现有文件明细列举，或者根据部门业 务流程从头 至尾列举，列举时尽量按照确定的纬度来分类，比如按照职能，或者按照业务 流程的不冋环节。要求 信息资 产 识别的是分组或类别，不要具体到特定的单个文件。数据资料的列 举和分组应该以业务功能和保密性 要求为主要考虑，也就是说，识别出的数据资料应该具 有某种业务功能，此外，还应该重点考虑其保 密性要求。本部门产生的以及其他部门按正 常流程交付过来供本部门使用的，都在列举范畴内。本部 门尽量清晰，来自外部门的可以 按照比较宽泛的类别来界定。 软件资 产 各种本部门安装使用的软件，包括系统软件、应用软件（有后台数据库并存储应用数据的 软件系统）、 工具软件（支持特定工作的软件工具）、桌面软件（日常办公所需的桌面软件包）等。所列举的软件应 该与产生、支持和操作已识别的数据资产有直接关系。 书面文 档 合冋，公司文件，企业成果，人事文档，培训文档，米购文件，发票，政府下达的文件， 也包括各类电 子数据的归档件、打印件、复印件、书面管理文件等。 与业务相关的 IT 物理设备。如产生数据类服务器、笔记本计算机、PC 机、打印机、复印 U 盘、光盘、移动硬盘 实体资 产 机、等）、通讯传输设备（路由器、防火墙等）、记录存储媒体（ 等） 支持设 监控设备，门禁，暖气，供水，空调，报警，发电机 施 承担某项与业务活动相关责任的角色和职位。例如总经理、部门经理、网络管理员、固定 资产管理 人员 员、业务主管、系统管理员、软件开发人员、清洁员、普通员工等，这些人员与 各类数据、软件和实物资产的操作直接相关。 公司形 象和名 誉 影响公司形象及名誉的各种事件或信息。 资产的分级标准 资产的等级通过资产的机密性（C）、完整性（I）和可用性（A）三个因素表现 计算公式为：机密性价值（C）+完整性价值（I）+可用性价值（A） 每个因素的判定标准如下: 取值标准描述 取 等级 值 一般资产 保密性 Confidentiality 人员 完整性 Integrity 一般资产 可用性 Availability 一般资产人员人员 最高敏感性 的数据文 未经授权的 如果该人 员未正确 破坏或更改 可以接 将会对信息 件、信息处合法使用者 对信息系统 及信息的存 取可用度达 到年度每天 突然缺 席，会造 成公司日 常运营的 停顿或造 成重大影 响 理设施和系 执行其职 务内容，将 系统有非常 造成公司 重大的影 级业务运 Top Very 4Secret High 统资源，仅 能被极少数 人知道。一 触/存 取各个 级别的 响，可能导 信息 致严重的业 绝密 旦泄漏会给作效率大 大降低或 务中断 99.9%以上 (7*24 )公司带来特 别严重的损 害后果 停顿 重要的信可以接未经授权的如果该人合法使用者突然缺 Secret High3 机密 息、信息处 理设施和系 触/存 取最高 破坏或更改 对信息系统 员未正确 执行其职 对信息系统 及信息的存 席，会造 成公司某 统资源，只到机密有重大影务内容，将取可用度达项业务的 能给少数必级的信 息 响，而且（或造成单位/ 者）对业务 造成严重冲 部门之业 到每天 95% 以上(7*24) 停顿或造 成重大影 响 须知道者 （特定的任务运作效 务群体）。击率降低或 一旦泄漏会停顿 对公司造成 严重的损害 可以接未经授权的 破坏或更改 会对信息系 如果该人 合法使用者 突然缺 席，会造 对信息系统 成公司某 触/存员未正确 执行其职 及信息的存 务内容，将 取可用度在 造成相关 正常上班时 工作任务 一般性的公 取公司 Co nfid Middl 2en tial 司秘密，泄 一般性 漏后会给公 的秘密 的影响，而 且（或者） 司造成一疋 统造成一定个项目或 某项工作 的停顿或 间达到 e 秘密 信息和 的损害 内部公给业务带来效率降低造成负面 100% (5*8) 开信息 明显冲击 或停顿 影响 并非敏感信未经授权的 可以接 触/存 取内部 公开的 信息 如果该人 员未正确 执行其职 务内容，不 会对业务 运作造成 影响 合法使用者 对信息系统 及信息的存 取可用度在 正常上班时 间至少达到 In terna息，主要限破坏或更改 不会对信息 系统有重大 影响，也不 会对业务有 明显冲击 突然缺 席，对某 项任务造 成负面影 响 l Use Low 于公司内部 使用。一旦 泄漏，并不 会对公司造 成显著的影 1On ly 内部公 开 50%以上 响(5*8 )