信息資產(chǎn)分級分類及災備要求

一、 目的

創(chuàng)新互聯(lián)堅持“要么做到,要么別承諾”的工作理念,服務領域包括:網(wǎng)站建設、網(wǎng)站制作、企業(yè)官網(wǎng)、英文網(wǎng)站、手機端網(wǎng)站、網(wǎng)站推廣等服務,滿足客戶于互聯(lián)網(wǎng)時代的連云港網(wǎng)站設計、移動媒體設計的需求,幫助企業(yè)找到有效的互聯(lián)網(wǎng)解決方案。努力成為您成熟可靠的網(wǎng)絡建設合作伙伴!

為降低或規(guī)避公司重要資產(chǎn)因遺失、損壞、篡改、外泄等事件帶來的潛在風險,這些風險將對公司的信譽、經(jīng)營活動、經(jīng)濟利益等造成較大或重大損失,需要規(guī)范信息資產(chǎn)分類定義與各項信息機密等級之準則,并規(guī)范各類信息資產(chǎn)之對應的災備要求。

二、 信息資產(chǎn)分類指導原則

1.       應對現(xiàn)有資產(chǎn)按不同存在形態(tài)和性質(zhì)進行分類、依各種資產(chǎn)自身特性采取相應管控措施;

2.       應對同一形態(tài)的資產(chǎn)類別依重要程度及價值分類,依重要層級采取相應保護措施;

3.       每項資產(chǎn)應明確資產(chǎn)管理負責人或所有人、安全級別、技術文檔、所處位置等;

4.       應定期進行資產(chǎn)盤點工作,定期檢視資產(chǎn)分級分類的合理性,并防止資產(chǎn)流失。

 

三、 參考文件

為確保與公司所定義的標準保持一致性,信息資產(chǎn)分類及資產(chǎn)價值的鑒別-- 參【略 】

 

四、 信息資產(chǎn)分類

公司信息資產(chǎn)是指一切關系公司安全和利益,在保護期限內(nèi)只限一定范圍的人員知悉、操作、維護的事物、文檔、項目、數(shù)據(jù)等資源。

信息資產(chǎn)依指導原則,分為以下六類:

 

資產(chǎn)分類

代號

示例

文檔和數(shù)據(jù)

D

1 )保存在信息媒介上的各種數(shù)據(jù)資料,包括源代碼、數(shù)據(jù)庫數(shù)據(jù)、系統(tǒng)文檔、運行管理規(guī)程、計劃、報告、用戶手冊等 ( 項目開發(fā)過程中產(chǎn)生的過程文檔 )
  2 )紙質(zhì)的各種文件,如傳真、電報、財務報告、發(fā)展計劃等(公司經(jīng)營中產(chǎn)生的行政文檔)

軟件和系統(tǒng)

R

系統(tǒng)軟件:操作系統(tǒng)、語言包、工具軟件、各種庫等
  應用軟件:外部購買的應用軟件,外包開發(fā)的應用軟件
  源程序:各種共享源代碼

硬件和設施

H

網(wǎng)絡設備:路由器、網(wǎng)關、交換機等
  計算機設備:大型機、小型機、服務器、工作站、臺式計算機、移動計算機等
  存儲設備:磁帶機、磁盤陣列、磁帶、光盤、軟盤、移動硬盤等
  傳輸線路:光纖、雙絞線等
  保障設備:動力保障設備( UPS 、變電設備等)、空調(diào)、保險柜、文件柜、門禁、消防設施等
  安全保障設備:防火墻、入侵檢測系統(tǒng)、身份驗證等
  其他:打印機、復印機、掃描儀、傳真機等

服務

S

辦公服務:為提高效率而開發(fā)的管理信息系統(tǒng)( MIS ),包括各種內(nèi)部配置管理、文件流轉管理等服務
  網(wǎng)絡服務:各種網(wǎng)絡設備、設施提供的網(wǎng)絡連接服務
  信息服務:對外依賴該系統(tǒng)開展的各類服務

人員

P

掌握重要信息和核心業(yè)務的人員,如主機維護主管、網(wǎng)絡維護主管等

其他

O

五、 信息資產(chǎn)價值的鑒別

     5.1 機密性賦值

根據(jù)資產(chǎn)在機密性上的不同要求,將其分為五個不同的等級,分別對應資產(chǎn)在機密性上應達成的不同程度或者機密性缺失時對整個組織的影響,見下表:

賦值

標識

定義

5

很高

包含組織最重要的秘密,關系未來發(fā)展的前途命運,對組織根本利益有著決定性的影響,如果泄露會造成災難性的損害。  

4

包含組織的重要秘密,其泄露會使組織的安全和利益遭受嚴重損害。

3

中等

組織的一般性秘密,其泄露會使組織的安全和利益受到損害。

2

僅能在組織內(nèi)部或在組織某一部門內(nèi)部公開的信息,向外擴散有可能對組織的利益造成輕微損害。

1

很低

可對社會公開的信息,公用的信息處理設備和系統(tǒng)資源等。

   

5.2 完整性賦值

        根據(jù)資產(chǎn)在完整性上的不同要求,將其分為五個不同的等級,分別對應資產(chǎn)在完整性上缺失時對整個組織的影響,見下表:

賦值

標識

定義

5

很高

完整性價值非常關鍵,未經(jīng)授權的修改或破壞會對組織造成重大的或無法接受的影響,對業(yè)務沖擊重大,并可能造成嚴重的業(yè)務中斷,難以彌補。

4

完整性價值較高,未經(jīng)授權的修改或破壞會對組織造成重大影響,對業(yè)務沖擊嚴重,較難彌補。

3

中等

完整性價值中等,未經(jīng)授權的修改或破壞會對組織造成影響,對業(yè)務沖擊明顯,但可以彌補。

2

完整性價值較低,未經(jīng)授權的修改或破壞會對組織造成輕微影響,對業(yè)務沖擊輕微,容易彌補。

1

很低

完整性價值非常低,未經(jīng)授權的修改或破壞對組織造成的影響可以忽略,對業(yè)務沖擊可以忽略。

5.3 可用性賦值

        根據(jù)資產(chǎn)在可用性上的不同要求,將其分為五個不同的等級,分別對應資產(chǎn)在可用性上的達成的不同程度,見下表:

賦值

標識

定義

5

很高

可用性價值非常高,合法使用者對信息及信息系統(tǒng)的可用度達到年度 99.9% 以上,或系統(tǒng)不允許中斷。

4

可用性價值較高,合法使用者對信息及信息系統(tǒng)的可用度達到每天 90% 以上,或系統(tǒng)允許中斷時間小于 10 分鐘。

3

中等

可用性價值中等,合法使用者對信息及信息系統(tǒng)的可用度在正常工作時間達到 70% 以上,或系統(tǒng)允許中斷時間小于 30 分鐘。

2

可用性價值較低,合法使用者對信息及信息系統(tǒng)的可用度在正常工作時間達到 25% 以上,或系統(tǒng)允許中斷時間小于 60 分鐘。

1

很低

可用性價值可以忽略,合法使用者對信息及信息系統(tǒng)的可用度在正常工作時間低于 25% 。

5.4     判定重要資 產(chǎn)

        資產(chǎn)重要性(價值)應依據(jù)資產(chǎn)在機密性、完整性和可用性上的賦值等級,經(jīng)過綜合評定得出,本公司資產(chǎn)重要性評價計算模型如下:

資產(chǎn)價值重要性 =( 機密性 *0.5+ 完整性 *0.3+ 可用性 *0.2) 四舍五入取整
根據(jù)資產(chǎn)在重要性上的不同賦值結果,將其分為五個不同的等級, 3 級以上屬本公司重要信息資產(chǎn),將對重要信息資產(chǎn)進行信息安全風險評估(具體評估過程見信息安全風險評估表),資產(chǎn)重要性等級劃分見下表:

等級

標識

描述

5

很高

非常重要,其安全屬性破壞后可能對組織造成非常嚴重的損失。

4

重要,其安全屬性破壞后可能對組織造成比較嚴重的損失。

3

比較重要,其安全屬性破壞后可能對組織造成中等程度的損失。

2

不太重要,其安全屬性破壞后可能對組織造成較低的損失。

1

很低

不重要,其安全屬性破壞后對組織造成很小的損失,甚至忽略不計。

六、 資產(chǎn)重要性與災備要求

 6-1 服務器( 含虛擬機)  

    A.       等級為高及很高的服務器,應確保雙電源接入且網(wǎng)絡具有冗余機制(如兩張網(wǎng)卡組成橋接)

    B.       等級為高及很高的服務器,OS 應具有冗余機制,如RAID1

    C.       應統(tǒng)一納入AD 管理及防毒體系

    D.      應建立性能監(jiān)控機制,提前預警通報

    E.       定期更新補丁,緊急補丁與產(chǎn)線協(xié)調(diào)可安裝的時間  

等級

標識

雙電源

雙網(wǎng)絡

OS-RAID

AD 管理

防毒

性能監(jiān)控

補丁更新

●標配    ○選配  ☆不要求

5

很高

RAID1

與 MP 協(xié)調(diào)

4

RAID1

與 MP 協(xié)調(diào)

3

RAID5

與 MP 協(xié)調(diào)

2

周末

1

很低

周末

   

6-2 DB&WEB& 源代碼

            A.       等級為高及很高的DB&WEB 服務器,應建立Cluster 機制

            B.       建立完善的備份機制,至少應包括本機備份,集中備份及離線備份三種模式

            C.       應視數(shù)據(jù)量的大小、備份所耗時間及負載情況,定義采用備份的方式,如完整備份,增量備份或差異備份

            D.      應視重要程度,規(guī)范數(shù)據(jù)損失的時間并做相應的配置

            E.       應建立DB&WEB 運作的監(jiān)控機制

            F.        應對備份數(shù)據(jù)進行權限保護,并定期對備份進行恢復測試,以確保數(shù)據(jù)的完整性和可用性

 

等級

標識

Cluster

數(shù)據(jù)損失

(本機日志)

Backup (本機各一份)

Backup center

Backup

Daily

Weekly

Monthly

Daily

offline

●標配    ○選配  ☆不要求

5

很高

0~15min

Daily

4

15~30min

Weekly

3

30min~1h

Weekly

2

1h~2h

1

很低

   

 6-3 網(wǎng)絡

        A.     核心網(wǎng)絡應建立冗余機制

        B. 核心網(wǎng)絡應建立防護機制,如防火墻,VLAN 劃分等

        C. 定期對網(wǎng)絡配置進行存檔,有變更時,應在變更后及時備份

        D.    核心網(wǎng)絡設備應建立備份設備,如樓層匯聚層交換機

        E.   應建立網(wǎng)絡實時流量監(jiān)控及動作監(jiān)控機制,提前預警

等級

標識

Cluster

安全防護

Backup (配置檔)

備援設備及監(jiān)控

●標配    ○選配  ☆不要求

5

很高

Monthly

4

Monthly

3

season

2

1

很低

 

網(wǎng)頁名稱:信息資產(chǎn)分級分類及災備要求
URL標題:http://muchs.cn/article20/pihjjo.html

成都網(wǎng)站建設公司_創(chuàng)新互聯(lián),為您提供用戶體驗、品牌網(wǎng)站建設、網(wǎng)站收錄企業(yè)建站、營銷型網(wǎng)站建設品牌網(wǎng)站制作

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉載內(nèi)容為主,如果涉及侵權請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉載,或轉載時需注明來源: 創(chuàng)新互聯(lián)

成都網(wǎng)站建設