| 出版日期:2004-05-24 总期号:611 本年期号:18 |
|
 |
信息资产的分类与控制
CISA专家 陈伟 信息安全管理BS7799十大领域连载之三 根据《光明日报》2004年2月9日的统计数字,国内2003年电子政务信息安全市场规模超过5亿元,金融信息化安全市场规模约有4.5亿元,电信行业信息安全市场规模不低于10亿元,石化、电力、交通运输、制造、教育、卫生等行业和个人市场的安全市场规模约有近10亿元。 从2003年的总共将近30亿元市场情况看,防火墙、防病毒、入侵检测系统、虚拟专用网设备等占了整个安全产品市值的绝大部分,企业花费在信息安全管理、咨询、安全意识、培训、教育方面的费用微乎其微。 从统计数据我们可以分析出,目前在用户中普遍比较流行的信息资产保护观点是:通过部署防病毒软件、防火墙及入侵检测系统等边界保护与检测设备来保护储存在计算机中的数据资产免受非法入侵。 然而信息资产真的只是储存在计算机中的数据吗? 什么是信息资产? 在BS7799中,对信息的定义更确切、具体:“信息是一种资产,像其它重要的业务资产一样,对组织具有价值,因此需要妥善保护”。 我们习惯于把计算机、通讯设备、磁介质等看成信息资产,而不习惯于把对组织有重要价值的档案资料、人员、企业形象、服务等看作是资产,往往忽略了对这些资产的保护,而实际上这些资产对组织的业务持续性来说是至关重要的。 BS7799列出了常见信息资产有: ◆数据与文档:数据库和数据文件、系统文件、用户手册、培训材料、运行与支持程序、业务持续性计划、应急安排 ◆书面文件:合同、指南、企业文件、包含重要业务结果的文件 ◆软件资产:应用软件、系统软件、开发工具和实用程序 ◆物理资产:计算机、通讯设备、磁介质(磁盘与磁带),其它技术设备(供电设备、空调设备)、家具、办公场所 ◆人员:员工、客户 ◆企业形象与声誉 ◆服务:计算和通讯服务,其它技术服务(供热、照明、电力、空调) 组织在实施BS7799时,不一定要拘泥于以上资产类型,还可以列出适合自身需要的其它信息资产。 下面我们结合BS7799在这个领域的措施目标与措施,来详细讨论如何识别信息资产,并进行科学而有效的分类,然后在各个管理层对资产落实责任,进行恰当的管理。 控制目标与控制措施 落实资产责任 目标:为组织的资产提供适当的保护 应当为所有主要财产确定所有权人,并且为维护适当的管理措施而分配责任。可以委派执行这些管理计划的责任。被提名的资产所有者应当承担保护资产的责任。 控制措施—资产的清单 应该列出并维持一份与每个信息系统有关的所有重要资产的清单。 在信息安全体系范围内为资产编制清单是一项重要工作,每项资产都应该清晰定义,合理估价,在组织中明确资产所有权关系,进行安全分类,并以文件方式详细记录在案。 具体措施包括: 组织可根据业务运作流程和信息系统基础架构识别出信息资产,按照信息资产所属系统或所在部门列出资产清单,将每项资产的名称、所处位置、价值、资产负责人等相关信息记录在资产清单上; 根据资产的相对价值大小来确定关键信息资产,并对其进行风险评估以确定适当的控制措施; 对每一项信息资产,组织的管理者应指定专人负责其使用和保护,防止资产被盗、丢失与滥用; 定期对信息资产进行清查盘点,确保资产账物相符和完好无损。 信息的分类 目标:确保信息资产得到适当程度的保护 应当将信息分类,指出其安全保护的具体要求、优先级和保护程度。 不同信息有不同的敏感性和重要性。有的信息资产可能需要额外保护或者特殊处理。 应当采用信息分类系统来定义适当的安全保护等级范围,并传达特殊处理措施的需要。 控制措施—信息资产分类原则 信息的分类及相关的保护控制,应适合于企业运营对于信息分享或限制的需要,以及这些需要对企业营运所带来的影响。 信息的分类和相关保护措施应当综合考虑到信息共享和信息限制的业务需要,还要考虑对业务的影响,例如对信息未经授权的访问或者对信息的破坏。一般说来,信息分类是一种处理和保护该信息的简捷方法。 信息分类时要注意以下几点:信息的分类等级要合理、信息的保密期限、谁对信息的分类负责。 控制措施—信息的标识与处理 应当制定信息标识及处理的程序,以符合组织所采用的分类法则。 为信息标识和处理定义一个符合组织分类标准的处理程序是非常重要的。这些程序要涵盖实物形式和电子形式的信息。对于每种分类,应当包含以下信息处理活动的程序:复制、存储、通过邮局、传真和电子邮件的信息发送、通过口头语言的信息传递,包括通过移动电话、语音邮件和录音电话传送的信息、销毁。 对于那些含有被划定为敏感或者重要信息的应用系统,其输出应当带有适当的分类标识。该标识应当反映根据组织规则而建立的分类。需要考虑的项目包括打印的报告、屏幕显示、存储介质(磁带、磁盘、CD、卡式盒带)、电子消息和文档传输。 一般来说,物理标识是最合适的标识形式,一些信息资产例如电子文档无法加上物理标识时,可以采用电子标识。 案例【A科技股份有限公司信息敏感性分类策略】 目标 所有员工都应当熟悉本政策规定的敏感信息分类标签办法和敏感信息管理指南。员工可以根据分类定义标准和管理指南来保护信息,另一方面也可以采用通用最佳实践的办法来保护公司的机密信息。(例如,员工不应该把A公司的机密信息遗留在无人值守的会议室里) 范围 A公司的所有信息可以分成两种类型:公开信息与机密信息。公开信息是由公司内的授权人员宣布可公开的信息,这些可公开的信息不会对公司的信息安全造成损害。 机密信息是指公司内部所有不可公开的信息,这些信息属于敏感信息,需要以安全的方式加以保护。有些敏感信息需要非常仔细地加以保护。 策略 下面的管理指南介绍如何在不同的敏感级别下保护公司信息(硬拷贝形式及电子格式的信息标签指南)。这些指南仅作为一个参考,在不同的环境条件下,每一种敏感级别下推荐的信息保护办法可能或多或少地会有一些变化。 1.最小敏感性信息:公司的一般信息、一部分不重要的人事与技术信息。在对信息资产做标注时,应在显著位置写上“A机密”。如果信息不作标注,那么这种信息将被默认为 “A机密”,除非由公司授权人员明确地宣布为公开信息。 2.比较敏感的信息:公司的业务、财务、技术信息、大部分人事信息。 由于敏感程度增加了,在对信息资产做标注时,应在显著位置写上“A机密-内部使用”。 3.非常敏感的信息:影响公司成功的核心商业机密、运营信息、人事信息、财务信息、技术信息、源代码等。对于这类非常敏感的信息,在对信息资产做标注时,应在显著位置写上“A机密-限制使用”。 执行纪律 对有意或无意地暴露公司信息,对违反此政策的任何员工将要按公司惩戒程序进行处罚,甚至开除,情节严重者还将面临民事或刑事诉讼。 版本历史 2001年10月10日正式起用,版本号1.0;2001年12月5日第一次修改,版本号1.1;2002年9月19日第二次修改,版本号2.0。 |
||||||||||||||||||||||
