溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
一、 目的
為降低或規避公司重要資產因遺失、損壞、篡改、外泄等事件帶來的潛在風險,這些風險將對公司的信譽、經營活動、經濟利益等造成較大或重大損失,需要規范信息資產分類定義與各項信息機密等級之準則,并規范各類信息資產之對應的災備要求。
二、 信息資產分類指導原則
1. 應對現有資產按不同存在形態和性質進行分類、依各種資產自身特性采取相應管控措施;
2. 應對同一形態的資產類別依重要程度及價值分類,依重要層級采取相應保護措施;
3. 每項資產應明確資產管理負責人或所有人、安全級別、技術文檔、所處位置等;
4. 應定期進行資產盤點工作,定期檢視資產分級分類的合理性,并防止資產流失。
三、 參考文件
為確保與公司所定義的標準保持一致性,信息資產分類及資產價值的鑒別-- 參【略 】
四、 信息資產分類
公司信息資產是指一切關系公司安全和利益,在保護期限內只限一定范圍的人員知悉、操作、維護的事物、文檔、項目、數據等資源。
信息資產依指導原則,分為以下六類:
|
資產分類 |
代號 |
示例 |
|
文檔和數據 |
D |
1
)保存在信息媒介上的各種數據資料,包括源代碼、數據庫數據、系統文檔、運行管理規程、計劃、報告、用戶手冊等
(
項目開發過程中產生的過程文檔
)
|
|
軟件和系統 |
R |
系統軟件:操作系統、語言包、工具軟件、各種庫等
|
|
硬件和設施 |
H |
網絡設備:路由器、網關、交換機等
|
|
服務 |
S |
辦公服務:為提高效率而開發的管理信息系統(
MIS
),包括各種內部配置管理、文件流轉管理等服務
|
|
人員 |
P |
掌握重要信息和核心業務的人員,如主機維護主管、網絡維護主管等 |
|
其他 |
O |
|
五、 信息資產價值的鑒別
5.1 機密性賦值
根據資產在機密性上的不同要求,將其分為五個不同的等級,分別對應資產在機密性上應達成的不同程度或者機密性缺失時對整個組織的影響,見下表:
|
賦值 |
標識 |
定義 |
|
5 |
很高 |
包含組織最重要的秘密,關系未來發展的前途命運,對組織根本利益有著決定性的影響,如果泄露會造成災難性的損害。 |
|
4 |
高 |
包含組織的重要秘密,其泄露會使組織的安全和利益遭受嚴重損害。 |
|
3 |
中等 |
組織的一般性秘密,其泄露會使組織的安全和利益受到損害。 |
|
2 |
低 |
僅能在組織內部或在組織某一部門內部公開的信息,向外擴散有可能對組織的利益造成輕微損害。 |
|
1 |
很低 |
可對社會公開的信息,公用的信息處理設備和系統資源等。 |
5.2 完整性賦值
根據資產在完整性上的不同要求,將其分為五個不同的等級,分別對應資產在完整性上缺失時對整個組織的影響,見下表:
|
賦值 |
標識 |
定義 |
|
5 |
很高 |
完整性價值非常關鍵,未經授權的修改或破壞會對組織造成重大的或無法接受的影響,對業務沖擊重大,并可能造成嚴重的業務中斷,難以彌補。 |
|
4 |
高 |
完整性價值較高,未經授權的修改或破壞會對組織造成重大影響,對業務沖擊嚴重,較難彌補。 |
|
3 |
中等 |
完整性價值中等,未經授權的修改或破壞會對組織造成影響,對業務沖擊明顯,但可以彌補。 |
|
2 |
低 |
完整性價值較低,未經授權的修改或破壞會對組織造成輕微影響,對業務沖擊輕微,容易彌補。 |
|
1 |
很低 |
完整性價值非常低,未經授權的修改或破壞對組織造成的影響可以忽略,對業務沖擊可以忽略。 |
5.3 可用性賦值
根據資產在可用性上的不同要求,將其分為五個不同的等級,分別對應資產在可用性上的達成的不同程度,見下表:
|
賦值 |
標識 |
定義 |
|
5 |
很高 |
可用性價值非常高,合法使用者對信息及信息系統的可用度達到年度 99.9% 以上,或系統不允許中斷。 |
|
4 |
高 |
可用性價值較高,合法使用者對信息及信息系統的可用度達到每天 90% 以上,或系統允許中斷時間小于 10 分鐘。 |
|
3 |
中等 |
可用性價值中等,合法使用者對信息及信息系統的可用度在正常工作時間達到 70% 以上,或系統允許中斷時間小于 30 分鐘。 |
|
2 |
低 |
可用性價值較低,合法使用者對信息及信息系統的可用度在正常工作時間達到 25% 以上,或系統允許中斷時間小于 60 分鐘。 |
|
1 |
很低 |
可用性價值可以忽略,合法使用者對信息及信息系統的可用度在正常工作時間低于 25% 。 |
5.4 判定重要資 產
資產重要性(價值)應依據資產在機密性、完整性和可用性上的賦值等級,經過綜合評定得出,本公司資產重要性評價計算模型如下:
|
等級 |
標識 |
描述 |
|
5 |
很高 |
非常重要,其安全屬性破壞后可能對組織造成非常嚴重的損失。 |
|
4 |
高 |
重要,其安全屬性破壞后可能對組織造成比較嚴重的損失。 |
|
3 |
中 |
比較重要,其安全屬性破壞后可能對組織造成中等程度的損失。 |
|
2 |
低 |
不太重要,其安全屬性破壞后可能對組織造成較低的損失。 |
|
1 |
很低 |
不重要,其安全屬性破壞后對組織造成很小的損失,甚至忽略不計。 |
六、 資產重要性與災備要求
6-1 服務器( 含虛擬機)
A. 等級為高及很高的服務器,應確保雙電源接入且網絡具有冗余機制(如兩張網卡組成橋接)
B. 等級為高及很高的服務器,OS 應具有冗余機制,如RAID1
C. 應統一納入AD 管理及防毒體系
D. 應建立性能監控機制,提前預警通報
E. 定期更新補丁,緊急補丁與產線協調可安裝的時間
|
等級 |
標識 |
雙電源 |
雙網絡 |
OS-RAID |
AD 管理 |
防毒 |
性能監控 |
補丁更新 |
|
●標配 ○選配 ☆不要求 | ||||||||
|
5 |
很高 |
● |
● |
RAID1 |
● |
● |
● |
與 MP 協調 |
|
4 |
高 |
● |
● |
RAID1 |
● |
● |
● |
與 MP 協調 |
|
3 |
中 |
○ |
○ |
RAID5 |
● |
● |
○ |
與 MP 協調 |
|
2 |
低 |
○ |
○ |
☆ |
● |
● |
○ |
周末 |
|
1 |
很低 |
☆ |
☆ |
☆ |
● |
● |
☆ |
周末 |
6-2 DB&WEB& 源代碼
A. 等級為高及很高的DB&WEB 服務器,應建立Cluster 機制
B. 建立完善的備份機制,至少應包括本機備份,集中備份及離線備份三種模式
C. 應視數據量的大小、備份所耗時間及負載情況,定義采用備份的方式,如完整備份,增量備份或差異備份
D. 應視重要程度,規范數據損失的時間并做相應的配置
E. 應建立DB&WEB 運作的監控機制
F. 應對備份數據進行權限保護,并定期對備份進行恢復測試,以確保數據的完整性和可用性
|
等級 |
標識 |
Cluster |
數據損失 (本機日志) |
Backup (本機各一份) |
Backup center |
Backup | ||
|
Daily |
Weekly |
Monthly |
Daily |
offline | ||||
|
●標配 ○選配 ☆不要求 | ||||||||
|
5 |
很高 |
● |
0~15min |
● |
● |
● |
● |
Daily |
|
4 |
高 |
● |
15~30min |
● |
● |
● |
● |
Weekly |
|
3 |
中 |
○ |
30min~1h |
● |
○ |
○ |
● |
Weekly |
|
2 |
低 |
○ |
1h~2h |
● |
○ |
○ |
○ |
○ |
|
1 |
很低 |
☆ |
☆ |
● |
☆ |
☆ |
○ |
○ |
6-3 網絡
A. 核心網絡應建立冗余機制
B. 核心網絡應建立防護機制,如防火墻,VLAN 劃分等
C. 定期對網絡配置進行存檔,有變更時,應在變更后及時備份
D. 核心網絡設備應建立備份設備,如樓層匯聚層交換機
E. 應建立網絡實時流量監控及動作監控機制,提前預警
|
等級 |
標識 |
Cluster |
安全防護 |
Backup (配置檔) |
備援設備及監控 |
|
●標配 ○選配 ☆不要求 | |||||
|
5 |
很高 |
● |
● |
Monthly |
● |
|
4 |
高 |
● |
● |
Monthly |
● |
|
3 |
中 |
○ |
● |
season |
○ |
|
2 |
低 |
○ |
○ |
☆ |
☆ |
|
1 |
很低 |
☆ |
○ |
☆ |
☆ |
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
