信息資產(chǎn)
從財(cái)會(huì)角度來看����,資產(chǎn)是指企業(yè)由于過去的交易而獲得,具有未來經(jīng)濟(jì)效益的事物��,例如企業(yè)花費(fèi)巨資購買機(jī)器設(shè)備���,或是取得某項(xiàng)專利技術(shù),可以為企業(yè)制造產(chǎn)品���,創(chuàng)造收入及獲利�����,從營運(yùn)角度來看�����,任何對(duì)于企業(yè)營去有幫助的都算是資產(chǎn)�����,例如計(jì)算機(jī)系統(tǒng)及設(shè)備等����,企業(yè)必須通過這些系統(tǒng)設(shè)備才能處理客戶訂單,所以也是重要資產(chǎn)���,只要認(rèn)定為資產(chǎn)����,必然有其價(jià)值��,不論有形無形���,都必須列清單予以保管�����,然而過去資產(chǎn)管理重點(diǎn)放在有形資產(chǎn)上����,例如現(xiàn)金、廠房�、辦公室、機(jī)器設(shè)備����、原材料等,比較少針對(duì)無形資產(chǎn)列賬控及盤點(diǎn)�����。
從信息的角度來看����,除了計(jì)算機(jī)設(shè)備外,有許多無形資產(chǎn)對(duì)企業(yè)營也非常重要����,如信息系統(tǒng)�����、網(wǎng)站系統(tǒng)、軟件工具��、交易數(shù)據(jù)及客戶數(shù)據(jù)��、甚至是信息人員等�����,都是公司非常重要的資產(chǎn)���,也需要列示清單及管理����,所以在信息安全方法論中����,將資產(chǎn)分為以下五類:
* 資料:主要指電子形式的檔案���,例如:客戶數(shù)據(jù)����、交易數(shù)據(jù)���、軟件程序原始碼等����。
* 文件:指書面文件�,例如會(huì)計(jì)傳票、系統(tǒng)開發(fā)文件����、使用手冊(cè)、部門年度計(jì)劃��、部門管理辦法���、窗體憑證等�����。
* 軟件:例如應(yīng)用軟件�����、操作系統(tǒng)���、程序開發(fā)工具等。
* 硬件:包括服務(wù)器�、個(gè)人計(jì)算機(jī)、打印機(jī)�、傳真機(jī)、電話����、磁帶及其他相關(guān)外圍設(shè)備等。
* 人員:信息部門主管�、數(shù)據(jù)庫管理員、操作系統(tǒng)管理員�����、網(wǎng)絡(luò)管理員�、網(wǎng)站設(shè)計(jì)人員、程序維護(hù)人員��、機(jī)房管理員、電子郵件系統(tǒng)管理員�����、防毒軟件管理員����、防火墻管理員、行政助理人員等����。
從信息安全與風(fēng)險(xiǎn)管理角度來看,信息資產(chǎn)須適當(dāng)分類��,標(biāo)示�����,儲(chǔ)存及保護(hù)�,并明確劃分保管責(zé)任,信息資產(chǎn)須定期盤點(diǎn)及更新����,信息資產(chǎn)之標(biāo)示,使用��,傳遞及保管須有相對(duì)應(yīng)的控管程序。
弱點(diǎn)與威脅
如同前面所提����,弱點(diǎn)指的是資產(chǎn)本身脆弱的地方,就信息資產(chǎn)而言�����,弱點(diǎn)可能以下列形式出現(xiàn):
* 資產(chǎn)本身會(huì)受到破壞��,例如有形資產(chǎn)的實(shí)體��,一旦實(shí)體損壞就會(huì)喪失功能��,所以必須保護(hù)資產(chǎn)實(shí)體�����。
* 資產(chǎn)一旦被其他人取得��,很難排除或發(fā)現(xiàn)其他人使用��,例如計(jì)算機(jī)軟件��,他人取得執(zhí)行程序可以安裝在自己的計(jì)算機(jī)使用�����,因而衍生知識(shí)產(chǎn)權(quán)問題����。
* 資產(chǎn)可以開放修改或調(diào)整,例如系統(tǒng)軟件的程序原始碼����,劃是主機(jī)系統(tǒng)設(shè)定,既然可以修改或調(diào)整����,就有正確性問題,系統(tǒng)軟件原始碼版本不正確��,會(huì)導(dǎo)致交易處理時(shí)發(fā)生錯(cuò)誤���。
* 資產(chǎn)數(shù)量有限��,例如銀行使用的大型IBM主機(jī)�����,一旦毀損�,可能必須由美進(jìn)口才能取得替代設(shè)備,因而重要計(jì)算機(jī)設(shè)備有可用性(Availahility)的問題���。
*資產(chǎn)必須是完整的才能發(fā)揮效用����,例如消費(fèi)者透過網(wǎng)絡(luò)購買商品�,在網(wǎng)站輸入交易數(shù)據(jù)或信用卡數(shù)據(jù),必須完整傳送到廠商訂單系統(tǒng)或數(shù)據(jù)庫���,整個(gè)交易才會(huì)獲得承認(rèn),因而輸入的交易數(shù)據(jù)有完整性的問題����。
弱點(diǎn)本身并不會(huì)自己引起損害,如果沒有威脅�����,損害就不會(huì)發(fā)生���,例如計(jì)算機(jī)設(shè)備本身雖然有實(shí)體�,但是不會(huì)無緣無故自己燃燒起來��,但是資產(chǎn)本身的弱點(diǎn),會(huì)成為組織中信息安全的缺點(diǎn)或漏洞����,若不能有效控管這些缺點(diǎn)或漏洞,那到威脅就可能利用弱點(diǎn)對(duì)資產(chǎn)造成危害�����,并造成企業(yè)損失���,所以弱點(diǎn)與威脅就可能利用弱點(diǎn)對(duì)產(chǎn)造成危害��,并造成企業(yè)損失�����,所以弱點(diǎn)與威脅實(shí)為一體兩面���,例如資產(chǎn)實(shí)體為易燃物,其面臨的威脅就是火災(zāi)��,兩者合起來就是企業(yè)資產(chǎn)因火災(zāi)而損壞的概率��,再乘上資產(chǎn)價(jià)值�,可以得到預(yù)期損失����,也就是企業(yè)承受的風(fēng)險(xiǎn)�����。
基本上��,從信息資產(chǎn)角度來看���,威脅大概可以分成以下幾個(gè)來源:
* 天然災(zāi)害:例如雷擊��、地震�、水災(zāi)以及非人為因素的火宵等����。
* 人為惡意破壞:例如偷竊����,搶奪、人力敲打等��。
* 技術(shù)問題:例如機(jī)件故障��,流得超載而引發(fā)網(wǎng)絡(luò)斷線或系統(tǒng)中斷等。
* 意外事件:例如車禍等意外事件所造成的破壞��。
控制措施可以保護(hù)資產(chǎn)弱點(diǎn)
項(xiàng)目經(jīng)理勝任力免費(fèi)測(cè)評(píng)PMQ上線啦���!快來測(cè)測(cè)你排多少名吧~
http://m.opto-elec.com.cn/pmqhd/index.html
