信息資產(chǎn)

從財(cái)會(huì)角度來看，資產(chǎn)是指企業(yè)由于過去的交易而獲得，具有未來經(jīng)濟(jì)效益的事物，例如企業(yè)花費(fèi)巨資購買機(jī)器設(shè)備，或是取得某項(xiàng)專利技術(shù)，可以為企業(yè)制造產(chǎn)品，創(chuàng)造收入及獲利，從營運(yùn)角度來看，任何對于企業(yè)營去有幫助的都算是資產(chǎn)，例如計(jì)算機(jī)系統(tǒng)及設(shè)備等，企業(yè)必須通過這些系統(tǒng)設(shè)備才能處理客戶訂單，所以也是重要資產(chǎn)，只要認(rèn)定為資產(chǎn)，必然有其價(jià)值，不論有形無形，都必須列清單予以保管，然而過去資產(chǎn)管理重點(diǎn)放在有形資產(chǎn)上，例如現(xiàn)金、廠房、辦公室、機(jī)器設(shè)備、原材料等，比較少針對無形資產(chǎn)列賬控及盤點(diǎn)。

從信息的角度來看，除了計(jì)算機(jī)設(shè)備外，有許多無形資產(chǎn)對企業(yè)營也非常重要，如信息系統(tǒng)、網(wǎng)站系統(tǒng)、軟件工具、交易數(shù)據(jù)及客戶數(shù)據(jù)、甚至是信息人員等，都是公司非常重要的資產(chǎn)，也需要列示清單及管理，所以在信息安全方法論中，將資產(chǎn)分為以下五類：

* 資料：主要指電子形式的檔案，例如：客戶數(shù)據(jù)、交易數(shù)據(jù)、軟件程序原始碼等。
* 文件：指書面文件，例如會(huì)計(jì)傳票、系統(tǒng)開發(fā)文件、使用手冊、部門年度計(jì)劃、部門管理辦法、窗體憑證等。
* 軟件：例如應(yīng)用軟件、操作系統(tǒng)、程序開發(fā)工具等。
* 硬件：包括服務(wù)器、個(gè)人計(jì)算機(jī)、打印機(jī)、傳真機(jī)、電話、磁帶及其他相關(guān)外圍設(shè)備等。
* 人員：信息部門主管、數(shù)據(jù)庫管理員、操作系統(tǒng)管理員、網(wǎng)絡(luò)管理員、網(wǎng)站設(shè)計(jì)人員、程序維護(hù)人員、機(jī)房管理員、電子郵件系統(tǒng)管理員、防毒軟件管理員、防火墻管理員、行政助理人員等。

從信息安全與風(fēng)險(xiǎn)管理角度來看，信息資產(chǎn)須適當(dāng)分類，標(biāo)示，儲(chǔ)存及保護(hù)，并明確劃分保管責(zé)任，信息資產(chǎn)須定期盤點(diǎn)及更新，信息資產(chǎn)之標(biāo)示，使用，傳遞及保管須有相對應(yīng)的控管程序。

弱點(diǎn)與威脅

如同前面所提，弱點(diǎn)指的是資產(chǎn)本身脆弱的地方，就信息資產(chǎn)而言，弱點(diǎn)可能以下列形式出現(xiàn)：

* 資產(chǎn)本身會(huì)受到破壞，例如有形資產(chǎn)的實(shí)體，一旦實(shí)體損壞就會(huì)喪失功能，所以必須保護(hù)資產(chǎn)實(shí)體。
* 資產(chǎn)一旦被其他人取得，很難排除或發(fā)現(xiàn)其他人使用，例如計(jì)算機(jī)軟件，他人取得執(zhí)行程序可以安裝在自己的計(jì)算機(jī)使用，因而衍生知識產(chǎn)權(quán)問題。
* 資產(chǎn)可以開放修改或調(diào)整，例如系統(tǒng)軟件的程序原始碼，劃是主機(jī)系統(tǒng)設(shè)定，既然可以修改或調(diào)整，就有正確性問題，系統(tǒng)軟件原始碼版本不正確，會(huì)導(dǎo)致交易處理時(shí)發(fā)生錯(cuò)誤。
* 資產(chǎn)數(shù)量有限，例如銀行使用的大型IBM主機(jī)，一旦毀損，可能必須由美進(jìn)口才能取得替代設(shè)備，因而重要計(jì)算機(jī)設(shè)備有可用性(Availahility)的問題。
*資產(chǎn)必須是完整的才能發(fā)揮效用，例如消費(fèi)者透過網(wǎng)絡(luò)購買商品，在網(wǎng)站輸入交易數(shù)據(jù)或信用卡數(shù)據(jù)，必須完整傳送到廠商訂單系統(tǒng)或數(shù)據(jù)庫，整個(gè)交易才會(huì)獲得承認(rèn)，因而輸入的交易數(shù)據(jù)有完整性的問題。

弱點(diǎn)本身并不會(huì)自己引起損害，如果沒有威脅，損害就不會(huì)發(fā)生，例如計(jì)算機(jī)設(shè)備本身雖然有實(shí)體，但是不會(huì)無緣無故自己燃燒起來，但是資產(chǎn)本身的弱點(diǎn)，會(huì)成為組織中信息安全的缺點(diǎn)或漏洞，若不能有效控管這些缺點(diǎn)或漏洞，那到威脅就可能利用弱點(diǎn)對資產(chǎn)造成危害，并造成企業(yè)損失，所以弱點(diǎn)與威脅就可能利用弱點(diǎn)對產(chǎn)造成危害，并造成企業(yè)損失，所以弱點(diǎn)與威脅實(shí)為一體兩面，例如資產(chǎn)實(shí)體為易燃物，其面臨的威脅就是火災(zāi)，兩者合起來就是企業(yè)資產(chǎn)因火災(zāi)而損壞的概率，再乘上資產(chǎn)價(jià)值，可以得到預(yù)期損失，也就是企業(yè)承受的風(fēng)險(xiǎn)。

基本上，從信息資產(chǎn)角度來看，威脅大概可以分成以下幾個(gè)來源：

* 天然災(zāi)害：例如雷擊、地震、水災(zāi)以及非人為因素的火宵等。
* 人為惡意破壞：例如偷竊，搶奪、人力敲打等。
* 技術(shù)問題：例如機(jī)件故障，流得超載而引發(fā)網(wǎng)絡(luò)斷線或系統(tǒng)中斷等。
* 意外事件：例如車禍等意外事件所造成的破壞。

控制措施可以保護(hù)資產(chǎn)弱點(diǎn)、減少威脅、降低風(fēng)險(xiǎn)，所以針對重大風(fēng)險(xiǎn)項(xiàng)目，必須設(shè)計(jì)適當(dāng)控制措施。例如有實(shí)體的信息資產(chǎn)（如計(jì)算機(jī)主機(jī)），可以放置在設(shè)有安全系統(tǒng)的機(jī)房內(nèi)，如此資產(chǎn)弱點(diǎn)就會(huì)比較不明顯，而計(jì)算機(jī)主機(jī)遭竊或遭到惡意破壞的威脅也會(huì)減輕，其他控制措施還有像安裝網(wǎng)絡(luò)防火墻，防毒軟件，不斷電系統(tǒng)，或是加強(qiáng)信息安全教育訓(xùn)練等。

然而所謂控制措施只是針對個(gè)別信息資產(chǎn)或風(fēng)險(xiǎn)項(xiàng)目，而不是企業(yè)整體風(fēng)險(xiǎn)，因此在設(shè)置控制措施時(shí)除了考慮成本效益，還要顧及彼此的關(guān)聯(lián)性及互補(bǔ)性，以英國建立的國際信息安全標(biāo)準(zhǔn)為例，完整的信息安全架構(gòu)(Information Security Management Structure,ISMS)包含十個(gè)項(xiàng)目，詳細(xì)內(nèi)容請參考BS7799發(fā)行的資料：

*信息安全政策
*信息安全組織
*信息資產(chǎn)分類與控管
*人員安全
*設(shè)備與環(huán)境的控管
*通訊與作業(yè)程序控管
*系統(tǒng)發(fā)展與維護(hù)控管
*存取控管
*企業(yè)永續(xù)經(jīng)營管理
*遵循控管

在這個(gè)管理架構(gòu)中，我們可以看到許多并不是針對特定資產(chǎn)或風(fēng)險(xiǎn)的控管項(xiàng)目，但是對于企業(yè)整體信息安全有很大影響，如管理層對于信息安全的看法及態(tài)度，外來單位存取組織內(nèi)信息處理設(shè)施時(shí)的安全管理，委外加工處理時(shí)相關(guān)信息的安全管理，降低人為錯(cuò)誤，偷竊，欺騙或設(shè)備誤用的風(fēng)險(xiǎn)等，此外整個(gè)架構(gòu)還強(qiáng)調(diào)企業(yè)必須思考如何在發(fā)生重大系統(tǒng)失效或人為疏失時(shí)，不會(huì)因此中斷企業(yè)活動(dòng)，且能保護(hù)企業(yè)關(guān)鍵流程持續(xù)運(yùn)作，除了將損害降至最小外，在事后還能從中學(xué)習(xí)并監(jiān)督以后類似事件是否發(fā)生，另一方面還要顧及避免觸犯任何刑事或民事法和已成文的規(guī)范，合約義務(wù)及信息要求等。

建立信息安全體系

根據(jù)BS7799方法論，整個(gè)信息安全體系的建立可以分為六個(gè)步驟：
* 定義信息安全政策
* 定義信息安全體系范圍
* 執(zhí)行風(fēng)險(xiǎn)評估程序
* 決定風(fēng)險(xiǎn)可接受水平
* 選擇與設(shè)計(jì)控制措施
* 提出適用性聲明

【?發(fā)表評論?0條?】