信息資產(chǎn)
從財(cái)會(huì)角度來看���,資產(chǎn)是指企業(yè)由于過去的交易而獲得����,具有未來經(jīng)濟(jì)效益的事物����,例如企業(yè)花費(fèi)巨資購(gòu)買機(jī)器設(shè)備����,或是取得某項(xiàng)專利技術(shù),可以為企業(yè)制造產(chǎn)品�,創(chuàng)造收入及獲利,從營(yíng)運(yùn)角度來看�����,任何對(duì)于企業(yè)營(yíng)去有幫助的都算是資產(chǎn),例如計(jì)算機(jī)系統(tǒng)及設(shè)備等�,企業(yè)必須通過這些系統(tǒng)設(shè)備才能處理客戶訂單,所以也是重要資產(chǎn)���,只要認(rèn)定為資產(chǎn)�,必然有其價(jià)值��,不論有形無形�,都必須列清單予以保管,然而過去資產(chǎn)管理重點(diǎn)放在有形資產(chǎn)上�,例如現(xiàn)金、廠房��、辦公室���、機(jī)器設(shè)備���、原材料等,比較少針對(duì)無形資產(chǎn)列賬控及盤點(diǎn)�����。
從信息的角度來看����,除了計(jì)算機(jī)設(shè)備外,有許多無形資產(chǎn)對(duì)企業(yè)營(yíng)也非常重要��,如信息系統(tǒng)����、網(wǎng)站系統(tǒng)、軟件工具����、交易數(shù)據(jù)及客戶數(shù)據(jù)、甚至是信息人員等���,都是公司非常重要的資產(chǎn)����,也需要列示清單及管理�,所以在信息安全方法論中,將資產(chǎn)分為以下五類:
* 資料:主要指電子形式的檔案�,例如:客戶數(shù)據(jù)、交易數(shù)據(jù)、軟件程序原始碼等����。
* 文件:指書面文件,例如會(huì)計(jì)傳票�����、系統(tǒng)開發(fā)文件����、使用手冊(cè)、部門年度計(jì)劃�、部門管理辦法、窗體憑證等����。
* 軟件:例如應(yīng)用軟件、操作系統(tǒng)�����、程序開發(fā)工具等����。
* 硬件:包括服務(wù)器��、個(gè)人計(jì)算機(jī)�、打印機(jī)���、傳真機(jī)、電話��、磁帶及其他相關(guān)外圍設(shè)備等�����。
* 人員:信息部門主管���、數(shù)據(jù)庫(kù)管理員��、操作系統(tǒng)管理員�、網(wǎng)絡(luò)管理員����、網(wǎng)站設(shè)計(jì)人員、程序維護(hù)人員�����、機(jī)房管理員、電子郵件系統(tǒng)管理員���、防毒軟件管理員�、防火墻管理員��、行政助理人員等�。
從信息安全與風(fēng)險(xiǎn)管理角度來看,信息資產(chǎn)須適當(dāng)分類�����,標(biāo)示���,儲(chǔ)存及保護(hù)�,并明確劃分保管責(zé)任��,信息資產(chǎn)須定期盤點(diǎn)及更新�,信息資產(chǎn)之標(biāo)示,使用�����,傳遞及保管須有相對(duì)應(yīng)的控管程序���。
弱點(diǎn)與威脅
如同前面所提����,弱點(diǎn)指的是資產(chǎn)本身脆弱的地方,就信息資產(chǎn)而言����,弱點(diǎn)可能以下列形式出現(xiàn):
* 資產(chǎn)本身會(huì)受到破壞����,例如有形資產(chǎn)的實(shí)體,一旦實(shí)體損壞就會(huì)喪失功能��,所以必須保護(hù)資產(chǎn)實(shí)體�。
* 資產(chǎn)一旦被其他人取得,很難排除或發(fā)現(xiàn)其他人使用�,例如計(jì)算機(jī)軟件,他人取得執(zhí)行程序可以安裝在自己的計(jì)算機(jī)使用�,因而衍生知識(shí)產(chǎn)權(quán)問題。
* 資產(chǎn)可以開放修改或調(diào)整����,例如系統(tǒng)軟件的程序原始碼,劃是主機(jī)系統(tǒng)設(shè)定��,既然可以修改或調(diào)整,就有正確性問題����,系統(tǒng)軟件原始碼版本不正確,會(huì)導(dǎo)致交易處理時(shí)發(fā)生錯(cuò)誤��。
* 資產(chǎn)數(shù)量有限����,例如銀行使用的大型IBM主機(jī),一旦毀損����,可能必須由美進(jìn)口才能取得替代設(shè)備,因而重要計(jì)算機(jī)設(shè)備有可用性(Availahility)的問題�。
*資產(chǎn)必須是完整的才能發(fā)揮效用,例如消費(fèi)者透過網(wǎng)絡(luò)購(gòu)買商品��,在網(wǎng)站輸入交易數(shù)據(jù)或信用卡數(shù)據(jù)��,必須完整傳送到廠商訂單系統(tǒng)或數(shù)據(jù)庫(kù)����,整個(gè)交易才會(huì)獲得承認(rèn),因而輸入的交易數(shù)據(jù)有完整性的問題�����。
弱點(diǎn)本身并不會(huì)自己引起損害,如果沒有威脅�,損害就不會(huì)發(fā)生,例如計(jì)算機(jī)設(shè)備本身雖然有實(shí)體����,但是不會(huì)無緣無故自己燃燒起來,但是資產(chǎn)本身的弱點(diǎn)����,會(huì)成為組織中信息安全的缺點(diǎn)或漏洞���,若不能有效控管這些缺點(diǎn)或漏洞�,那到威脅就可能利用弱點(diǎn)對(duì)資產(chǎn)造成危害�,并造成企業(yè)損失,所以弱點(diǎn)與威脅就可能利用弱點(diǎn)對(duì)產(chǎn)造成危害�����,并造成企業(yè)損失����,所以弱點(diǎn)與威脅實(shí)為一體兩面���,例如資產(chǎn)實(shí)體為易燃物,其面臨的威脅就是火災(zāi)���,兩者合起來就是企業(yè)資產(chǎn)因火災(zāi)而損壞的概率���,再乘上資產(chǎn)價(jià)值,可以得到預(yù)期損失�,也就是企業(yè)承受的風(fēng)險(xiǎn)。
基本上��,從信息資產(chǎn)角度來看����,威脅大概可以分成以下幾個(gè)來源:
* 天然災(zāi)害:例如雷擊、地震�����、水災(zāi)以及非人為因素的火宵等��。
* 人為惡意破壞:例如偷竊�,搶奪、人力敲打等。
* 技術(shù)問題:例如機(jī)件故障�����,流得超載而引發(fā)網(wǎng)絡(luò)斷線或系統(tǒng)中斷等�。
* 意外事件:例如車禍等意外事件所造成的破壞。
控制措施可以保護(hù)資產(chǎn)弱點(diǎn)
項(xiàng)目經(jīng)理勝任力免費(fèi)測(cè)評(píng)PMQ上線啦���!快來測(cè)測(cè)你排多少名吧~
http://opto-elec.com.cn/pmqhd/index.html
