信息資產(chǎn)
從財會角度來看,資產(chǎn)是指企業(yè)由于過去的交易而獲得�����,具有未來經(jīng)濟(jì)效益的事物��,例如企業(yè)花費(fèi)巨資購買機(jī)器設(shè)備��,或是取得某項專利技術(shù)����,可以為企業(yè)制造產(chǎn)品,創(chuàng)造收入及獲利��,從營運(yùn)角度來看����,任何對于企業(yè)營去有幫助的都算是資產(chǎn)�����,例如計算機(jī)系統(tǒng)及設(shè)備等����,企業(yè)必須通過這些系統(tǒng)設(shè)備才能處理客戶訂單���,所以也是重要資產(chǎn)��,只要認(rèn)定為資產(chǎn)���,必然有其價值��,不論有形無形�,都必須列清單予以保管���,然而過去資產(chǎn)管理重點放在有形資產(chǎn)上�����,例如現(xiàn)金��、廠房�、辦公室����、機(jī)器設(shè)備、原材料等���,比較少針對無形資產(chǎn)列賬控及盤點��。
從信息的角度來看��,除了計算機(jī)設(shè)備外����,有許多無形資產(chǎn)對企業(yè)營也非常重要,如信息系統(tǒng)���、網(wǎng)站系統(tǒng)����、軟件工具�、交易數(shù)據(jù)及客戶數(shù)據(jù)、甚至是信息人員等�����,都是公司非常重要的資產(chǎn)�����,也需要列示清單及管理,所以在信息安全方法論中����,將資產(chǎn)分為以下五類:
* 資料:主要指電子形式的檔案,例如:客戶數(shù)據(jù)�����、交易數(shù)據(jù)�、軟件程序原始碼等�。
* 文件:指書面文件,例如會計傳票����、系統(tǒng)開發(fā)文件、使用手冊����、部門年度計劃、部門管理辦法����、窗體憑證等。
* 軟件:例如應(yīng)用軟件�、操作系統(tǒng)、程序開發(fā)工具等。
* 硬件:包括服務(wù)器���、個人計算機(jī)���、打印機(jī)、傳真機(jī)��、電話�����、磁帶及其他相關(guān)外圍設(shè)備等��。
* 人員:信息部門主管��、數(shù)據(jù)庫管理員��、操作系統(tǒng)管理員�、網(wǎng)絡(luò)管理員、網(wǎng)站設(shè)計人員���、程序維護(hù)人員��、機(jī)房管理員�����、電子郵件系統(tǒng)管理員���、防毒軟件管理員���、防火墻管理員、行政助理人員等���。
從信息安全與風(fēng)險管理角度來看,信息資產(chǎn)須適當(dāng)分類���,標(biāo)示��,儲存及保護(hù)�����,并明確劃分保管責(zé)任�,信息資產(chǎn)須定期盤點及更新����,信息資產(chǎn)之標(biāo)示,使用,傳遞及保管須有相對應(yīng)的控管程序�。
弱點與威脅
如同前面所提,弱點指的是資產(chǎn)本身脆弱的地方��,就信息資產(chǎn)而言��,弱點可能以下列形式出現(xiàn):
* 資產(chǎn)本身會受到破壞���,例如有形資產(chǎn)的實體�,一旦實體損壞就會喪失功能����,所以必須保護(hù)資產(chǎn)實體。
* 資產(chǎn)一旦被其他人取得�,很難排除或發(fā)現(xiàn)其他人使用,例如計算機(jī)軟件�,他人取得執(zhí)行程序可以安裝在自己的計算機(jī)使用,因而衍生知識產(chǎn)權(quán)問題����。
* 資產(chǎn)可以開放修改或調(diào)整,例如系統(tǒng)軟件的程序原始碼��,劃是主機(jī)系統(tǒng)設(shè)定����,既然可以修改或調(diào)整���,就有正確性問題,系統(tǒng)軟件原始碼版本不正確��,會導(dǎo)致交易處理時發(fā)生錯誤���。
* 資產(chǎn)數(shù)量有限���,例如銀行使用的大型IBM主機(jī),一旦毀損����,可能必須由美進(jìn)口才能取得替代設(shè)備�,因而重要計算機(jī)設(shè)備有可用性(Availahility)的問題。
*資產(chǎn)必須是完整的才能發(fā)揮效用���,例如消費(fèi)者透過網(wǎng)絡(luò)購買商品�,在網(wǎng)站輸入交易數(shù)據(jù)或信用卡數(shù)據(jù)�,必須完整傳送到廠商訂單系統(tǒng)或數(shù)據(jù)庫,整個交易才會獲得承認(rèn)��,因而輸入的交易數(shù)據(jù)有完整性的問題。
弱點本身并不會自己引起損害���,如果沒有威脅���,損害就不會發(fā)生,例如計算機(jī)設(shè)備本身雖然有實體�����,但是不會無緣無故自己燃燒起來����,但是資產(chǎn)本身的弱點,會成為組織中信息安全的缺點或漏洞�,若不能有效控管這些缺點或漏洞,那到威脅就可能利用弱點對資產(chǎn)造成危害���,并造成企業(yè)損失�,所以弱點與威脅就可能利用弱點對產(chǎn)造成危害�����,并造成企業(yè)損失����,所以弱點與威脅實為一體兩面��,例如資產(chǎn)實體為易燃物���,其面臨的威脅就是火災(zāi),兩者合起來就是企業(yè)資產(chǎn)因火災(zāi)而損壞的概率�,再乘上資產(chǎn)價值,可以得到預(yù)期損失����,也就是企業(yè)承受的風(fēng)險。
基本上��,從信息資產(chǎn)角度來看�,威脅大概可以分成以下幾個來源:
* 天然災(zāi)害:例如雷擊、地震�����、水災(zāi)以及非人為因素的火宵等����。
* 人為惡意破壞:例如偷竊�,搶奪��、人力敲打等����。
* 技術(shù)問題:例如機(jī)件故障��,流得超載而引發(fā)網(wǎng)絡(luò)斷線或系統(tǒng)中斷等�����。
* 意外事件:例如車禍等意外事件所造成的破壞�����。
控制措施可以保護(hù)資產(chǎn)弱點
項目經(jīng)理勝任力免費(fèi)測評PMQ上線啦�����!快來測測你排多少名吧~
http://opto-elec.com.cn/pmqhd/index.html
