更多专业文档请访问 www.itilzj.com
IT 资产是企业、机构直接赋予了价值因而需要保护的东西。它可能是以多种形式存在,有无形的、有形的、硬件、软件、文档、代码、服务和企业形象等。它们分别具有不同的价值属性 和存在特点,其存在的弱点、面临的威胁、需要进行的保护和安全控制都各不相同。为此,有必要对企业、机构中的 IT 资产进行科学分类,让企业清晰的了解需要重点保护的 IT 资产,并为后期的风险评估及解决方案的设计提供依据.
参照 ISO27001 对资产的描述和定义,将信息相关资产按照下面的分类方法:
类别 |
解释/示例 |
数据文件 |
1. 包括各种业务相关的电子类及纸质的文件资料,可按照部门现有文件明细列举,或者根据部门业务流程从头至尾列举。 2. 要求识别的是分组或类别,不要具体到特定的单个文件。 3. 数据资料的列举和分组应该以业务功能和保密性要求为主要考虑,也就是说识别出的数据资料应该具有某种业务功能,此外,还应该重点考虑其保密性要求4.本部门产生的以及其他部门按正常流程交付过来供本部门使用的,都在列举范 畴内。本部门尽量清晰,来自外部门的可以按照比较宽泛的类别来界定。 |
软件资产 |
1. 各种本部门安装使用的软件,包括系统软件、应用软件(有后台数据库并存储应用数据的软件系统)、工具软件(支持特定工作的软件工具)、桌面软件(日常 办公所需的桌面软件包)等。 2. 所列举的软件应该与产生、支持和操作已识别的数据文件资产有直接关系。 |
实物资产 |
1. 各种本部门使用的硬件设施,这些硬件设施或者安装有已识别的软件,或者其上存放有已识别的数据文件资产,或者是对部门业务有支持作用。 2. 设施,例如机房、重要场地、消防设施、供电等 |
人员资产 |
1.本部门各种对已识别的数据文件资产、软件资产和实物资产进行使用、操作和 支持(也就是对业务有支持作用)的人员角色。 |
服务资产 |
业务流程和各种业务生产应用、为客户提供服务的能力、WWW、SMTP、POP3、FTP DNS、内部文件服务、网络连接、网络隔离保护、网络管理、网络安全保障等; 也包括外部对客户提供的服务,如网络接入,IT 产品售后服务和 IT 系统维护等 服务。 |
数据文件
数据文件在信息资产中占有非常重要的地位,通常作为企业知识产权、竞争优势、商业秘密的载体。属于需要重点评估、保护的对象。完整性的重要性会随着保密性的提高而提高。
软件资产
软件是现代企业中重要的信息资产之一,与企业的硬件资产一起构成了企业的服务资产以及整个的 IT 信息环境。一般情况下,软件资产包括已经安装并正在运行中的软件,软件的许可证、存储的媒体等,与可能安装或运行的硬件无关,软件的价值主要体现在已经安装并运行的软件提供应用和功能,也包括本身的许可证、序列号/Licence、软件使用权等。
安装或运行后的软件,也为企业提供服务和应用的功能,也有一定的服务的性质,但服务类资产强调的是业务流程和业务服务能力,是一个抽象的概念,一般不是一个软件就能提供,而是由一套有机组成的系统提供,包括软件提供的服务,标准和配置,人员的操作等,所以服务资产 有别于软件资产
实物资产
主要指企业中的硬件信息设备,包括硬件计算机设备、通信设备、网络设备(路由器、交换机、硬件防火墙、程控交换机)、可移动介质、线缆、备份存储设备和其他设备;。硬件资产单指硬件设备,不包括运行在硬件设备中的软件系统、IOS、配置文件和存储的数据等,软件本身属于软件资产,运行中的软件系统和 IOS 等属于服务资产,配置文件和存储的数据属于数据资产.
人员资产
主要指企业与信息相关的人员和组织,包括各级安全组织,安全人员、各级管理人员,网管员,系统管理员,业务操作人员,第三方人员等与被评估信息系统相关的人员和组织。一种人员角色承担着一定的业务流程和信息安全职责
服务资产
服务在信息资产中占有非常重要的地位,通常作为企业运行管理、商业业务实现等形式存在。属于需要重点评估、保护的对象。
通常服务类资产最为需要保护的安全属性是可用性。但是,对于某些服务资产,完整性和保密性也可能成为重要的保护对象。例如通常的门户站点的新闻浏览、计算环境等的可用性最为重要。但是,完整性也同样重要,例如门户站点的主页被修改,造成的损失也可能是灾难性的。
服务类资产强调的是业务流程和业务服务能力,是一个抽象的概念,一般由一套有机组成的系统提供,包括软件提供的服务,标准和配置,人员的操作,各种资源提供的支持等
资产赋值
资产分别具有不同的安全属性,保密性、完整性和可用性分别反映了资产在三个不同方面的 特性。安全属性的不同通常也意味着安全控制、保护功能需求的不同。通过考察三种不同安全属性,可以得出一个能够基本反映资产价值的数值。对资产进行赋值的目的是为了更好地反映资产的价值,以便于进一步考察资产相关的弱点、威胁和风险属性,并进行量化。
对安全属性赋值时考虑的是对整个评估体的影响和损害,然后按照下面的赋值标准来衡量。这里整个评估体是指本次评估的主体,可能是本次评估范围内的所有资产组成的系统,也可能是一个部门,也可能是整个企业或组织。
保密性、完整性和可用性的定义如下:
——保密性:确保只有经过授权的人才能访问信息;
——完整性:保护信息和信息的处理方法准确而完整;
——可用性:确保经过授权的用户在需要时可以访问信息并使用相关信息资产。通过考量受到损失时对整个评估体的影响,其赋值表格如下:
信息资产 等级 |
密级 |
C-保 密 性 |
I-完 整 性 |
A-可 用 性 |
3(高) |
绝密 |
最高密级。 非授权的披露或破坏, 会造成严重损害和给竞争对手带来好处,或者会给公司或员工带 来严重的财务损失。 |
未经授权的破坏或更改将会对信息系统有非常重大的影响,可能导致严重的业务中断 |
合法使用者对信息系统及信息的存取可用度达到平均每天 99.9%以上 (7*24) |
2(中) |
机密 |
严格限制使用,只授权给那些预先确定因工作必须知道的员工。 |
完整性价值较高,未经授权的修改或破坏会对组织造成重大影响,对业务冲击严重,比较难以弥补 |
合法使用者对信息系统及信息的存取可用度达到平均每天 95%以上 (5*8) |
1(低) |
秘密 |
非授权的披露或破坏, 不会给公司或员工带来明显危害。 在公司内部需要使用。 |
该信息特指获准对外发布的信息。此部分信息归口到特定单位负责,一旦发布,对保密性而言可不 评价。 |
合法使用者对信息系统及信息的存取可用度在正常上班时间至少达到50%以上(5*8) |
0(可忽略) |
公开 |
一般性的、可公开的信息、信息处理设施和系统资源。获准对外发布 该信息特指获准对外发布的信息。此部分信息归口到特定单位负责,一旦发布,对保密性而言可不评价。 |
关于 CIA 确定的说明 |
数据文件资产的CIA |
1. 在研发部门,数据文件资产主要以保密性(C)为衡量标准。同样的数据文件资产,在不同部门都识别时,其保密性要求应一样(根据现有密级划分标准确定),而 I 和 A 可能会不同。 2. 在除研发外的其他一些部门可能更看重 I 和 A。 |
数据文件 资产的密级划分标 |
1. 绝密:关键 IT 设备和系统的最高权限帐号和密码手册。原则上只有 IT 部门特定人员掌握 2. 机密:关键系统架构设计/业务需求,基础网络架构/IP 地址规 |
准(参考) |
划,服务器列表,特定设备操作手册等。原则上只有部门级少数文件属于此级别,只能由部门的少数人可以授权访问 3. 秘密:常规系统架构设计/业务需求文档,系统问题知识库, 网络拓扑结构等部门一般性敏感资料(大多数数据类资产属于此列)。原则上可在全部门范围内使用的文件都属于此范围 4. 公开:IT 部对外部门公开的 IT 规范,流程,制度和相关 IT 资源的使用手册等。原则上部门外部可以获知的资料。 |
|
软件资产的 CIA |
1. 软件资产 C 值的确定,应该考虑到该软件与哪一级别数据文件资产直接关联。 2. 软件资产的 I 和 A 关注程度相对较高。 |
|
实物资产 的 CIA |
实物资产 C 值的确定也是根据直接关联的数据文件资产,而 A 值 应该是最为关注的。 |
|
人员资产 的 CIA |
人员资产 C 值的确定也是根据直接关联的数据文件资产,而 A 值 应该是最为关注的。 |
|
服务资产 的 CIA |
向相关数据文件资产、软件、实物或人员关联,产生对应的 CIA 判断。 |
|
关于将一组资产整体考虑的 评价 |
对于软件应用系统和硬件服务器系统来说,如果其做为统一容器,保存有批量或成套的数据文件,相应可根据这些数据文件的级别,将整体系统的保密性等级按最高等级定。例如,PDM 系统 保存有最高可达 3 级的数据文件,则 PDM 系统的C 可以定为 3 级。 |
资产价值
资产价值用于反映某个资产作为一个整体的价值,综合了保密性、完整性和可用性三个属性。通常,考察实际经验,三个安全属性中最高的一个对最终的资产价值影响最大。换而言之,整体安全属性的赋值并不随着三个属性值的增加而线性增加,较高的属性值具有较大的权重。使用下面的公式来计算资产价值赋值:
Asset Value = Round1{Log [(2Conf+2Int+2Avail)/3]}
其中,Conf 代表保密性赋值;Int 代表完整性赋值;Avail 代表可用性赋值;Round1{}表示四舍五入处理,保留一位小数;Log2[]表示取以 2 为底的对数
上述算式表达的背后含义是:三个属性值每相差一,则影响相差两倍,以此来体现最高赋值属性的主导作用。
这里需要声明的是:该算式属于经验算式,使用与否、使用的方式都由评估者根据经验来决定.
文档资料类信息分级
对于我们核心关注的数据、文档类资产,即信息资产,根据资产的敏感性将资产分为如下四级:
绝密信息是指那些具有最高安全级别,从本质上将最敏感的信息,对企业形象,业务收益起到至关重要作用的信息。绝密信息一旦被非法访问或篡改,会导致灾难性的影响,并且这种影响在短时期内是不可恢复的。针对 IT 部内部,绝密信息应该是管控 IT 关键系统和设施的最高权限信息,该信息一旦被恶意人员非法获得而进行故意破坏,将可能造成整个公司 IT 系统和基础设施的瘫痪,重要业务数据的丢失,从而造成整个企业灾难性的瘫痪。一般指各关键 IT 设备和系统的最高权限帐号和密码。该类信息只能由信息系统部特定人员通过严格的管理机制受控使用。
机密信息是指那些对企业具有重大价值的信息,必须有严格访问控制的信息。任何对机密信息的非法访问、修改或删除会严重影响企业形象或业务收益,但这种影响是可以在一定时期内恢复的。针对 IT 部内信息,机密信息应该 IT 系统和基础设施中的具有重大价值的信息资料,一旦被恶意人员非法获得后,将有可能帮助其非法侵入公司的业务系统和网络;或者是核心业务系统的数据可能被泄密给竞争对手,帮助竞争对手在业务上快速突破,对公司的竞争力造成比较严重的影响。该类机密信息一般是包括基础设施的网络架构图、IP 地址规划表、服务器/存储列表、系统的源代码等,以及存储在业务系统中的研发数据和机密信息文档,关键业务系统的 license 文件信息,核心自开发系统的需求、设计文档等。该类信息只能由 IT 部的特定人员或业务部门的核心人员掌握,需要在技术手段上做好的防止主动泄密.
秘密信息是指那些对企业具有价值的信息,必须有访问控制的信息。任何对秘密信息的非法访问、修改或删除会影响企业形象或业务收益,但这种影响是可以在较短时期内恢复的。针对IT 部,该类秘密信息一般指信息系统部内的重要信息资料,一旦被遗失、损坏或不能访问,可能造成对相关业务系统维护的困难;若被竞争对手非法获得,可能会促使竞争对手业务系统能力快速提高。该类信息通常包括建设各类业务系统的部分文档(包括运维手册、培训手册、测试计划等),内部信息安全管控制度,IT 内部业务流程等信息。通常该类信息向 IT 部门人员开放,并促使大家学习和工作中应用,但同样需要在技术手段上对该类信息流出公司外部进行管控。
公开信息是指可以公共访问和对外发布的信息,此部分信息归口到特定单位负责,并且一般 信息可以自由散布而不会产生任何安全问题。公开信息又分为内部公开信息和对外宣传资料。针对 IT 部,公开信息是可以向全公司发布的 IT 类信息,并要求促使每位员工认真学习。该类信息通常包括新员工 IT 培训知识,各类 IT 流程规范,公开的信息安全制度,各类业务系统使用手册等信息。此外,公开信息还包括对供应商开放的系统建设的需求信息。公开信息缺省为内部公开信息,只有经过 PMO 审阅批准后才能作为对外的宣传资料。该类信息不是必须要在技术手段上作防泄密的管控,但需要从管理制度上提醒公司全体员工和供应商,内部资料,防止扩散。
分类方法如下:
敏感性 |
0-0.9 |
1-1.9 |
2-2.9 |
3 |
分类 |
公开信息 |
秘密信息 |
机密信息 |
绝密信息 |
不同等级信息资产的管理策略
绝密级文档类信息资产(必须严格执行)
1. 该类文档由专人在特定位置进行管理维护,不允许随意打印,授权打印后的文档经负责领导签署后由专人专柜进行保存和管理。
2. 电子版文档原则上不允许放置在可移动的客户端设备上,不允许通过网络进行流转。
3. DLP 系统指纹提取,定期规范性扫描,主机和网关 DLP 实时阻止外出(待 DLP
系统上线后实施)
4. 文档的访问需要特殊的流程进行控制,纸质版文档每次访问需要做好登记和记录.
机密类文档可以由各功能块参照执行。
机密级文档类信息资产策略
1. 附有该类文档的邮件注明机密字样,不允许邮件转发。
2. 该类文档控制打印功能,需要打印要进行审批。
3. DLP 系统指纹提取,定期规范性扫描,主机 DLP 实时阻止外发
4. 文档的访问需要一定的流程和权限进行控制。
秘密级文档类信息资产策略(该类文档可以由各功能块参照执行)
对于文档类资产,其管理策略可能有:
1. 文档显著位置表明秘密级别,不得外传字样。
2. 主机 DLP 打标签,主机边界的防泄密,网络 DLP 在网络边界监控。
文档访问需要设置权限控制
数据、文档标识
对不同安全类别的信息进行明确的标识,有助于内部相关人员依照有关信息安全规章制度进行具体操作和处理,从而最大限度地降低了由于人为的误操作所带来的安全隐患的概率。
应明确规定信息处于不同载体的标识方法。敏感信息的密级应该被明确标识。根据存储和输出方式的不同,可以采用物理标签、电子标记等方法。信息的存储介质必须以物理标签形式标明其密级。当信息以可视方式输出(如:打印、屏幕显示等)时,可以用可视的方式显示其密级
资产标识的原则
所有信息安全分类标识必须正确反映该信息的安全防护级别,PMO 对信息安全分类有最终决定权。
绝密、机密和秘密信息必须进行详尽标识,其内容和格式必须统一。其它等级信息根据情况自行进行标识管理。
对所有的信息安全分类标识,必须由专人作定期更新维护(每 1 年一 次)。
一般采用标签方式对信息进行安全分类标识,但是对以电子格式的数据和文档则可以采用有关电子方式进行安全分类标识,所有公司的涉密文档信息都应采用规范的标准模板发布,在电子文档的属性中设置“绝密”或“机密”的字样,在文档的页眉、页脚中标注“绝密”或“机密”的字样。
对于实物类 IT 资产,也应根据前述原则进行密级分类,并在资产标签 或是另加资产密级标签进行标示。原则上实物资产密级标签需要专人 定期更新维护和检查
信息资产分标识可包括并不仅限于下列信息:
l 简单描述或内部编号
l 创建日期和最后修改日期
l 版本控制信息
l 信息分级(绝密,机密,秘密,公开)
l 专管人员或专管部门
信息资产分类、owner 和访问权限
信息系统部信息资产分类,所有人和访问权限等详细信息请参见:《IT 部信息资产分类表》文件
信息资产的数据保护要求如下表所示:
信息资产分类 |
信息资产示例 |
传输保密性要求 |
存储保密性要求 |
绝密 |
各关键 IT 设备和系统的最高权限帐 号和密码 |
原则上无网络传输,或 加密通道 |
专人专柜/特定位置存放 |
机密级 |
基础设施的网络架构图、IP 地址规划表、服务器/存储列表、系统的源代码等,以及存储在业务系统中的研发数据和机密信息文档,关键业务系统的 license 文件信息 |
采用可信信道 |
控制授权范围,未授权不能访问 |
秘密级 |
各类业务系统的部分文档(包括运维手册、培训手册、测试计划等),内部信息安全管控制度,IT 内部业务流程 等信息 |
无要求 |
允许范围内授权访问 |
公开信息 |
新员工 IT 培训知识,各类 IT 流程规范,公开的信息安全制度,各类业务 系统使用手册 |
无要求 |
无要求 |
信息处置是对信息资产进行以下类型的信息处理活动:
l 向第三方公开;
l 通过口头对话方式进行传播,包括会议,电话录音,手机,电话,公开谈话等;
l 通过电子通讯手段传递,包括互联网服务,电子邮件,传真,内部网络,手机短信息等;
l 复制拷贝,包括复印,电子拷贝,数据备份等;
l 存储,包括电子邮件,电子文档,打印文档等;
l 作废处理,包括非写存储介质,可写存储介质,纸张,硬件设备等;
l 物理访问控制,包括机房和办公区域进出;
l 逻辑访问控制,包括本机访问和网络访问;
l 日志;
l 审计。
公司应明确规定不同密级的信息,在处置过程中需要采取的相应控制和保护措施。
下表给出了针对具有不同的信息分类级别的信息的安全管理规定,请各功能块依据实际情况参照执行:
操作 类别 |
公开信息 |
秘密信息 |
机密信息 |
绝密信息 |
向第三方公开 |
n 可以向第三方人员或公司公开, 并允许对外进行发布,但是要注明公开信息的来源出处。 |
n 需要向该信息资产的责任人提出申请,经批准后方可执行,并且必须事先和第三方签订“保密协议”。 |
n 禁止向任何第三方透露机密信息,如有特殊情况,则需要书面批准, 并且必须事先和第三方签订严格的保密条款后方可进 行。 |
n 严禁向任何第三方透露绝密信息。 |
口头传递 n 会议 n 电话录音 n 手机 n 电话 n 公开谈话 |
没有特殊安全规定。 |
n 所有内部员工,未经相关授权,不以任何口头方式向非内部人员或非相关人员透 露内部信息。 |
n 禁止以任何口头方式向非相关人员透露机密信息。 n 禁止在公共场合,讨论任何 机密信息。 |
n 严禁以任何口头方式向非相关人员透露绝密信息。 n 严禁在公共场合,讨论任何 绝密信息。 |
通过电子通讯手段传递 n 互联网服务 n 电子邮件 n 传真 n 内部网络 n 手机短信息 |
n 在发送传真时, 应当有传真封面,并注明发件人(单位)、收件人(单位)等信息。 |
n 所有内部员工,未经相关授权,不以任何电子手段向非内部人员或非相关人员透露内部信息。 n 有条件的情况下,所有电子通讯系统必须 设有身份验证 |
n 所有内部员工,未经相关授权,禁止以任何电子手段向非内部人员或非相关人员透露机密信息。 n 所有电子通讯 系统必须设有身份验证(用 |
n 原则上严禁通过电子通讯手段传递绝密级信息 n 或者授权情况下的电子传递必须进行加密处理。 |
(用户身份验证或设备身份验证)和审计机制。 |
户身份验证或设备身份验证)和审计机制。 有条件的情况下,授权电子传递须进行加 密处理。 |
|||
复制拷贝 n 复印 n 电子拷贝 n 数据备份 |
没有特殊安全规定。 |
n 经由该信息资产的责任人同意后,可以对内部信息进行复制拷贝,但是必须遵循“谁复制,谁负责”的原则, 防止在复制过程中产生安全隐患。 n 数据备份存放在安全地点。 |
n 一般禁止对机密信息进行复印或电子拷贝,如有特殊需要,经由该信息资产责任人书面批准后,再由责任人进行具体操作,并亲自交付接收人手中。 n 数据备份进行加密处理,并存放在安全场所。 n 严格控制数据备份的份数, 并对每份备份做详细的记录备案。 n 任何对秘密信 |
n 禁止进行复印和电子拷贝 n 数据备份进行加密处理,并存放在有防火和防磁级别的保险柜中。 n 严格控制数据备份的份数, 并对每份备份做详细的记录备案。 n 任何对绝密信息的复制拷贝,都必须记录备案。 |
息的复制拷 贝,都必须记录备案。 |
||||
存储 n 电子邮件 n 电子文档 n 打印文档 |
没有特殊安全规定。 |
n 存放在安全地点。 n 内部员工应对本人拥有的内部信息拷贝妥善保管。 |
n 应当存放在规定的地点,以便统一管理。 n 对信息进行标识,注明信息的密级是“机密信息”。 n 内部员工应对本人拥有的内部信息拷贝妥善保管。 n 打印文档或电子文档的硬拷贝,必须存放在安全柜子中妥善保管。 |
n 不允许对绝密信息通过电子邮件进行传递。 n 所有该级别电子文档,并由专人存放在有严格物理访问控制的存储设备中,以便统一管理。 n 打印文档或电子文档的硬拷贝,必须存放在有严格物理访问控制的保险柜中妥善保 管。 |
作废处理 n 非写存储介质 n 可写存储介质 n 纸张 n 硬件设备 |
n 存有一般信息的磁盘可以不经过格式化或覆盖操作,并可以直接使用。 n 纸张可以直接再利用。 |
n 纸张文件建议粉碎。 n 可写存储介质格式化(初始化)后方可重新使用。 n 非写存储介质 建议进行物理销毁。 |
n 纸张文件必须粉碎。 n 可写存储介质必须格式化和覆盖后方可重新使用。 n 非写存储介质 必须进行物理销毁。 |
n 纸张文件必须粉碎。 n 可写存储介质必须格式化和覆盖后方可重新使用。 n 非写存储介质 必须进行物理销毁。 |
n 硬件设备建议事先进行完全初始化。 |
n 硬件设备必须事先进行完全初始化。 n 任何需要重新使用的存储介质或硬件设备,需要进行验收,确定没有任何敏感数据遗留后方可继续使用。 n 任何作废的存储介质或硬件设备,需要在确定没有任何敏感数据遗留后,交付专门部门进行相关 处理。 |
n 硬件设备必须事先进行完全初始化。 n 任何需要重新使用的存储介质或硬件设备,需要进行验收,确定没有任何敏感数据遗留后方可继续使用。 n 任何作废的存储介质或硬件设备,需要在确定没有任何敏感数据遗留后,交付专门部门进行相关 处理。 |
||
物理访问控制 n 机房和办公区域进出 |
没有特殊安全规定。 |
n 非内部人员或非相关人员必须有专人陪同,并进行登 记注册。 |
n 非内部人员或非相关人员必须有专人陪同,并进行登 记注册。 |
非内部人员或非相关人员必须有专人陪同,并进行登记注册。 |
逻辑访问控制 n 本机访问 n 网络访问 |
n 可以本机访问和网络访问。 n 访问权限设为“只读”,对需要修改、更新的人 员开放“写”和 |
n 可以本机访问和网络访问。 n 对那些由于工作需要访问内部信息的内部 人员的访问权 |
n 可以本机访问和网络访问。 n 对那些由于工作需要访问内部信息的内部 人员的访问权 |
n 禁止网络访问。 n 严格控制本机访问,并对本机访问情况进 行记录备案。 |
“删除”的权限。 |
限设为“只读”,只对少数需要修改、更新的人员开放“写”和“删除”的权限。 n 采用密码认证方式。 |
限设为“只读”,只对少数需要修改、更新的人员开放“写”和“删除”的权限。 n 本地访问和本地网络访问必须采用强密码认证方式。 n 远程网络访问,建议采用双因素认证方 式。 |
||
日志 |
没有特殊安全规定。 |
n 所有成功和失败的登陆信息都需要记录。 n 对所有“写” 和“删除”操作必须记录到日志中。 n 日志信息建议传送到日志服务器集中审计和保存。 n 所有日志必须设为只读,只有安全审计人员可以访问日 志信息。 |
n 所有成功和失败的登陆信息都需要记录。 n 对所有操作 (读、写、删除等)必须记录到日志中。 n 日志信息必须传送到日志服务器集中审计和保存。 n 日志必须设为只读,只有安全审计人员可以访问日志信 息。 |
n 所有成功和失败的登陆信息都需要记录。 n 对所有操作 (读、写、删除等)必须记录到日志中。 n 日志信息必须传送到日志服务器集中审计和保存。 n 所有日志必须设为只读,只有安全审计人员可以访问日 志信息。 |
n 日志信息至少在线保存 30 天,离线保存 3 个月。 |
n 日志信息至少在线保存 30 天,离线保存 3 个月。 |
n 日志信息至少在线保存 30 天,离线保存 3 个月。 |
||
审计 |
没有特殊安全规定。 |
n 安全审计工作建议由独立的第三方承担。 (职责分离) n 该信息资产的访问控制列表必须每年由资产的责任人进行审核和审批。 n 每月对该信息资产的非法访问日志记录进行审计。 |
n 安全审计工作建议由独立的第三方承担。 (职责分离) n 该信息资产的访问控制列表必须每半年由资产的责任人进行审核和审批。 n 每周对该信息资产的非法访问日志记录进行审计。 |
n 安全审计工作必须由独立的第三方承担。 (职责分离) n 该信息资产的访问控制列表必须每季度由资产的责任人进行审核和审批。 n 对该信息资产的非法访问立即触发报警。 |
IT信息资产分类与信息分级管理规定word 完整版本扫码加入下方社群获取
福利
圈子构建、学习资料获取 1000+份重磅材料已分享【ITIL4 PPT教材/试题/视频/信息化/IT运维管理各类文档解决方案报告等】、ITIL4培训视频已开放扫码加入社群观看学习哦
随着材料不断丰富社群会不定期涨价早加入更优惠
公众号发送如下关键字获取免费资料:
1.价值58元/套IT管理体系文档--回复"干货"
2.最新ITIL4中文教材--回复"ITIL教材"
3.信息化方案全集--回复"信息化"
免责声明:
本公众号部分分享的资料来自网络收集和整理,所有文字和图片版权归属于原作者所有,且仅代表作者个人观点,与ITIL之家无关,文章仅供读者学习交流使用,并请自行核实相关内容,如文章内容涉及侵权,请联系后台管理员删除。
更多推荐
ITIL变更管理流程的设计
计算机网络知识体系全面总结(收藏)
业务流程管理可有效控制影子IT
ITIL之发布管理基础知识介绍