资产识别与评估表-IT Dept
- 格式:xls
- 大小:210.50 KB
- 文档页数:4
另一个保密及可用性最关注的地方是IT部门;因为IT部门是信息系统的管理者,关系着系统的可用性和稳定 性;而IT部门又储存和保管着桑菲的绝大多数电子文件数据,对保密性的要求也非常高。 电子类数据文件的保存位置即其存放的介质如个人办公电脑、服务器上、移动介质如U盘上。如果有打印件,还 应特别注明。如果数据存储在特定电子流中,应该将该电子流作为保存数据的载体。 软件保存位置即其安装在哪里。 实物保存位置即其安置的物理位置。 某项资产的保存位置可能不止一处,需要全部列举,例如个人电脑、笔记本电脑、服务器、某电子流、打印纸 质件等。 无论某项资产是本部门产生还是源自其他部门,本部门都应该指定责任人,对该资产在本部门的安全负责。如 果是来自外部机构的,责任人应该归到本部门负责人。 如果信息资产在个人电脑上,包括个人电脑/笔记本电脑等实物资产,保管者是个人电脑/笔记本电脑的使用者 。 对于存放在公共平台(公共服务器、电子流、数据库)中的信息资产,保管者为指定的运维支持人员。 对应信息资产在本部门的最终用户。
关注方面
数据资产
软件资产 关于资产类 别的说明 实物资产
人员资产
服务 考) 软件资产的CIA 实物资产的CIA 人员资产的CIA 服务资产的CIA 关于将一组资产 整体考虑的评价
关于CIA确 定的说明
关于资产用途的描述
关于资产的所属部门
关于资产的所属部门
关于资产的保存位置
关于责任人的确定
关于保管者的确定
关于使用者的确定
返回目录 注意事项 包括各种业务相关的电子类及纸质的文件资料,可按照部门现有文件明细列举,或者根据部门业务流程从头至 尾列举。要求识别的是分组或类别,不要具体到特定的单个文件。数据资料的列举和分组应该以业务功能和保 密性要求为主要考虑,也就是说,识别出的数据资料应该具有某种业务功能,此外,还应该重点考虑其保密性 要求。本部门产生的以及其他部门按正常流程交付过来供本部门使用的,都在列举范畴内。本部门尽量清晰, 来自外部门的可以按照比较宽泛的类别来界定。 各种本部门安装使用的软件,包括系统软件、应用软件(有后台数据库并存储应用数据的软件系统)、工具软 件(支持特定工作的软件工具)、桌面软件(日常办公所需的桌面软件包)等。所列举的软件应该与产生、支 持和操作已识别的数据资产有直接关系。 各种本部门使用的硬件设施,这些硬件设施或者安装有已识别的软件,或者其上存放有已识别的数据资产,或 者是对部门业务有支持作用。 本部门各种对已识别的数据资产、软件资产和实物资产进行使用、操作和支持(也就是对业务有支持作用)的 人员角色。 各种本部门通过购买方式获取的,或者需要支持部门特别提供的,能够对其他已识别资产的操作起支持作用 (也就是对业务有支持作用)的服务。 在研发部门,数据资产主要以保密性(C)为衡量标准。同样的数据资产,在不同部门都识别时,其保密性要求 应一样(根据现有密级划分标准确定),而I和A可能会不同。在除研发外的其他一些部门可能更看重I和A。 机密:公司战略经营规划、机密财务信息、源代码,原理图,原则上只有部门级少数文件属于此级别。 秘密:公司一般性秘密资料(大多数敏感数据类资产属于此列)。原则上只可在部门内部使用的文件都属于此 级别。 普通:原则上可在全公司范围内使用的文件都属于此范围。其保密级别为低。 软件资产C值的确定,应该考虑到该软件与哪一级别数据资产直接关联。软件资产的I和A关注程度相对较高。 实物资产C值的确定也是根据直接关联的数据资产,而A值应该是最为关注的。 人员资产的CIA确定也和实物资产有类似考虑。 向相关数据资产、软件、实物或人员关联,产生对应的CIA判断。 对于软件应用系统和硬件服务器系统来说,如果其做为统一容器,保存有批量或成套的数据文件,相应可根据 这些数据文件的级别,将整体系统的保密性等级提升一级。例如,VSS系统保存有最到可达2级的数据文件,则 VSS系统的C可以定为3级。此类统一平台式的系统基本上可以数得清楚,包括VSS、CCS服务器、Notes系统等。 资产表中的“用途”,指的是该资产在本部门内部为支持本部门工作的用途。可以从这个角度来考虑:我们为 什么要产生/使用该资产? 研发是桑菲信息保密最关注的地方。如果是除研发之外的其他部门,获取到来自研发的资料,其所属部门都应 该归到研发部门,例如研发部们发送给其他部门的图纸及设计就属于研发部门。 在研发部门内部,应该向产品线/项目倾斜,如果是非产品线部门获取到来自产品线数据资料,或者是因为特定 产品开发项目而产生的评审电子流相关文件,因为项目负责人是项目经理,而项目经理又属于特定的产品线部 门,所以数据资料所属部门应该归到产品线。 研发非产品线部门自己产生的与特定产品研发项目无直接关系的数据资料,归该部门自己所属。