嘿，朋友们！在如今这个数字化飞速发展的时代，企业的信息资产就像一座座宝藏，但同时也变得越来越庞大和复杂。怎样才能把它们管好、保护好呢？别急，今天就来给大家分享一套超实用的管理方法，它可是基于 ITIL 先锋论坛的实践经验哦！


资产分类：给信息资产“贴标签”想象一下，如果你的家里堆满了各种各样的东西，没有分类，想找一样东西得多费劲呀！企业里的信息资产也一样，得先给它们分分类。这就好比给每样东西都贴上标签，一看就知道它是什么、有多重要。这样，我们就能清楚地知道哪些资产需要重点保护，后续的风险评估和解决方案设计也能更有针对性。而且，合理的分类还能帮我们优化资源配置，提高管理效率，让信息资产既安全又方便用。


资产分类方法：按“家族”划分那具体怎么分类呢？我们可以参照 ISO27001 标准，把信息相关资产分成几个“家族”：


数据文件家族这个家族里全是各种各样的文件，有电子的，也有纸质的。分类的时候，主要看它们是为哪个业务服务的，还有保密性要求有多高。
软件资产家族这个家族里的成员可不少，有系统软件、应用软件、工具软件和桌面软件等等。不过，它们都得和已识别的数据文件资产有直接关系哦。
实物资产家族这个家族里都是些看得见、摸得着的“大家伙”，比如机房、通信设备、网络设备等硬件设施。它们可能安装着软件，或者存放着数据文件资产。
人员资产家族这个家族里都是人，但不是所有员工都算哦，只有那些会使用、操作和支持前面提到的那些资产的人员才属于这个家族。
服务资产家族这个家族里的成员有点抽象，像业务流程、各种业务生产应用、为客户提供的服务能力等都算。比如 WWW、SMTP、POP3 等服务，还有外部对客户提供的网络接入、IT 产品售后服务和 IT 系统维护等服务。


资产赋值：给资产“估身价”给资产分好类之后，我们还得给它们估个“身价”，也就是资产赋值。为啥要这么做呢？因为这样我们就能更好地了解每个资产的价值，进而考察它们的弱点、威胁和风险属性，还能进行量化呢。资产主要有三大安全属性：保密性（C）、完整性和可用性（A）。通过对这三种安全属性的考察，我们就能得出一个基本反映资产价值的数值。

三大安全属性的定义

• 保密性：简单来说，就是只有得到允许的人才能看到信息。
  
• 完整性：就是要保证信息和处理信息的方法都是准确无误、完整无缺的。
  
• 可用性：意思是只要授权的用户需要，就能随时访问并使用信息资产。
  
  

资产价值计算公式资产价值是综合了保密性、完整性和可用性三个属性的，通常这三个属性里最高的那个对最终的资产价值影响最大。计算公式有点复杂，不过我来给大家解释一下：Asset Value=Round1{log2 [(2Conf+2Int+2Avail)/3]}其中，Conf、Int、Avail 分别代表保密性、完整性、可用性赋值，Round1{} 表示四舍五入保留一位小数，Log2[] 表示取以 2 为底的对数。虽然公式看起来有点吓人，但其实就是把三个属性的赋值综合起来，算出一个能代表资产价值的数。


文档资料类信息分级：按“机密程度”排排坐对于那些特别重要的数据、文档类资产，也就是信息资产，我们要根据它们的敏感性来分级，就像给它们排排坐一样。总共分为四级：
绝密信息这可是安全级别最高的信息，对企业来说就像命根子一样重要，要是被非法访问或者篡改了，那后果简直不堪设想，而且这种影响在短时间内还恢复不了。
机密信息这种信息对企业也很有价值，必须得严格控制谁可以访问。要是有人非法访问、修改或者删除了，会对企业形象或者业务收益造成很大影响，不过好在还能在一定时间内恢复。
秘密信息这种信息也有价值，需要有访问控制。要是被非法访问、修改或者删除了，虽然也会对企业形象或者业务收益有影响，但恢复起来相对容易些，时间也短。
公开信息这种信息就比较“大方”了，可以公开让大家访问和对外发布，由特定的单位来负责管理。一般情况下，这些信息随便传播也不会引发什么安全问题。


不同等级信息资产的管理策略：对症下药


绝密级文档类信息资产

• 要派专人在一个特别安全的地方来管理维护这些绝密文档，绝对不允许随便打印。如果真的需要打印，那打印出来的文档还得经过领导签字，然后由专人放到专门的柜子里保存。
  
• 电子版的绝密文档更是不能随便放在可移动的设备上，也不能通过网络来传输。
  
• 还得用 DLP 系统来提取指纹，定期进行规范性扫描，主机和网关的 DLP 要实时阻止信息外泄。
  
• 想要访问这些绝密文档，必须经过特殊的流程，纸质版文档每次被访问的时候，都得做好登记和记录。
  
  

机密级文档类信息资产

• 附有这种文档的邮件一定要注明“机密”字样，而且绝对不允许转发。
  
• 打印功能也要严格控制，需要打印的话得先审批。
  
• 同样要用 DLP 系统提取指纹，定期扫描，主机 DLP 要实时阻止外发。
  
• 访问这种文档也需要一定的流程和权限控制。
  
  

秘密级文档类信息资产

• 文档的显著位置要标明“秘密”级别，还要写上“不得外传”字样。
  
• 主机 DLP 要给文档打标签，在主机边界防止泄密，网络 DLP 要在网络边界进行监控。
  
• 访问这种文档也需要设置权限控制。
  
  

数据、文档标识方法：让信息“亮身份”给不同安全类别的信息明确标识一下，就像是让它们“亮身份”，这样内部的小伙伴们在处理这些信息的时候，就能按照信息安全规章制度来操作，大大降低了因为人为误操作而带来的安全隐患。我们得明确规定信息在不同载体上的标识方法，敏感信息的密级一定要标注清楚，可以根据存储和输出方式的不同，采用物理标签、电子标记等方法。


资产标识的原则：立规矩

• 所有信息安全分类标识都必须正确反映该信息的安全防护级别，PMO 对信息安全分类有最终决定权，这就像是有个“大法官”在把关。
  
• 绝密、机密和秘密信息必须进行详尽标识，内容和格式还得统一。其他等级的信息可以根据具体情况自行进行标识管理。
  
• 对所有的信息安全分类标识，必须由专人定期更新维护，每 1 年更新一次，这样才能保证标识的准确性和时效性。
  
  

资产标识的内容：信息“身份证”信息资产的标识就像是它们的“身份证”，可以包括但不限于以下内容：

• 简单描述或内部编号，就像名字一样，让人一眼就能认出来。
  
• 创建日期和最后修改日期，这样就能知道信息的新旧程度。
  
• 版本控制信息，方便我们了解信息的更新情况。
  
• 信息分级，也就是它的“机密程度”，是绝密、机密、秘密还是公开。
  
• 专管人员或专管部门，明确了谁来负责管理这些信息资产。
  
  

信息资产的访问控制和数据保护：把好“安全关”


信息资产分类、owner 和访问权限信息系统部的信息资产分类、所有人和访问权限等详细信息，可以参考《IT 部信息资产分类表》，这就好比是一本“资产手册”，里面啥都有。


信息资产的数据保护要求[此处可补充具体数据保护要求内容，用通俗易懂的语言描述，比如“数据保护要求就像给信息资产穿上防护服，确保它们不会被坏人偷走或者破坏”]


信息资产的处置：信息“大扫除”信息处置就像是给信息资产来一次“大扫除”，包括以下几种类型的信息处理活动：

• 向第三方公开，这就像是把信息拿出去和别人分享。
  
• 通过口头对话方式传播，比如在会议、电话录音、手机、电话、公开谈话等场合说起这些信息。
  
• 通过电子通讯手段传递，像互联网服务、电子邮件、传真、内部网络、手机短信息等方式把信息发给别人。
  
• 复制拷贝，包括复印、电子拷贝、数据备份等，就像是给信息资产“复制粘贴”一下。
  
• 存储，把信息放在电子邮件、电子文档、打印文档等各种地方保存起来。
  
• 作废处理，对那些不再需要的信息资产进行处理，比如非写存储介质、可写存储介质、纸张、硬件设备等。
  
• 物理访问控制，就像是给机房和办公区域装上“门禁”，控制谁可以进出。
  
• 逻辑访问控制，包括本机访问和网络访问，这就像是给信息资产设置“密码锁”。
  
• 日志，就像是记录信息资产的“日记”，方便我们查看它们的使用情况。
  
• 审计，就像是对信息资产进行“体检”，看看有没有什么问题。
  
  

公司一定要明确规定不同密级的信息在处置过程中的相应控制和保护措施，这样才能确保信息资产在“大扫除”的过程中也不会出现安全问题哦！




IT运维管理：ITIL先锋论坛—IT部信息资产分类分级实践探索.docx

嘿，朋友们！在如今这个数字化飞速发展的时代，企业的信息资产就像一座座宝藏，但同时也变得越来越庞大和复杂。怎样才能把它们管好、保护好呢？别急，今天就来给大家分享一套超实用的管理方法，它可是基于 ITIL 先锋论坛的实践经验哦！


资产分类：给信息资产“贴标签”想象一下，如果你的家里堆满了各种各样的东西，没有分类，想找一样东西得多费劲呀！企业里的信息资产也一样，得先给它们分分类。这就好比给每样东西都贴上标签，一看就知道它是什么、有多重要。这样，我们就能清楚地知道哪些资产需要重点保护，后续的风险评估和解决方案设计也能更有针对性。而且，合理的分类还能帮我们优化资源配置，提高管理效率，让信息资产既安全又方便用。


资产分类方法：按“家族”划分那具体怎么分类呢？我们可以参照 ISO27001 标准，把信息相关资产分成几个“家族”：


数据文件家族这个家族里全是各种各样的文件，有电子的，也有纸质的。分类的时候，主要看它们是为哪个业务服务的，还有保密性要求有多高。
软件资产家族这个家族里的成员可不少，有系统软件、应用软件、工具软件和桌面软件等等。不过，它们都得和已识别的数据文件资产有直接关系哦。
实物资产家族这个家族里都是些看得见、摸得着的“大家伙”，比如机房、通信设备、网络设备等硬件设施。它们可能安装着软件，或者存放着数据文件资产。
人员资产家族这个家族里都是人，但不是所有员工都算哦，只有那些会使用、操作和支持前面提到的那些资产的人员才属于这个家族。
服务资产家族这个家族里的成员有点抽象，像业务流程、各种业务生产应用、为客户提供的服务能力等都算。比如 WWW、SMTP、POP3 等服务，还有外部对客户提供的网络接入、IT 产品售后服务和 IT 系统维护等服务。


资产赋值：给资产“估身价”给资产分好类之后，我们还得给它们估个“身价”，也就是资产赋值。为啥要这么做呢？因为这样我们就能更好地了解每个资产的价值，进而考察它们的弱点、威胁和风险属性，还能进行量化呢。资产主要有三大安全属性：保密性（C）、完整性和可用性（A）。通过对这三种安全属性的考察，我们就能得出一个基本反映资产价值的数值。

三大安全属性的定义

• 保密性：简单来说，就是只有得到允许的人才能看到信息。
  
• 完整性：就是要保证信息和处理信息的方法都是准确无误、完整无缺的。
  
• 可用性：意思是只要授权的用户需要，就能随时访问并使用信息资产。
  
  

资产价值计算公式资产价值是综合了保密性、完整性和可用性三个属性的，通常这三个属性里最高的那个对最终的资产价值影响最大。计算公式有点复杂，不过我来给大家解释一下：Asset Value=Round1{log2 [(2Conf+2Int+2Avail)/3]}其中，Conf、Int、Avail 分别代表保密性、完整性、可用性赋值，Round1{} 表示四舍五入保留一位小数，Log2[] 表示取以 2 为底的对数。虽然公式看起来有点吓人，但其实就是把三个属性的赋值综合起来，算出一个能代表资产价值的数。


文档资料类信息分级：按“机密程度”排排坐对于那些特别重要的数据、文档类资产，也就是信息资产，我们要根据它们的敏感性来分级，就像给它们排排坐一样。总共分为四级：
绝密信息这可是安全级别最高的信息，对企业来说就像命根子一样重要，要是被非法访问或者篡改了，那后果简直不堪设想，而且这种影响在短时间内还恢复不了。
机密信息这种信息对企业也很有价值，必须得严格控制谁可以访问。要是有人非法访问、修改或者删除了，会对企业形象或者业务收益造成很大影响，不过好在还能在一定时间内恢复。
秘密信息这种信息也有价值，需要有访问控制。要是被非法访问、修改或者删除了，虽然也会对企业形象或者业务收益有影响，但恢复起来相对容易些，时间也短。
公开信息这种信息就比较“大方”了，可以公开让大家访问和对外发布，由特定的单位来负责管理。一般情况下，这些信息随便传播也不会引发什么安全问题。


不同等级信息资产的管理策略：对症下药


绝密级文档类信息资产

• 要派专人在一个特别安全的地方来管理维护这些绝密文档，绝对不允许随便打印。如果真的需要打印，那打印出来的文档还得经过领导签字，然后由专人放到专门的柜子里保存。
  
• 电子版的绝密文档更是不能随便放在可移动的设备上，也不能通过网络来传输。
  
• 还得用 DLP 系统来提取指纹，定期进行规范性扫描，主机和网关的 DLP 要实时阻止信息外泄。
  
• 想要访问这些绝密文档，必须经过特殊的流程，纸质版文档每次被访问的时候，都得做好登记和记录。
  
  

机密级文档类信息资产

• 附有这种文档的邮件一定要注明“机密”字样，而且绝对不允许转发。
  
• 打印功能也要严格控制，需要打印的话得先审批。
  
• 同样要用 DLP 系统提取指纹，定期扫描，主机 DLP 要实时阻止外发。
  
• 访问这种文档也需要一定的流程和权限控制。
  
  

秘密级文档类信息资产

• 文档的显著位置要标明“秘密”级别，还要写上“不得外传”字样。
  
• 主机 DLP 要给文档打标签，在主机边界防止泄密，网络 DLP 要在网络边界进行监控。
  
• 访问这种文档也需要设置权限控制。
  
  

数据、文档标识方法：让信息“亮身份”给不同安全类别的信息明确标识一下，就像是让它们“亮身份”，这样内部的小伙伴们在处理这些信息的时候，就能按照信息安全规章制度来操作，大大降低了因为人为误操作而带来的安全隐患。我们得明确规定信息在不同载体上的标识方法，敏感信息的密级一定要标注清楚，可以根据存储和输出方式的不同，采用物理标签、电子标记等方法。


资产标识的原则：立规矩

• 所有信息安全分类标识都必须正确反映该信息的安全防护级别，PMO 对信息安全分类有最终决定权，这就像是有个“大法官”在把关。
  
• 绝密、机密和秘密信息必须进行详尽标识，内容和格式还得统一。其他等级的信息可以根据具体情况自行进行标识管理。
  
• 对所有的信息安全分类标识，必须由专人定期更新维护，每 1 年更新一次，这样才能保证标识的准确性和时效性。
  
  

资产标识的内容：信息“身份证”信息资产的标识就像是它们的“身份证”，可以包括但不限于以下内容：

• 简单描述或内部编号，就像名字一样，让人一眼就能认出来。
  
• 创建日期和最后修改日期，这样就能知道信息的新旧程度。
  
• 版本控制信息，方便我们了解信息的更新情况。
  
• 信息分级，也就是它的“机密程度”，是绝密、机密、秘密还是公开。
  
• 专管人员或专管部门，明确了谁来负责管理这些信息资产。
  
  

信息资产的访问控制和数据保护：把好“安全关”


信息资产分类、owner 和访问权限信息系统部的信息资产分类、所有人和访问权限等详细信息，可以参考《IT 部信息资产分类表》，这就好比是一本“资产手册”，里面啥都有。


信息资产的数据保护要求[此处可补充具体数据保护要求内容，用通俗易懂的语言描述，比如“数据保护要求就像给信息资产穿上防护服，确保它们不会被坏人偷走或者破坏”]


信息资产的处置：信息“大扫除”信息处置就像是给信息资产来一次“大扫除”，包括以下几种类型的信息处理活动：

• 向第三方公开，这就像是把信息拿出去和别人分享。
  
• 通过口头对话方式传播，比如在会议、电话录音、手机、电话、公开谈话等场合说起这些信息。
  
• 通过电子通讯手段传递，像互联网服务、电子邮件、传真、内部网络、手机短信息等方式把信息发给别人。
  
• 复制拷贝，包括复印、电子拷贝、数据备份等，就像是给信息资产“复制粘贴”一下。
  
• 存储，把信息放在电子邮件、电子文档、打印文档等各种地方保存起来。
  
• 作废处理，对那些不再需要的信息资产进行处理，比如非写存储介质、可写存储介质、纸张、硬件设备等。
  
• 物理访问控制，就像是给机房和办公区域装上“门禁”，控制谁可以进出。
  
• 逻辑访问控制，包括本机访问和网络访问，这就像是给信息资产设置“密码锁”。
  
• 日志，就像是记录信息资产的“日记”，方便我们查看它们的使用情况。
  
• 审计，就像是对信息资产进行“体检”，看看有没有什么问题。
  
  

公司一定要明确规定不同密级的信息在处置过程中的相应控制和保护措施，这样才能确保信息资产在“大扫除”的过程中也不会出现安全问题哦！




IT运维管理：ITIL先锋论坛—IT部信息资产分类分级实践探索.docx