?

CIA定級(jí)方法

本方案所指的資產(chǎn)賦值是對(duì)資產(chǎn)安全價(jià)值的估價(jià)障涯，而不是以資產(chǎn)的賬面價(jià)格來(lái)衡量的。在對(duì)資產(chǎn)進(jìn)行估價(jià)時(shí)膳汪，不僅要考慮資產(chǎn)的成本價(jià)格唯蝶，更重要的是考慮資產(chǎn)對(duì)于組織業(yè)務(wù)的安全重要性，即根據(jù)資產(chǎn)損失所引發(fā)的潛在的商務(wù)影響來(lái)決定遗嗽。為確保資產(chǎn)估價(jià)時(shí)的一致性和準(zhǔn)確性粘我，機(jī)構(gòu)應(yīng)按照上述原則，建立一個(gè)資產(chǎn)價(jià)值尺度（資產(chǎn)評(píng)估標(biāo)準(zhǔn)）痹换，以明確如何對(duì)資產(chǎn)進(jìn)行賦值征字。

資產(chǎn)估價(jià)的過(guò)程也就是對(duì)資產(chǎn)保密性、完整性和可用性影響分析的過(guò)程娇豫。影響就是由人為或突發(fā)性引起的安全事件對(duì)資產(chǎn)破壞的后果匙姜。這一后果可能毀滅某些資產(chǎn)，危及信息系統(tǒng)并使其喪失保密性冯痢、完整性和可用性氮昧，最終還會(huì)導(dǎo)致財(cái)政損失、市場(chǎng)份額或公司形象的損失浦楣。特別重要的是袖肥，即使每一次影響引起的損失并不大，但長(zhǎng)期積累的眾多意外事件的影響總和則可造成嚴(yán)重?fù)p失椒振。一般情況下昭伸，影響主要從以下幾方面來(lái)考慮：

（1）違反了有關(guān)法律或（和）規(guī)章制度

（2）影響了業(yè)務(wù)執(zhí)行

（3）造成了信譽(yù)梧乘、聲譽(yù)損失

（4）侵犯了個(gè)人隱私

（5）造成了人身傷害

（6）對(duì)法律實(shí)施造成了負(fù)面影響

（7）侵犯了商業(yè)機(jī)密

（8）違反了社會(huì)公共準(zhǔn)則

（9）造成了經(jīng)濟(jì)損失

（10）破壞了業(yè)務(wù)活動(dòng)

（11）危害了公共安全

資產(chǎn)安全屬性的不同通常也意味著安全控制澎迎、保護(hù)功能需求的不同庐杨。通過(guò)考察三種不同安全屬性，可以能夠基本反映資產(chǎn)的價(jià)值夹供。

[if !supportLists]1.1??[endif]保密性賦值

根據(jù)資產(chǎn)保密性屬性的不同灵份，將它分為5個(gè)不同的等級(jí)，分別對(duì)應(yīng)資產(chǎn)在保密性方面的價(jià)值或者在保密性方面受到損失時(shí)對(duì)整個(gè)評(píng)估的影響哮洽。表1可做參考填渠。

[if !vml]

[endif][if !mso][endif]

表1? 資產(chǎn)保密性賦值

[if !mso]

[endif][if !mso & !vml][endif][if !vml]

[endif]?

賦值標(biāo)識(shí)定義

5極高指組織最重要的機(jī)密，關(guān)系組織未來(lái)發(fā)展的前途命運(yùn)鸟辅，對(duì)組織根本利益有著決定性影響氛什，如果泄漏會(huì)造成災(zāi)難性的影響

4高是指包含組織的重要秘密，其泄露會(huì)使組織的安全和利益遭受?chē)?yán)重?fù)p害

3中等是指包含組織一般性秘密匪凉，其泄露會(huì)使組織的安全和利益受到損害

2低指僅在組織內(nèi)部或在組織某一部門(mén)內(nèi)部公開(kāi),向外擴(kuò)散有可能對(duì)組織的利益造成損害

1可忽略對(duì)社會(huì)公開(kāi)的信息枪眉，公用的信息處理設(shè)備和系統(tǒng)資源等信息資產(chǎn)

[if !supportLists]u?[endif]資產(chǎn)保密性賦值說(shuō)明：

當(dāng)無(wú)法確定資產(chǎn)保密性取值的時(shí)候，可以假設(shè)當(dāng)某個(gè)涉密資產(chǎn)中產(chǎn)涉密信息被泄露或破壞后所產(chǎn)生的影響來(lái)為該資產(chǎn)的保密性進(jìn)行取值再层。

[if !supportLists]1.2??[endif]完整性賦值

根據(jù)資產(chǎn)完整性屬性的不同贸铜，將它分為5個(gè)不同的等級(jí)，分別對(duì)應(yīng)資產(chǎn)在完整性方面的價(jià)值或者在完整性方面受到損失時(shí)對(duì)整個(gè)評(píng)估的影響聂受。賦值標(biāo)準(zhǔn)參照表2：

[if !vml]

[endif][if !mso][endif]

表2? 資產(chǎn)完整性賦值

[if !mso]

[endif][if !mso & !vml][endif][if !vml]

[endif]?

賦值標(biāo)識(shí)定義

5極高完整性?xún)r(jià)值非常關(guān)鍵蒿秦，未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)評(píng)估體造成重大的或無(wú)法接受、特別不愿接受的影響蛋济，對(duì)業(yè)務(wù)沖擊重大棍鳖，并可能造成嚴(yán)重的業(yè)務(wù)中斷，難以彌補(bǔ)

4高完整性?xún)r(jià)值較高碗旅，未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)評(píng)估體造成重大影響鹊杖，對(duì)業(yè)務(wù)沖擊嚴(yán)重，比較難以彌補(bǔ)

3中等完整性?xún)r(jià)值中等扛芽，未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)評(píng)估體造成影響骂蓖，對(duì)業(yè)務(wù)沖擊明顯，但可以彌補(bǔ)

2低完整性?xún)r(jià)值較低川尖，未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)評(píng)估體造成輕微影響登下，可以忍受，對(duì)業(yè)務(wù)沖擊輕微叮喳，容易彌補(bǔ)

1可忽略完整性?xún)r(jià)值非常低被芳，未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)評(píng)估體造成的影響可以忽略，對(duì)業(yè)務(wù)沖擊可以忽略

[if !supportLists]u?[endif]資產(chǎn)完整性賦值說(shuō)明：

當(dāng)無(wú)法確定資產(chǎn)完整性取值的時(shí)候馍悟，可以假設(shè)當(dāng)某個(gè)資產(chǎn)在需要使用時(shí)畔濒，無(wú)法正確使用（例如：數(shù)據(jù)被惡意篡改等），而造成的損失來(lái)為該資產(chǎn)的完整性進(jìn)行取值锣咒。

[if !supportLists]1.3??[endif]可用性賦值

根據(jù)資產(chǎn)可用性屬性的不同侵状，將它分為5個(gè)不同的等級(jí)赞弥，分別對(duì)應(yīng)資產(chǎn)在可用性方面的價(jià)值或者在可用性方面受到損失時(shí)對(duì)整個(gè)評(píng)估體的影響。賦值標(biāo)準(zhǔn)參照表3：

[if !vml]

[endif][if !mso][endif]

表3：資產(chǎn)可用性賦值

[if !mso]

[endif][if !mso & !vml][endif][if !vml]

[endif]?

賦值標(biāo)識(shí)定義

5極高可用性?xún)r(jià)值非常高趣兄，合法使用者對(duì)信息系統(tǒng)及資源的可用度極高(達(dá)到年度99.9%以上)

4高可用性?xún)r(jià)值較高绽左，合法使用者對(duì)信息系統(tǒng)及資源的可用度高(達(dá)到每天99%以上)

3中等可用性?xún)r(jià)值中等，合法使用者對(duì)信息系統(tǒng)及資源的可用度中等(在正常上班時(shí)間達(dá)到90%以上)

2低可用性?xún)r(jià)值較低艇潭，合法使用者對(duì)信息系統(tǒng)及資源的可用度低(在正常上班時(shí)間達(dá)到25%以上)

1可忽略可用性?xún)r(jià)值可以忽略拼窥，合法使用者對(duì)信息系統(tǒng)及資源的可用度可忽略(在正常上班時(shí)間低于25%)

[if !supportLists]u?[endif]資產(chǎn)可用性賦值說(shuō)明：

當(dāng)無(wú)法確定資產(chǎn)可用性取值的時(shí)候，可以假設(shè)當(dāng)某個(gè)資產(chǎn)在需要使用時(shí)蹋凝，無(wú)法正常使用（例如：數(shù)據(jù)丟失鲁纠、硬件損壞等）而造成的損失來(lái)為該資產(chǎn)的可用性進(jìn)行取值。

最終資產(chǎn)價(jià)值可以通過(guò)違反資產(chǎn)的保密性鳍寂、完整性和可用性三個(gè)方面的程度綜合確定房交，資產(chǎn)的賦值采用定性的相對(duì)等級(jí)的方式。與以上安全屬性的等級(jí)相對(duì)應(yīng)伐割，資產(chǎn)價(jià)值的等級(jí)可分為五級(jí)候味，從1到5由低到高分別代表五個(gè)級(jí)別的資產(chǎn)相對(duì)價(jià)值，等級(jí)越大隔心，資產(chǎn)越重要白群。

由于資產(chǎn)最終價(jià)值的等級(jí)評(píng)估是依據(jù)資產(chǎn)保密性、完整性硬霍、可用性的賦值級(jí)別帜慢，經(jīng)過(guò)綜合評(píng)定得出的，評(píng)定準(zhǔn)則可以根據(jù)企業(yè)自身的特點(diǎn)唯卖，選擇以安全三性中要求最高的一性的賦值級(jí)別為綜合資產(chǎn)賦值準(zhǔn)則粱玲，也可以三性的綜合評(píng)定為準(zhǔn)則。因此拜轨，在進(jìn)行資產(chǎn)評(píng)估時(shí)抽减，評(píng)估者應(yīng)首先根據(jù)被評(píng)估系統(tǒng)的實(shí)際情況建立一套資產(chǎn)估價(jià)準(zhǔn)則，使得整個(gè)資產(chǎn)的評(píng)估工作有一個(gè)統(tǒng)一的標(biāo)準(zhǔn)橄碾。

?