信息资产风险控制管理.pdfVIP

信息资产风险控制管理--第1页

信息资产风险控制管理(总7页)

--本页仅作为文档封面，使用时请直接删除即可--

--内页可以根据需求调整合适字体及大小--

信息资产风险控制管理--第1页

信息资产风险控制管理--第2页

信息资产风险控制管理

张剑

摘要

本文讨论了信息资产的风险控制管理的基本内容，提出了实现信息资产风险

控制管理的基本目标。总结了围绕实现这一目标需要进行的七个方面工作，并

具体讨论了信息资产的基本信息管理与评估和事件管理的工作内容。

关键字：信息资产风险管理风险评估风险控制

概述

信息资产风险控制管理是当前信息安全管理的基础工作，其基本目标是

实现用户的信息资产的全面风险控制管理，确保用户信息资产的可靠、安全、

高效运行。并通过如下方面的工作来实现这一基本目标：

信息资产的基本信息管理与评估：信息资产的基本信息管理是整个系统最基础

数据源的管理；信息资产的评估是对信息资产在用户的整个信息化建设和用户

日常工作影响的重要性评估；

事件管理：事件管理是对用户整个信息系统运行过程中，运行状态分析、已经

发生的安全事件的过程式管理；

脆弱性管理：脆弱性管理是对用户整个信息系统安全、可靠、高效运行中可能

存在的脆弱点的全面管理；

2

信息资产风险控制管理--第2页

信息资产风险控制管理--第3页

威胁性管理：威胁性管理是对用户整个信息系统安全、可靠、高效运行中可能

存在的可能面临的安全威胁的全面管理；

风险评估：风险评估是针对用户整个信息系统存在的安全风险的综合评定；

控制措施管理：控制措施管理是对用户针对所有信息资产、信息系统所采取的

安全保障措施的全面管理；

安全等级评定：安全等级评定是参考国家安全等级保护制度的安全等级评定标

准，给出用户当前实际达到的安全等级；

风险控制报告：风险控制报告是依据风险评估报告和用户期望的安全保护等级

或其他要求提出全面的安全风险如何控制的报告，至少包括必控措施、等级保

护要求措施、建议措施等方面。

信息资产的基本信息管理与评估

信息资产的基本信息管理需要对用户的信息资产进行全面细致的管理，

信息资产的评估需要对信息资产在用户的整个信息化建设和用户日常工作影响

的重要性作出准确的评估。

信息资产的基本信息管理包括：信息资产分类管理、信息资产的基本信

息管理、信息资产活动状态管理等。信息资产的基本评估包括：分类资产权重

管理、信息资产重要度评估管理、资产的安全维护。

信息资产分类管理

信息资产的分类管理是系统管理的基本内容之一，负责信息资产的标准

分类，这里需要考虑的是国际标准分类、国家标准分类（或开发者标准分

3

信息资产风险控制管理--第3页

信息资产风险控制管理--第4页

类）、行业标准分类、用户自主分类四种基本情况，其中国际、国家标准分类

是系统开发建设者提供，并可以不断更新；行业标准分类这里我们建议不要采

用，如一定需要采用，由用户自行维护；用户自主分类由用户自主维护，但需

要建立与国际标准和国家标准的一一对应关系，扩展部分依据合理的原则（预

先系统确定的原则）进行维护。

信息资产分类采取目录树方式进行，树叶的粒度可以到资产的部件（如

服务器可以硬盘、显示器，软件可以到功能