| 资产识别包含“网络资产鉴定”和“网络资产价值估算”两个步骤。前者给出评估所考虑的具体对象,确认网络资产种类和清单,是整个评估工作的基础。常见的网络资产主要分为网络设备、主机、服务器、应用、数据和文档资产等六个方面。例如,网络设备资产有交换机、路由器、防火墙等。
|
|
|
| “网络资产价值估算”是某一具体资产在网络系统中的重要程度确认。组织可以按照自己的实际情况,将资产按其对于业务的重要性进行赋值,得到资产重要性等级划分表,如下表所示。
|
|
|
|
|
|
|
| 网络安全风险评估中,价值估算不是资产的物理实际经济价值,而是相对价值,一般是以资产的三个基本安全属性为基础进行衡量的,即保密性、完整性和可用性。价值估算的结果是由资产安全属性未满足时,对资产自身及与其关联业务的影响大小来决定的。目前,国家信息风险评估标准对资产的保密性、完整性和可用性赋值划分为五级,级别越高表示资产越重要。
|
|
|
| 下表给出了一种资产的保密性赋值参考,按照资产的保密性对组织的影响程度大小决定其数值。
|
|
|
|
|
|
|
| 下表给出了一种资产的完整性赋值参考,按照资产的完整性对组织的影响程度大小决定其数值。
|
|
|
|
|
|
|
| 下表给出了一种资产的可用性赋值参考,按照资产的可用性对组织的影响程度大小决定其数值。
|
|
|
|
|
|
|
