信息资产分级管理
1. 信息资产分类鉴别
达到及维护组织资产的适当保护,宜明确識别所有资产,并制作与维持所有重要资产
的清册 ,与信息处理设施相关的所有信息及资产宜由组织指定拥有者。与信息处理设施相关的信息与资产,其可被接受的使用之规则宜予以識别、文件化及实作。各单位负责信息资产应定期更新与维护信息资产清册,各单位汇总整合,由信息安全小组统一控管确保信息资产列表完整性。信息资产依其性质不同,分为5類:人员、硬件、软件、电子数据、书面文件依序如下:
人员:系指业务主管、承办人员、委外厂商、契约人员等。
硬件:系指网络设备、主机设备、通讯设备、环境设备等相关硬件设施。例如:服务器主机、个人计算机、不断电设备等。
软件:系指自行开发或委外开发之应用系统程序、外购之软件包等。例如:应用系统、操作系统、软件包、工具程序等。
电子数据:系指以电子形式存在之信息数据。例如:网络设定数据、备份文件等。
书面文件:系指以纸本形式存在之文书数据、报表等相关信息。例如:合同、规范、系统文件、用户手册、训练教材等。
所有资产经由资产分類,制成「信息资产列表」。
2. 信息资产价值鉴别
信息宜依其对组织的价值、法律要求、敏感性及重要性加以分類 ,价值鉴别准则依
信息资产分類分别针对机密性、可用性、完整性,其评估标准如下:
表1 人员评估标准