資訊資產的價值?

資訊安全

hungchinwai 2008-05-27 01:15:24 ‧ 14370 瀏覽

請問大家如何去評量資訊資產的價值?

yce701116 iT邦研究生 1 級 ‧ 2008-06-02 16:32:51 檢舉

謝謝大大们提供的答案

台灣熊 ( gric ) iT邦高手 1 級 ‧ 2009-03-09 11:24:59 檢舉

這種大哉問，最可怕、但有時又能問出最多的"可能"也是不錯啦！

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

6 個回答

davistai

iT邦大師 1 級 ‧ 2008-05-27 07:50:08

最佳解答

請參考財政部臺灣省南區國稅局資訊安全政策:
將資訊資產予以分類、區分等級及訂定評鑑原則
(一)分類
依據各項作業內容特性，將資產分為電子化資訊資產、實體資產、軟體資產、服務、書面文件及人員6大類。
(二)等級
依照各類資產所具有之機密性、完整性及可用性(或不可否認性)評估該資產反應出之價值。
(三)評鑑
根據資產本身之脆弱性、威脅及衝擊，評鑑其風險等級。經分級與評鑑後，依其所具備之價值，施以適當程度之安全控管。

回應
分享
檢舉

登入發表回應

jerry640

iT邦新手 1 級 ‧ 2008-05-27 09:22:26

謝謝分享...

回應 2
分享
檢舉

wordsmith iT邦高手 1 級 ‧ 2008-05-27 09:34:05 檢舉

...有點無言的感覺耶

kaiin323 iT邦高手 1 級 ‧ 2008-05-28 09:48:20 檢舉

無言+1

登入發表回應

john651216

iT邦研究生 1 級 ‧ 2008-05-27 09:58:14

有很多方式,不過重點是老闆對資訊產值的肯定,不然都是白忙一場

回應 1
分享
檢舉

sungshun iT邦新手 3 級 ‧ 2008-05-28 09:12:47 檢舉

資訊資產的評價的確有很多方式, 基本上可以從資產CIA的特性(機密, 完整與可用性)去評價, 可以先做分析衝擊分析,例如: 該項資訊資產如果洩漏(C), 或者不完整(I), 或者無法使用的狀況(A), 對作業或整個企業會造成多大的影響(例如暫停作業? 歇業? 倒閉?), 就可以得知其重要性(價值).
另外資訊資產的價值由老闆肯定是不正確的, 因為老闆不會知道該項資訊資產對某項作業或某個系統在實務運作上的重要性, 應該由日常負責實際作業的人先給予評價, 再跟老闆討後,做最後確定.

登入發表回應

macosorawate

iT邦新手 2 級 ‧ 2008-05-28 12:09:37

現在的網路世界中.資訊的價值是無限的.在社會中.無窮的資訊.它的價值根本無法橫量.WATER.0911115854.( macosorawater@pchome.com.tw ). http://www.macosorawater.pchome.com.tw .小禮.Thanks. 11111111 .

回應
分享
檢舉

登入發表回應

fishk

iT邦大師 1 級 ‧ 2008-05-28 15:22:26

資產總價值=機密性+完整性+可用性

在建立資訊資產分類分級清冊之前，首先要做的就是資訊資產分類。一般而言，我們可以將資訊資產分為五大類，依據企業組織的營業項目、架構、作業流程、特性、文化等等因素，這五大類的比重都不相同。

第一類是電腦類實體資產
第二類是電腦類軟體資產
第三類是電腦類資料資產
第四類是實體環境資產
第五類是管理資產

第一類的電腦類實體資產包括個人電腦、各類型電腦主機、網路設備、印表機、及儲存媒體和設備等。這些設備在還沒有資料輸入及處理之前，本身並不具備任何的資訊有效性，但是並不代表這些資訊資產就不需要給予保護。我們要了解，只要是資訊，或多或少都會有弱點，而且都要面對內在或是外來的威脅。如果我們清楚了解自己資訊的弱點以及面對的威脅，不論企業組織的電腦實體資產是現在才要規劃建立，或是已經在運作中，藉由建立資訊資產清冊及弱點威脅分析，我們可以在適當的地方，規劃適當的保護措施，例如重新規劃及設計防火牆、調整網路路由路徑、DMZ設計調整、IDS入侵偵測等。

同時，藉由這樣的規劃作業，管理者必須思考一旦網路遭受入侵、破壞、或任何意外而停頓，企業組織是否具備緊急備援、應變、及永續經營計畫以及其可行性。因此，這一類的資訊資產價值可區分為兩個階段，為具備資料前的會計帳面價值，以及具備資料後的資訊資產價值。

第二類的電腦類軟體資產包括了作業系統、應用軟體、應用系統、以及各類型系統工具等。類似電腦類實體資產，這一類的資產可以區分為具備資料與否兩種階段。但是要注意的是資料運用權限管理的關聯性，這是屬於第五類的管理資產，例如管理政策是否清楚、權限分級是否完善等，因此制定相關的資訊安全政策及作業準則規範就顯得重要了。

同樣的，電腦類軟體資產與實體資產是密不可分的。在定義電腦類實體資產分類時，必須同時考慮軟體資產的分類，兩者是互相依存的。

第三類是電腦類資料資產。這一類的資訊資產必須依照組織結構來定義它的價值。簡而言之，就是甚麼樣職位、職務、以及工作內容的員工，可以運用甚麼等級的資料，包括製作、讀取、儲存、修改、刪除、以及複製等。如同第二類的軟體資產一樣，資料運用權限管理在這裡必須定義清楚，列入正式的管理文件中，也列入第五類的管理資產。

第四類的實體環境資產包括環境安全、門禁管理、電力供應、通信線路安全、消防安全、以及最重要最需要注意的社交工程 (Social Engineering)。相較於實體可見的部分，社交工程是最難防範的安全項目。因為社交工程安全完完全全是由『人』的因素所造成的。但是社交工程安全並非無法預防，只要透過完整且持續不斷的溝通宣導及教育訓練，提高全體員工對資訊安全的認知以及危機意識，一樣可以達到資訊安全的目標。

第五類是管理資產，也是所有資訊安全管理資產項目中最重要的一環。管理資產基本上就是清楚的建立企業組織的資訊安全管理政策、相關功能性安全政策、以及完整的標準作業管理程序 (SOP, Standard Operation Procedure)。透過清楚了解企業組織的目標與策略，企業組織在制定資訊安全政策時，必須能符合企業組織的目標，同時要讓所有員工清楚了解資訊安全管理並不是員工在執行日常業務時的絆腳石，而是要協助企業組織防範不可預期的損失。同時，制定相關的功能性安全政策也是要達到相同的目的，對於不同的單位及部門，功能性安全政策可以達到不同的效果。

完整且漸進的制定企業組織資訊安全政策，是企業導入資訊安全管理最重要的一環，只有藉由漸進式的導入資訊安全管理，企業組織才能發現及了解到底本身對資訊安全的認知差距有多大，到底需要哪些資訊安全管理及建置，需要投入多少人力及資源來達到預期的目標，以及資訊安全項目的優先順序。

企業組織在規劃建立『資訊資產分類分級清冊』時，不要忘了資訊安全管理的三大重點：機密性、完整性、以及可獲得性，任何一種分類都必須顧及這三種特性。例如第二類電腦類軟體資產，必須考慮在具備資料之前的完整性，以及具備資料之後的可獲得性。又例如第三類電腦類資料資產，三種特性都必須考慮到。