信息资产
从财会角度来看,资产是指企业由于过去的交易而获得,具有未来经济效益的事物,例如企业花费巨资购买机器设备,或是取得某项专利技术,可以为企业制造产品,创造收入及获利,从营运角度来看,任何对于企业营去有帮助的都算是资产,例如计算机系统及设备等,企业必须通过这些系统设备才能处理客户订单,所以也是重要资产,只要认定为资产,必然有其价值,不论有形无形,都必须列清单予以保管,然而过去资产管理重点放在有形资产上,例如现金、厂房、办公室、机器设备、原材料等,比较少针对无形资产列账控及盘点。
从信息的角度来看,除了计算机设备外,有许多无形资产对企业营也非常重要,如信息系统、网站系统、软件工具、交易数据及客户数据、甚至是信息人员等,都是公司非常重要的资产,也需要列示清单及管理,所以在信息安全方法论中,将资产分为以下五类:
* 资料:主要指电子形式的档案,例如:客户数据、交易数据、软件程序原始码等。
* 文件:指书面文件,例如会计传票、系统开发文件、使用手册、部门年度计划、部门管理办法、窗体凭证等。
* 软件:例如应用软件、操作系统、程序开发工具等。
* 硬件:包括服务器、个人计算机、打印机、传真机、电话、磁带及其他相关外围设备等。
* 人员:信息部门主管、数据库管理员、操作系统管理员、网络管理员、网站设计人员、程序维护人员、机房管理员、电子邮件系统管理员、防毒软件管理员、防火墙管理员、行政助理人员等。
从信息安全与风险管理角度来看,信息资产须适当分类,标示,储存及保护,并明确划分保管责任,信息资产须定期盘点及更新,信息资产之标示,使用,传递及保管须有相对应的控管程序。
弱点与威胁
如同前面所提,弱点指的是资产本身脆弱的地方,就信息资产而言,弱点可能以下列形式出现:
* 资产本身会受到破坏,例如有形资产的实体,一旦实体损坏就会丧失功能,所以必须保护资产实体。
* 资产一旦被其他人取得,很难排除或发现其他人使用,例如计算机软件,他人取得执行程序可以安装在自己的计算机使用,因而衍生知识产权问题。
* 资产可以开放修改或调整,例如系统软件的程序原始码,划是主机系统设定,既然可以修改或调整,就有正确性问题,系统软件原始码版本不正确,会导致交易处理时发生错误。
* 资产数量有限,例如银行使用的大型IBM主机,一旦毁损,可能必须由美进口才能取得替代设备,因而重要计算机设备有可用性(Availahility)的问题。
*资产必须是完整的才能发挥效用,例如消费者透过网络购买商品,在网站输入交易数据或信用卡数据,必须完整传送到厂商订单系统或数据库,整个交易才会获得承认,因而输入的交易数据有完整性的问题。
弱点本身并不会自己引起损害,如果没有威胁,损害就不会发生,例如计算机设备本身虽然有实体,但是不会无缘无故自己燃烧起来,但是资产本身的弱点,会成为组织中信息安全的缺点或漏洞,若不能有效控管这些缺点或漏洞,那到威胁就可能利用弱点对资产造成危害,并造成企业损失,所以弱点与威胁就可能利用弱点对产造成危害,并造成企业损失,所以弱点与威胁实为一体两面,例如资产实体为易燃物,其面临的威胁就是火灾,两者合起来就是企业资产因火灾而损坏的概率,再乘上资产价值,可以得到预期损失,也就是企业承受的风险。
基本上,从信息资产角度来看,威胁大概可以分成以下几个来源:
* 天然灾害:例如雷击、地震、水灾以及非人为因素的火宵等。
* 人为恶意破坏:例如偷窃,抢夺、人力敲打等。
* 技术问题:例如机件故障,流得超载而引发网络断线或系统中断等。
* 意外事件:例如车祸等意外事件所造成的破坏。
控制措施可以保护资产弱点
项目经理胜任力免费测评PMQ上线啦!快来测测你排多少名吧~
http://www.leadge.com/pmqhd/index.html
