在当今数字化浪潮的冲击下，企业信息资产的管理与保护面临着前所未有的挑战。随着信息资产的不断膨胀与复杂化，传统的管理方式已难以满足企业发展的需求。本文将基于 ITIL 先锋论坛的实践成果，为企业提供一套全新的信息资产管理与保护方法，助力企业在数字化时代稳健前行。


资产分类：奠定管理基石
资产分类是信息资产管理的关键环节，它能够帮助企业清晰地识别和定位各类信息资产，从而为后续的风险评估与解决方案设计提供坚实基础。合理的资产分类不仅有助于优化资源配置，还能显著提升管理效率，确保信息资产的安全性与可用性得到充分保障。
依据 ISO27001 标准，信息相关资产可按照以下方式进行分类：

• 软件资产：涵盖系统软件、应用软件、工具软件和桌面软件等，这些软件需与已识别的数据文件资产存在直接关联。
  
• 数据文件：包含各类业务相关的电子文件及纸质文件资料，分类时应以业务功能和保密性要求为主要考量因素。
  
• 实物资产：如机房、通信设备、网络设备等硬件设施，这些设施可能安装有软件或存放有数据文件资产。
  
• 人员资产：涉及对数据文件资产、软件资产和实物资产进行使用、操作和支持的人员角色。
  
• 服务资产：包括业务流程、各种业务生产应用、为客户提供的服务能力等，例如 WWW、SMTP、POP3、FTP、DNS 等服务，以及外部对客户提供的网络接入、IT 产品售后服务和 IT 系统维护等服务。
  
  

资产赋值：量化资产价值
为了更精准地反映资产的价值，企业需要对资产进行赋值。资产赋值能够帮助企业深入了解资产的保密性（C）、完整性和可用性（A）三大安全属性，进而量化资产的弱点、威胁和风险属性。通过对这三种安全属性的综合考察，可以得出一个基本反映资产价值的数值，为后续的风险管理提供重要依据。

• 保密性：确保信息仅对授权人员开放，防止信息泄露。
  
• 完整性：保护信息及其处理方法的准确性与完整性，避免信息被篡改或破坏。
  
• 可用性：保障授权用户在需要时能够及时访问并使用信息资产，确保业务的连续性。
  
  

资产价值的计算公式如下：Asset Value=Round1{log2​[3(2×Conf+2×Int+2×Avail)​]}其中，Conf、Int、Avail 分别代表保密性、完整性、可用性赋值，Round1{} 表示四舍五入保留一位小数，Log2[] 表示取以 2 为底的对数。


文档资料类信息分级：细化管理颗粒度
对于核心的数据、文档类资产，企业应根据其敏感性进行分级管理，以便采取更有针对性的保护措施。信息资产的分级如下：

• 公开信息：可以公共访问和对外发布的信息，由特定单位负责管理，一般情况下，这些信息的自由散布不会引发安全问题。
  
• 秘密信息：对企业具有价值的信息，必须有访问控制。非法访问、修改或删除会影响企业形象或业务收益，但这种影响可以在较短时间内恢复。
  
• 机密信息：对企业具有重大价值的信息，必须有严格的访问控制。非法访问、修改或删除会严重影响企业形象或业务收益，但这种影响可以在一定时期内恢复。
  
• 绝密信息：具有最高安全级别，对企业形象、业务收益起到至关重要的作用。一旦被非法访问或篡改，会导致灾难性的影响，并且这种影响在短时期内是不可恢复的。
  
  

不同等级信息资产的管理策略：精准施策
针对不同等级的信息资产，企业应制定相应的管理策略，确保信息资产的安全与合规使用。

• 绝密级文档类信息资产：
  
  
  • 由专人在特定位置进行管理维护，禁止随意打印，授权打印后的文档需经负责领导签署，并由专人专柜保存管理。
    
  • 电子版文档不得放置在可移动的客户端设备上，禁止通过网络流转。
    
  • 利用 DLP 系统进行指纹提取，定期开展规范性扫描，主机和网关 DLP 实时阻止信息外泄。
    
  • 文档访问需遵循特殊流程，纸质版文档每次访问均需做好登记和记录。
    
    
• 机密级文档类信息资产：
  
  
  • 附有该类文档的邮件需注明“机密”字样，严禁邮件转发。
    
  • 控制文档的打印功能，打印需经过审批。
    
  • 运用 DLP 系统进行指纹提取和定期规范性扫描，主机 DLP 实时阻止文档外发。
    
  • 文档访问需依据一定流程和权限进行控制。
    
    
• 秘密级文档类信息资产：
  
  
  • 在文档显著位置标明“秘密”级别及“不得外传”字样。
    
  • 主机 DLP 对文档进行打标签处理，同时在主机边界实施防泄密措施，网络 DLP 在网络边界进行监控。
    
  • 文档访问需设置相应的权限控制。
    
    

数据、文档标识方法：明晰信息身份
对不同安全类别的信息进行明确标识，有助于企业内部人员依照信息安全规章制度进行操作和处理，从而有效降低因人为误操作而带来的安全隐患。企业应明确规定信息在不同载体上的标识方法，确保敏感信息的密级得到清晰标注。根据存储和输出方式的不同，可采用物理标签、电子标记等多种标识方式。
资产标识的原则与内容：规范标识流程
为了确保资产标识的准确性和有效性，企业需遵循以下原则：

• 所有信息安全分类标识必须准确反映信息的安全防护级别，PMO 对信息安全分类拥有最终决定权。
  
• 绝密、机密和秘密信息必须进行详尽标识，其内容和格式需保持统一。其他等级的信息可根据实际情况自行进行标识管理。
  
• 对于所有的信息安全分类标识，企业应指定专人负责定期更新维护，更新周期为每年一次。
  
  

资产标识的内容可包括但不限于以下信息：

• 信息的简单描述或内部编号
  
• 创建日期和最后修改日期
  
• 版本控制信息
  
• 信息分级，如绝密、机密、秘密、公开等
  
• 专管人员或专管部门
  
  

信息资产的访问控制与数据保护：筑牢安全防线
企业需对信息资产的分类、所有权以及访问权限进行严格管理，相关信息可参考《IT 部信息资产分类表》。此外，企业还应明确各类信息资产的数据保护要求，以确保信息资产在使用和传输过程中的安全。


信息资产的处置：规范处置流程
信息资产的处置涉及多种信息处理活动，包括但不限于以下几类：

• 向第三方公开信息
  
• 通过口头对话方式传播信息，如会议、电话录音、手机、电话、公开谈话等
  
• 通过电子通讯手段传递信息，如互联网服务、电子邮件、传真、内部网络、手机短信息等
  
• 对信息进行复制拷贝，包括复印、电子拷贝、数据备份等
  
• 对信息进行存储，如电子邮件、电子文档、打印文档等
  
• 对信息资产进行作废处理，涵盖非写存储介质、可写存储介质、纸张、硬件设备等
  
• 实施物理访问控制，如机房和办公区域的进出管理
  
• 进行逻辑访问控制，包括本机访问和网络访问
  
• 记录日志，以便追踪信息资产的使用情况
  
• 开展审计工作，确保信息资产的合规使用
  
  

企业应根据不同密级的信息资产，在处置过程中采取相应的控制和保护措施，以维护信息资产的安全性和完整性。


IT运维管理：ITIL先锋论坛—IT部信息资产分类分级实践探索.docx

在当今数字化浪潮的冲击下，企业信息资产的管理与保护面临着前所未有的挑战。随着信息资产的不断膨胀与复杂化，传统的管理方式已难以满足企业发展的需求。本文将基于 ITIL 先锋论坛的实践成果，为企业提供一套全新的信息资产管理与保护方法，助力企业在数字化时代稳健前行。


资产分类：奠定管理基石
资产分类是信息资产管理的关键环节，它能够帮助企业清晰地识别和定位各类信息资产，从而为后续的风险评估与解决方案设计提供坚实基础。合理的资产分类不仅有助于优化资源配置，还能显著提升管理效率，确保信息资产的安全性与可用性得到充分保障。
依据 ISO27001 标准，信息相关资产可按照以下方式进行分类：

• 软件资产：涵盖系统软件、应用软件、工具软件和桌面软件等，这些软件需与已识别的数据文件资产存在直接关联。
  
• 数据文件：包含各类业务相关的电子文件及纸质文件资料，分类时应以业务功能和保密性要求为主要考量因素。
  
• 实物资产：如机房、通信设备、网络设备等硬件设施，这些设施可能安装有软件或存放有数据文件资产。
  
• 人员资产：涉及对数据文件资产、软件资产和实物资产进行使用、操作和支持的人员角色。
  
• 服务资产：包括业务流程、各种业务生产应用、为客户提供的服务能力等，例如 WWW、SMTP、POP3、FTP、DNS 等服务，以及外部对客户提供的网络接入、IT 产品售后服务和 IT 系统维护等服务。
  
  

资产赋值：量化资产价值
为了更精准地反映资产的价值，企业需要对资产进行赋值。资产赋值能够帮助企业深入了解资产的保密性（C）、完整性和可用性（A）三大安全属性，进而量化资产的弱点、威胁和风险属性。通过对这三种安全属性的综合考察，可以得出一个基本反映资产价值的数值，为后续的风险管理提供重要依据。

• 保密性：确保信息仅对授权人员开放，防止信息泄露。
  
• 完整性：保护信息及其处理方法的准确性与完整性，避免信息被篡改或破坏。
  
• 可用性：保障授权用户在需要时能够及时访问并使用信息资产，确保业务的连续性。
  
  

资产价值的计算公式如下：Asset Value=Round1{log2​[3(2×Conf+2×Int+2×Avail)​]}其中，Conf、Int、Avail 分别代表保密性、完整性、可用性赋值，Round1{} 表示四舍五入保留一位小数，Log2[] 表示取以 2 为底的对数。


文档资料类信息分级：细化管理颗粒度
对于核心的数据、文档类资产，企业应根据其敏感性进行分级管理，以便采取更有针对性的保护措施。信息资产的分级如下：

• 公开信息：可以公共访问和对外发布的信息，由特定单位负责管理，一般情况下，这些信息的自由散布不会引发安全问题。
  
• 秘密信息：对企业具有价值的信息，必须有访问控制。非法访问、修改或删除会影响企业形象或业务收益，但这种影响可以在较短时间内恢复。
  
• 机密信息：对企业具有重大价值的信息，必须有严格的访问控制。非法访问、修改或删除会严重影响企业形象或业务收益，但这种影响可以在一定时期内恢复。
  
• 绝密信息：具有最高安全级别，对企业形象、业务收益起到至关重要的作用。一旦被非法访问或篡改，会导致灾难性的影响，并且这种影响在短时期内是不可恢复的。
  
  

不同等级信息资产的管理策略：精准施策
针对不同等级的信息资产，企业应制定相应的管理策略，确保信息资产的安全与合规使用。

• 绝密级文档类信息资产：
  
  
  • 由专人在特定位置进行管理维护，禁止随意打印，授权打印后的文档需经负责领导签署，并由专人专柜保存管理。
    
  • 电子版文档不得放置在可移动的客户端设备上，禁止通过网络流转。
    
  • 利用 DLP 系统进行指纹提取，定期开展规范性扫描，主机和网关 DLP 实时阻止信息外泄。
    
  • 文档访问需遵循特殊流程，纸质版文档每次访问均需做好登记和记录。
    
    
• 机密级文档类信息资产：
  
  
  • 附有该类文档的邮件需注明“机密”字样，严禁邮件转发。
    
  • 控制文档的打印功能，打印需经过审批。
    
  • 运用 DLP 系统进行指纹提取和定期规范性扫描，主机 DLP 实时阻止文档外发。
    
  • 文档访问需依据一定流程和权限进行控制。
    
    
• 秘密级文档类信息资产：
  
  
  • 在文档显著位置标明“秘密”级别及“不得外传”字样。
    
  • 主机 DLP 对文档进行打标签处理，同时在主机边界实施防泄密措施，网络 DLP 在网络边界进行监控。
    
  • 文档访问需设置相应的权限控制。
    
    

数据、文档标识方法：明晰信息身份
对不同安全类别的信息进行明确标识，有助于企业内部人员依照信息安全规章制度进行操作和处理，从而有效降低因人为误操作而带来的安全隐患。企业应明确规定信息在不同载体上的标识方法，确保敏感信息的密级得到清晰标注。根据存储和输出方式的不同，可采用物理标签、电子标记等多种标识方式。
资产标识的原则与内容：规范标识流程
为了确保资产标识的准确性和有效性，企业需遵循以下原则：

• 所有信息安全分类标识必须准确反映信息的安全防护级别，PMO 对信息安全分类拥有最终决定权。
  
• 绝密、机密和秘密信息必须进行详尽标识，其内容和格式需保持统一。其他等级的信息可根据实际情况自行进行标识管理。
  
• 对于所有的信息安全分类标识，企业应指定专人负责定期更新维护，更新周期为每年一次。
  
  

资产标识的内容可包括但不限于以下信息：

• 信息的简单描述或内部编号
  
• 创建日期和最后修改日期
  
• 版本控制信息
  
• 信息分级，如绝密、机密、秘密、公开等
  
• 专管人员或专管部门
  
  

信息资产的访问控制与数据保护：筑牢安全防线
企业需对信息资产的分类、所有权以及访问权限进行严格管理，相关信息可参考《IT 部信息资产分类表》。此外，企业还应明确各类信息资产的数据保护要求，以确保信息资产在使用和传输过程中的安全。


信息资产的处置：规范处置流程
信息资产的处置涉及多种信息处理活动，包括但不限于以下几类：

• 向第三方公开信息
  
• 通过口头对话方式传播信息，如会议、电话录音、手机、电话、公开谈话等
  
• 通过电子通讯手段传递信息，如互联网服务、电子邮件、传真、内部网络、手机短信息等
  
• 对信息进行复制拷贝，包括复印、电子拷贝、数据备份等
  
• 对信息进行存储，如电子邮件、电子文档、打印文档等
  
• 对信息资产进行作废处理，涵盖非写存储介质、可写存储介质、纸张、硬件设备等
  
• 实施物理访问控制，如机房和办公区域的进出管理
  
• 进行逻辑访问控制，包括本机访问和网络访问
  
• 记录日志，以便追踪信息资产的使用情况
  
• 开展审计工作，确保信息资产的合规使用
  
  

企业应根据不同密级的信息资产，在处置过程中采取相应的控制和保护措施，以维护信息资产的安全性和完整性。


IT运维管理：ITIL先锋论坛—IT部信息资产分类分级实践探索.docx