小白学安全第九篇之资产价值

今天我们来谈一谈如何保护资产价值。

资产价值

在《小白学安全之安全之心》一章中,我们提到了一个十分重要的概念:

风险= 资产 * 威胁 * 脆弱性

这里的资产指的是资产价值(Value),资产的实际价值是由它对整个组织的重要性来决定的。价值不是价格(Price),价格只是在为资产确定价值时的一个维度。

1.jpg

这个概念应该比较好理解,举例来说,一张写着可口可乐配方的草纸的价值,要远大于北京一栋别墅的价值。

在进行风险评估的时候,通常要先明白我们要保护的是什么,以及它的价值是什么。一般性的原则是:

保护成本 < 资产价值

当资产的价值是1元的时候,企业最大的损失就是1元,是不应该花2元去保护这个资产的。

资产识别与赋值

资产包括有型资产(计算机硬件、办公楼、钱财等)和无形资产(声誉、数据、知识产权等)。

在资产赋值的时候,有型的资产可能识别不全,而无形的资产的价值又会随着时间而变化。所以,很难有一个定量的分析,更多的时候是掺有一点主观意识的定性分析。

目前一般采用对资产的CIA(机密性、完整性、可用性)三性进行打分的方法,安全属性等级包括:很高、高、中等、低、很低五种级别,通常会有这一个一个表格:

资产赋值 标识 机密性 完整性 可用性
5 很高
4
3 中等
2
1 很低

可以看到,赋值是可以很主观的,所以要尽量做到客观与统一标准,更多的时候是形成资产间的价值对比。

计算资产价值也没有固定的公式,一般使用算数平均法或对数平均法。算数平均法综合考虑CIA,简单易用。对数平均法对CIA分配不同的权重,更容易突出某一特定因素的影响。

总而言之

做信息安全,要先知道我们保护的是什么(资产),为什么要保护它(价值),投入多少去保护它(保护成本)。一般情况下我们也不做赔本的生意(保护成本< 资产价值)。

未经允许不得转载(声明:本文内容由互联网用户自发贡献自行上传,本网站不拥有所有权,未作人工编辑处理,也不承担相关法律责任。如果您发现有涉嫌版权的内容,欢迎发送邮件至:net-net@foxmail.com进行举报,并提供相关证据,工作人员会在10个工作日内联系你,一经查实,本站将立刻删除涉嫌侵权内容。):策信智库资讯网 » 小白学安全第九篇之资产价值

赞 (0)