风险评估的基本过程-识别并评价资产

风险评估的基本过程-识别并评价资产
    通过准备阶段采集到的信息，组织应该能够列出一份与信息安全相关的资产清单。在识
别资产时一定要防止遗漏，划入风险评估范围和边界内的每一项资产都应该被确认和评估。
实际操作时，组织可以根据商务流程来识别信息资产，例如，如果安全目标是保护一项订单
处理业务的安全性，列入风险分析资产清单中的，就应该包括所有与订单处理流程相关的系统、网络和组件。
信息资产的存在形式有多种，可以是物理的（如机房建筑和设施、计算机设备等），可
以是逻辑的（如存储和传输中的数据、应用程序、系统服务等），也可以是无形的（如组织
的公众形象和信誉等）。进行信息资产识别时，应该考虑到以下几个方面：

• 数据与文档 —— 数据库和数据文件、系统文件、用户手册、培训资料、运
  作和支持程序、应急计划等。
  
• 书面文件 —— 合同、策略方针、企业文件、保持重要商业结果的文件。
  
• 软件资产 —— 应用软件、系统软件、开发工具和公用程序等。
  
• 实物资产 —— 计算机和通信设备，磁介质（磁带和磁盘），其他的技术型
  设备（电源，空调），家具，场所。
  
• 人员 —— 承担特定职能责任的人员。
  
• 服务 —— 计算和通信服务，其他技术型服务（供热、照明、动力等）。
  
• 组织形象与声誉 —— 这是一种无形资产。
  需要注意的是，列入评估清单的信息资产，一定要是在评估范围内且与商务过程相关的
  资产，否则，一方面清单过于庞大不便分析，另一方面，分析结果也会失去准确性和本应有
  的意义。
  得到完整的信息资产清单之后，组织应该对每项（类）资产进行赋值。
  按照定量分析的思想，应该确定资产的货币价值，但这个价值并不只是简单的账面价格，
  而是相对价值。在定义相对价值时，需要考虑：
  
• 信息资产因为受损而对商务造成的直接损失；
  
• 信息资产恢复到正常状态所付出的代价，包括检测、控制、修复时的人力和物力；
  
• 信息资产受损对其他部门的业务造成的影响；
  
• 组织在公众形象和名誉上的损失；
  
• 因为商务受损导致竞争优势降级而引发的间接损失；
  
• 其他损失，例如保险费用的增加。