银行信息资产的分类和分级

信息资产是指任何对企业具有价值的信息资产，包括计算机硬件、通信设施、建筑物、数据库、文档信息、软件、信息服务和人员等，所有这些资产都需要妥善保护。为了进一步定义其价值，一般需将其分类，除一般认可的软件、硬件、数据资产外，还需增加人员、服务等项目，在此基础上可进一步细分，以达到精细化管理的要求。

结合相关标准（如ISO/IEC 27005等）、“三道防线”及相关法规（如《商业银行信息科技风险管理指引》《商业银行内部控制指引》等）的要求，可以将信息技术资产分为硬件类、软件类、数据/文档、组织、人员、服务及网络七类。然后根据资产类别、职能或等级划分为不同子类，并根据其所支持的业务或实现的功能划分小类，从而实现资产的三级分类（表7-2）。

表7-2 信息资产分类

（续）

对细分后的信息资产，需定义其价值。这里所讲的价值并不是财物价格，而是从信息安全的角度，即机密性、完整性、可用性的价值取值，可采取三级分类。资产价值评估主要对资产的保密性（C）、完整性（I）、可用性（A）进行赋值评估。在评估过程中，对所有的资产都进行了CIA赋值，并依据资产的自身特点，细化了其保密性、完整性、可用性的适用范围，比如硬件类资产安全属性应关注可用性（硬件的保密性、完整性不适用），根据实际情况和业界经验，针对每类资产，制订了资产CIA适用范围，如表7-3所示。

表7-3 资产CIA赋值(www.xing528.com)

通过前面对信息技术资产安全属性的赋值，可以判断该资产在公司安全风险管控活动中的价值，经过价值等级计算，公司就可以结合相应的弱点/威胁等级对资产采用明确的分类保护措施，从而达到保障公司信息技术经营活动的目标。信息技术资产等级的计算主要来源于资产的3个属性，同时参考最佳实践并根据企业特点，通过以下公式对资产价值进行计算。

资产价值=Round1{Log2[（A×2^Conf+B×2^Int+C×2^Ava）/3]}

式中，A代表保密性的权值；B代表完整性的权值；C代表可用性的权值；Round函数是按制定位数，对数值四舍五入（Round1表示保留1位小数）。

计算出信息技术资产安全价值大小后，可将它分为以下4个等级（表7-4）。

表7-4 资产等级