ارزيابي دارايي ها
الزامات سیستم های مدیریت امنیت اطلاعات (ISMS)
27001 ISO
- ارزيابي دارايي ها :
- ارزيابي دارايي هاي داده ای (Data Assets):
ارزش گذاري داراييهاي داده اي از طريق مصاحبه با صاحبان آن ها صورت مي گيرد. در مصاحبه ها از صاحبان داده ها خواسته مي شود با ديد رخداد بدترين حالت ممکن به سوالات پاسخ دهند. سوالات مصاحبه به بررسي اثرات ناشي از وقوع اتفاقاتي در زمينه هاي زير برمي گردد :
- در دسترس نبودن داده
- افشاي داده
- تغييرات عمدي يا اتفاقي بر روي داده
- از بين رفتن داده
در هنگام ارزش گذاري دارايي ها تا جايي که ممکن است اقدامات پيشگيرانه و جبران کننده جاري نبايد درنظر گرفته شوند تا افراد مصاحبه شونده در اظهار نظر خود ارزش دارايي مورد بحث را بصورت واقع گرايانه بيان نمايند. در نهايت ارزش گذاري پاسخ مصاحبه شوندگان به سوالات، براساس راهنماي ارزشگذاري دارايي ها انجام مي شود که در نرم افزار CRAMM ارائه شده است. (ضميمه الف)
- ارزيابي دارايي هاي فيزيکي :
مصاحبه شوندگان، داراييهاي فيزيکي را مطابق جداول راهنماي (ضميمه ب) و با در نظر گرفتن فاکتورهاي زير ارزشگذاري مي نمايند :
- حداکثر زمان پاسخگويي سازمان در زمان بروز هر واقعهاي که منجر به نقض هر يک از سه محور در دسترس بودن، يکپارچگي و محرمانگي اطلاعات مي شود.
- ارزش مالي (هزينه تامين و جايگزيني هر دارايي)
- حوزه پوشش(ميزان استفاده کاربران و سرويسهاي ديگر)
از ترکيب خطي امتيازات اين سه پارامتر، پارامتر ديگري به نام P توليد مي شود که ارزش واقعي يک دارايي را مشخص ميکند. پارامتر P در مرحله بعد جهت گروهبندي داراييها مورد استفاده قرار خواهد گرفت. محاسبه پارامترP از طريق فرمول زير انجام مي شود :
1-3- داراييهاي نرم افزاري :
روش ارزش گذاري اين دارايي ها مشابه روش ارزش گذاري دارايي هاي داده اي است. بايد توجه کرد که عموماً برنامه هاي نرم افزاري هر يک الزاماتي جهت حفظ محرمانگي و يکپارچگي دارند (براي مثال Source برنامه ذاتاً محرمانه محسوب مي شود).
- ساير دارايي ها :
دارايي هاي ديگر (شامل دارايي هاي مکاني و سرويس ها) ارزش خود را بعد از فرايند مدل سازي به واسطه دارايي هاي داد ه اي، فيزيکي و نرم افزاري که با آن ها مرتبط هستند دريافت مي کنند.
ضميمه الف – جداول راهنماي ارزشگذاري دارايي هاي داده اي
حوزه عمليات كاري و مديريتي/Management and Business Operations
ارزش دارايي |
عمليات كاري و مديريتي |
| 1 | عملكرد ناكارامد يك بخش از سازمان |
| 2 | – |
| 3 | تضعيف مديريت صحيح سازمان و عملكرد آن |
| 4 | – |
| 5 | ممانعت از توسعه يا عملياتي شدن موثر خطمشيهاي سازماني |
| 6 | ايجاد شرايط نامساعد در مذاكرات سياسي يا تجاري سازمان با ديگران |
| 7 | ممانعت جدي از توسعه يا عملياتي شدن خط مشيهاي مهم سازماني يا توقف كامل يا اصولا مختل شدن عملياتهاي مهم |
| 8 | – |
| 9 | – |
| 10 | – |
حوزه ايمني شخصي/Personal safety
| ارزش دارايي | ايمني شخصي |
| 2 | ميتواند منجر به جراحت جزئي چندين نفر شود. |
| 3 | احتمالاً منجر به جراحت جزئي يك شخص ميشود. (محرمانه) |
| 4 | احتمالا منجر به جراحت جزئي چندين نفر ميشود. (محرمانه) |
| 5 | |
| 6 | احتمالا منجر به بيشتر از يك جراحت جزئي محدود به يك نفر ميشود. (محرمانه) |
| 7 | احتمالا منجر به بيشتر از جراحت جزئي چندين نفر ميشود. (خيلي محرمانه) |
| 8 | احتمالا به آزادي حركت يا امنيت شخصي لطمه وارد ميكند(به عنوان مثال احتمالا منجر به تهديد زندگي يك شخص يا گروهي از اشخاص ميشود) (خيلي محرمانه) |
| 9 | احتمالا منجر به مرگ يك شخص و يا آسيب رساندن جدي به آزادي حركت يا امنيت شخصي ميشود. (سري) |
| 10 | احتمالا منجر به مرگ و مير گسترده ميشود. (فوق سري) |
حوزه اطلاعات شخصي/Personal information
| ارزش دارايي | اطلاعات شخصي |
| 1 | ناراحت كردن جزئي يك شخص بدون وقوع نقض قانون يا مقررات |
| 2 | ناراحت كردن يك شخص بدون وقوع نقض قانون يا مقررات |
| 3 | يك مورد نقض قانون، الزامات اخلاقي يا تمايل اطلاع رساني شده در خصوص حفاظت اطلاعات كه منجر به ناراحتي جزئي يك شخص ميشود. (محرمانه) |
| 4 | يك مورد نقض قانون، الزامات اخلاقي يا تمايل اطلاع رساني شده در خصوص حفاظت اطلاعات كه منجر به ناراحتي جزئي يك گروه از اشخاص ميشود. (محرمانه) |
| 5 | يك مورد نقض قانون، الزامات اخلاقي يا تمايل اطلاع رساني شده در خصوص حفاظت اطلاعات كه منجر به ناراحتي قابل توجه يك شخص ميشود. (محرمانه) |
| 6 | يك مورد نقض قانون، الزامات اخلاقي يا تمايل اطلاع رساني شده در خصوص حفاظت اطلاعات كه منجر به ناراحتي قابل توجه يك گروه از اشخاص ميشود. (محرمانه) |
| 7 | – |
| 8 | – |
| 9 | – |
| 10 | – |
حوزه خسارت هاي مالي به فعاليتها/Financial loss/ Disruption to activities
| ارزش دارايي | خسارت مالي به فعاليتها |
| 1 | موجب ضرر مالي مستقيم يا غير مستقيم به ارزش 15000000 ريال يا كمتر ميشود. |
| 2 | موجب ضرر مالي مستقيم يا غير مستقيم به ارزش از 15000001ريال تا 150000000 ريال |
| 3 | موجب ضرر مالي مستقيم يا غير مستقيم به ارزش از 150000001 ريال تا 450000000 ريال ميشود. |
| 4 | موجب ضرر مالي مستقيم يا غير مستقيم به ارزش از 450000001 ريال تا 1500000000 ريال ميشود. |
| 5 | موجب ضرر مالي مستقيم يا غير مستقيم به ارزش از 1500000001 ريال تا 4500000000 ريال ميشود. |
| 6 | موجب ضرر مالي مستقيم يا غير مستقيم به ارزش از 4500000001 ريال تا 15000000000 ريال ميشود. |
| 7 | موجب ضرر مالي غير مستقيم به ارزش بالاتر از 15000000000 ريال ميشود. |
| 8 | موجب ضرر مالي مستقيم به ارزش بالاتر از 15000000000 ريال ميشود. |
| 9 | – |
| 10 | – |
حوزه مخدوش شدن شهرت/Loss of goodwill
| ارزش دارايي | مخدوش شدن شهرت |
| 1 | – |
| 2 | اثر معكوس گذاشتن بر روي روابط با ديگر بخشهاي سازمان |
| 3 | اثر معكوس گذاشتن بر روي روابط با ديگر سازمانها يا مردم بوسيله مخدوش كردن شهرت سازمان در محدوده مجاورت جغرافيايي و بدون اثر مداوم |
| 4 | |
| 5 | اثر معكوس گذاشتن بر روي روابط با ديگر سازمانها يا مردم بوسيله مخدوش كردن شهرت سازمان در گستره بيشتر از محدوده مجاورت جغرافيايي |
| 6 | |
| 7 | تاثير عمده گذاشتن بر روي روابط با ديگر سازمانها يا مردم و منجر به مخدوش شدن گسترده شهرت عموميسازمان |
| 8 | – |
| 9 | – |
| 10 | – |
ضميمه ب – جداول راهنماي ارزشگذاري داراييهاي فيزيکي
| عدم دسترس پذيري | مقياس |
| کمتر از 12 ساعت | 9 |
| تا دو روز | 7 |
| تا يک هفته | 5 |
| تا دوهفته | 3 |
| بيش از يک ماه | 1 |
| محدوده قيمت | مقياس |
| کمتر از 10 ميليون ريال | 1 |
| از 10 تا 100 ميليون ريال | 3 |
| از 100 تا 300 ميليون ريال | 5 |
| از 300 ميليون تا 1 ميليارد ريال | 7 |
| بيش از 1 ميليارد ريال | 9 |
| ميزان پوشش | مقياس |
| کمتر از 1% | 1 |
| از 1% تا 10% | 3 |
| از 11% تا 30% | 5 |
| از 31% تا 70% | 7 |
| بيش از 70% | 9 |
دیدگاهها
پاکسازی فیلترهیچ دیدگاهی برای این محصول نوشته نشده است.