6.2　資產評估

6.2.1　資產評估概述

資產是對組織具有價值的信息或資源，是安全策略的保護對象。資產價值是資產重要程度或敏感程度的表征。資產評估包括識別資產和評估資產價值兩個方面內容。

6.2.2　資產分類

在一個組織中，資產有多種存在形式。不同類別的資產重要性不同，面臨的威脅也不同。對工業控制系統及相關的資產進行分類可以提高資產識別的效率。在實際工作中，具體的資產分類方法可以根據具體的評估對象和要求，由評估方靈活把握。根據資產的表現形式，可將資產分為邏輯資產、物理資產和人力資產等，如表3所示：

6.2.3　資產調查

資產調查是識別組織和工業控制系統中資產的重要途徑。資產調查一方面應識別出有哪些資產，另一方面要識別出每項資產自身的關鍵屬性。工業控制系統結構復雜，資產繁多，為保證風險評估工作的進度要求及質量要求，有時不能對所有資產進行全面分析，應選取其中關鍵的資產進行分析，資產調查如圖9所示。

實施指南如下：

a） 評估組根據評估目標和范圍，確定風險評估對象，并梳理其基本信息，可以參照附錄A中表A.1進行訪談；

b） 評估方根據組織提供的規劃書、設計方案、用戶手冊等文檔并結合現場訪談相關人員識別出工業控制系統的具體業務；

c） 評估方根據工業控制系統的業務并結合現場訪談相關人員，識別出工業控制系統的工藝需求以及安全需求；

d） 評估方根據工業控制系統的工藝需求和安全需求，結合現場訪談相關人員，識別出關鍵功能需求及安全需求；

e） 評估方根據識別的關鍵需求、組織提供的資產清單、網絡拓撲圖等識別出工業控制系統的關鍵資產。

1.1.1　資產分析

根據工業控制系統承擔的業務，判斷資產的可用性、完整性、和保密性的優先級。通常工業控制系統將可用性作為首要需求。

進行資產賦值時可以參考如下因素：

a) 工業控制系統的重要性以及安全等級；

b) 資產對工業控制系統正常運行的重要程度；

c) 工業控制系統信息安全對資產的依賴程度；

d) 資產可用性、完整性、保密性對工業控制系統以及相關業務的重要程度。

分析資產的可用性、完整性、保密性安全屬性的等級，并參考對可用性、完整性、保密性賦值，經過綜合評定得到資產的最終賦值結果，如圖10所示。將資產價值分為五個等級，具體含義參見GB/T 20984-2007

a) 根據系統承擔的業務，分析研判資產的安全屬性可用性、完整性、和保密性的優先級。一般情況下，工業控制系統會將可用性放在第一位；

b) 根據資產調查以及資產賦值結果，確定重要資產的范圍，并主要圍繞重要資產進行下一步的風險評估。