5.2 資產識別

5.2.1 資產分類

保密性、完整性和可用性是評價資產的三個安全屬性。風險評估中資產的價值不是以資產的經濟價值來衡量，而是由資產在這三個安全屬性上的達成程度或者其安全屬性未達成時所造成的影響程度來決定的。安全屬性達成程度的不同將使資產具有不同的價值，而資產面臨的威脅、存在的脆弱性、以及已采用的安全措施都將對資產安全屬性的達成程度產生影響。為此，應對組織中的資產進行識別。
在一個組織中，資產有多種表現形式；同樣的兩個資產也因屬于不同的信息系統而重要性不同，而且對于提供多種業務的組織，其支持業務持續運行的系統數量可能更多。這時首先需要將信息系統及相關的資產進行恰當的分類，以此為基礎進行下一步的風險評估。在實際工作中，具體的資產分類方法可以根據具體的評估對象和要求，由評估者靈活把握。根據資產的表現形式，可將資產分為數據、軟件、硬件、服務、人員等類型。表1列出了一種資產分類方法。

5.2.2 資產賦值

5.2.2.1 保密性賦值

根據資產在保密性上的不同要求，將其分為五個不同的等級，分別對應資產在保密性上應達成的不同程度或者保密性缺失時對整個組織的影響。表2提供了一種保密性賦值的參考。

5.2.2.2　完整性賦值

根據資產在完整性上的不同要求，將其分為五個不同的等級，分別對應資產在完整性上缺失時對整個組織的影響。表3提供了一種完整性賦值的參考。

5.2.2.3　可用性賦值

根據資產在可用性上的不同要求，將其分為五個不同的等級，分別對應資產在可用性上應達成的不同程度。表4提供了一種可用性賦值的參考。

5.2.2.4　資產重要性等級

資產價值應依據資產在保密性、完整性和可用性上的賦值等級，經過綜合評定得出。綜合評定方法可以根據自身的特點，選擇對資產保密性、完整性和可用性最為重要的一個屬性的賦值等級作為資產的最終賦值結果；也可以根據資產保密性、完整性和可用性的不同等級對其賦值進行加權計算得到資產的最終賦值結果。加權方法可根據組織的業務特點確定。
本標準中，為與上述安全屬性的賦值相對應，根據最終賦值將資產劃分為五級，級別越高表示資產越重要，也可以根據組織的實際情況確定資產識別中的賦值依據和等級。表5中的資產等級劃分表明了不同等級的重要性的綜合描述。評估者可根據資產賦值結果，確定重要資產的范圍，并主要圍繞重要資產進行下一步的風險評估。
表5　資產等級及含義描述