基于業務流程的信息資產識別及其價值確定

●王艷瑋，陳 恒（陜西師范大學 國際商學院，西安 710062）

1 引言

信息技術在給組織帶來益處的同時，也面臨著各種各樣的威脅，在信息安全管理不完善的情況下，頻繁發生的各種信息安全事件，將給組織和社會帶來巨大的損失。對于信息安全問題，目前業界已經形成了一個共識：信息安全問題是一個動態的、整體的、持續性的問題。[1]因此只有通過周期性持續的信息安全管理活動才能夠有效地降低組織的信息安全風險。

信息安全管理的首要工作是信息安全風險評估，信息安全風險評估是一個面對復雜系統的綜合評估工作，它貫穿于信息系統的整個生命周期。

信息安全風險評估的基礎是信息資產識別，脆弱性及威脅識別都是以資產識別為基礎的。信息資產識別的主要目標是得到對組織有價值的資產明細，也就是得到需要首先和重點保護的資產。資產識別的過程一般經歷4個步驟：資產分類—資產信息收集—資產對象識別—資產賦值。[2]

目前流行的資產識別方法有兩種：一種是吳亞非在《信息安全風險評估》中提到國外有一種按照經濟價值大小的資產識別方法。[2]第二種是傅鵬、劉嘉偉在《基于業務的信息資產識別方法》中提到的按照業務的資產識別方法。[3]

基于經濟價值大小的資產識別在保護組織主觀經濟利益方面具有一定的意義，但是該方法忽略了資產對安全的需求。例如有的資產購買經濟價值高，但是對業務安全的價值卻非常低，如果僅僅依據經濟價值大小來對資產進行識別，將會忽略該項資產的安全需求，因而會給組織業務留下安全隱患。所以基于經濟價值的信息資產識別方式存在缺陷。

基于業務的信息資產識別在資產識別方面不失為一種好方法，但是這種方法過分強調識別核心業務資產的重要性，而忽視非關鍵業務資產。[4]這種識別方法要求我們必須承認一個假設前提，那就是只有核心業務所流經的資產對組織才是有價值的。此方法的不足之處是過分看重核心業務的信息資產對組織的重要性，這就否認了非關鍵業務存在關鍵信息資產的可能性，因此會導致將某項信息資產的3個安全屬性中某一安全屬性弱化的可能。例如在國家保密單位，對每項信息資產的保密性要求都很高，但如果按照基于業務的資產識別方法，就很有可能忽略這一點，所以這種資產識別方法并不完善。因此，出于以上資產識別方法的缺陷，本文提出基于業務流程的信息資產識別方法。

2 基于業務流程的信息資產識別及其重要性確定

2.1 信息資產識別

基于業務流程的信息資產識別始終堅持業務流程—資產分類—資產識別—資產賦值的過程，將業務流程貫穿于整個信息資產識別的過程中。

業務流程是指完成企業某一目標（或任務）而進行的一系列邏輯相關的活動或作業集合。業務流程具有如下特點：

（1）組織活動與活動的各種關系構成了業務流程的過程。（2）過程對輸入進行整理、合并、精簡等加工處理，一般會增加輸入的價值，從而產生對接受者更有價值的輸出。

GB/T20984-2007中，按照表現形式，信息資產主要分為5種：數據、軟件、硬件、服務、人員。[5]進一步分析發現，硬件和軟件本身并不具備明確的信息價值，它們實質上是信息傳遞和信息處理的載體，同時也是對外服務的基礎；而人員比較特殊，他既是信息的載體，同時也是業務的執行者。因此，在業務活動中，硬件、軟件、人員是服務與數據的支撐者，數據和服務是信息安全保障的核心。

在業務流程中，一般而言，數據經過多個業務過程的處理后，會更加有價值。所以數據與軟件、硬件和人員相比，明顯的特點就是數據具有流動性，其所在的物理位置會隨著相關業務過程而變動；而軟件、硬件、人員由于沒有進一步的處理過程，且其物理位置相對固定。因此，本文將信息資產劃分為位置固定資產與位置變動資產：

（1） 位置固定資產包括：計算機設備、網絡設備、安全設備、傳輸介質、存儲設備、保障設備、安全保障設備、應用軟件、系統軟件、網絡通信協議軟件，人員等。（2）位置變動資產包括：業務信息、用戶信息、各種數據資料、系統文檔等。

對位置變動資產的識別可以在業務流程的初始階段來進行，而對位置固定資產的識別，則需要在業務過程的每個業務節點逐一識別（一個業務過程至少包含一個業務節點），且在業務節點所屬的業務過程將形成不同的位置固定資產集合，如圖所示：

圖 業務流程中的位置固定資產和位置變動資產

業務流程有兩個核心活動，即業務數據的處理以及業務服務的提供，因此在資產保護時，數據與服務是需要保護的核心資產。

2.2 信息資產重要性確定

在業務活動中，一個完整的業務流程是由多個業務過程所構成；一個業務過程至少包含一個業務節點，信息資產存在于業務節點中且是支撐業務活動的主體，因此需要對信息資產進行保護，而資產的重要性識別和確認是信息資產保護的基礎。

基于業務流程的信息資產重要性確定方法是在將信息資產劃分為位置固定資產與位置變動資產的基礎上，按照位置固定資產在業務流程中支撐的活動受到破壞后對完成業務目標的影響程度來映射位置固定資產的重要性；對位置變動資產的重要性確定則是通過位置變動資產（數據信息）經過多個業務過程的流動增值后在CIA3個安全屬性被破壞后對完成業務目標的最大影響值來確定。據此就分類確定了每個信息資產在業務中的重要性等級。

2.3 位置固定資產重要性確定

業務流程中，位置固定資產參與了多項活動，包括處理位置變動資產（數據信息）、支撐業務的對內及對外的服務活動和支撐業務過程的順利進行。因此對位置固定資產的重要性確定需要綜合三方面指標：（1）位置固定資產所支撐的業務過程受到破壞后對完成業務目標的影響程度；（2）位置固定資產在業務過程中所承載的位置變動資產受到破壞后對完成業務目標的影響程度；（3）位置固定資產所支撐的服務受到破壞后對完成業務目標的影響程度。取這3項影響程度指標最高者為位置固定資產的重要性等級。對完成業務目標的影響可以依據影響程度不同劃分為：可忽略、輕微、中等、嚴重、非常嚴重5個等級，并將其定量為數值（1、2、3、4、5） 數值越大代表對完成業務目標的影響程度越高。

假設某組織有多項業務其中一項業務為B1，我們在B1的業務節點識別出的位置固定資產為（a1a2……an）；在業務流程的初始階段識別出的位置變動資產為（c1c2……cn），并且該項業務有X個過程如（圖1）所示，依此就可以確定各項位置固定資產所屬的業務過程。假設識別出在不同的業務過程所形成的位置固定資產集合為（a1a2）、（a3a4a5）……（an-2an-1an）。一個業務過程的順利完成必須依靠位置固定資產集合中所有資產的共同協作才能夠實現，因此在業務過程中位置固定資產的重要性相同，那么當業務過程受到破壞后對完成業務目標的影響程度就可以映射到支撐業務過程的位置固定資產集合的重要性中，影響程度越大則資產的重要性越高。假設我們確定了業務B1中各項業務過程受到破壞后對實現業務目標的影響程度，并將其映射到位置固定資產集合的重要性中。見表1。

表1 位置固定資產集合重要性識別表

根據圖1所示的業務流程模型，將位置變動資產從初始階段輸入到業務過程中直到整個業務流程的結束，位置變動資產經過多個業務過程的處理價值會增值到最大。按照位置變動資產流動增值的特點可以推導出在不同的業務過程，位置變動資產的價值是不同的，因此在各個業務過程中，位置固定資產承載的位置變動資產受到破壞后對完成業務目標的影響程度也是不同的。假設我們確定了業務B1中所有位置變動資產在不同業務過程受到破壞后對完成業務目標的影響程度，并將其映射到位置固定資產的重要性中。我們取位置固定資產所承載的多個位置變動資產在受到破壞后對完成業務目標的影響程度中最高值為其重要性等級。見表2。

表2 位置變動資產映射位置固定資產重要性列表

在圖1中，對服務的識別可以依據業務流程的層次性，逐步分析出面向內外的服務類別及數量，據此即可確定出支撐服務的各項位置固定資產。

如果我們依據服務受到破壞后對完成業務目標的影響程度判斷出業務B1中各項服務的重要性等級為：S1＞S2＞……Sn,那么支撐各項服務的位置固定資產的重要性依此就可以確定，且支撐同一服務的位置固定資產重要性是一樣的。

假設按照服務受到破壞后對完成業務目標的影響程度劃分出業務B1中位置固定資產的重要性為：（a1a3）＜（a2a4a5a6）＜……（an-3an-2an-1an)，為了清晰描述重要性等級，可以將識別出的位置固定資產集合按照對完成業務目標的不同影響程度定量為1—5之間，數量級越高代表位置固定資產越重要。

上文中，我們先后確定了以下3項指標：（1） 業務過程受到破壞后對完成業務目標的影響程度所映射的位置固定資產的重要性；（2）位置變動資產在業務過程中受到破壞后對完成業務目標的影響程度所映射的位置固定資產的重要性；（3）服務受到破壞后對完成業務目標的影響程度所映射的位置固定資產重要性，取這3項中重要性等級數量指標最高者作為業務中位置固定資產重要性識別的依據。假設我們確定了業務B1中位置固定資產的各項重要性指標，列表3如下：

表3 位置固定資產重要性列表

通過確定位置固定資產在該項業務中的重要性等級后，就可以明細各項位置固定資產在該業務中的重要性排序，可以為資產的保護與風險評估建立一個優先順序檔案。同樣也可以用該方法對其他業務的位置固定資產進行重要性確定。

2.4 位置變動資產重要性確定

業務流程中，位置變動資產的重要性確定需要結合業務流程的層次性，按照位置變動資產經過若干業務過程的流動增值后在CIA3個安全屬性值中最大的值來確定。對 CIA 3個安全屬性值的分級，可以依據這3項安全屬性受到破壞后對完成業務目標的影響程度，劃分為可忽略、輕微、中等、嚴重、非常嚴重5個等級，并將其定量為數值（1、2、3、4、5），數值越高代表該項安全屬性越重要。我們不妨假設業務B1的各項位置變動資產（C1C2…Cn）在完全增值后其CIA3個安全屬性值的重要性取值如表4所示。

通過文中對信息資產的重要性（價值）確定，我們就獲得一個具體詳細的信息資產重要性排序列表。該方法為組織管理者進行資源優化配置提供了一個可靠的依據，同時也為后續信息安全風險評估活動提供了一個科學準確的資產識別及價值確定過程。

表4 位置變動資產重要性列表

3 實例研究

依據文中基于業務流程的信息資產識別及其價值確定方法，我們對某銀行的信息系統所涉及的資產范圍進行了劃分，并確定出支撐該銀行各項業務的信息資產。我們以其中一項業務用以說明，并把這項業務命名為業務A且該業務有3個業務過程。

在該業務的業務流程初始階段識別的位置變動資產有：用戶信息和業務數據；識別出面向內外部服務有：內部文件流轉服務、操作系統服務和客戶呼叫服務，并確定服務受到破壞后對完成業務目標的影響程度的量化值為（1、3、4）。同時，通過位置變動資產（數據）與服務在業務節點識別出的位置固定資產有：PC-1、PC-2、掃描儀、服務器1、財務軟件、移動硬盤、服務人員、語音服務器、錄音服務器和人工坐席3臺。識別資產后，我們通過對該銀行的業務領導與信息安全專家進行咨詢，確定了位置變動資產在完全增值后的CIA取值以及各項位置固定資產在業務流程中所支撐的服務、承載位置變動資產、支撐的業務過程受到破壞后對業務目標的影響程度。

綜合以上信息我們確定了某銀行的業務A所屬的位置固定資產與位置變動資產的重要性等級及重要性排序，列表5、表6如下：

表5 業務A的位置固定資產重要性列表

表6 業務A的位置變動資產重要性列表

在完成了對業務A的信息資產重要性確定后，我們就明確了該項業務的所有資產的重要等級及排序。同樣，按照此方法可以對其他3項業務的信息資產進行識別并確定其重要性。這樣可以為銀行的業務系統涉及的所有信息資產建立資產及其重要性檔案，為組織進行資產管理和風險評估提供全面可靠的資產數據。

4 結束語

目前對信息資產的價值還沒有統一的量化標準。文中提出基于業務流程的信息資產識別及重要性（價值）的確定方法，為資產識別和價值確定提供了一套完整準確的方法。該方法在實際工作中具有良好的系統性和實用性，為后續的風險評估和信息安全防護的實施提供準確的基礎數據。

[1] MichaelE Whitman,Herbert J Mattord Principles of in for mation Security[M].Thom Leaming，2003.

[2] 吳亞非.信息安全風險評估[M].北京：清華大學出版社，2007：58互59.

[3] 傅鵬，劉嘉偉.基于業務的信息資產識別方法[J].通信技術，2007（12）：238互240.

[4] 范建華，薛巖龍.基于層面劃分的信息資產識別方法 [J/OL].標準科學，2009（9）：48互64.[2010互07互12].http://dlib.edu.cnkinet/kns50/scdbsea-rch/cdbindexaspx.

[5] 中華人民共和國國家質量監督檢驗檢疫總局，中國國家標準化管理委員會.GB/T20984互2007.信息安全技術信息安全風險評估規范[S].2007互06互14發布，2007互11互01實施。