基于业务流程的信息资产识别及其价值确定

●王艳玮，陈 恒（陕西师范大学 国际商学院，西安 710062）

1 引言

信息技术在给组织带来益处的同时，也面临着各种各样的威胁，在信息安全管理不完善的情况下，频繁发生的各种信息安全事件，将给组织和社会带来巨大的损失。对于信息安全问题，目前业界已经形成了一个共识：信息安全问题是一个动态的、整体的、持续性的问题。[1]因此只有通过周期性持续的信息安全管理活动才能够有效地降低组织的信息安全风险。

信息安全管理的首要工作是信息安全风险评估，信息安全风险评估是一个面对复杂系统的综合评估工作，它贯穿于信息系统的整个生命周期。

信息安全风险评估的基础是信息资产识别，脆弱性及威胁识别都是以资产识别为基础的。信息资产识别的主要目标是得到对组织有价值的资产明细，也就是得到需要首先和重点保护的资产。资产识别的过程一般经历4个步骤：资产分类—资产信息收集—资产对象识别—资产赋值。[2]

目前流行的资产识别方法有两种：一种是吴亚非在《信息安全风险评估》中提到国外有一种按照经济价值大小的资产识别方法。[2]第二种是傅鹏、刘嘉伟在《基于业务的信息资产识别方法》中提到的按照业务的资产识别方法。[3]

基于经济价值大小的资产识别在保护组织主观经济利益方面具有一定的意义，但是该方法忽略了资产对安全的需求。例如有的资产购买经济价值高，但是对业务安全的价值却非常低，如果仅仅依据经济价值大小来对资产进行识别，将会忽略该项资产的安全需求，因而会给组织业务留下安全隐患。所以基于经济价值的信息资产识别方式存在缺陷。

基于业务的信息资产识别在资产识别方面不失为一种好方法，但是这种方法过分强调识别核心业务资产的重要性，而忽视非关键业务资产。[4]这种识别方法要求我们必须承认一个假设前提，那就是只有核心业务所流经的资产对组织才是有价值的。此方法的不足之处是过分看重核心业务的信息资产对组织的重要性，这就否认了非关键业务存在关键信息资产的可能性，因此会导致将某项信息资产的3个安全属性中某一安全属性弱化的可能。例如在国家保密单位，对每项信息资产的保密性要求都很高，但如果按照基于业务的资产识别方法，就很有可能忽略这一点，所以这种资产识别方法并不完善。因此，出于以上资产识别方法的缺陷，本文提出基于业务流程的信息资产识别方法。

2 基于业务流程的信息资产识别及其重要性确定

2.1 信息资产识别

基于业务流程的信息资产识别始终坚持业务流程—资产分类—资产识别—资产赋值的过程，将业务流程贯穿于整个信息资产识别的过程中。

业务流程是指完成企业某一目标（或任务）而进行的一系列逻辑相关的活动或作业集合。业务流程具有如下特点：

（1）组织活动与活动的各种关系构成了业务流程的过程。（2）过程对输入进行整理、合并、精简等加工处理，一般会增加输入的价值，从而产生对接受者更有价值的输出。

GB/T20984-2007中，按照表现形式，信息资产主要分为5种：数据、软件、硬件、服务、人员。[5]进一步分析发现，硬件和软件本身并不具备明确的信息价值，它们实质上是信息传递和信息处理的载体，同时也是对外服务的基础；而人员比较特殊，他既是信息的载体，同时也是业务的执行者。因此，在业务活动中，硬件、软件、人员是服务与数据的支撑者，数据和服务是信息安全保障的核心。

在业务流程中，一般而言，数据经过多个业务过程的处理后，会更加有价值。所以数据与软件、硬件和人员相比，明显的特点就是数据具有流动性，其所在的物理位置会随着相关业务过程而变动；而软件、硬件、人员由于没有进一步的处理过程，且其物理位置相对固定。因此，本文将信息资产划分为位置固定资产与位置变动资产：

（1） 位置固定资产包括：计算机设备、网络设备、安全设备、传输介质、存储设备、保障设备、安全保障设备、应用软件、系统软件、网络通信协议软件，人员等。（2）位置变动资产包括：业务信息、用户信息、各种数据资料、系统文档等。

对位置变动资产的识别可以在业务流程的初始阶段来进行，而对位置固定资产的识别，则需要在业务过程的每个业务节点逐一识别（一个业务过程至少包含一个业务节点），且在业务节点所属的业务过程将形成不同的位置固定资产集合，如图所示：

图 业务流程中的位置固定资产和位置变动资产

业务流程有两个核心活动，即业务数据的处理以及业务服务的提供，因此在资产保护时，数据与服务是需要保护的核心资产。

2.2 信息资产重要性确定

在业务活动中，一个完整的业务流程是由多个业务过程所构成；一个业务过程至少包含一个业务节点，信息资产存在于业务节点中且是支撑业务活动的主体，因此需要对信息资产进行保护，而资产的重要性识别和确认是信息资产保护的基础。

基于业务流程的信息资产重要性确定方法是在将信息资产划分为位置固定资产与位置变动资产的基础上，按照位置固定资产在业务流程中支撑的活动受到破坏后对完成业务目标的影响程度来映射位置固定资产的重要性；对位置变动资产的重要性确定则是通过位置变动资产（数据信息）经过多个业务过程的流动增值后在CIA3个安全属性被破坏后对完成业务目标的最大影响值来确定。据此就分类确定了每个信息资产在业务中的重要性等级。

2.3 位置固定资产重要性确定

业务流程中，位置固定资产参与了多项活动，包括处理位置变动资产（数据信息）、支撑业务的对内及对外的服务活动和支撑业务过程的顺利进行。因此对位置固定资产的重要性确定需要综合三方面指标：（1）位置固定资产所支撑的业务过程受到破坏后对完成业务目标的影响程度；（2）位置固定资产在业务过程中所承载的位置变动资产受到破坏后对完成业务目标的影响程度；（3）位置固定资产所支撑的服务受到破坏后对完成业务目标的影响程度。取这3项影响程度指标最高者为位置固定资产的重要性等级。对完成业务目标的影响可以依据影响程度不同划分为：可忽略、轻微、中等、严重、非常严重5个等级，并将其定量为数值（1、2、3、4、5） 数值越大代表对完成业务目标的影响程度越高。

假设某组织有多项业务其中一项业务为B1，我们在B1的业务节点识别出的位置固定资产为（a1a2……an）；在业务流程的初始阶段识别出的位置变动资产为（c1c2……cn），并且该项业务有X个过程如（图1）所示，依此就可以确定各项位置固定资产所属的业务过程。假设识别出在不同的业务过程所形成的位置固定资产集合为（a1a2）、（a3a4a5）……（an-2an-1an）。一个业务过程的顺利完成必须依靠位置固定资产集合中所有资产的共同协作才能够实现，因此在业务过程中位置固定资产的重要性相同，那么当业务过程受到破坏后对完成业务目标的影响程度就可以映射到支撑业务过程的位置固定资产集合的重要性中，影响程度越大则资产的重要性越高。假设我们确定了业务B1中各项业务过程受到破坏后对实现业务目标的影响程度，并将其映射到位置固定资产集合的重要性中。见表1。

表1 位置固定资产集合重要性识别表

根据图1所示的业务流程模型，将位置变动资产从初始阶段输入到业务过程中直到整个业务流程的结束，位置变动资产经过多个业务过程的处理价值会增值到最大。按照位置变动资产流动增值的特点可以推导出在不同的业务过程，位置变动资产的价值是不同的，因此在各个业务过程中，位置固定资产承载的位置变动资产受到破坏后对完成业务目标的影响程度也是不同的。假设我们确定了业务B1中所有位置变动资产在不同业务过程受到破坏后对完成业务目标的影响程度，并将其映射到位置固定资产的重要性中。我们取位置固定资产所承载的多个位置变动资产在受到破坏后对完成业务目标的影响程度中最高值为其重要性等级。见表2。

表2 位置变动资产映射位置固定资产重要性列表

在图1中，对服务的识别可以依据业务流程的层次性，逐步分析出面向内外的服务类别及数量，据此即可确定出支撑服务的各项位置固定资产。

如果我们依据服务受到破坏后对完成业务目标的影响程度判断出业务B1中各项服务的重要性等级为：S1＞S2＞……Sn,那么支撑各项服务的位置固定资产的重要性依此就可以确定，且支撑同一服务的位置固定资产重要性是一样的。

假设按照服务受到破坏后对完成业务目标的影响程度划分出业务B1中位置固定资产的重要性为：（a1a3）＜（a2a4a5a6）＜……（an-3an-2an-1an)，为了清晰描述重要性等级，可以将识别出的位置固定资产集合按照对完成业务目标的不同影响程度定量为1—5之间，数量级越高代表位置固定资产越重要。

上文中，我们先后确定了以下3项指标：（1） 业务过程受到破坏后对完成业务目标的影响程度所映射的位置固定资产的重要性；（2）位置变动资产在业务过程中受到破坏后对完成业务目标的影响程度所映射的位置固定资产的重要性；（3）服务受到破坏后对完成业务目标的影响程度所映射的位置固定资产重要性，取这3项中重要性等级数量指标最高者作为业务中位置固定资产重要性识别的依据。假设我们确定了业务B1中位置固定资产的各项重要性指标，列表3如下：

表3 位置固定资产重要性列表

通过确定位置固定资产在该项业务中的重要性等级后，就可以明细各项位置固定资产在该业务中的重要性排序，可以为资产的保护与风险评估建立一个优先顺序档案。同样也可以用该方法对其他业务的位置固定资产进行重要性确定。

2.4 位置变动资产重要性确定

业务流程中，位置变动资产的重要性确定需要结合业务流程的层次性，按照位置变动资产经过若干业务过程的流动增值后在CIA3个安全属性值中最大的值来确定。对 CIA 3个安全属性值的分级，可以依据这3项安全属性受到破坏后对完成业务目标的影响程度，划分为可忽略、轻微、中等、严重、非常严重5个等级，并将其定量为数值（1、2、3、4、5），数值越高代表该项安全属性越重要。我们不妨假设业务B1的各项位置变动资产（C1C2…Cn）在完全增值后其CIA3个安全属性值的重要性取值如表4所示。

通过文中对信息资产的重要性（价值）确定，我们就获得一个具体详细的信息资产重要性排序列表。该方法为组织管理者进行资源优化配置提供了一个可靠的依据，同时也为后续信息安全风险评估活动提供了一个科学准确的资产识别及价值确定过程。

表4 位置变动资产重要性列表

3 实例研究

依据文中基于业务流程的信息资产识别及其价值确定方法，我们对某银行的信息系统所涉及的资产范围进行了划分，并确定出支撑该银行各项业务的信息资产。我们以其中一项业务用以说明，并把这项业务命名为业务A且该业务有3个业务过程。

在该业务的业务流程初始阶段识别的位置变动资产有：用户信息和业务数据；识别出面向内外部服务有：内部文件流转服务、操作系统服务和客户呼叫服务，并确定服务受到破坏后对完成业务目标的影响程度的量化值为（1、3、4）。同时，通过位置变动资产（数据）与服务在业务节点识别出的位置固定资产有：PC-1、PC-2、扫描仪、服务器1、财务软件、移动硬盘、服务人员、语音服务器、录音服务器和人工坐席3台。识别资产后，我们通过对该银行的业务领导与信息安全专家进行咨询，确定了位置变动资产在完全增值后的CIA取值以及各项位置固定资产在业务流程中所支撑的服务、承载位置变动资产、支撑的业务过程受到破坏后对业务目标的影响程度。

综合以上信息我们确定了某银行的业务A所属的位置固定资产与位置变动资产的重要性等级及重要性排序，列表5、表6如下：

表5 业务A的位置固定资产重要性列表

表6 业务A的位置变动资产重要性列表

在完成了对业务A的信息资产重要性确定后，我们就明确了该项业务的所有资产的重要等级及排序。同样，按照此方法可以对其他3项业务的信息资产进行识别并确定其重要性。这样可以为银行的业务系统涉及的所有信息资产建立资产及其重要性档案，为组织进行资产管理和风险评估提供全面可靠的资产数据。

4 结束语

目前对信息资产的价值还没有统一的量化标准。文中提出基于业务流程的信息资产识别及重要性（价值）的确定方法，为资产识别和价值确定提供了一套完整准确的方法。该方法在实际工作中具有良好的系统性和实用性，为后续的风险评估和信息安全防护的实施提供准确的基础数据。

[1] MichaelE Whitman,Herbert J Mattord Principles of in for mation Security[M].Thom Leaming，2003.

[2] 吴亚非.信息安全风险评估[M].北京：清华大学出版社，2007：58互59.

[3] 傅鹏，刘嘉伟.基于业务的信息资产识别方法[J].通信技术，2007（12）：238互240.

[4] 范建华，薛岩龙.基于层面划分的信息资产识别方法 [J/OL].标准科学，2009（9）：48互64.[2010互07互12].http://dlib.edu.cnkinet/kns50/scdbsea-rch/cdbindexaspx.

[5] 中华人民共和国国家质量监督检验检疫总局，中国国家标准化管理委员会.GB/T20984互2007.信息安全技术信息安全风险评估规范[S].2007互06互14发布，2007互11互01实施。