ISO27001認(rèn)證管理建設(shè)如何進(jìn)行資產(chǎn)識別

發(fā)布時間：2020-09-12 作者：廣匯聯(lián)合來源：廣匯聯(lián)合

企業(yè)信息資產(chǎn)識別與收集的工作是在信息安全體系建設(shè)初期階段進(jìn)行的,對于后續(xù)風(fēng)險評估與體系文件設(shè)計編纂具有很好的參考價值,有效的資產(chǎn)識別對于企業(yè)資產(chǎn)安全乃至于整體的信息安全來說都是不可或缺的,但這往往也是企業(yè)最容易輕視甚至忽視的要點(diǎn)。

許多人會不假思索的認(rèn)為資產(chǎn)識別就是把現(xiàn)有的六大類信息資產(chǎn)做個匯總形成清單,然后給出各資產(chǎn)的C(保密性)、I(完整性)、A(可用性)評分,符合ISO27001的A8資產(chǎn)營理控制域(以及A15供應(yīng)商關(guān)系控制域的部分內(nèi)容)的各項控制點(diǎn)即可,但這不過是紙上談兵,想要做到全面、準(zhǔn)確

且有效的信息資產(chǎn)識別這并非易事。即便是對于專門配備有資產(chǎn)管理部門的企業(yè)來說,也往往因為無法兼顧安全屬性而導(dǎo)致識別過程中出現(xiàn)漏洞與缺陷,無法做到盡善盡美。即便是由安全部門進(jìn)行信息資產(chǎn)識別的工作,也會因為各部門間的配合、對資產(chǎn)安全的理解與認(rèn)識、時間等因素導(dǎo)致無法順利開展。

信息資產(chǎn)與其他物理形式的財務(wù)資產(chǎn)不同點(diǎn)在于:信息資產(chǎn)不是一成不變的,它是一種攜動態(tài)屬性的資產(chǎn),存在于所承載的信息全生命周期當(dāng)中的一個階段或多個階段,不同的信息資產(chǎn)具有其獨(dú)特資產(chǎn)價值,而通常來說,同一種信息資產(chǎn)在信息生命周期中的不同階段會產(chǎn)生不同的資產(chǎn)價值,正是這種動態(tài)屬性賦予了資產(chǎn)識別更深刻的意義。

信息資產(chǎn)的分類方式通常是根據(jù)企業(yè)的業(yè)務(wù)類型特點(diǎn)所決定的,但總體上不會有太大的偏差,分為基本資產(chǎn)和所有類型的支持性資產(chǎn)(資本資產(chǎn)所依賴的范圍)?；举Y產(chǎn)又分為業(yè)務(wù)過程或活動以及信息兩大類,而支持性資產(chǎn)包括了如硬件,軟件、網(wǎng)絡(luò)、人員、場所、組織架構(gòu)等。在這樣的資產(chǎn)框架下,不同企業(yè)按照各自的業(yè)務(wù)重點(diǎn)進(jìn)行有針對性的分類。

資產(chǎn)大類確定后,可以對每類資產(chǎn)進(jìn)行二級分類,三級分類等拆分細(xì)化。而對于相同類別、相同位置,相同所有者和管理者、脆弱性和面對威脅類似的信息資產(chǎn),在識別過程中可歸納為一個資產(chǎn),同樣的若是從信息系統(tǒng)為出發(fā)點(diǎn)進(jìn)行資產(chǎn)識別時,某個信息系統(tǒng)所屬的應(yīng)用程序、服務(wù)器操作系統(tǒng)、數(shù)據(jù)庫、中間件等,也可以再次歸納識別為一個“資產(chǎn)組”。因為像這樣對有邏輯關(guān)聯(lián)性的資產(chǎn)進(jìn)行合并歸納,大大減少了工作量的同時,還能更清晰的理解企業(yè)資產(chǎn)間的關(guān)系紐帶,可以為后續(xù)風(fēng)險評估工作中的落地提供更有價值的參考。

如您想更詳細(xì)的了解ISO27001標(biāo)準(zhǔn)，需要ISO27001標(biāo)準(zhǔn)，請您網(wǎng)絡(luò)搜索廣匯聯(lián)合，快人一步，成就管理者風(fēng)范。

ISO27001認(rèn)證管理建設(shè)如何進(jìn)行資產(chǎn)識別

如您想更詳細(xì)的了解ISO27001標(biāo)準(zhǔn)，需要ISO27001標(biāo)準(zhǔn)，請您網(wǎng)絡(luò)搜索廣匯聯(lián)合，快人一步，成就管理者風(fēng)范。

如您想更詳細(xì)的了解ISO27001標(biāo)準(zhǔn)，需要ISO27001標(biāo)準(zhǔn)，請您網(wǎng)絡(luò)搜索廣匯聯(lián)合，快人一步，成就管理者風(fēng)范。