ISO27001认证管理建设如何进行资产识别
发布时间:2020-09-12 作者:广汇联合 来源:广汇联合
企业信息资产识别与收集的工作是在信息安全体系建设初期阶段进行的,对于后续风险评估与体系文件设计编纂具有很好的参考价值,有效的资产识别对于企业资产安全乃至于整体的信息安全来说都是不可或缺的,但这往往也是企业最容易轻视甚至忽视的要点。
许多人会不假思索的认为资产识别就是把现有的六大类信息资产做个汇总形成清单,然后给出各资产的C(保密性)、I(完整性)、A(可用性)评分,符合ISO27001的A8资产营理控制域(以及A15供应商关系控制域的部分内容)的各项控制点即可,但这不过是纸上谈兵,想要做到全面、准确
且有效的信息资产识别这并非易事。即便是对于专门配备有资产管理部门的企业来说,也往往因为无法兼顾安全属性而导致识别过程中出现漏洞与缺陷,无法做到尽善尽美。即便是由安全部门进行信息资产识别的工作,也会因为各部门间的配合、对资产安全的理解与认识、时间等因素导致无法顺利开展。
信息资产与其他物理形式的财务资产不同点在于:信息资产不是一成不变的,它是一种携动态属性的资产,存在于所承载的信息全生命周期当中的一个阶段或多个阶段,不同的信息资产具有其独特资产价值,而通常来说,同一种信息资产在信息生命周期中的不同阶段会产生不同的资产价值,正是这种动态属性赋予了资产识别更深刻的意义。
信息资产的分类方式通常是根据企业的业务类型特点所决定的,但总体上不会有太大的偏差,分为基本资产和所有类型的支持性资产(资本资产所依赖的范围)。基本资产又分为业务过程或活动以及信息两大类,而支持性资产包括了如硬件,软件、网络、人员、场所、组织架构等。在这样的资产框架下,不同企业按照各自的业务重点进行有针对性的分类。
资产大类确定后,可以对每类资产进行二级分类,三级分类等拆分细化。而对于相同类别、相同位置,相同所有者和管理者、脆弱性和面对威胁类似的信息资产,在识别过程中可归纳为一个资产,同样的若是从信息系统为出发点进行资产识别时,某个信息系统所属的应用程序、服务器操作系统、数据库、中间件等,也可以再次归纳识别为一个“资产组”。因为像这样对有逻辑关联性的资产进行合并归纳,大大减少了工作量的同时,还能更清晰的理解企业资产间的关系纽带,可以为后续风险评估工作中的落地提供更有价值的参考。