资产:对组织具有价值的任何东西。资产的范围是非常宽泛的,所以被组织赋予了价值并且需要保护的资源,都是资产。我们把信息资产定义为与信息相关的所有资产,例如信息、信息处理设施以及信息处理人等。信息处理设施是任何信息处理系统、服务或基础设施,或放置它们的物理位置。在实践中,信息本身的资产的识别和评估是这个过程的难点和重点。
资产分类通常包括:信息资产,如数据库和数据文件、合同和协议、系统文件、研究信息、用户手册、培训材料、操作或支持程序、业务连续性计划、应变安排、审核跟踪记录、归档信息;软件资产,如应用软件、系统软件、开发工具和实用程序等;物理资产,如计算机设备、通信设备、可移动介质和其他设备等;服务,如计算和通信服务、公用设施如供暖、照明、能源、空调;人员,如人员的资格、技能和经验;无形资产,如组织的声誉和形象。
可以根据保密性、完整性、可用性三个安全目标,来确定不同信息类型对组织的潜在影响级别,分为低、中、高、不适用:
SC信息类别={〔保密性,影响级别〕,〔完整性,影响级别〕,〔可用性,影响级别〕}。例如某组织的投资信息,如果保密性被破坏其潜在影响为高,完整性被破坏其潜在影响为中,可用性被破坏潜在影响为中,那么投资信息的安全类别描述为下面的形式:
SC投资信息={〔保密性,高〕,〔完整性,中〕,〔可用性,中〕}。
针对这种方法,我们可以把信息资产分为高度业务影响资产,中度业务影响资产和低度业务影响资产。
识别资产应该细致到什么程度并没有统一的标准。一项资产面临很多威胁,而一项威胁又有很多的脆弱性,那么最后的结果过于复杂。
资产之间的关联的识别有时和资产本身的识别同等重要。组织应该按照实践中的经验,摸索出自己的方法,只有把这种关联管理起来,才能使基于系统或基于整体业务的评估方法变得切实可行。