资产面临风险=自身面临风险+传递风险。将资产划归到系统进行评估。对于如何解决资产数量过大和资产之间关联的问题,并没有很好的思路。面对系统还是面对资产来避开资产之间关联的问题只是视角的不同,并没有本质的区别。
组织可以把所有的信息资产按功能划分为几个系统,每个系统认为是一个资产。这样由于独立资产之间的关联变成了内部的关系,因此就可以大量的避开资产关联的识别和评估,使结果更有公信力。
组织也可以使识别具体到独立运行的机器,如WEB服务器,IBM笔记本等,甚至可以把资产具体到某个硬盘,因为这些硬盘的数据可能要保护的核心。这样可以更为有效的列出资产列表。
识别资产的过程完毕后,会产生详细的信息资产清单。这时要评估这些资产,可以用定量的方法或者用定性的方法来完成。目前一般倾向于用定性的方法。资产最初购置时的价值只是要考虑的一个因素,资产的用途、使用人、存放位置等因素在评价重要性都是要考虑的。例如,两台价值完全相同的防火墙买来后,一台被应用于总公司网络,另一台被用于分公司网络,显然其重要度是不一样的。
资产的14个属性:资产所属分类、所属业务组、密级、文件大小(量级)、资产现行值、资产采购价、重构价值(现行市价)、资产使用者、资产维护者、生产时间或创建时间、采购时间(交货时间)、资产登记时间、投入使用时间、最后维护时间。
资产重要度的确定,一般要经过集体的讨论,尤其是重要资产的重要度评估。这往往需要一些小型的讨论会。