本文目录
6 创建需要保护的信息资产清单
为了识别与您想要保护的信息相关的风险和风险级别,您首先需要列出 ISMS 范围内涵盖的所有信息资产。
输入
您将需要使用定义的范围,以及在您的范围中定义的关于组织的其信息资产的输入。
输出
完成此步骤后,您应该拥有要保护的信息资产列表以及每个资产的所有者。您可能还希望确定信息的位置,以及替换信息的重要性或难度。
此列表应该是您在上一步中创建的风险评估方法文档的一部分。
因为您需要这个列表来记录您的风险评估,您可能希望将资产分组到类别中,然后制作一个包含所有资产的表,其中包含评估信息列和您选择应用的控制项。(您将在本指南的后续步骤中执行这些活动。)
下面的例子显示了一个资产表。
案例
| 资产 | 明细 | 所有者 | 位置 | CIA说明 | 替代价值 | 风险总结 | 风险值 | 控制 | 控制是否足够? |
| 战略信息 | 中长时期的计划 | CEO | CEO 电脑 | 高 | |||||
| 项目计划 | 短周期的计划 | CEO | CEO 电脑 | 中 |
CIA - Confidentiality 机密性、Integrity 完整性、Availability 可用性
最近更新于 2022-05-22, 由 猿小六 于 2022-05-21 发布, 已阅 1317 次。