由 猿小六 为了识别与您想要保护的信息相关的风险和风险级别,您首先需要列出 ISMS 范围内涵盖的所有信息资产。
输入
您将需要使用定义的范围,以及在您的范围中定义的关于组织的其信息资产的输入。
输出
完成此步骤后,您应该拥有要保护的信息资产列表以及每个资产的所有者。您可能还希望确定信息的位置,以及替换信息的重要性或难度。
此列表应该是您在上一步中创建的风险评估方法文档的一部分。
因为您需要这个列表来记录您的风险评估,您可能希望将资产分组到类别中,然后制作一个包含所有资产的表,其中包含评估信息列和您选择应用的控制项。(您将在本指南的后续步骤中执行这些活动。)
下面的例子显示了一个资产表。
案例
| 资产 |
明细
|
所有者
|
位置
|
CIA说明
|
替代价值
|
风险总结
|
风险值
|
控制
|
控制是否足够?
|
| 战略信息 | 中长时期的计划 | CEO | CEO 电脑 | 高 | |||||
| 项目计划 | 短周期的计划 | CEO | CEO 电脑 | 中 |
CIA – Confidentiality 机密性、Integrity 完整性、Availability 可用性