IT 和安全工作者对 “资产” 的概念并不陌生,但 “信息资产” 的概念又常因过于宏大而显得不那么清晰,甚至容易受到忽视。如果不明确信息资产,就谈不到信息资产的价值,更无法开展全面的信息资产的保护工作。
不清楚保护对象,何谈安全保护?
——安全牛主编 李少鹏
那么,到底什么是信息资产?
安全牛在最新发布的《信息资产风险与合规管理 (ITARC) 应用指南》提出,信息资产是组织拥有和控制的一项特殊资产,可以理解为组织中的消息、情报、数据或知识,既具有一般物质资产的特征,又兼有无形资产和信息资源的双重特征。
识别和梳理信息资产是风险与合规管控必不可少的重要环节。企业只有明确自身所属的信息资产后,进一步的工作才是针对所处的威胁环境,结合不同类别信息资产的价值,有目的性的选择适合的安全保护手段。无论是出于合规,还是风险规避,最终目的都是支撑业务的正常运营。这是每个寻求数字化转型和处在转型期的企业,都需要正视的挑战。
安全牛在今日正式发布《信息资产风险与合规管理 (ITARC) 应用指南》,旨在从业务和资产的关联角度出发,联合国内多家有丰富经验的安全厂商和咨询机构,为业内提供信息资产风险与合规管理的理念与解决方案。
报告关键发现:
√ 信息资产风险与合规不能作为一个单纯的安全管理来看待,需要意识到信息资产的安全直接关系到业务的运作效率与安全。
√ 信息资产风险与合规需要贯穿信息资产的全生命周期,包括资产的发现、添加、整理、治理、维护以及废弃。
√ 软硬件信息资产发现与创建手段主要有:主动探测、流量分析、安全代理和文档导入。
√ 安全经理、CISO等人员需要从自身角度出发,做好并且帮助推动整个信息资产的管理体系。同时,业务部门也需要明白,业务的发展与运作离不开安全性,一旦业务相关的信息资产发生安全事件,直接影响到的是自身的收益。
√ 信息资产的概念会随着技术的不断革新而扩展,安全经理、CISO等人员需要和安全服务供应商一起合作,应对多变的环境。
报告目录:
一、问题的提出
二、信息资产对企业的重要性
三、信息资产的主要类型及风险要素
1、信息资产的主要类型
2、信息资产的安全价值
3、信息资产面临的威胁
4、信息资产的脆弱性
四、信息资产的识别与管理方法
1、信息资产的发现/创建
2、信息资产的梳理/备案
3、信息资产的合规
4、信息资产的使用/维护
5、信息资产的废弃
五、信息资产风险与合规管理案例
1、某证券对自身全网的信息资产威胁管理
2、某行业监管机构的周期性威胁检测
3、某高校信息资产治理方案
4、某网省电力公司网站资产治理解决方案
六、信息资产安全治理发展
七、总结建议
报告购买:
描下方二维码或点击 “阅读原文”获取完整报告
预告:
8月21日(周三)下午3点半至4点50,在国家会议中心大宴会厅(即北京网络安全大会展区)的发布舞台,将举行《信息资产风险与合规管理(ITARC)应用指南》的线下发布,参与互动即可免费获得限量纸质版完整报告,现场更有其它精美礼品。