IT 和安全工作者对 “资产” 的概念并不陌生，但 “信息资产” 的概念又常因过于宏大而显得不那么清晰，甚至容易受到忽视。如果不明确信息资产，就谈不到信息资产的价值，更无法开展全面的信息资产的保护工作。

不清楚保护对象，何谈安全保护？

——安全牛主编 李少鹏

那么，到底什么是信息资产？

安全牛在最新发布的《信息资产风险与合规管理 (ITARC) 应用指南》提出，信息资产是组织拥有和控制的一项特殊资产，可以理解为组织中的消息、情报、数据或知识，既具有一般物质资产的特征，又兼有无形资产和信息资源的双重特征。

识别和梳理信息资产是风险与合规管控必不可少的重要环节。企业只有明确自身所属的信息资产后，进一步的工作才是针对所处的威胁环境，结合不同类别信息资产的价值，有目的性的选择适合的安全保护手段。无论是出于合规，还是风险规避，最终目的都是支撑业务的正常运营。这是每个寻求数字化转型和处在转型期的企业，都需要正视的挑战。

安全牛在今日正式发布《信息资产风险与合规管理 (ITARC) 应用指南》，旨在从业务和资产的关联角度出发，联合国内多家有丰富经验的安全厂商和咨询机构，为业内提供信息资产风险与合规管理的理念与解决方案。

报告关键发现：

√ 信息资产风险与合规不能作为一个单纯的安全管理来看待，需要意识到信息资产的安全直接关系到业务的运作效率与安全。

√ 信息资产风险与合规需要贯穿信息资产的全生命周期，包括资产的发现、添加、整理、治理、维护以及废弃。

√ 软硬件信息资产发现与创建手段主要有：主动探测、流量分析、安全代理和文档导入。

√ 安全经理、CISO等人员需要从自身角度出发，做好并且帮助推动整个信息资产的管理体系。同时，业务部门也需要明白，业务的发展与运作离不开安全性，一旦业务相关的信息资产发生安全事件，直接影响到的是自身的收益。

√ 信息资产的概念会随着技术的不断革新而扩展，安全经理、CISO等人员需要和安全服务供应商一起合作，应对多变的环境。

报告目录：

一、问题的提出

二、信息资产对企业的重要性

三、信息资产的主要类型及风险要素

1、信息资产的主要类型

2、信息资产的安全价值

3、信息资产面临的威胁

4、信息资产的脆弱性

四、信息资产的识别与管理方法

1、信息资产的发现/创建

2、信息资产的梳理/备案

3、信息资产的合规

4、信息资产的使用/维护

5、信息资产的废弃

五、信息资产风险与合规管理案例

1、某证券对自身全网的信息资产威胁管理

2、某行业监管机构的周期性威胁检测

3、某高校信息资产治理方案

4、某网省电力公司网站资产治理解决方案

六、信息资产安全治理发展

七、总结建议

报告购买：

描下方二维码或点击 “阅读原文”获取完整报告

预告：

8月21日（周三）下午3点半至4点50，在国家会议中心大宴会厅（即北京网络安全大会展区）的发布舞台，将举行《信息资产风险与合规管理（ITARC）应用指南》的线下发布，参与互动即可免费获得限量纸质版完整报告，现场更有其它精美礼品。