依据BS7799标准的信息资产管理

信息安全管理是一个融合了管理和技术层面的动态防护和持续改进的系统工程,其方法论、相关标准和具体实施内容都相当繁复,本文仅讨论其中最基础的部分─"信息资产管理"。

信息资产管理,既有别于传统意义上的固定资产管理,也和ERP(企业资源计划)、EAM(企业资产管理)等系统中资产管理的概念有所不同,它更关注于对信息系统及其附属设施中的相关资源进行识别和集中管理,进而实施有效的ISMS(信息安全管理体系)或SOC(安全运营中心),以保证信息系统所承载的企业业务的持续、有效的发展。

BS7799标准(由英国标准协会制订的一个信息安全管理标准,分为三部分,其中前两部分已纳入ISO国际标准)提供了一个信息资产分类的基础框架,即把信息资产划分为信息(如数据库、数据文件等)、软件(如应用软件、系统软件等)、物理资产(如处理和通讯设备等)、服务(如处理和通讯服务等)、人员以及无形资产(如企业信誉和形象等)等几部分。

BS7799标准为企业实施信息资产管理提供了理论基础和指导建议。依据其分类方法,结合对企业业务流程、信息系统以及网络基础架构的综合分析,可以比较科学、系统的对企业内部信息资产进行统计和管理。

企业的网络基础架构,是企业信息系统的支撑平台,主要由固定资产组成,如主机、服务器、网络及其附属设施等等,基本属于物理资产的范畴。

企业业务流对于企业发展的重要程度,直接决定了承载他的信息系统(如OA、ERP、CRM等)的重要性,也影响着企业的信誉和形象(无形资产)。企业信息系统构建在网络基础架构之上,承载着企业各类业务流,我们可以把特定的信息系统分解为具体信息资产进行识别和统计,可以考虑:资产类型(如服务、应用、数据库等,还可以细化);需开放的端口;隶属的特定信息系统(如ERP)、所关联的物理资产(前面已经统计过);相关的维护和管理人员;重要级别(该资产在隶属的信息系统中的重要性关联的信息系统自身的重要性)、该资产可以通过哪些方式(关联到其他资产)进行监控或管理等等。

综上所述,我们依据BS7799,通过对资产的分类、统计、关联和分析,可以完整地勾勒出企业信息资产的整体视图,从而进行有效的企业信息资产管理。这种信息资产管理模式,便于扩展或耦合补丁管理、脆弱性管理等功能,同时易于平滑过渡到ISMS或SOC的建设。另外,人员和无形资产的管理更侧重于管理层面,可以在企业安全策略及相关程序文件中进行描述。