0x00 概述
资产管理的目的在于:为组织建立一份详尽的高价值资产清单,并制定这些资产在其整个生命周期中的管理方式,这是确保组织在提供核心服务时能够保持持续生产力的关键。
任何对这些资产运行的中断事件都有可能阻碍组织实现其使命。为了应对潜在的干扰,资产管理策略显得尤为重要,它有助于识别并采取适当的策略,确保资产即使在遭受干扰事件期间也能保持生产力。
资产管理领域专注于组织内部资产的计划、识别、记录和管理过程。
如图 1 所示,这一流程旨在帮助组织满足其资产管理目标。
本指南的核心在于明确资产如何与支撑组织实现其使命的服务紧密相连。为了有效地进行资产管理,组织需动员不同层级的管理者和员工共同参与到资产的计划、识别、记录和管理工作中。
为了提供清晰的指导,下面的从较高的层次突出展示了资产管理领域的关键工作内容,并引导读者深入查阅本指南中的相关细节,以便更好地理解和执行资产管理策略。
0x01 资产管理计划
资产管理能够为组织提供任意时间点上的基础设施内所有资产的快照,所以制定并遵循计划对于高效地管理资产至关重要。资产管理计划应该包括以下内容:
-
资产管理计划获得支持:资产管理计划需要获得更高级别的管理层的支持,以确保其流程有足够的资金和人员配备并得以执行; -
识别服务:识别组织所执行或提供的所有关键业务的服务; -
对服务进行优先级排序:根据服务因故障而中断所造成的影响,对服务进行优先级排序,以便组织可以集中资源维护核心业务服务; -
建立一个通用的资产的定义:最后,资产管理计划要求组织在其基础设施内建立一个通用的资产的定义。
这里的服务指的是组织在执行其职责或进行生产时,所进行的一系列活动。
0x02 识别资产
资产识别的工作主要包括识别关键服务及所支持依赖的资产。在进行这项工作时,组织应该根据所考虑的关键服务的特点和要求,将责任分配给合适的组织层级。
本指南将资产分为人员、信息、技术和设施共四个类别。需要注意的是,这些资产可能是组织内部的,也可能位于商业伙伴或其他外部实体中。资产识别的工作应该包括以下内容:
-
指定负责识别支持关键服务所需资产的责任人; -
识别人员资产; -
识别信息资产; -
识别技术资产; -
识别设施资产。
0x03 记录资产
一旦这些资产被识别,那么对它们进行记录就尤为重要了。资产记录主要为了了解:
-
资产与组织的关系(例如:内部或外部); -
谁负责该资产; -
资产在面对各种可能的中断事件时,所具备的防护能力和韧性; -
资产对关键服务的重要性; -
资产在其生命周期中可能遭受的变动或更新;
这份文档通常包括以下内容:
-
资产类型(人员、信息、技术或设施) -
资产的敏感性分类(通常仅针对信息资产) -
资产位置(通常是资产保管人管理资产的地方) -
资产所有者和保管人(特别是如果资产位于组织外部时)
0x04 管理资产
组织不仅需要对其资产和库存进行管理,还需要采取措施改进资产管理的流程。
组织应该选择对应的工具和方法(例如:配置数据库、图纸和变更控制等)来对资产进行管理,并确定这些工具在内部该如何使用。管理资产的工作应该包括以下内容:
-
识别变更标准 -
建立变更计划 -
管理资产和库存的变更 -
变更发生时更新资产清单 -
改进流程
0x05 总结
接下来,我们来说明实施上述资产管理流程规划的步骤,已经拥有资产管理计划的组织可以通过使用本资源指南中的指导来评估和改进其计划。
-
资产管理计划
-
资产管理计划获得支持
-
识别服务
-
对服务进行优先级排序
-
建立一个通用的资产的定义
-
识别资产
-
定负责识别支持关键服务所需资产的责任人 -
识别人员资产 -
识别信息资产 -
识别技术资产 -
识别设施资产 -
记录资产
-
创建资产清单 -
记录资产与关键服务之间的关系 -
分析支持多项服务的资产之间的依赖关系 -
更新资产清单 -
管理资产
-
识别变更标准 -
建立变更计划 -
管理资产和库存的变更 -
变更发生时更新资产清单 -
改进流程
原文始发于微信公众号(喵苗安全):【网络安全韧性评估】资产管理领域(一):概述
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论