信息资产

任何由企业拥有、维护或日常安全保管的、有益的、有用的记录型文件、信息或其他记录，都被视为信息资产。这包括物理和数字资产，如文件、图像、视频、音频文档、数据库和网站。信息资产对企业至关重要，因为它们提供了对客户行为、市场趋势和内部流程的见解。它们还可以帮助提供决策依据、改善客户服务和促进创新。信息资产管理系统通常用于管理数据资产，并负责确保其安全存储、检索和分析。为了防止未经授权的访问、恶意攻击和数据丢失，数据和资产应得到充分保护。

识别信息资产

• 成本分析

确定数据是否具有与其收集或生成相关的可衡量成本。这可能包括研究、开发、培训或获取私人数据的费用。

• 潜在影响

评估如果某些数据被黑客攻击或丢失，对企业可能产生的影响。考虑财务、运营和声誉方面的后果。这种影响评估使我们能够优先考虑安全措施。

• 组织单位

为信息资产的定义设定特定标准。仅存在于一个人思想中的数据或需要组织形式的数据可能不被视为资产。确保您的信息资产是切实可行的、可识别的和受管理的。

• 汇集相关信息

将相关类型的数据组合在一起，使它们有助于实现特定的目标或组织。这促进了良好的管理，并确保数据得到妥善处理。

• 信息资产类型

识别企业的多样化信息资产。这还包括知识产权，如源代码、研究材料、策略计划、数据库、客户数据以及对企业有价值的任何其他信息。

• 有毒资产

识别可能具有负面、高价值、有毒资产的数据。这些可能是为了法律原因而保存的过时税务数据或客户数据；但是，如果泄露，它们也可能构成风险。创建专门的策略来处理和保护该资产。

数据分类步骤

实施全面的数据分类计划需要技术解决方案、策略组件以及多个利益相关者之间的持续参与，以确保敏感数据得到正确保护。

1. 识别数据：为了在服务器、数据库和设备上找到数据，请进行彻底的盘点。确定每个数据集的成本，跟踪副本数量，并确保对元素的正确访问。
2. 实施数据治理：识别敏感数据的监管需求并制定治理标准。这包括建立数据所有权、访问策略和审计程序。
3. 创建类别：为将材料分类为私密、受限、内部和公开的材料制定一个结构。评估每个组相关的风险。
4. 确定数据优先级：确定数据对企业的重要性并分配优先级。确保与通用公司目标保持一致，并促进 IT、法律和公司利益相关者之间的协作。
5. 预算：确定每个类别的存储需求，并为安全功能（包括加密和合规性）提供成本预算。考虑初始实施和持续的安全成本。
6. 坚持下去：通过让关键利益相关者参与定期审查来保持持续的监控。要具有适应性，请更改分类方法以反映新的威胁和企业数据环境的变化。

管理和保护信息资产

• 敏感性和关键性问题

根据信息资产的敏感性和丢失的严重程度对其进行分类。这需要确定资产是否为个人、专有或对企业运营至关重要。根据此分类，使用适当的访问控制和保护措施。

• 数字和物理资产

认识到数据资产可以以数字和物理形式存在。为物理资产实施数据保留策略，并通过使用归档系统或跟踪标签来监控其移动。加密数字资产，强制执行访问限制，并执行定期备份。

• 企业文档管理 (EDM) 系统

使用 EDM 系统来组织、标记和分类数据和资产。这些系统提供强大的监控、访问控制和版本控制。它们还通过跟踪和管理用户与数据的交互来帮助防止未经授权的访问和数据泄露。

• 勒索软件防护

创建有力的步骤来保护数据资产免受勒索软件攻击。这包括对关键数据的定期备份、对员工进行网络安全实践培训、网络分段和事件响应策略。控制对敏感数据的访问，以减少潜在攻击的影响。

• ISO 27001 合规性

符合 ISO 27001 信息安全管理要求。这包括监控、保护和保护所有物理和数字资产。定期审计和审查可确保持续符合全球要求。