Ochrana primárních a podpůrných aktiv

2. Identifikace, evidence a hodnocení aktiv

Předpokladem pro řízení aktiv je jejich identifikace, která by měla být provedena v souladu s interní metodikou organizace a pravidelně přezkoumávána v souladu s potřebami organizace (např. jedenkrát případě dvakrát ročně).

Aktiva spadající do rozsahu Systému řízení bezpečnosti informací (ISMS) je možné seskupovat do tzv. typových aktiv, např. dle rolí (uživatelé, administrátoři, dodavatelé) či dle lokality, zdrojů, atp. Platí však, že u každého aktiva by mělo být zřejmé jestli do ISMS spadá či nikoli. Důležité je konkrétně evidovat zejména významné změny v organizaci a v návaznosti na to aktualizovat a evidovat aktiva. Dále platí, že každé aktivum by mělo mít stanovanou odpovědnou osobu, tzn. garanta aktiva.

Hodnocení aktiv probíhá dle metodiky, která je přizpůsobená potřebám dané organizace. Při hodnocení aktiv je posuzován možný dopad na narušení bezpečnosti informací z hlediska integrity, důvěrnosti a dostupnosti aktiv. V návaznosti na to jsou aktiva rozdělena do jednotlivých úrovní v souladu se stanovenou metodikou pro hodnocení aktiv.

Příklad stupnice pro hodnocení důvěrnosti:

Příklad stupnice pro hodnocení integrity:

Příklad stupnice pro hodnocení dostupnosti: