Ochrana primárních a podpůrných aktiv: Řízení aktiv

Po dokončení kroku správného nastavení rozsahu ISMS v organizaci je klíčové správně nastavit oblast řízení aktiv, přičemž aktiva jsou ohodnocena z hlediska jejich důležitosti (tedy dostupnosti, důvěrnosti a integrity) a jsou jim přiřazeni garanti. Aktiva a jejich určená hodnota zároveň také slouží jako významný vstup pro analýzu rizik. Cílem řízení aktiv je i stanovení přiměřených bezpečnostních požadavků na ochranu aktiv během jejich životního cyklu a v souladu s průběžným hodnocením aktiv.

Aktiva lze dále rozdělit na primární a podpůrná aktiva:

• Primární aktiva představují informaci nebo službu zpracovanou nebo poskytovanou informačním a komunikačním systémem. Primární aktiva zároveň mohou představovat základní hodnoty pro fungování dané organizace. Jako příklady primárních aktiv lze uvést data, informace nebo poskytované služby.
• Podpůrné aktiva představují technické aktivum, zaměstnance a dodavatele podílející se na provozu, rozvoji, správě nebo bezpečnosti informačního a komunikačního systému.

Mimo rozdělení na primární a podpůrné, lze aktiva dále rozlišovat podle specifických potřeb organizace, např.:

• hardware (počítače, komunikační zařízení, média, odborné technické vybavení, …)
• software (aplikační software, systémový software, vývojové nástroje, …)
• sítě (router, hub, switch, …)
• pracovníci (klíčoví zaměstnanci, administrátoři, ...)
• lokalita (areál, budovy, místnosti, …)
• organizace (řídící orgán, organizační struktura, dodavatelé, …).