资产清单
目的
资产清单记录BAUER GROUP所有信息技术系统、组件和流程。它是风险分析的基础,使保护措施能够与具体资产相对应。
资产类别
服务器系统
| 属性 | 描述 |
|---|---|
| 主机名 / ID | 唯一标识 |
| 类型 | 物理 / 虚拟 / 容器 |
| 位置 | 数据中心、供应商 |
| 操作系统 | 包括版本和补丁级别 |
| 用途 | 生产系统、预发布环境、备份 |
| 负责人 | 负责管理员 |
| 保护需求 | 普通 / 高 / 极高 |
网络组件
- 防火墙及规则集版本和最近审查日期
- 交换机和路由器及固件版本
- VPN网关和接入点
- DNS服务器和负载均衡器
应用程序
| 属性 | 描述 |
|---|---|
| 名称 / 版本 | 应用程序及当前版本 |
| 类型 | 自研 / 第三方 / SaaS |
| 许可证 | 许可证类型和到期日期 |
| 支持 | 支持状态和联系人 |
| 数据分级 | 处理的数据类别 |
| 依赖关系 | 其他系统、库、API |
云服务
- 供应商及其位置和法律管辖区
- 合同期限和SLA
- 存储数据的分级
- 退出策略和数据可移植性
数据资产
| 分级 | 存储位置 | 备份 | 加密 |
|---|---|---|---|
| 公开 | 任意 | 可选 | 可选 |
| 内部 | 访问控制 | 是 | 传输中加密 |
| 机密 | 访问控制 + 加密 | 是 + 加密 | 静态加密 + 传输中加密 |
| 绝密 | 隔离 + 加密 | 是 + 加密 + 异地存储 | 静态加密 + 传输中加密 + 审计 |
维护
| 活动 | 频率 |
|---|---|
| 清单更新 | 每次变更时(部署、退役) |
| 完整性检查 | 每半年 |
| 保护需求评估 | 每年或发生变更时 |
| 负责人审查 | 人员变动时 |