ISO27001認證通過了，數(shù)據(jù)泄露仍頻發(fā)？核心資產(chǎn)識別漏了就白做

　　拿到 ISO27001 證書沒多久，卻突然遭遇核心客戶數(shù)據(jù)泄露;風險評估報告厚厚一本，實際發(fā)生安全事件時才發(fā)現(xiàn)，最關(guān)鍵的交易數(shù)據(jù)根本沒納入資產(chǎn)清單 —— 這是很多企業(yè)做信息安全風險評估時的真實困境。

　　資產(chǎn)識別是 ISO27001 風險評估的基礎(chǔ)，卻常被當成走過場。某企業(yè)在審核中被發(fā)現(xiàn)列了 4937 項資產(chǎn)，卻因未區(qū)分重要性，導致 2000 多項高風險評估結(jié)果毫無意義。核心數(shù)據(jù)資產(chǎn)的漏檢，讓后續(xù)的風險控制成了空中樓閣。

　　問題往往出在三個方面：只盯著服務器、電腦等硬件，忽略了客戶信息、交易記錄等核心數(shù)據(jù)資產(chǎn);用靜態(tài)清單應付審核，新上線的業(yè)務系統(tǒng)數(shù)據(jù)未及時納入;缺乏統(tǒng)一標準，各部門按自己理解上報，關(guān)鍵資產(chǎn)被歸為一般資產(chǎn)。

　　解決這一問題需建立 “三維識別體系”。首先明確資產(chǎn)范圍必須覆蓋數(shù)據(jù)、硬件、軟件、服務等六類，尤其要把業(yè)務系統(tǒng)中的核心數(shù)據(jù)作為識別重點。其次用 CIA 屬性賦值法分級，通過保密性、完整性、可用性三個維度打分，準確定位核心資產(chǎn)。

　　操作層面要結(jié)合技術(shù)工具與業(yè)務視角。用自動化掃描工具發(fā)現(xiàn)網(wǎng)絡中的硬件和軟件資產(chǎn)，同時聯(lián)合業(yè)務部門梳理數(shù)據(jù)資產(chǎn)，避免技術(shù)部門閉門造車。建立配置管理數(shù)據(jù)庫(CMDB)，實時記錄資產(chǎn)變更，確保清單動態(tài)更新。

　　最后要建立資產(chǎn)識別的長效機制。定期開展跨部門資產(chǎn)評審，將新業(yè)務數(shù)據(jù)及時納入管理;結(jié)合風險矩陣模型，根據(jù)資產(chǎn)價值和威脅程度動態(tài)調(diào)整防護策略。記住，資產(chǎn)識別不是一次性的表單作業(yè)，而是持續(xù)動態(tài)的管理過程。

　　啟航管理咨詢表示，做好核心數(shù)據(jù)資產(chǎn)識別，才能讓 ISO27001 風險評估真正發(fā)揮作用，否則再完美的認證也擋不住實際風險。