CISP-AM资产管理框架

wen 网络安全 2

本文目录导读:

CISP-AM资产管理框架

  1. 核心维度(四个关键领域)
  2. 关键阶段(资产全生命周期管理流程)
  3. CISP-AM 与其他框架的关联
  4. 实施建议(基于CISP-AM考试与实践)
  5. 常见误区(CISP-AM学习中需注意)

CISP-AM(注册信息安全专业人员-资产管理)是中国信息安全测评中心(CNITSEC)推出的针对资产管理与合规方向的专业认证,其核心知识体系围绕资产管理框架展开,该框架旨在帮助组织系统地识别、分类、评估、处置和监控信息资产,以支撑信息安全战略和合规要求。

以下是 CISP-AM 资产管理框架总结,通常包括四个核心维度五个关键阶段

核心维度(四个关键领域)

CISP-AM 框架通常将资产管理分为以下四个相互关联的维度:

  1. 资产识别与分类

    • 目标:清楚知道“有什么、在哪、谁负责”。
    • 要素
      • 有形资产(硬件、网络设备、介质)
      • 无形资产(软件、数据、知识产权、人员技能)
      • 服务资产(云服务、外包服务)
    • 分类标准:基于重要性、敏感性、法律法规要求(如数据分类分级)。
  2. 资产风险评估

    • 目标:明确资产的“价值”与“风险等级”。
    • 要素
      • 资产价值评估(CIA三元组:机密性、完整性、可用性)
      • 威胁与脆弱性分析(如:数据泄露、设备老旧、未授权访问)
      • 风险等级计算(基于可能性与影响)。
  3. 资产控制与处置

    • 目标:对高价值/高风险资产采取保护措施。
    • 要素
      • 控制措施:访问控制、加密、备份、物理防护。
      • 处置策略:保留、归档、销毁、报废(符合数据清除标准)。
      • 生命周期管理:从采购、入网、运维到退网的全过程管控。
  4. 资产审计与合规

    • 目标:确保管理过程符合内部政策及外部法规(如《网络安全法》、《数据安全法》、等保2.0、GDPR等)。
    • 要素
      • 定期盘点与对账(实物、逻辑、服务)
      • 合规性检查(资产是否满足等保要求、数据分类是否合规)
      • 第三方资产审计(如云服务商提供的资产)

关键阶段(资产全生命周期管理流程)

CISP-AM 框架强调 PDCA(计划-执行-检查-处理) 的闭环管理,具体分为五个阶段:

阶段 核心活动 输出物
规划 确定资产管理范围、策略、分类分级标准、责任矩阵(谁负责)。 《资产分类分级指南》、《资产管理政策》
识别 建立资产台账(CMDB或Excel),记录硬/软件、数据、服务信息。 《资产清单》、《资产标识符》
评估 对资产进行风险评估,确定关键资产(CIA打分)。 《风险评估报告》、《资产风险等级表》
保护 根据风险等级实施管控(如:对核心数据库加密,对离职人员账号回收)。 《安全基线》、《操作流程》、技术控制配置
监控 持续跟踪资产变更(新增、报废、用途变更),定期盘点和审计。 《变更记录》、《资产盘点报告》、《审计报告》

CISP-AM 与其他框架的关联

CISP-AM 不是孤立存在的,它通常与以下信息安全管理实践紧密结合:

  • 与ISO 27001/27002:ISO 27001的附录A.8(资产管理)是CISP-AM的直接参考,CISP-AM更强调中国本土的合规要求(如等保2.0第三级及以上资产划分子网)。
  • 与等保2.0:等保2.0中“安全计算环境”、“安全区域边界”和“运维管理”均要求进行资产梳理和基线核查。
  • 与数据安全法:数据被视为特殊资产,CISP-AM强调对数据资产进行分类分级,并与数据安全策略联动。

实施建议(基于CISP-AM考试与实践)

  1. 投入“专人”:建议设立专职的资产管理员(或与IT运维、安全运营结合)。
  2. 工具化:从手工Excel表格向自动化资产管理系统(如CMDB、漏洞管理平台、数据资产地图)过渡。
  3. 定期校验:每季度或每半年进行一次全量资产盘点,防止“黑资产”(未注册设备/软件)产生安全隐患。
  4. 责任到人:每个资产必须有明确的“资产所有者”(Owner)和“资产使用者”(User),并建立考核机制。

常见误区(CISP-AM学习中需注意)

  • 误区1:把资产管理仅看作IT运维的台账记录。
    • 纠正:CISP-AM强调从安全视角评估资产,不仅仅是统计数量。
  • 误区2:忽略软件资产的许可合规。
    • 纠正:盗版软件的使用会直接触犯《软件保护条例》,是重大合规风险。
  • 误区3:不做风险分级,所有资产同等处理。
    • 纠正:必须基于CIA打分,对“重要数据资产”采取最高级别防护。

CISP-AM资产管理框架的核心是“可知、可控、可管、可审”,它要求从业者具备将技术资产(服务器、代码)、数据资产(敏感信息)和业务资产(服务、系统)统一纳入安全治理范畴的能力,是信息安全管理工作的基础底座,如果你在备考或工作中需要具体的文档模板(如资产清单模板、分类分级表),可以告诉我,我可以进一步帮你整理。

抱歉,评论功能暂时关闭!