本文目录导读:

CISP-AM(注册信息安全专业人员-资产管理)是中国信息安全测评中心(CNITSEC)推出的针对资产管理与合规方向的专业认证,其核心知识体系围绕资产管理框架展开,该框架旨在帮助组织系统地识别、分类、评估、处置和监控信息资产,以支撑信息安全战略和合规要求。
以下是 CISP-AM 资产管理框架总结,通常包括四个核心维度和五个关键阶段:
核心维度(四个关键领域)
CISP-AM 框架通常将资产管理分为以下四个相互关联的维度:
-
资产识别与分类
- 目标:清楚知道“有什么、在哪、谁负责”。
- 要素:
- 有形资产(硬件、网络设备、介质)
- 无形资产(软件、数据、知识产权、人员技能)
- 服务资产(云服务、外包服务)
- 分类标准:基于重要性、敏感性、法律法规要求(如数据分类分级)。
-
资产风险评估
- 目标:明确资产的“价值”与“风险等级”。
- 要素:
- 资产价值评估(CIA三元组:机密性、完整性、可用性)
- 威胁与脆弱性分析(如:数据泄露、设备老旧、未授权访问)
- 风险等级计算(基于可能性与影响)。
-
资产控制与处置
- 目标:对高价值/高风险资产采取保护措施。
- 要素:
- 控制措施:访问控制、加密、备份、物理防护。
- 处置策略:保留、归档、销毁、报废(符合数据清除标准)。
- 生命周期管理:从采购、入网、运维到退网的全过程管控。
-
资产审计与合规
- 目标:确保管理过程符合内部政策及外部法规(如《网络安全法》、《数据安全法》、等保2.0、GDPR等)。
- 要素:
- 定期盘点与对账(实物、逻辑、服务)
- 合规性检查(资产是否满足等保要求、数据分类是否合规)
- 第三方资产审计(如云服务商提供的资产)
关键阶段(资产全生命周期管理流程)
CISP-AM 框架强调 PDCA(计划-执行-检查-处理) 的闭环管理,具体分为五个阶段:
| 阶段 | 核心活动 | 输出物 |
|---|---|---|
| 规划 | 确定资产管理范围、策略、分类分级标准、责任矩阵(谁负责)。 | 《资产分类分级指南》、《资产管理政策》 |
| 识别 | 建立资产台账(CMDB或Excel),记录硬/软件、数据、服务信息。 | 《资产清单》、《资产标识符》 |
| 评估 | 对资产进行风险评估,确定关键资产(CIA打分)。 | 《风险评估报告》、《资产风险等级表》 |
| 保护 | 根据风险等级实施管控(如:对核心数据库加密,对离职人员账号回收)。 | 《安全基线》、《操作流程》、技术控制配置 |
| 监控 | 持续跟踪资产变更(新增、报废、用途变更),定期盘点和审计。 | 《变更记录》、《资产盘点报告》、《审计报告》 |
CISP-AM 与其他框架的关联
CISP-AM 不是孤立存在的,它通常与以下信息安全管理实践紧密结合:
- 与ISO 27001/27002:ISO 27001的附录A.8(资产管理)是CISP-AM的直接参考,CISP-AM更强调中国本土的合规要求(如等保2.0第三级及以上资产划分子网)。
- 与等保2.0:等保2.0中“安全计算环境”、“安全区域边界”和“运维管理”均要求进行资产梳理和基线核查。
- 与数据安全法:数据被视为特殊资产,CISP-AM强调对数据资产进行分类分级,并与数据安全策略联动。
实施建议(基于CISP-AM考试与实践)
- 投入“专人”:建议设立专职的资产管理员(或与IT运维、安全运营结合)。
- 工具化:从手工Excel表格向自动化资产管理系统(如CMDB、漏洞管理平台、数据资产地图)过渡。
- 定期校验:每季度或每半年进行一次全量资产盘点,防止“黑资产”(未注册设备/软件)产生安全隐患。
- 责任到人:每个资产必须有明确的“资产所有者”(Owner)和“资产使用者”(User),并建立考核机制。
常见误区(CISP-AM学习中需注意)
- 误区1:把资产管理仅看作IT运维的台账记录。
- 纠正:CISP-AM强调从安全视角评估资产,不仅仅是统计数量。
- 误区2:忽略软件资产的许可合规。
- 纠正:盗版软件的使用会直接触犯《软件保护条例》,是重大合规风险。
- 误区3:不做风险分级,所有资产同等处理。
- 纠正:必须基于CIA打分,对“重要数据资产”采取最高级别防护。
CISP-AM资产管理框架的核心是“可知、可控、可管、可审”,它要求从业者具备将技术资产(服务器、代码)、数据资产(敏感信息)和业务资产(服务、系统)统一纳入安全治理范畴的能力,是信息安全管理工作的基础底座,如果你在备考或工作中需要具体的文档模板(如资产清单模板、分类分级表),可以告诉我,我可以进一步帮你整理。