Temat: inwentaryzacja zasobów

Witam wszystkich. Jestem świeża osobą w zagadnieniach bezpieczeństwa informacji czy do. Muszę przeprowadzić inwentaryzację u mnie w firmie i mam kilka pytan w związku z tym, a mianowicie czy wymieniając zasoby,a następnie określając ich stopień wrażliwości danych biorę pod uwagę dany zasób czy to co on zawiera na chwilę sporządzania inwentaryzacji?
Na przykladzie Komputera stacjonarnego:określam jego producenta, ilość, właściciela, osobę odpowiedzialną i lokalizację no i ten stopień wrażliwości danych i teraz,czy oceniam ten stopien komputera jako sprzętu czy komputera zawierającego programy do przetwarzania do,zawierającego dane wrażliwe?
czy przy określaniu stopnia wrażliwości oceniam zasób jako taki czy to co w nim sięjuz znajduje?
a co w przypadku np. Sprzętu który dopiero co trafil dodanej komórki i jeszcze pracownik nie zdąrzył na nim pracować a wiem, że będzie miał do czynienia z danami wrażliwymi?jaki stopień wrażliwosci przypisac temu sprzętowi?

Temat: inwentaryzacja zasobów

Proponowałbym jednak zacząć od inwentaryzacji informacji, nie nośników. Będzie nieco prościej.

Potem zrobić macierz - np. w excelku. W wierszach informacje (kategoriami, jednostkami biznesowymi czy jakkolwiek) a w kolumnach działy. Wtedy będzie wiadomo, kto co może mieć a czego mieć nie powinien. Potem to sprawdzić, czy tak jest - ot taka podstawa do audytu (nowe kryterium - a wymagania, to excelek).

Rozwiązanie o tyle ułatwiające, że jak konkretna kategoria informacji zmieni nagle "wrażliwość" - czyli np. pojawią się istotne dane, czy informacje biznesowe, które będą stanowić podstawę do poniesienia klasy, to od razu będzie wiadomo komu przejrzeć sprzęt i miejsca pracy i kogo doszkolić.

A do zarządzania - również dość prosto. Dla IT podstawa do konkretnych zabezpieczeń w tym np właściwie ustawionego backupu. Po prostu wiedzą co do kogo trafia, a więc jakie informacje i już wiedzą co ustawić.