在资产管理器中管理 IT 资产
您组织拥有的每一项 IT 资产都会带来不同的风险和责任。使用 IT 风险管理(此前为 ITRMBond)工作流,您可以记录有关每项资产的关键信息,并为其计算风险严重性和资产价值分数。然后,您可以使用这些分数来确定组织风险的优先级,并相应地制订风险缓解计划。
我可以添加哪些类型的资产?
您可以在 IT 风险管理中评估四类资产:
- 硬件,如服务器、笔记本电脑、手机
- 软件,如操作系统、应用程序
- 云计如虚拟服务器
- 信息系统在单个系统中相互作用的元素;例如,工资单软件、存储数据的服务器以及敏感数据本身
这些资产的工作流都是相同的,但是由于这些不同类别的资产需要不同类型的信息(例如,一个硬件有一个位置,而云环境没有),因此每个类别都需要填写一些不同的属性。
添加上述每个资产后,工作流是相同的。每个资产都需要注册、分类,然后评估其风险严重性。然后,您的组织可以决定最佳的方法来优先考虑和缓解这些风险。
有关资产的更多信息,请参阅 资产管理器概览
1. 将 IT 资产添加到资产管理器中
在资产管理器应用程序中,您可以跟踪 IT 资产,并记录每个资产的关键信息。
示例
场景
您是一名 IT 风险计划经理,负责为您的组织创建新的 IT 安全和合规计划。虽然有很多资产要处理,但是您决定从风险管理工具箱中最重要的资产开始 — 贵组织的笔记本电脑。
流程
帮助主题 使用资产管理器中的资产
打开资产管理器应用程序。选择 IT 资产 - 硬件资产类型,单击添加 IT 资产 - 硬件,输入笔记本电脑的名称,然后保存。
结果
IT 风险管理会将笔记本电脑资产保存在资产管理器中,并自动为其分配草稿状态。
2. 注册资产
创建资产草稿后,可以添加其他信息,并在 IT 风险管理工作流中将资产推进一步。注册资产时,您输入一些关键信息,然后批准将其添加到 IT 资产管理器中。
示例
场景
由于您已添加笔记本电脑资产,您想要注册该资产,以便可以输入关于该资产的更多信息并开始评估其风险。
流程
在详细信息选项卡中,输入有关笔记本电脑的所有信息,包括其名称、业务所有者、参考 ID 和描述,这些都是注册资产时的必填信息。保存资产,然后在页面顶部的可视化工作流中单击注册。确认您的资产具有所有必需的详细信息后,状态变为已注册。
结果
您的笔记本电脑包含所有必填信息,并已注册成为贵组织的活动资产。
3. 对资产进行分类
由于您已在资产管理器中添加并注册资产,可以评估其风险严重性并根据这些分数对其进行分类。可以选择提供单个重要性级别得分,或者让 Diligent One 根据三个值计算重要性级别:机密性影响、完整性影响以及可用性影响。
对资产进行分类时,有两个选项:可以向技术或业务所有者发送调查问卷,让资产管理器根据回答对资产进行自动分类;或者,如果您拥有资产的风险严重性信息,则可以自行输入分数。
示例
场景
要自行评估笔记本电脑的风险严重性,需要了解三方面的相关信息:
- 机密性影响级别
- 完整性影响级别
- 可用性影响级别
您不完全确定这些分数应为多少,所以决定给同事(笔记本电脑的业务所有者)发送一份调查问卷让其填写。
流程
在页面顶部的可视化工作流中,单击分类,然后单击启动风险严重性评估。在发送调查问卷面板中,输入同事的姓名并将调查问卷发送给他们。在他们输入回复之后,Diligent One 会自动将其回复填充到调查问卷中。会自动计算风险评分(机密性、完整性和可用性)并将这些信息填充到详细信息选项卡中。如果您没有看到更改,请刷新页面。
您快速检查一下,确认风险分类看起来是正确的。然后,在可视化工作流中,单击分数。IT 风险管理会自动计算风险严重性级别(有关详细信息,请参阅理解分类分数)。如果您没有看到更改,请刷新页面。在可视化工作流中,单击更多选项 
,然后选择审批。资产的状态变为已分类。
结果
您已经成功地量化与笔记本相关的风险级别,并利用 Diligent One 的自动化流程,根据与笔记本相关的风险对笔记本进行了分类。现在,更容易设想创建一个计划和优先级列表,以便在组织拥有的所有其他资产中对这些风险采取补救措施。
理解分类分数
如果使用调查问卷来计算资产的重要性,则有两个工作流机器人将共同计算您在资产中看到的重要性级别:IT 资产分类和 CIA 重要性评分机器人。
说明
由于答案权重和影响级别边界是可配置的,因此本节中的示例可能与您在组织中看到的计算不符。有关详细信息,请参阅在机器人应用程序中查看组织的计算。
1. 计算分类分数
重要性评估中的每个问题可属于机密性、完整性或可用性类别,分别用于计算机密性影响、完整性影响或可用性影响级别。例如,对机密性类别中的问题的回答只影响机密性影响级别的计算,而不影响完整性影响或可用性影响级别。
重要性评估调查问卷中的每个回答都会被分配一个权重。具有专业用户订阅的系统管理员可以自定义 IT 资产分类工作流机器人中的每个答案权重。
此机器人根据每个问题的最高可能得分计算调查问卷得分:
- 对于只允许一个答案的问题,最高可能得分是对该问题所有可能回答的最高权重。
- 对于允许多个答案的问题,最高可能得分是对该问题所有可能回答的所有权重之和。
示例
您的同事正在回答这个问题:此资产存储、处理或传输的是什么类型的信息或数据?此问题接受多个回答。
可用的回答及其各自的权重如下:
| 响应 | 权重 |
|---|---|
| 员工信息 (PII) | 3 |
| 客户信息 (PII) | 3 |
| 财务信息 | 1 |
| 专有信息 | 1 |
| IT 基础架构信息 - 机密 | 3 |
| IT 基础架构信息 - 加密 | 1 |
| 这些数据类型都不适用 | 0 |
您的同事选了择财务信息和 IT 基础架构信息 - 机密。
- 这个问题的总分是 4 ( 1 + 3 = 4 )。
- 这个问题的可能最高分是 12 ( 3 + 3 + 1 + 1 + 3 + 1 + 0 = 12 )。
因为这个问题属于机密类别,所以此问题的答案权重仅计入资产的机密性影响级别。它们对完整性影响或可用性影响级别没有影响。
2. 分配影响级别
对于每个机密性影响、完整性影响和可用性影响级别,IT 风险管理按照以下公式计算最终调查问卷得分:分类得分 = (所有回答权重之和/所有可能的最高问题分数之和) * 100%。
然后,工作流机器人获取该百分比分数,并将其与为您的组织定义的影响级别边界进行比较(您可以在机器人中自定义边界)。您的资产将显示与百分比得分所属范围对应的影响级别。
最后,当您在可视化工作流中单击分数时,CIA 重要性评分工作流机器人将使用以下两种方法之一来确定资产的总体重要性级别:
- 高水位线使用机密性影响、完整性影响和可用性影响级别中的最高级别作为总体重要性级别。这是默认方法。
- 模式使用机密性影响、完整性影响和可用性影响级别中最常用的重要性级别作为总体重要性级别。如果这三个级别都不同,则该方法将使用三个级别中最高的级别。
示例
完成调查问卷后:
- 您的同事在机密性问题类别中选择的答案权重之和为 7。
- 机密性类别中所有问题的可能最高分数之和为 20。
机密性调查问卷的最终得分为 35% ( ( 7 / 20 ) * 100 = 35 )。
在您的组织中,20% 到 40% 之间的分数被分配为低重要性级别。因此,该 IT 资产的机密性影响级别字段中会显示低。使用属于对应类别的问题,机器人重复此过程来计算资产的完整性影响和可用性影响级别。
在可视化工作流中单击分数时,CIA 重要性评分工作流机器人将查看资产中记录的三个影响级别:
- 机密性影响级别低
- 完整性影响级别中
- 可用性影响级别低
由于机器人被设为使用高水位线方法,并且三个级别中的最高级别为中,因此资产的总体重要性级别字段中将显示中。
在机器人应用程序中查看组织的计算
通过以下步骤,具有专业用户订阅的系统管理员可以查看组织用于计算上述分数的答案权重和影响级别边界:
- 打开机器人应用程序。
- 从机器人应用程序中的仪表盘,选择工作流机器人。
- 导航到包含您要查看的脚本的机器人,然后选择该机器人以将其打开。
- 单击机器人应用程序右上角的开发按钮,即可切换到开发模式。
- 在脚本版本选项卡上,选择您要查看的脚本版本。
-
单击编辑脚本。
结果 机器人脚本编辑器将打开该脚本。有关详细信息,请参阅机器人应用程序中的 Python 和 HCL 脚本编写。
如果您需要帮助以查找包含自定义项的机器人,或自定义组织的计算以满足您的需要,请联系支持人员或您的 Diligent 代表。
4. 重新评估资产
如果万一需要重新评估资产的重要性,您可以随时在此过程中向后移动资产。
示例
场景
在您首次将笔记本电脑添加到资产管理器一年后,贵公司成为了数据泄露的攻击目标。黑客可以绕过贵公司的防火墙,访问您笔记本电脑上的敏感信息。
您深知此次泄露对评估与笔记本电脑相关风险的方式带来了很大的改变:贵组织务必找出漏洞发生的原因并了解如何防范未来再次发生数据泄露事件。您需要进入已记录的关于笔记本电脑的现有信息,并提高其风险严重性分数,以便为笔记本电脑制定新的风险缓解计划。
流程
在可视化工作流中,单击重新评估严重性。笔记本电脑的状态重新变为等待分类。
与首次将笔记本电脑输入资产管理器时相比,这一次您拥有更多关于笔记本电脑的信息。您决定在详细信息选项卡上输入总体重要性级别分数为重要,然后单击保存更改,而不是再次向同事发送调查问卷。然后,依次单击更多选项 和审批。
结果
现在,笔记本电脑反映了数据泄露后会给贵组织带来的最新风险级别。
后续步骤
添加和评估资产后,您可以识别与之相关联的风险,然后开始着手降低这些风险。请参阅: 在风险管理器中管理 IT 风险与控制措施了解更多信息。
