信息资产包括产品吗?
信息资产包括产品。但企业中每个具体的信息安全管理活动的开展又不可能覆盖到所有在企业中流转使用的资产信息,必须根据企业在对资产信息进行分析识别之后,确定所处环境中的重要信息资产,识别在这些重要信息资产所面临的风险并进行分析,确认需要保护的最为基础的信息安全范围并在以后的管理活动、技术和资源配置中突出重点,以满足企业所要达到的安全目标。
因此,企业在识别资产信息之后还要对企业中的资产进行分析找出重要信息资产。重要资产的判定应从资产可能面临的威胁、潜在弱点和这些威胁、弱点可能带来的影响综合分析。识别重要资产之后再考虑这些信息资产中可能存在哪些弱点,这些信息资产可能面临哪些威胁及其可能性有多大,对重要资产的威胁利用弱点可能带来的影响如何。