一般而言,實務上不太可能對全公司實施資訊資產清點(工程太浩大,而且資訊資產清點也不會是公司的主要業務),因此一定要界定一個實施範圍,例如公司的某個部門、某項業務或某個資訊系統。我個人比較建議是以企業活動來畫分範圍,例如製造流程或帳務作業等。因為這樣所鑑別出來的資訊資產會比較完整,未來對做資產的風險評估與改善措施時,才能收到真正的效果。
舉例來說,假設實施範圍是”會計系統”,那在公司整個帳務作業中,如果現況需要人工彙總”會計系統”以及其他系統的資料,另外編製報表,那這張報表就不會在範圍內,那這張報表還要不要控管? 答案是”要控管”,但在做資產風險評估時,又不會考慮到這張報表(因未落在範圍之內),因此公司的帳務作業就會有潛在的風險未被發掘。
在建立了資訊資產清單之後,還得給每項資產分類,並給予每項資產一個”價值”,這個’價值”通常是指該項資產在整個範圍的”重要性”而不是值多少錢。例如某個操作人員的薪水也許不高,但少了這個人,整個作業就會停擺,那你說這項"資產"重不重要?
註:實施範圍內的"人"也算是資訊資產。
另外,資訊資產清單還要即時維護,因為資訊資產清單是相互關聯的,因此資產的增減是會影響其他資產的”價值”的。
依目前實務的做法,資訊資產通常可以分為幾類:文件、資料、硬體、軟體、人員、環境(含水電等公用設施)