上一篇說了資訊資產的分級，這一篇來說分類

資訊資產分類

站在攻擊者的角度想，一定是你手上有好東西，才會有人想害你，所以第一步就是盤點自己有哪些好東西，把這個行為稱為資訊資產盤點(初次盤點)

那盤出來了之後，可能會遇到一個問題
例如同一個投影筆，命名可能有 投影筆、羅技投影筆、灰色羅技投影筆、簡報筆
同一個筆，不同的盤點來人員初次盤點可能都會給不同的名稱，這邊建議使用這樣的分類原則

• 名稱由企業自行決定，命名方式應該有一致的標準(企業內部決定即可)
• 分類要明確，且應該有一致的標準(企業內部決定即可)

決定分類等級與準則

• 辨識Owner與custodian
  ex:你是資訊人員，你管機房，財務系統主機你買的，更新你做的，你也有最高管理者AD帳號，所以Owner是你(?)
  錯誤，Owner應該是財務主管，因為是財務主管指示你做事和佈署系統，指揮權不在你身上。
  Owner可以決定這個系統或資產該怎麼用，但他並非資安專家，他可能不是自己親自操作，他只能拍板定案。
  custodian是照著Owner的指示去操作或管理

ex:你現在要去公司做盤點，Owner是有權的人，custodian是操作的人，要先找誰?

要先找custodian，他才知道到底有多少東西，再給Owner建議，請他決策

• 辨識並決定每一分類所需之保護
  Owner在做這一步決定保護層級，但保護執行方案可能是custodian提供的

• 建立變更,溝通與定期檢視流程
  做erp的時候是最好理解流程的時機

ex:如果你是資安人員在進行盤點，發現兩種情況，哪個比較嚴重

1. 有物沒帳
2. 有帳沒物

有物沒帳比較嚴重

有物沒帳，員工只會偷偷藏起多的物品 (或自己偷帶回家)，出事沒人知道
有帳沒物，代表員工已經知道東西不見了，員工會拼命去找出來

所以，如果連物品的存在狀況都不清楚，代表連要保護什麼都不知道，站在資安的角度，必須跳脫基層保管者的思考方式才行。