「我們現在有多少設備?有設備清單嗎?」infra team的Ryan課長是甫剛接任的新官，火火火
「大概38台實體主機設備吧，檔案我找一下....網路設備的Excel清單存在個隨身碟裡」苦命的Jason趕緊挖出塵封的檔案
「這些項目怎麼沒分類，最後更新日期是2016.7.11?是不是有什麼誤會?」Ryan眉頭一皺，深知這坑不單純
「唔...有一段時間沒更新而已啦」隔壁同事連忙緩頰...而Ryan深知要做資安，接下來重要的第一步::Identify、現況盤點

有了風險概念，接下來就得將【被保護的標的】清楚的、詳細的定位出來，而我們所謂的標的，即為各式的資訊資產。

一、資訊資產的分類:

依據各項作業內容特性，將資產分為電子化資訊資產、實體資產、軟體資產、服務、書面文件及人員6大類。

1. 實體資產:這個最為直觀，凡舉個人電腦主機、伺服器、網路設備、印表機、及儲存媒體和設備等。
2. 軟體資產:公司付費購置的軟體版權、軟體授權、作業系統、應用軟體、應用系統、以及各類型系統工具等。
3. 資訊管理類資產:包含系統紀錄、環境控管程序、業務流程、研發流程、系統發展流程、內部控制管理辦法以及其他相關典章制度等。
4. 服務類資產: 區域網路、通訊服務、線路、資訊顧問服務、維護維運服務、訂閱雲端服務...等。
5. 書面文件:資料庫內容、資料檔、系統規劃與設計文件、使用與操作手冊、合約以及教育訓練教材等。
6. 人員資產:‧公司員工、系統開發員、系統管理員、設備保管人員、一般使用者、外包人員等。

二、資訊資產的分級:

上述的項目盤點出來一定很驚人，因此要透過資產分級，確保資產受到適當程度的保護，也可以兼顧成本。(舉例:公司公開教育訓練手冊和老闆的電腦檔案，兩者個價值與風險等級不同，要投入的保護資源也不同)。

• 常見的分類有: 極機密性、機密性、涉外密性、敏感性、限閱、一般性
• 通用的資安原則分級: 機敏性、完整性、可用性
• 資產標示:為確保資產被系統性管理，可透過顏色標籤、資產編號、條碼或RFID來進行分類標示。

三、資訊資產的保管權責

資產後續的保管也是一大問題，從上面的對話中得知當年可能做過一波資產盤點，無奈後續沒人維護使得不再具有效性，各式資產也散落一地。要妥善保管資產，首要定義個別資產的:

• Owner 權責單位： 指定的資訊資產擁有單位。Owner 負責該資產的生命週期管理與維護。(但不具備財產權，財產都是老闆的XD)
• Keeper 保管單位： 由公司指定的資產保管單位，負有善盡保管之責任義務，不見了要生出來阿。
• User 使用單位：由公司指定的資產使用單位，負有合理使用的義務。

四、資訊資產清單:

最後，組織裏應該產出一份或多份的【資訊資產清冊】，作為本階段的必要成果。裡面登載了最新的資產狀況、分級、風險價值、保管權責等資訊，以供後續查閱或判定使用，由於各產業略有差異，這邊暫舉一範例:

資訊資產清冊範例格式下載
資產被明確定位後，後續就是維持常態的持續管理機制，除了透過資產清冊管控外，也可以透過許多便利的資產管理工具，甚至運用工具進行電子化盤點，可以有效的維持正確性。

最後，做資產盤點是一件很厚工、勞心的事情，最常聽見做的過程中聽見:
「哇!這邊怎麼會多一台設備?」
「靠X，這是無主財產阿，誰要認領一下」
「Oh My God!沒有想到這邊又冒出來一份程序書」
「天啊，這個設置是哪個天才在建置時的臨時遺物阿」

初次執行歷史包袱很多是正常的，也是一個資安成長必經的過程，但是只要用心做、落實他，之後的資安風險內控推進你將會建構在穩固的基石上、事半功倍。加油!!

PS.本篇章可以更深入去研究，有助建立週期性盤點機制、長期保持資料可靠。

參考資料&資源下載:
資訊資產盤點表
新竹市稅務局B級機關 沒人沒錢也可以做資安
資訊資產評估與風險評鑑