内部风险管理计划(IRMP)最基本的功能是保护为组织提供竞争优势的资产。根据国际标准化组织(ISO),资产是对组织具有潜在价值的东西,组织对此负有责任[ISO]。在《常识指南》中,这一定义得到了扩展,包括关键资产是一种有价值的东西,如果被销毁、更改或以其他方式降级,将影响其机密性、完整性或可用性,并对组织支持其基本任务和业务职能的能力产生严重的负面影响。
关键资产可以是有形的,也可以是无形的,根据CERT弹性管理模型(CERT-RMM),关键资产可以包括人员、信息、技术和设施,如图10所示。关键资产的一个经常被忽视的方面是知识产权(IP),它可以包括专有软件、供应商的客户数据、示意图,以及内部制造工艺。
图10:关键服务中的关键资产
组织必须密切
