麦特尔2013：资产识别与支持设备清单的ISARIP处理

"《支持资产的清单和描述-合成孔径雷达图像处理 [麦特尔] 2013年版》是一份关于信息安全风险管理的专业文档，重点关注在信息系统和业务流程中关键资产的识别与保护。文档详细阐述了在信息安全风险管理过程中如何识别和描述主要资产，如业务流程、活动和信息。 1. 主要资产识别：活动由跨职能团队进行，包括管理者、信息系统专家和用户。这些资产包括对组织至关重要的业务流程，如可能导致组织使命中断、涉及专有技术或受法规约束的过程。信息资产则包括战略信息、敏感个人数据和成本高昂的数据，它们对于组织的运营至关重要。 2. 支持资产清单与描述：资产按类型划分，如硬件（物理设备）、数据处理设备（如计算机和外围设备）、可移动设备（如笔记本电脑和PDA）、固定设备、外围处理设备和数据介质。这些资产存在潜在威胁，因为它们可能成为攻击目标，特别是那些与关键资产相关的脆弱点。 3. 信息安全风险管理过程：文档涵盖了风险管理的多个阶段，如风险评估（识别威胁、现有控制、脆弱性、后果）、风险分析（评估风险级别）、风险处理（修正、保留、规避、转移）以及风险沟通与协商。这些步骤旨在确保组织能够系统地识别、评估和应对可能对资产造成威胁的风险。 4. 规范性引用文件和标准化：文档基于ISO/IEC的指导原则，强调了标准化在信息安全风险管理中的重要性，并提到了相关的国际标准和文件编制过程，同时提醒读者注意可能存在的专利权问题。 《支持资产的清单和描述》为组织提供了实用的方法来识别和保护其核心资产，确保在面临潜在威胁时能够采取有效的风险管理措施，从而保障业务的正常运行和数据安全。"