【摘 要】随着信息技术的高速发展和企业信息化进程，IT服务外包成为IT行业的重要途径。而外包行业直接访问企业信息资源，其信息安全水平势必成为企业关注的焦点之一。本文以某IT服务外包公司信息安全管理项目为例，基于ISO27000信息安全管理体系，讨论了信息资产的识别和管理问题，对于类似行业企业有一定的参考价值。
　　【关键字】IT服务外包；信息资产；ISO27000
　　A企业是某欧洲跨国金融公司在广东的IT服务外包公司，主要对母公司在亚太地区的业务提供软件开发和维护工作，企业的核心业务构建和运行在以信息技术为基础的网络和系统上。作为金融行业的IT外包公司，提升A企业的信息安全管理水平也成为企业内部和外部的紧迫要求。
　　ISO27000信息安全管理体系要求是国际标准化组织颁布的有关信息安全管理的标准，此标准采用了PDCA循环管理的方法，以求最终建立适合企业需要的信息安全管理体系。其实现主要通过现场诊断、风险评估、体系制度编写、试运行和外部审核几个阶段，而整个项目的出发点就是完善资产管理。
　　A企业正是选择了通过ISO27000架构构建信息安全体系。在ISO27000的管理框架下，资产是指任何对组织有价值的信息或资源，根据表现形式的不同，与信息相关的资产可分为数据、文件、软件、硬件、服务、人员等类型。资产识别的正确性和准确性对于后续的风险要素评估及信息安全策略至关重要。
　　本项目之前，A企业有来自总部的一些信息安全方面的基本要求，但要求较为抽象、概括，并没有在本地形成有效的管理体系。在信息资产管理方面，A企业就信息资产进行了一些定义，制定了部分规章，但不够系统和完整。对于信息资产的管理更多地限于IT部门管理的硬件及软件等有形资产的管理上，没有从数据的角度出发，也没有把服务、人员以及其他非IT资产视为信息资产的一部分纳入信息资产保护的范畴。
　　因此，在构建新信息安全管理体系项目中，A公司在进行资产识别时，将信息资产按照信息、文档、软件、硬件、人员及服务六大类进行分类。其具体实施过程为：
　　1、将原有的信息资产清单依照上述六类进行划分。在此基础上，依照公司的组织架构和业务范围与各部门负责人进行访谈，了解业务流程，以识别所有的信息资产。
　　2、对于每一项信息资产，根据“谁使用，谁负责”的原则确定责任人。由责任人负责对信息资产进行分类、分级。同时可设定 “维护人”，由“责任人”将具体的安全职责委派给“维护人”，但“责任人”仍须承担资产安全的最终责任。
　　3、由信息资产责任人对资产进行分级评分。按照信息安全的三要素：机密性、完整性、可用性，对资产分三个要素进行赋值（如表1示）：
　　4、基于對每一项信息资产的在机密性、完整性、可用性三方面的赋值，通过矩阵计算出信息资产的总价值（如表2示）。
　　由上表可见，信息资产总价值总共分为5级，其中，评分为4的资产为最高级，0为最低级。设置重要资产划分的基准线为1，即选取评分为1及以上的资产，进入下一步的资产风险评价。
　　通过以上步骤，共识别A公司信息资产816个，其中644个评级为1或以上（如表3示）。A公司在此基础上建立了一套完整的信息资产清单，包括每项信息资产的标号、内容、位置、负责人，维护人，使用者及评分等内容。为后续的信息安全体系构建奠定了良好基础。
　　总之，信息资产管理作为信息安全体系构建的起点和后续工作的基础，其重要性不言而喻。更重要的是，公司需要把信息资产清单作为一个标准化文档，由信息安全经理进行总负责，由每项资产的负责人（维护人）定期更新资产的各项内容，从而确保资产清单随时间变化的完整性和准确性。