bga68comp | Лист опитування під час інвентаризації ІА (Reply)

Яку інформацію треба зібрати під час інвентаризації інформаційних активів (ІА) згідно з рекомендаціями стандарту ISO 27001:2022

Під час підготовки листа опитування завжди постає питання: що треба відобразити у листі опитування для визначення переліку інформаційних активів?

Для визначення переліку інформаційних активів за допомогою опитування, варто включити такі питання, щоб отримати повну інформацію про активи, які є в розпорядженні підрозділів або окремих співробітників:

Основні дані про актив
- Назва активу: Яке найменування чи ідентифікатор використовується для цього активу?
- Тип активу: До якого типу належить актив (апаратне забезпечення, програмне забезпечення, дані, документи, люди, мережеві ресурси тощо)?
- Короткий опис активу: Яка основна функція або призначення цього активу?
- Місцезнаходження активу: Де фізично або віртуально розташований цей актив?
Власність та відповідальність
- Власник активу: Хто відповідальний за управління цим активом?
- Користувачі активу: Хто має доступ або використовує цей актив?
Цінність та критичність
- Важливість активу: Наскільки критичним є цей актив для виконання бізнес-процесів або підтримки операцій організації?
- Інформаційна класифікація: До якої категорії конфіденційності або важливості належить інформація, що міститься в цьому активі (конфіденційна, внутрішня, публічна)?
Безпека та захист
- Існуючі заходи захисту: Які заходи безпеки використовуються для захисту цього активу?
- Потенційні загрози: Які основні ризики чи загрози можуть вплинути на безпеку цього активу?
Життєвий цикл активу
- Дата придбання чи створення: Коли було придбано або створено цей актив?
- Строк служби: Який очікуваний період використання цього активу?
Законодавчі та регуляторні вимоги
- Вимоги до зберігання та обробки: Чи підлягає цей актив спеціальним законодавчим або регуляторним вимогам?
Вартість та витрати
- Оцінка вартості активу: Яка приблизна вартість цього активу?
- Витрати на утримання: Які основні витрати пов'язані з підтримкою чи експлуатацією цього активу?
Залежності
- Залежності від інших активів: Чи залежить цей актив від інших активів для функціонування?

Ці питання допоможуть зібрати детальну інформацію про інформаційні активи, що є необхідною для їхнього подальшого управління та захисту відповідно до стандарту ISO 27001:2022.

Таблиця з питаннями для листа опитування з метою визначення переліку інформаційних активів

№	Категорія	№	Питання
1	Основні дані про актив	1.1	Назва активу: Яке найменування чи ідентифікатор використовується для цього активу?
		1.2	Тип активу: До якого типу належить актив (апаратне забезпечення, програмне забезпечення тощо)?
		1.3	Короткий опис активу: Яка основна функція або призначення цього активу?
		1.4	Місцезнаходження активу: Де фізично або віртуально розташований цей актив?
2	Власність та відповідальність	2.1	Власник активу: Хто відповідальний за управління цим активом?
		2.2	Користувачі активу: Хто має доступ або використовує цей актив?
3	Цінність та критичність	3.1	Важливість активу: Наскільки критичним є цей актив для бізнес-процесів або операцій?
		3.2	Інформаційна класифікація: До якої категорії конфіденційності або важливості належить інформація?
4	Безпека та захист	4.1	Існуючі заходи захисту: Які заходи безпеки використовуються для захисту цього активу?
		4.2	Потенційні загрози: Які основні ризики чи загрози можуть вплинути на безпеку цього активу?
5	Життєвий цикл активу	5.1	Дата придбання чи створення: Коли було придбано або створено цей актив?
		5.2	Строк служби: Який очікуваний період використання цього активу?
6	Законодавчі та регуляторні вимоги	6.1	Вимоги до зберігання та обробки: Чи підлягає цей актив спеціальним законодавчим або регуляторним вимогам?
7	Вартість та витрати	7.1	Оцінка вартості активу: Яка приблизна вартість цього активу?
		7.2	Витрати на утримання: Які основні витрати пов'язані з підтримкою чи експлуатацією цього активу?
8	Залежності	8.1	Залежності від інших активів: Чи залежить цей актив від інших активів для функціонування?