ISO27001认证通过了，数据泄露仍频发？核心资产识别漏了就白做

　　拿到 ISO27001 证书没多久，却突然遭遇核心客户数据泄露;风险评估报告厚厚一本，实际发生安全事件时才发现，最关键的交易数据根本没纳入资产清单 —— 这是很多企业做信息安全风险评估时的真实困境。

　　资产识别是 ISO27001 风险评估的基础，却常被当成走过场。某企业在审核中被发现列了 4937 项资产，却因未区分重要性，导致 2000 多项高风险评估结果毫无意义。核心数据资产的漏检，让后续的风险控制成了空中楼阁。

　　问题往往出在三个方面：只盯着服务器、电脑等硬件，忽略了客户信息、交易记录等核心数据资产;用静态清单应付审核，新上线的业务系统数据未及时纳入;缺乏统一标准，各部门按自己理解上报，关键资产被归为一般资产。

　　解决这一问题需建立 “三维识别体系”。首先明确资产范围必须覆盖数据、硬件、软件、服务等六类，尤其要把业务系统中的核心数据作为识别重点。其次用 CIA 属性赋值法分级，通过保密性、完整性、可用性三个维度打分，准确定位核心资产。

　　操作层面要结合技术工具与业务视角。用自动化扫描工具发现网络中的硬件和软件资产，同时联合业务部门梳理数据资产，避免技术部门闭门造车。建立配置管理数据库(CMDB)，实时记录资产变更，确保清单动态更新。

　　最后要建立资产识别的长效机制。定期开展跨部门资产评审，将新业务数据及时纳入管理;结合风险矩阵模型，根据资产价值和威胁程度动态调整防护策略。记住，资产识别不是一次性的表单作业，而是持续动态的管理过程。

　　启航管理咨询表示，做好核心数据资产识别，才能让 ISO27001 风险评估真正发挥作用，否则再完美的认证也挡不住实际风险。