Asset Management 资产管理

搞清楚有哪些 资产、它们价值多少、面对什么 风险、谁在管——并且持续维护这套信息。

不是一份 Excel,是一个流程。

核心活动

1. 盘点 —— 建 资产清单
2. 分级 —— 做 资产分级
3. 指定 owner —— 每个资产有人负责
4. 跟踪生命周期 —— 采购 → 部署 → 运维 → 退役 → 销毁
5. 关联风险 —— 资产对应什么 漏洞、什么 威胁
6. 定期审计 —— 实际现状 vs 记录是否一致

为什么这么基础却这么难

• 多数公司根本不知道自己有多少资产(尤其上云之后)
• 业务变化快,资产漂移更快
• 责任分散 —— IT、安全、业务都觉得是别人的事

它影响什么

下游活动	怎么依赖 asset management
风险评估	不知道有啥就评估不了
打补丁	不知道有啥就不知道补哪些
事件响应	知道资产 = 知道影响范围
合规	审计员第一件事就问清单
安全加固	不知道有啥就无从加固