Seções -Responsabilidade pelos ativos

Objetivos de controle
Alcançar e manter a proteção adequada dos ativos da organização.
Convém que todos os ativos sejam inventariados e tenham um proprietário responsável.
Convém que os proprietários dos ativos sejam identificados e a eles seja atribuída a responsabilidade pela manutenção apropriada dos controles. A implementação de controles específicos pode ser delegada pelo proprietário, conforme apropriado, porém o proprietário permanece responsável pela proteção adequada dos ativos.

Categorias - Inventário dos ativos

Controles :
Convém que todos os ativos sejam claramente identificados e um inventário de todos os ativos importantes seja estruturado e mantido.

NBR/ Diretrizes para implementação:
Convém que a organização identifique todos os ativos e documente a importância destes ativos. Convém que o inventário do ativo inclua todas as informações necessárias que permitam recuperar de um desastre, incluindo o tipo do ativo, formato, localização, informações sobre cópias de segurança, informações sobre licenças e a importância do ativo para o negócio. Convém que o inventário não duplique outros inventários desnecessariamente, porém ele deve assegurar que o seu conteúdo está coerente.

Adicionalmente, convém que o proprietário (ver 7.1.2) e a classificação da informação (ver 7.2) sejam acordados e documentados para cada um dos ativos. Convém que, com base na importância do ativo, seu valor para o negócio e a sua classificação de segurança, níveis de proteção proporcionais à importância dos ativos sejam identificados (mais informações sobre como valorar os ativos para indicar a sua importância podem ser encontradas na ISO IEC TR 13335-3).

Informações adicionais:
Existem vários tipos de ativos, incluindo:

a) ativos de informação: base de dados e arquivos, contratos e acordos, documentação de sistema, informações sobre pesquisa, manuais de usuário, material de treinamento, procedimentos de suporte