Sto identificando le risorse dell'organizzazione per una valutazione del rischio per la sicurezza informatica. Sto cercando guide o best practice di settore per quali dettagli sugli asset sono effettivamente utili per la procedura di valutazione del rischio.
Possiamo facilmente ottenere molte informazioni sulle risorse hardware e software eseguendo script. Lo archiviamo tutti, perché non sappiamo mai di cosa potremmo aver bisogno. Tuttavia, nell'ambito di una valutazione del rischio per la sicurezza informatica, alcuni di essi non saranno utili. Ad esempio: capisco che gli indirizzi IP del server sono importanti per la sicurezza, ma il produttore della scheda madre e il nome del modello non sono così tanto.
Esiste una serie concreta di dettagli sugli asset più pertinenti per un rapporto sulle risorse per una discussione sulla valutazione del rischio per la sicurezza?
O, equivalentemente,
Esiste un insieme di dettagli sugli asset "troppo", che possono essere omessi in modo sicuro dal rapporto sulle risorse?