文章总结： 本文解读英国CAF网络评估框架4.0原则A3资产管理。核心在于组织需识别并理解支持关键功能的资产含数据人员及设施以管理风险。文中对比了评估标准指出达成状态需完整清单明确依赖优先级及全生命周期管理。结合ISO27001与ITIL等标准提供了合规实施指导建议。 综合评分： 75 文章分类： 技术标准,安全建设,政策法规

英国CAF网络评估框架4.0：原则A3 资产管理

原创

铸盾安全 铸盾安全

河南等级保护测评

2026年2月21日 00:00 河南

建立适当的组织结构、政策、流程和程序，以理解、评估并系统管理支持关键功能的网络和信息系统的安全风险。

原理

所有用于交付、维护或支持运行必要功能所需的网络和信息系统所需的一切都被确定和理解。这包括数据、人员和系统，以及任何支持基础设施（如电力或制冷）。

描述

为了管理支持关键功能的网络和安全风险，组织需要清楚了解需要保护的内容，包括服务依赖。这种理解可能包括物理资产、软件、数据、关键人员和公用事业。这些都应被清晰识别和记录，以便理解对关键职能交付重要事项及其原因。

指导

无论贵组织采用哪种风险管理方法，资产管理都将发挥关键作用，因为如果不了解哪些资产属于核心职能，就无法有效管理风险。你的资产管理体系应考虑所有相关资产及其间的依赖关系。依赖关系可能体现在贵组织控制的资产（包括IT和OT领域）、供应链元素（包括电力）以及对运营至关重要的关键员工之间。在运营技术环境中，资产可能需要比企业IT资产更为定制化的方法。

为了使资产管理有效，必须在整个资产生命周期中保持最新的资产知识。

ISO/IEC 27001/2

资产管理是ISO 27001信息安全管理系统（ISMS）的一部分，但关键资产的管理可能需要量身定制的方法。

如果您的组织将ISMS作为合规网络监管的工具，您必须确保涵盖所有与法规涵盖的核心职能作相关的系统。资产管理是ISMS的关键组成部分，尽管关键服务可能需要超出标准的最低要求。

ISO 55001 – 资产管理

该标准与ISO 27001保持一致，可以与之配合使用，也可以独立使用。它概述了通用资产管理系统的需求。遵循该标准作为网络法规合规工具的组织，必须确保范围涵盖所有相关系统。该标准涵盖利益相关者的需求和期望，必须包括监管机构的任何要求。

信息技术基础设施图书馆（ITIL）

ITIL是一个IT服务管理框架，概述了提供IT服务的最佳实践。它建议采用分阶段的IT资产管理（ITAM）方法。你可能会发现这有助于改善IT资产的管理，但必须记住，如上所述，企业IT领域之外可能存在资产和依赖。

A3.a 资产管理

| 未达成 | 已达成 | | — | — | | 以下至少有一个命题是正确的： | 以下所有陈述均为真： | | 与核心功能相关的资产清单不完整、不存在或细节不足。 只有特定领域或资产类型会被记录和理解。资产之间的依赖关系尚未被理解（例如IT与OT之间的依赖关系）。 信息资产，可能包括个人身份信息和/或重要/关键数据，长期存储且没有明确的业务需求或保留政策。 关键知识掌握在一两位关键人员手中，且没有继任计划。 资产清单被忽视且过时。 | 所有与关键功能安全运行相关的资产都会被识别并清点（以适当的细节层级进行）。库存保持最新。 对支持基础设施（如电力、制冷等）的依赖被识别并记录。 你已经根据资产对基本职能运作的重要性进行了优先排序。 您被赋予管理所有资产的责任，包括与关键功能运营相关的实物资产。 与核心功能相关的资产，从创建到最终退役或处置，整个生命周期都以网络安全为管理核心。 |

附加信息

NCSC指导

资产管理

网络安全十步——资产管理

资产管理指导列表

外部资源

NPSA 识别您最有价值的资产

RITICS 在 ICS/OT环境中的资产管理

RITICS ICS/OT环境资产管理可视化

RITICS 在ICS/OT环境中手动管理资产管理方法

RITICS 解决ICS/OT环境中的反模式

ISO/IEC 27001

ISO 55001（将被ISO/FDIS 55001取代）

ITIL

NIST标准800-82

ISO/IEC 27019

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：河南等级保护测评 铸盾安全 铸盾安全《英国CAF网络评估框架4.0：原则A3 资产管理》