使用资产管理器中的资产

资产代表对组织有价值的东西。资产可以是有形的,如笔记本电脑、服务器和软件,也可以是无形的,如第三方业务关系、知识产权和策略。通过跟踪组织的资产,可以帮助组织避开欺诈、盗窃、合规问题和不可接受的风险。

资产管理器应用程序要求订阅 IT 风险管理第三方风险管理

说明

资产管理器应用程序不是管理资产的唯一方式。还可以使用资产库存应用程序管理资产,但资产管理器应用程序可提供更优质的用户体验,并缩短实现价值的时间。资产管理器应用程序也更适用于管理 IT 和第三方资产。

工作原理

在资产管理器应用程序中创建资产。

所有资产都是资产类型的实例。资产类型是一个类,定义了其资产的形式和行为:它们具有哪些属性,在其生命周期中经过哪些工作流,以及谁可以查看和处理它。

示例

场景

作为组织的第三方风险管理计划的一部分,您使用名为“第三方”的资产类型跟踪所有第三方资产。

组织想与名为 Slack 的新供应商开展业务,以满足内部通信需求。在此之前,您需要创建一个新的 Slack 资产,并将其置于正常的第三方风险评估流程中。

流程

  1. 导航到“第三方”资产类型。
  2. 创建一个名为 Slack 的新资源。
  3. 在第三方资产工作流中移动 Slack。
    1. 通过输入有关 Slack 的关键详细信息来注册和分类资产,例如供应商的所有者、风险经理、风险类型、简要描述以及重要性级别。
    2. 手动输入或通过分发风险评估并允许 Diligent One 计算评估分数来评估 Slack 的风险。
    3. 激活 Slack。

结果

已创建、注册、分类和评估您的 Slack 资产。它被标记为激活,可以进行采购。可以定期重新评估 Slack,如果组织将来停止使用它,可以将其存档。

创建、更新和删除资产类型

作为您解决方案的一部分,我们提供资产类型。您不能自己创建、更新或删除资产类型,但可以联系我们的咨询团队来定制您的环境。

管理资产类型与框架中的风险类别之间的关联

管理资产类型与框架中的风险类别之间的关联。然后,您可以在项目中使用这些关联,以便在这些资产的上下文中评估风险和控制。

说明

界面术语均可自定义,而且字段和选项卡均可配置。在 Diligent One 中的其他位置,风险类别的术语可能会有所不同。

  1. 打开框架应用程序
  2. 打开要将资产类型关联到的框架。
  3. 评估选项卡上,导航到风险类别的记录选项卡。
  4. 关联的资产类型下,单击管理关联
  5. 管理资产类型关联面板中,选择或取消选择资产类型以创建或移除它们与该框架之间的关联。
  6. 单击保存

结果 现在可以使用框架中的资产类型关联创建项目。如果需要,可以在项目级别添加其他关联。

将风险类别从框架导入到项目中

在将风险类别与框架中的资产类型关联后,您可以将这些风险类别导入到项目中。

说明

界面术语均可自定义,而且字段和选项卡均可配置。在 Diligent One 中的其他位置,风险类别的术语可能会有所不同。

  1. 从启动面板主页 (www.highbond.com) 中,选择项目应用程序以将其打开。

    如果您已经进入 Diligent One,可以使用左侧导航菜单切换到项目应用程序。

    项目主页打开。

  2. 打开要导入目标的项目。

    项目仪表盘打开。

  3. 单击评估选项卡。
  4. 单击导入风险类别
  5. 在您希望从中导出风险类别的框架列表中,选择相应的框架。
  6. 选择要导入的风险类别。
  7. 单击导入

    结果 Diligent One 导入您选定的风险类别。

有关详细信息,请参阅克隆和导入目标

管理资产与项目中的风险类别之间的关联

在将资产类型与框架中的风险类别相关联后,可以将这些风险类别导入到项目中。然后,在该项目中,您可以从与这些风险类别关联的资产类型中选择单个资产,然后缓解与您的项目中的那些资产关联的风险。

说明

界面术语均可自定义,而且字段和选项卡均可配置。在 Diligent One 中的其他位置,风险类别的术语可能会有所不同。

将资产与项目关联

在资产和风险类别之间创建关联,以便可以缓解与您的项目中的那些资产关联的风险。

  1. 打开要与资产关联的项目,然后单击范围界定和 BIA 选项卡。
  2. 范围选项卡上,单击确定资产范围
  3. 确定资产范围窗口中,选择资产类型,然后单击继续
  4. 可选。通过按属性类型过滤来缩小资产列表的范围。
    1. 单击过滤。在过滤器侧面板中,使用在资产库存中具有下拉列表输入的任何属性类型创建一个或多个过滤器。
    2. 单击应用。Diligent One 会过滤掉不符合条件的资产。
  5. 选择要与项目关联的资产,然后单击继续
  6. 选择要与您的项目关联的风险类别,然后单击继续
  7. 审核并最终确定选定的资产和风险类别。您可以返回并进行更改,或者单击保存并确定资产范围以继续使用选定的关联。

在将资产与您的项目关联后,可以单击资产名称以查看有关资产的详细信息,或者从您的项目中移除该关联。您还可以单击资产详细信息面板中的资产名称,导航到资产管理器应用程序中的资产。

移除资产与风险类别之间的关联

如果不再需要某些资产,或者如果这些资产被与风险类别意外关联,则可以移除这些资产与风险类别之间的关联。通过移除这些关联,可以将相应的资产从项目范围中移除。

  1. 打开您想要从中移除关联资产的项目,然后单击范围界定和 BIA 选项卡。
  2. 范围选项卡上,导航到与您想要移除的资产关联的资产类型,然后单击展开图标
  3. 单击您想要移除的资产的名称。
  4. 在出现的资产详情面板中,单击移除资产
  5. 在出现的确认消息中,单击移除资产
  6. 对于您想要从您的项目中移除的任何剩余资产关联,请重复执行步骤 1-5。

结果 您从您的项目中移除了所需资产和风险类别之间的关联。

创建资产

将资产添加到资产管理器应用程序中,以便存储和收集相关信息,评估其附带的风险,并采取措施减轻这些风险。

  1. 打开资产管理器应用程序
  2. 单击要添加的资产所属的资产类型。
  3. 单击 +添加[资产类型]
  4. 添加[资产类型]面板中,输入新资产的名称。
  5. 输入其他必要的详细信息,然后单击以下选项之一:
    • 添加资产,以保存资产并关闭面板。
    • 保存并添加新资产,以保存当前资产,并添加其他资产。

结果 您的资产已创建。可以通过将其转换到另一个状态开始在其生命周期中移动它。

更新资产详细信息

可以更新与资产关联的数据,以在资产发生变化时反映新信息。

  1. 打开资产管理器应用程序
  2. 所有资产类型下,单击您要选择的资产类型。
  3. 在包含资产详细信息的表中,单击要编辑的资产的名称。如果拥有大量资产,则可以通过搜索、排序和过滤来找到适当的资产。
  4. 详细信息选项卡中,进行必要的更改,然后单击保存更改
  5. 可选。如果资产的状态也已更改,则可以将其转换为其他状态

添加或更改资产所有者

要添加或更新资产所有者,请执行下述步骤:

  1. 打开资产管理器应用程序

    资产管理器主页随即打开。

  2. 所有资产类型下,单击您要选择的资产类型。
  3. 在资产列表中,单击您要选择的资产的名称。如果拥有大量资产,则可以通过搜索、排序和过滤来找到适当的资产。
  4. 详细信息选项卡中,找到并单击要添加或更改的所有者字段。例如:业务负责人和技术负责人等。
  5. 从下拉列表中选择一个用户,然后单击保存更改

    结果 将资产分配给选定的用户,并向该指定用户发送一封电子邮件通知。

将资产转换为其他状态

将资产转换到另一个状态是资产在其生命周期中移动的方式。根据资产类型使用的工作流,在转换过程中可能会执行不同的操作。例如,Diligent One 可能会检查必填字段是否包含数据,也可能会触发调查问卷以获取有关资产的更多信息。

  1. 打开资产管理器应用程序
  2. 导航到要转换的资产的资产类型。
  3. 在包含资产详细信息的表中,单击要转换的资产的名称。如果拥有大量资产,则可以通过搜索、排序和过滤来找到适当的资产。
  4. 单击右上角的按钮,可转换资产的状态。这会将资产转换到所选状态。

    5. 说明

    不同的状态转换可能需要不同的条件,例如已填充某些属性字段;或者它们可能会触发事件,例如发送调查问卷以收集不完整的信息。如果将资产转换到另一个状态时遇到问题,请联系系统管理员或您的 Diligent 代表寻求帮助。

将资产与其他资产、风险或控制措施关联起来

您可以在资产与其他资产、风险和控制措施之间创建自定义关系。有关详细信息,请参阅在资产管理器中管理关系

用调查问卷评估资产

您可以通过向用户发送调查问卷来评估资产。有关详细信息,请参阅在资产管理器中管理调查问卷

查看来自 Tenable 的已链接分散资产

可以按照以下步骤查看链接到汇总资产的分散资产:

说明

在查看之前,请确保已将分散资产链接到汇总资产。有关链接的信息,请参阅将分散资产链接到汇总资产

  1. 打开资产管理器应用程序
  2. 选择包含要查看的资产的资产类型。
  3. 选择要查看的资产,然后选择分散资产

    结果 随即显示已链接的分散资产。每个分散资产都包含有关资产、关联发现和 CVE 的详情。您可以选择显示发现以转到发现选项卡,也可以选择显示 CVE 以查看相关的 CVE。

查看来自 Tenable 的漏洞

按照以下步骤查看与资产关联的漏洞(CVE 和发现):

说明

在查看 CVE 之前,请确保您已从 Tenable 导入数据,并已将分散资产链接到汇总资产。有关详细信息,请参阅将 Tenable 数据导入资产管理器将分散资产链接到汇总资产

  1. 打开资产管理器应用程序
  2. 选择包含要查看的资产的资产类型。
  3. 选择要查看的资产,然后选择漏洞
  4. 选择 CVE发现以查看相应的项。

    结果 随即显示已链接的项。您可以在 CVE 中单击 CVE 以查看其在国家漏洞数据库中的详情,您还可以单击显示发现以转到发现选项卡。您可以在发现中选择显示 CVE,以查看关联的 CVE。

删除资产

可以永久删除资产。一般来说,除非错误地创建了资产,否则最好在其正常的生命周期中进行状态转换

注意

删除资产无法撤消。这也会永久删除所有相关联的工作,包括其资产配置文件以及所有相关评估或相关发现。在删除资产之前,请确保您不需要这些数据。

  1. 打开资产管理器应用程序
  2. 单击要删除的资产所属的资产类型。
  3. 在包含资产详细信息的表中,单击要删除的资产名称。
  4. 在该资产的页面上,单击 ,然后单击删除。会出现一个对话框提示,其中包含一则请求确认的警告消息。
  5. 单击删除确认。资产及其关联的工作均会删除。