12月
2016
列个清单,检查两遍
作者:Sandra Nunn, MA, RHIA, CHP
郑重声明
第二十八卷第十二页
对信息资产进行盘点可以帮助医疗保健组织使其内部井井有条。
与任何其他管理计划一样,信息资产清单项目必须设置明确的目标,并仔细定义其范围,以确保有足够的资源来完成工作。在这种情况下,理解什么是信息资产清单和什么不是信息资产清单是很重要的。
它不是什么
要进行有效的信息资产盘点,重要的是要了解它不是什么。信息管理专业人员熟悉术语信息管理,定义如下个人电脑杂志作为“将信息作为组织资源进行分析的学科”。它涵盖了组织内所有数据和信息的定义、使用、价值和分布,无论这些数据和信息是否由计算机处理。它评估组织有效运作和进步所需的各种数据/信息。”
同样,IT也有自己的一套定义。IT资产管理可以定义为一组业务实践,这些业务实践与财务、契约和库存功能一起,支持IT环境的生命周期管理和战略决策。资产可以包括作为业务环境方面的软件和硬件的任何元素。
IT资产被归类为在业务活动过程中使用的任何公司拥有的信息、系统或硬件。根据TechTarget.com的说法,IT资产管理过程通常包括“收集组织硬件和软件的详细清单,然后使用该信息做出与IT相关的购买和再分配的明智决策。”
数字资产管理是“组织、存储和检索富媒体以及管理数字权利和权限的业务流程”。富媒体资产包括照片、音乐、视频、动画、播客和其他多媒体内容。”值得注意的是,这些资产的价值比财产、设备、银行账户、股票和债券等领域的资产更难量化。信息资产的增值或贬值需要自己的衡量标准,而且不太可能由会计师来衡量,因此确定这些信息资产的增值或贬值更为复杂。
它是什么
对WhatIs网站的查询可以得到对信息资产的简单定义:“作为单个实体组织和管理的知识体系。”这个定义摆脱了将信息资产视为列表或Excel电子表格上的条目的旧视图。在这种典型场景中,由it指定的人员跟踪和报告购买、更新和销毁的硬件,同时维护所有软件应用程序的清单以及当前的许可遵从性文档。beplay最新备用网站计算IT中的资产是完整信息资产清单的一个子集。
今天的组织越来越多地执行信息资产清单,以实现以下目标:
•更全面地了解组织的财务价值;
•启用审计活动;
•为那些负责业务连续性和灾难恢复职能以及政策和程序的专业人员创建一个支持框架;
•建立信息领域的所有权、问责制和责任,包括财务、临床、人力资源和IT;
•建立信息保留和处理的支持框架;
•开发合规、法律服务和风险管理资源,以满足发现要beplay最新备用网站求;和
•通过信息安全管理系统(ISMS)符合ISO27K规定的信息安全要求。
维护当前的信息资产清单一直是良好的业务实践。然而,现在,遵从安全标准为cbeplay最新备用网站io提供了额外的激励和令人信服的理由来进行这样的清单。首席信息官认识到他们在HIPAA下的机密性、完整性和可用性责任,以及他们的其他遵从性职责,可能会实施ISMS,根据WhatIs的说法,ISMS“是一套系统地管理组织敏感数据的政策和程序”。beplay最新备用网站ISMS的目标是通过主动限制安全漏洞的影响,将风险降到最低,并确保业务连续性。”
ISO 27001,前身为ISO/IEC 27001:2005,是创建ISMS的技术中立规范。该标准包括对文件(包括清单)、内部审核、持续改进以及纠正和预防措施的建议。一个完整的ISMS框架包括确保在组织的风险管理过程中进行全面的法律、物理和技术控制的所有政策和程序。因此,信息资产清单包含所有硬件和软件资产(很难解释),以及管理它们的策略和过程,希望在内容管理系统中进行索引和更新。
信息资产清单实际上是实现ISMS信息安全功能的第一步。如果不考虑所有最关键的资产,并根据价值和敏感性建立每个资产所需的保护级别,就很难为公司资产制定足够的保护级别。在实现ISMS方面,信息资产清单应该快速地遵循企业安全策略的定义和范围文档的开发,这为信息管理人员提供了建立预算和创建项目计划的方法。
信息治理角色
即使组织没有开发信息治理(IG)策略,也可以进行信息资产清单。如上所述,可以开发信息资产清单以满足ISO 27001标准。然而,拥有IG计划的组织将在信息资产清单的开发中占有优势。这样的组织将开发人力和财政资源来执行清单。此外,成熟的IG组织可以创建知识工作者职位来维护和更新资产清单。AHIMA的信息治理工具包强调,组织需要在开展IG工作之前做好充分准备。一份信息资产清单可以处理许多亚洲卫生保健机构的筹备评估,包括:
•存在什么信息,它位于哪里?
•谁“拥有”源数据?哪个部门或功能区是主要所有者?
•如何保护信息?
信息资产清单还有助于开发组织信息资产领域的概要文件,确定存储方法(电子的、物理的),并确定资产可能需要保留多长时间、未来处置的类型以及谁是最合适的数据管理员。
AHIMA的IG工作还包括制定支持该倡议的广泛原则框架。AHIMA保健信息治理原则的业务需求规范是由AHIMA标准工作组创建的,该工作组是一个由HIM专业人员组成的多学科小组。
信息资产清单如何支持业务需求的示例包括:
•通过查询和访问不同系统的数据,识别、定位和检索支持组织正在进行的活动所需的信息;
•在多个电子和手动系统中不断扩展的数据量中搜索信息;
•整合来自不同电子系统的信息,包括内部和外部的组织的实际或虚拟位置;
•确保适当程度的保护,防止私人和重要信息的泄露、腐败和丢失;
•提供安全性、业务连续性和灾难恢复流程,以确保在故障或中断期间和之后继续运行和保护;和
•为计算和访问设备或包含机密信息或组织知识产权的任何设备提供物理保护。
信息资产盘点流程
IG小组有权对某些信息资产的重要性和价值作出决定。在医疗保健行业,确定哪些信息资产是最重要的要容易一些。例如,与病人护理有关的信息将胜过其他所有信息。但是,必须进行称重和排序过程,以确定组织的哪些部门将首先进行盘点。
信息资产分类方法可用于对资产进行加权。要回答的典型问题包括:
•信息资产的使用频率和用户数量?
•哪些是重要的信息资产主题?
•资产是什么时候创建的,它是否仍然相关?
•资产适合哪个领域?
•资产是否对安全和合规性至关重要?beplay最新备用网站
•资产对品牌有影响吗?
IG委员会可以创建此类考虑因素的网格,以便对信息资产进行分级和权衡。
信息资产可以分为多个类别。ISO 27001信息资产清单/登记文件建议分类方法,包括:
纯信息资产
•数字数据包括个人、金融、法律、研究和发展、战略和商业、电子邮件、语音邮件、数据库、个人和共享驱动器、备份磁带/ cd / dvd、数字档案和加密密钥。
•有形信息资产包括缩微胶卷、期刊和书籍。
•无形信息资产包括知识、商业关系、商业秘密、商标、积累的经验、一般知识、道德和生产力。
•应用软件包括内部/自定义编写的系统、客户端软件、数据库、软件实用程序和工具以及中间件。
•操作系统软件包括对服务器、台式机、大型机、网络设备、手持设备和嵌入式系统(包括BIOS和固件)的规定。
物理IT资产
•IT支持基础设施包括数据中心、服务器/机房、局域网/布线柜、媒体存储室、保险柜、人员识别和认证控制设备以及其他安全设备。
•IT环境控制包括火灾报警系统,灭火系统,不间断电源,电源和网络馈电,电源调节器/过滤器/瞬态抑制器,空调和水报警器。
•IT硬件包括计算和存储设备,如台式机、工作站、笔记本电脑、手持设备、服务器、大型机、调制解调器和线路终端。
•IT服务资产包括用户认证服务、超链接、防火墙、代理服务器、网络和无线服务、间谍软件和入侵检测/防御。
人力信息资产
•员工,包括员工和管理人员,特别是那些关键的知识管理角色;和
•nonemployees,包括临时工、外部顾问、专业承包商、供应商和商业伙伴。
新领域
管理智力资本资产对组织来说变得越来越重要,但是将它们纳入信息资产清单是一项挑战。因为智力资本资产存在于人、社区和组织中,它们的管理需要创造一种环境,在这种环境中,智力资本不断得到补充,并与当前用户的直接需求相关。根据信息科学专家丹尼斯·贝德福德博士的说法,智力资本资产——无形资产——要在5到40年内摊销。
为了清点和管理无形的智力资产,组织必须建立一个基线。然而,由于智力资本的价值从来不是稳定的,而且它的位置可以移动,这可能是一项艰巨的任务。因此,有必要对无形智力资产,包括可能存在于人们头脑中的隐性资产进行常规审计。
Daniel Andriessen博士提出的一个检验智力资本结构的模型,通常被认为是黄金标准。安德森将智力资本分为以下三个部分:
•人力资源包含隐性知识、创造组织优势的技能和促进实现组织目标的态度。
•结构性资产;比如政策和程序、流程和文化,都是最熟悉的。
•关系资本包括组织声誉和社会网络等资产。
管理注意事项
在创建信息资产清单时,必须考虑许多因素。策略和过程开发、信息资产生命周期、粒度级别和责任问题都必须考虑在内。其他可能的策略包括如何输入和删除信息资产。还必须权衡资产损失、篡改、低数据完整性和不当披露的风险。
应解决的其他问题包括:
•是否应该管理和保留信息资产的上下文,以保持资产本身的价值?
•引用其他资产的资产如何保持同步?
•资产如何分组?这包括电子表格、项目计划、电子邮件、图像,以及与项目相关的所有员工的访谈,以支持知识转移。
•资产将如何从一种媒介转换为另一种媒介?
•资产如何实时转移到遗留系统?
不可避免地,最复杂的考虑将伴随着对智力资本资产的更大管理,这是一个涉及到挖掘隐性知识并弄清楚如何将其转化为组织中其他人可以访问的形式的过程。
Sandra Nunn, MA, RHIA, CHP,特约编辑郑重声明也是新墨西哥州阿尔伯克基KAMC咨询公司的负责人。
