Organisaatio on kehittänyt tieto-omaisuudenhallintastrategian, joka sisältää kattavat ja säännöllisesti päivitettävät inventoinnit kaikesta fyysisestä, virtuaalisesta, etä- ja pilvipalveluun liitetystä omaisuudesta. Tieto-omaisuudenhallintastrategia kattaa myös ulkoisen omaisuuden, ja siinä hyödynnetään automatisoituja seurantatyökaluja tarkkuuden ja tietosuojamääräysten noudattamisen varmistamiseksi.

Riippuvuudet ulkoisista palveluista saattavat vaikuttaa organisaation riskienhallintaan ja kriittisiin valmiuksiin. Organisaation on tunnistettava ja ylläpidettävä luetteloa organisaation ulkoisista riippuvuuksista, mukaan lukien toimitilat, pilvipalvelujen tarjoajat ja mahdolliset kolmannen osapuolen palvelut.

Dokumentaation tulisi myös sisältää:

• Riippuvuuksien ja organisaation keskeisten omaisuuserien ja liiketoimintojen väliset suhteet
• Riippuvuudet, jotka muodostavat mahdollisia vikapisteitä kriittisille palveluille.

Varmistetaan, että asiaankuuluvalle henkilöstölle tiedotetaan näistä riippuvuuksista ja niihin liittyvistä riskeistä.

The organisation has identified and documented the dependencies between information assets.

In Cyberday, dependencies between elements are usually automatic, but the approach can be refined according to the organisation's own choices.

Tietoon ja tietojenkäsittelypalveluihin liittyvä suojattava omaisuus olisi luotteloitava. Tarkoituksena on varmistaa, että suojaus kattaa tarvittavan omaisuuden.

Luettelointia voidaan tehdä suoraan hallintajärjestelmässä, mutta organisaatiolla voi olla käytössä tietylle omaisuudelle (mm. koodivarastoille, tietokannoille, verkkolaitteille, mobiililaitteille, työasemille, palvelimille tai muulle fyysiselle omaisuudelle) muita, hyvin toimivia listauspaikkoja.

Kuvaa tässä tehtävässä, mitkä hallintajärjestelmän ulkopuoliset luettelot liittyvät suojattavan omaisuuden hallintaan.

Organisaation on määritettävä

• tietoturvallisuuden hallintajärjestelmän kannalta olennaiset sidosryhmät
• näiden sidosryhmien asettamat tietoturvallisuutta koskevat vaatimukset

Tietojärjestelmätoimittajia sekä henkilötietojen käsittelijöitä tarkastellaan muiden tehtävien kautta.

Organisaation on lueteltava kaikki asiaankuuluvat suojatut omaisuuserät omistusoikeuden määrittämiseksi ja sen varmistamiseksi, että turvatoimenpiteet kattavat kaikki tarvittavat kohteet.

Suuri osa suojatusta omaisuudesta (mukaan lukien tietojoukot, tietojärjestelmät, henkilöstö/yksiköt ja kumppanit) käsitellään muiden tehtävien kautta. Lisäksi organisaation on lueteltava muut tärkeät omaisuuserät, joita voivat olla toiminnan luonteesta riippuen esimerkiksi laitteisto (palvelimet, verkkolaitteet, työasemat, tulostimet) tai infrastruktuuri (kiinteistöt, sähköntuotanto, ilmastointi). Lisäksi organisaation on varmistettava, että asiaankuuluvat ulkoiset laitteet dokumentoidaan.