پس از تعیین نقش‌ها و مسئولیت‌ها در گام اول مدیریت آسیب‌پذیری نوبت به تهیه فهرست دارایی‌ها (asset) می‌رسه

در این گام شما مشخص می‌کنید که چه دارید و از همه مهم‌تر مشخص می‌کنید که چه باید امن شود و سپس به نحوه‌ی چگونگی امن کردن آن می‌پردازید. شاید در وحله‌ی اول آن را فعالیتی ساده تلقی کنید اما برعکس می‌تواند عملی عظیم برای بسیاری از سازمان‌ها باشد[۱]. معمولا داده‌های مهم در مکان‌های پراکنده‌ای از شبکه‌ی سازمان قرار دارند و شبکه به صورت نامناسب و مستند نشده رشد می‌کند که می‌تواند به این سختی بیافزارد.

در مبحث آسیب‌پذیری، دانستن تنوع سکوها و بسترها و نرم‌افزارهای نصب شده در سازمان از اهمیت خاصی برخوردار است. این روش تنها راهی است که در صورت کشف آسیب‌پذیری جدید، می‌توانید تعیین کنید که شامل شبکه و دارایی‌های شما می‌شود یا خیر.

یک فهرست و مستند کامل شامل تمامی سیستم‌های عامل، برنامه‌های کاربردی، سخت‌افزارها، میان‌افزارهای[۲] شبکه می‌شود. این اطلاعات باید حاوی نسخه، وصله‌ها یا بروزرسانی‌های اعمال شده باشد. برای مثال اگر زمانی آسیب‌پذیری برای آپاچی وب‌سرور ۱٫۳ کشف شود اولا شما می‌دانید که چه نسخه‌ای از ان را روی شبکه خود دارید و ثانیا آیا لازم هست که اقدامی صورت پذیرد یا خیر. در زیر گام‌های لازم برای مدیریت دارایی‌ها بیان شده است:

  • شناسایی تمامی دارایی‌ها، پیکربندی‌ها، نسخه‌ها، نرم‌افزارها و وصله‌ها
  • بروزرسانی این اطلاعات در طول چرخه‌ی حیات هر دارایی از زمان خرید تا زمان خروج از چرخه
  • شناسایی و تعیین فردی مشخص به عنوان مسئول مدیریت دارایی


[۱] باید مستندی در این رابطه جهت تعیین حجم و نحوه ارزیابی این فعالیت تهیه شود

[۲] Firmware