基礎(chǔ)要點(diǎn)

目的：最大化價(jià)值，控制成本，管理風(fēng)險(xiǎn)，支持資產(chǎn)購(gòu)買(mǎi)、重用、退役等處置決策，以及滿(mǎn)足合規(guī)。

范圍包括：軟件、硬件、網(wǎng)絡(luò)、云服務(wù)、客戶(hù)端設(shè)備以及建筑物或信息之類(lèi)的非IT資產(chǎn)。

通過(guò)準(zhǔn)確的庫(kù)存信息和良好的接口，提高資產(chǎn)的可視性，優(yōu)化資源的使用。

標(biāo)記硬件資產(chǎn)，及時(shí)擦除或粉碎磁盤(pán)驅(qū)動(dòng)器，保留購(gòu)買(mǎi)證明，按需新建或刪除云實(shí)例，按需引入變更資產(chǎn)狀態(tài)的相關(guān)流程。

組建IT 資產(chǎn)管理團(tuán)隊(duì)，以及配置管理系統(tǒng)（CMS）。

解讀

如今，隨著各個(gè)企業(yè)對(duì)內(nèi)和對(duì)外信息化建設(shè)腳步日益加快，它們?cè)絹?lái)越依賴(lài)，并得益于IT 資產(chǎn)的合理化管理。從概念上說(shuō)，IT 資產(chǎn)的管理，與后面將要討論到的服務(wù)配置管理還是有著細(xì)微的差別：

1.IT 資產(chǎn)管理

更偏向于以某個(gè)資產(chǎn)為原點(diǎn)，表征它在企業(yè)當(dāng)前環(huán)境中的靜態(tài)特征。

2.服務(wù)配置管理

偏向于建立系統(tǒng)或服務(wù)的整體基線，持續(xù)跟蹤內(nèi)/外部不同服務(wù)之間的動(dòng)態(tài)關(guān)系與狀態(tài)。

在企業(yè)中，無(wú)論是看得見(jiàn)的硬件與介質(zhì)，還是看不見(jiàn)的軟件與文檔，我們都需要對(duì)它們的生命周期予以記錄、跟蹤和梳理。通過(guò)管理，我們要確保掌握資產(chǎn)的如下特性：

（1）完整權(quán)威

對(duì)于實(shí)體設(shè)備而言，其生命周期通常是：

采購(gòu)、入庫(kù)、申領(lǐng)、出庫(kù)、安裝、配置、上線、維護(hù)、盤(pán)點(diǎn)、升級(jí)/變更、下線、入庫(kù)以及報(bào)廢。

而對(duì)于虛擬服務(wù)而言，其生命周期通常為：

購(gòu)置、配置、上線、維護(hù)、統(tǒng)計(jì)、升級(jí)/變更以及下線等過(guò)程。

因此，對(duì)于每一個(gè)環(huán)節(jié)而言，我們都應(yīng)當(dāng)盡量完整地采集，并如實(shí)記錄目標(biāo)資產(chǎn)的相關(guān)信息，這些都能夠?yàn)楣芸剡^(guò)程提供權(quán)威性的參考資料。

（2）實(shí)時(shí)準(zhǔn)確

其實(shí)許多企業(yè)并不是缺乏原始的IT 資產(chǎn)記錄，而是由于他們?nèi)酝Ａ粼趥鹘y(tǒng)的電子表格管理方式。因此在日常運(yùn)維中，資產(chǎn)管理人員鮮少，甚至并不對(duì)各種現(xiàn)有的記錄項(xiàng)予以更新，而真正到了需要的時(shí)候，才發(fā)現(xiàn)這些信息不但陳舊滯后、且不具參考性，這就失去了管理的真正意義。

（3）可視重用

通過(guò)對(duì)各類(lèi)資產(chǎn)的購(gòu)置時(shí)間、購(gòu)買(mǎi)價(jià)格、折舊年限、折舊方法、使用狀態(tài)、以及邏輯方位的記錄與盤(pán)點(diǎn)，我們能夠“可視化”地掌握IT 資源的配給狀況，進(jìn)而達(dá)到并實(shí)現(xiàn)如下管理目標(biāo)：

按需調(diào)配，優(yōu)化資源，提高IT 生產(chǎn)率和服務(wù)水平；

節(jié)約并降低成本開(kāi)支，實(shí)現(xiàn)ROI；

滿(mǎn)足合規(guī)，降低風(fēng)險(xiǎn)，提高使用的透明度；

為變更管理提供基線，為事故響應(yīng)提供依據(jù)；

實(shí)現(xiàn)資產(chǎn)的復(fù)用，讓好鋼用在刀刃上；

為采購(gòu)和決策提供有效且最新的參考標(biāo)準(zhǔn)。

實(shí)務(wù)

在實(shí)際的運(yùn)維過(guò)程中，筆者單位采用了RFID 以及二維碼技術(shù)，運(yùn)用“自動(dòng)發(fā)現(xiàn)+人工輸入+二次審核”的循環(huán)流程，對(duì)現(xiàn)有IT 資產(chǎn)進(jìn)行持續(xù)標(biāo)記與采集。

同時(shí)，在結(jié)合了各類(lèi)資產(chǎn)管理工具所提供的制表、建庫(kù)等功能的基礎(chǔ)上，我們實(shí)踐了動(dòng)靜結(jié)合的管理方式。其中包括如下要點(diǎn)：

在前期分類(lèi)上，我們參照ISO27001 里提到的安全分類(lèi)方法，將本企業(yè)現(xiàn)有IT 資產(chǎn)分為如表1 所示類(lèi)別。

值得一提的是：為了讓分類(lèi)表之間具有相互聯(lián)系和參考性，無(wú)論是硬件設(shè)備還是軟件服務(wù)，我們重點(diǎn)標(biāo)注了當(dāng)前的具體組件配置參數(shù)、兼容性以及所關(guān)聯(lián)的合同狀態(tài)與支持信息。

表1 筆者單位IT 資產(chǎn)類(lèi)別

表2 資產(chǎn)編號(hào)規(guī)則

在屬性量化上，我們對(duì)資產(chǎn)項(xiàng)采取了通用且統(tǒng)一的命名編號(hào)規(guī)則，如表2 所示。

為了方便日常運(yùn)營(yíng)中的風(fēng)險(xiǎn)與變更管理，我們從機(jī)密性、完整性和可用性缺失，可能給企業(yè)帶來(lái)影響的角度出發(fā)，根據(jù)信息安全的經(jīng)典理論，對(duì)每一項(xiàng)IT 資產(chǎn)都分配了C、I、A 三個(gè)維度的數(shù)值，然后基于如下的公式，通過(guò)計(jì)算得出并賦予相應(yīng)的資產(chǎn)值（V）：

同時(shí)，財(cái)務(wù)/行政部門(mén)也可以通過(guò)參考這些軟/硬件資產(chǎn)值，以獲悉保證IT 環(huán)境日常運(yùn)轉(zhuǎn)所需的各種服務(wù)的費(fèi)用與支出。

在邏輯關(guān)聯(lián)上，除了錄入IT 資產(chǎn)本身的各種信息之外，我們還對(duì)它們其所隸屬的部門(mén)、項(xiàng)目組等屬主類(lèi)元信息（Metadata），進(jìn)行了不同數(shù)據(jù)表之間的關(guān)聯(lián)。這樣我們便能夠以網(wǎng)絡(luò)的形式，從點(diǎn)到面輻射開(kāi)來(lái)，以方便在后期運(yùn)維時(shí)能夠迅速掌握全面的數(shù)據(jù)。

在后期處置上，當(dāng)某臺(tái)設(shè)備的使用服役期結(jié)束后，我們通過(guò)指派專(zhuān)門(mén)的設(shè)備管理員和操作流程，及時(shí)清理介質(zhì)中的數(shù)據(jù)殘留，以免留下數(shù)據(jù)泄漏的安全隱患。

表3 針對(duì)不同類(lèi)型數(shù)據(jù)的處置方式

在實(shí)踐中，筆者單位針對(duì)不同類(lèi)型的數(shù)據(jù)殘留，采取了如表3 所示的不同的處置方式。

其實(shí)，筆者單位對(duì)于IT資產(chǎn)的管理目標(biāo)，就是要在保持實(shí)時(shí)性與準(zhǔn)確性的基礎(chǔ)上，使之產(chǎn)生積極的“馬太效應(yīng)”，讓IT 部門(mén)的服務(wù)質(zhì)量和所耗費(fèi)的成本，在這種正循環(huán)的過(guò)程中達(dá)到“一升一降”的效果。