یكی از حوزه های تمركز امنیت اطلاعات در زمینه امنیت اموال است. اموال بخشی از تجهیزات و منابع در اختیار سازمان هستند كه سازمان برای انجام عملیات خود از آنها بهره می گیرد. به دلیل اینكه سازمان در انجام عملیات خود به اموال وابسته است و همچنین اموال در سازمان دارای ارزش می باشند، محافظت از آنها ضروری است.
در سازمانها اموال تنها اموال فیزیكی نیستند بلكه تمامی منابع اطلاعاتی سازمان از جمله دادهها، سیستمها و اجزای زیرساختی نیز در زمره اموال محسوب میشوند. آسیبپذیری اموال غیرفیزیكی و ناملموس حتی نسبت به اموال ملموس نیز بالاتر است.
در حوزه مدیریت امنیت اموال طبقهبندی اموال و اطلاعات بسیار حائز اهمیت است. تمامی اموال سازمان از لحاظ امنیت دارای اهمیت یكسان نیستند. حفظ امنیت تمامی اموال نیازمند سرمایهگذاری گسترده است از این رو باید اموالی كه دارای ارزش بالاتر بوده شناسایی شده و ساز و كارهای خاصی برای حفظ امنیت آنها به كار گرفته شود. اهمیت اموال می تواند براساس معیارهای مختلفی از جمله میزان حساسیت آنها در كسب و كار سازمان و وابستگی عملیات سازمان بدان ها ارزیابی و تعیین شود. به عبارت دیگر اموالی كه موفقیت عملیات سازمان در گرو آنها است در زمره اموال حیاتی سازمان بوده و ضروری است تا ساز و كارهای كنترلی بیشتری برای حفاظت از آنها به كار گرفه شود
در بحث اموال موضوع مالكیت نیز مطرح میشود. در صورتی میتوان امنیت اموال را به نحوی موثر تضمین نمود كه مالك مشخص با مسئولیتها و پاسخگوییهای شفاف برای هریك از اموال خصوصاً اموال كلیدی و حیاتی سازمان تعیین گردد. هر یك از اموال سازمان باید دارای مالك مشخصی باشد. این فرد مال مورد نظر را در اختیار گرفته و محافظت از مال و حصول اطمینان از بكارگیری ساز و كارهای حفاظتی نیز بر عهده وی است. فرد همچنین در زمینه باید در قبال بهره برداری و محافظت از مال نیز پاسخگو باشد. مالكیت و سرپرستی در خصوص اموال فیزیكی در سازمان ها به صورت یك نظام رسمی استقرار یافته است. لیكن در خصوص اموال غیرملموس مانند داده ها هنوز چنین نظامی در بسیاری از سازمان ها عملیاتی نشده است. همانطور كه اشاره شد اهمیت اموال غیرملموس از اموال ملموس كمتر نیست از این رو ضروری است تا موضوع مالكیت و سرپرستی داده ها نیز در سازمان ها مورد توجه جدی قرار گیرد تا فرد یا نقش مشخصی مسئولیت نگهداری از یك گروه مشخص از داده ها را بر عهده گیرد. این موضوع در مقوله حاكمیت داده دنبال می شود. یكی از ابعاد كلیدی حاكمیت داده مشخص بودن مسئولیت ها و پاسخگویی ها در خصوص داده ها است.
اموال همچنین باید تحت كنترل باشند. اولین قدم در كنترل اموال شناسایی و ثبت آنها است. اموال باید كدگذاری و شناسهگذاری شوند. به صورت فیزیكی و مجازی انبارش شده و مورد كنترلهای مستمر طی چرخه عمرشان قرار گیرند. كنترلهای امنیت اطلاعات باید در تمامی مراحل چرخه عمر اموال تعریف و اجرایی شوند. در این حوزه موضوعات اصلی زیر مطرح میشوند:
- طبقهبندی اموال و اطلاعات
- مالكیت از جمله مالكیت داده و مالكیت سیستم
- محافظت از محرمانگی
- نگهداشت مطلوب
- كنترلهای امنیت داده
- الزامات بهرهبرداری مانند شمارهگذاری، برچسبزنی، اموالداری و انبارش