基础要点

目的：最大化价值，控制成本，管理风险，支持资产购买、重用、退役等处置决策，以及满足合规。

范围包括：软件、硬件、网络、云服务、客户端设备以及建筑物或信息之类的非IT资产。

通过准确的库存信息和良好的接口，提高资产的可视性，优化资源的使用。

标记硬件资产，及时擦除或粉碎磁盘驱动器，保留购买证明，按需新建或删除云实例，按需引入变更资产状态的相关流程。

组建IT 资产管理团队，以及配置管理系统（CMS）。

解读

如今，随着各个企业对内和对外信息化建设脚步日益加快，它们越来越依赖，并得益于IT 资产的合理化管理。从概念上说，IT 资产的管理，与后面将要讨论到的服务配置管理还是有着细微的差别：

1.IT 资产管理

更偏向于以某个资产为原点，表征它在企业当前环境中的静态特征。

2.服务配置管理

偏向于建立系统或服务的整体基线，持续跟踪内/外部不同服务之间的动态关系与状态。

在企业中，无论是看得见的硬件与介质，还是看不见的软件与文档，我们都需要对它们的生命周期予以记录、跟踪和梳理。通过管理，我们要确保掌握资产的如下特性：

（1）完整权威

对于实体设备而言，其生命周期通常是：

采购、入库、申领、出库、安装、配置、上线、维护、盘点、升级/变更、下线、入库以及报废。

而对于虚拟服务而言，其生命周期通常为：

购置、配置、上线、维护、统计、升级/变更以及下线等过程。

因此，对于每一个环节而言，我们都应当尽量完整地采集，并如实记录目标资产的相关信息，这些都能够为管控过程提供权威性的参考资料。

（2）实时准确

其实许多企业并不是缺乏原始的IT 资产记录，而是由于他们仍停留在传统的电子表格管理方式。因此在日常运维中，资产管理人员鲜少，甚至并不对各种现有的记录项予以更新，而真正到了需要的时候，才发现这些信息不但陈旧滞后、且不具参考性，这就失去了管理的真正意义。

（3）可视重用

通过对各类资产的购置时间、购买价格、折旧年限、折旧方法、使用状态、以及逻辑方位的记录与盘点，我们能够“可视化”地掌握IT 资源的配给状况，进而达到并实现如下管理目标：

按需调配，优化资源，提高IT 生产率和服务水平；

节约并降低成本开支，实现ROI；

满足合规，降低风险，提高使用的透明度；

为变更管理提供基线，为事故响应提供依据；

实现资产的复用，让好钢用在刀刃上；

为采购和决策提供有效且最新的参考标准。

实务

在实际的运维过程中，笔者单位采用了RFID 以及二维码技术，运用“自动发现+人工输入+二次审核”的循环流程，对现有IT 资产进行持续标记与采集。

同时，在结合了各类资产管理工具所提供的制表、建库等功能的基础上，我们实践了动静结合的管理方式。其中包括如下要点：

在前期分类上，我们参照ISO27001 里提到的安全分类方法，将本企业现有IT 资产分为如表1 所示类别。

值得一提的是：为了让分类表之间具有相互联系和参考性，无论是硬件设备还是软件服务，我们重点标注了当前的具体组件配置参数、兼容性以及所关联的合同状态与支持信息。

表1 笔者单位IT 资产类别

表2 资产编号规则

在属性量化上，我们对资产项采取了通用且统一的命名编号规则，如表2 所示。

为了方便日常运营中的风险与变更管理，我们从机密性、完整性和可用性缺失，可能给企业带来影响的角度出发，根据信息安全的经典理论，对每一项IT 资产都分配了C、I、A 三个维度的数值，然后基于如下的公式，通过计算得出并赋予相应的资产值（V）：

同时，财务/行政部门也可以通过参考这些软/硬件资产值，以获悉保证IT 环境日常运转所需的各种服务的费用与支出。

在逻辑关联上，除了录入IT 资产本身的各种信息之外，我们还对它们其所隶属的部门、项目组等属主类元信息（Metadata），进行了不同数据表之间的关联。这样我们便能够以网络的形式，从点到面辐射开来，以方便在后期运维时能够迅速掌握全面的数据。

在后期处置上，当某台设备的使用服役期结束后，我们通过指派专门的设备管理员和操作流程，及时清理介质中的数据残留，以免留下数据泄漏的安全隐患。

表3 针对不同类型数据的处置方式

在实践中，笔者单位针对不同类型的数据残留，采取了如表3 所示的不同的处置方式。

其实，笔者单位对于IT资产的管理目标，就是要在保持实时性与准确性的基础上，使之产生积极的“马太效应”，让IT 部门的服务质量和所耗费的成本，在这种正循环的过程中达到“一升一降”的效果。