NIST Special Publication 800-53 Revision 5.2.0 Rev 5.2.0

组织可以选择在关键性分析、业务连续性规划或业务影响分析中识别关键资产。组织识别关键系统资产的目的是为了能够采用额外的控制措施（超出常规实施的控制措施），以帮助确保在应急操作期间，组织的使命和业务功能能够持续进行。关键信息资产的识别还促进了组织资源的优先分配。关键系统资产包括技术和运营方面。技术方面包括系统组件、信息技术服务、信息技术产品和机制。运营方面包括程序（即手动执行的操作）和人员（即（操作技术控制和/或执行手动程序的个人）。组织的项目保护计划可以帮助识别关键资产。如果关键资产存在于外部服务提供商处或由其支持，组织应考虑将 CP-2(7) 作为控制增强措施实施。