Elke organisatie heeft en verwerkt informatie. Om deze informatie op adequate wijze te beveiligen, moet je in eerste instantie weten en begrijpen wat een informatieasset is en hoe je informatie hierin past. Het is ondoenbaar om elk bestand, document, gegeven in een database of in een toepassing te analyseren om in te schatten welke beveiligingsnoden er zijn. Je moet je informatie groeperen in beheersbare porties: informatieassets.
Een informatieasset is een specifieke verzameling van informatie (bijvoorbeeld een bedrijfsproces, dienst of product) die waarde heeft voor de organisatie of het individu en die gedeeld of vastgelegd kan worden in elke vorm, zoals fysiek of digitaal.
Een informatieasset wordt geïdentificeerd en behandeld als een eenheid die kan worden beveiligd, gedeeld en uitgebaat. Het niveau van granulariteit om tot die eenheid te komen is belangrijk: te generiek en je hebt onvoldoende detail, te specifiek en je hebt onmogelijk veel informatieassets. Deze granulariteit verschilt van organisatie tot organisatie. Het is belangrijk om te focussen op het doel of de functie van de informatieasset, en de onderliggende toepassingen en technologieën in (bijvoorbeeld servers, netwerk, …) eerste instantie te negeren.
Ter verduidelijking van het onderwerp informatieassets, heeft het Team Informatieveiligheid een handreiking ontwikkeld: Handreiking informatieassets