信息资产是具有价值的资源或者信息，它以多种形式存在，包括有形的和无形的服务名誉等。风险评估中的资产价值应包括资产的经济价值及资产在机密性、完整性和有用性三个安全属性上的程度或者安全属性未达成时所造成的影响程度来决定。不同等级的安全属性将使资产的价值相差甚远，而资产的脆弱性，面临着的威胁以及所使用的安全措施都将极大影响资产安全属性的等级。为此，有必要对组织中的资产进行识别，且应清晰地识别所有的资产，特别是划入风险评估范围和边界的所有资产都应被确认和评估。在实际环境中，信息系统是非常复杂的，划分了大量的子系统、应用以及模块，还包括了各种元素。对资产的划分如果不够细致，风险评估的工作就意义不大，获得的安全等级、安全建议及技术方案等都不够准确。在资产识别过程中，除了对资产进行合理分类之外，还应体现出资产之间的关联和层次。
1.资产识别的工作内容
信息资产是信息系统的主要构成部分，不同信息资产因功能的不同其重要程度也不同。因此，对信息资产需要合理分类，做安全需求方面的分析，从而确定资产的重 要程度。
2.评估范围内的业务识别
在一个企业中，各个部门因业务不同在企业的整体经营中的重要程度也不同，因此，要将企业各项业务赋值一个重要性级别，方便评估报告里的分析和对比。
3.资产的识别与分类
每个类别的资产都具有一定的安全属性；同一资产类别中的不同资产之间安全属性的差别是将每个资产类别进一步划分为多个信息资产子类的依据。
4.安全需求识别
安全需求识别的主要工作为按资产类别在业务或应用系统中的位置及作用分析资产类别在机密性（C）、完整性（I）和可用性（A）三个方面的要求。在进行安全需求分析时，需要考虑来自资产识别小组及被评估组织的参与人员的意见。
5.资产的重要性识别
得到详细的资产清单后，组织应该对每项资产进行评价。
信息安全风险评估中资产的价值不是以资产的经济价值来衡量，而是以资产的保密性、完整性和可用性三个安全属性为基础进行衡量。资产在保密性、完整性和可用性三个属性的要求不同，则资产的最终价值也不同。
（1）机密性赋值：资产对机密性的不同要求把机密性划分成五个不同的等级，每个等级决定了资产的机密性程度或者机密性缺失的负面影响。
（2）完整性赋值：资产对完整性的不同要求把完整性划分成五个不同的等级，每个等级决定了资产的完整性程度或者完整性缺失的负面影响。
（3）可用性赋值：资产对可用性的不同要求把可用性划分成五个不同的等级，每个等级决定了资产的可用性程度或者可用性缺失的负面影响。
综合评定资产的机密性、完整性和可用性的赋值等级，得出资产价值。综合评定方法结合自身的特点，比较资产机密性、完整性和可用性三大属性，得出最为重要的一个属性的赋值等级，最终赋值给资产；也可以对资产机密性、完整性和可用性三大属性的不同等级进行加权计算，最终赋值给资产。加权方法可结合组织的业务特点自行确定。为对应上述安全属性的赋值，按最终赋值结果划分资产为五个等级，资产的重要性随等级变动，也可以综合组织的实际情况得到资产识别中的赋值依据和等级。