Los activos son recursos del sistema de información o relacionados con él, necesarios  para el correcto funcionamiento de la organización.  Los activos pueden estructurarse en cinco categorías:

1. El entorno del sistema de información (energía, climatización personal, edificio, mobiliario).

2. El sistema de información (hardware, redes propias, software básico, aplicaciones).

3. La propia información.

4. Funcionalidades de la organización

5. Otros activos (imagen, objetivos, servicios producidos, credibilidad ...).

En los siguientes ejemplos podremos ver que tipos de activo considera cada uno de los cinco niveles del dominio:

1. Activos relacionados con el nivel del Entorno
- Equipamientos y suministros (energía, climatización, comunicaciones)
- Personal (de dirección, de operación, de desarrollo, otro)
- Otros tangibles (edificaciones, mobiliario, instalación física)

2. Activos relacionados con el nivel de los Sistemas de Información

- Hardware (de proceso, de almacenamiento, de interfaz, servidores,  otros)
- Software (de base, paquetes, producción de aplicaciones, modificación de firmware)
- Comunicaciones (redes propias, servicios, componentes de conexión, etc.) 

3. Activos relacionados con el nivel de la Información

- Datos (informatizados, concurrentes al o resultantes del Sistema de Información)
- Meta-información (estructuración, formatos, códigos, claves de cifrado)
- Soportes (tratables informáticamente, no tratables)

4. Activos relacionados con el nivel de las Funcionalidades de la organización

- Objetivos y misión de la organización
- Bienes y servicios producidos
- Personal usuario y/o destinatario de los bienes o servicios producidos

5. Otros Activos no relacionados con los niveles anteriores

- Credibilidad (ética, jurídica, etc. ) o buena imagen de una persona jurídica o física
- Conocimiento acumulado
- Independencia de criterio de actuación
- Intimidad de una persona física
- Integridad material de las personas, etc.

Además de identificar e inventariar los activos en cada uno de los anteriores niveles, deberemos fijar el estado de seguridad de cada activo en función de los siguientes atributos:
· Autenticación en comunicación de activos del dominio

El atributo tendrá los niveles bajo, normal, alto o crítico en función del nivel requerido.
· Confidencialidad de la información del activo

- Libre, sin restricciones en su difusión
- Restringida, con restricciones normales
- Protegida, con restricciones altas
- Confidencial, no difundible por su carácter crítico

· Integridad del activo. Facilidad mayor o menor de reobtener el activo con calidad suficiente.
- Bajo, si se puede reemplazar fácilmente con un activo de igual calidad
- Normal, se se puede reemplazar con un activo de calidad semejante con una  molestia razonable
- Alto, si la calidad necesaria es reconstruible difícil y costosamente
- Crítico, si no puede volver a obtenerse una calidad semejante

· Disponibilidad del activo. Tiempo máximo de carencia del activo sin que las consecuencias o impactos sean graves para la organización.
- Menos de una hora, considerado como fácilmente recuperable.
- Hasta un día laborable contando para la recuperación con ayuda telefónica de especialistas externos o de reposición con existencia local
- Hasta una semana contando para la recuperación con ayuda presencial de especialistas externos.
- Más de una semana, considerado como interrupción catastrófica.

Estos niveles pueden ser adaptados en función del dominio.

Una vez inventariados los activos, deberemos proceder a su valoración económica. Deberá encontrarse el valor económico del activo si este tuviera que reponerse y el coste de su regeneración tras un impacto.