El inventario debe cubrir todo el dominio de seguridad del responsable de la seguridad del sistema de información, hasta alcanzar los puntos de interconexión y los servicios prestados por terceros. La granularidad debe ser suficiente para cubrir las necesidades de reporte de incidentes y para hacer un seguimiento, tanto formal (auditorías) como reactivo en el proceso de gestión de incidentes.
Identificación del activo: fabricante, modelo, número de serie
Configuración del activo: perfil, política, software instalado
Software instalado: fabricante, producto, versión y parches aplicados
Equipamiento de red: MAC, IP asignada (o rango)
Ubicación del activo: ¿dónde está?
Propiedad del activo: persona responsable del mismo