Um ativo, segundo a norma ISO/IEC 27002, é qualquer elemento que tenha valor para a organização. Os ativos fornecem suporte aos processos de negócios, portanto, devem ser protegidos. Um dos agrupamentos que os ativos podem assumir é informações, hardware, software, ambiente físico e pessoas.