ISO27001:2013信息安全控制實(shí)用守則之資產(chǎn)管理
8.1 對資產(chǎn)負(fù)責(zé)
控制措施
實(shí)施指南
其它信息
控制措施
實(shí)施指南
資產(chǎn)所有人應(yīng):
b) 確保資產(chǎn)被適當(dāng)?shù)姆诸悾⒈槐Wo(hù);
d) 確保當(dāng)資產(chǎn)被刪除或破壞時適當(dāng)?shù)牟僮鳌?/span>
確定所有人可以是一個個人或一個被批準(zhǔn)控制資產(chǎn)整個生命周期的管理責(zé)任實(shí)體�。確定所有人對資產(chǎn)的任何財(cái)產(chǎn)權(quán)不是必需的�����。日常任務(wù)可以委派,例如委派給一個管理人員每天照看資產(chǎn)��,但所有人仍保留職責(zé)����。在復(fù)雜的信息系統(tǒng)中,委派一組一起來提供特定服務(wù)的資產(chǎn)可能是有用的��。在這種情況下�,這個服務(wù)的所有人負(fù)責(zé)服務(wù)的交付,包括它的資產(chǎn)操作��。
8.1.3資產(chǎn)的可接受使用(原 7.1.3)
與信息處理設(shè)施有關(guān)的信息和資產(chǎn)的可接受使用規(guī)則應(yīng)被確定�����、形成文件并加以實(shí)施���。
雇員�、外部團(tuán)體用戶使用和訪問組織資產(chǎn)應(yīng)了解與信息處理設(shè)施和資源相關(guān)的資產(chǎn)的信息安全要求���,他們應(yīng)對任何信息處理設(shè)施的使用負(fù)責(zé)�,且任何這些使用在他們的職責(zé)內(nèi)實(shí)施。
8.1.4資產(chǎn)歸還(原 8.3.2)
所有雇員���、外部團(tuán)體用戶在他們的雇用����、合同或協(xié)議終止的時候���,應(yīng)歸還他們擁有的所有資產(chǎn)��。
終止過程應(yīng)被正式化�,包括歸還自身擁有的或委托給組織的所有先前發(fā)放的物理和電子資產(chǎn)��。雇員或外部團(tuán)體用戶購買了組織的設(shè)備或使用他們自己的設(shè)備時��,應(yīng)遵循程序確保所有相關(guān)的信息已轉(zhuǎn)移給組織����,并且已從設(shè)備中安全的刪除(見 11.2.7)。雇員或外部團(tuán)體用戶了解進(jìn)行的操作的重要性時��,此信息應(yīng)形成文件并傳達(dá)給組織���。在通知終止時間期間�,組織應(yīng)控制由終止雇員和承包人對相關(guān)信息的非授權(quán)復(fù)制(如��,知識產(chǎn)權(quán))��。
8.2信息分類
控制措施
實(shí)施指南
其它信息
下面是一個信息保密性分類方案的例子�����,可以基于四個級別:
b) 泄漏造成輕微的麻煩或輕微的操作不便����;
d) 泄漏造成一個嚴(yán)重的長期的戰(zhàn)備目標(biāo)或組織生于生存風(fēng)險(xiǎn)的影響。
8.2.2信息的標(biāo)記(原 7.2.2)
一套適當(dāng)?shù)男畔?biāo)記程序應(yīng)被開發(fā)和實(shí)施�,根據(jù)組織所采用的信息分類方案。
信息標(biāo)記的程序需要涵蓋信息和它相關(guān)的物理和電子格式的資產(chǎn)����。該標(biāo)記要根據(jù)
8.2.1 中建立的方案反映出分類規(guī)劃。
其它信息
資產(chǎn)的處理(原 7.2.2)
處理資產(chǎn)的程序應(yīng)被開發(fā)并實(shí)施����,根據(jù)組織采用的信息分類方案。
操作���、處理����、存儲和傳輸與分類(見 8.2.1)一致的信息程序應(yīng)被制定。
a) 每個分類的級別支持保護(hù)要求的訪問限制�����;
c) 臨時或永久信息拷貝的保護(hù)與源信息的保護(hù)在一個級別上�;
e) 被授權(quán)接受者關(guān)注的所有介質(zhì)的插貝的清晰標(biāo)記。
目標(biāo):防止存儲在介質(zhì)上的信息被未經(jīng)授權(quán)的泄漏�����、修改����、刪除或破壞。
8.3.1
控制措施
實(shí)施指南
a) 對從組織取走的任何可重用的介質(zhì)中的內(nèi)容�,如果不再需要,應(yīng)是不可恢復(fù)的���;
c) 所有介質(zhì)應(yīng)被保存在符合廠商說明的保險(xiǎn)��、安全的環(huán)境中��;
e) 為減輕介質(zhì)降低而仍然需要的數(shù)據(jù)的風(fēng)險(xiǎn)�,應(yīng)在不可用之前將數(shù)據(jù)轉(zhuǎn)移到新的介質(zhì)上�;
g) 可移動介質(zhì)的登記應(yīng)被考慮,以減少數(shù)據(jù)丟失的機(jī)會����;
i) 有一個需要使用可移動介質(zhì),將信息傳輸?shù)竭@樣介質(zhì)的地方����,應(yīng)被監(jiān)視。程序和授權(quán)級別應(yīng)被形成文件���。
8.3.2 介質(zhì)處置(原 10.7.2)
不再需要的介質(zhì)��,應(yīng)使用正式的程序安全地處置��。
應(yīng)建立安全處置介質(zhì)的正式程序�����,以最小化保密性信息泄漏給未授權(quán)人員的風(fēng)險(xiǎn)��。包含保密性信息介質(zhì)的安全處置程序應(yīng)與信息的敏感性相一致���。下列控制應(yīng)予以考慮:
b) 程序應(yīng)有適當(dāng)?shù)淖R別可能需要安全處置的條目�����;
d) 許多組織提供收集和處置介質(zhì)的服務(wù)����;應(yīng)仔細(xì)的選擇一個合適的有足夠控制能力和經(jīng)驗(yàn)的外部團(tuán)體����;
其它信息
8.3.3
控制措施
實(shí)施指南
a)應(yīng)使用可靠的運(yùn)輸或通訊員;
c)驗(yàn)證通訊員身份的程序應(yīng)被開發(fā)��;
e)日志應(yīng)被保持���,識別介質(zhì)的內(nèi)容�,保護(hù)應(yīng)用及記錄轉(zhuǎn)移到經(jīng)過的管理人并到最終目的接收的時間��。
信息在物理運(yùn)輸期間易受未授權(quán)訪問��、不當(dāng)使用或破壞���,如�����,通過郵政服務(wù)或通訊員送介質(zhì)����。在這個控制措施下�,介質(zhì)包括紙質(zhì)文檔。當(dāng)介質(zhì)上的保密信息不被加密的時候�����,額外的介質(zhì)物理保護(hù)應(yīng)被考慮�����。
