ISO27001標(biāo)準(zhǔn)附錄“A.7 資產(chǎn)管理”解析

2019/3/8 15:21:56 次

　　ISO27001標(biāo)準(zhǔn)附錄 A.7.1　對(duì)資產(chǎn)負(fù)責(zé)

　　【內(nèi)容解析】

　　基于對(duì)組織內(nèi)全部資產(chǎn)的考察，落實(shí)對(duì)資產(chǎn)的安全責(zé)任，對(duì)有的資產(chǎn)需限定使用要求。對(duì)資產(chǎn)實(shí)施有針對(duì)性的保護(hù)，強(qiáng)化對(duì)重要和關(guān)鍵資產(chǎn)的保護(hù)。

　　ISO27001標(biāo)準(zhǔn)附錄 A.7.1.1　資產(chǎn)清單

　　【內(nèi)容解析】

　　組織應(yīng)在與信息相關(guān)的全部資產(chǎn)中識(shí)別重要資產(chǎn)、列出清單并加以說(shuō)明。資產(chǎn)清單要得到維護(hù)并在需要時(shí)進(jìn)行更新。

　　資產(chǎn)清單不僅僅是一份文件或是資產(chǎn)列表，其中應(yīng)包括資產(chǎn)分類(lèi)、保密級(jí)別、當(dāng)前位置和責(zé)任人。信息安全管理可基于資產(chǎn)清單制定信息安全計(jì)劃，對(duì)資產(chǎn)的加以監(jiān)控;資產(chǎn)清單還有助于在重大事件或?yàn)?zāi)后進(jìn)行業(yè)務(wù)恢復(fù)。

　　ISO27001標(biāo)準(zhǔn)附錄 A.7.1.2　資產(chǎn)責(zé)任人

　　【內(nèi)容解析】

　　組織應(yīng)結(jié)合信息處理環(huán)境指定資產(chǎn)的責(zé)任人。資產(chǎn)責(zé)任人對(duì)資產(chǎn)的使用、維護(hù)或信息的分發(fā)承擔(dān)責(zé)任。

　　ISO27001標(biāo)準(zhǔn)附錄 A.7.1.3　資產(chǎn)的可接受使用

　　【內(nèi)容解析】

　　組織內(nèi)的人員需要使用組織提供的信息處理設(shè)施和信息以開(kāi)展業(yè)務(wù)活動(dòng)，但這些設(shè)施還可用來(lái)從事與組織業(yè)務(wù)無(wú)關(guān)的個(gè)人活動(dòng)，如網(wǎng)上聊天、購(gòu)物等。組織對(duì)與信息處理設(shè)施有關(guān)的信息和資產(chǎn)的使用要做出明確的規(guī)定，避免信息處理設(shè)施和資產(chǎn)被誤用和濫用以致影響組織的正常業(yè)務(wù)運(yùn)行。

　　ISO27001標(biāo)準(zhǔn)附錄 A.7.2　信息分類(lèi)

　　【內(nèi)容解析】

　　組織應(yīng)建立信息的分類(lèi)方案及保密等級(jí)，確保信息得到與其級(jí)別相適宜的保護(hù)。

　　ISO27001標(biāo)準(zhǔn)附錄 A.7.2.1　分類(lèi)指南

　　【內(nèi)容解析】

　　對(duì)信息和數(shù)據(jù)組織應(yīng)基于其價(jià)值、關(guān)鍵性、敏感性、法律和業(yè)務(wù)要求劃分保密類(lèi)別，以便于對(duì)資產(chǎn)提供適當(dāng)級(jí)別的保護(hù)。

　　ISO27001標(biāo)準(zhǔn)附錄 A.7.2.2　信息的標(biāo)記和處理

　　【內(nèi)容解析】

　　在信息和數(shù)據(jù)分類(lèi)的基礎(chǔ)上應(yīng)制定信息的標(biāo)記和處理規(guī)程。由于信息可以以物理和電子的方式儲(chǔ)存，其標(biāo)記需要針對(duì)不同的方式作出規(guī)定。如，電子信息應(yīng)采用電子標(biāo)記的手段。信息處理規(guī)程旨在對(duì)各類(lèi)級(jí)別保密信息的操作(包括安全處理、存儲(chǔ)、傳輸、解密、銷(xiāo)毀等)形成管理規(guī)范。分類(lèi)信息的標(biāo)記和處理是信息交流和共享的關(guān)鍵要素。