ISO27001:2013信息安全控制实用守则之资产管理
8.1 对资产负责
控制措施
实施指南
其它信息
控制措施
实施指南
资产所有人应:
b) 确保资产被适当的分类,并被保护;
d) 确保当资产被删除或破坏时适当的操作。
确定所有人可以是一个个人或一个被批准控制资产整个生命周期的管理责任实体。确定所有人对资产的任何财产权不是必需的。日常任务可以委派,例如委派给一个管理人员每天照看资产,但所有人仍保留职责。在复杂的信息系统中,委派一组一起来提供特定服务的资产可能是有用的。在这种情况下,这个服务的所有人负责服务的交付,包括它的资产操作。
8.1.3资产的可接受使用(原 7.1.3)
与信息处理设施有关的信息和资产的可接受使用规则应被确定、形成文件并加以实施。
雇员、外部团体用户使用和访问组织资产应了解与信息处理设施和资源相关的资产的信息安全要求,他们应对任何信息处理设施的使用负责,且任何这些使用在他们的职责内实施。
8.1.4资产归还(原 8.3.2)
所有雇员、外部团体用户在他们的雇用、合同或协议终止的时候,应归还他们拥有的所有资产。
终止过程应被正式化,包括归还自身拥有的或委托给组织的所有先前发放的物理和电子资产。雇员或外部团体用户购买了组织的设备或使用他们自己的设备时,应遵循程序确保所有相关的信息已转移给组织,并且已从设备中安全的删除(见 11.2.7)。雇员或外部团体用户了解进行的操作的重要性时,此信息应形成文件并传达给组织。在通知终止时间期间,组织应控制由终止雇员和承包人对相关信息的非授权复制(如,知识产权)。
8.2信息分类
控制措施
实施指南
其它信息
下面是一个信息保密性分类方案的例子,可以基于四个级别:
b) 泄漏造成轻微的麻烦或轻微的操作不便;
d) 泄漏造成一个严重的长期的战备目标或组织生于生存风险的影响。
8.2.2信息的标记(原 7.2.2)
一套适当的信息标记程序应被开发和实施,根据组织所采用的信息分类方案。
信息标记的程序需要涵盖信息和它相关的物理和电子格式的资产。该标记要根据
8.2.1 中建立的方案反映出分类规划。
其它信息
资产的处理(原 7.2.2)
处理资产的程序应被开发并实施,根据组织采用的信息分类方案。
操作、处理、存储和传输与分类(见 8.2.1)一致的信息程序应被制定。
a) 每个分类的级别支持保护要求的访问限制;
c) 临时或永久信息拷贝的保护与源信息的保护在一个级别上;
e) 被授权接受者关注的所有介质的插贝的清晰标记。
目标:防止存储在介质上的信息被未经授权的泄漏、修改、删除或破坏。
8.3.1
控制措施
实施指南
a) 对从组织取走的任何可重用的介质中的内容,如果不再需要,应是不可恢复的;
c) 所有介质应被保存在符合厂商说明的保险、安全的环境中;
e) 为减轻介质降低而仍然需要的数据的风险,应在不可用之前将数据转移到新的介质上;
g) 可移动介质的登记应被考虑,以减少数据丢失的机会;
i) 有一个需要使用可移动介质,将信息传输到这样介质的地方,应被监视。程序和授权级别应被形成文件。
8.3.2 介质处置(原 10.7.2)
不再需要的介质,应使用正式的程序安全地处置。
应建立安全处置介质的正式程序,以最小化保密性信息泄漏给未授权人员的风险。包含保密性信息介质的安全处置程序应与信息的敏感性相一致。下列控制应予以考虑:
b) 程序应有适当的识别可能需要安全处置的条目;
d) 许多组织提供收集和处置介质的服务;应仔细的选择一个合适的有足够控制能力和经验的外部团体;
其它信息
8.3.3
控制措施
实施指南
a)应使用可靠的运输或通讯员;
c)验证通讯员身份的程序应被开发;
e)日志应被保持,识别介质的内容,保护应用及记录转移到经过的管理人并到最终目的接收的时间。
信息在物理运输期间易受未授权访问、不当使用或破坏,如,通过邮政服务或通讯员送介质。在这个控制措施下,介质包括纸质文档。当介质上的保密信息不被加密的时候,额外的介质物理保护应被考虑。