ISO27001:2013信息安全控制實用守則之資產管理
8.1 對資產負責
控制措施
實施指南
其它信息
控制措施
實施指南
資產所有人應:
b) 確保資產被適當的分類,并被保護;
d) 確保當資產被刪除或破壞時適當的操作。
確定所有人可以是一個個人或一個被批準控制資產整個生命周期的管理責任實體。確定所有人對資產的任何財產權不是必需的。日常任務可以委派,例如委派給一個管理人員每天照看資產,但所有人仍保留職責。在復雜的信息系統中,委派一組一起來提供特定服務的資產可能是有用的。在這種情況下,這個服務的所有人負責服務的交付,包括它的資產操作。
8.1.3資產的可接受使用(原 7.1.3)
與信息處理設施有關的信息和資產的可接受使用規則應被確定、形成文件并加以實施。
雇員、外部團體用戶使用和訪問組織資產應了解與信息處理設施和資源相關的資產的信息安全要求,他們應對任何信息處理設施的使用負責,且任何這些使用在他們的職責內實施。
8.1.4資產歸還(原 8.3.2)
所有雇員、外部團體用戶在他們的雇用、合同或協議終止的時候,應歸還他們擁有的所有資產。
終止過程應被正式化,包括歸還自身擁有的或委托給組織的所有先前發放的物理和電子資產。雇員或外部團體用戶購買了組織的設備或使用他們自己的設備時,應遵循程序確保所有相關的信息已轉移給組織,并且已從設備中安全的刪除(見 11.2.7)。雇員或外部團體用戶了解進行的操作的重要性時,此信息應形成文件并傳達給組織。在通知終止時間期間,組織應控制由終止雇員和承包人對相關信息的非授權復制(如,知識產權)。
8.2信息分類
控制措施
實施指南
其它信息
下面是一個信息保密性分類方案的例子,可以基于四個級別:
b) 泄漏造成輕微的麻煩或輕微的操作不便;
d) 泄漏造成一個嚴重的長期的戰備目標或組織生于生存風險的影響。
8.2.2信息的標記(原 7.2.2)
一套適當的信息標記程序應被開發和實施,根據組織所采用的信息分類方案。
信息標記的程序需要涵蓋信息和它相關的物理和電子格式的資產。該標記要根據
8.2.1 中建立的方案反映出分類規劃。
其它信息
資產的處理(原 7.2.2)
處理資產的程序應被開發并實施,根據組織采用的信息分類方案。
操作、處理、存儲和傳輸與分類(見 8.2.1)一致的信息程序應被制定。
a) 每個分類的級別支持保護要求的訪問限制;
c) 臨時或永久信息拷貝的保護與源信息的保護在一個級別上;
e) 被授權接受者關注的所有介質的插貝的清晰標記。
目標:防止存儲在介質上的信息被未經授權的泄漏、修改、刪除或破壞。
8.3.1
控制措施
實施指南
a) 對從組織取走的任何可重用的介質中的內容,如果不再需要,應是不可恢復的;
c) 所有介質應被保存在符合廠商說明的保險、安全的環境中;
e) 為減輕介質降低而仍然需要的數據的風險,應在不可用之前將數據轉移到新的介質上;
g) 可移動介質的登記應被考慮,以減少數據丟失的機會;
i) 有一個需要使用可移動介質,將信息傳輸到這樣介質的地方,應被監視。程序和授權級別應被形成文件。
8.3.2 介質處置(原 10.7.2)
不再需要的介質,應使用正式的程序安全地處置。
應建立安全處置介質的正式程序,以最小化保密性信息泄漏給未授權人員的風險。包含保密性信息介質的安全處置程序應與信息的敏感性相一致。下列控制應予以考慮:
b) 程序應有適當的識別可能需要安全處置的條目;
d) 許多組織提供收集和處置介質的服務;應仔細的選擇一個合適的有足夠控制能力和經驗的外部團體;
其它信息
8.3.3
控制措施
實施指南
a)應使用可靠的運輸或通訊員;
c)驗證通訊員身份的程序應被開發;
e)日志應被保持,識別介質的內容,保護應用及記錄轉移到經過的管理人并到最終目的接收的時間。
信息在物理運輸期間易受未授權訪問、不當使用或破壞,如,通過郵政服務或通訊員送介質。在這個控制措施下,介質包括紙質文檔。當介質上的保密信息不被加密的時候,額外的介質物理保護應被考慮。
