isms資產分類與控制

1、1ISMS資產分類與控制資產分類與控制1.1資產責任資產責任1.資產清單資產清單資產清單有助于確保進行有效的資產保護，其它商業(yè)目的，如衛(wèi)生和安全、保險或財務（資產管理）原因同樣需要資產清單。編制資產清單的過程是風險評估的一個重要方面。組織需要識別其資產及這些資產的相對價值和重要性?；谶@些信息，組織能夠進而提供與資產的價值和重要性相符的保護等級。應該編制并保持與每一信息系統(tǒng)相關的重要資產的清單。應該清晰識別每項資產、其擁有權、經同意和記

2、錄為文件的安全分級（見5.2），以及資產現(xiàn)在的位置（當試圖從丟失和損壞狀態(tài)恢復時是重要的）。和信息系統(tǒng)相關的資產的例子：a）信息資產：數(shù)據(jù)庫和數(shù)據(jù)文檔、系統(tǒng)文件、用戶手冊、培訓資料、操作和支持程序、持續(xù)性計劃、備用系統(tǒng)安排、存檔信息；b）軟件資產：應用軟件、系統(tǒng)軟件、開發(fā)工具和實用程序；c）有形資產：計算機設備（處理器、監(jiān)視器、膝上形電腦、調制解調器），通信設備（路由器、數(shù)字程控交換機、傳真機、應答機），磁媒體（磁帶和軟盤），其他技術裝

3、備（電源，空調設備），家具和住所；d）服務：計算和通信服務，通用設備，如供暖，照明，電力和空調等。目標：保持對組織資產的適當保護。應該考慮所有重要的信息資產并指定所有人。資產責任有助于確保對資產保持適當?shù)谋Ｗo。應該為所有重要資產指定所有人，并應該分配對其保持適當控制措施的責任。實施控制措施的職責可以委托。責任應由指定的資產所有人承擔。21.分類原則分類原則信息分類和相應的保護控制措施應該考慮共享或限制信息的商業(yè)要求，以及與這些要求相關的

4、商業(yè)影響，如對信息未經授權的訪問或損壞。一般而言，對信息分類是決定如何處理和保護此信息的一條捷徑。來自處理機密性數(shù)據(jù)之系統(tǒng)的信息和輸出應該按照其對組織的價值和敏感性進行標示。按照信息對組織的重要性進行標示同樣是適當?shù)模?，按照信息的完整性和可用性。經過了一段時間后，例如當信息已經被公開時，信息通常就不再是敏感的或重要的。應該考慮到這些方面，因為過高的保密級別能夠導致不必要的額外的商業(yè)支出。分類原則應該預見并顧及到一個事實，及對任何特定信

5、息的分類都沒有必要始終不變，并可以根據(jù)一些預定的方針變化。應該考慮劃分類別的數(shù)量以及對其使用所帶來的益處。過于復雜的分類方案可能造成使用上的麻煩和不經濟或被證明為不切合實際。在解釋來自其他組織的文件上的分類標簽時應該小心，他們對相同或相似名字的標簽可能有不同的定義。對一項信息（如文件、數(shù)據(jù)記錄、數(shù)據(jù)檔案或磁盤）的分類進行定義以及對該分類定期評審的責任應該保留給數(shù)據(jù)的創(chuàng)始者或指定的信息所有人。2.信息的標示和處理信息的標示和處理重要的是根

6、據(jù)組織所采用的分類方案，為信息的標示和處理定義一套合適的程序。這些程序必須包含以物理或電子形式存在的信息資產。對每一信息類別，應該定義處理程序，包含下列種類的信息處理活動：a）復制；b）存儲；c）以郵件、傳真和電子郵件傳送；d）以口頭方式，包括移動電話、語音郵件、答錄機傳送；e）銷毀。含有被劃分為敏感或重要信息之系統(tǒng)的輸出應該采用適當?shù)姆诸悩耸荆ㄔ谳敵錾希?。該標示應該反映根?jù)上述分類原則建立的規(guī)則所做的分類。應考慮的項目包括打印報告、屏