ISO27001信息安全体系培训(条款A7-资产管理)..docVIP

ISO27001培训系列V1.0 ISO 27001信息安全体系培训控制目标和控制措施 (条款A7-资产管理 2009年11月 董翼枫(dongyifeng78@ 条款A7 资产管理 A7.1对资产负责 ?目标: 实现和保持对组织资产的适当保护。 ?所有资产应是可核查的,并且有指定的责任人。 ?对于所有资产要指定责任人,并且要赋予保持相应控制措施的职责。特定控制措施的实施可以由责任人适当地委派别人承担,但责任人仍有对资产提供适当保护的责任。 A7.1.1资产清单 控制措施 ?应清晰的识别所有资产,编制并维护所有重要资产的清单。 实施指南 ?一个组织应识别所有资产并将资产的重要性形成文件。资产清单应包括所有为从灾难中恢复而需要的信息,包括资产类型、格式、位置、备份信息、许可证信息和业务价值。该清单不应复制其他不必要的清单,但它应确保内容是相关联的。 ?另外,应商定每一资产的责任人(见A7.1.2和信息分类(见A7.2,并形成文件。基于资产的重要性、其业务价值和安全级别,应识别与资产重要性对应的保护级别。 A7.1.2资产责任人 控制措施 ?与信息处理设施有关的所有信息和资产应由组织的指定部门或人员承担责任。 实施指南 ?资产责任人应负责: a确保与信息处理设施相关的信息和资产进行了适当的分类; b确定并周期性评审访问限制和分类,要考虑到可应用的访问控制策略。 ?所有权可以分配给: a业务过程; b已定义的活动集; c应用; d已定义的数据集。 A7.1.3资产的合格使用 ?与信息处理设施有关的信息和资产使用允许规则应被确定、形成 文件并加以实施。 ?所有雇员、承包方人员和第三方人员应遵循信息处理设施相关信息和资产 的可接受的使用规则,包括: a 电子邮件和互联网使用(见 A10.8规则; b 移动设备,尤其是在组织外部使用设备(见 A11.7;1的使用指南; ?具体规则或指南应由相关管理者提供。使用或拥有访问组织资产权的雇员 、承包方人员和第三方人员应意识到他们使用信息处理设施相关的信息和 资产以及资源时的限制条件。他们应对使用信息处理资源以及在他们职责 下的使用负责。 A7.2信息分类 ?目标 : 确保信息受到适当级别的保护。 ?信息要分类,以在处理信息时指明保护的需求、优先级和期望程 度。 ?信息具有可变的敏感性和关键性。某些项可能要求附加等级的保 护或特殊处理。信息分类机制用来定义一组合适的保护等级并传 达对特殊处理措施的需求。 A7.2.1分类指南 ?信息应按照它对组织的价值、法律要求、敏感性和关键性予以分 类。 ?信息的分类及相关保护控制措施要考虑到共享或限制信息的业务需求以及与这种需求相关 的业务影响。 ?分类指南应包括根据预先确定的访问控制策略(见 A11.1.1进行初始分类及一段时间后 进行重新分类的惯例。 ?确定资产的类别、对其周期性评审、确保其跟上时代并处于适当的级别,这些都应是资产 责任人(见 A7.1.2的职责。分类要考虑 A10.7.2提及的集合效应。 ?应考虑分类类别的数目和从其使用中获得的好处。过度复杂的方案可能对使用来说不方便 ,也不经济,或许是不实际的。在解释从其他组织获取的文件的分类标记时应小心,因为 其他组织可能对于相同或类似命名的标记有不同的定义。 A7.2.2信息的标记和处理 ?应按照组织所采纳的分类机制建立和实施一组合适的信息标记和 处理程序。 ?信息标记的程序需要涵盖 物理和电子格式 的信息资产。 ?包含分类为敏感或关键信息的系统输出应在该输出中携带合适的分类标记 。该标记要根据 A7.2.1中所建立的规则反映出分类。待考虑的项目包括打 印报告、屏幕显示、记录介质(例如磁带、磁盘、 CD 、电子消息和文件 传送。 ?对每种分类级别,要定义包括安全处理、储存、传输、删除、销毁的处理 程序。还要包括一系列任何安全相关事态的监督和记录程序。 ?涉及信息共享的与其他组织的协议应包括识别信息分类和解释其他组织分 类标记的程序。 END Thank you!