ISO27001认证咨询您当前所在的位置:网站首页 > 认证咨询 > ISO27001认证咨询

ISO27001认证咨询——ISO27002:2013信息安全控制实用守则之资产管理

 
 
8 资产管理
8.1 对资产负责
目标:识别组织资产并定义适当的保护职责。
 
8.1.1 资产清单(原 7.1.1)
控制措施
与信息和信息处理设施相关的资产应被识别,并编制和维护这些资产一个清单。
实施指南
一个组织应识别信息生命周期的相关资产,并记录他们的重要性。信息的生命周期应包括建立、处理、存储、传输、删除和毁灭。记录应保持适当的专有性或现有清单。资产清单应是准确的、最新的、与其他的的清单一致并结合的。每一个识别的资产,应分配资产的所有者(见 8.1.2),并应标识其分类(见 8.2)。
其它信息
资产清单可帮助确保有效的资产保护,也可以是其他目的需要,例如健康与安全、保险或财务(资产管理)等原因。ISO/IEC 27005 提供了资产的举例,当识别资产的时候,组织可能需要来考虑。编制资产清单的过程是风险管理的一个重要的先决条件(见 ISO/IEC 27000 和 ISO/IEC 27005)。
 
8.1.2资产的权属(原 7.1.2)
控制措施
处于清单中的资产应被认领。
实施指南
个人以及被批准管理资产生命周期责任的其他实体有资格被分配作为资产所有人。确保及时分配资产权属的过程通常被执行。当资产被建立或当资产被转移到组织的时间应被分配权属。资产所有人应对贯穿整个资产生命周期的资产的适当管理负责。
资产所有人应:
a) 确保资产被编制清单;
b) 确保资产被适当的分类,并被保护;
c) 定义并定期评审重要资产的访问限制和分类,考虑适当的访问控制策略;
d) 确保当资产被删除或破坏时适当的操作。
其它信息
确定所有人可以是一个个人或一个被批准控制资产整个生命周期的管理责任实体。确定所有人对资产的任何财产权不是必需的。日常任务可以委派,例如委派给一个管理人员每天照看资产,但所有人仍保留职责。在复杂的信息系统中,委派一组一起来提供特定服务的资产可能是有用的。在这种情况下,这个服务的所有人负责服务的交付,包括它的资产操作。
 
8.1.3资产的可接受使用(原 7.1.3)
控制措施
与信息处理设施有关的信息和资产的可接受使用规则应被确定、形成文件并加以实施。
实施指南
雇员、外部团体用户使用和访问组织资产应了解与信息处理设施和资源相关的资产的信息安全要求,他们应对任何信息处理设施的使用负责,且任何这些使用在他们的职责内实施。
 
8.1.4资产归还(原 8.3.2)
控制措施
所有雇员、外部团体用户在他们的雇用、合同或协议终止的时候,应归还他们拥有的所有资产。
实施指南
终止过程应被正式化,包括归还自身拥有的或委托给组织的所有先前发放的物理和电子资产。雇员或外部团体用户购买了组织的设备或使用他们自己的设备时,应遵循程序确保所有相关的信息已转移给组织,并且已从设备中安全的删除(见 11.2.7)。雇员或外部团体用户了解进行的操作的重要性时,此信息应形成文件并传达给组织。在通知终止时间期间,组织应控制由终止雇员和承包人对相关信息的非授权复制(如,知识产权)。
 
8.2信息分类
目标:依照信息对组织的重要性,确保信息获得一个合适的保护级别。
 
8.2.1信息的类别(原 7.2.1)
控制措施
信息应被分类,根据法律要求、价值、危险度和敏感性,对未经授权的泄漏或修改。
实施指南
信息的分类及相关保护控制措施应考虑信息共享或限制的业务需求和法律要求。不同于信息的资产也能被分类,并与被存储、由资产的其它处理或保护的信息分类一致。信息资产的所有人应为他们的分类负责。分类方案应包括分类的约定和一段时间后分类评审的标准。方案中应通过分析保密性、完整性、可用性及信息考虑的其它要求来确定保护级别。方案应与访问控制策略(见9.1.1)结合考虑。每个级别应给出一个容易理解分类方案应用上下文的名称。方案应被考虑贯穿整个组织,因此每个人以相同的方法归类信息和相关资产,有一个保护要求和运用适当保护的共同的理解。分类应包括在组织的过程中,并且是一致的和连贯的贯穿组织。分类的结果应表明依赖于它们对组织的敏感性和危险度的资产价值,如,依据保密性、完整性和可用性。分类的结果应依据它们生命周期中价值、敏感性和危险度的变化而更新。
其它信息
分类提供人们如何处理和保护它们的简明提示。建立类似保护需求的信息组和特有的信息安全程序,有助于应用到每个组中的所有信息。这种方法降低了逐项风险评估和控制措施的定制设计的需求。在一段时间后,信息通常不再是敏感的或危险的,例如,当该信息已经公开时。这些方面应予以考虑,因为分类越高致使实施不必要的控制措施,从而导致附加成本或相反的在分类下可能会危及业务目标的实现。
下面是一个信息保密性分类方案的例子,可以基于四个级别:
a) 泄漏没有造成损害;
b) 泄漏造成轻微的麻烦或轻微的操作不便;
c) 泄漏造成一个显著的短期的经营或战术目标的影响;
d) 泄漏造成一个严重的长期的战备目标或组织生于生存风险的影响。
 
8.2.2信息的标记(原 7.2.2)
控制措施
一套适当的信息标记程序应被开发和实施,根据组织所采用的信息分类方案。
实施指南
信息标记的程序需要涵盖信息和它相关的物理和电子格式的资产。该标记要根据
 
8.2.1 中建立的方案反映出分类规划。
标记应容易识别。这个程序应给出在哪里和标记如何被帖上的指导,并考虑信息如何被访问或资产如何依赖于介质类型来处理。这个程序可以定义标记被忽略的地方的情况,如,非保密信息的标记可减少工作量。雇员和承包人应理解标记程序。系统的输出包含被分类为敏感或危险的信息应携带一个适当的分类标记。
其它信息
被分类信息的标记是信息共享的一个关键要求。物理标记和元数据是一种常用的标记形式。信息的标记和它相关的资产有时可能有负面影响。被分类的资产是容易来识别和被内部或外部的攻击者窃取。
 
8.2.3
资产的处理(原 7.2.2)
控制措施
处理资产的程序应被开发并实施,根据组织采用的信息分类方案。
实施指南
操作、处理、存储和传输与分类(见 8.2.1)一致的信息程序应被制定。
下列条款应被考虑:
a) 每个分类的级别支持保护要求的访问限制;
b) 资产已被授权的接受者的正式的记录的维护;
c) 临时或永久信息拷贝的保护与源信息的保护在一个级别上;
d) IT 资产依据厂商说明书的贮储;
e) 被授权接受者关注的所有介质的插贝的清晰标记。
在组织内被使用的分类方案不等于由其它组织使用的方案,即使级别的名称类似;另外,在组织之间移动的信息依赖于每个组织的背景可能改变其分类,即使他们的分类方案是相同的。与包括信息共享的其它组织的协议,应包括识别信息分类和来自其它组织对信息标记解释的程序。
 
8.3介质处理
目标:防止存储在介质上的信息被未经授权的泄漏、修改、删除或破坏。
 
8.3.1
可移动介质的管理(原 10.7.1)
控制措施
根据组织采用的分类方案对可移动介质的管理的程序应被执行。
实施指南
下列对于可移动介质的管理指南应加以考虑:
a) 对从组织取走的任何可重用的介质中的内容,如果不再需要,应是不可恢复的;
b) 如果需要并可行,对于从组织取走的介质应要求授权,取走的记录应加以保持,以保持审核踪迹;
c) 所有介质应被保存在符合厂商说明的保险、安全的环境中;
d) 如果数据保密性和完整性是重要的考虑因素,加密技术应被使用来保护在移动介质上的数据;
e) 为减轻介质降低而仍然需要的数据的风险,应在不可用之前将数据转移到新的介质上;
f) 有价值数据的多个插贝应在单独的介质上,以降低同时发生数据损害或丢失的风险;
g) 可移动介质的登记应被考虑,以减少数据丢失的机会;
h) 可移动驱动仅应被激活,如果是业务原因需要这样做;
i) 有一个需要使用可移动介质,将信息传输到这样介质的地方,应被监视。程序和授权级别应被形成文件。
 
8.3.2 介质处置(原 10.7.2)
控制措施
不再需要的介质,应使用正式的程序安全地处置。
实施指南
应建立安全处置介质的正式程序,以最小化保密性信息泄漏给未授权人员的风险。包含保密性信息介质的安全处置程序应与信息的敏感性相一致。下列控制应予以考虑:
a) 包含有保密性信息的介质应被安全地存储和处置,如,利用焚化或切碎的方法,或者删除,由组织内其它应用使用的数据;
b) 程序应有适当的识别可能需要安全处置的条目;
c) 将所介质项收集起来并安全的处置可能是容易的,而不是试图分离出敏感项;
d) 许多组织提供收集和处置介质的服务;应仔细的选择一个合适的有足够控制能力和经验的外部团体;
e) 敏感条目的处置应被记录,以便保持审核踪迹。当处置堆积的介质时,应考虑聚焦效应,它可能使大量不敏感信息变成敏感信息。
其它信息
被损坏的设备包含敏感数据可能需要一个风险评估,以确定这些项是否应物理破坏,而不是送出修理或丢弃(见 11.2.7)。
8.3.3
物理介质转移(原 10.8.3)
控制措施
在运输期间,包含信息的介质应加以保护,防止未经授权的访问、滥用或损坏。
实施指南
应考虑下列指南以保护运输中的包含信息的介质:
a)应使用可靠的运输或通讯员;
b) 授权的通讯员列表应经管理者同意;
c)验证通讯员身份的程序应被开发;
d) 包装应足以保护内容免遭在运输期间可能出现的任何物理损坏,并且符合厂商的说明,如,保护防止可能减少介质恢复效力的任何环境因素,如,暴露于过热、潮湿或电磁区域;
e)日志应被保持,识别介质的内容,保护应用及记录转移到经过的管理人并到最终目的接收的时间。
其它信息
信息在物理运输期间易受未授权访问、不当使用或破坏,如,通过邮政服务或通讯员送介质。在这个控制措施下,介质包括纸质文档。当介质上的保密信息不被加密的时候,额外的介质物理保护应被考虑。
 
 
 
***************************************************************************************************************************************************************************************************************************************

深圳市安信达咨询公司——23年老品牌国家首批ISO认证咨询备案、中国百强咨询机构、十大影响力品牌、广东省甲级咨询单位、广东省中小企业管理咨询服务示范单位、深圳市中小企业管理咨询服务示范单位、深圳市卓越绩效促进会会员单位、深圳市“市长质量奖”指定辅导单位!

在当下急功近利、鱼龙混杂的市场环境,安信达咨询公司不忘初衷、始终如一坚持公司的经营理念:“提升管理,为客户创造价值”,真真切切关注客户的需求,一切以客户的需求出发、以客户的需求为导向,关注咨询给客户带来的价值。安信达ISO认证咨询公司是华南地区同行业为数的不多的真正关注客户需求和利益的正规品牌ISO咨询机构!

 

因此,与安信达合作,企业自身一定要明确需求,显性的结果虽然相同(都ISO质量体系文件、都能通过认证、都能获取证书),但不同的目的、需求其辅导过程、深入程度、咨询师安排及工作量不同,企业的收益也不同,当然企业的投资也不同。有的只是获得了一张证书,有的通过体系的有效建立、推行从而规范企业的管理、提升企业管理水平,有效预防不良,降低企业不良成本,提升效益,让企业在竞争激励的市场环境中赢得更多机会。

公司技术力量雄厚,拥有一批优秀、稳定的专职咨询团队。咨询师队伍中大多供职10年以上,归属感强、责任心强。70%的团队成员具有大型外资、港资、台资品质管理、生产运营管理出身,实战管理经验丰富,对企业存在的问题能够一阵见血并提供可靠的解决方案。

公司有规范、完善的内部管理系统:

业内首家实行:

1) 《咨询师注册制度》:此注册制度高于国家注册咨询师要求,更加注重理论与实战的结合。

2) 《咨询师咨询过程质量监控制度》:监控来自三个方面:a、业务经理;b、专业客服;c、咨询总监(抽查的方式)

3) 《咨询师绩效考核制度既咨询师激励制度》:主要考核专业的能力和态度(责任心)两方面,态度方面的考核权重占65%,考核结果直接与薪酬与在职培训挂钩,推动与拉动双核驱动,激励咨询师更好的服务客户。

 

目前开展的ISO系列认证有:ISO9001认证ISO14001认证IATF16949认证ISO13485认证OHSAS18001认证QC080000认证AS9100认证HACCP认证ISO22000认证ISO27001认证ISO20000认证FSSC22000认证SA8000认证、ISO26000认证、ISO17025认证QS认证咨询英国BRC认证美国AIB认证TAPA认证ICTI认证ISO14604认证ISO50001认证等。点击标准查看详细信

为您服务的电话:0755-82800259,0755-82800087,24小时咨询电话:13714167519,甘先生,您的一个电话,我们将全力以赴!


认证咨询

联系我们

深圳市安信达咨询有限公司 
电      话:+86 755-82800259
                +86 755-82800087
值班经理:13714167519(微信)
邮       箱:anxinda888#126.com  (#换@)
网      址:www.ts16949cn.com








联系我们
深圳市安信达咨询有限公司 (始于1996)          
0755-82800259
0755-82800087
值班经理:13714167519(微信) 甘经理
邮       箱:anxinda888@126.com  
地       址:深圳市福田区园岭街道华林社区八卦路25号514栋313-321
Feedback我要留言
姓名 *
电话
Email
其他联系 如QQ等
留言内容 *
验证码
  
CHOOSE THE ANGEL STAR 企业管理咨询机构鱼龙混杂,如何选择适合自己企业的专业机构,日益成为企业发展道路上一个重要的课题!安信达咨询机构具有二十年中小企业管理诊断、咨询、培训、辅导一条龙服务经验。在当下急功近利社会环境,安信达不忘初衷、始终如一坚持 “提升管理,为客户创造价值”的理念,真正关注客户的需求,关注咨询给客户带来的价值。安信达咨询是华南地区同行业为数的不多的真正关注客户需求和利益的正规品牌咨询机构!安信达咨询机构是您最佳的企业管理顾问!