ISMS资产分类与控制
资产责任
目标:保持对组织资产的适当保护。
应该考虑所有重要的信息资产并指定所有人。
资产责任有助于确保对资产保持适当的保护。应该为所有重要资产指定所有人,并应该分配对其保持适当控制措施的责任。实施控制措施的职责可以委托。责任应由指定的资产所有人承担。
1. 资产清单
资产清单有助于确保进行有效的资产保护,其它商业目的,如卫生和安全、保险或财务(资产管理)原因同样需要资产清单。编制资产清单的过程是风险评估的一个重要方面。组织需要识别其资产及这些资产的相对价值和重要性。基于这些信息,组织能够进而提供与资产的价值和重要性相符的保护等级。应该编制并保持与每一信息系统相关的重要资产的清单。应该清晰识别每项资产、其拥有权、经同意和记录为文件的安全分级(见),以及资产现在的位置(当试图从丢失和损坏状态恢复时是重要的)。和信息系统相关的资产的例子:
信息资产:数据库和数据文档、系统文件、用户手册、培训资料、操作和支持程序、持续性计划、备用系统安排、存档信息;
软件资产:应用软件、系统软件、开发工具和实用程序;
有形资产:计算机设备(处理器、监视器、膝上形电脑、调制解调器),通信设备(路由器、数字程控交换机、传真机、应答机),磁媒体(磁带和软盘),其他技术装备(电源,空调设备),家具和住所;
服务:计算和通信服务,通用设备,如供暖,照明,电力和空调等。
1. 分类原则
信息分类和相应的保护控制措施应该考虑共享或限制信息的商业要求,以及与这些要求相关的商业影响,如对信息未经授权的访问或损坏。一般而言,对信息分类是决定如何处理和保护此信息的一条捷径。
来自处理机密性数据之系统的信息和输出应该按照其对组织的价值和敏感性进行标示。按照信息对组织的重要性进行标示同样是适当的,如,按照信息的完整性和可用性。经过了一段时间后,例如当信息已经被公开时,信息通常就不再是敏感的或重要的。应该考虑到这些方面,因为过高的保密级别能够导致不必要的额外的商业支出。分类原则应该预见并顾及到一个事实,及对任何特定信息的分类都没有必要始终不变,并可以根据一些预定的方针变化。
应该考虑划分类别的数量以及对其使用所带来的益处。过于复杂的分类方案可能造成使用上的麻烦和不经济或被证明为不切合实际。在解释来自其他组织的文件上的分类标签时应该小心,他们对相同或相似名字的标签可能有不同的定义。
对一项信息(如文件、数据记录、数据档案或磁盘)的分类进行定义以及对该分类定期评审的责任应该保留给数据的创始者或指定的信息所有人。
2. 信息的标示和处理
重要的是根据组织所采用的分类方案,为信息的标示和处理定义一套合适的程序。这些程序必须包含以物理或电子形式存在的信息资产。对每一信息类别,应该定义处理程序,包含下列种类的信息处理活动:
复制;
存储;
以邮件、传真和电子邮件传送;
以口头方式,包括移动电话、语音邮件、答录机传送;
销毁。
含有被划分为敏感或重要信息之系统的输出应该采用适当的分类标示(在输出上)。该标示应该反映根据上述分类原则建立的规则所做的分类。应考虑的项目包括打印报告、屏幕显示、记录了信息的媒体(磁带、磁盘、光盘、盒式磁带),电子信息和文件传送。
物理标示一般是最合适的标示形式。然而,一些信息资产,如电子形式的文件,就不能进行物理标示,而需要使用电子方法标示。
PAGE
PAGE 1
