1、IS027001 培訓(xùn)系列 V1.0ISO 27001 信息安全體系培訓(xùn)控制目標(biāo)和控制措施（條款 A7-資產(chǎn)管理2009 年 11 月董翼?xiàng)鳎╠on gyife 條款 A7資產(chǎn)管理A7.1 對(duì)資產(chǎn)負(fù)責(zé)?目標(biāo):實(shí)現(xiàn)和保持對(duì)組織資產(chǎn)的適當(dāng)保護(hù)。?所有資產(chǎn)應(yīng)是可核查的，并且有指定的責(zé)任人。?對(duì)于所有資產(chǎn)要指定責(zé)任人，并且要賦予保持相應(yīng)控制措施的職責(zé)。特定控 制措施的實(shí)施可以由責(zé)任人適當(dāng)?shù)匚蓜e人承擔(dān)，但責(zé)任人仍有對(duì)資產(chǎn)提供適當(dāng)保 護(hù)的責(zé)任。A7.1.1 資產(chǎn)清單控制措施?應(yīng)清晰的識(shí)別所有資產(chǎn)，編制并維護(hù)所有重要資產(chǎn)的清單。實(shí)施指南?一個(gè)組織應(yīng)識(shí)別所有資產(chǎn)并將資產(chǎn)的重要性形成文件。資產(chǎn)清單應(yīng)包括所有

2、為從災(zāi)難中恢復(fù)而需要的信息，包括資產(chǎn)類型、格式、位置、備份信息、許可證信 息和業(yè)務(wù)價(jià)值。該清單不應(yīng)復(fù)制其他不必要的清單，但它應(yīng)確保內(nèi)容是相關(guān)聯(lián)的。?另外，應(yīng)商定每一資產(chǎn)的責(zé)任人（見(jiàn) A7.1.2 和信息分類（見(jiàn) A7.2,并形成文件?；谫Y產(chǎn)的重要性、其業(yè)務(wù)價(jià)值和安全級(jí)別，應(yīng)識(shí)別與資產(chǎn)重要性對(duì)應(yīng)的保護(hù)級(jí) 別。A7.1.2 資產(chǎn)責(zé)任人控制措施?與信息處理設(shè)施有關(guān)的所有信息和資產(chǎn)應(yīng)由組織的指定部門或人員承擔(dān)責(zé) 任。實(shí)施指南?資產(chǎn)責(zé)任人應(yīng)負(fù)責(zé)：a 確保與信息處理設(shè)施相關(guān)的信息和資產(chǎn)進(jìn)行了適當(dāng)?shù)姆诸?；b 確定并周期性評(píng)審訪問(wèn)限制和分類，要考慮到可應(yīng)用的訪問(wèn)控制策略。?所有權(quán)可以分配給：a 業(yè)務(wù)過(guò)程;b

3、 已定義的活動(dòng)集；c 應(yīng)用;d 已定義的數(shù)據(jù)集。A7.1.3 資產(chǎn)的合格使用?與信息處理設(shè)施有關(guān)的信息和資產(chǎn)使用允許規(guī)則應(yīng)被確定、形成文件并加以實(shí)施。?所有雇員、承包方人員和第三方人員應(yīng)遵循信息處理設(shè)施相關(guān)信息和資產(chǎn) 的可接受的使用規(guī)則，包括：a 電子郵件和互聯(lián)網(wǎng)使用（見(jiàn) A10.8 規(guī)則；b 移動(dòng)設(shè)備,尤其是在組織外部使用設(shè)備（見(jiàn) A11.7;1 的使用指南；?具體規(guī)則或指南應(yīng)由相關(guān)管理者提供。使用或擁有訪問(wèn)組織資產(chǎn)權(quán)的雇員、承包方人員和第三方人員應(yīng)意識(shí)到他們使用信息處理設(shè)施相關(guān)的信息和資產(chǎn)以及資源時(shí)的限制條件。他們應(yīng)對(duì)使用信息處理資源以及在他們職責(zé)下的使用負(fù)責(zé)。A7.2 信息分類?目標(biāo)：確

4、保信息受到適當(dāng)級(jí)別的保護(hù)。?信息要分類，以在處理信息時(shí)指明保護(hù)的需求、優(yōu)先級(jí)和期望程度。?信息具有可變的敏感性和關(guān)鍵性。某些項(xiàng)可能要求附加等級(jí)的保護(hù)或特殊處理。信息分類機(jī)制用來(lái)定義一組合適的保護(hù)等級(jí)并傳達(dá)對(duì)特殊處理措施的需求。A7.2.1 分類指南?信息應(yīng)按照它對(duì)組織的價(jià)值、法律要求、敏感性和關(guān)鍵性予以分類?信息的分類及相關(guān)保護(hù)控制措施要考慮到共享或限制信息的業(yè)務(wù)需求以及與 這種需求相關(guān) 的業(yè)務(wù)影響。?分類指南應(yīng)包括根據(jù)預(yù)先確定的訪問(wèn)控制策略（見(jiàn) A11.1.1 進(jìn)行初始分類及一 段時(shí)間后 進(jìn)行重新分類的慣例。?確定資產(chǎn)的類別、對(duì)其周期性評(píng)審、確保其跟上時(shí)代并處于適當(dāng)?shù)募?jí)別，這些都應(yīng)是資產(chǎn) 責(zé)

5、任人（見(jiàn) A7.1.2 的職責(zé)。分類要考慮 A10.7.2 提及的集合效應(yīng)。?應(yīng)考慮分類類別的數(shù)目和從其使用中獲得的好處。過(guò)度復(fù)雜的方案可能對(duì)使 用來(lái)說(shuō)不方便，也不經(jīng)濟(jì)，或許是不實(shí)際的。在解釋從其他組織獲取的文件的分類標(biāo) 記時(shí)應(yīng)小心，因?yàn)槠渌M織可能對(duì)于相同或類似命名的標(biāo)記有不同的定義。A7.2.2 信息的標(biāo)記和處理?應(yīng)按照組織所采納的分類機(jī)制建立和實(shí)施一組合適的信息標(biāo)記和處理程序。?信息標(biāo)記的程序需要涵蓋物理和電子格式的信息資產(chǎn)。?包含分類為敏感或關(guān)鍵信息的系統(tǒng)輸出應(yīng)在該輸出中攜帶合適的分類標(biāo)記。該標(biāo)記要根據(jù) A7.2.1 中所建立的規(guī)則反映出分類。待考慮的項(xiàng)目包括打印報(bào)告、屏幕顯示、記錄介質(zhì)（例如磁帶、磁盤、CD、電子消息和文件傳送。?對(duì)每種分類級(jí)別，要定義包括安全處理、儲(chǔ)存、傳輸、刪除、銷毀的處理