ISO27001标准附录 A.7.1 对资产负责
【内容解析】
基于对组织内全部资产的考察,落实对资产的安全责任,对有的资产需限定使用要求。对资产实施有针对性的保护,强化对重要和关键资产的保护。
ISO27001标准附录 A.7.1.1 资产清单
【内容解析】
组织应在与信息相关的全部资产中识别重要资产、列出清单并加以说明。资产清单要得到维护并在需要时进行更新。
资产清单不仅仅是一份文件或是资产列表,其中应包括资产分类、保密级别、当前位置和责任人。信息安全管理可基于资产清单制定信息安全计划,对资产的加以监控;资产清单还有助于在重大事件或灾后进行业务恢复。
ISO27001标准附录 A.7.1.2 资产责任人
【内容解析】
组织应结合信息处理环境指定资产的责任人。资产责任人对资产的使用、维护或信息的分发承担责任。
ISO27001标准附录 A.7.1.3 资产的可接受使用
【内容解析】
组织内的人员需要使用组织提供的信息处理设施和信息以开展业务活动,但这些设施还可用来从事与组织业务无关的个人活动,如网上聊天、购物等。组织对与信息处理设施有关的信息和资产的使用要做出明确的规定,避免信息处理设施和资产被误用和滥用以致影响组织的正常业务运行。
ISO27001标准附录 A.7.2 信息分类
【内容解析】
组织应建立信息的分类方案及保密等级,确保信息得到与其级别相适宜的保护。
ISO27001标准附录 A.7.2.1 分类指南
【内容解析】
对信息和数据组织应基于其价值、关键性、敏感性、法律和业务要求划分保密类别,以便于对资产提供适当级别的保护。
ISO27001标准附录 A.7.2.2 信息的标记和处理
【内容解析】
在信息和数据分类的基础上应制定信息的标记和处理规程。由于信息可以以物理和电子的方式储存,其标记需要针对不同的方式作出规定。如,电子信息应采用电子标记的手段。信息处理规程旨在对各类级别保密信息的操作(包括安全处理、存储、传输、解密、销毁等)形成管理规范。分类信息的标记和处理是信息交流和共享的关键要素。
共有条评论 网友评论