isms資產(chǎn)分類與控制_第1頁
已閱讀1頁,還剩1頁未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、1ISMS資產(chǎn)分類與控制資產(chǎn)分類與控制1.1資產(chǎn)責(zé)任資產(chǎn)責(zé)任1.資產(chǎn)清單資產(chǎn)清單資產(chǎn)清單有助于確保進(jìn)行有效的資產(chǎn)保護(hù),其它商業(yè)目的,如衛(wèi)生和安全、保險(xiǎn)或財(cái)務(wù)(資產(chǎn)管理)原因同樣需要資產(chǎn)清單。編制資產(chǎn)清單的過程是風(fēng)險(xiǎn)評(píng)估的一個(gè)重要方面。組織需要識(shí)別其資產(chǎn)及這些資產(chǎn)的相對(duì)價(jià)值和重要性?;谶@些信息,組織能夠進(jìn)而提供與資產(chǎn)的價(jià)值和重要性相符的保護(hù)等級(jí)。應(yīng)該編制并保持與每一信息系統(tǒng)相關(guān)的重要資產(chǎn)的清單。應(yīng)該清晰識(shí)別每項(xiàng)資產(chǎn)、其擁有權(quán)、經(jīng)同意和記

2、錄為文件的安全分級(jí)(見5.2),以及資產(chǎn)現(xiàn)在的位置(當(dāng)試圖從丟失和損壞狀態(tài)恢復(fù)時(shí)是重要的)。和信息系統(tǒng)相關(guān)的資產(chǎn)的例子:a)信息資產(chǎn):數(shù)據(jù)庫和數(shù)據(jù)文檔、系統(tǒng)文件、用戶手冊(cè)、培訓(xùn)資料、操作和支持程序、持續(xù)性計(jì)劃、備用系統(tǒng)安排、存檔信息;b)軟件資產(chǎn):應(yīng)用軟件、系統(tǒng)軟件、開發(fā)工具和實(shí)用程序;c)有形資產(chǎn):計(jì)算機(jī)設(shè)備(處理器、監(jiān)視器、膝上形電腦、調(diào)制解調(diào)器),通信設(shè)備(路由器、數(shù)字程控交換機(jī)、傳真機(jī)、應(yīng)答機(jī)),磁媒體(磁帶和軟盤),其他技術(shù)裝

3、備(電源,空調(diào)設(shè)備),家具和住所;d)服務(wù):計(jì)算和通信服務(wù),通用設(shè)備,如供暖,照明,電力和空調(diào)等。目標(biāo):保持對(duì)組織資產(chǎn)的適當(dāng)保護(hù)。應(yīng)該考慮所有重要的信息資產(chǎn)并指定所有人。資產(chǎn)責(zé)任有助于確保對(duì)資產(chǎn)保持適當(dāng)?shù)谋Wo(hù)。應(yīng)該為所有重要資產(chǎn)指定所有人,并應(yīng)該分配對(duì)其保持適當(dāng)控制措施的責(zé)任。實(shí)施控制措施的職責(zé)可以委托。責(zé)任應(yīng)由指定的資產(chǎn)所有人承擔(dān)。21.分類原則分類原則信息分類和相應(yīng)的保護(hù)控制措施應(yīng)該考慮共享或限制信息的商業(yè)要求,以及與這些要求相關(guān)的

4、商業(yè)影響,如對(duì)信息未經(jīng)授權(quán)的訪問或損壞。一般而言,對(duì)信息分類是決定如何處理和保護(hù)此信息的一條捷徑。來自處理機(jī)密性數(shù)據(jù)之系統(tǒng)的信息和輸出應(yīng)該按照其對(duì)組織的價(jià)值和敏感性進(jìn)行標(biāo)示。按照信息對(duì)組織的重要性進(jìn)行標(biāo)示同樣是適當(dāng)?shù)?,如,按照信息的完整性和可用性。?jīng)過了一段時(shí)間后,例如當(dāng)信息已經(jīng)被公開時(shí),信息通常就不再是敏感的或重要的。應(yīng)該考慮到這些方面,因?yàn)檫^高的保密級(jí)別能夠?qū)е虏槐匾念~外的商業(yè)支出。分類原則應(yīng)該預(yù)見并顧及到一個(gè)事實(shí),及對(duì)任何特定信

5、息的分類都沒有必要始終不變,并可以根據(jù)一些預(yù)定的方針變化。應(yīng)該考慮劃分類別的數(shù)量以及對(duì)其使用所帶來的益處。過于復(fù)雜的分類方案可能造成使用上的麻煩和不經(jīng)濟(jì)或被證明為不切合實(shí)際。在解釋來自其他組織的文件上的分類標(biāo)簽時(shí)應(yīng)該小心,他們對(duì)相同或相似名字的標(biāo)簽可能有不同的定義。對(duì)一項(xiàng)信息(如文件、數(shù)據(jù)記錄、數(shù)據(jù)檔案或磁盤)的分類進(jìn)行定義以及對(duì)該分類定期評(píng)審的責(zé)任應(yīng)該保留給數(shù)據(jù)的創(chuàng)始者或指定的信息所有人。2.信息的標(biāo)示和處理信息的標(biāo)示和處理重要的是根

6、據(jù)組織所采用的分類方案,為信息的標(biāo)示和處理定義一套合適的程序。這些程序必須包含以物理或電子形式存在的信息資產(chǎn)。對(duì)每一信息類別,應(yīng)該定義處理程序,包含下列種類的信息處理活動(dòng):a)復(fù)制;b)存儲(chǔ);c)以郵件、傳真和電子郵件傳送;d)以口頭方式,包括移動(dòng)電話、語音郵件、答錄機(jī)傳送;e)銷毀。含有被劃分為敏感或重要信息之系統(tǒng)的輸出應(yīng)該采用適當(dāng)?shù)姆诸悩?biāo)示(在輸出上)。該標(biāo)示應(yīng)該反映根據(jù)上述分類原則建立的規(guī)則所做的分類。應(yīng)考慮的項(xiàng)目包括打印報(bào)告、屏

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 眾賞文庫僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論