1、1ISMS資產(chǎn)分類與控制資產(chǎn)分類與控制1.1資產(chǎn)責任資產(chǎn)責任1.資產(chǎn)清單資產(chǎn)清單資產(chǎn)清單有助于確保進行有效的資產(chǎn)保護，其它商業(yè)目的，如衛(wèi)生和安全、保險或財務(wù)（資產(chǎn)管理）原因同樣需要資產(chǎn)清單。編制資產(chǎn)清單的過程是風險評估的一個重要方面。組織需要識別其資產(chǎn)及這些資產(chǎn)的相對價值和重要性?；谶@些信息，組織能夠進而提供與資產(chǎn)的價值和重要性相符的保護等級。應(yīng)該編制并保持與每一信息系統(tǒng)相關(guān)的重要資產(chǎn)的清單。應(yīng)該清晰識別每項資產(chǎn)、其擁有權(quán)、經(jīng)同意和記

2、錄為文件的安全分級（見5.2），以及資產(chǎn)現(xiàn)在的位置（當試圖從丟失和損壞狀態(tài)恢復時是重要的）。和信息系統(tǒng)相關(guān)的資產(chǎn)的例子：a）信息資產(chǎn)：數(shù)據(jù)庫和數(shù)據(jù)文檔、系統(tǒng)文件、用戶手冊、培訓資料、操作和支持程序、持續(xù)性計劃、備用系統(tǒng)安排、存檔信息；b）軟件資產(chǎn)：應(yīng)用軟件、系統(tǒng)軟件、開發(fā)工具和實用程序；c）有形資產(chǎn)：計算機設(shè)備（處理器、監(jiān)視器、膝上形電腦、調(diào)制解調(diào)器），通信設(shè)備（路由器、數(shù)字程控交換機、傳真機、應(yīng)答機），磁媒體（磁帶和軟盤），其他技術(shù)裝

3、備（電源，空調(diào)設(shè)備），家具和住所；d）服務(wù)：計算和通信服務(wù)，通用設(shè)備，如供暖，照明，電力和空調(diào)等。目標：保持對組織資產(chǎn)的適當保護。應(yīng)該考慮所有重要的信息資產(chǎn)并指定所有人。資產(chǎn)責任有助于確保對資產(chǎn)保持適當?shù)谋Ｗo。應(yīng)該為所有重要資產(chǎn)指定所有人，并應(yīng)該分配對其保持適當控制措施的責任。實施控制措施的職責可以委托。責任應(yīng)由指定的資產(chǎn)所有人承擔。21.分類原則分類原則信息分類和相應(yīng)的保護控制措施應(yīng)該考慮共享或限制信息的商業(yè)要求，以及與這些要求相關(guān)的

4、商業(yè)影響，如對信息未經(jīng)授權(quán)的訪問或損壞。一般而言，對信息分類是決定如何處理和保護此信息的一條捷徑。來自處理機密性數(shù)據(jù)之系統(tǒng)的信息和輸出應(yīng)該按照其對組織的價值和敏感性進行標示。按照信息對組織的重要性進行標示同樣是適當?shù)?，如，按照信息的完整性和可用性。?jīng)過了一段時間后，例如當信息已經(jīng)被公開時，信息通常就不再是敏感的或重要的。應(yīng)該考慮到這些方面，因為過高的保密級別能夠?qū)е虏槐匾念~外的商業(yè)支出。分類原則應(yīng)該預見并顧及到一個事實，及對任何特定信

5、息的分類都沒有必要始終不變，并可以根據(jù)一些預定的方針變化。應(yīng)該考慮劃分類別的數(shù)量以及對其使用所帶來的益處。過于復雜的分類方案可能造成使用上的麻煩和不經(jīng)濟或被證明為不切合實際。在解釋來自其他組織的文件上的分類標簽時應(yīng)該小心，他們對相同或相似名字的標簽可能有不同的定義。對一項信息（如文件、數(shù)據(jù)記錄、數(shù)據(jù)檔案或磁盤）的分類進行定義以及對該分類定期評審的責任應(yīng)該保留給數(shù)據(jù)的創(chuàng)始者或指定的信息所有人。2.信息的標示和處理信息的標示和處理重要的是根

6、據(jù)組織所采用的分類方案，為信息的標示和處理定義一套合適的程序。這些程序必須包含以物理或電子形式存在的信息資產(chǎn)。對每一信息類別，應(yīng)該定義處理程序，包含下列種類的信息處理活動：a）復制；b）存儲；c）以郵件、傳真和電子郵件傳送；d）以口頭方式，包括移動電話、語音郵件、答錄機傳送；e）銷毀。含有被劃分為敏感或重要信息之系統(tǒng)的輸出應(yīng)該采用適當?shù)姆诸悩耸荆ㄔ谳敵錾希?。該標示?yīng)該反映根據(jù)上述分類原則建立的規(guī)則所做的分類。應(yīng)考慮的項目包括打印報告、屏