adminlily 发表于 2018-7-21 16:20:23

对isms资产和控制的解析

本帖最后由 adminlily 于 2018-8-25 17:12 编辑

  1.1 资产责任

  目标:保持对组织资产的适当保护。

  应该考虑所有重要的信息资产并指定所有人。

  资产责任有助于确保对资产保持适当的保护。应该为所有重要资产指定所有人,并应该分配对其保持适当控制措施的责任。实施控制措施的职责可以委托。责任应由指定的资产所有人承担。



  1. 资产清单

  资产清单有助于确保进行有效的资产保护,其它商业目的,如卫生和安全、保险或财务(资产管理)原因同样需要资产清单。编制资产清单的过程是风险评估的一个重要方面。组织需要识别其资产及这些资产的相对价值和重要性。基于这些信息,组织能够进而提供与资产的价值和重要性相符的保护等级。应该编制并保持与每一信息系统相关的重要资产的清单。应该清晰识别每项资产、其拥有权、经同意和记录为文件的安全分级(见5.2),以及资产现在的位置(当试图从丢失和损坏状态恢复时是重要的)。和信息系统相关的资产的例子:

  a) 信息资产:数据库和数据文档、系统文件、用户手册、培训资料、操作和支持程序、持续性计划、备用系统安排、存档信息;

  b) 软件资产:应用软件、系统软件、开发工具和实用程序;

  c) 有形资产:计算机设备(处理器、监视器、膝上形电脑、调制解调器),通信设备(路由器、数字程控交换机、传真机、应答机),磁媒体(磁带和软盘),其他技术装备(电源,空调设备),家具和住所;

  d) 服务:计算和通信服务,通用设备,如供暖,照明,电力和空调等。



关键字:信息安全管理体系、ISO27001、isms



页: [1]
查看完整版本: 对isms资产和控制的解析