ISO27001培训系列V1.0
ISO 27001信息安全体系培训控制目标和控制措施
（条款A7-资产管理）
2009年11月
董翼枫（dongyifeng78@ ）
条款A7
资产管理
A7.1对资产负责
✓目标：
实现和保持对组织资产的适当保护。

✓所有资产应是可核查的，并且有指定的责任人。

✓对于所有资产要指定责任人，并且要赋予保持相应控制措施的职责。

特定控制措施的实施可以由责任人适当地委派别人承担，但责任人仍有对资产提供适当保护的责任。

A7.1.1资产清单
控制措施
✓应清晰的识别所有资产，编制并维护所有重要资产的清单。

实施指南
✓一个组织应识别所有资产并将资产的重要性形成文件。

资产清单应包括所有为从灾难中恢复而需要的信息，包括资产类型、格式、位置、备份信息、许可证信息和业务价值。

该清单不应复制其他不必要的清单，但它应确保内容是相关联的。

✓另外，应商定每一资产的责任人（见A7.1.2）和信息分类（见A7.2），并形成文件。

基于资产的重要性、其业务价值和安全级别，应识别与资产重要性对应的保护级别。

A7.1.2资产责任人
控制措施
✓与信息处理设施有关的所有信息和资产应由组织的指定部门或人员承担责任。

实施指南
✓资产责任人应负责：
a)确保与信息处理设施相关的信息和资产进行了适当的分类；
b)确定并周期性评审访问限制和分类，要考虑到可应用的访问控制策略。

✓所有权可以分配给：
a)业务过程；
b)已定义的活动集；
c)应用；
d)已定义的数据集。

A7.1.3资产的合格使用
控制措施
✓与信息处理设施有关的信息和资产使用允许规则应被确定、形成文件并加以实施。

实施指南
✓所有雇员、承包方人员和第三方人员应遵循信息处理设施相关信息和资产的可接受的使用规则，包括：
a)电子邮件和互联网使用（见A10.8）规则；
b)移动设备，尤其是在组织外部使用设备（见A11.7;1）的使用指南；
✓具体规则或指南应由相关管理者提供。

使用或拥有访问组织资产权的雇员、承包方人员和第三方人员应意识到他们使用信息处理设施相关的信息和资产以及资源时的限制条件。

他们应对使用信息处理资源以及在他们职责下的使用负责。

A7.2信息分类
✓目标：
确保信息受到适当级别的保护。

✓信息要分类，以在处理信息时指明保护的需求、优先级和期望程度。

✓信息具有可变的敏感性和关键性。

某些项可能要求附加等级的保护或特殊处理。

信息分类机制用来定义一组合适的保护等级并传达对特殊处理措施的需求。

A7.2.1分类指南
控制措施
✓信息应按照它对组织的价值、法律要求、敏感性和关键性予以分类。

实施指南
✓信息的分类及相关保护控制措施要考虑到共享或限制信息的业务需求以及与这种需求相关的业务影响。

✓分类指南应包括根据预先确定的访问控制策略（见A11.1.1）进行初始分类及一段时间后进行重新分类的惯例。

✓确定资产的类别、对其周期性评审、确保其跟上时代并处于适当的级别，这些都应是资产责任人（见A7.1.2）的职责。

分类要考虑A10.7.2提及的集合效应。

✓应考虑分类类别的数目和从其使用中获得的好处。

过度复杂的方案可能对使用来说不方便，也不经济，或许是不实际的。

在解释从其他组织获取的文件的分类标记时应小心，因为其他组织可能对于相同或类似命名的标记有不同的定义。

A7.2.2信息的标记和处理
控制措施
✓应按照组织所采纳的分类机制建立和实施一组合适的信息标记和处理程序。

实施指南
✓信息标记的程序需要涵盖物理和电子格式的信息资产。

✓包含分类为敏感或关键信息的系统输出应在该输出中携带合适的分类标记。

该标记要根据A7.2.1中所建立的规则反映出分类。

待考虑的项目包括打印报告、屏幕显示、记录介质（例如磁带、磁盘、CD）、电子消息和文件传送。

✓对每种分类级别，要定义包括安全处理、储存、传输、删除、销毁的处理程序。

还要包括一系列任何安全相关事态的监督和记录程序。

✓涉及信息共享的与其他组织的协议应包括识别信息分类和解释其他组织分类标记的程序。

END
Thank you！。