奔烁热线:152-2175-9315
首页 > ISO27001认证 > “A.8.1 有关资产的责任”条款理解与应用“A.8.1 有关资产的责任”条款理解与应用
A.8.1 有关资产的责任
目的:识别组织资产并定义适当的保护责任。
【标准条款】
A.8.1.1 资产清单
应识别信息,以及与信息和信息处理设施相关的其他资产,并编制和维护这些资产的清单。
【理解与应用】
组织宜识别与信息生命周期相关的资产并将资产的重要性形成文件。信息生命周期宜包括创建、处理、存储、传输、删除和销毁。适当时,宜将专有的或现有的资产清单形成文件并维护。
资产清单宜准确,实时更新并与其他清单一致。
宜为每项已识别的资产指定所属关系(见 A.8.1.2资产的所属关系)并分级(见 A.8.2 信息分级)。
【标准条款】
A.8.1.2 资产的所属关系
应维护资产清单中资产的所属关系。
【理解与应用】
对资产生命周期具有被认可的管理职责的个人和其他实体有资格被指定为资产拥有者。
确保及时分配资产所属关系的过程要经常被实现。资产在创立或转移到组织时宜分配其所有权。资产被创建或转移到组织时,宜指定拥有者。资产拥有者宜对资产的整个生命周期负有适当的管理责任。
资产拥有者宜∶
(1)确保资产登记造册;
(2)确保对资产进行了适当的分级和保护;
(3)考虑适用的可用的访问控制策略,定义并定期评审对重要资产的访问限制和分级;
(4)确保资产在删除或销毁时进行了合适的处置。
【标准条款】
A.8.1.3 资产的可接受使用
应识别可接受的信息使用规则,以及与信息和信息处理设施有关的资产的可接受的使用规则,形成文件并加以实现。
【理解与应用】
使用或拥有组织资产访问权的员工和外部方用户,宜知晓组织信息的信息安全要求,以及组织与信息、信息处理和资源相关的其他资产的信息安全要求。他们宜对其使用任何信息处理资源以及在其责任下进行的任何使用负责。
【标准条款】
A.8.1.4 资产归还
所有员工和外部用户在任用、合同或协议终止时,应归还其占用的所有组织资产。
【理解与应用】
终止过程宜被正式化,包括归还所有先前发出的组织拥有的或被委托的物理的和电子的资产。
当员工或外部方用户购买了组织的设备或使用他们自己人员设备时,宜遵循该规程确保所有相关的信息已移交给组织,并且这些信息已从那些设备中安全地删除(见 A.11.2.7 设备的安全处置或再利用)。
当员工或外部方用户拥有的知识对正在进行的操作非常重要时,那么这样的信息宜形成文件并移交给组织。
在终止通知期间,组织宜控制被终止合作的员工和合同方对相关信息(如知识产权)的未授权拷贝。