A.8 资产管理 | ||
A.8.1 有关资产的责任 | ||
目标:识别组织资产并定义适当的保护责任。 | ||
A.8.1.1 | 资产清单 | 控制 应识别信息,以及与信息和信息处理设施相关的其他资产,并编制和维护这些资产的清单。 |
A.8.1.2 | 资产的所属关系 | 控制 应维护资产清单中资产的所属关系。 |
A.8.1.3 | 资产的可接受使用 | 控制 应识别可接受的信息使用规则,以及与信息和信息处理设施有关的资产的可接受的使用规则,形成文件并加以实现。 |
A.8.1.4 | 资产归还 | 控制 所有员工和外部用户在任用、合同或协议终止时,应归还其占用的所有组织资产。 |
控制解析:
- “A.8 资产管理”主要是对信息资产的相关管理要求,必须形成《信息资产管理程序》。
- 应根据《信息资产管理程序》,对信息资产进行识别,并输出信息资产清单,清单中应明确各项信息资产的拥有者。
- 各项信息资产,特别是重要的信息资产,应有书面的信息安全相关的使用要求。
- 员工离职或调岗时,应归还所有信息资产,并有相关信息资产回收(注销)记录。
实施本控制应输出的文档:
- 《信息资产管理程序》以及信息资产清单。
- 重要信息资产书面的信息安全相关的使用要求。
- 信息资产回收(注销)记录。
本控制审核要点:
- 是否有形成书面的《信息资产管理程序》。
- 是否有信息资产清单,清单是否识别全面,各项信息资产是否有明确拥有者。
- 抽查重要信息资产使用的信息安全要求,可要求书面的文档,或询问员工是否清楚拥有的重要信息资产相关使用的信息安全要求。
- 抽查离职或调岗员工的信息资产是否有回收(注销),是否有相关记录。