A.8.2 信息分级
目标:确保信息按照其对组织的重要程度受到适当水平的保护。
A.8.2.1信息的分级控制
信息应按照法律要求、价值、重要性及其对未授权泄露或修改的敏感性进行分级。
A.8.2.2信息的标记控制
应按照组织采用的信息分级方案,制定并实现一组适当的信息标记规程。
A.8.2.3资产的处理控制
应按照组织采用的信息分级方案,制定并实现资产处理规程。

控制解析:

  1. 《信息资产管理程序》应包含“A.8.2 信息分级”内容。
  2. 应对输出的信息资产清单的中信息进行分级。
  3. 应根据信息资产清单中的信息分级对信息进行标记,如重要商业秘密,一般商业秘密,内部公开,外部公开等。
  4. 应形成书面的《数据安全管理规范》,明确各级别的信息(重要商业秘密,一般商业秘密,内部公开,外部公开)管控要求。

实施本控制应输出的文档:

  1. 《信息资产管理程序》和《数据安全管理规范》。
  2. 信息资产清单。

本控制审核要点:

  1. 检查《信息资产管理程序》中是否有信息的分级方案。
  2. 信息资产清单中,是否有对信息进行分级,抽查各类重要信息是否按照《信息资产管理程序》中的分级方案进行的分级,分级是否合理。
  3. 检查《数据安全管理规范》各类级别信息的管控要求,要求是否全面和合理,抽查重要信息是否按照《数据安全管理规范》要求进行管控。