A.8.2 信息分级 | ||
目标:确保信息按照其对组织的重要程度受到适当水平的保护。 | ||
A.8.2.1 | 信息的分级 | 控制 信息应按照法律要求、价值、重要性及其对未授权泄露或修改的敏感性进行分级。 |
A.8.2.2 | 信息的标记 | 控制 应按照组织采用的信息分级方案,制定并实现一组适当的信息标记规程。 |
A.8.2.3 | 资产的处理 | 控制 应按照组织采用的信息分级方案,制定并实现资产处理规程。 |
控制解析:
- 《信息资产管理程序》应包含“A.8.2 信息分级”内容。
- 应对输出的信息资产清单的中信息进行分级。
- 应根据信息资产清单中的信息分级对信息进行标记,如重要商业秘密,一般商业秘密,内部公开,外部公开等。
- 应形成书面的《数据安全管理规范》,明确各级别的信息(重要商业秘密,一般商业秘密,内部公开,外部公开)管控要求。
实施本控制应输出的文档:
- 《信息资产管理程序》和《数据安全管理规范》。
- 信息资产清单。
本控制审核要点:
- 检查《信息资产管理程序》中是否有信息的分级方案。
- 信息资产清单中,是否有对信息进行分级,抽查各类重要信息是否按照《信息资产管理程序》中的分级方案进行的分级,分级是否合理。
- 检查《数据安全管理规范》各类级别信息的管控要求,要求是否全面和合理,抽查重要信息是否按照《数据安全管理规范》要求进行管控。