ISMS资产分类与控制.doc

ISMS资产分类与控制1.1 资产责任目标：保持对组织资产的适当保护。应该考虑所有重要的信息资产并指定所有人。资产责任有助于确保对资产保持适当的保护。应该为所有重要资产指定所有人，并应该分配对其保持适当控制措施的责任。实施控制措施的职责可以委托。责任应由指定的资产所有人承担。1. 资产清单资产清单有助于确保进行有效的资产保护，其它商业目的，如卫生和安全、保险或财务（资产管理）原因同样需要资产清单。编制资产清单的过程是风险评估的一个重要方面。组织需要识别其资产及这些资产的相对价值和重要性。基于这些信息，组织能够进而提供与资产的价值和重要性相符的保护等级。应该编制并保持与每一信息系统相关的重要资产的清单。应该清晰识别每项资产、其拥有权、经同意和记录为文件的安全分级（见5.2），以及资产现在的位置（当试图从丢失和损坏状态恢复时是重要的）。和信息系统相关的资产的例子：a） 信息资产：数据库和数据文档、系统文件、用户手册、培训资料、操作和支持程序、持续性计划、备用系统安排、存档信息；b） 软件资产：应用软件、系统软件、开发工具和实用程序；c） 有形资产：计算机设备（处理器、监视器、膝上形电脑、调制解调器），通信设备（路由器、数字程控交换机、传真机、应答机），磁媒体（磁带和软盘），其他技术装备（电源，空调设备），家具和住所；d） 服务：计算和通信服务，通用设备，如供暖，照明，电力和空调等。ISO27001信息安全管理标准理解及内审员培训 培训热线：0755-25936263、25936264 李小姐客服QQ：1484093445、675978375 ISO27001信息安全管理标准理解及内审员培训 下载报名表 内训调查表 【课程描述】ISO/IEC27001:2005信息技术安全管理体系要求用于组织的信息安全管理体系的建立和实施，保障组织的信息安全。本课程将详述ISO 27001:2005/ISO 27002:2005标准的每一个要求，指导如何管理信息安全风险，并附以大量的审核实战案例以作说明。内部审核部分将以ISO 19011:2002为基础，教授学员如何策划和实施信息安全管理体系内部审核活动。掌握该体系的具体执行程序和标准，并了解对该体系进行检查和审核的方法以及制作审核报告的技巧。 【课程帮助】如果你想对本课程有更深入的了解，请参考 德信诚ISO27001内审员相关资料手册【课程对象】信息安全管理人员，欲将ISO27001导入组织的人员，在ISO27001实施过程中承担内部审核工作的人员，有志于从事IT信息安全管理工作的人员。 【课程大纲】第一部分：ISO27001：2005信息安全概述、标准条款讲解 信息安全概述：信息及信息安全，CIA目标，信息安全需求来源，信息安全管理。 风险评估与管理：风险管理要素，过程，定量与定性风险评估方法，风险消减。 ISO/IEC 27001简介：ISO27001标准发展历史、现状和主要内容，ISO27001标准认证。 信息安全管理实施细则：从十个方面介绍ISO27001的各项控制目标和控制措施。 信息安全管理体系规范：ISO/IEC27001-2005标准要求内容，PDCA管理模型，ISMS建设方法和过程。第二部分：ISO27001：2005信息安全管理体系文件建立（ISO27001与ISO9001、ISO14001管理体系如何整合） ISO27001与ISO9001、ISO14001的异同 ISO27001与ISO9001、ISO14001可以共用的程序文件和三级文件 如何将三体系整合降低公司的体系运行成本 ISO9001、ISO14001、ISO27001体系三合一整合案例分析第三部分：信息安全管理体系内部审核技巧和认证应对案例分析 ISO27001：2005标准对内审员的新要求 信息安全管理体系认证现场审核的流程、技巧及沟通方法 如何应对认证公司的认证审核、监督审核、案例分析 考试 考试合格者颁发“ISO27000信息安全管理体系内部审核员培训合格证书”1.2 信息分类目标：确保信息资产受到适当级别的保护；应该对信息进行分类以指明要求、优先性和保护等级。信息具有不同程度的敏感性和重要性。一些项目可能需要额外级别的保护和特殊处理。应该使用信息分类系统来定义一套适当的保护等级，并传达特殊处理措施的要求。1. 分类原则信息分类和相应的保护控制措施应该考虑共享或限制信息的商业要求，以及与这些要求相关的商业影响，如对信息未经授权的访问或损坏。一般而言，对信息分类是决定如何处理和保护此信息的一条捷径。来自处理机密性数据之系统的信息和输出应该按照其对组织的价值和敏感性进行标示。按照信息对组织的重要性进行标示同样是适当的，如，按照信息的完整性和可用性。经过了一段时间后，例如当信息已经被公开时，信息通常就不再是敏感的或重要的。应该考虑到这些方面，因为过高的保密级别能够导致不必要的额外的商业支出。分类原则应该预见并顾及到一个事实，及对任何特定信息的分类都没有必要始终不变，并可以根据一些预定的方针变化。应该考虑划分类别的数量以及对其使用所带来的益处。过于复杂的分类方案可能造成使用上的麻烦和不经济或被证明为不切合实际。在解释来自其他组织的文件上的分类标签时应该小心，他们对相同或相似名字的标签可能有不同的定义。对一项信息（如文件、数据记录、数据档案或磁盘）的分类进行定义以及对该分类定期评审的责任应该保留给数据的创始者或指定的信息所有人。2. 信息的标示和处理重要的是根据组织所采用的分类方案，为信息的标示和处理定义一套合适的程序。这些程序必须包含以物理或电子形式存在的信息资产。对每一信息类别，应该定义处理程序，包含下列种类的信息处理活动：a） 复制；b） 存储；c） 以邮件、传真和电子邮件传送；d） 以口头方式，包括移动电话、语音邮件、答录机传送；e） 销毁。含有被划分为敏感或重要信息之系统的输出应该采用适当的分类标示（在输出上）。该标示应该反映根据上述分类原则建立的规则所做的分类。应考虑的项目包括打印报告、屏幕显示、记录了信息的媒体（磁带、磁盘、光盘、盒式磁带），电子信息和文件传送。物理标示一般是最合适的标示形式。然而，一些信息资产，如电子形式的文件，就不能进行物理标示，而需要使用电子方法标示。