ISO27001信息安全管理资产管理解析

1.资产是组织内部所有有用的东西，因此，资产的概念是宽泛的。对于大部分组织来说，传统资产的管理是完善的，但是对于信息本身来说却没有很好的管理。本标准在引言中就已经指出:信息是一种资产，像其他业务资产一样,对组织具有价值。

要想把资产管理好，首先要识别所有的资产并形成完善的清单，而且要把资产重要性形成文件，这样在实际的管理中就做到了心中有数。

资产清单可以帮助组织从灾难中恢复所需要的信息，包含的项目有资产的类型、格式、位置、备份信息许可证信息业务价值等。这些项目不-定要在 一个相同的清单中，它们可以分散到很多清单中去，但是必须保证这些清单是相关联的。

2. 资产清单中包括了另一个重要的栏目、即资产的负责人。与信息处理设施有关的所有信息和资产应该由指定的部门或者人员承担责任。

3. 资产负债人应负责:

4. a)确保与信息处理设施相关的信息和资产进行了适当的分类;

5. b)确定并周期性评审访问限制和分类, 要考虑到可应用的访问控制策略。

6. 对于普通的用户而言,关心的是资产能提供合格的服务。那么，任何引导他们正确地使用资产，所有雇员承包方人员和第三方人员应该遵循信息处理设施相关信息与资产的可接受的使用规则。这其中包括很多方面，对所有的资产都应该有具体的使用规则和指南。在很多情况下，这些规则或指南，可能不是独立的，可能被划归到对信息系统的合格使用问题上。4.人力资源安全解析

7. 所有的管理活动都不能离开“人” 这个主体的参与,实上，一个组织重要的、有价值的信息相当-部分存在员工的大脑中，许多信息安全事件是由人而起的。"人” 在信息安全活动中是最复杂、最难控制的保护对象。

8. 信息安全意识的好坏直接影响信息安全管理体系效果。组织的所有雇员,适当时，包括承包方和第三方人员,应该受到与其工作职能相关的适当的意识培训和组织方针策略程序的定期更新培训。在所有的雇员、各方人员和第三方人员在终止任用、合同或者协议时，应归还他们使用的所有组织资产。这些资产“主要包括:

9. a)软件.公司文件和设备;

10. b)其他组织资产,例如移动计算设备、信用卡、访问卡、软件、手册;

11. c)存储于电子介质中的信息。

12. 归还资产和撤销访问权应是在终止或变化时必须执行的步骤。很多信息安全事故都是由于人员任用终止，而服务权没有相应终止，由心怀怨恨的雇员引起的。

华菱咨询位于中国长三角、珠三角、京津冀和西南地区地区，成立于 2001 年,专注于标准体系咨询、产品认证咨询、企业管理项目咨询以及相关教育训练的顾问公司。公司已在北京、上海、杭州、广州、深圳、合肥、江西、西安设立了分支机构。

经过20多年的发展与实践沉淀，华菱咨询将利用深厚的行业知识，帮助客户把握新机遇，评估和管理风险，以实现负责任的增长。华菱咨询高绩效的跨学科团队可帮助客户满足监管要求，确保客户及时了解信息并满足利益相关者的需求。华菱咨询将为客户提供全面的端到端的服务，利用技术的进步真正推动业务的发展。

版权声明：

1.本公众号所发布内容，凡未注明“原创”等字样的均来源于网络善意转载，版权归原作者所有！

2.除本平台独家和原创，其他内容非本平台立场，不构成投资建议。

3.如千辛万苦未找到原作者或原始出处，请理解并联系我们。

4.文中部分图片源于网络。

5.本公众号发布此文出于传播消息之目的，如有侵权，联系删除。

华菱咨询深圳官网：http://www.hlemc-sz.com/

华菱咨询苏州官网：http://www.hlemc.com/

若还有其他问题，可直接在平台私信联系我们，我们会第一时间与您取得联系,感谢支持。