服务项目 |
ISO27001认证办理,ISO27000认证咨询,信息安全管理体系认证,信息安全体系认证咨询 |
面向地区 |
工业品 |
机械设备 |
识别出范围内的资产
步是找出 ISMS 范围内的所有信息资产,同时记录下―拥有‖这些资产的个人和部门。这项工作基于、并且也可以成为范围划定工作的一部分。这项工作中的主要组成部分包括:
1.从物理和逻辑的层面确定受保护的边界
2.找出边界内所有需要接收、存储、处理和发送信息或数据的系统,以及这些系统内的信息资产。
3.确定这些系统、信息资产和组织的目标及任务之间的关系
4.识别出对组织达成目标和任务至关重要的系统和信息资产,可能的话,将它们按顺序排列。附件 A.7.1是关于资产清单的控管措施,在这一点,可采纳 ISO 27002的章节7.1的指南。它明确提出,要将信息资产的属性和级别纳入考量,并且建议此时对资产进行信息安全等级划分,这和附件 A.7.2中关于信息应该得到适当划分是一致的。
资产所有者
在确认信息资产的同时需要识别出这些资产的―所有人‖。ISO 27001定义―所有人‖为―负有被认可管理责任的个人或个体,其控制资产的生成、开发、维护、使用及安全。这里的定义并非法律认知或一般认知的财产拥 有者。每项资产必需拥有一个所有人,这是附录 A.7.1.2中关于资产所有权中的要求。资产的所有者是个人,或者组织的一部分,它应该对资产的分级和保护负责。
威胁它们是那些可以让识别出来的资产出现故障或―攻击‖资产的事情。它们可能来自外部,也可能来自内部。标准强制要求下一步对每项资产进行潜在威胁的识别。当然,像单个威胁可以影响多个资产一样,标准要求 ISMS 可以拥有相当的灵活性,对于落在同别同一类型的资产,当它们面临的威胁也一样时,可将这些资产 当做一类,在后续的工作中进行相同的对待。
