服務項目 |
ISO27001認證辦理,ISO27000認證咨詢,信息安全管理體系認證,信息安全體系認證咨詢 |
面向地區 |
工業品 |
機械設備 |
識別出范圍內的資產
步是找出 ISMS 范圍內的所有信息資產,同時記錄下―擁有‖這些資產的個人和部門。這項工作基于、并且也可以成為范圍劃定工作的一部分。這項工作中的主要組成部分包括:
1.從物理和邏輯的層面確定受保護的邊界
2.找出邊界內所有需要接收、存儲、處理和發送信息或數據的系統,以及這些系統內的信息資產。
3.確定這些系統、信息資產和組織的目標及任務之間的關系
4.識別出對組織達成目標和任務至關重要的系統和信息資產,可能的話,將它們按順序排列。附件 A.7.1是關于資產清單的控管措施,在這一點,可采納 ISO 27002的章節7.1的指南。它明確提出,要將信息資產的屬性和級別納入考量,并且建議此時對資產進行信息安全等級劃分,這和附件 A.7.2中關于信息應該得到適當劃分是一致的。
資產所有者
在確認信息資產的同時需要識別出這些資產的―所有人‖。ISO 27001定義―所有人‖為―負有被認可管理責任的個人或個體,其控制資產的生成、開發、維護、使用及安全。這里的定義并非法律認知或一般認知的財產擁 有者。每項資產必需擁有一個所有人,這是附錄 A.7.1.2中關于資產所有權中的要求。資產的所有者是個人,或者組織的一部分,它應該對資產的分級和保護負責。
威脅它們是那些可以讓識別出來的資產出現故障或―攻擊‖資產的事情。它們可能來自外部,也可能來自內部。標準強制要求下一步對每項資產進行潛在威脅的識別。當然,像單個威脅可以影響多個資產一樣,標準要求 ISMS 可以擁有相當的靈活性,對于落在同別同一類型的資產,當它們面臨的威脅也一樣時,可將這些資產 當做一類,在后續的工作中進行相同的對待。
