| 5 | Organizational controls 组织控制(ISO/IEC 27001: 2022 附录A) | |
| 5.9 | Inventory of information and other associated assets 信息和其他关联资产清单 | Control 控制 An inventory of information and other associated assets, including owners, shall be developed and maintained. 应编制和维护信息和其他关联资产清单,包含其所有者。 |
| 5.10 | Acceptable use of information and other associated assets 信息和其他关联资产的可接受使用 | Control 控制 Rules for the acceptable use and procedures for handling information and other associated assets shall be identified, documented and implemented. 应识别信息和其他关联资产的可接受使用规则,以及其处理规程,形成文件并加以实施。 |
| 5.11 | Return of assets 资产归还 | Control 控制 Personnel and other interested parties as appropriate shall return all the organization’s assets in their possession upon change or termination of their employment, contract or agreement. 员工和其他相关方在任用、合同或协议变更或终止时,应归还其占用的所有组织资产。 |
| 5.12 | Classification of information 信息的分级 | Control 控制 Information shall be classified according to the information security needs of the organization based on confidentiality, integrity, availability and relevant interested party requirements. 信息应按照基于保密性、完整性、可用性以及相关方要求的组织的信息安全需求进行分级。 |
| 5.13 | Labelling of information 信息的标记 | Control 控制 An appropriate set of procedures for information labelling shall be developed and implemented in accordance with the information classification scheme adopted by the organization. 应按照组织采用的信息分级方案,制定并实施一组适当的信息标记规程。 |
| 5.14 | Information transfer 信息传输 | Control 控制 Information transfer rules, procedures, or agreements shall be in place for all types of transfer facilities within the organization and between the organization and other parties. 应为组织内部以及组织与其他方之间的所有类型的传输设施制定信息传输规则、规程或协议。 |
| A.8 资产管理(ISO/IEC 27001: 2013 附录A) | ||
| A.8.1 有关资产的责任 | ||
| 目标:识别组织资产并定义适当的保护责任。 | ||
| A.8.1.1 | 资产清单 | 控制 应识别信息,以及与信息和信息处理设施相关的其他资产,并编制和维护这些资产的清单。 |
| A.8.1.2 | 资产的所属关系 | 控制 应维护资产清单中资产的所属关系。 |
| A.8.1.3 | 资产的可接受使用 | 控制 应识别可接受的信息使用规则,以及与信息和信息处理设施有关的资产的可接受的使用规则,形成文件并加以实现。 |
| A.8.1.4 | 资产归还 | 控制 所有员工和外部用户在任用、合同或协议终止时,应归还其占用的所有组织资产。 |
| A.8.2 信息分级 | ||
| 目标:确保信息按照其对组织的重要程度受到适当水平的保护。 | ||
| A.8.2.1 | 信息的分级 | 控制 信息应按照法律要求、价值、重要性及其对未授权泄露或修改的敏感性进行分级。 |
| A.8.2.2 | 信息的标记 | 控制 应按照组织采用的信息分级方案,制定并实现一组适当的信息标记规程。 |
| A.8.2.3 | 资产的处理 | 控制 应按照组织采用的信息分级方案,制定并实现资产处理规程。 |
| A.13 通信安全(ISO/IEC 27001: 2013 附录A) | ||
| A.13.2 信息传输 | ||
| 目标:维护在组织内及与外部实体间传输信息的安全。 | ||
| A.13.2.1 | 信息传输策略和规程 | 控制 应有正式的传输策略、规程和控制,以保护通过使用各种类型通信设施进行的信息传输。 |
| A.13.2.2 | 信息传输协议 | 控制 协议应解决组织与外部方之间业务信息的安全传输。 |
| A.13.2.3 | 电子消息发送 | 控制 应适当保护包含在电子消息发送中的信息。 |
控制解析:
- 在新版中的这些控制项(A.5.9 & A.5.10 & A.5.11 & A.5.12 & A.5.13 & A.5.14)都能在ISO/IEC 27001: 2013中找到对应的控制项。ISO/IEC 27001: 2013中的A.8.1.1和A.8.1.2,在新版中合并成了A.5.9;ISO/IEC 27001: 2013中的A.8.1.3和A.8.2.3,在新版中合并成了A.5.10;ISO/IEC 27001: 2013中的A.13.2.1、A.13.2.2和A.13.2.3,在新版中合并成了A.5.14。
- A.5.9 & A.5.10 & A.5.11 & A.5.12 & A.5.13 & A.5.14这些控制项,主要有两方面的内容:(1)信息和关联资产(也就是通常说的信息资产)的管控要求(A.5.9/A.5.10/A.5.11/A.5.12 );(2)信息(数据资产)的管控要求(A.5.12/A.5.13/A.5.14)。
- 为满足A.5.9/A.5.10/A.5.11/A.5.12要求,组织应建立信息资产管理过程,形成书面的《信息资产管理程序》。
- 在《信息资产管理程序》应明确信息资产类型、分级标准、信息资产识别流程、信息资产管理要求等。
- 为满足5.10/A.5.13/A.5.14要求,应建立《数据安全管理规范》,明确各级别数据的管控要求。
实施本控制应输出的文档:
- 《信息资产管理程序》和《数据安全管理规范》。
- 信息资产清单(A.5.9/A.5.12)。
- 关键信息资产使用安全要求(A.5.10)。
本控制审核要点:
- 审核《信息资产管理程序》,查看信息资产分类、分级情况。
- 审核信息资产清单,各项资产是否指定所有者,关键信息资产是否识别齐全,是否有对信息资产进行分级,分级是否符合组织实际情况。
- 抽查关键信息资产,是否能提供相关书面的使用安全要求。
- 查看组织人力资源管理流程(离职和调岗流程),是否有资产回收(撤销)结点,并查看相关记录。
- 审核《数据安全管理规范》,是否有对各级别(密级)的数据,在生命周期的各个阶段(包含数据传输(A.5.14要求))做出明确的管控要求。
- 抽查组织文档,查看是否有进行密级的标识。
