5.2.4 资产管理
资产管理包含3个控制目标10个控制措施。
组织要根据相关法律法规、业务目标相关性识别信息生命周期中相关的重要资产并形成一份统一的信息资产清单,并确定每一项重要资产的责任人和信息分类。信息生命周期包括信息的创建、处理、存储、传输、删除和销毁。资产管理文件应使用适当的专有文件或现有清单并予以维持,资产清单要准确,实时更新并与其他清单保持一致。
组织应确定信息和资产安全管理制度、记录并实施与信息处理设施有关的信息和资产可接受使用规则。使用或拥有资产访问权的雇员和承包方人员要意识到他们使用信息处理设施相关的信息和资产以及资源时的限制条件。他们要对其使用信息处理资源以及在他们职责下的不当使用造成的结果负责,例如违规外带存储敏感数据的笔记本导致丢失。
所有的雇员和外方用户在终止任用、合同或协议时,应归还他们使用的所有组织资产(包括计算机、U-key、智能手机等)。当雇员或外部人员购买了组织淘汰的设备或临时使用他们自己的设备处理组织业务时,要遵循规程确保所有组织相关的信息已转移给组织,并且已从设备中安全地删除。在终止过程中,组织要通过雇员和承包商控制未授权的相关信息拷贝(如设计图、技术方案、知识产权)。