ISO 27001 – Bilag A.8: Asset Management

Hvad er formålet med bilag A.8.1?

Bilag A.8.1 handler om ansvar for aktiver. Formålet med dette bilag er at identificere informationsaktiver, der er omfattet af ledelsessystemet, og definere passende beskyttelsesansvar.

Det er en vigtig del af informationssikkerhedsstyringssystemet (ISMS), især hvis du gerne vil opnå ISO 27001-certificering.

A.8.1.1 Opgørelse over aktiver

Eventuelle aktiver forbundet med informations- og informationsbehandlingsfaciliteter skal identificeres og administreres i løbet af livscyklussen, altid ajour.

Et register eller en opgørelse over disse aktiver skal sammensættes, der viser, hvordan de administreres og kontrolleres, baseret på deres betydning (som også passer fint ind i informationsklassificeringen nedenfor). Denne livscyklus af oplysningerne omfatter generelt oprettelse, behandling, lagring, transmission, sletning og destruktion.

A.8.1.2 Ejerskab af aktiver

Alle informationsaktiver skal have ejere. Asset management ejerskab kan også være anderledes end juridisk ejerskab, og det kan gøres på individuelt niveau, afdeling eller anden enhed. Ejerskab bør tildeles, når aktiverne oprettes.

Aktivejeren er ansvarlig for den effektive forvaltning af aktivet i hele aktivets livscyklus. De kan også uddelegere styring af det, og ejerskab kan ændre sig i løbet af den livscyklus, så længe begge dele er dokumenteret.

A.8.1.3 Acceptabel brug af aktiver

Acceptabel brug af information og af aktiver er vigtig at få rigtigt. Regler for acceptabel brug af aktiver er ofte dokumenteret i en "acceptabel brugspolitik". Reglerne for acceptabel brug skal tage hensyn til ansatte, vikarer, entreprenører og andre tredjeparter, hvor det er relevant, på tværs af de informationsaktiver, de har adgang til.

Det er vigtigt, at alle relevante parter har adgang til sættet af dokumenterede acceptabel brugsregler, og disse forstærkes under regelmæssig træning og informationssikkerhedsbevidsthed, overholdelsesrelateret aktivitet.

A.8.1.4 Tilbagelevering af aktiver

Alle medarbejdere og eksterne partsbrugere forventes at returnere eventuelle organisatoriske og informationsmæssige aktiver ved ophør af deres ansættelse, kontrakt eller aftale. Som sådan må det være en forpligtelse for medarbejdere og eksterne brugere at returnere alle aktiver, og disse forpligtelser ville forventes i de relevante aftaler med personale, entreprenører og andre.

En solid, dokumenteret proces er også påkrævet for at sikre, at returnering af aktiver styres korrekt og kan dokumenteres for hver person eller leverandør, der gennemgår den – dette stemmer overens med exitkontrollerne i bilag 7 for menneskelig ressourcesikkerhed og bilag 13.2.4 for fortrolighedsaftaler, og bilag A.15 for leverandøraktivitet.

Hvor aktiver ikke returneres i overensstemmelse med processen, medmindre andet er aftalt og dokumenteret som en del af exitprocessen, skal den manglende tilbagelevering logges som en sikkerhedshændelse og følges op i overensstemmelse med bilag A.16. Proceduren for tilbagelevering af aktiver er aldrig idiotsikker, og dette understreger også behovet for periodisk revision af aktiver for at sikre deres fortsatte beskyttelse.

Hvad er formålet med bilag A.8.2?

Bilag A.8.2 handler om informationsklassificering. Formålet med dette bilag er at sikre, at oplysninger modtager et passende beskyttelsesniveau i overensstemmelse med deres betydning for organisationen (og interesserede parter såsom kunder).

A.8.2.1 Klassificering af oplysninger

Oplysninger skal klassificeres med hensyn til lovkrav, værdi, kritikalitet og følsomhed over for enhver uautoriseret offentliggørelse eller ændring, ideelt set klassificeret til at afspejle forretningsaktivitet i stedet for at hæmme eller komplicere den. For eksempel kan oplysninger, der gøres offentligt tilgængelige, f.eks. på et websted, bare være markeret som "offentlige", mens fortrolige eller kommercielle fortrolige oplysninger er indlysende, fordi oplysningerne er mere følsomme end offentlige.

Informationsklassificering er en af ​​de vigtigste kontroller, der bruges til at sikre, at aktiver er tilstrækkeligt og forholdsmæssigt beskyttet. Mange organisationer har 3-4 klassificeringsmuligheder for at tillade effektiv styring af informationen under hensyntagen til dens værdi og betydning. Det kan dog være så enkelt eller så komplekst som nødvendigt for at sikre det korrekte granularitetsniveau til beskyttelse af aktiver.

Husk, at hvis du holder det meget enkelt og har for få klassifikationer, kan det betyde, at du er over eller under teknisk kontrol. For mange klassificeringsmuligheder vil sandsynligvis forvirre slutbrugerne med hensyn til, hvad de skal bruge, og skabe yderligere overhead på ledelsesordningen. Som med alle kontroller, skal denne gennemgås regelmæssigt for at sikre, at den er egnet til formålet.

A.8.2.2 Mærkning af information

Et passende sæt procedurer for informationsmærkning skal udvikles og implementeres i overensstemmelse med den informationsklassificeringsordning, som organisationen har vedtaget. Procedurer for informationsmærkning skal dække information og relaterede aktiver i både fysiske og elektroniske formater. Denne mærkning bør afspejle klassificeringsskemaet i 8.2.1.

Etiketterne skal være let genkendelige og nemme at administrere i praksis, ellers bliver de ikke fulgt. For eksempel kunne det være lettere at de facto beslutte, at alt er fortroligt i de digitale systemer, medmindre andet udtrykkeligt er mærket, i stedet for at få personalet til at mærke hver CRM-opdatering med en fortrolighedserklæring!

Vær klar over, hvor denne de facto-mærkning foretages, og dokumenter den i din politik, og husk derefter at inkludere den i uddannelsen af ​​personalet.

A.8.2.3 Håndtering af aktiver

Procedurer for håndtering af aktiver skal udvikles og implementeres i overensstemmelse med informationsklassifikationsskemaet. Følgende bør overvejes; Adgangsbegrænsninger for hvert klassifikationsniveau; Vedligeholdelse af en formel fortegnelse over de autoriserede modtagere af aktiver; Opbevaring af IT-aktiver i henhold til producentens specifikationer, mærkning af medier for autoriserede parter.

Hvis organisationen håndterer informationsaktiver for kunder, leverandører og andre, er det vigtigt enten at demonstrere en kortlægningspolitik, f.eks. kundeklassificering af officielle følsomme kort til vores organisation af kommercielle i fortrolighed, eller at den yderligere klassificering vil blive behandlet på andre måder for at vise, at den bliver beskyttet.

Hvad er formålet med bilag A.8.3?

Bilag A.8.3 handler om mediehåndtering. Formålet med dette bilag er at forhindre uautoriseret offentliggørelse, ændring, fjernelse eller ødelæggelse af oplysninger, der er lagret på medier.

A.8.3.1 Håndtering af flytbare medier

Der skal indføres procedurer for håndtering af flytbare medier i overensstemmelse med klassifikationsskemaet. Generel brug af aftagelige medier skal risikovurderes, og det kan også være nødvendigt at foretage brugsspecifikke risikovurderinger ud over det. Flytbare medier bør kun tillades, hvis der er en begrundet forretningsgrund.

Hvis det ikke længere er nødvendigt, skal indholdet af ethvert genanvendeligt medie gøres uopretteligt og sikkert destrueret eller slettet. Alle medier bør opbevares i et sikkert, sikkert miljø i overensstemmelse med fabrikantens specifikationer og yderligere teknikker såsom kryptografi overvejes, hvor det er relevant (dvs. som en del af risikovurderingen).

Hvor det er nødvendigt og praktisk, bør der kræves autorisation for medier, der fjernes fra organisationen, og der bør føres en registrering for at opretholde et revisionsspor.

A.8.3.2 Bortskaffelse af medier

Når det ikke længere kræves, skal medier bortskaffes sikkert ved at følge dokumenterede procedurer. Disse procedurer minimerer risikoen for lækage af fortrolig information til uautoriserede parter.

Procedurerne bør stå i forhold til følsomheden af ​​de oplysninger, der bortskaffes. Ting der bør overvejes inkluderer; hvorvidt mediet indeholder fortrolige oplysninger eller ej; og have procedurer på plads, som hjælper med at identificere de genstande, der evt. kræver sikker bortskaffelse.

A.8.3.3 Fysisk medieoverførsel

Ethvert medie, der indeholder information, skal beskyttes mod uautoriseret adgang, misbrug eller korruption under transport (medmindre de allerede er offentligt tilgængelige).

Følgende bør overvejes for at beskytte medier, når de transporteres; Pålidelig transport eller kurerer bør bruges - måske en liste over autoriserede kurerer bør aftales med ledelsen; Emballagen skal være tilstrækkelig til at beskytte indholdet mod enhver fysisk beskadigelse under transporten. og der bør føres logs, der identificerer mediets indhold og den anvendte beskyttelse.

Det skal også bemærkes, at når fortrolige oplysninger på medier ikke er krypteret, bør yderligere fysisk beskyttelse af mediet overvejes.