GB/T 36626—2018信息安全技術 信息系統安全運維管理指南8.1 資產管理
8.1.1 目的
識別與信息系統相關的所有資產,構建以資產為核心的安全運維機制。
8.1.2 要求
及時識別資產及資產之間的關系。
8.1.3 實施指南
將信息系統相關軟硬件資產進行登記,形成資產清單文件并持續維護。資產清單要準確,實時更新并與其他清單一致。
為每項已識別的資產指定所屬關系并分級。
明確資產(包括軟硬件、數據等)之間的關系,包括部署關系、支撐關系、依賴關系。
基于資產對業務的重要性,按照GB/T 31722-2015中的“附錄B 資產識別和估價以及影響評估”的方法計算資產的價值。
基于已發現的安全漏洞或已發生的安全事件,總結并形成每一個設備或系統的安全檢查清單。安全檢查清單需要動態維護。
建立介質安全處置的正式規程,減小保密信息泄露給未授權人員的風險。包含保密信息介質的安全處置規程要與信息的敏感性相一致。宜考慮下列條款:
a) 包含有保密信息的介質被安全地存儲和處置,例如,利用焚化或粉碎的方法,或者將數據擦除,供組織內其他應用使用;
b) 有規程識別可能需要安全處置的項目;
c) 將所有介質部件收集起來并進行安全處置,可能比試圖分離出敏感部件更容易;
d) 許多組織提供介質收集和處置服務;注意選擇具有足夠控制和經驗的合適的外部方;
e) 對處置的敏感項作記錄,以便維護審核蹤跡。
當大量處置介質時,考慮可導致大量不敏感信息成為敏感信息的集聚效應。
可能需要對包含敏感數據的已損壞設備進行風險評估以確定其部件是否宜進行物理銷毀,而不是被送修或廢棄。
推薦文章: