8.1有關資產的責任

8.1有關資產的責任

8.1.1資產清單

控制
宜識別信息，以及與信息和信息處理設施相關的其他資產，并編制和維護這些資產的清單。
實現指南
組織宜識別與信息生命周期相關的資產并將資產的重要性形成文件。信息生命周期宜包括創建、處理、存儲、傳輸、刪除和銷毀。適當時，宜將專有的或現有的資產清單形成文件并維護。
資產清單宜準確，實時更新并與其他清單一致。
宜為每項已識別的資產指定所屬關系（見8.1.2）并分級（見8.2）。
其他信息
資產清單有助于確保形成有效的資產保護，還可以基于諸如健康與安全、保險或財務（資產管理）等原因，要求該清單具有其他意圖。

8.1.2資產的所屬關系

控制
宜維護資產清單中資產的所屬關系。
實現指南
對資產生命周期具有被認可的管理責任的個人和其他實體有資格被指定為資產擁有者。
確保及時分配資產所屬關系的過程要經常被實現。資產在創立或轉移到組織時宜分配其所有權。資產被創建或轉移到組織時，宜指定擁有者。資產擁有者宜對資產的整個生命周期負有適當的管理責任。
資產擁有者宜：
a) 確保資產登記造冊；
b) 確保對資產進行了適當的分級和保護；
c) 考慮適用的可用的訪問控制策略，定義并定期評審對重要資產的訪問限制和分級；
d) 確保資產在刪除或銷毀時進行了合適的處置。
其他信息
已識別的擁有者可以是一個人或一個實體，其對控制資產的整個生命周期負有管理責任。已識別的擁有者沒有必要擁有資產產權。
例行任務可以被委派，例如委派給一個管理員日常看管資產，但該擁有者仍然要承擔責任。

8.1.3資產的可接受使用

控制
宜識別可接受的信息使用規則，以及與信息和信息處理設施有關的資產的可接受的使用規則，形成文件并加以實現。
實現指南

8.1.4資產歸還

控制
所有員工和外部用戶在任用、合同或協議終止時，宜歸還其占用的所有組織資產。
實現指南
終止過程宜被正式化，包括歸還所有先前發出的組織擁有的或被委托的物理的和電子的資產。
當員工或外部方用戶購買了組織的設備或使用他們自己人員設備時，宜遵循該規程確保所有相關的信息已移交給組織，并且這些信息已從那些設備中安全地刪除（見11.2.7）。
當員工或外部方用戶擁有的知識對正在進行的操作非常重要時，那么這樣的信息宜形成文件并移交給組織。