12.2 資產管理的職責（MAS_AMR）

12.2.1　安全保障管理目的

維持適當的保護措施保護組織機構的資產。
所有重要的信息資產應有負責人，并有選定的所有者。
資產的責任制保證實施了適當的保護措施。所有重要的資產都要確定所有者，并制定維護適當控制的責任。實施控制的責任可以委派。

12.2.2　MAS_AMR.1 資產清單

12.2.2.1　管理保障控制組件控制

應清晰地標識所有資產，應制定并維護一份重要資產清單。

12.2.2.2　管理保障控制組件注解

組織機構應識別所有資產并記錄資產的重要程度。資產清單應包含所有的必要信息以便災難恢復，應包括資產的類型、格式、位置、備份信息、許可信息和業務值。資產清單不應當復制其它的資產清單，但是應保證內容是一致的。
而且，每個資產的所有權和信息分類應該是經過認同的，并被文檔化。基于資產的重要程度、業務值和安全分類，應識別與資產重要程度相對應的保護級別。

12.2.3　MAS_AMR.2 資產的所有權

12.2.3.1　管理保障控制組件控制

同信息處理設施相關的所有信息和資產都應由組織機構中指定的部門擁有。

12.2.3.2　管理保障控制組件注解

資產所有者應負責：
a) 確保同信息處理設施相關的信息和資產都被恰當地分級；
b) 考慮到使用的訪問控制策略，定義訪問控制內容和訪問分類方法并定期審查。
所有權可以分配給：
a) 一個業務過程；
b) 一組活動；
c) 一個應用；
d) 一組數據。

12.2.4　MAS_AMR.3 資產的使用

12.2.4.1　管理保障控制組件控制

應標識、文檔化和實施同信息處理設施相關的信息和資產的可接受使用的規章制度。

12.2.4.2　管理保障控制組件注解

所有員工、合約方和第三方用戶應遵循同信息處理設施相關的信息和資產的可接受使用的規章制度，包括：
a) 使用電子郵件和互聯網的規章制度；
b) 使用移動設備，特別是在組織機構邊界外使用移動設備時的指南；
具體的規章制度和指南應由相關的管理部門提供。使用或訪問組織機構資產的員工、合約方和第三方用戶應該知道在使用同信息處理設施相關的信息和資產以及相應的資源時有哪些限制。應該對其使用的信息處理資源和在職責范圍內使用的方法負責。