ISO 27001 – Bilaga A.8: Asset Management

Vad är syftet med bilaga A.8.1?

Bilaga A.8.1 handlar om ansvar för tillgångar. Syftet med denna bilaga är att identifiera informationstillgångar som omfattas av ledningssystemet och definiera lämpliga skyddsansvar.

Det är en viktig del av ledningssystemet för informationssäkerhet (ISMS), särskilt om du vill uppnå ISO 27001-certifiering.

A.8.1.1 Inventering av tillgångar

Alla tillgångar associerade med informations- och informationsbehandlingsanläggningar måste identifieras och hanteras under hela livscykeln, alltid uppdaterade.

Ett register eller inventering av dessa tillgångar måste sammanställas som visar hur de hanteras och kontrolleras, baserat på deras betydelse (vilket också passar in i informationsklassificeringen nedan). Denna livscykel för informationen inkluderar i allmänhet steg för att skapa, bearbeta, lagra, överföra, radera och förstöra.

A.8.1.2 Ägande av tillgångar

Alla informationstillgångar måste ha ägare. Kapitalförvaltningsägande kan också skilja sig från juridiskt ägande, och det kan göras på en individuell nivå, avdelning eller annan enhet. Äganderätten bör tilldelas när tillgångarna skapas.

Tillgångsägaren ansvarar för en effektiv förvaltning av tillgången under hela tillgångens livscykel. De kan delegera hanteringen av det också och ägandet kan förändras under den livscykeln så länge som båda är dokumenterade.

A.8.1.3 Acceptabel användning av tillgångar

Acceptabel användning av information och tillgångar är viktigt att få rätt. Regler för acceptabel användning av tillgångar dokumenteras ofta i en "policy för acceptabel användning". Reglerna för acceptabel användning måste ta hänsyn till anställda, tillfälligt anställda, entreprenörer och andra tredje parter i tillämpliga fall över de informationstillgångar de har tillgång till.

Det är viktigt att alla relevanta parter har tillgång till uppsättningen av dokumenterade acceptabel användningsregler och dessa förstärks under regelbunden utbildning och informationssäkerhetsmedvetenhet, efterlevnadsrelaterad aktivitet.

A.8.1.4 Återlämnande av tillgångar

Alla anställda och externa användare förväntas lämna tillbaka alla organisations- och informationstillgångar vid uppsägning av deras anställning, kontrakt eller avtal. Som sådan måste det vara en skyldighet för anställda och externa användare att lämna tillbaka alla tillgångar och dessa skyldigheter skulle förväntas i relevanta avtal med personal, entreprenörer och andra.

En solid, dokumenterad process krävs också för att säkerställa att återlämnandet av tillgångar hanteras på lämpligt sätt och kan bevisas för varje person eller leverantör som går igenom det – detta är i linje med utträdeskontrollerna i bilaga 7 för mänskliga resurser och bilaga 13.2.4 för sekretessavtal och bilaga A.15 för leverantörsverksamhet.

Om tillgångar inte returneras enligt processen, om inte annat avtalats och dokumenterats som en del av utträdesprocessen, bör utebliven återlämnande loggas som en säkerhetsincident och följas upp i enlighet med bilaga A.16. Proceduren för återlämnande av tillgångar är aldrig idiotsäker och detta understryker också behovet av periodisk revision av tillgångar för att säkerställa deras fortsatta skydd.

Vad är syftet med bilaga A.8.2?

Bilaga A.8.2 handlar om informationsklassificering. Syftet med denna bilaga är att säkerställa att information får en lämplig skyddsnivå i enlighet med dess betydelse för organisationen (och intressenter som kunder).

A.8.2.1 Klassificering av information

Information måste klassificeras i termer av juridiska krav, värde, kritik och känslighet för alla obehöriga avslöjande eller modifieringar, helst klassificeras för att återspegla affärsverksamhet snarare än att hämma eller komplicera den. Till exempel kan information som görs allmänt tillgänglig, t.ex. på en webbplats, bara markeras som "offentlig", medan konfidentiell eller kommersiell i förtroende är uppenbar eftersom informationen är känsligare än offentlig.

Informationsklassificering är en av de viktigaste kontrollerna som används för att säkerställa att tillgångar är tillräckligt och proportionerligt skyddade. Många organisationer har 3-4 klassificeringsalternativ för att möjliggöra effektiv hantering av informationen med hänsyn till dess värde och betydelse. Det kan dock vara så enkelt eller så komplicerat som krävs för att säkerställa korrekt granularitetsnivå för skydd av tillgångar.

Kom ihåg om du håller det väldigt enkelt och har för få klassificeringar som kan innebära att du är över eller under teknisk kontroll. För många klassificeringsalternativ kommer sannolikt att förvirra slutanvändare om vad de ska använda och skapa ytterligare overhead på hanteringsschemat. Som med alla kontroller måste denna ses över regelbundet för att säkerställa att den är lämplig för ändamålet.

A.8.2.2 Märkning av information

En lämplig uppsättning förfaranden för informationsmärkning måste utvecklas och implementeras i enlighet med det informationsklassificeringssystem som antagits av organisationen. Rutiner för informationsmärkning kommer att behöva omfatta information och tillhörande tillgångar i både fysiska och elektroniska format. Denna märkning bör återspegla det klassificeringssystem som fastställs i 8.2.1.

Etiketterna ska vara lätta att känna igen och lätta att hantera i praktiken, annars kommer de inte att följas. Det kan till exempel vara lättare att de facto bestämma att allt är konfidentiellt i de digitala systemen om inte annat uttryckligen märkts, snarare än att få personalen att märka varje CRM-uppdatering med ett förtroendemeddelande!

Var tydlig med var denna de facto-märkning görs och dokumentera den i din policy och kom ihåg att inkludera den i utbildningen för personalen.

A.8.2.3 Hantering av tillgångar

Rutiner för hantering av tillgångar behöver utvecklas och implementeras i enlighet med informationsklassificeringsschemat. Följande bör beaktas; Åtkomstbegränsningar för varje klassificeringsnivå; Upprätthålla ett formellt register över de auktoriserade mottagarna av tillgångar; Förvaring av IT-tillgångar enligt tillverkarens specifikationer, märkning av media för behöriga parter.

Om organisationen hanterar informationstillgångar för kunder, leverantörer och andra är det viktigt att antingen visa upp en kartläggningspolicy t.ex. kundklassificering av officiella känsliga kartor till vår organisation av kommersiella i förtroende, eller att tilläggsklassificeringen skulle hanteras på andra sätt för att visa att den skyddas.

Vad är syftet med bilaga A.8.3?

Bilaga A.8.3 handlar om mediehantering. Syftet med denna bilaga är att förhindra obehörigt avslöjande, ändring, borttagande eller förstörelse av information som lagras på media.

A.8.3.1 Hantering av flyttbara media

Rutiner måste införas för hantering av flyttbara media i enlighet med klassificeringsschemat. Allmän användning av flyttbara medier måste riskbedömas och det kan bli nödvändigt att göra användningsspecifika riskbedömningar även utöver det. Flyttbara medier bör endast tillåtas om det finns ett motiverat affärsskäl.

Om det inte längre behövs ska innehållet i återanvändbara media göras oåterställbart och säkert förstöras eller raderas. Alla media bör förvaras i en säker och säker miljö, i enlighet med tillverkarens specifikationer och ytterligare tekniker som kryptografi beaktas där så är lämpligt (dvs. som en del av riskbedömningen).

Där det är nödvändigt och praktiskt, bör tillstånd krävas för media som tas bort från organisationen, och ett register förs för att upprätthålla ett revisionsspår.

A.8.3.2 Kassering av media

När det inte längre behövs måste media kasseras på ett säkert sätt genom att följa dokumenterade procedurer. Dessa procedurer minimerar risken för att konfidentiell information läcker ut till obehöriga.

Förfarandena bör stå i proportion till hur känslig informationen är. Saker som bör övervägas inkluderar; huruvida media innehåller konfidentiell information eller inte; och att ha rutiner på plats som hjälper till att identifiera de föremål som kan. kräver säker omhändertagande.

A.8.3.3 Fysisk mediaöverföring

Alla media som innehåller information måste skyddas mot obehörig åtkomst, missbruk eller korruption under transport (såvida de inte redan är allmänt tillgängliga).

Följande bör beaktas för att skydda media vid transport; Pålitlig transport eller kurirer bör användas – kanske en lista över auktoriserade kurirer bör komma överens med ledningen; Förpackningen bör vara tillräcklig för att skydda innehållet från fysisk skada under transporten. och Loggar bör föras, som identifierar mediets innehåll och det skydd som tillämpas.

Det bör också noteras att när konfidentiell information på media inte är krypterad bör ytterligare fysiskt skydd av media övervägas.