1.1 资产责任

　　目标：保持对组织资产的适当保护。

　　应该考虑所有重要的信息资产并指定所有人。

　　资产责任有助于确保对资产保持适当的保护。应该为所有重要资产指定所有人，并应该分配对其保持适当控制措施的责任。实施控制措施的职责可以委托。责任应由指定的资产所有人承担。



　　1. 资产清单

　　资产清单有助于确保进行有效的资产保护，其它商业目的，如卫生和安全、保险或财务（资产管理）原因同样需要资产清单。编制资产清单的过程是风险评估的一个重要方面。组织需要识别其资产及这些资产的相对价值和重要性。基于这些信息，组织能够进而提供与资产的价值和重要性相符的保护等级。应该编制并保持与每一信息系统相关的重要资产的清单。应该清晰识别每项资产、其拥有权、经同意和记录为文件的安全分级（见5.2），以及资产现在的位置（当试图从丢失和损坏状态恢复时是重要的）。和信息系统相关的资产的例子：

　　a） 信息资产：数据库和数据文档、系统文件、用户手册、培训资料、操作和支持程序、持续性计划、备用系统安排、存档信息；

　　b） 软件资产：应用软件、系统软件、开发工具和实用程序；

　　c） 有形资产：计算机设备（处理器、监视器、膝上形电脑、调制解调器），通信设备（路由器、数字程控交换机、传真机、应答机），磁媒体（磁带和软盘），其他技术装备（电源，空调设备），家具和住所；

　　d） 服务：计算和通信服务，通用设备，如供暖，照明，电力和空调等。



关键字:信息安全管理体系、ISO27001、isms

　　1.1 资产责任

　　目标：保持对组织资产的适当保护。

　　应该考虑所有重要的信息资产并指定所有人。

　　资产责任有助于确保对资产保持适当的保护。应该为所有重要资产指定所有人，并应该分配对其保持适当控制措施的责任。实施控制措施的职责可以委托。责任应由指定的资产所有人承担。



　　1. 资产清单

　　资产清单有助于确保进行有效的资产保护，其它商业目的，如卫生和安全、保险或财务（资产管理）原因同样需要资产清单。编制资产清单的过程是风险评估的一个重要方面。组织需要识别其资产及这些资产的相对价值和重要性。基于这些信息，组织能够进而提供与资产的价值和重要性相符的保护等级。应该编制并保持与每一信息系统相关的重要资产的清单。应该清晰识别每项资产、其拥有权、经同意和记录为文件的安全分级（见5.2），以及资产现在的位置（当试图从丢失和损坏状态恢复时是重要的）。和信息系统相关的资产的例子：

　　a） 信息资产：数据库和数据文档、系统文件、用户手册、培训资料、操作和支持程序、持续性计划、备用系统安排、存档信息；

　　b） 软件资产：应用软件、系统软件、开发工具和实用程序；

　　c） 有形资产：计算机设备（处理器、监视器、膝上形电脑、调制解调器），通信设备（路由器、数字程控交换机、传真机、应答机），磁媒体（磁带和软盘），其他技术装备（电源，空调设备），家具和住所；

　　d） 服务：计算和通信服务，通用设备，如供暖，照明，电力和空调等。



关键字:信息安全管理体系、ISO27001、isms