5.2.4  資產(chǎn)管理

資產(chǎn)管理包含3個(gè)控制目標(biāo)10個(gè)控制措施。

　　組織要根據(jù)相關(guān)法律法規(guī)、業(yè)務(wù)目標(biāo)相關(guān)性識(shí)別信息生命周期中相關(guān)的重要資產(chǎn)并形成一份統(tǒng)一的信息資產(chǎn)清單，并確定每一項(xiàng)重要資產(chǎn)的責(zé)任人和信息分類。信息生命周期包括信息的創(chuàng)建、處理、存儲(chǔ)、傳輸、刪除和銷毀。資產(chǎn)管理文件應(yīng)使用適當(dāng)?shù)膶Ｓ形募颥F(xiàn)有清單并予以維持，資產(chǎn)清單要準(zhǔn)確，實(shí)時(shí)更新并與其他清單保持一致。

組織應(yīng)確定信息和資產(chǎn)安全管理制度、記錄并實(shí)施與信息處理設(shè)施有關(guān)的信息和資產(chǎn)可接受使用規(guī)則。使用或擁有資產(chǎn)訪問權(quán)的雇員和承包方人員要意識(shí)到他們使用信息處理設(shè)施相關(guān)的信息和資產(chǎn)以及資源時(shí)的限制條件。他們要對(duì)其使用信息處理資源以及在他們職責(zé)下的不當(dāng)使用造成的結(jié)果負(fù)責(zé)，例如違規(guī)外帶存儲(chǔ)敏感數(shù)據(jù)的筆記本導(dǎo)致丟失。

所有的雇員和外方用戶在終止任用、合同或協(xié)議時(shí)，應(yīng)歸還他們使用的所有組織資產(chǎn)（包括計(jì)算機(jī)、U-key、智能手機(jī)等）。當(dāng)雇員或外部人員購(gòu)買了組織淘汰的設(shè)備或臨時(shí)使用他們自己的設(shè)備處理組織業(yè)務(wù)時(shí)，要遵循規(guī)程確保所有組織相關(guān)的信息已轉(zhuǎn)移給組織，并且已從設(shè)備中安全地刪除。在終止過程中，組織要通過雇員和承包商控制未授權(quán)的相關(guān)信息拷貝（如設(shè)計(jì)圖、技術(shù)方案、知識(shí)產(chǎn)權(quán)）。