[Day20]ISO 27001 附录 A.8 资产管理

好的！【足以维护资讯系统的人才】已经到位啦！
所以就就可以针对资讯资产来做管理！

A.8 资产管理

A.8.1 资产责任

识别组织之资产并定义适切之保护责任。

A.8.1.1 资产清册

应识别与资讯及资讯处理设施相关联之资产，并制作及维持此等资产之清册。

• 资讯资产清册版本及日期

• 挑选此次验证范围的重大资讯系统为此次抽样目标
  如果不知道哪个是重大资讯系统，可以直接与受稽方讨论。

• 确认资产清册列入的项目是否缺漏

A.8.1.2 资产拥有权

清册中所维持之资产应具拥有者。

• 资产拥有者才能决定资产的用法
• 人员异动是否一并更新资产清册

A.8.1.3 资产之可被接受使用

对与资讯及资讯处理设施相关联之资讯及资产，应识别、文件化及实作可被接受使用之规则。

• 预期在组织内会看到资产使用的相关程序要求，如使用政策、管理规范

A.8.1.4 资产之归还

所有员工及外部使用者於其聘用、契约或协议终止时，应归还其据有之全部组织资产。

• 资产异动是否有相关记录，如：汰换、维修、借用、归还

A.8.2 资讯分级

确保资讯依其对组织之重要性，受到适切等级的保护。

A.8.2.1 资讯之分级

资讯应依法律要求、价值、重要性及对未经授权揭露或修改之敏感性分级。

• 请教资讯资产分级的方法

A.8.2.2 资讯之标示

应依组织所采用之资讯分级方案，发展及实作一套适切的资讯标示程序。

• 有了分级的方法要有标示的方式，如：用红色卷宗代表机密。

A.8.2.3 资产之处置

应依组织所采用之资讯分级方案，发展及实作处置资产之程序。

• 依据分级之重要性，进行资产必要之处置，如：保护方式、存放、任何的措施

A.8.3 媒体处置

防止储存於媒体之资讯被未经授权之揭露、修改、移除或破坏。

A.8.3.1 可移除式媒体之管理

应依组织所采用之资讯分级方案，实作管理可移除式媒体之程序。

• 如字面上述所，可移除式媒体的管理方式，如：USB、光碟、磁带…

A.8.3.2 媒体之汰除

当不再需要媒体时，应使用正式程序加以安全汰除。

• 媒体汰除之做法，依组织定义之做法，但要是安全且有效的，如：碎纸机、水销、消磁、实体破坏

A.8.3.3 实体媒体传送

应保护含有资讯之媒体於传送时，不受未经授权的存取、误用或毁损。

• 如果储存重要资料的媒体要透过实体运送，也要有保护的方式，例如: 防窜改包装、专人亲送、上锁保护箱

参考文献

国家标准(CNS)网路服务系统：https://www.cnsonline.com.tw/

恐怖游戏推荐：

废弃孤儿院(Palmyra Orphanage)

Steam：https://store.steampowered.com/app/1085160/Palmyra_Orphanage/

超自然第一人称恐怖，发生在一个废弃的孤儿院。 走过你童年的走廊，但请记住，不是只有你一个。
还是泰国风味口味最重了 >/////<