服务项目

ISO27001认证：“A.8.2 信息分级”条款理解与应用

文章录入：华道众合文章来源：华道众合添加时间：2021-1-22

A.8.2 信息分级
目的：确保信息按照其对组织的重要程度受到适当级别的保护。

【标准条款】

A.8.2.1 信息的分级

信息应按照法律要求、价值、重要性及其对未授权泄露或修改的敏感性进行分级。

【理解与应用】

信息的分级及相关保护控制宜考虑到共享或限制信息的业务需求和法律要求。非信息类的资产的分级也可与该资产存储、处理或保护的信息分级保持一致。

信息资产的拥有者宜对其分级负责。

分级方案宜包含约定及一段时间内分级规则和分级评审准则。宜通过分析考虑到的信息的保密性、完整性和可用性以及其他任何要求，以评估方案的保护级别。该方案宜与访问控制策略一致（见 A.9.1.1 访问控制策略）。

宜命名每个不同的级别、以便给出在该分级方案应用语境中的含义。

方案宜在整个组织中保持一致，以便每个人以同样的方式对信息和相关资产进行分级。对保护要求有相同的理解，并应用适当的保护。

组织的过程宜包含分级，并在组织中保持一致和协调。分级的结果宜体现资产的价值，该价值取决于资产对组织的敏感性和重要性，例如，依据保密性、完整性和可用性。分级结果宜根据资产在其生命周期中的价值、敏感性和重要性的变化进行更新。

【标准条款】

A.8.2.2 信息的标记

应按照组织采用的信息分级方案，制定并实现一组适当的信息标记规程。

【理解与应用】

信息标记的规程需要涵盖物理和电子格式的信息及其相关资产。该标记宜反映 A.8.2.1中所建立的分级方案。标记宜易于识别。该规程宜考虑信息被访问的方式或资产根据其介质类型被处理的方式，对标记的位置和方式给出指导。该规程可规定省略标记的情形，例如省略非保密信息的标记，以减少工作量。宜使员工和合同方了解标记规程。

包含分级为敏感或关键信息的系统输出宜带有合适的分级标记。

【标准条款】

A.8.2.3 资产的处理

应按照组织采用的信息分级方案，制定并实现资产处理规程。

【理解与应用】

建立信息操作、处理、存储和传输的规程，并与其分级（见 A.8.2.1信息的分级）保持一致。

宜考虑以下∶

（1）支持每个级别的保护要求的访问限制;

（2）对资产授权接受者的正式记录的维护;

（3）对信息的临时或永久拷贝的保护，与原始信息的保护级别一致;

（4）符合制造商说明书的 IT 资产存储;

（5）清晰地标记介质的所有拷贝，以便引起已授权接受者的关注。

不同组织的分级方案可能不尽相同，即使其分级名称相似。另外，在组织间传递的信息的分级根据其在不同组织的情境可能发生变化，即使分级方案完全相同。

包含信息共享的与其他组织的协议宜包含识别信息分级的规程和诠释其他组织信息分级标记的规程。

想了解更多的关于ISO27001认证信息可以经常关注我们

【相关文章】