信息安全之资产管理二

组织应制定信息安全管理制度，组织信息应按照其法律要求、价值、对泄露或篡改的敏感性和关键性予以分类（例如定义为可对外公开、内部公开、内部某部门公开、内部特点人员公开等类别）。信息资产的所有者应对其分类负责。分类的结果表明了该资产的价值，该价值取决于其对组织业务目标的敏感性和关键性如保密性、完整性和有效性。

信息要进行标记并体现其分类，标记的规程需要涵盖物理和电子格式的信息资产。分类信息的标记和安全处理是信息共享的一个关键要求。物理标签和元数据标签是常见的形式。 标记应易于辨认且不易篡改，规程应对标记附着的位置和方式给出指导，并考虑到信息被访问的方式和介质类型的处理方式。

组织要建立与信息分类一致的资产处理、加工、存储和交换规程。

　　对于可移动介质，应建立与信息分类方案相对应的管理规程。根据相应规程确定可移动介质可以存储哪类信息。

对于不再需要的介质，要建立安全处置介质的正式规程，以使敏感信息泄露给未授权人员的风险减至最小。安全处置包含敏感信息介质的规程宜与信息的敏感性相一致。组织还要注意，当处置堆积的介质时要考虑集合效应，它可能使大量不敏感信息变成敏感信息。所有介质的处置应该留存处置记录。

存储信息的介质在物理传输期间易受未授权访问、不当使用或破坏。组织要保护包含信息的介质在传输中的安全，这里的介质包括纸质文档和电子信息。当介质的保密信息未加密时，宜考虑额外的物理防护，例如保密文件箱。