A8 资产管理
8.1 对资产负责
8.1.1 资产清单
8.1.2 资产所有权
8.1.3 资产的可接受使用
8.1.4 资产的归还
8.2 信息分类
8.2.1 信息的分类
8.2.2 信息的标记
8.2.3 信息的处理
8.3 介质处置
8.3.1 可移动介质的管理
例如:基于windows的系统,基于预登陆,我们可以在Windows的组策略里直接设置USB口失效;
如果绕过了预登陆,可以在BIOS上做限制,把USB口、光盘启动disable掉;给BIOS设置密码,且不能泄露密码;
给插入USB口的地方粘贴易碎纸;
或直接购买不含USB口的笔记本电脑;
或限制使用区域;
或通过记录USB拷贝了哪些文件等方式。
8.3.2 介质的处置
8.3.3 物理介质传输
比如用专用的磁盘保管箱将磁盘保管好再运输,防止损坏。
A9 访问控制(识别,验证,授权,审计)
9.1 访问控制的业务要求
9.1.1 访问控制策略
9.1.2 网络和网络服务的访问
9.2 用户访问管理
9.2.1 用户注册及注销
9.2.2 用户访问开通
9.2.3 特殊访问权限管理
9.2.4 用户秘密鉴别信息管理
9.2.5 用户访问权限的复查
9.2.6 撤销或调整访问权限
9.3 用户职责
9.3.1 使用秘密鉴别信息
9.4 系统和应用访问控制
9.4.1 信息访问限制
9.4.2 安全登录规程
9.4.3 口令管理系统
9.4.4 特殊权限实用工具软件的使用
9.4.5 对程序源代码的访问控制
