篇章四：资产管理与分类分级

信息资产是信息安全管理体系的核心对象。ISO27001 要求组织识别所有相关资产，并对其进行分类与分级，以便实施恰当的保护措施。本篇将围绕资产管理的流程、分类分级方法及企业实践展开，帮助组织构建清晰、可控的信息资产体系。

一、信息资产识别
资产识别是资产管理的第一步，需涵盖以下类型：

• 数据类资产：客户信息、财务数据、研发文档等。  - 系统类资产：服务器、数据库、应用系统。  - 人员类资产：员工、外包人员、管理者。  - 流程类资产：业务流程、操作规范、审批机制。  - 物理类资产：办公设备、存储介质、打印机等。

  识别过程中应结合业务流程图、系统清单、组织架构图等工具，确保全面覆盖。

  二、资产分类与分级
  分类与分级的目的是根据资产的重要性与敏感度，确定其保护等级与控制措施。

• 分类维度：    - 按业务类型：财务类、客户类、研发类等。    - 按技术属性：结构化数据、非结构化数据、实时系统等。
• 分级标准（常见三等级）：    - 高敏感级：泄露将导致重大法律责任或声誉损失，如客户隐私、合同文件。    - 中敏感级：泄露将造成业务中断或经济损失，如内部流程文档、员工信息。    - 低敏感级：泄露影响较小，如公开宣传资料、通用模板。

• 分级依据：可参考 CIA 模型（保密性、完整性、可用性），结合业务影响分析。

  三、控制措施匹配
  不同等级的资产需匹配不同的控制措施：
  | 资产等级 | 控制措施示例 ||----------|--------------|| 高敏感级 | 加密存储、访问审批、日志审计、定期备份 || 中敏感级 | 权限控制、定期检查、员工培训 || 低敏感级 | 基础防护、公开发布审批流程 |

  控制措施应在技术、管理与物理层面形成闭环。

  四、实操案例：医疗机构的数据分级管理
  某医疗机构在实施 ISO27001 时，面临大量病患数据与诊疗记录的管理挑战。其做法如下：

• 资产识别：包括电子病历系统、影像资料库、医生工作站。  - 分类分级：    - 病患身份信息与诊疗记录定为高敏感级。    - 医生排班表与内部通知定为中敏感级。    - 宣传资料定为低敏感级。  - 控制措施：    - 高敏感数据采用 AES 加密，访问需双因素认证。    - 中敏感数据设定访问权限，定期审查。    - 所有数据均纳入日志审计系统。  - 效果：体系上线后，数据泄露事件显著减少，患者信任度提升。

  五、常见问题与优化建议

• 问题一：资产识别不全面    - 忽略非 IT 资产，如纸质文件、流程图。
• 问题二：分级标准模糊    - 缺乏业务影响分析，导致控制措施不匹配。

• 问题三：控制措施不到位    - 高敏感资产未加密，权限设置过宽。

  优化建议：  - 建立资产登记制度，定期更新。  - 引入自动化工具进行资产扫描与分类。  - 将资产分级纳入员工培训与审计流程。

  六、总结
  资产管理与分类分级是信息安全的基础工程。通过系统识别、科学分级与精准控制，组织可以实现资源优化配置、风险有效控制与合规目标达成。资产管理不是一次性任务，而是持续更新与动态维护的过程，需全员参与与制度保障。