5.2.4  資產管理

資產管理包含3個控制目標10個控制措施。

　　組織要根據相關法律法規、業務目標相關性識別信息生命周期中相關的重要資產并形成一份統一的信息資產清單，并確定每一項重要資產的責任人和信息分類。信息生命周期包括信息的創建、處理、存儲、傳輸、刪除和銷毀。資產管理文件應使用適當的專有文件或現有清單并予以維持，資產清單要準確，實時更新并與其他清單保持一致。

組織應確定信息和資產安全管理制度、記錄并實施與信息處理設施有關的信息和資產可接受使用規則。使用或擁有資產訪問權的雇員和承包方人員要意識到他們使用信息處理設施相關的信息和資產以及資源時的限制條件。他們要對其使用信息處理資源以及在他們職責下的不當使用造成的結果負責，例如違規外帶存儲敏感數據的筆記本導致丟失。

所有的雇員和外方用戶在終止任用、合同或協議時，應歸還他們使用的所有組織資產（包括計算機、U-key、智能手機等）。當雇員或外部人員購買了組織淘汰的設備或臨時使用他們自己的設備處理組織業務時，要遵循規程確保所有組織相關的信息已轉移給組織，并且已從設備中安全地刪除。在終止過程中，組織要通過雇員和承包商控制未授權的相關信息拷貝（如設計圖、技術方案、知識產權）。