信息是一种资产,就像企业其它资产一样重要,对企业具有重要的价值,因此需要受到适当的保护。信息的类型包括:

  • 书写或打印于纸上

  • 储存在电子媒体上

  • 以邮寄或电子储存媒体传输

  • 显示于企业影片上

  • 言语-在对话中提出

不管信息的形式是什么,或者共享或储存的方式是什么,都应该受到适当的保护。

在ISO 27001信息安全管理体系中,“信息”可以定义为组织内部或外部的任何形式的数据、记录、文件、文档、图表、图像、声音、语音、电子邮件、软件或硬件等。

这些信息包括但不限于以下内容:

  • 企业机密信息,如商业计划、专利、客户名单、财务数据等。

  • 员工个人信息,如薪酬、健康信息、社会保险号码等。

  • 客户和供应商信息,如地址、电话号码、电子邮件等。

  • 业务数据,如销售记录、订单、存货数据等。

  • 技术数据,如设计图纸、源代码、软件文档等。

在ISO 27001认证中,企业需要明确识别和分类所有的信息资源,并对这些信息资源进行分级和管理。企业还需要明确信息的所有权和责任,并制定信息保护策略、安全控制措施和应急响应计划等,以确保信息的机密性、完整性和可用性。