资产安全管理新规制度.docVIP

资产安全管理制度 总则 为了加强企业信息安全保障能力，建立健全企业安全管理体系，提升整体信息安全水平，确保网络和业务系统正常运行，提升网络服务质量，在企业安全体系框架下，本策略关键经过对企业信息资产管理，立即规避隐患和风险。 本制度适适用于技术部。 本措施适适用于企业安全管理员，系统管理员及主管领导等资产管理人员。 信息资产识别 信息资产分类 信息资产有多个存在形式，有没有形、有形，有硬件、软件，也有数据等。它识别是指根据要求属性对各类信息资产识别和区分，包含信息资产识别、分类和登记等项工作。 企业信息资产关键包含以下几类： 网络设备：网关、二层交换机、负载均衡、光纤转换器、路由器、缓冲服务器、调制解调器、多层交换机等组成信息系统网络传输环境设备，软件和传输介质； 服务器：各类承载业务系统和软件计算机系统及其操作系统，包含安装在服务器上各类应用系统和构建系统平台软件（数据库，中间件、群件系统、各商业软件平台等）； 存放设备：磁带机、磁带库、磁盘阵列、光纤交换机等组成信息系统存放环境设备，软件和传输介质； 安全设备：VPN网关、防火墙、内容过滤网关、入侵检测系统、防病毒网关等组成信息系统信息安全环境设备，软件； 工作站资产：指监控终端，即用于管理服务器上服务终端，比如网管终端等。工作站不包含通常见途笔记本和PC。 移动专有资产：移动通信类专门设备，在信息安全管理资产管理中，不将其作为资产管理范围； 其它资产：非以上信息资产。 信息资产安全赋值 信息资产安全价值有别于商品价值，由资产机密性价值、完整性价值和可用性价值三部分组成。 信息资产安全性赋值根据以下要求进行： 每项资产机密性价值、完整性价值和可用性价值分为一至三级； 依据资产所包含秘密信息被揭露时所可能造成后果严重性可将资产机密性价值分为“轻度损害”，“中度损害”，“严重损害三级”； 依据资产处于不正确、不完整或可依靠状态时所可能造成后果严重性可将资产完整性价值分为“轻度损害”，“中度损害”，“严重损害”三级； 依据资产不可用时所可能造成后果严重性可将资产可用性分为“个体不可用”，“局部不可用”，“整体不可用”三级。 信息资产信息管理 信息资产信息维护 各系统管理员识别管理信息资产，并将信息资产信息录入企业安全管理系统中信息资产管理部分。 各部门信息安全管理员有责任帮助本部门系统管理员核实和维护本部门系统信息资产信息。 信息资产内部属性发生变更，系统管理员要立即更新到企业安全管理系统中。变更包含地理位置变动、信息资产配置信息、补丁信息等变动。 信息资产管理权限发生变更，系统管理员要立即通知本部门安全管理员或企业安全管理员，将信息资产情况立即更新到企业安全管理系统中。管理权限变更包含信息资产所属系统发生变更和信息资产所属部门发生变更。 维护应按要求要求对本系统信息资产进行调查，并建立信息资产清单和统计信息资产情况档案。 信息资产信息检验 各部门信息安全管理员在部门季度巡检中，检验本部门系统管理员信息资产信息和企业安全管理系统中信息是否一致，结果作为系统管理员安全考评原因之一。 企业半年安全巡检中，检验各部门信息资产和企业安全管理系统中信息是否一致，结果作为被管理部门信息安全员考评原因之一。 企业及部门信息安全管理员随时抽检信息资产信息和企业安全管理系统中信息是否一致，结果作为被检验系统管理员及该部门考评原因之一。 信息资产保护 信息资产保护管理 信息资产设备由设备所属系统管理人员负责安全防护。 信息资产所属部门安全管理管理组织，定时巡检本部门所属系统信息资产安全情况。 企业网络和安全工作办公室定时巡检企业全部信息资产安全情况。 信息资产保护内容 信息资产要立即安装安全补丁，安全补丁安装要符合业务影响最小标准。 信息资产设备每十二个月定时进行信息安全评定及安全加固。 信息资产信息要立即反应到企业安全管理系统中。 不一样信息资产设备应依据系统及资产关键性，布署不一样程度安全保护方法。 　本措施由技术部制订、修改和解释。 　本措施自印发之日起实施。 资产清单 资产编号 资产名称 企业 数量 资产类别 使用部门 资产责任人 资产所处位置 已使用年限 使用情况 关键程度