系统运维管理-资产管理规范.docx

共享知识 分享快乐 共享知识 分享快乐 系统运维管理资产管理规范 版本历史 编制人： 审批人: 目录 TOC \o "1-5" \h \z \o "Current Document" 目录 2 \o "Current Document" 一、 要求内容 2 \o "Current Document" 二、 实施建议 3 \o "Current Document" 三、 常见问题 3 \o "Current Document" 四、 实施难点 3 \o "Current Document" 五、 测评方法 3 \o "Current Document" 六、 参考资料 4 一、 要求内容 a） 应编制并保存与信息系统相关的资产清单，包括资产责任部门、重要程度 和所处位置等内容； b） 应建立资产安全管理制度，规定信息系统资产管理的责任人员或责任部门， 并规范资产管理和使用的行为； c） 应根据资产的重要程度对资产进行标识管理，根据资产的价值选择相应的 管理措施； d） 应对信息分类与标识方法作出规定， 并对信息的使用、传输和存储等进行 规范化管理。 二、 实施建议 编制各部门的信息资产清单可以了解各部门信息资产的管理情况， 同时也是 信息资产风险评估的基础，资产清单记录的内容越详细对资产的管理越有帮助； 对于信息资产的管理同样需要建立管理制度， 内容应包括资产的分类、分级、标 识、使用、保管等内容。 三、 常见问题 多数企业没有信息资产的清单，没有单独针对信息资产管理的要求。 四、 实施难点 在信息资产管理初期需要对员工进行适当的培训使之了解哪些资产属于信 息资产，对信息资产的安全管理有哪些好处 五、测评方法 形式访谈，检查。对象安全主管，资产管理员，信息资产清单，信息分类分 级文档，资产安全管理制度。 实施 a） 应访谈安全主管，询问是否指定信息资产管理的责任人员或部门，由何部门 /何人负责； b） 应访谈资产管理员，询问是否根据信息资产清单定期对资产进行一致性清 查，并对信息资产清单进行维护更新； 是否对信息资产进行分类、分级和标识管 理，不同类别、不同安全级别的信息资产是否采取不同的管理措施； c） 应访谈资产管理员，询问对信息的操作（包括信息使用、存储和传输等方 面）是否要求进行标识； d） 应访谈系统运维负责人，询问目前信息系统是否由机构自身负责运行维护， 如果是，系统运行所产生的文档如何进行管理（责任书、授权书、许可证、各类 策略文档、事故报告处理文档、安全配置文档、系统各类日志等） ，是否由专人 管理； e） 应检查信息资产清单，查看其内容是否覆盖资产责任人、所属级别、所处 位置和所属部门等方面，清单内容是否因资产所属发生变化或资产增减而进行过 改变； f） 应检查资产安全管理制度，查看其内容是否覆盖了资产使用、借用、维护 等方面； g） 应检查信息分类分级文档，查看其是否规定了分类标识的原则和方法（如 根据数据的重要程度、敏感程度或用途不同进行分类分级），是否根据分类分级 文档所描述的信息的安全级别规定不同信息的使用、传输、存储等方面内容。 六、参考资料 《信息安全等级保护信息系统安全管理要求》中对资产清单管理的要求： 资产清单管理对资产清单的管理，不同安全等级应有选择地满足以下要求的 一项： a） —般资产清单：应编制并维护与信息系统相关的资产清单， 至少包括以下内容： ――信息资产：数据库和数据文档、系统文件、用户手册、培训资料、操作 和支持程序、持续性计划、备用系统安排、存档信息； ――软件资产：应用软件、系统软件、开发工具和实用程序； ――有形资产：计算机设备（处理器、监视器、膝上形电脑、调制解调器）， 通信设备（路由器、数字程控交换机、传真机、应答机），磁媒体（磁带和软盘）， 其他技术装备（电源，空调设备），家具和机房； ――相关资产：由信息系统控制的或与信息系统密切相关的各类资产。 由于 信息系统或信息的泄露或破坏，这些资产会受到相应的损坏。 ――服务：计算和通信服务，通用设备如供暖、照明、供电和空调等。 b） 详细的资产清单：在 a）的基础上，应清晰识别每项资产的拥有权、责 任人、安全分类以及资产所在的位置等。 c） 业务应用系统清单：在 b）的基础上，作为信息系统组成部分的业务应 用系统的资产应在资产清单中体现。应清晰识别业务应用系统资产的拥有权、责 任人、安全分类以及资产所在的位置等。 资产分类与标识的要求对资产的分类与标识， 不同安全等级应有选择地满足 以下要求的一项： a）资产重要性标识：应根据资产的重要程度对资产进行标识， 以便可以基 共享知识 分享快乐 共享知识 分享快乐 盛年不重来，一日难再晨。及时宜自勉，岁月不待人 盛年不重来，一日难再晨。及时宜自勉，岁