信息资产管理制度.pdfVIP

信息资产管理制度

【信息资产管理制度】

第一章：总则

第一条：为保障公司信息安全，合理管理和保护信息资产，规

范信息使用行为，制定本制度。该制度合用于公司内所有使用公司

信息系统及信息资源的人员。

第二条：本制度任务是制定企业内部的信息资产管理规定，保

障企业信息的保密性、完整性、可用性及合规性。

第三条：本制度的合用范围包括但不限于公司系统，数据存储

设备，网络，应用程序，信息传输系统，保密室等。

第二章：信息资产管理制度

第四条：企业信息安全管理职责是企业信息安全的核心控制人

力。企业应设立信息安全岗位，明确职责且具有安全专业特长。

第五条：企业应具备能符合实际制定的最高明确标准的安全技

术和管理控制（包括编程规范、访问控制、加密、备份、灾备等措

施）。

第六条：信息化建设过程中，必须制定合规的信息安全管理规

范，严格按照规范进行设计与实施。

第七条：企业应制定完整规范的信息安全管理流程，建立可靠

的信息安全工作机制和基础设施。

第八条：企业应从业务流程中发现和遏止潜在漏洞，阻挠外部

恶意入侵，保证经济损失最小化。

第九条：企业应保障其所涉及客户信息资产的完整性和保密性，

确保知识产权政策和相关法律法规的合规性。

第十条：企业应严格遵循企业信息安全管理体系，提升员工培

训和教育，加强与客户共同的安全管控。

第十一条：企业要建立完善的安全事件管理体系，及时处理相

关信息安全事件。

第三章：信息资产管理制度之实施

第十二条：信息安全整体规划与体系建设是企业保证信息资产

安全主要措施之一。企业在实施信息安全管理体系的过程中，应遵

循国家相关规定与标准。

第十三条：企业任何信息的设计和运维，均应严格按照信息资

产的重要程度、风险评估和戴米利茨分析为基础，进行特定的安全

控制和监控。

第十四条：企业应按照类别和重要程度分级管理信息资产和信

息系统，并对不同级别的信息资产或者信息系统实施不同级别的安全

防范措施。

第十五条：企业应通过账户和密码、多因素验证、数据加密、

安全协议、访问授权、安全管理软件等措施保证信息资产及信息系

统的安全。

第十六条：企业应采用网络审计、防火墙、入侵检测、漏洞扫

描、信息安全检测等信息安全防护技术手段，保障信息资产的安全。

第十七条：企业应制定信息安全管理手册、网络安全规范、SSL

VPN配置规范、挪移办公规范和网络建设方案等规范和制度，做到

一旦发现数据泄露或者其他安全问题，能够及时响应并采取相应的措

施。

第十八条：企业应制定备份存储策略，存放在安全的存储位置，

并及时更新备份记录。

第四章：其他

第十九条：企业应建立信息安全管理制度和文件档案，整合、

归档、存储目的和执行结果，努力提高管理水平，做到全面、评估、

调整和审查制度的实际执行效果。

第二十条：企业应加强对信息安全方面的培训和教育，不断巩

固信息安全意识等，常规开展测试、演练和应急预案，提升组织和

人员的应对能力。

第二十一条：企业应对本制度的实际运作效果进行监督和检查，

及时解决发现的问题，并对制度进行修改完善，确保制度的持续运

作和实用。

【所涉及附件】

1.安全事件处置手册

2.漏洞扫描报告

3.系统规划图

4.安全管理制度

【所涉及的法律名词及注释】

1.戴米利茨分析：指为保障信息系统有关数据的可靠性、完整

性、真实性等要求所采取的控制层次划分方法。

2.访问授权：指为申请人或者主体在信息系统中进行信息资源

访问活动的行为，需要获得管理人员的批准或者授权。

3.信息系统：指为处理、存储、检索和传递信息而构成的计算

机硬件、软件及与之相联的人员和数据等构成体系。

4.数据加密：指针对敏感性高的数据，在传输和存储时将其加

密，保证数据安全。

【在实际执行过程中可能遇到的艰难及解决办法】

1.艰难：企业所涉及的信息量大，可能需要投入大量人力物力

才干实现信息系统的安全性。解决办法：对企业进行全面的风险

评估并结合实际场景进行呈现，减少废弃或者冗余的信息资源，针对

企业的信息安全整体规划和体系建设进行详细的分析和实施。