- 1、本文档共9页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
PAGE1
信息安全管理体系信息资产安全管理制度
目录
TOC\h\z\u第一章 总则 1
第二章 信息资产分类 1
第三章 信息资产分级 2
第四章 信息资产管理 2
第五章 信息资产盘点 3
第六章 附则 4
附件 4
附件1:信息资产保密性赋值定义 4
附件2:信息资产完整性赋值定义 5
附件3:信息资产可用性赋值定义 6
附件4:信息资产清单 7
总则
信息资产是支撑集团信息化业务系统的基本要素,为加强集团信息资产的安全有效管理,使信息资产管理更加规范化,特制定本制度。
本制度所涉及的信息资产是指与信息相关的资产,主要包括信息数据及支撑信息数据的相关软、硬件产品。
网络运营中心负责对集团信息资产进行统一编号、登记和分级,各单位指定本单位的资产管理人员(可兼职),负责本单位的资产管理,并向网络运营中心汇报本单位的资产情况。
信息资产分类
集团信息资产可以分为三类:数据资产、软件资产和硬件资产。
数据资产通常包括各种电子档案、业务数据、配置文件、记录数据(日志、审计记录)、管理文件(策略、流程文件、操作手册等)、商务文件(合同、协议等)等。
软件资产通常包括各种系统软件、应用软件和工具软件,包括操作系统、数据库、网络软件、办公应用系统、业务系统程序、软件开发工具等,这些软件资产负责处理、存储或传输各类数据资产。
硬件资产通常包括承载数据资产和软件资产的物理设备,包括计算机(PC、服务器等)和网络通信设备、安全设备、存储介质(磁盘和阵列等)等。
信息资产分级
信息资产分级标准:保密性(Confidentiality)、完整性(Integrityc)和可用性(Availabilit)是评价信息资产的三个安全属性,根据安全属性的不同将数据资产分为不同的等级。
信息资产保密性赋值:根据信息资产在保密性上的不同要求,将其分为三个不同的等级,分别对应信息资产在保密性上应达成的不同程度或者保密性缺失时对集团的影响。保密性赋值参考附件1:《信息资产保密性赋值定义》。
完整性赋值:根据信息资产在完整性上的不同要求,将其分为三个不同的等级,分别对应信息资产在完整性上缺失时对整个集团的影响。完整性赋值参考附件2:《信息资产完整性赋值定义》。
可用性赋值:根据资产在可用性上的不同要求,将其分为三个不同的等级,分别对应资产在可用性上应达成的不同程度。可用性赋值参考附件3:《信息资产可用性赋值定义》。
信息资产赋值计算:资产赋值(资产价值)应依据资产在保密性、完整性和可用性上的赋值等级,由以下公式计算得出:D=(C+I+A)/3,其中D为资产赋值,C为保密性赋值,I为完整性赋值,A为可用性赋值。
根据最终赋值将信息资产划分为核心、重要、一般三级,级别越高表示资产越重要,也可以根据集团的实际情况确定信息资产识别中的赋值依据和等级。
资产管理员应按信息资产识别、赋值结果,分不同保护等级对所属信息资产实施安全保护,保障信息资产及其所构成的系统安全。
信息资产管理
网络运营中心负责汇总各单位资产管理人员提供的资产信息,形成集团的信息资产清单,清单中应包括资产分类、资产责任人、资产等级和所处位置等内容,如信息资产发生变动应及时更新表单。清单内容详见附件4:《信息资产清单》。
数据资产管理:
所有数据资产应按照《数据安全管理制度》规定级别的备份策略进行备份;
对于数据资产的访问,应根据数据资产等级以及数据资产提供服务的不同,设置不同的访问权限,避免非授权访问;
在处置数据资产时,要小心操作,反复确认后再进行处置,避免由于误操作将有用的数据资产删除。
软件资产管理:
所有的软件资产必须设置专人管理,明确职责,避免软件资产的丢失,泄密;
所有正版软件实体由专人保管,在安装软件时要规定使用权限,防止非授权访问;
当人员离职或岗位变动时,需要收回有关的软件,必要时,由网络运营中心人员对离职人员使用的软件进行卸载,删除。
硬件资产管理:
重要级别较高的硬件资产应放在安全的位置,以减少硬件在使用期间信息被窥视的风险,保护硬件资产以防止未授权访问;
硬件资产的使用人(或管理人),在使用或管理硬件资产时,要注意硬件资产的安全性、机密性、完整性,防止信息载体的毁坏和信息的泄密,防止信息处理设施的滥用;
对硬件资产定期进行维护保养,发生毁坏,丢失等问题时能够及时处置;
硬件资产如需报废时,应向主管部门提出报废申请,经网络运营中心人员确认无法维修后进行报废处置。
信息资产盘点
网络运营中心人员定期(一季度一次)对集团信息资产进行盘点,及时更新信息资产清单内容,保证信息资产的安全、可控。
附则
本制度的制定和修改需要经架构与安全委员会成员讨论通过后,管理委员会批准之日起生效。
本制度解
您可能关注的文档
- 学校物业服务疫情防控常态化工作方案.doc
- 学校幼儿园物业服务项目内部质量监管方案.docx
- 岩土工程勘察服务应急预案.doc
- 养老活动服务中心运营质量服务承诺及保障措施.doc
- 药品储备服务药品管理档案.doc
- 夜市运营项目背景及需求分析.doc
- 夜市运营宣传推广方案.doc
- 夜市运营招商方案.doc
- 医疗器械(耗材)项目售后服务方案.docx
- 停车场运营维护管理服务承诺及保障措施.doc
- 新的一年工作展望.docx
- 医生年终个人工作的述职报告(3篇).docx
- 2023年消防设施操作员之消防设备中级技能考前冲刺练习题附答案详解.docx
- 2022-2023年环境影响评价工程师之环评技术导则与标准通关练习题包括详细解答.docx
- 2023年中级注册安全工程师之安全生产管理考前冲刺检测卷和答案.docx
- 2023年中级银行从业资格之中级银行管理考前冲刺测试卷提供答案解析.docx
- 2023年公共营养师之二级营养师通关模拟考试试卷附带答案.docx
- 证券分析师之发布证券研究报告业务考前冲刺模拟题库.docx
- 2022-2023年二级建造师之二建建设工程法规及相关知识综合提升测试卷附答案.docx
- 2023年二级建造师之二建机电工程实务通关模拟考试试卷提供答案解析.docx
文档评论(0)