信息安全管理体系信息资产安全管理制度.docx

PAGE1

信息安全管理体系信息资产安全管理制度

目录

TOC\h\z\u第一章 总则 1

第二章 信息资产分类 1

第三章 信息资产分级 2

第四章 信息资产管理 2

第五章 信息资产盘点 3

第六章 附则 4

附件 4

附件1：信息资产保密性赋值定义 4

附件2：信息资产完整性赋值定义 5

附件3：信息资产可用性赋值定义 6

附件4：信息资产清单 7

总则

信息资产是支撑集团信息化业务系统的基本要素，为加强集团信息资产的安全有效管理，使信息资产管理更加规范化，特制定本制度。

本制度所涉及的信息资产是指与信息相关的资产，主要包括信息数据及支撑信息数据的相关软、硬件产品。

网络运营中心负责对集团信息资产进行统一编号、登记和分级，各单位指定本单位的资产管理人员（可兼职），负责本单位的资产管理，并向网络运营中心汇报本单位的资产情况。

信息资产分类

集团信息资产可以分为三类：数据资产、软件资产和硬件资产。

数据资产通常包括各种电子档案、业务数据、配置文件、记录数据（日志、审计记录）、管理文件（策略、流程文件、操作手册等）、商务文件（合同、协议等）等。

软件资产通常包括各种系统软件、应用软件和工具软件，包括操作系统、数据库、网络软件、办公应用系统、业务系统程序、软件开发工具等，这些软件资产负责处理、存储或传输各类数据资产。

硬件资产通常包括承载数据资产和软件资产的物理设备，包括计算机（PC、服务器等）和网络通信设备、安全设备、存储介质（磁盘和阵列等）等。

信息资产分级

信息资产分级标准：保密性（Confidentiality）、完整性（Integrityc）和可用性(Availabilit)是评价信息资产的三个安全属性，根据安全属性的不同将数据资产分为不同的等级。

信息资产保密性赋值：根据信息资产在保密性上的不同要求，将其分为三个不同的等级，分别对应信息资产在保密性上应达成的不同程度或者保密性缺失时对集团的影响。保密性赋值参考附件1：《信息资产保密性赋值定义》。

完整性赋值：根据信息资产在完整性上的不同要求，将其分为三个不同的等级，分别对应信息资产在完整性上缺失时对整个集团的影响。完整性赋值参考附件2：《信息资产完整性赋值定义》。

可用性赋值：根据资产在可用性上的不同要求，将其分为三个不同的等级，分别对应资产在可用性上应达成的不同程度。可用性赋值参考附件3：《信息资产可用性赋值定义》。

信息资产赋值计算：资产赋值（资产价值）应依据资产在保密性、完整性和可用性上的赋值等级，由以下公式计算得出：D=（C+I+A）/3，其中D为资产赋值，C为保密性赋值，I为完整性赋值，A为可用性赋值。

根据最终赋值将信息资产划分为核心、重要、一般三级，级别越高表示资产越重要，也可以根据集团的实际情况确定信息资产识别中的赋值依据和等级。

资产管理员应按信息资产识别、赋值结果，分不同保护等级对所属信息资产实施安全保护，保障信息资产及其所构成的系统安全。

信息资产管理

网络运营中心负责汇总各单位资产管理人员提供的资产信息，形成集团的信息资产清单，清单中应包括资产分类、资产责任人、资产等级和所处位置等内容，如信息资产发生变动应及时更新表单。清单内容详见附件4：《信息资产清单》。

数据资产管理：

所有数据资产应按照《数据安全管理制度》规定级别的备份策略进行备份；

对于数据资产的访问，应根据数据资产等级以及数据资产提供服务的不同，设置不同的访问权限，避免非授权访问；

在处置数据资产时，要小心操作，反复确认后再进行处置，避免由于误操作将有用的数据资产删除。

软件资产管理:

所有的软件资产必须设置专人管理，明确职责，避免软件资产的丢失，泄密；

所有正版软件实体由专人保管，在安装软件时要规定使用权限，防止非授权访问；

当人员离职或岗位变动时，需要收回有关的软件，必要时，由网络运营中心人员对离职人员使用的软件进行卸载，删除。

硬件资产管理：

重要级别较高的硬件资产应放在安全的位置，以减少硬件在使用期间信息被窥视的风险，保护硬件资产以防止未授权访问；

硬件资产的使用人（或管理人），在使用或管理硬件资产时，要注意硬件资产的安全性、机密性、完整性，防止信息载体的毁坏和信息的泄密，防止信息处理设施的滥用；

对硬件资产定期进行维护保养，发生毁坏，丢失等问题时能够及时处置；

硬件资产如需报废时，应向主管部门提出报废申请，经网络运营中心人员确认无法维修后进行报废处置。

信息资产盘点

网络运营中心人员定期（一季度一次）对集团信息资产进行盘点，及时更新信息资产清单内容，保证信息资产的安全、可控。

附则

本制度的制定和修改需要经架构与安全委员会成员讨论通过后，管理委员会批准之日起生效。

本制度解