(3)IT运维管理：ITIL先锋论坛—IT部信息资产分类分级实践探索.docx

******有限公司

信息系统部

资产分类与信息分级管理规定

版本1.1

版权所有

文档信息

作者：

创建日期（yyyy-mm-dd）:

审核者:

审核日期（yyyy-mm-dd）:

最后修订者：

最后修订日期（yyyy-mm-dd）:

文档类型：

文档修订历史

版本号

修订日期

修订者

修订内容

目 录

目录

TOC\o1-3\h\u159061总则 4

180401.1目的 4

285811.2适用范围 4

320631.3引用文件 4

25622术语和定义无 4

41493角色与职责 4

206344内容 4

197454.1概述 4

149374.2资产分类 4

139434.2.1数据文件 5

292374.2.2软件资产 5

318454.2.3实物资产 6

318844.2.4人员资产 6

233344.2.5服务资产 6

124364.3资产赋值 7

289944.3.1赋值总述 7

282264.3.2CIA赋值说明 8

297844.4资产价值 9

31812秘密 10

86124.5文档资料类信息分级 10

59014.5.1绝密信息 10

285204.5.2机密信息 10

16644秘密 11

28378版本：1.1 11

95484.5.3秘密信息 11

26324.5.4公开信息 11

106994.6不同等级信息资产的管理策略 11

27022系统上线后实施） 11

29264版本：1.1 12

22296录。 12

26124机密类文档可以由各功能块参照执行。 12

46031.附有该类文档的邮件注明机密字样，不允许邮件转发。 12

45412.该类文档控制打印功能，需要打印要进行审批。 12

76713.DLP系统指纹提取，定期规范性扫描，主机DLP实时阻止外发 12

215604.文档的访问需要一定的流程和权限进行控制。 12

267144.7数据、文档标识 12

287234.7.1标识方法 12

43774.7.2资产标识的原则 12

137014.7.3资产标识的内容 13

249894.8信息资产的访问控制和数据保护 13

177104.8.1信息资产分类、owner和访问权限 13

18174.8.2信息资产的数据保护 13

202064.9信息资产的处置 14

52165附则 20

235956附件 20

总则

目的

制定本文件目的在于通过对信息资产进行合理的等级分类，为信息资产管理提供科学、有效的方式。对现有信息资产进行信息安全属性的赋值，并对其进行等级划分，从而为以后的安全解决方案提供依据。

适用范围

本文件的适用范围是*****有限公司的信息相关资产的管理。本文件适用于信息安全管理体系认证范围。

本文件所管理的信息包括但不局限于：电子信息、书面信息、共享语音信息或可视信息（如电话，视屏会议）。

引用文件

无

术语和定义无

角色与职责

PMO组作为信息相关资产管理的总负责，全面协调资产管理工作。

内容

概述

IT资产是企业、机构直接赋予了价值因而需要保护的东西。它可能是以多种形式存在，有无形的、有形的、硬件、软件、文档、代码、服务和企业形象等。它们分别具有不同的价值属性和存在特点，其存在的弱点、面临的威胁、需要进行的保护和安全控制都各不相同。为此，有必要对企业、机构中的IT资产进行科学分类，让企业清晰的了解需要重点保护的IT资产，并为后期的风险评估及解决方案的设计提供依据。

资产分类

参照ISO27001对资产的描述和定义，将信息相关资产按照下面的分类方法：

类别解释/示例

类别

解释/示例

数据文件

包括各种业务相关的电子类及纸质的文件资料，可按照部门现有文件明细列举，或者根据部门业务流程从头至尾列举。

要求识别的是分组或类别，不要具体到特定的单个文件。

数据资料的列举和分组应该以业务功能和保密性要求为主要考虑，也就是说识别出的数据资料应该具有某种业务功能，此外，还应该重点考虑其保密性要求4.本部门产生的以及其他部门按正常流程交付过来供本部门使用的，都在列举范

畴内。本部门尽量清晰，来自外部门的可以按照比较宽泛的类别来界定。

软件资产

各种本部门安装使用的软件，包括系统软件、应用软件（有后台数据库并存储应用数据的软件系统）、工具软件（支持特定工作的软件工具）、桌面软件（日常办公