30 资产管理程序.docVIP

知识管理程序

第0次修改第PAGE5页共5页

资产管理程序

密级：敏感

文档编号：HY-ITSMS-P-30

广东XX科技有限公司

ITSMS程序文件

资产管理程序

修订记录

日期

版本

修订内容概要

拟制

审核

批准

2022年8月11日

A/0

新建

信息技术服务小组

陈广华

孙兵

广东XX科技有限公司对本文件资料享受著作权及其它专属权利，未经书面许可，不得将该等文件资料（其全部或任何部分）披露予任何第三方，或进行修改后使用。

目录

TOC第一章目的 2

第二章适用范围 2

第三章术语、定义、缩略语 2

第四章组织和职责 2

第五章资产使用管理 3

第六章信息分类管理 4

第七章信息介质处理 5

第八章附则 5

目的

为规范资产的识别和分级、标识和处理、以及生命周期管理,并对组织资产实现保护，特制定本规定。

适用范围

本规定适用于组织资产的管理，包括但不只限于资产识别及使用授权管理、服务分类和标记管理、资产分配和归还管理、服务资产使用处理及传递管理。

本规定适用于信息技术服务管理体系范围内资产的所有者、管理者和使用者。

术语、定义、缩略语

资产指对组织具有价值的信息或资源，是信息技术服务保护的对象，资产的类型有基本资产和支持性资产。

基本资产包括信息、业务过程或活动。

支持性资产包括软件、硬件、网络、场所、人员和组织。

资产责任人是指使用资产并对该资产负有管理责任的人或实体。

组织和职责

资产使用部门的职责如下：

识别本部门所有的全部资产；

对本部门的资产进行风险评估；

选择并实施保护本部门资产的控制措施；

指定资产责任人；

制定本部门的资产使用规划。

信息技术服务部门的职责如下：

制定资产分类、编码、标识规范；

制定资产风险评估方法和接受标准；

指导各部门执行资产管理和风险评估；

定期开展内部资产安全检查和评审。

资产使用管理

应识别所有资产及其属性，形成资产管理文件。

资产的识别应遵从如下原则：

相互独立原则：识别出的资产应没有概念上的重合；

颗粒适度原则：指所识别资产的颗粒度既能满足进行各项管理工作的要求，又符合相互独立原则；

完全穷尽原则：应识别信息技术服务管理体系范围内的所有资产。

资产分类包括基本资产和支持性资产构成：

基本资产包括：信息、业务过程或活动；

支持性资产包括软件、硬件、网络、场所、人员和组织。

资产的属性应包括但不限于：资产类型、格式、位置、备份信息、许可证信息和业务价值。

所有的库存资产要进行管理，并指定责任人。

制定和实施对信息和资产的使用规则，并形成文件，如：电子邮件、互联网和移动设备的使用规则。

信息分类管理

按照信息的价值、法律要求、敏感性和关键性制定分类方案。

根据组织所采用的信息分类方案，对信息统一编码进行标记标识。

信息标记的方案要涵盖物理和电子格式的信息。

要根据信息的分类要考虑用适宜的方法来进行标识，如：打印报告、屏幕显示、记录介质、电子消息和文件传送等输出信息要采用的标记方法。

对每个分类的信息都要定义处理、存储、传输、删除、销毁的处理程序。

信息要依据组织的安全级别进行分级管理，并对不同级别采取不同的保护措施。

所有员工、第三方员工在合同（协议）终止或调岗后应归还组织的资产。

在员工离职时相关部门应及时禁用或删除该员工的物理和逻辑访问权限，如，办公OA系统帐号、邮箱帐号、各业务系统中与该员工相关的帐号。

员工离职时，应归还其使用的相关资产，如，办公电话、工卡、与业务相关的纸质文件资料和存储于电子介质中的文档、数据等。

应确保对离职人员曾使用过的组织的信息已经安全交付给组织。

相关责任部门应对离职人员办公电脑硬盘、移动存储介质等进行数据清除，清除方式包括格式化或使用专用工具进行安全擦除。

信息介质处理

按照信息类别对存放信息的介质进行管理。

所有的介质应保存在安全的、保密的环境中。

对介质和介质中信息的使用应经过授权并加以记录。

对不再使用的介质，使用可靠的方法进行处置，并对处置过程进行记录。

保护传输过程中介质，防止介质中存储的信息被泄露或修改。

附则

本规定由信息技术服务小组负责解释。

本规定自发布之日起施行。

记录

信息资产识别清单

重要信息资产识别清单

信息安全风险评估汇总表

信息安全风险处置计划.

项目资产管理

项目信息安全风险评估汇总表