信息资产安全管理规定.docx

信息资产安全管理规定第一章总则第一条为了识别XXX公司信息系统的信息资产，指定资产责任人以及确定相关职责，识别资产可接受的使用来对信息资产进行适当保护，防止未授权的访问，特制定本文件。第二章适用范围第二条本文件适用于XXX公司信息系统相关的信息资产。第三章术语定义第三条信息资产：同信息系统相关的对组织有价值的事物，如计算机硬件和软件、数据、服务和文档等。第四条资产管理员：应定义资产管理员专门负责信息资产分类、赋值、标识以及维修管理。第四章资产分类第五条信息资产识别是指按照规定属性对各类信息资产的辨认和区分，包括信息资产识别、分类和登记等项工作。第六条信息系统信息资产主要包括如下几类：（一）网络及安全设备：路由器、交换机、负载均衡、防火墙、加速器等构成信息系统传输环境和安全环境的设备，软件和传输介质；（二）服务器：各类承载业务系统和软件的计算机系统及其操作系统，包括安装在服务器上各类应用系统以及构建系统的平台软件（数据库，中间件、各软件平台等)；(三)存储设备：NAS.SAN磁带机、磁带库、磁盘阵列、光纤交换机等构成信息系统存储环境的设备，软件和传输介质；(四)工作站资产：指监控终端，即用于管理服务器上的服务的终端，例如网管终端等。工作站不包括一般用途的笔记本和PC;(五)其他资产：除以上信息资产之外的其他信息资产。第五章资产赋值第七条资产的安全价值由资产的机密性价值、完整性价值和可用性价值三部分组成。第八条信息资产安全性赋值按照如下规定进行：(1)每项资产的机密性价值、完整性价值和可用性价值分为一至三级；(2)根据资产所包含秘密信息被揭露时所可能造成后果的严重性可将资产的机密性价值分为“轻度损害”，“中度损害”，“严重损害”三级；(3)根据资产处于不正确、不完整或可依赖状态时所可能造成后果的严重性可将资产的完整性价值分为“轻度损害”，“中度损害”，“严重损害”三级；(4)根据资产不可用时所可能造成后果的严重性可将资产的可用性分为“个体不可用”，“局部不可用”，“整体不可用"三级。第六章资产标识第九条对所有识别出并进行分类的信息资产，应当进行标识，标识方法可以采用标签、文档标识、数据标识等方法。第十条对信息资产进行标识时，应标识信息资产的名称、分类、资产编号、资产管理员、重要级别等信息，根据不同的信息资产类别，标识的内容和方法可以有所不同。第十一条当信息资产的管理者、物理位置、重要级别等等信息发生变更时，需要对相应的标识进行变更，变更记录由各信息资产管理者保存后报安全管理员进行复核存档。第十二条信息资产的管理者需要维护好自己的所负责的信息的分类清单，并定期回顾更新。第七章资产使用第十三条对于识别出来的信息资产，应根据相关访问控制规定对信息资产使用进行规范。第十四条应当把信息资产访问控制规定下发给相关信息资产使用人员，保证单位内部人员、第三方人员等了解使用相关信息资产的规定和约束条件。第十五条应当定期对信息资产清单进行审核，检查信息资产清单是否保持更新、资产标识同资产清单信息是否一致、资产信息变更是否经过安全管理员审核等等。第八章资产维护第十六条安全管理员有责任协助信息资产管理者核实和维护信息资产的信息。第十七条维护应按规定要求对信息资产进行调查，并建立信息资产清单和记录信息资产状况的档案。第十八条信息资产属性发生变更时，信息资产管理者要及时对信息资产清单进行变更、保存，并报安全管理员复核存档。变更包括地理位置变动、信息资产配置信息、补丁信息等变更。