信息資產(chǎn)管理辦法

信息資產(chǎn)管理辦法第一章 總 則第一條 目的：本管理辦法旨在對XX銀行（以下簡稱我行）內(nèi)部重要的信息資產(chǎn)進行分類分級，以便對信息的分發(fā)和流轉(zhuǎn)進行恰當(dāng)?shù)目刂?，確保信息資產(chǎn)的保密性、完整性和可用性能夠?qū)崿F(xiàn)。第二條 依據(jù)：本管理辦法根據(jù)XX銀行信息安全管理策略制訂。第三條 范圍：本管理辦法適用于我行總部及所轄分、支行。第四條 定義（一）本管理辦法所涉及的信息包括各種存儲或者存在形式，包括但不限于電子信息、紙質(zhì)數(shù)據(jù)文件、語音和圖像等。（二）本管理辦法所稱信息是指以任何形式存在或傳播的對我行具有價值的內(nèi)容，包括電子信息、紙質(zhì)數(shù)據(jù)文件、語音圖像等。信息安全關(guān)注的是信息的保密性、可用性和完整性。（三）本管理辦法所稱信息資產(chǎn)是指任何對我行具有價值的信息的存在形式或者載體，包括計算機硬件、通信設(shè)施、IT環(huán)境、數(shù)據(jù)庫、軟件、文檔資料、信息服務(wù)和人員等，所有這些資產(chǎn)都需要妥善保護。第二章 組織與管理第五條 我行各部門負責(zé)人是本部門信息資產(chǎn)管理的第一責(zé)任人，負責(zé)組織本管理辦法的貫徹落實。第六條 全體員工理解并遵守本管理辦法定義的內(nèi)容。第七條 本管理辦法定義以下相關(guān)角色，履行相應(yīng)的信息安全管理、執(zhí)行和審核職責(zé)。（一）責(zé)任人，信息資產(chǎn)的創(chuàng)建者，或者主要用戶所在組織、單位或部門的負責(zé)人。信息資產(chǎn)責(zé)任人對所屬信息資產(chǎn)負直接責(zé)任。其主要職責(zé)包括：1、理解和各種信息訪問活動相關(guān)的安全風(fēng)險；2、根據(jù)我行信息密級劃分標(biāo)準(zhǔn)來確定所屬信息資產(chǎn)的級別；3、根據(jù)我行相關(guān)策略確定并檢查信息訪問權(quán)限；4、針對所屬信息資產(chǎn)提出恰當(dāng)?shù)谋Ｗo措施。（二）保管者，受信息資產(chǎn)責(zé)任人委托，對信息資產(chǎn)進行日常的管理，維護已經(jīng)建立的保護措施。資產(chǎn)保管者通常是我行的IT部門或者代表（例如系統(tǒng)管理員）。其主要職責(zé)包括：1、根據(jù)相關(guān)策略和信息資產(chǎn)責(zé)任人的要求，負責(zé)信息資產(chǎn)的維護操作和日常管理事務(wù)；2、負責(zé)具體設(shè)置信息訪問權(quán)限；3、負責(zé)所管理的信息資產(chǎn)的安全控制；4、部署恰當(dāng)?shù)陌踩珯C制，進行備份和恢復(fù)操作；5、按照信息資產(chǎn)責(zé)任人的要求實施其他控制。（三）用戶，信息資產(chǎn)的使用者，除了我行內(nèi)部員工，也可能是因為業(yè)務(wù)需要而訪問我行信息的客戶或第三方組織。 其主要職責(zé)包括：1、向信息資產(chǎn)責(zé)任人申請信息訪問；2、按照我行信息安全策略要求正當(dāng)訪問信息，禁止非授權(quán)訪問；3、向相關(guān)組織報告隱患、故障或者違規(guī)事件。第三章 資產(chǎn)管理要求第八條 信息資產(chǎn)分類信息資產(chǎn)責(zé)任人應(yīng)該指導(dǎo)進行相關(guān)資產(chǎn)的調(diào)查，資產(chǎn)調(diào)查以業(yè)務(wù)流程為線索，包括各類輸入、中間環(huán)節(jié)和輸出信息，所有這些信息資產(chǎn)都為業(yè)務(wù)流程的運轉(zhuǎn)提供支持。信息資產(chǎn)可以分為以下幾大類。（一）數(shù)據(jù)文件，通常包括各種電子檔：業(yè)務(wù)數(shù)據(jù)、客戶數(shù)據(jù)、配置文件、記錄數(shù)據(jù)（日志、審計記錄）、管理文件（策略、流程文件、操作手冊等）、商務(wù)文件（合同、協(xié)議等）。也包括以實物方式存在的資產(chǎn)：各類電子數(shù)據(jù)的歸檔、打印件、書面管理文件、業(yè)務(wù)報表、包含重要商業(yè)成果的文件，還有膠片等。（二）軟件資產(chǎn)，各種系統(tǒng)軟件、應(yīng)用軟件（OA、業(yè)務(wù)軟件等）和工具軟件（開發(fā)系統(tǒng)、網(wǎng)管軟件、安全軟件等），包括操作系統(tǒng)、數(shù)據(jù)庫應(yīng)用程序、網(wǎng)絡(luò)軟件、辦公應(yīng)用系統(tǒng)、業(yè)務(wù)系統(tǒng)程序、軟件開發(fā)工具等，這些軟件資產(chǎn)負責(zé)處理、存儲或傳輸各類信息。（三）實物資產(chǎn)，與業(yè)務(wù)相關(guān)的IT物理設(shè)備，包括計算機（工作站和服務(wù)器等）和網(wǎng)絡(luò)通信設(shè)備、磁介質(zhì)（磁帶和磁盤等）、裝置、環(huán)境等，這些實物資產(chǎn)容納著軟件和數(shù)據(jù)文件。（四）人員，承擔(dān)某項與業(yè)務(wù)活動相關(guān)責(zé)任的角色和職位。例如普通用戶、系統(tǒng)管理員、網(wǎng)絡(luò)管理員、保安、清潔員等，這些人員與各類數(shù)據(jù)、軟件和實物資產(chǎn)的操作直接相關(guān)。（五）服務(wù)，安保（例如監(jiān)控、門禁、保安等），環(huán)境服務(wù)（例如清潔），基礎(chǔ)保障（供水、供熱、供電），設(shè)備維護，通信服務(wù)（例如互聯(lián)網(wǎng)接入）。第九條 信息資產(chǎn)分級標(biāo)準(zhǔn)保密性、完整性和可用性是評價資產(chǎn)的三個安全屬性。風(fēng)險評估中資產(chǎn)的價值不是以資產(chǎn)的經(jīng)濟價值來衡量，而是由資產(chǎn)在這三個安全屬性上的達成程度或者其安全屬性未達成時所造成的影響程度來決定的。安全屬性達成程度的不同將使資產(chǎn)具有不同的價值，而資產(chǎn)面臨的威脅、存在的脆弱性、以及已采用的安全措施都將對資產(chǎn)安全屬性的達成程度產(chǎn)生影響。（一）保密性賦值根據(jù)資產(chǎn)在保密性上的不同要求，將其分為五個不同的等級，分別對應(yīng)資產(chǎn)在保密性上應(yīng)達成的不同程度或者保密性缺失時對整個組織的影響。下表提供了一種保密性賦值的參考。表 1.1 資產(chǎn)保密性賦值表賦值標(biāo)識定義5很高包含組織最重要的秘密，關(guān)系未來發(fā)展的前途命運，對組織根本利益有著決定性的影響，如果泄露會造成災(zāi)難性的損害4高包含組織的重要秘密，其泄露會使組織的安全和利益遭受嚴重損害3中等組織的一般性秘密，其泄露會使組織的安全和利益受到損害2低僅能在組織內(nèi)部或在組織某一部門內(nèi)部公開的信息，向外擴散有可能對組織的利益造成輕微損害1很低可對社會公開的信息，公用的信息處理設(shè)備和系統(tǒng)資源等（二）完整性賦值根據(jù)資產(chǎn)在完整性上的不同要求，將其分為五個不同的等級，分別對應(yīng)資產(chǎn)在完整性上缺失時對整個組織的影響。下表提供了一種完整性賦值的參考。表 1.2 資產(chǎn)完整性賦值表賦值標(biāo)識定義5很高完整性價值非常關(guān)鍵，未經(jīng)授權(quán)的修改或破壞會對組織造成重大的或無法接受的影響，對業(yè)務(wù)沖擊重大，并可能造成嚴重的業(yè)務(wù)中斷，難以彌補4高完整性價值較高，未經(jīng)授權(quán)的修改或破壞會對組織造成重大影響，對業(yè)務(wù)沖擊嚴重，較難彌補3中等完整性價值中等，未經(jīng)授權(quán)的修改或破壞會對組織造成影響，對業(yè)務(wù)沖擊明顯，但可以彌補2低完整性價值較低，未經(jīng)授權(quán)的修改或破壞會對組織造成輕微影響，對業(yè)務(wù)沖擊輕微，容易彌補1很低完整性價值非常低，未經(jīng)授權(quán)的修改或破壞對組織造成的影響可以忽略，對業(yè)務(wù)沖擊可以忽略（三）可用性賦值根據(jù)資產(chǎn)在可用性上的不同要求，將其分為五個不同的等級，分別對應(yīng)資產(chǎn)在可用性上應(yīng)達成的不同程度。下表提供了一種可用性賦值的參考。表 1.3 資產(chǎn)可用性賦值表賦值標(biāo)識定義5很高可用性價值非常高，合法使用者對信息及信息系統(tǒng)的可用度達到年度99.9%以上，或系統(tǒng)不允許中斷4高可用性價值較高，合法使用者對信息及信息系統(tǒng)的可用度達到每天90%以上，或系統(tǒng)允許中斷時間小于10min3中等可用性價值中等，合法使用者對信息及信息系統(tǒng)的可用度在正常工作時間達到70%以上，或系統(tǒng)允許中斷時間小于30min2低可用性價值較低，合法使用者對信息及信息系統(tǒng)的可用度在正常工作時間達到25%以上，或系統(tǒng)允許中斷時間小于60min1很低可用性價值可以忽略，合法使用者對信息及信息系統(tǒng)的可用度在正常工作時間低于25%（四）資產(chǎn)重要性等級資產(chǎn)重要性等級（資產(chǎn)價值）應(yīng)依據(jù)資產(chǎn)在保密性、完整性和可用性上的賦值等級，由以下公式計算得出：。通常，根據(jù)最終賦值將資產(chǎn)劃分為五級，級別越高表示資產(chǎn)越重要，也可以根據(jù)組織的實際情況確定資產(chǎn)識別中的賦值依據(jù)和等級。下表中的資產(chǎn)等級劃分表明了不同等級的重要性的綜合描述。表 1.4 資產(chǎn)等級及含義描述等級標(biāo)識描述5很高非常重要，其安全屬性破壞后可能對組織造成非常嚴重的損失4高重要，其安全屬性破壞后可能對組織造成比較嚴重的損失3中等比較重要，其安全屬性破壞后可能對組織造成中等程度的損失2低不太重要，其安全屬性破壞后可能對組織造成較低的損失1很低不重要，其安全屬性破壞后對組織造成導(dǎo)很小的損失，甚至忽略不計第十條 信息資產(chǎn)登記各部門根據(jù)業(yè)務(wù)流程列出信息資產(chǎn)清