信息資產(chǎn)管理辦法

1、精品文檔信息資產(chǎn)管理辦法第一章總則第一條目的：本管理辦法旨在對XX銀行（以下簡稱我行）內(nèi)部重要的信息資產(chǎn)進行分類分級，以便對信息的分發(fā)和流轉(zhuǎn)進行恰當?shù)目刂疲_保信息資產(chǎn)的保密性、完整性和可用性能夠?qū)崿F(xiàn)。第二條依據(jù)：本管理辦法根據(jù)XX 銀行信息安全管理策略制訂。第三條范圍：本管理辦法適用于我行總部及所轄分、支行。第四條定義（一）本管理辦法所涉及的信息包括各種存儲或者存在形式，包括但不限于電子信息、紙質(zhì)數(shù)據(jù)文件、語音和圖像等。（二）本管理辦法所稱信息是指以任何形式存在或傳播的對我行具有價值的內(nèi)容，包括電子信息、紙質(zhì)數(shù)據(jù)文件、語音圖像等。信息安全關注的是信息的保密性、可用性和完整性。（三）本管理辦法

2、所稱信息資產(chǎn)是指任何對我行具有價值的信息的存在形式或者載體，包括計算機硬件、通信設施、 IT 環(huán)境、數(shù)據(jù)庫、軟件、文檔資料、信息服務和人員等，所有這些資產(chǎn)都需要妥善保護。第二章組織與管理第五條我行各部門負責人是本部門信息資產(chǎn)管理的第一責任人，負責組織本管理辦法的貫徹落實。第六條全體員工理解并遵守本管理辦法定義的內(nèi)容。第七條本管理辦法定義以下相關角色，履行相應的信息安全管理、執(zhí)行和審核職責。（一）責任人，信息資產(chǎn)的創(chuàng)建者，或者主要用戶所在組織、單位或部門的負責人。信息資產(chǎn)責任人對所屬信息資產(chǎn)負直接責任。其主要職責包括：.精品文檔1、理解和各種信息訪問活動相關的安全風險；2、根據(jù)我行信息密級劃分標

3、準來確定所屬信息資產(chǎn)的級別；3、根據(jù)我行相關策略確定并檢查信息訪問權限；4、針對所屬信息資產(chǎn)提出恰當?shù)谋Ｗo措施。（二）保管者，受信息資產(chǎn)責任人委托，對信息資產(chǎn)進行日常的管理，維護已經(jīng)建立的保護措施。資產(chǎn)保管者通常是我行的IT部門或者代表（例如系統(tǒng)管理員）。其主要職責包括：1、根據(jù)相關策略和信息資產(chǎn)責任人的要求，負責信息資產(chǎn)的維護操作和日常管理事務；2、負責具體設置信息訪問權限；3、負責所管理的信息資產(chǎn)的安全控制；4、部署恰當?shù)陌踩珯C制，進行備份和恢復操作；5、按照信息資產(chǎn)責任人的要求實施其他控制。（三）用戶，信息資產(chǎn)的使用者，除了我行內(nèi)部員工，也可能是因為業(yè)務需要而訪問我行信息的客戶或第三方組

4、織。其主要職責包括：1、向信息資產(chǎn)責任人申請信息訪問；2、按照我行信息安全策略要求正當訪問信息，禁止非授權訪問；3、向相關組織報告隱患、故障或者違規(guī)事件。第三章資產(chǎn)管理要求第八條信息資產(chǎn)分類信息資產(chǎn)責任人應該指導進行相關資產(chǎn)的調(diào)查，資產(chǎn)調(diào)查以業(yè)務流程為線索，包括各類輸入、中間環(huán)節(jié)和輸出信息，所有這些信息資產(chǎn)都為業(yè)務流程的運轉(zhuǎn)提供支持。信息資產(chǎn)可以分為以下幾大類。（一）數(shù)據(jù)文件，通常包括各種電子檔：業(yè)務數(shù)據(jù)、客戶數(shù)據(jù)、配置文件、記錄數(shù)據(jù)（日志、審計記錄）、管理文件（策略、流程文件、操作手冊等）、商務文件（合同、協(xié)議等）。也包括以實物方式存在的資產(chǎn)：各類電子數(shù)據(jù)的歸檔、打印件、書面管理文件、業(yè)務報

5、表、包含重要商業(yè)成果的文件，還有膠片等。（二）軟件資產(chǎn)，各種系統(tǒng)軟件、應用軟件（OA、業(yè)務軟件等）和工具軟件（開發(fā)系統(tǒng)、網(wǎng)管軟件、安全軟件等），包括操作系統(tǒng)、數(shù)據(jù)庫應用程序、網(wǎng)絡軟件、辦公應用系.精品文檔統(tǒng)、業(yè)務系統(tǒng)程序、軟件開發(fā)工具等，這些軟件資產(chǎn)負責處理、存儲或傳輸各類信息。（三）實物資產(chǎn)，與業(yè)務相關的 IT 物理設備，包括計算機（工作站和服務器等）和網(wǎng)絡通信設備、磁介質(zhì)（磁帶和磁盤等）、裝置、環(huán)境等，這些實物資產(chǎn)容納著軟件和數(shù)據(jù)文件。（四）人員，承擔某項與業(yè)務活動相關責任的角色和職位。例如普通用戶、系統(tǒng)管理員、網(wǎng)絡管理員、保安、清潔員等，這些人員與各類數(shù)據(jù)、軟件和實物資產(chǎn)的操作直接相關。

6、（五）服務，安保（例如監(jiān)控、門禁、保安等），環(huán)境服務（例如清潔），基礎保障（供水、供熱、供電），設備維護，通信服務（例如互聯(lián)網(wǎng)接入）。第九條信息資產(chǎn)分級標準保密性、完整性和可用性是評價資產(chǎn)的三個安全屬性。風險評估中資產(chǎn)的價值不是以資產(chǎn)的經(jīng)濟價值來衡量， 而是由資產(chǎn)在這三個安全屬性上的達成程度或者其安全屬性未達成時所造成的影響程度來決定的。安全屬性達成程度的不同將使資產(chǎn)具有不同的價值，而資產(chǎn)面臨的威脅、存在的脆弱性、以及已采用的安全措施都將對資產(chǎn)安全屬性的達成程度產(chǎn)生影響。（一）保密性賦值根據(jù)資產(chǎn)在保密性上的不同要求，將其分為五個不同的等級，分別對應資產(chǎn)在保密性上應達成的不同程度或者保密性缺失時

7、對整個組織的影響。下表提供了一種保密性賦值的參考。表 1.1資產(chǎn)保密性賦值表賦值標識定義5很高包含組織最重要的秘密，關系未來發(fā)展的前途命運，對組織根本利益有著決定性的影響，如果泄露會造成災難性的損害4高包含組織的重要秘密，其泄露會使組織的安全和利益遭受嚴重損害3中等組織的一般性秘密，其泄露會使組織的安全和利益受到損害2低僅能在組織內(nèi)部或在組織某一部門內(nèi)部公開的信息，向外擴散有可能對組織的利益造成輕微損害1很低可對社會公開的信息，公用的信息處理設備和系統(tǒng)資源等（二）完整性賦值根據(jù)資產(chǎn)在完整性上的不同要求，將其分為五個不同的等級，分別對應資產(chǎn)在完整性上缺失時對整個組織的影響。下表提供了一種完整性賦

8、值的參考。表 1.2資產(chǎn)完整性賦值表.精品文檔賦值標識定義5很高完整性價值非常關鍵，未經(jīng)授權的修改或破壞會對組織造成重大的或無法接受的影響，對業(yè)務沖擊重大，并可能造成嚴重的業(yè)務中斷，難以彌補4高完整性價值較高，未經(jīng)授權的修改或破壞會對組織造成重大影響，對業(yè)務沖擊嚴重，較難彌補3中等完整性價值中等，未經(jīng)授權的修改或破壞會對組織造成影響，對業(yè)務沖擊明顯，但可以彌補2低完整性價值較低，未經(jīng)授權的修改或破壞會對組織造成輕微影響，對業(yè)務沖擊輕微，容易彌補1很低完整性價值非常低，未經(jīng)授權的修改或破壞對組織造成的影響可以忽略，對業(yè)務沖擊可以忽略（三）可用性賦值根據(jù)資產(chǎn)在可用性上的不同要求，將其分為五個不同的

9、等級，分別對應資產(chǎn)在可用性上應達成的不同程度。下表提供了一種可用性賦值的參考。表 1.3資產(chǎn)可用性賦值表賦值標識定義5很高可用性價值非常高，合法使用者對信息及信息系統(tǒng)的可用度達到年度99.9%以上，或系統(tǒng)不允許中斷4高可用性價值較高，合法使用者對信息及信息系統(tǒng)的可用度達到每天90%以上，或系統(tǒng)允許中斷時間小于10min3中等可用性價值中等，合法使用者對信息及信息系統(tǒng)的可用度在正常工作時間達到 70%以上，或系統(tǒng)允許中斷時間小于30min2低可用性價值較低，合法使用者對信息及信息系統(tǒng)的可用度在正常工作時間達到 25%以上，或系統(tǒng)允許中斷時間小于60min1很低可用性價值可以忽略，合法使用者對信息

10、及信息系統(tǒng)的可用度在正常工作時間低于 25%（四）資產(chǎn)重要性等級資產(chǎn)重要性等級 （資產(chǎn)價值）應依據(jù)資產(chǎn)在保密性、完整性和可用性上的賦值等級，由以下公式計算得出：Aln( eCeIe A ) / 3 。通常，根據(jù)最終賦值將資產(chǎn)劃分為五級，級別越高表示資產(chǎn)越重要，也可以根據(jù)組織的實際情況確定資產(chǎn)識別中的賦值依據(jù)和等級。 下表中的資產(chǎn)等級劃分表明了不同等級的重要性的綜合描述。表 1.4資產(chǎn)等級及含義描述等級標識描述5很高非常重要，其安全屬性破壞后可能對組織造成非常嚴重的損失4高重要，其安全屬性破壞后可能對組織造成比較嚴重的損失.精品文檔3中等比較重要，其安全屬性破壞后可能對組織造成中等程度的損失2低不太重要，其安全屬性破壞后可能