信息資產(chǎn)管理辦法

1、信息資產(chǎn)管理辦法第一章 總 則第一條目的：本管理辦法旨在對 XX銀行（以下簡稱我行）內(nèi)部重要的信息資產(chǎn)進行分類分級，以便對信息的分發(fā)和流轉(zhuǎn)進行恰當?shù)目刂?，確保信息資產(chǎn)的保密性、完 整性和可用性能夠?qū)崿F(xiàn)。第二條依據(jù)：本管理辦法根據(jù)XX銀行信息安全管理策略制訂。第三條 范圍：本管理辦法適用于我行總部及所轄分、支行。第四條 定義（一）本管理辦法所涉及的信息包括各種存儲或者存在形式，包括但不限于電子信息、 紙質(zhì)數(shù)據(jù)文件、語音和圖像等。（二）本管理辦法所稱信息是指以任何形式存在或傳播的對我行具有價值的內(nèi)容，包 括電子信息、紙質(zhì)數(shù)據(jù)文件、語音圖像等。信息安全關(guān)注的是信息的保密性、可用性和完 整性。（三）本

2、管理辦法所稱信息資產(chǎn)是指任何對我行具有價值的信息的存在形式或者載體， 包括計算機硬件、通信設施、 IT 環(huán)境、數(shù)據(jù)庫、軟件、文檔資料、信息服務和人員等，所 有這些資產(chǎn)都需要妥善保護。第二章 組織與管理第五條 我行各部門負責人是本部門信息資產(chǎn)管理的第一責任人， 負責組織本管理辦法的貫徹落實。第六條 全體員工理解并遵守本管理辦法定義的內(nèi)容。第七條 本管理辦法定義以下相關(guān)角色， 履行相應的信息安全管理、 執(zhí)行和審核職 責。（一）責任人，信息資產(chǎn)的創(chuàng)建者，或者主要用戶所在組織、單位或部門的負責人。信息資產(chǎn)責任人對所屬信息資產(chǎn)負直接責任。其主要職責包括：1、理解和各種信息訪問活動相關(guān)的安全風險；2、根據(jù)

3、我行信息密級劃分標準來確定所屬信息資產(chǎn)的級別；3、根據(jù)我行相關(guān)策略確定并檢查信息訪問權(quán)限；4、針對所屬信息資產(chǎn)提出恰當?shù)谋Ｗo措施。（二）保管者，受信息資產(chǎn)責任人委托，對信息資產(chǎn)進行日常的管理，維護已經(jīng)建立 的保護措施。資產(chǎn)保管者通常是我行的 IT 部門或者代表（例如系統(tǒng)管理員）。其主要職 責包括：1、根據(jù)相關(guān)策略和信息資產(chǎn)責任人的要求， 負責信息資產(chǎn)的維護操作和日常管理事務；2、負責具體設置信息訪問權(quán)限；3、負責所管理的信息資產(chǎn)的安全控制；4、部署恰當?shù)陌踩珯C制，進行備份和恢復操作；5、按照信息資產(chǎn)責任人的要求實施其他控制。（三）用戶，信息資產(chǎn)的使用者，除了我行內(nèi)部員工，也可能是因為業(yè)務需要而

4、訪問 我行信息的客戶或第三方組織。 其主要職責包括：1、向信息資產(chǎn)責任人申請信息訪問；2、按照我行信息安全策略要求正當訪問信息，禁止非授權(quán)訪問；3、向相關(guān)組織報告隱患、故障或者違規(guī)事件。第三章 資產(chǎn)管理要求第八條 信息資產(chǎn)分類信息資產(chǎn)責任人應該指導進行相關(guān)資產(chǎn)的調(diào)查，資產(chǎn)調(diào)查以業(yè)務流程為線索，包括各 類輸入、中間環(huán)節(jié)和輸出信息，所有這些信息資產(chǎn)都為業(yè)務流程的運轉(zhuǎn)提供支持。信息資產(chǎn)可以分為以下幾大類。（一）數(shù)據(jù)文件，通常包括各種電子檔：業(yè)務數(shù)據(jù)、客戶數(shù)據(jù)、配置文件、記錄數(shù)據(jù)（日志、審計記錄）、管理文件（策略、流程文件、操作手冊等）、商務文件（合同、協(xié) 議等）。也包括以實物方式存在的資產(chǎn)：各類電子

5、數(shù)據(jù)的歸檔、打印件、書面管理文件、 業(yè)務報表、包含重要商業(yè)成果的文件，還有膠片等。（二）軟件資產(chǎn)，各種系統(tǒng)軟件、應用軟件（ OA業(yè)務軟件等）和工具軟件（開發(fā)系統(tǒng)、網(wǎng)管軟件、安全軟件等），包括操作系統(tǒng)、數(shù)據(jù)庫應用程序、網(wǎng)絡軟件、辦公應用系統(tǒng)、業(yè)務系統(tǒng)程序、軟件開發(fā)工具等，這些軟件資產(chǎn)負責處理、存儲或傳輸各類信息。（三）實物資產(chǎn)，與業(yè)務相關(guān)的IT物理設備，包括計算機（工作站和服務器等）和網(wǎng)絡通信設備、磁介質(zhì)（磁帶和磁盤等）、裝置、環(huán)境等，這些實物資產(chǎn)容納著軟件和數(shù)據(jù) 文件。（四）人員，承擔某項與業(yè)務活動相關(guān)責任的角色和職位。例如普通用戶、系統(tǒng)管理 員、網(wǎng)絡管理員、保安、清潔員等，這些人員與各類數(shù)據(jù)

6、、軟件和實物資產(chǎn)的操作直接相 關(guān)。（五）服務，安保（例如監(jiān)控、門禁、保安等），環(huán)境服務（例如清潔），基礎保障 （供水、供熱、供電），設備維護，通信服務（例如互聯(lián)網(wǎng)接入）。第九條信息資產(chǎn)分級標準保密性、完整性和可用性是評價資產(chǎn)的三個安全屬性。風險評估中資產(chǎn)的價值不是以資產(chǎn)的經(jīng)濟價值來衡量，而是由資產(chǎn)在這三個安全屬性上的達成程度或者其安全屬性未達成時所造成的影響程度來決定的。安全屬性達成程度的不同將使資產(chǎn)具有不同的價值，而 資產(chǎn)面臨的威脅、存在的脆弱性、以及已采用的安全措施都將對資產(chǎn)安全屬性的達成程度 產(chǎn)生影響。（一）保密性賦值根據(jù)資產(chǎn)在保密性上的不同要求，將其分為五個不同的等級，分別對應資產(chǎn)在保

7、密性上應 達成的不同程度或者保密性缺失時對整個組織的影響。下表提供了一種保密性賦值的參考。表1.1資產(chǎn)保密性賦值表賦值標識定義5很高包含組織最重要的秘密，關(guān)系未來發(fā)展的前途命運，對組織根本利益有著 決定性的影響，如果泄露會造成災難性的損害4高包含組織的重要秘密，其泄露會使組織的安全和利益遭受嚴重損害3中等組織的一般性秘密，其泄露會使組織的安全和利益受到損害2低僅能在組織內(nèi)部或在組織某一部門內(nèi)部公開的信息，向外擴散有可能對組 織的利益造成輕微損害1很低可對社會公開的信息，公用的信息處理設備和系統(tǒng)資源等（二）完整性賦值根據(jù)資產(chǎn)在完整性上的不同要求，將其分為五個不同的等級，分別對應資產(chǎn)在完整性上缺

8、失時對整個組織的影響。下表提供了一種完整性賦值的參考。表1.2資產(chǎn)完整性賦值表賦值標識定義5很咼完整性價值非常關(guān)鍵，未經(jīng)授權(quán)的修改或破壞會對組織造成重大的或無法 接受的影響，對業(yè)務沖擊重大，并可能造成嚴重的業(yè)務中斷，難以彌補4高完整性價值較高，未經(jīng)授權(quán)的修改或破壞會對組織造成重大影響，對業(yè)務 沖擊嚴重，較難彌補3中等完整性價值中等，未經(jīng)授權(quán)的修改或破壞會對組織造成影響，對業(yè)務沖擊 明顯，但可以彌補2低完整性價值較低，未經(jīng)授權(quán)的修改或破壞會對組織造成輕微影響，對業(yè)務 沖擊輕微，容易彌補1很低完整性價值非常低，未經(jīng)授權(quán)的修改或破壞對組織造成的影響可以忽略， 對業(yè)務沖擊可以忽略（三）可用性賦值根據(jù)資

9、產(chǎn)在可用性上的不同要求，將其分為五個不同的等級，分別對應資產(chǎn)在可用性上應 達成的不同程度。下表提供了一種可用性賦值的參考。表1.3資產(chǎn)可用性賦值表賦值標識定義5很高可用性價值非常高，合法使用者對信息及信息系統(tǒng)的可用度達到年度99.9%以上，或系統(tǒng)不允許中斷4高可用性價值較高，合法使用者對信息及信息系統(tǒng)的可用度達到每天90%以上,或系統(tǒng)允許中斷時間小于 10mi n3中等可用性價值中等，合法使用者對信息及信息系統(tǒng)的可用度在正常工作時間達 到70%上，或系統(tǒng)允許中斷時間小于30min2低可用性價值較低，合法使用者對信息及信息系統(tǒng)的可用度在正常工作時間達 到25%以上，或系統(tǒng)允許中斷時間小于60mi

10、n1很低可用性價值可以忽略，合法使用者對信息及信息系統(tǒng)的可用度在正常工作時間低于25%（四）資產(chǎn)重要性等級資產(chǎn)重要性等級（資產(chǎn)價值）應依據(jù)資產(chǎn)在保密性、完整性和可用性上的賦值等級，由以下公式計算得出：A ln （ece1eA）/3O通常，根據(jù)最終賦值將資產(chǎn)劃分為五級，級別越高表示資產(chǎn)越重要，也可以根據(jù)組織的實際情況確定資產(chǎn)識別中的賦值依據(jù)和等級。下表中的資產(chǎn)等級劃分表明了不同等級的重要性的綜合描述。表1.4資產(chǎn)等級及含義描述等級標識描述5很高非常重要，其安全屬性破壞后可能對組織造成非常嚴重的損失4高重要，其安全屬性破壞后可能對組織造成比較嚴重的損失3中等比較重要，其安全屬性破壞后可能對組織造成

11、中等程度的損失2低不太重要，其安全屬性破壞后可能對組織造成較低的損失1很低不重要，其安全屬性破壞后對組織造成導很小的損失，甚至忽略不計第十條信息資產(chǎn)登記各部門根據(jù)業(yè)務流程列出信息資產(chǎn)清單并將每項資產(chǎn)的名稱，資產(chǎn)編號，所處位置, 資產(chǎn)價值，資產(chǎn)負責人等相關(guān)信息記錄在信息資產(chǎn)登記表。第四章附貝y第十一條本辦法由科技信息部負責解釋與修訂。本辦法自發(fā)布之日起施行。物業(yè)安保培訓方案為規(guī)范保安工作，使保安工作系統(tǒng)化 /規(guī)范化，最終使保安具備滿足工作需要的知識和技能，特制定本教學教材大綱。一、課程設置及內(nèi)容全部課程分為專業(yè)理論知識和技能訓練兩大科目。其中專業(yè)理論知識內(nèi)容包括：保安理論知識、消防業(yè)務知識剳！、

12、職業(yè)道德、法律常識、保安禮儀、救護知識。作技能訓練內(nèi)容包括：崗位操作指引、勤務技能、消防技能、軍事技能。二培訓的及要求培訓目的1）保安人員培訓應以保安理論知識、消防知識、法律常識教學為主，在教學過程中，應要求學員全面熟知保安理論知識及消防專業(yè)知識，在工作中的操作與運用，并基本掌握現(xiàn)場保護及處理知識2 ）職業(yè)道德課程的教學應根據(jù)不同的崗位元而予以不同的內(nèi)容，使保安在各自不同的工作崗位上都能養(yǎng)成具有本職業(yè)特點的良好職業(yè)道德和行為規(guī)范）法律常識教學是理論課的主要內(nèi)容之一，要求所有保安都應熟知國家有關(guān)法律、法規(guī)，成為懂法、知法、守法的公民，運用法律這一有力武器與違法犯罪分子作斗爭。工作入口門衛(wèi)守護，定

13、點守衛(wèi)及區(qū)域巡邏為主要內(nèi)容，在日常管理和發(fā)生突發(fā)事件時能夠運用所學的技能保護公司財產(chǎn)以及自身安全。2、培訓要求1）保安理論培訓通過培訓使保安熟知保安工作性質(zhì)、地位、任務、及工作職責權(quán)限，同時全面掌握保安專業(yè)知識以及在具體工作中應注意的事項及一般情況處置的原則和方法。2）消防知識及消防器材的使用3）法律常識及職業(yè)道德教育通過法律常識及職業(yè)道德教育，使保安樹立法律意識和良好的職業(yè)道德觀念，能夠運用法律知識正確處理工作中發(fā)生的各種問題；增強保安人員愛崗敬業(yè)、無私奉獻更好的為公司服務的精神。4）工作技能培訓其中專業(yè)理論知識內(nèi)容包括：保安理論知識、消防業(yè)務知識、職業(yè)道德、法律常識、保安禮儀、救護知識。作

14、技能訓練內(nèi)容包括：崗位操作指引、勤務技能、消防技能、軍事技能。二培訓的及要求培訓目的安全生產(chǎn)目標責任書為了進一步落實安全生產(chǎn)責任制，做到“責、權(quán)、利”相結(jié)合，根據(jù)我公司2015年度安全生產(chǎn)目標的內(nèi)容，現(xiàn)與財務部簽訂如下安全生產(chǎn)目標:目標值:1、全年人身死亡事故為零，重傷事故為零，輕傷人數(shù)為零。2、現(xiàn)金安全保管，不發(fā)生盜竊事故。3、每月足額提取安全生產(chǎn)費用，保障安全生產(chǎn)投入資金的到位。4、安全培訓合格率為100%。二、本單位安全工作上必須做到以下內(nèi)容:1、對本單位的安全生產(chǎn)負直接領(lǐng)導責任，必須模范遵守公司的各項安全管理制度，不發(fā)布與公司安全管理制度相抵觸的指令，嚴格履行本人的安全職責，確保安全責任制在本單位全面落實，并全力支持安全工作。2、保證公司各項安全管理制度和管理辦法在本單位內(nèi)全面實施，并自覺接受公司安全部門的監(jiān)督和管理。3、在確保安全的前提下組織生產(chǎn)，始終把安全工作放在首位，當“安全與交貨期、質(zhì)量”發(fā)生矛盾時，堅持安全第一的原則。4、參加生產(chǎn)碰頭會時，首先匯報本單位的安全生產(chǎn)情況和安全問題落實情況；在安排本單位生產(chǎn)任務時，必須安排安全工作內(nèi)容，并寫入記錄。5、在公司及政府的安全檢查中杜絕各類違章現(xiàn)象。6、組織本部門積極參加安全檢查，做到有檢查、有整改，記錄全。8、虛心接受員工提出的問題，杜絕不接受或盲目指揮；9 、