ABCD-ITSMS-P10 資產(chǎn)管理程序

資產(chǎn)管理程序文檔編號SC-ITSMS-P10文檔版本號V1.0當(dāng)前版本日期2021/09/05下次文檔回顧日期2022/09/04文檔編制后勤部文檔審核張言文檔批準茍彬密級內(nèi)部公開杭州世拓創(chuàng)意智能科技有限公司該文檔的最新版本保存在文件服務(wù)器上，在使用該文檔前使用者有責(zé)任從文件服務(wù)器中獲取最新版本。該文檔的打印版本僅用來參考。文檔信息文檔的保存主控文檔(masterdocument)存放在文件服務(wù)器上。文檔修訂信息版本號修訂日期修訂人修訂說明備注V1.0后勤部按照18020000-1:2018版標準新建體系文件文檔的審批該文檔需要以下的審批:姓名職位是否批準茍彬總經(jīng)理是文檔的分發(fā)該文檔的主控版本存放于文件服務(wù)器上，該文檔的打印版本僅用作參考并且不在控制范圍內(nèi)。該文檔的使用者有責(zé)任確保使用的是最新版本。第一章目的第一條為規(guī)范資產(chǎn)的識別和分級、標識和處理、以及生命周期管理,并對組織資產(chǎn)實現(xiàn)保護，特制定本規(guī)定。第二章適用范E第一條本規(guī)定適用于組織資產(chǎn)的管理，包括但不只限于資產(chǎn)識別及使用授權(quán)管理、信息分類和標記管理、資產(chǎn)分配和歸還管理、信息介質(zhì)使用處理及介質(zhì)傳遞管理。第二條本規(guī)定適用于信息安全管理體系范圍內(nèi)資產(chǎn)的所有者、管理者和使用者。第三章術(shù)語、定義、縮略語第三條資產(chǎn)指對組織具有價值的信息或資源，是安全策略保護的對象,資產(chǎn)的類型有基本資產(chǎn)和支持性資產(chǎn)。第四條基本資產(chǎn)包括信息、業(yè)務(wù)過程或活動。第五條支持性資產(chǎn)包括軟件、硬件、網(wǎng)絡(luò)、場所、人員和組織。第六條資產(chǎn)責(zé)任人是指使用資產(chǎn)并對該資產(chǎn)負有管理責(zé)任的人或?qū)嶓w。第四章組織和職責(zé)第四章組織和職責(zé)第七條資產(chǎn)使用部門的職責(zé)如下:識別本部門所有的全部資產(chǎn)；對本部門的資產(chǎn)進行風(fēng)險評估；選擇并實施保護本部門資產(chǎn)的控制措施；指定資產(chǎn)責(zé)任人；制定本部門的資產(chǎn)使用規(guī)劃。第二條信息安全管理部門的職責(zé)如下：制定資產(chǎn)分類、編碼、標識規(guī)范；制定資產(chǎn)風(fēng)險評估方法和接受標準；（三）指導(dǎo)各部門執(zhí)行資產(chǎn)管理和風(fēng)險評估；定期開展內(nèi)部資產(chǎn)安全檢查和評審。第五章資產(chǎn)使用管理第三條應(yīng)識別所有資產(chǎn)及其屬性，形成資產(chǎn)管理文件。第四條資產(chǎn)的識別應(yīng)遵從如下原則：相互獨立原則：識別出的資產(chǎn)應(yīng)沒有概念上的重合；顆粒適度原則：指所識別資產(chǎn)的顆粒度既能滿足進行各項管理工作的要求，又符合相互獨立原則；完全窮盡原則：應(yīng)識別信息安全管理體系范圍內(nèi)的所有資產(chǎn)。第五條資產(chǎn)分類包括基本資產(chǎn)和支持性資產(chǎn)構(gòu)成：基本資產(chǎn)包括：信息、業(yè)務(wù)過程或活動；支持性資產(chǎn)包括軟件、硬件、網(wǎng)絡(luò)、場所、人員和組織。第六條資產(chǎn)的屬性應(yīng)包括但不限于：資產(chǎn)類型、格式、位置、備份信息、許可證信息和業(yè)務(wù)價值。第七條所有的庫存資產(chǎn)要進行管理，并指定責(zé)任人。第八條制定和實施對信息和資產(chǎn)的使用規(guī)則，并形成文件，如：電子郵件、互聯(lián)網(wǎng)和移動設(shè)備的使用規(guī)則。第六章信息分類管理第九條按照信息的價值、法律要求、敏感性和關(guān)鍵性制定分類方案。第十條根據(jù)組織所采用的信息分類方案，對信息統(tǒng)一編碼進行標記標識。信息標記的方案要涵蓋物理和電子格式的信息。要根據(jù)信息的分類要考慮用適宜的方法來進行標識，如：打印報告、屏幕顯示、記錄介質(zhì)、電子消息和文件傳送等輸出信息要采用的標記方法。對每個分類的信息都要定義處理、存儲、傳輸、刪除、銷毀的處理程序。第十一條信息要依據(jù)組織的安全級別進行分級管理，并對不同級別采取不同的保護措施。第十二條所有員工、第三方員工在合同（協(xié)議）終止或調(diào)崗后應(yīng)歸還組織的資產(chǎn)。（一）在員工離職時相關(guān)部門應(yīng)及時禁用或刪除該員工的物理和邏輯訪問權(quán)限，如，辦公0A系統(tǒng)帳號、郵箱帳號、各業(yè)務(wù)系統(tǒng)中與該員工相關(guān)的帳號。（二）員工離職時，應(yīng)歸還其使用的相關(guān)資產(chǎn)，如，辦公電話、工卡、與業(yè)務(wù)相關(guān)的紙質(zhì)文件資料和存儲于電子介質(zhì)中的文檔、數(shù)據(jù)等。（三）應(yīng)確保對離職人員曾使用過的組織的信息已經(jīng)安全交付給組織。相關(guān)責(zé)任部門應(yīng)對離職人員辦公電腦硬盤、移動存儲介質(zhì)等進行數(shù)據(jù)清除，清除方式包括格式化或使用專用工具進行安全擦除。第七章信息介質(zhì)處理第十三條按照信息類別對存放信息的介質(zhì)進行管理。（一）所有的介質(zhì)應(yīng)保存在安全的、保密的環(huán)境中。（二）對介質(zhì)和介質(zhì)中信息的使用應(yīng)經(jīng)過授權(quán)并加以記錄。第十四條對不再使用的介質(zhì)，使