xx公司信息資產(chǎn)管理辦法

XX公司信息資產(chǎn)管理辦法文件編號XAZD-014-1文件版本V1.0編制時間20xx年01月01日生效時間20XX年01月01日編制人XXX審批人XXX發(fā)布范圍全公司密級內(nèi)部

修訂記錄日期修訂人修訂內(nèi)容審批人總則第一條策略目標(biāo)：為了加強公司信息安全保障能力，建立健全公司的安全管理體系，提高整體的信息安全水平，保證公司業(yè)務(wù)的正常運營，提高服務(wù)質(zhì)量，在公司安全體系框架下，本策略主要通過對公司信息資產(chǎn)的管理，及時規(guī)避隱患和風(fēng)險。適用范圍第二條本辦法適用于本公司，并在全公司范圍內(nèi)給予執(zhí)行，由基礎(chǔ)架構(gòu)部對該項工作的落實和執(zhí)行進行監(jiān)督，并對本辦法的有效性進行持續(xù)改進。信息資產(chǎn)識別第一節(jié)信息資產(chǎn)分類第三條信息資產(chǎn)有多種存在形式，有無形的、有形的，有硬件、軟件，也有數(shù)據(jù)等。它的識別是指按照規(guī)定屬性對各類信息資產(chǎn)的辨認和區(qū)分，包括信息資產(chǎn)識別、分類和登記等項工作。第四條公司信息資產(chǎn)主要包括如下幾類：（一）網(wǎng)絡(luò)設(shè)備：無線AP、AC、BAS、Hub、RAS、VoIP網(wǎng)關(guān)、二層交換機、負載均衡、光纖轉(zhuǎn)換器、路由器、緩沖服務(wù)器、調(diào)制解調(diào)器、多層交換機等構(gòu)成信息系統(tǒng)網(wǎng)絡(luò)傳輸環(huán)境的設(shè)備，軟件和傳輸介質(zhì)；（二） 服務(wù)器：各類承載業(yè)務(wù)系統(tǒng)和軟件的計算機系統(tǒng)及其操作系統(tǒng)，包括安裝在服務(wù)器上各類應(yīng)用系統(tǒng)以及構(gòu)建系統(tǒng)的平臺軟件（數(shù)據(jù)庫，中間件、群件系統(tǒng)、各商業(yè)軟件平臺等）；（三） 存儲設(shè)備：NASSAN磁帶機、磁帶庫、磁盤陣列、光纖交換機等構(gòu)成信息系統(tǒng)存儲環(huán)境的設(shè)備，軟件和傳輸介質(zhì)；（四） 安全設(shè)備：VPN網(wǎng)關(guān)、防火墻、內(nèi)容過濾網(wǎng)關(guān)、入侵檢測系統(tǒng)、防病毒網(wǎng)關(guān)、加密機、安全網(wǎng)閘等構(gòu)成信息系統(tǒng)信息安全環(huán)境的設(shè)備，軟件；（五） 工作站資產(chǎn)：指監(jiān)控終端，即用于管理服務(wù)器上的服務(wù)的終端，例如網(wǎng)管終端等。工作站不包括一般用途的筆記本和 PC;不包括柜臺終端，NC；不包括on-demand終端；（六） 移動專有資產(chǎn)：移動通信類專門設(shè)備，在信息安全管理的資產(chǎn)管理中，不將其作為資產(chǎn)管理的范疇；（七） 其他資產(chǎn)：非以上信息資產(chǎn)。第二節(jié)信息資產(chǎn)安全賦值第五條信息資產(chǎn)的安全價值有別于商品價值，由資產(chǎn)的機密性價值、完整性價值和可用性價值三部分組成。第六條信息資產(chǎn)安全性賦值按照如下規(guī)定進行：（八） 每項資產(chǎn)的機密性價值、完整性價值和可用性價值分為一至三級；（九） 根據(jù)資產(chǎn)所包含秘密信息被揭露時所可能造成后果的嚴重性可將資產(chǎn)的機密性價值分為“輕度損害”，“中度損害”，“嚴重損害三級”；（十）根據(jù)資產(chǎn)處于不正確、不完整或可依賴狀態(tài)時所可能造成后果的嚴重性可將資產(chǎn)的完整性價值分為“輕度損害”，“中度損害”，“嚴重損害”三級；（十一）根據(jù)資產(chǎn)不可用時所可能造成后果的嚴重性可將資產(chǎn)的可用性分為“個體不可用”，“局部不可用”，“整體不可用”三級。信息資產(chǎn)信息管理第三節(jié)信息資產(chǎn)信息的維護第七條各系統(tǒng)管理員識別管理的信息資產(chǎn)，并將信息資產(chǎn)的信息錄入公司安全管理系統(tǒng)中的信息資產(chǎn)管理部分。第八條各部門信息安全管理員有責(zé)任協(xié)助本部門系統(tǒng)管理員核實和維護本部門系統(tǒng)信息資產(chǎn)的信息。第九條信息資產(chǎn)內(nèi)部屬性發(fā)生變更，系統(tǒng)管理員要及時更新到公司安全管理系統(tǒng)中。變更包括地理位置變動、信息資產(chǎn)配置信息、補丁信息等變動。第十條信息資產(chǎn)管理權(quán)限發(fā)生變更，系統(tǒng)管理員要及時通知本部門安全管理員或公司安全管理員，將信息資產(chǎn)狀況及時更新到公司安全管理系統(tǒng)中。管理權(quán)限變更包括信息資產(chǎn)所屬系統(tǒng)發(fā)生變更和信息資產(chǎn)所屬部門發(fā)生變更。第十一條維護應(yīng)按規(guī)定要求對本系統(tǒng)信息資產(chǎn)進行調(diào)查，并建立信息資產(chǎn)清單和記錄信息資產(chǎn)狀況的檔案。信息資產(chǎn)清單通過“聯(lián)想網(wǎng)御網(wǎng)絡(luò)信息安全管理系統(tǒng)”存儲及管理。第四節(jié)信息資產(chǎn)信息的檢查第十二條各部門信息安全管理員在部門季度巡檢中，檢查本部門系統(tǒng)管理員信息資產(chǎn)信息與公司安全管理系統(tǒng)中信息是否一致，結(jié)果作為系統(tǒng)管理員安全考核的因素之一。第十三條公司半年安全巡檢中，檢查各部門信息資產(chǎn)與公司安全管理系統(tǒng)中信息是否一致，結(jié)果作為被管理部門信息安全員的考核因素之一。第十四條公司及部門信息安全管理員隨時抽檢信息資產(chǎn)信息和公司安全管理系統(tǒng)中信息是否一致，結(jié)果作為被檢查系統(tǒng)管理員及該部門的考核因素之一。信息資產(chǎn)保護第五節(jié)信息資產(chǎn)保護管理第十五條信息資產(chǎn)設(shè)備由設(shè)備所屬的系統(tǒng)管理人員負責(zé)安全防護。第十六條信息資產(chǎn)所屬部門安全管理管理組織，定期巡檢本部門所屬系統(tǒng)信息資產(chǎn)的安全狀況。第十七條公司信息安全工作組定期巡檢公司所有信息資產(chǎn)的安全狀況。第六節(jié)信息資產(chǎn)保護內(nèi)容第十八條信息資產(chǎn)要及時安裝安全補丁，安全補丁的安裝要符合業(yè)務(wù)影響最小原則。第十九條信息資產(chǎn)設(shè)備每年定期進行信息安全評估及安全加固。第二十條信息資產(chǎn)的信息要及時反映到公司安全管理系統(tǒng)中。第二十一條不同信息資產(chǎn)設(shè)備應(yīng)根據(jù)系統(tǒng)及資產(chǎn)的重要性，部署不同程度的安全保護措施。附則第二十二條本辦法由基礎(chǔ)架構(gòu)