MHWJW26-资产安全管理制度-V1.1

资产安全管理制度文档信息制度编号:生效日期:分发范围:解释部门:版次:Ver1.1页数:13制定人:审核人:批准人:传阅阅后执行并存档保密保密等级内部公开版本记录版本号版本日期修改者说明文件名资产安全管理制度资产安全管理制度XX单位资产安全管理制度目录1总则................................................................................................................................31.1目的...................................................................................................................31.2范围...................................................................................................................31.3职责...................................................................................................................31.4术语和定义........................................................................................................32管理细则.........................................................................................................................32.1信息资产的获取.................................................................................................32.2信息资产的分类.................................................................................................32.2.1信息资产的分类..........................................................................................32.2.2信息资产的分级..........................................................................................62.2.3信息资产的标识..........................................................................................72.2.3.1信息资产标注的原则...........................................................................72.2.3.2信息资产标注的方法...........................................................................72.2.3.3信息资产标注的内容...........................................................................72.2.4信息资产的识别与汇总................................................................................82.3信息资产的使用规范..........................................................................................82.3.1硬件资产的使用规范...................................................................................82.3.2软件资产的使用规范...................................................................................92.3.3电子数据的使用规范...................................................................................92.3.4实体信息的使用规范..................................................................................103附件...............................................................................................................................101总则1.1目的规范XX单位信息资产的管理、使用和处置，防止其滥用和丢失，保护数据安全。1.2范围适用于XX单位信息资产的管理，包括：获得、分类分级、使用和处置。1.3职责信息中心：主要负责信息资产的采购、入库、领用、为资产建立台账，负责使用与处置方法，并监督各部门的执行情况。各部门：按照相关规定，对信息资产进行有效使用和管理。1.4术语和定义信息资产：本文件中的信息资产是指可以存储信息数据的信息载体，包括：硬件、软件、数据（电子数据）、文档（实体信息）、人员、服务设施、其他。2管理细则信息资产的生命周期可分为采购与生成、使用与更新、销毁与废弃三个阶段。2.1信息资产的获取软件、硬件设施、服务性设施等的获得主要以采购的方式获得，采购按照《IT产品采购管理制度》有关规定进行采购和验收。数据信息资产的获得来源主要为：供应商、财务信息、其他信息。2.2信息资产的分类2.2.1信息资产的分类各科室根据业务流程列出信息资产清单并将每项资产的资产类别、信息资产编号、资产现有编号、资产名称、所属部门、管理者、使用者、地点等相关信息记录在资产清单上。资产的分类原则和编号原则如下：分类原则：硬件1.计算机设备：(台式机、笔记本)、（、SMTP、POP3、FTP、DNS）等服务器（含虚拟机）；2.存储设备：磁带机、磁盘整列、磁带、光盘、软盘、移动硬盘等；3.网络设备：路由器、交换机、HUB、网关、程控交换机等；4.传输线路：光纤、双绞线、电话线(布线)、电源线；5.安全设备：硬件防火墙、入侵检测、网络隔离设备（如网闸）、负载均衡设备、身份验证、SOC、UTM等；6.办公设备：打印机、复印机、扫描仪、传真机、碎纸机、写字白板、应急照明设备；7.保障设备：动力保障设备（UPS、变电设备）、空调、保险柜、文件柜、门禁、消防设施等；8.其他设备：生产设备(测量仪、SMT等)；软件如：操作系统、系统软件（office/AutoCAD）、应用软件（医疗信息软件）、网管软件、杀毒软件、财务软件、开发工具和资源库等。电子数据存在电子媒介的各种数据资料。如：源代码、数据库数据、各种数据资料、系统文档、运行管理规程、计划、日周月报告、财务报告（电子版本）、用户手册、方案、电子设计图纸等。实体信息纸质的各种文件。如：传真、电报、财务报告、发展计划、合同、纸张图纸等。服务性设施如：电源、空调、保险柜、文件柜、门禁、消防设施等。人员如：XX单位各级领导、各级正式雇员、临时雇员等。其他如：XX单位形象等。对于XX单位信息资产，为了可唯一进行识别，定立以下编号规则：说明：资产编号=资产分类标识+-+PN码（SN码）序号资产分类标识顺序号1.硬件H设备码a)工作站电脑PN或SN码b)激光打印机PN或SN码c)针式、热敏打印机PN或SN码d)耐用型全向条码扫描器PN或SN码e)网络交换机PN或SN码f)网络防火墙PN或SN码g)网络设备配件PN或SN码h)存储设备配件PN或SN码i)服务器设备配件PN或SN码j)客户端设备配件PN或SN码2.软件S3.电子数据D4.实体信息E5.服务R6.人员P7.其他O8.2.2.2信息资产的分级按照信息资产的公开和敏感程度，以及信息资产对系统和组织的重要性，信息资产的分级原则有两个：对于文档（含电子文档与纸质文档）、介质类的数据载体，按照承载信息本身的公开和敏感程度，该类信息资产拟划分为“工作秘密”、“内部公开”、“外部公开”三级，针对不同级别的资产标识不同的保护等级。对于其他物理设备，按照其对系统和组织的重要程度，该类信息资产拟划分为“关键资产”、“重要资产”、“普通资产”三级，针对不同级别的资产标识不同的防护等级。信息资产分级划分具体方法：关键资产：承载、处理或存储XX单位核心业务信息系统数据，一旦破坏，会对XX单位的主营业务造成冲击和损害。原则上承载处理业务信息系统数据的资产均应被标识为关键资产。重要资产：对XX单位某一部门提供服务的信息系统所含资产、或属于业务信息系统的支撑系统的信息系统所含资产。普通资产：除上述信息系统以外的信息系统包含资产均可划分为普通资产，如不直接承载、存储业务信息系统的打印机、打码机等。工作秘密：涉及XX单位明确规定需要保密的信息、业务信息系统数据、XX单位财务数据、人员工资数据、信息系统账号等的信息数据文档均应划分为工作秘密。内部公开：在XX单位内部公开,对外保密的信息,向外扩散有可能对XX单位的利益造成损害的数据文档。外部公开：对社会公开的信息，公用的信息处理设备和系统资源等信息资产。2.2.3信息资产的标识2.2.3.1信息资产标注的原则对不同安全类别的信息进行明确的标识，有助于内部相关人员依照有关信息安全规章制度进行具体操作和处理，从而最大限度地降低人为的误操作带来安全隐患的概率。(1)所有信息资产安全分类标识必须正确反映该信息的安全防护级别，信息安全工作小组对信息安全分类有最终决定权。(2)对所有的信息安全分类标识，由信息安全工作小组作定期更新维护。(3)电子格式的数据和文档采用电子方式进行分类标识。其他形式的资产采用贴标签的方式对信息进行分类标识。2.2.3.2信息资产标注的方法(1)电子信息–电子格式的数据和文档采用电子方式进行分类标识。标识分为“工作秘密、内部公开、外部公开”三个类别。–对于电子文档，应在文档的页眉、页脚、或封面开始部分的醒目处进行标识。–其他电子信息，如配置信息、备份数据等，如果可以采用电子方式进行标识，则采用电子方式进行标识。–对于技术手段上不能进行标识的电子信息，可以在文件名称上加上密级标识，或者采用对信息载体进行物理标签标识等其他方法。–如果文档是由已经标识好的电子文档打印出来的，则不需要再做任何标识。(2)物理资产–采用贴物理标签的方式对信息进行分类标识。2.2.3.3信息资产标注的内容信息资产分类标识必须包括并不仅限于下列信息：(1)简单描述或内部编号(2)安全类别/重要程度(3)资产管理员2.2.4信息资产的识别与汇总通过业务流程分析，识别各个流程的各类关键信息资产，最终信息中心汇总《信息资产清单》，并每半年进行一次更新，确保重要信息资产的完备性（重要信息资产没有遗漏和缺失）和准确性（信息资产的保密级别和重要程度能够真实反映信息资产的状态）