ISO27001文件-(信息资产管理规定)

信息资产管理规定（版本号：V1.1）信息资产管理规定编号：XXXXXXXXPage2of11更改控制页序号版本号更改内容描述更改人/日期审核人/日期批准人/日期信息资产管理规定编码：目录1目的..............................................................................................................................22范围..............................................................................................................................23术语定义......................................................................................................................24职责..............................................................................................................................24.1管理者代表............................................................................错误!未定义书签。4.2信息安全经理.......................................................................................................24.3各部门...................................................................................................................25内容..............................................................................................................................35.1角色和责任............................................................................错误!未定义书签。5.2信息资产类型.......................................................................................................35.3信息资产分级标准...............................................................................................45.3.1信息资产密级确定方式.................................................................................55.3.2信息资产密级标注规定.................................................................................65.4信息资产处理和保护...........................................................................................66相关文件......................................................................................................................87相关记录......................................................................................................................8信息资产管理规定编码：NK-MS-MA-P041目的本规定旨在对XXX内部重要的信息资产进行分类分级，对不同级别的信息资产提出恰当的处理原则，以便对信息的分发和流转进行恰当的控制，确保信息资产的保密性、完整性和可用性。2范围本规定适用于整个xxx公司。本规定所涉及的信息包括各种存储或者存在形式，包括但不限于电子信息、纸质数据文件、语音和图像等。3术语定义责任人（Owner）：信息资产的创建者，或者主要用户所在组织、单位或部门的负责人。信息资产责任人对所属信息资产负直接责任。保管者（Custodian）：受信息资产责任人委托，对信息资产进行日常的管理。用户（User）：信息资产的使用者，除了公司内部员工，也可能是因为业务需要而访问公司信息的客户或第三方组织。4职责4.1信息安全经理负责确定信息资产的分类标准；负责制定信息资产的赋值规则；组织并指导各部门正确识别信息资产。4.2各部门角色职责信息资产管理规定编码：责任人（Owner）理解和各种信息访问活动相关的安全风险；根据公司信息密级划分标准来确定所属信息资产的级别；根据公司相关策略确定并检查信息访问权限；针对所属信息资产提出恰当的保护措施。保管者（Custodian）根据公司相关策略和信息资产责任人的要求，负责信息资产的维护操作和日常管理事务；负责具体设置信息访问权限；负责所管理的信息资产的安全控制；部署恰当的安全机制，进行备份和恢复操作；按照信息资产责任人的要求实施其他控制。用户（User）向信息责任人申请信息访问权限；按照公司信息安全策略要求正当访问信息，禁止非授权访问；向相关组织报告隐患、故障或者违规事件。5内容5.1信息资产分类及维护信息资产责任人应该指导进行相关资产的调查，资产调查以业务流程为线索，包括各类输入、中间环节和输出信息，所有这些信息资产都为业务流程的运转提供支持。信息资产可以分为以下几大类。分类一般描述数据文件通常包括各种电子档：人事类文件（员工资料、培训记录、绩效考核、招聘记录、保险记录、员工手册、考勤资料）、业务数据、客户数据、管理文件（流程文件、操作手册等）、商务文件（合同、协议等）、开发类文件（需求文档、设计文档、开发文档、过程管理类文档、测试文档、安装包等）、产权类（著作权申请资料）等。也包括以实物方式存在的资产：各类电子数据的归档件、打印件、复印件、书面管理文件等。软件资产各种系统软件、应用软件、工具软件、开发软件等，这些软件资产负责处理、存储或传输各信息资产管理规定编码：类信息。实物资产与业务相关的IT物理设备。如产生数据类服务器、笔记本计算机、PC机、打印机、复印机、等）、通讯传输设备（路由器、防火墙等）、记录存储媒体（U盘、光盘、移动硬盘等）辅助设备如：机房的电风扇、打卡钟等人员承担某项与业务活动相关责任的角色和职位。例如总经理、部门经理、网络管理员、固定资产管理员、业务主管、系统管理员、软件开发人员、清洁员、普通员工等，这些人员与各类数据、软件和实物资产的操作直接相关。服务通信服务（例如互联网接入），业务支持服务。各部门负责人负责本部门信息资产的识别和评价，并指定专人负责对本部门资产进行及时维护，当资产发生变化时，应在一周之内对资产清单进行修订，并根据资产评估结果进行风险管理。5.2信息资产分级标准各类信息资产根据其在保密性、完整性和可用性三个方面所表现出的不同的重要程度，可以分为以下几个级别。等级取值标准描述保密性Confidentiality完整性Integrity可用性Availability一般资产人员一般资产人员一般资产人员很高4TopSecret绝密最高敏感性的数据文件、信息处理设施和系统资源，仅能被极少数人知道。一旦泄漏会给公司带来特别严重的损害后果可以接触/存取各个级别的信息未经授权的破坏或更改将会对信息系统有非常重大的影响，可能导致严重的业务中断如果该人员未正确执行其职务内容，将造成公司级业务运作效率大大降低或停顿合法使用者对信息系统及信息的存取可用度达到年度每天99.9%以上（7*24）如果要维持业务正常运作，可以容忍该人员所承担职务突然缺席不得超过1天，否则会对公司级业务造成影响高3Secret机密重要的信息、信息处理设施和系统资源，只能给少数必须知道者（特定的任务群体）。一旦泄可以接触/存取最高到机密级的信息未经授权的破坏或更改对信息系统有重大影响，而且（或者）如果该人员未正确执行其职务内容，将造成单位/部门之业务运作合法使用者对信息系统及信息的存取可用度达到每天95%以上如果要维持业务正常运作，可以容忍该人员所承担职务突然缺席不得超过3天信息资产管理规定编码：漏会对公司造成严重的损害对业务造成严重冲击效率降低或停顿（7*24）中2Confidential秘密一般性的公司秘密，泄漏后会给公司造成一定的损害可以接触/存取公司一般性的秘密信息和内部公开信息未经授权的破坏或更改会对信息系统造成一定的影响，而且（或者）给业务带来明显冲击如果该人员未正确执行其职务内容，将造成相关工作任务效率降低或停顿合法使用者对信息系统及信息的存取可用度在正常上班时间达到100%（5*8）如果要维持业务正常运作，可以容忍该人员所承担职务突然缺席超过3天，但不能超过10天低1InternalUseOnly内部公开并非敏感信息，主要限于公司内部使用。一旦泄漏，并不会对公司造成显著的影响可以接触/存取内部公开的信息未经授权的破坏或更改不会对信息系统有重大影响，也不会对业务有明显冲击如果该人员未正确执行其职务内容，不会对业务运作造成影响合法使用者对信息系统及信息的存取可用度在正常上班时间至少达到50%以上（5*8）如果要维持业务正常运作，可以容忍该人员所承担职务突然缺席超过10天5.2.1信息资产密级确定方式因为保密需要，公司对各种数据文件做出了密级划分和处理的规定，信息资产责任人需要按照本规定5.3章节中定义的标准，对包括电子类和纸质等形式在内的各种数据文件进行密级划分。密级划分结果，应得到数据文件的最终审批者的确定。对于外来的数据文件，接收者应根据其来源方的密级划分标准和要求、相关外部协议以及法律法规来进行密级定义。凡依据原件摘录、汇编的文件、刊物、资料和翻录的录音、录像带等，应按原件的密级和保密期限进行管理，不得随意改变其密级和保密期限。复制摘录保密的数据文件时，需经原确定密级的人员/单位或其上级部门批准，复制摘抄件按原密级妥善管理。信息资产管理规定编码：数据文件在发布前的审批过程中，各级审批人参照信息密级定义对文件的密级进行复核和调整，并由最终审批人确定。审核并不限于文件内容，还应该包括文件密级、保密期限、发布范围等事项。5.2.2信息资产密级标注规定公司所属的各类信息资产，无论其存在形式是电子、纸质还是磁盘等介质，都应以恰当的方式设置标注，标明其敏感级别。应该对公司的所有的信息资产进行清点，明确责任人和保管者，对信息资产的价值进行评价，填写在《资产识别和评价表》中。如果某存储介质中包含各个级别的信息，作为整体考虑，该存储介质的敏感级别标注应以最高为准。如果没有明显标注，信息资产以“内部公开”级别看待。对于对外公开的信息，需要得到相关责任人的核准，并由对外信息发布部门统一处理。5.3信息资产处理和保护所有信息用户，都应该遵守公司策略，基于信息密级来进行恰当的使用和处理。下表列出了对不同级别信息的相关处理规定。信息资产责任人可