安全管理体系信息资产安全管理策略

《安全管理体系信息资产安全管理策略》由会员分享，可在线阅读，更多相关《安全管理体系信息资产安全管理策略（7页珍藏版）》请在装配图网上搜索。

1、信息资产安全管理策略1 目的 12 范围 13 职责 14 策略内容 14.1 信息资产的识别 14.2 信息资产的授权使用 24.3 信息资产的归还 24.4 信息资产的分类分级规则 34.5 信息资产价值 44.6 信息资产的标记 54.7 信息资产的处置 55 相关文件 56 相关记录 61 目的为规范组织信息资产的分类、分级管理，建立并维护信息资产清单，明确信息资产管理责任，确保信息资产得到适当的保护，特制定本策略。本策略适用于组织职责范围内的所有信息资产管理的相关活动。3 职责角色职责信息安全管理小组负责对已识别的信息资产进行定期评审，监督各部门信息资产安全管理 的落实工作。质量控制

2、中心负责组织各部门对信息资产进行识别、标识和定期评审，建立并维护组 织信息资产清单。信息安全员负责协调相关人员对本部门的信息资产进行识别、分类和分级管理； 负责组织对本部门的信息资产进行风险评估。各部门负责对职责范围内的信息资产进行识别，建立并维护本部门的信息资产 清单，每年风险评估前需上报质量控制中心汇总；各部门负责人作为本 部门信息资产安全管理的第一责任人，负责本部门信息资产的管理，每 年至少组织一次信息资产的核查。4 策略内容信息资产的识别对所识别的每项信息资产应指定资产的所有权。各部门信息安全员应对信息资产逐 项分类识别，识别内容包括信息资产责任人、保管者、使用者、存放位置等，详见资

3、产识别表。各部门的信息资产清单由本部门信息安全员负责维护，当出现设备采购、新系统上线、系统变更、设备（系统）升级或废弃等情况时，应及时对信息资产清单进行更新。各部门根据信息安全管理体系要求，每年至少进行 1 次信息资产收集和评审工作， 对信息资产清单与实际情况的一致性进行审计。审计内容包括且不限于：1）设备型号；2) 数量；3) 用途；4) 归属部门；5) 责任人；6) 保管人。4.2 信息资产的授权使用组织各类信息资产的使用都应获得资产责任人或资产归属部门负责人的批准。 全体员工必须在遵守信息资产安全管理策略的情况下，使用或访问信息资产，保障 信息资产的保密性、完整性和可用性。任何人必须获得

4、相关授权后或在其权限的范围内，合理的使用或访问信息资产。 员工一旦发现违反信息资产保护策略的情况，必须立即通知资产责任人或信息安全 管理小组，提醒采取补救措施。一旦授权第三方访问组织的信息资源，第三方对应的接口部门必须为其提供详细的 权限使用相关指导。指导中应告知信息资源使用相关安全要求，包括信息保密要求、组 织内信息分发安全要求、访问结束后的信息销毁和信息返还要求等。4.3 信息资产的归还员工离职时应根据离职办理清单所列出的信息资产归还交接清单，向组织归还 其使用的办公设备、软件、门禁卡、数据、文件等物品，各部门须及时收回其物理和逻 辑访问权限并在离职办理清单中签字确认，全部手续办妥后应将上

5、述表单交至人力 资源部；员工转岗时各部门应及时收回其被授予的相关访问权限，并向交接人转移其原有岗 位所涉及的各类信息资产并做好相应的记录；第三方人员离场时，应向接口部门归还其使用的办公设备、软件、门禁卡等信息资 产，接口部门必须及时收回其物理和逻辑访问权限。如其私人设备中保存有组织的保密 数据信息，应被有效地清除。4.4 信息资产的分类分级规则4.4.1 信息资产分类信息资产按形式不同可以分为五类：实物资产、软件资产、数据资产、人员资产和服务资产。详细分类如下：分类一般描述数据资产通常包括各种电子文档：如业务数据、配置文件、日志记录、管理文件（策略、 流程文件、操作手册等）、商务文件（合冋、协

6、议等）以及外来数据文件等。也包 括以实物方式存在的资产：如各类电子数据的打印件、书面管理文件、胶片等。软件资产软件资产包括各种系统软件、应用软件（0A、业务软件等）和工具软件（开发系 统、网管软件、安全软件等），如操作系统、数据库应用程序、网络软件、办公应 用系统、业务系统程序、软件开发工具等。实物资产实物资产是与信息系统相关的IT物理设备，包括计算机（工作站和服务器等）和 网络设备、通信设备、保障设施、磁介质（磁带和磁盘等）外设、移动介质、装 置和物理环境等。人员资产人员资产是承担某项与业务活动相关责任的角色和职位。例如普通用户、系统管 理员、网络管理员、有合同约束的人员等，这些人员与各类数

7、据、软件和实物资 产的操作直接相关。服务资产服务资产是专指为组织提供各项服务的合格供方。如安保服务、环境服务、设备 维护服务、开发服务、通信服务、设备销售及其他外包服务等的供应商。4.4.2 信息资产分级根据信息资产在保密性、完整性和可用性（CIA属性）三个方面所表现出的重要程 度，将信息资产的CIA属性分别划分为5个级别，从高到低依次赋值为5分到1分。详见信息资产取值标准。取值重 要 性信息资产取值标准保密性 Confidentiality完整性Integrity可用性 Availability一般资产人员一般资产人员一般资产人员5很高内容涉及组织最重 要的秘密，关系未 来发展的前途命 运，

8、对组织利益有 着决定性的影响， 如果泄露会造成灾 难性的损害可以访问组 织最高秘级 信息的人员完整性的破坏会 对组织造成重大 影响，对业务冲 击重大，并可能 造成严重的业务 中断和无法弥补 的损失人员如未正确 履行其职责，将 对核心资产的 完整性带来非 常严重的影响可用性要求非常高， 合法使用者对信息 及信息系统的可用 度达到年度99.9%或 以上如果要维持业务正 常运作，可以容忍该 人员所承担职务突 然缺席不得超过1 个工作日，否则会对 业务造成影响取值重 要 性信息资产取值标准保密性 Confidential ty完整性Integrity可用性 Availab ility一般资产人员一般资

9、产人员一般资产人员4高内容涉及组织的重 要秘密，其泄露会 使组织的安全和利 益受到严重损害最咼可以访 问到机密级 信息的人员完整性的破坏会 对组织造成重大 影响，对业务冲 击严重，较难弥 补人员如未正确 履行其职责，将 对重要资产的 完整性带来严 重的影响可用性要求较高，合 法使用者对信息及 信息系统的可用度 达到每天90%以上， 或系统允许中断时 间小于10分钟如果要维持业务正 常运作，可以容忍该 人员所承担职务突 然缺席不得超过3 个工作日，否则会对 业务造成影响3中等组织的一般性秘 密，其泄露会使组 织的安全和利益受 到损害最咼可以访 问一般性的 秘密信息和 内部使用信 息的人员完整性的

10、破坏会 对组织造成影 响，对业务冲击 明显，但可以弥 补人员如未正确 履行其职责，将 对其他资产的 完整性带来较 严重的影响可用性要求中等，合 法使用者对信息及 信息系统的可用度 在正常工作时间达 到70%以上，或系统 允许中断时间小于 30分钟如果要维持业务正 常运作，可以容忍该 人员所承担职务突然缺席超过3个工 作日，但不能超过5 个工作日2低仅能在组织内部或 在组织内某一部门 内公开的信息，向 外扩散有可能对组 织的利益造成轻微 损害只可以接触/ 存取内部使 用的信息完整性价值较 低，未经授权的 修改或破坏会对 组织造成轻微影 响，对业务冲击 轻微，容易弥补如果该人员未 正确执行其职 务

11、内容，只会对 业务运作带来 轻微影响可用性价值较低，合 法使用者对信息及 信息系统的可用度 在正常工作时间达 到25%以上，或系统 允许中断时间小于 60分钟如果要维持业务正 常运作，可以容忍该 人员所承担职务突然缺席超过5个工 作日1很低可对社会公开的信 息，公用的信息处 理设备和系统资源 等只可以接触/ 存取对外公 开的信息完整性价值非常 低，未经授权的 修改或破坏会对 组织造成的影响 可以忽略，对业 务冲击可以忽略如果该人员未 正确执行其职 务内容，不会对 业务运作造成 影响可用性价值可以忽 略，合法使用者对资 产的可用度在正常 工作时间低于25%如果该人员缺席，不 会对业务正常运作 造

12、成影响4.5 信息资产价值1) 信息资产价值由信息资产的 CIA 属性综合计算得到，信息资产的计算方法为 :2 C + 21 + 2 A lOg22) 信息资产价值大于等于 3 的属于组织重要信息资产；3) 保密性大于 2 的都属于敏感信息。在信息资产生命周期各阶段，信息资产CIA各属性值会因各种原因发生变化。在信 息资产CIA各属性值发生变化后，应按照新的属性值进行对应的处理和保护。4.6 信息资产的标记从信息资产的产生起，必须对保密性为非公开的信息资产进行标记，要求如下：1）文档等必须使用简明易见的标志进行标记；2）电子邮件消息可以通过在标题处或在消息开头处，标示安全分级；3）通过识别应用

13、系统涉及源数据的安全分级，来标记应用系统的安全分级。秘密 及以上密级数据在输出时需显示标记。例如：导出 EXCEL 或文本文件打印时；4）实物资产（主机、网络设备、机房辅助设施、终端、外设、磁盘、U盘等），可 通过在资产表面粘贴标签的方式进行标记。4.7 信息资产的处置信息资产的处置与保护应该考虑资产标识（主要考虑密级标识）、授权人、分发范 围、保存方式、传输方式、授权范围、销毁及跟踪记录等方面。实物资产送修或内、外部维修人员对其维修时，资产责任人应做好数据备份，对存 有保密数据的资产维修应派专人全程监督维修过程，非硬盘故障时将硬盘拆下再送修。 实物资产在重用之前，应清除存储在其中的数据，防止造成敏感信息泄露。实物资产的 报废或销毁统一由设备物资部处理，任何部门或个人不得未经授权进行报废或销毁。软件资产在重用之前，应将之前的访问控制权限彻底消除。纸质类数据资产如含有敏感业务信息不可进行重用，不再使用时必须进行销毁处理 （如粉碎等）。涉密信息资产处置详见保密工作管理制度、保密要害部门、部位保密管理暂 行办法和设备和物资管理办法。5 相关文件组织设备和物资管理办法保密要害部门、部位保密管理暂行办法保密工作管理制度6 相关记录资产识别表离职办理清单