系統(tǒng)運(yùn)維管理-資產(chǎn)管理規(guī)范

1、系統(tǒng)運(yùn)維管理資產(chǎn)管理規(guī)范版本歷史編制人： 審批人:錯誤!未定義書簽 錯誤!未定義書簽 錯誤!未定義書簽 錯誤!未定義書簽 錯誤!未定義書簽 錯誤!未定義書簽 錯誤!未定義書簽?zāi)夸浺弧⒁髢?nèi)容二、實施建議三、常見問題四、實施難點五、測評方法六、參考資料、要求內(nèi)容a）應(yīng)編制并保存與信息系統(tǒng)相關(guān)的資產(chǎn)清單， 包括資產(chǎn)責(zé)任部門、重要程度 和所處位置等內(nèi)容；b）應(yīng)建立資產(chǎn)安全管理制度，規(guī)定信息系統(tǒng)資產(chǎn)管理的責(zé)任人員或責(zé)任部門，并規(guī)范資產(chǎn)管理和使用的行為；c）應(yīng)根據(jù)資產(chǎn)的重要程度對資產(chǎn)進(jìn)行標(biāo)識管理，根據(jù)資產(chǎn)的價值選擇相應(yīng)的 管理措施；d）應(yīng)對信息分類與標(biāo)識方法作出規(guī)定，并對信息的使用、傳輸和存儲等進(jìn)行 規(guī)

2、范化管理。二、實施建議編制各部門的信息資產(chǎn)清單可以了解各部門信息資產(chǎn)的管理情況，同時也是信息資產(chǎn)風(fēng)險評估的基礎(chǔ)，資產(chǎn)清單記錄的內(nèi)容越詳細(xì)對資產(chǎn)的管理越有幫助； 對于信息資產(chǎn)的管理同樣需要建立管理制度，內(nèi)容應(yīng)包括資產(chǎn)的分類、分級、標(biāo)識、使用、保管等內(nèi)容。三、常見問題多數(shù)企業(yè)沒有信息資產(chǎn)的清單，沒有單獨針對信息資產(chǎn)管理的要求。四、實施難點在信息資產(chǎn)管理初期需要對員工進(jìn)行適當(dāng)?shù)呐嘤?xùn)使之了解哪些資產(chǎn)屬于信 息資產(chǎn)，對信息資產(chǎn)的安全管理有哪些好處五、測評方法形式 訪談，檢查。 對象 安全主管，資產(chǎn)管理員，信息資產(chǎn)清單，信息分 類分級文檔，資產(chǎn)安全管理制度。實施a）應(yīng)訪談安全主管，詢問是否指定信息資產(chǎn)管理

3、的責(zé)任人員或部門，由何部門/何人負(fù)責(zé)；b）應(yīng)訪談資產(chǎn)管理員，詢問是否根據(jù)信息資產(chǎn)清單定期對資產(chǎn)進(jìn)行一致性清 查，并對信息資產(chǎn)清單進(jìn)行維護(hù)更新； 是否對信息資產(chǎn)進(jìn)行分類、分級和標(biāo)識管 理，不同類別、不同安全級別的信息資產(chǎn)是否采取不同的管理措施；c）應(yīng)訪談資產(chǎn)管理員，詢問對信息的操作（包括信息使用、存儲和傳輸?shù)确?面）是否要求進(jìn)行標(biāo)識；d）應(yīng)訪談系統(tǒng)運(yùn)維負(fù)責(zé)人，詢問目前信息系統(tǒng)是否由機(jī)構(gòu)自身負(fù)責(zé)運(yùn)行維護(hù)，如果是，系統(tǒng)運(yùn)行所產(chǎn)生的文檔如何進(jìn)行管理（責(zé)任書、授權(quán)書、許可證、 各類策略文檔、事故報告處理文檔、安全配置文檔、系統(tǒng)各類日志等），是否由專人管理；e）應(yīng)檢查信息資產(chǎn)清單，查看其內(nèi)容是否覆蓋資產(chǎn)責(zé)

4、任人、 所屬級別、所處 位置和所屬部門等方面，清單內(nèi)容是否因資產(chǎn)所屬發(fā)生變化或資產(chǎn)增減而進(jìn)行過 改變；f）應(yīng)檢查資產(chǎn)安全管理制度，查看其內(nèi)容是否覆蓋了資產(chǎn)使用、 借用、維護(hù) 等方面；g）應(yīng)檢查信息分類分級文檔，查看其是否規(guī)定了分類標(biāo)識的原則和方法 （如 根據(jù)數(shù)據(jù)的重要程度、敏感程度或用途不同進(jìn)行分類分級），是否根據(jù)分類分級 文檔所描述的信息的安全級別規(guī)定不同信息的使用、 傳輸、存儲等方面內(nèi)容。六、參考資料信息安全等級保護(hù)信息系統(tǒng)安全管理要求 中對資產(chǎn)清單管理的要求：資產(chǎn)清單管理 對資產(chǎn)清單的管理，不同安全等級應(yīng)有選擇地滿足以下要求的一項:a）般資產(chǎn)清單：應(yīng)編制并維護(hù)與信息系統(tǒng)相關(guān)的資產(chǎn)清單，至

5、少包括以下內(nèi)容：信息資產(chǎn)：數(shù)據(jù)庫和數(shù)據(jù)文檔、系統(tǒng)文件、用戶手冊、培訓(xùn)資料、操作 和支持程序、持續(xù)性計劃、備用系統(tǒng)安排、存檔信息；軟件資產(chǎn)：應(yīng)用軟件、系統(tǒng)軟件、開發(fā)工具和實用程序；有形資產(chǎn)：計算機(jī)設(shè)備（處理器、監(jiān)視器、膝上形電腦、調(diào)制解調(diào)器） ， 通信設(shè)備（路由器、數(shù)字程控交換機(jī)、傳真機(jī)、應(yīng)答機(jī)），磁媒體（磁帶和軟盤）， 其他技術(shù)裝備（電源，空調(diào)設(shè)備），家具和機(jī)房；相關(guān)資產(chǎn)：由信息系統(tǒng)控制的或與信息系統(tǒng)密切相關(guān)的各類資產(chǎn)。由于信息系統(tǒng)或信息的泄露或破壞，這些資產(chǎn)會受到相應(yīng)的損壞。服務(wù)：計算和通信服務(wù)，通用設(shè)備如供暖、照明、供電和空調(diào)等。b）詳細(xì)的資產(chǎn)清單：在 a）的基礎(chǔ)上，應(yīng)清晰識別每項資產(chǎn)的擁

6、有權(quán)、責(zé) 任人、安全分類以及資產(chǎn)所在的位置等。c ）業(yè)務(wù)應(yīng)用系統(tǒng)清單：在 b）的基礎(chǔ)上，作為信息系統(tǒng)組成部分的業(yè)務(wù)應(yīng) 用系統(tǒng)的資產(chǎn)應(yīng)在資產(chǎn)清單中體現(xiàn)。應(yīng)清晰識別業(yè)務(wù)應(yīng)用系統(tǒng)資產(chǎn)的擁有權(quán)、責(zé) 任人、安全分類以及資產(chǎn)所在的位置等。資產(chǎn)分類與標(biāo)識的要求 對資產(chǎn)的分類與標(biāo)識，不同安全等級應(yīng)有選擇地滿 足以下要求的一項：a） 資產(chǎn)重要性標(biāo)識：應(yīng)根據(jù)資產(chǎn)的重要程度對資產(chǎn)進(jìn)行標(biāo)識，以便可以基 于資產(chǎn)的價值選擇保護(hù)措施和進(jìn)行資產(chǎn)管理等相關(guān)工作。b）資產(chǎn)分類管理：在a）的基礎(chǔ)上，應(yīng)對信息資產(chǎn)進(jìn)行分類管理，對信息 系統(tǒng)內(nèi)分屬不同業(yè)務(wù)范圍的各類信息，按其對安全性的不同要求分類加以標(biāo)識。對于信息資產(chǎn)，通常信息系統(tǒng)數(shù)據(jù)可以分為系統(tǒng)數(shù)據(jù)和用戶數(shù)據(jù)兩類，其重要性 一般與其所在的系統(tǒng)或子系統(tǒng)的安全保護(hù)等級相關(guān)；用戶數(shù)據(jù)的重要性還應(yīng)考慮 自身保密性分類，如：國家秘密信息：秘密、機(jī)密、絕密信息；其他秘密信息：受國家法律保護(hù)的商業(yè)秘密和個人隱私信息；專有信息：國家或組織機(jī)構(gòu)內(nèi)部共享、內(nèi)部受限、內(nèi)部?？匦畔?，以及 公民個人專有信息；公開信息：國家公開共享的信息、組織機(jī)構(gòu)公開共享的信息、公民個人 可公開共享的信息。組織機(jī)構(gòu)應(yīng)根據(jù)業(yè)務(wù)應(yīng)用的具體情況進(jìn)行分類分級和標(biāo)識， 納入規(guī)范化管理；不同安全等級的信息應(yīng)當(dāng)本著“知所必需、 用所必需、共享必 需、公開必需、互