xx公司信息資產(chǎn)管理辦法

XX公司信息資產(chǎn)管理辦法文件編號(hào)XAZD-014-1文件版本V1.0編制時(shí)間20xx年01月01日生效時(shí)間20XX年01月01日編制人XXX審批人XXX發(fā)布范圍全公司密級(jí)內(nèi)部

修訂記錄日期修訂人修訂內(nèi)容審批人總則第一條策略目標(biāo)：為了加強(qiáng)公司信息安全保障能力，建立健全公司的安全管理體系，提高整體的信息安全水平，保證公司業(yè)務(wù)的正常運(yùn)營(yíng)，提高服務(wù)質(zhì)量，在公司安全體系框架下，本策略主要通過(guò)對(duì)公司信息資產(chǎn)的管理，及時(shí)規(guī)避隱患和風(fēng)險(xiǎn)。適用范圍第二條本辦法適用于本公司，并在全公司范圍內(nèi)給予執(zhí)行，由基礎(chǔ)架構(gòu)部對(duì)該項(xiàng)工作的落實(shí)和執(zhí)行進(jìn)行監(jiān)督，并對(duì)本辦法的有效性進(jìn)行持續(xù)改進(jìn)。信息資產(chǎn)識(shí)別第一節(jié)信息資產(chǎn)分類第三條信息資產(chǎn)有多種存在形式，有無(wú)形的、有形的，有硬件、軟件，也有數(shù)據(jù)等。它的識(shí)別是指按照規(guī)定屬性對(duì)各類信息資產(chǎn)的辨認(rèn)和區(qū)分，包括信息資產(chǎn)識(shí)別、分類和登記等項(xiàng)工作。第四條公司信息資產(chǎn)主要包括如下幾類：（一）網(wǎng)絡(luò)設(shè)備：無(wú)線AP、AC、BAS、Hub、RAS、VoIP網(wǎng)關(guān)、二層交換機(jī)、負(fù)載均衡、光纖轉(zhuǎn)換器、路由器、緩沖服務(wù)器、調(diào)制解調(diào)器、多層交換機(jī)等構(gòu)成信息系統(tǒng)網(wǎng)絡(luò)傳輸環(huán)境的設(shè)備，軟件和傳輸介質(zhì)；（二） 服務(wù)器：各類承載業(yè)務(wù)系統(tǒng)和軟件的計(jì)算機(jī)系統(tǒng)及其操作系統(tǒng)，包括安裝在服務(wù)器上各類應(yīng)用系統(tǒng)以及構(gòu)建系統(tǒng)的平臺(tái)軟件（數(shù)據(jù)庫(kù)，中間件、群件系統(tǒng)、各商業(yè)軟件平臺(tái)等）；（三） 存儲(chǔ)設(shè)備：NASSAN磁帶機(jī)、磁帶庫(kù)、磁盤(pán)陣列、光纖交換機(jī)等構(gòu)成信息系統(tǒng)存儲(chǔ)環(huán)境的設(shè)備，軟件和傳輸介質(zhì)；（四） 安全設(shè)備：VPN網(wǎng)關(guān)、防火墻、內(nèi)容過(guò)濾網(wǎng)關(guān)、入侵檢測(cè)系統(tǒng)、防病毒網(wǎng)關(guān)、加密機(jī)、安全網(wǎng)閘等構(gòu)成信息系統(tǒng)信息安全環(huán)境的設(shè)備，軟件；（五） 工作站資產(chǎn)：指監(jiān)控終端，即用于管理服務(wù)器上的服務(wù)的終端，例如網(wǎng)管終端等。工作站不包括一般用途的筆記本和 PC;不包括柜臺(tái)終端，NC；不包括on-demand終端；（六） 移動(dòng)專有資產(chǎn)：移動(dòng)通信類專門(mén)設(shè)備，在信息安全管理的資產(chǎn)管理中，不將其作為資產(chǎn)管理的范疇；（七） 其他資產(chǎn)：非以上信息資產(chǎn)。第二節(jié)信息資產(chǎn)安全賦值第五條信息資產(chǎn)的安全價(jià)值有別于商品價(jià)值，由資產(chǎn)的機(jī)密性價(jià)值、完整性價(jià)值和可用性價(jià)值三部分組成。第六條信息資產(chǎn)安全性賦值按照如下規(guī)定進(jìn)行：（八） 每項(xiàng)資產(chǎn)的機(jī)密性價(jià)值、完整性價(jià)值和可用性價(jià)值分為一至三級(jí)；（九） 根據(jù)資產(chǎn)所包含秘密信息被揭露時(shí)所可能造成后果的嚴(yán)重性可將資產(chǎn)的機(jī)密性價(jià)值分為“輕度損害”，“中度損害”，“嚴(yán)重?fù)p害三級(jí)”；（十）根據(jù)資產(chǎn)處于不正確、不完整或可依賴狀態(tài)時(shí)所可能造成后果的嚴(yán)重性可將資產(chǎn)的完整性價(jià)值分為“輕度損害”，“中度損害”，“嚴(yán)重?fù)p害”三級(jí)；（十一）根據(jù)資產(chǎn)不可用時(shí)所可能造成后果的嚴(yán)重性可將資產(chǎn)的可用性分為“個(gè)體不可用”，“局部不可用”，“整體不可用”三級(jí)。信息資產(chǎn)信息管理第三節(jié)信息資產(chǎn)信息的維護(hù)第七條各系統(tǒng)管理員識(shí)別管理的信息資產(chǎn)，并將信息資產(chǎn)的信息錄入公司安全管理系統(tǒng)中的信息資產(chǎn)管理部分。第八條各部門(mén)信息安全管理員有責(zé)任協(xié)助本部門(mén)系統(tǒng)管理員核實(shí)和維護(hù)本部門(mén)系統(tǒng)信息資產(chǎn)的信息。第九條信息資產(chǎn)內(nèi)部屬性發(fā)生變更，系統(tǒng)管理員要及時(shí)更新到公司安全管理系統(tǒng)中。變更包括地理位置變動(dòng)、信息資產(chǎn)配置信息、補(bǔ)丁信息等變動(dòng)。第十條信息資產(chǎn)管理權(quán)限發(fā)生變更，系統(tǒng)管理員要及時(shí)通知本部門(mén)安全管理員或公司安全管理員，將信息資產(chǎn)狀況及時(shí)更新到公司安全管理系統(tǒng)中。管理權(quán)限變更包括信息資產(chǎn)所屬系統(tǒng)發(fā)生變更和信息資產(chǎn)所屬部門(mén)發(fā)生變更。第十一條維護(hù)應(yīng)按規(guī)定要求對(duì)本系統(tǒng)信息資產(chǎn)進(jìn)行調(diào)查，并建立信息資產(chǎn)清單和記錄信息資產(chǎn)狀況的檔案。信息資產(chǎn)清單通過(guò)“聯(lián)想網(wǎng)御網(wǎng)絡(luò)信息安全管理系統(tǒng)”存儲(chǔ)及管理。第四節(jié)信息資產(chǎn)信息的檢查第十二條各部門(mén)信息安全管理員在部門(mén)季度巡檢中，檢查本部門(mén)系統(tǒng)管理員信息資產(chǎn)信息與公司安全管理系統(tǒng)中信息是否一致，結(jié)果作為系統(tǒng)管理員安全考核的因素之一。第十三條公司半年安全巡檢中，檢查各部門(mén)信息資產(chǎn)與公司安全管理系統(tǒng)中信息是否一致，結(jié)果作為被管理部門(mén)信息安全員的考核因素之一。第十四條公司及部門(mén)信息安全管理員隨時(shí)抽檢信息資產(chǎn)信息和公司安全管理系統(tǒng)中信息是否一致，結(jié)果作為被檢查系統(tǒng)管理員及該部門(mén)的考核因素之一。信息資產(chǎn)保護(hù)第五節(jié)信息資產(chǎn)保護(hù)管理第十五條信息資產(chǎn)設(shè)備由設(shè)備所屬的系統(tǒng)管理人員負(fù)責(zé)安全防護(hù)。第十六條信息資產(chǎn)所屬部門(mén)安全管理管理組織，定期巡檢本部門(mén)所屬系統(tǒng)信息資產(chǎn)的安全狀況。第十七條公司信息安全工作組定期巡檢公司所有信息資產(chǎn)的安全狀況。第六節(jié)信息資產(chǎn)保護(hù)內(nèi)容第十八條信息資產(chǎn)要及時(shí)安裝安全補(bǔ)丁，安全補(bǔ)丁的安裝要符合業(yè)務(wù)影響最小原則。第十九條信息資產(chǎn)設(shè)備每年定期進(jìn)行信息安全評(píng)估及安全加固。第二十條信息資產(chǎn)的信息要及時(shí)反映到公司安全管理系統(tǒng)中。第二十一條不同信息資產(chǎn)設(shè)備應(yīng)根據(jù)系統(tǒng)及資產(chǎn)的重要性，部署不同程度的安全保護(hù)措施。附則第二十二條本辦法由基礎(chǔ)架構(gòu)