XX-2-COM-信息資產(chǎn)管理辦法

第2頁共11頁文檔編號XX_2_COM_信息資產(chǎn)管理辦法版本號V1.0密級內(nèi)部公開信息資產(chǎn)管理辦法XXX信息技術(shù)有限公司文檔信息發(fā)布版本：V1.0最后發(fā)布時(shí)間：XX編寫人：XX審核人：XX版本控制編號修訂人修訂時(shí)間版本號修訂內(nèi)容說明123目錄TOC\o"1-1"\h\z\u第一章 總則 4第二章 信息資產(chǎn)責(zé)任 4第三章 信息資產(chǎn)定級與標(biāo)識 6第四章 信息資產(chǎn)的使用管理 7第五章 附則 11總則XXX信息技術(shù)有限公司（以下簡稱“XXX”）為提升信息資產(chǎn)的管理水平，保障信息資產(chǎn)安全，制定本文件。XXX的信息資產(chǎn)可分為以下六類資產(chǎn)：信息類資產(chǎn)：包括數(shù)據(jù)庫和數(shù)據(jù)文件、合同和協(xié)議、系統(tǒng)文件、研究信息、用戶手冊、培訓(xùn)材料、操作或支持程序、業(yè)務(wù)連續(xù)性計(jì)劃、后備運(yùn)行安排、審計(jì)記錄、歸檔記錄等信息。軟件類資產(chǎn)：包括應(yīng)用軟件、系統(tǒng)軟件、開發(fā)工具和實(shí)用程序等軟件。硬件類資產(chǎn)：包括計(jì)算機(jī)設(shè)備、通信設(shè)備、可移動介質(zhì)和其他等設(shè)備。服務(wù)類資產(chǎn)：包括計(jì)算和通信服務(wù)、通用公用事業(yè)服務(wù)（如，供暖，照明，能源，空調(diào)）等。人員類資產(chǎn)：包括與信息安全相關(guān)的重要人員，如系統(tǒng)管理員、應(yīng)用系統(tǒng)管理員等。無形類資產(chǎn)：包括XXX的聲譽(yù)和形象等。信息資產(chǎn)責(zé)任風(fēng)險(xiǎn)委員會是XXX信息資產(chǎn)安全管理工作的最高領(lǐng)導(dǎo)機(jī)構(gòu)，負(fù)責(zé)XXX信息資產(chǎn)的安全。各部門指定相應(yīng)人員負(fù)責(zé)建立和維護(hù)本部門的信息資產(chǎn)清單，確保其準(zhǔn)確性和及時(shí)性，并報(bào)信息安全部匯總。信息資產(chǎn)所有者是指對資產(chǎn)具有所有權(quán)的單位、部門或個(gè)人，信息資產(chǎn)所有者對資產(chǎn)的獲取、使用及處置具有決策權(quán)；信息資產(chǎn)的管理者通?？梢允切畔①Y產(chǎn)的所有者，也可以是得到信息資產(chǎn)所有者授權(quán)的其他部門或個(gè)人，信息資產(chǎn)管理者根據(jù)信息資產(chǎn)所有者的授權(quán)行使對信息資產(chǎn)的日常管理，對于超出授權(quán)范圍的管理要求，需要書面征求信息資產(chǎn)所有者的意見；信息資產(chǎn)的使用者是XXX的各類用戶，他們向管理者申請使用信息資產(chǎn)。信息資產(chǎn)應(yīng)明確其所有者、管理者及使用者，其中，所有者角色有且只有一個(gè)，管理者角色原則上有且只有一個(gè)。對于未明確所有者或管理者的信息資產(chǎn)，由風(fēng)險(xiǎn)委員會或信息安全部根據(jù)實(shí)際工作需要，指定其所有者或管理者。各部門需建立信息資產(chǎn)清單，信息資產(chǎn)清單須詳細(xì)記錄XXX各類信息資產(chǎn)，其內(nèi)容包括信息資產(chǎn)分類、信息資產(chǎn)編號、信息資產(chǎn)類型、資產(chǎn)所有者、管理者、使用者等。具體參見ISMS文件《ISMS信息資產(chǎn)風(fēng)險(xiǎn)評估表》-《資產(chǎn)登記表》。各部門相關(guān)責(zé)任人負(fù)責(zé)維護(hù)和保存本部門的信息資產(chǎn)清單，定期檢查信息資產(chǎn)清單的正確性和完整性；在信息資產(chǎn)發(fā)生變更時(shí)，需及時(shí)更新信息資產(chǎn)清單，并報(bào)送信息安全部。各部門相關(guān)責(zé)任人同時(shí)負(fù)責(zé)本部門信息資產(chǎn)的風(fēng)險(xiǎn)評估與風(fēng)險(xiǎn)處置的具體工作。信息安全部負(fù)責(zé)維護(hù)和保存XXX的信息資產(chǎn)清單，并根據(jù)各部門報(bào)送的變更信息，及時(shí)匯總并更新信息資產(chǎn)清單；定期檢查信息資產(chǎn)清單的正確性和完整性；定期組織信息安全風(fēng)險(xiǎn)評估。信息資產(chǎn)定級與標(biāo)識敏感性分級方法制定信息資產(chǎn)敏感性分級方法是為了幫助公司員工和外部人員判斷哪些信息資產(chǎn)屬于敏感信息資產(chǎn)，以便更好地加以保護(hù)。全體員工都應(yīng)當(dāng)熟悉本文件所確定的信息資產(chǎn)敏感性分級與標(biāo)識辦法，及敏感信息管理要求。員工須依照敏感性分級標(biāo)準(zhǔn)和管理辦法來保護(hù)信息資產(chǎn)。信息資產(chǎn)的敏感性分級參見如下標(biāo)準(zhǔn)（對于非信息類資產(chǎn)，由其所承載信息的敏感性確定級別）：敏感性分類密級分類對應(yīng)的機(jī)密性分值敏感性特征關(guān)鍵敏感資產(chǎn)絕密5泄露會使XXX的安全和利益遭受嚴(yán)重?fù)p害。重要敏感資產(chǎn)機(jī)密4包含XXX的重要信息，其泄露會使XXX的安全和利益受到一定的損害。一般敏感資產(chǎn)秘密3包含僅能在XXX內(nèi)部或某些個(gè)別部門內(nèi)部公開的信息，向外擴(kuò)散有可能對XXX的利益造成損害。一般敏感資產(chǎn)內(nèi)部公開2包含僅能在XXX內(nèi)部或多個(gè)部門內(nèi)部公開的信息，向外擴(kuò)散有可能對XXX的利益造成損害。公開使用公開1包含可對社會公開的信息，公用的信息處理設(shè)備和系統(tǒng)資源等。員工應(yīng)根據(jù)本文件的有關(guān)要求保護(hù)XXX敏感性信息資產(chǎn)，如果某種特定信息的敏感性級別不確定時(shí)，默認(rèn)情況下先按“一般敏感資產(chǎn)”進(jìn)行保護(hù)。對于敏感性級別高的信息資產(chǎn)要使用明確的標(biāo)簽加以標(biāo)識，標(biāo)識方法參見《信息資產(chǎn)敏感性標(biāo)識實(shí)施規(guī)范》。信息資產(chǎn)的使用管理信息類資產(chǎn)的使用管理“關(guān)鍵敏感資產(chǎn)”類信息的使用“關(guān)鍵敏感資產(chǎn)”類信息是一類極其敏感的信息，對于此類信息在沒有相應(yīng)授權(quán)的前提下，嚴(yán)格禁止XXX內(nèi)部員工和外部人員對“關(guān)鍵敏感資產(chǎn)”類信息的訪問?？蛻裘舾行畔⑿枰M(jìn)行加密管理及傳輸。禁止在公共場合討論該類信息，并建立詳細(xì)傳閱清單。一旦發(fā)現(xiàn)有對“關(guān)鍵敏感資產(chǎn)”類信息的非授權(quán)使用或授權(quán)的濫用情況，必須立即作為信息安全事故向本部門負(fù)責(zé)人匯報(bào)，并報(bào)送風(fēng)險(xiǎn)委員會及CEO?！爸匾舾匈Y產(chǎn)”類信息的使用“重要敏感資產(chǎn)”類信息是一類較敏感的信息，XXX的內(nèi)部員工和外部人員在使用“重要敏感資產(chǎn)”類信息時(shí)，應(yīng)當(dāng)特別謹(jǐn)慎以防止信息資產(chǎn)的丟失、被盜和敏感信息的泄露。所有人員都應(yīng)按照“知所必須”的原則，獲得完成其工作職責(zé)所必須的最小范圍的“重要敏感資產(chǎn)”信息。一旦發(fā)現(xiàn)有對“重要敏感資產(chǎn)”類信息的非授權(quán)使用或授權(quán)的濫用情況，必須立即作為信息安全事故向本部門負(fù)責(zé)人匯報(bào)，并報(bào)送風(fēng)險(xiǎn)委員會及信息安全部?！耙话忝舾匈Y產(chǎn)”類信息的使用XXX內(nèi)部員工使用，一般避免向外擴(kuò)散，外部人員要使用“一般敏感資產(chǎn)”類信息，需要得到必要的授權(quán)。一旦發(fā)現(xiàn)有對“一般敏感資產(chǎn)”類信息的非授權(quán)使用或授權(quán)的濫用情況，必須立即作為信息安全事故向本部門負(fù)責(zé)人匯報(bào)，并報(bào)送信息安全部。敏感信息泄露上報(bào)機(jī)制XXX員工如發(fā)現(xiàn)公司敏感信息泄露，依據(jù)信息的重要性級別，及時(shí)上報(bào)相關(guān)管理層；管理層制定處理方案。敏感性分類對應(yīng)的機(jī)密性分值上報(bào)級別關(guān)鍵敏感資產(chǎn)5CEO及風(fēng)險(xiǎn)委員會重要敏感資產(chǎn)4風(fēng)險(xiǎn)委員會及信息安全部一般敏感資產(chǎn)3本部門主管及信息安全部一般敏感資產(chǎn)2本部門主管及信息安全部公開使用1無需上報(bào)硬件類資產(chǎn)的使用管理XXX所有非涉密硬件類資產(chǎn)都應(yīng)按照相應(yīng)固定資產(chǎn)管理辦法進(jìn)行保護(hù)，同時(shí)注意以下事項(xiàng)：資產(chǎn)接收新采購的資產(chǎn)到貨后，資產(chǎn)負(fù)責(zé)人(資產(chǎn)的所有者或管理者)依據(jù)相關(guān)采購合同對資產(chǎn)進(jìn)行確認(rèn)，如合同中無相關(guān)要求需參考以下工作內(nèi)容執(zhí)行：對照發(fā)貨票對資產(chǎn)的數(shù)量、型號、外觀等初步核實(shí)后，依據(jù)相關(guān)的驗(yàn)收標(biāo)準(zhǔn)進(jìn)行功能檢驗(yàn)，并在“貨物驗(yàn)收單”上注明檢驗(yàn)結(jié)果，檢驗(yàn)結(jié)果包括合格與不合格。對于存在問題需要退貨或進(jìn)一步協(xié)商處理的，要在“貨物驗(yàn)收單”上注明。部門相關(guān)責(zé)任人進(jìn)行以下操作：對于檢驗(yàn)合格的硬件類資產(chǎn)，依據(jù)《信息資產(chǎn)敏感性標(biāo)識實(shí)施規(guī)范》標(biāo)識資產(chǎn)敏感性級別并對新的資產(chǎn)貼上適當(dāng)?shù)拿舾行詷?biāo)簽，更新信息資產(chǎn)清單。資產(chǎn)發(fā)出XXX發(fā)送出去的資產(chǎn)一般按照以下方式處理：部門相關(guān)責(zé)任人應(yīng)當(dāng)核查發(fā)出資產(chǎn)是否符實(shí)，并確保發(fā)出過程符合敏感性信息相關(guān)要求。在發(fā)送后，部門相關(guān)責(zé)任人應(yīng)及時(shí)更新信息資產(chǎn)清單。沒有部門相關(guān)負(fù)責(zé)人員的批準(zhǔn)，資產(chǎn)不得隨意移動位置或帶出XXX。所有者的變更當(dāng)所有者發(fā)生變更，原資產(chǎn)所屬部門相關(guān)責(zé)任人應(yīng)參照《信息存儲介質(zhì)數(shù)據(jù)安全清除管理程序》的要求，對數(shù)據(jù)進(jìn)行可靠清除。報(bào)廢資產(chǎn)的處置硬件類信息資產(chǎn)報(bào)廢前，應(yīng)參照《存儲介質(zhì)數(shù)據(jù)安全清除管理程序》的要求，對數(shù)據(jù)進(jìn)行可靠清除后。移交相關(guān)部門按照報(bào)廢程序處置軟件類資產(chǎn)的使用在全公司范圍使用符合安全性要求的正版軟件，禁止使用盜版軟件，系統(tǒng)軟件要及時(shí)進(jìn)行補(bǔ)丁更新。所有XXX使用的電腦，只能安裝通過XXX測試合格，滿足XXX安全性要求的操作系統(tǒng)和應(yīng)用軟件；外部人員電腦上安裝的軟件只有滿足XXX的安全要求后才能在XXX使用。需采取必要的措施防范病毒、木馬和流氓軟件等惡意程序。采購軟件類資產(chǎn)，應(yīng)遵守《公司采購制度》，選擇軟件開發(fā)商，進(jìn)行軟件測試，必要時(shí)要進(jìn)行源代碼審查，以確保采購軟件安全。對于公司自主開發(fā)的軟件，要確保在軟件開發(fā)需求中包含安全需求，在軟件開發(fā)和測試中這些要求能夠得到滿足。禁止在辦公電腦上安裝未經(jīng)XXX許可的軟件和程序，服務(wù)器和終端原則上只安裝滿足其業(yè)務(wù)要求的最小范圍的軟件。所有貯存軟件的介質(zhì)應(yīng)當(dāng)妥善保存，并登記入冊。所用的安全控制措施應(yīng)遵循《移動介質(zhì)管理程序》及《備份介質(zhì)管理程序》。服務(wù)類資產(chǎn)的使用要防止資源的浪費(fèi)和節(jié)約能源。如占用網(wǎng)絡(luò)帶寬進(jìn)行與工作無關(guān)的下載，下班后不關(guān)電