信息資產(chǎn)安全管理辦法（用于個人參考學(xué)習(xí)版本）

XX單位第頁共8頁信息資產(chǎn)管理辦法總則策略目標(biāo)：為了加強XX單位信息安全保障能力，建立健全XX單位的安全管理體系，提高整體的網(wǎng)絡(luò)與信息安全水，保證網(wǎng)絡(luò)通信暢通和業(yè)務(wù)系統(tǒng)的正常運營，在XX單位安全體系框架下，本辦法主要通過對XX單位信息資產(chǎn)的管理，及時規(guī)避隱患和風(fēng)險。適用范圍：本辦法適用于XX單位所有部門。使用人員及角色職責(zé)：本辦法適用于XX單位安全管理員，系統(tǒng)管理員及綜合司等資產(chǎn)管理人員。策略相關(guān)性：本辦法與《XX單位信息安全安全檢查及考核辦法》中的檢查內(nèi)容相關(guān)，遵照XX單位相關(guān)資產(chǎn)及財務(wù)管理制度。信息資產(chǎn)識別信息資產(chǎn)分類信息資產(chǎn)有多種存在形式，有無形的、有形的，有硬件、軟件，也有數(shù)據(jù)等。它的識別是指按照規(guī)定屬性對各類信息資產(chǎn)的辨認和區(qū)分，包括信息資產(chǎn)識別、分類和登記等項工作。XX單位信息資產(chǎn)主要包括如下幾類：網(wǎng)絡(luò)設(shè)備：鏈路負載均衡、路由器、核心交換機、二層交換機、IB交換機、服務(wù)器負載均衡設(shè)備等構(gòu)成信息系統(tǒng)網(wǎng)絡(luò)傳輸環(huán)境的設(shè)備，軟件和傳輸介質(zhì)；服務(wù)器：各類承載業(yè)務(wù)系統(tǒng)和軟件的計算機系統(tǒng)及其操作系統(tǒng)，包括安裝在服務(wù)器上各類應(yīng)用系統(tǒng)以及構(gòu)建系統(tǒng)的臺軟件（數(shù)據(jù)庫，中間件、群件系統(tǒng)、各商業(yè)軟件臺等）；存儲設(shè)備：NAS、SAN、磁帶機、磁帶庫、磁盤陣列、光纖交換機、硬盤等構(gòu)成信息系統(tǒng)存儲環(huán)境的設(shè)備，軟件和傳輸介質(zhì)；安全設(shè)備：VPN網(wǎng)關(guān)、防火墻、內(nèi)容過濾網(wǎng)關(guān)、入侵檢測系統(tǒng)、入侵防御系統(tǒng)、行為審計系統(tǒng)、漏洞掃描系統(tǒng)、防病毒網(wǎng)關(guān)、安全網(wǎng)閘等構(gòu)成信息系統(tǒng)信息安全環(huán)境的設(shè)備，軟件；工作站資產(chǎn)：指監(jiān)控終端，即用于管理服務(wù)器上的服務(wù)的終端，例如網(wǎng)管終端等。工作站不包括一般用途的筆記本和PC；不包括柜臺終端，NC；不包括on-demand終端；專有資產(chǎn)：通信類專門設(shè)備，在信息安全管理的資產(chǎn)管理中，不將其作為資產(chǎn)管理的范疇；基礎(chǔ)設(shè)施資產(chǎn)：水冷機柜、風(fēng)冷機柜、UPS、液晶電視、監(jiān)控服務(wù)器、視頻切換系統(tǒng)、控制臺、水冷機組、風(fēng)冷機組、柴油發(fā)電機等為信息系統(tǒng)提供基礎(chǔ)設(shè)施支持的設(shè)備。其他資產(chǎn)：非以上信息資產(chǎn)。信息資產(chǎn)安全價值信息資產(chǎn)的安全價值有別于商品價值，由資產(chǎn)的機密性價值、完整性價值和可用性價值三部分組成。信息資產(chǎn)安全性價值按照如下規(guī)定進行：每項資產(chǎn)的機密性價值、完整性價值和可用性價值分為一至三級；根據(jù)資產(chǎn)所包含秘密信息被揭露時所可能造成后果的嚴(yán)重性可將資產(chǎn)的機密性價值分為“輕度損害”，“中度損害”，“嚴(yán)重損害三級”；根據(jù)資產(chǎn)處于不正確、不完整或可依賴狀態(tài)時所可能造成后果的嚴(yán)重性可將資產(chǎn)的完整性價值分為“輕度損害”，“中度損害”，“嚴(yán)重損害”三級；根據(jù)資產(chǎn)不可用時所可能造成后果的嚴(yán)重性可將資產(chǎn)的可用性分為“個體不可用”，“部不可用”，“整體不可用”三級。信息資產(chǎn)信息管理信息資產(chǎn)信息的維護各系統(tǒng)管理員識別管理的信息資產(chǎn)，并將信息資產(chǎn)的信息錄入XX單位安全管理系統(tǒng)中的信息資產(chǎn)管理部分。各部門信息安全管理員有責(zé)任協(xié)助本部門系統(tǒng)管理員核實和維護本部門系統(tǒng)信息資產(chǎn)的信息。信息資產(chǎn)內(nèi)部屬性發(fā)生變更，系統(tǒng)管理員要及時更新到XX單位安全管理系統(tǒng)中。變更包括地理位置變動、信息資產(chǎn)配置信息、補丁信息等變動。信息資產(chǎn)管理權(quán)限發(fā)生變更，系統(tǒng)管理員要及時通知本部門安全管理員或XX單位安全管理員，將信息資產(chǎn)狀況及時更新到XX單位安全管理系統(tǒng)中。管理權(quán)限變更包括信息資產(chǎn)所屬系統(tǒng)發(fā)生變更和信息資產(chǎn)所屬部門發(fā)生變更。維護應(yīng)按規(guī)定要求對本系統(tǒng)信息資產(chǎn)進行調(diào)查，并建立信息資產(chǎn)清單和記錄信息資產(chǎn)狀況的檔案。信息資產(chǎn)清單通過“XX單位網(wǎng)絡(luò)信息安全管理系統(tǒng)”存儲及管理。信息資產(chǎn)信息的檢查各部門信息安全管理員在部門季度巡檢中，檢查本部門系統(tǒng)管理員信息資產(chǎn)信息與XX單位安全管理系統(tǒng)中信息是否一致，結(jié)果作為系統(tǒng)管理員安全考核的因素之一。XX單位年度安全巡檢中，檢查各部門信息資產(chǎn)與XX單位安全管理系統(tǒng)中信息是否一致，結(jié)果作為被管理部門信息安全員的考核因素之一。XX單位及部門信息安全管理員隨時抽檢信息資產(chǎn)信息和XX單位安全管理系統(tǒng)中信息是否一致，結(jié)果作為被檢查系統(tǒng)管理員及該部門的考核因素之一。信息資產(chǎn)保護信息資產(chǎn)保護管理信息資產(chǎn)設(shè)備由設(shè)備所屬的系統(tǒng)管理人員負責(zé)安全防護。信息資產(chǎn)由信息部門管理組織，定期巡檢本部門所屬系統(tǒng)信息資產(chǎn)的安全狀況。XX單位網(wǎng)絡(luò)與安全工作辦公室定期巡檢XX單位所有信息資產(chǎn)的安全狀況。信息資產(chǎn)根據(jù)使用的范圍，進行相應(yīng)的存儲保護，物理設(shè)備分成不同重要程度進行分類存放。信息資產(chǎn)保護內(nèi)容信息資產(chǎn)要及時安裝安全補丁，安全補丁的安裝要符合業(yè)務(wù)影響最小原則。信息資產(chǎn)設(shè)備每年定期進行信息安全評估及安全加固。信息資產(chǎn)的信息要及時反映到XX單位安