信息資產(chǎn)管理管理辦法

信息資產(chǎn)治理治理方法第一章總則第一條XXX〔以下簡稱“XXX”〕為提升信息資產(chǎn)的治理水平，保障信息資產(chǎn)安全，制定本文件。其次條XXX信息類資產(chǎn)：包括數(shù)據(jù)庫和數(shù)據(jù)文件、合同和協(xié)議、系統(tǒng)文件、爭(zhēng)論信息、用戶手冊(cè)、培訓(xùn)材料、操作或支持程序、業(yè)務(wù)連續(xù)性打算、后備運(yùn)行安排、審計(jì)記錄、歸檔記錄等信息。軟件類資產(chǎn)：包括應(yīng)用軟件、系統(tǒng)軟件、開發(fā)工具和有用程序等軟件。硬件類資產(chǎn)：包括計(jì)算機(jī)設(shè)備、通信設(shè)備、可移動(dòng)介質(zhì)和其他等設(shè)備。效勞類資產(chǎn)：包括計(jì)算和通信效勞、通用公用事業(yè)效勞〔如，供暖，照明，能源，空調(diào)〕等。人員類資產(chǎn)：包括與信息安全相關(guān)的重要人員，如系統(tǒng)治理員、應(yīng)用系統(tǒng)治理員等。無形類資產(chǎn)：包括XXX其次章信息資產(chǎn)責(zé)任第三條風(fēng)險(xiǎn)委員會(huì)是XXX機(jī)構(gòu)，負(fù)責(zé)XXX維護(hù)本部門的信息資產(chǎn)清單，確保其準(zhǔn)確性和準(zhǔn)時(shí)性，并報(bào)信息安全部匯總。第四條信息資產(chǎn)全部者是指對(duì)資產(chǎn)具有全部權(quán)的單位、部門或個(gè)人，信息資產(chǎn)全部者對(duì)資產(chǎn)的獵取、使用及處置具有決策權(quán)；信息資產(chǎn)的治理者通?？梢允切畔①Y產(chǎn)的全部者，也可以是得到信息資產(chǎn)全部者授權(quán)的其他部門或個(gè)人，信息資產(chǎn)治理者依據(jù)信息資產(chǎn)全部者的授權(quán)行使對(duì)信息資產(chǎn)的日常治理，對(duì)于超出授權(quán)范圍的治理要求，需要書面征求信息資產(chǎn)全部者的意見；信息資產(chǎn)的使用者是XXX第五條信息資產(chǎn)應(yīng)明確其全部者、治理者及使用者，其中，全部者角色有且只有一個(gè)，治理者角色原則上有且只有一個(gè)。第六條對(duì)于未明確全部者或治理者的信息資產(chǎn)，由風(fēng)險(xiǎn)委員會(huì)或信息安全部依據(jù)實(shí)際工作需要，指定其全部者或治理者。第七條各部門需建立信息資產(chǎn)清單，信息資產(chǎn)清單須具體記錄XXX信息資產(chǎn)類型、資產(chǎn)全部者、治理者、使用者等。具體參見ISMS件《ISMS第八條各部門相關(guān)責(zé)任人負(fù)責(zé)維護(hù)和保存本部門的信息資產(chǎn)清單，定期檢查信息資產(chǎn)清單的正確性和完整性；在信息資產(chǎn)發(fā)生變更時(shí)，需準(zhǔn)時(shí)更信息資產(chǎn)清單，并報(bào)送信息安全部。各部門相關(guān)責(zé)任人同時(shí)負(fù)責(zé)本部門信息資產(chǎn)的風(fēng)險(xiǎn)評(píng)估與風(fēng)險(xiǎn)處置的具體工作。第九條信息安全部負(fù)責(zé)維護(hù)和保存XXX依據(jù)各部門報(bào)送的變更信息，準(zhǔn)時(shí)匯總并更信息資產(chǎn)清單；定期檢查信息資產(chǎn)清單的正確性和完整性；定期組織信息安全風(fēng)險(xiǎn)評(píng)估。第三章信息資產(chǎn)定級(jí)與標(biāo)識(shí)第十條敏感性分級(jí)方法〔一〕制定信息資產(chǎn)敏感性分級(jí)方法是為了幫助公司員工和外部人員推斷哪些信息資產(chǎn)屬于敏感信息資產(chǎn)，以便更好地加以保護(hù)。〔二〕全體員工都應(yīng)當(dāng)生疏本文件所確定的信息資產(chǎn)敏感性分級(jí)與標(biāo)識(shí)方法，及敏感信息治理要求。員工須依照敏感性分級(jí)標(biāo)準(zhǔn)和治理方法來保護(hù)信息資產(chǎn)。第十一條 信息資產(chǎn)的敏感性分級(jí)參見如下標(biāo)準(zhǔn)〔對(duì)于非信息類資產(chǎn)，由其所承載信息的敏感性確定級(jí)別〕：敏感性分類密級(jí)分類對(duì)應(yīng)的機(jī)密性分值敏感性特征關(guān)鍵敏感資產(chǎn)絕密5泄露會(huì)使XXX的安全和利益患病嚴(yán)峻損害。重要敏感資產(chǎn)機(jī)密4XXX的重要信息，其泄露會(huì)使XXX的安全和利益受到肯定的損害。一般敏感資產(chǎn)隱秘3包含僅能在XXX內(nèi)部或某些個(gè)別部門內(nèi)部公開的信息，向外集中有可能對(duì)XXX的利益造成損害。一般敏感資產(chǎn)內(nèi)部公開2包含僅能在XXX內(nèi)部或多個(gè)部門內(nèi)部公開的信息，向外集中有可能對(duì)XXX的利益造成損害。公開公開包含可對(duì)社會(huì)公開的信息，公用的信息處理設(shè)備公開使用1和系統(tǒng)資源等。第十二條 員工應(yīng)依據(jù)本文件的有關(guān)要求保護(hù)XXX敏感性信息資產(chǎn)，假設(shè)某種特定信息的敏感性級(jí)別不確定時(shí)，默認(rèn)狀況下先按“一般敏感資產(chǎn)”進(jìn)展保護(hù)。第十三條 對(duì)于敏感性級(jí)別高的信息資產(chǎn)要使用明確的標(biāo)簽加以標(biāo)識(shí)，標(biāo)識(shí)方法參見《信息資產(chǎn)敏感性標(biāo)識(shí)實(shí)施標(biāo)準(zhǔn)》。第四章信息資產(chǎn)的使用治理第十四條信息類資產(chǎn)的使用治理1、“關(guān)鍵敏感資產(chǎn)”類信息的使用“關(guān)鍵敏感資產(chǎn)”類信息是一類極其敏感的信息，對(duì)于此類信息在沒有相應(yīng)授權(quán)的前提下，嚴(yán)格制止XXX“關(guān)鍵敏感資產(chǎn)”類信息的訪問?？蛻裘舾行畔⑿枰M(jìn)展加密治理及傳輸。制止在公共場(chǎng)合爭(zhēng)論該類信息，并建立具體傳閱清單。一旦覺察有對(duì)“關(guān)鍵敏感資產(chǎn)”類信息的非授權(quán)使用或授權(quán)的濫用狀況，必需馬上作為信息安全事故向本部門負(fù)責(zé)人匯報(bào)，并報(bào)送風(fēng)險(xiǎn)委員會(huì)及CEO。2、 “重要敏感資產(chǎn)”類信息的使用信息是一類較敏感的信息，XXX的內(nèi)部員工和外部人員在使用“重要敏感資產(chǎn)”類信息時(shí)，應(yīng)當(dāng)特別慎重以防止信息資產(chǎn)的喪失、被盜和敏感信息的泄露。全部人員都應(yīng)依據(jù)“知所必需”的原則，獲得完成其工作職責(zé)所必需的最小范圍的“重要敏感資產(chǎn)”信息。一旦覺察有對(duì)“重要敏感資產(chǎn)”類信息的非授權(quán)使用或授權(quán)的濫用狀況，必需馬上作為信息安全事故向本部門負(fù)責(zé)人匯報(bào)，并報(bào)送風(fēng)險(xiǎn)委員會(huì)及信息安全部。3、“一般敏感資產(chǎn)”類信息的使用XXX般敏感資產(chǎn)”類信息，需要得到必要的授權(quán)。一旦覺察有對(duì)“一般敏感資產(chǎn)”類信息的非授權(quán)使用或授權(quán)的濫用狀況，必需馬上作為信息安全事故向本部門負(fù)責(zé)人匯報(bào)，并報(bào)送信息安全部。4、敏感信息泄露上報(bào)機(jī)制XXX準(zhǔn)時(shí)上報(bào)相關(guān)治理層；治理層制定處理方案。敏感性分類產(chǎn)重要敏感資

值5

上報(bào)級(jí)別CEO產(chǎn)產(chǎn)一般敏感資

4 風(fēng)險(xiǎn)委員會(huì)及信息安全部3 本部門主管及信息安全部2產(chǎn)公開使用 1

本部門主管及信息安全部無需上報(bào)第十五條 硬件類資產(chǎn)的使用治理XXX保護(hù)，同時(shí)留意以下事項(xiàng)：〔一〕資產(chǎn)接收選購的資產(chǎn)到貨后，資產(chǎn)負(fù)責(zé)人(資產(chǎn)的全部者或治理者)依據(jù)相關(guān)選購合同對(duì)資產(chǎn)進(jìn)展確認(rèn)，如合同中無相關(guān)要求需參考以下工作內(nèi)容執(zhí)行：1、比照發(fā)貨票對(duì)資產(chǎn)的數(shù)量、型號(hào)、外觀等初步核實(shí)后，依據(jù)相關(guān)的驗(yàn)收標(biāo)準(zhǔn)進(jìn)展功能檢驗(yàn)，并在“貨物驗(yàn)收單”上注明檢驗(yàn)結(jié)果，檢驗(yàn)結(jié)果包括合格與不合格。2、物驗(yàn)收單”上注明。部門相關(guān)責(zé)任人進(jìn)展以下操作：對(duì)于檢驗(yàn)合格的硬件類資產(chǎn)，依據(jù)《信息資產(chǎn)敏感性標(biāo)識(shí)實(shí)施標(biāo)準(zhǔn)》標(biāo)識(shí)資產(chǎn)敏感性級(jí)別并對(duì)的資產(chǎn)貼上適當(dāng)?shù)拿舾行詷?biāo)簽，更信息資產(chǎn)清單?！捕迟Y產(chǎn)發(fā)出XXX1、部門相關(guān)責(zé)任人應(yīng)當(dāng)核查發(fā)出資產(chǎn)是否符實(shí)，并確保發(fā)出過程符合敏感性信息相關(guān)要求。2、在發(fā)送后，部門相關(guān)責(zé)任人應(yīng)準(zhǔn)時(shí)更信息資產(chǎn)清單?！惨弧硾]有部門相關(guān)負(fù)責(zé)人員的批準(zhǔn)，資產(chǎn)不得隨便移動(dòng)位置或帶出XXX。全部者的變更〔二〕當(dāng)全部者發(fā)生變更，原資產(chǎn)所屬部門相關(guān)責(zé)任人應(yīng)參照《信息存儲(chǔ)介質(zhì)數(shù)據(jù)安全去除治理程序》的要求，對(duì)數(shù)據(jù)進(jìn)展牢靠去除?！踩硤?bào)廢資產(chǎn)的處置硬件類信息資產(chǎn)報(bào)廢前，應(yīng)參照《存儲(chǔ)介質(zhì)數(shù)據(jù)安全去除治理程序》的要求，對(duì)數(shù)據(jù)進(jìn)展牢靠去除后。移交相關(guān)部門依據(jù)報(bào)廢程序處置第十六條軟件類資產(chǎn)的使用〔一〕在全公司范圍使用符合安全性要求的正版軟件，制止使用盜版軟件，系統(tǒng)軟件要準(zhǔn)時(shí)進(jìn)展補(bǔ)丁更?！捕砐XXXXX滿足XXX的軟件只有滿足XXXXXX〔三〕需實(shí)行必要的措施防范病毒、木馬和流氓軟件等惡意程序。〔四〕選購軟件類資產(chǎn)，應(yīng)遵守《公司選購制度》，選擇軟件開發(fā)商，進(jìn)展軟件測(cè)試，必要時(shí)要進(jìn)展源代碼審查，以確保選購軟件安全?！参濉硨?duì)于公司自主開發(fā)的軟件，要確保在軟件開發(fā)需求中包含安全需求，在軟件開發(fā)和測(cè)試中這些要求能夠得到滿足?！擦持浦乖谵k公電腦上安裝未經(jīng)XXX效勞器和終端原則上只安裝滿足其業(yè)務(wù)要求的最小范圍的軟件?！财摺橙抠A存軟件的介質(zhì)應(yīng)當(dāng)妥當(dāng)保存，并登記入冊(cè)。所用的安全掌握措施應(yīng)遵循《移動(dòng)介質(zhì)治理程序》及《備份介質(zhì)治理程序》。第十七條 效勞類資產(chǎn)的使用要防止資源的鋪張和節(jié)約能源。如占用網(wǎng)絡(luò)帶寬進(jìn)展與工作無關(guān)的下載，下班后不關(guān)電腦、照明、空調(diào)等的電源。第十八條 人員類資產(chǎn)的治理依《人力資源安全治理方法》的規(guī)定執(zhí)行。第