《资产管理办法.docx》由会员分享,可在线阅读,更多相关《资产管理办法.docx(4页珍藏版)》请在三一办公上搜索。
1、资产管理办法文件编号:1.1.1 总则第一条为加强公司(以下简称“”或“公司”)信息资产管理,保障信息资产分类、分级、标识和处理工作的有效性、安全性和可靠性,确保信息资产的保密性、完整性和可用性,特制定本管理办法。第二条信息安全管理体系根据ISO/IEC27001:2013中的要求建立与运行。本管理办法为信息安全管理体系文档的二级文档,为信息安全规则之一,描述了信息安全管理体系及相关活动的信息资产管理方法与要求。第三条本管理办法适用于各部门及境外分支机构。第四条在信息资产管理中遵循“统一领导、分级管理、管用结合、责任到人”的原则,使信息资产管理工作系统化、规范化、科学化,并积极创造条件逐步实现
2、计算机辅助管理。1.1.2 信息资产定义与分类第五条本管理办法中,信息资产是指所有对有价值的消息、信号、数据、情报和知识及其载体和环境。的信息资产包括硬件类资产、软件类资产、信息类(数据类)资产、环境设施类资产、服务类资产、人员类资产、无形资产。第六条硬件类资产包括计算机设备、通信设备、安全设备、存储设备、可移动介质、电子办公设备等。第七条软件类资产包括应用软件、系统软件、开发工具和实用程序等;第八条信息类资产包括数据库和数据文件、合同和协议、系统文件、用户手册、培训材料、操作或支持文档、审计记录、归档的信息等。第九条人员类资产包括信息系统用户、信息系统运行/维护人员、信息系统开发人员和其他关
3、键人员。信息系统运行/维护人员包括系统管理员、数据库管理员、备份、服务台、应用部署操作人员。第十条环境设施类资产包括办公室(宅院、大楼)、办公生产区域(实验室、测试区等)、计算机机房、设备(空调、供电、消防、门禁、监控)、其他环境因素。第十一条服务类资产包括产品服务和非产品服务,其中:1 .产品服务1)系统维保服务;2)设备检修服务。2 .非产品服务1)系统外包开发/测试服务;2)评估/咨询服务;3)其他服务。第十二条无形资产包括客户关系、知识产权、企业文化、公司形象、商业信誉、企业品牌等。1.1.3 管理职责第十三条信息资产所有者:是指具有信息资产的所有权,即对该项信息资产负有最终管理责任的
4、单位或个人。信息资产所有者应识别及评价其所拥有的信息资产,确定信息资产的管理要求,包括信息资产的访问控制要求,并指派信息资产管理者。第十四条信息资产管理者:信息资产管理者是指经信息资产所有者授权取得管理职责,负责该信息资产日常运行维护的并实施适当的控制措施以保证该数据的机密性、完整性和可用性的单位或个人。当数据类信息资产流转出该信息系统管理者管理的信息系统时,该信息系统管理者不再负有数据资产管理者的职责。第十五条信息资产用户:从信息资产所有者处取得信息资产的使用权,以实际或逻辑方式使用该项信息资产的单位或个人。信息资产用户应遵从各项信息安全制度和流程,正确使用及操作信息资产。第十六条信息安全管
5、理员是信息安全管理体系在各部门(或部门内各室组)内的执行人员,在信息安全办公室(参见信息安全组织管理办法)组织协调下负责各部门(或部门内各室组)内信息资产清单的维护工作,定期协调相关人员识别信息资产并更新信息资产清单。1.1.4 总体管理要求第十七条信息安全办公室(以下简称“信息安全办公室”)依据本管理办法建立信息资产的统一控制和监督机制。第十八条电子化设备的使用、维护、升级和更新工作参照电子化设备管理规范执行。第十九条固定资产的验收、入库、领用、借用、维修、调配、清理、报废等管理工作遵照公司对于固定资产实物的相关规定执行。1.1.5 信息资产识别和维护第二十条信息资产所有者与管理者应参与识别
6、其管辖范围内的信息资产,给予编号,并制作或更新重要信息资产清单。第二十一条各部门以及境外分支机构的信息安全管理员应当在信息资产新增、报废、机密性等级变更、信息资产所有者或管理者变更时,协调信息资产所有者和管理者更新信息资产清单并经资产所有部门领导核准。第二十二条信息资产清单上应包括以下信息:资产编号、资产类别、资产名称、资产说明、存放位置、信息资产所有者、信息资产管理者、信息资产用户等信息;资产的机密性价值、完整性价值、可用性价值与资产价值可选择保留。1.1.6 信息机密性分级和标识第二十三条信息类(数据类)资产机密性等级分为三级:国家秘密、公司商业秘密和公开。确定信息系统、物理环境、外部服务
7、和人员类信息资产的机密性等级时,需把这些信息资产及其处理、传输和储存的信息作为一个整体评估,这些资产对应的机密性等级与其处理、传输和储存的信息的机密性等级保持合理的一致性。第二十四条国家秘密:根据中华人民共和国保守国家秘密法规定,国家秘密是关系国家的安全和利益、依照法定程序确定、在一定时间内只限一定范围的人员知悉的事项。第二十五条公司商业秘密(以下简称“商业秘密”卜是指不为公众所知悉、能为公司带来经济利益、具有实用性并经公司采取保密措施的技术信息和经营信息。第二十六条公开:是指可以公共访问和对外发布的信息,该类信息可以向任何人公布的。公开信息的泄漏不会给造成财务或声誉损失。第二十七条对于既不属
8、于国家秘密也不属于商业秘密,但泄露会影响公司安全和利益的事项,按照商业秘密进行保护和管理。第二十八条属于国家秘密、公司商业秘密的电子和纸质文档应依据其机密性等级在文档适当位置标识其机密性等级及管控要求。1.1.7 信息资产保护措施第二十九条的国家秘密保护工作严格遵照国家保密法规进行。第三十条公司涉及到的国家秘密、商业秘密和公开信息的创建、处理、存储、使用、交换、归档和销毁应参照保密管理暂行办法进行保护。第三十一条纸质文档、个人终端(包括移动终端)、Internet和电子邮件的信息安全参照保密管理暂行办法和电子邮件安全管理规范进行保护。第三十二条应明确各信息系统的管理职责,制订其操作规程,规划并
9、验收信息系统,对信息系统的漏洞、备份,介质管理、数据信息、密码和密钥、监控审计、移动办公和访问控制进行管控。信息系统类信息资产具体参照员工信息安全办法、信息系统运营安全管理办法和网络安全管理办法进行管理和保护。第三十三条应对公共区、办公区、机房、交接区等区域及支持性设施、供电、通信、布线等设备实施访问和环境控制,并制订区域内行为规范和设备使用规范。物理环境类信息资产具体参照物理环境安全管理办法进行管理和保护。第三十四条应对人员聘用前、聘用中、聘用变更或终止进行适当的管控,定期组织人员进行信息安全培训,并制订奖惩措施来规范人员的信息安全行为。人员类信息资产具体参照信息安全人事管理办法进行管理和保护。第三十五条应管控外部服务的准入、验收、考核,防止外部服务造成的信息泄漏和系统中断。服务类信息资产具体参照第三方信息安全管理办法进行管理和保护。1.1.8 奖励与处罚第三十六条执行本管理办法,成绩突出的部门与个人,公司根据规定给予一定形式的奖励。第三十七条违反本管理办法,造成重大信息安全事故,根据有关法律法规,追究其主管领导、相关部门、直接责任人的责任。1.1.9 附则第三十八条本管理办法由信息安全办公室制订,经信息安全委员会审批通过后发布,自发布之日起实施并生效。本文档的最终决定权和最终解释权归信息安全委员会。
