文本描述
文档编号
XX_2_COM_信息资产管理办法
版 本 号
V1.
密 级
内部公开
信息资产管理办法
XXX信息技术有限公司
文档信息
发布版本:V1.
最后发布时间:XX
编写人:XX
审核人:XX
版本控制
编号
修订人
修订时间
版本号
修订内容说明
目 录
第一章 总则
第二章 信息资产责任
第三章 信息资产定级与标识
第四章 信息资产的使用管理
第五章 附则 1
总则
XXX信息技术有限公司(以下简称“XXX”)为提升信息资产的管理水平,保障信息资产安全,制定本文件。
XXX的信息资产可分为以下六类资产:
信息类资产:包括数据库和数据文件、合同和协议、系统文件、研究信息、用户手册、培训材料、操作或支持程序、业务连续性计划、后备运行安排、审计记录、归档记录等信息。
软件类资产:包括应用软件、系统软件、开发工具和实用程序等软件。
硬件类资产:包括计算机设备、通信设备、可移动介质和其他等设备。
服务类资产:包括计算和通信服务、通用公用事业服务(如,供暖,照明,能源,空调)等。
人员类资产:包括与信息安全相关的重要人员,如系统管理员、应用系统管理员等。
无形类资产:包括XXX的声誉和形象等。
信息资产责任
风险委员会是XXX信息资产安全管理工作的最高领导机构,负责XXX信息资产的安全。各部门指定相应人员负责建立和维护本部门的信息资产清单,确保其准确性和及时性,并报信息安全部汇总。
信息资产所有者是指对资产具有所有权的单位、部门或个人,信息资产所有者对资产的获?⑹褂眉按χ镁哂芯霾呷ǎ恍畔⒆什墓芾碚咄ǔ?梢允切畔⒆什乃姓撸部梢允堑玫叫畔⒆什姓呤谌ǖ钠渌棵呕蚋鋈耍畔⒆什芾碚吒菪畔⒆什姓叩氖谌ㄐ惺苟孕畔⒆什娜粘9芾恚杂诔鍪谌ǚ段У墓芾硪螅枰槊嬲髑笮畔⒆什姓叩囊饧恍畔⒆什氖褂谜呤荴XX的各类用户,他们向管理者申请使用信息资产。
信息资产应明确其所有者、管理者及使用者,其中,所有者角色有且只有一个,管理者角色原则上有且只有一个。
对于未明确所有者或管理者的信息资产,由风险委员会或信息安全部根据实际工作需要,指定其所有者或管理者。
各部门需建立信息资产清单,信息资产清单须详细记录XXX各类信息资产,其内容包括信息资产分类、信息资产编号、信息资产类型、资产所有者、管理者、使用者等。具体参见ISMS文件《ISMS信息资产风险评估表》-《资产登记表》。
各部门相关责任人负责维护和保存本部门的信息资产清单,定期检查信息资产清单的正确性和完整性;在信息资产发生变更时,需及时更新信息资产清单,并报送信息安全部。各部门相关责任人同时负责本部门信息资产的风险评估与风险处置的具体工作。
信息安全部负责维护和保存XXX的信息资产清单,并根据各部门报送的变更信息,及时汇总并更新信息资产清单;定期检查信息资产清单的正确性和完整性;定期组织信息安全风险评估。
信息资产定级与标识
敏感性分级方法
制定信息资产敏感性分级方法是为了帮助公司员工和外部人员判断哪些信息资产属于敏感信息资产,以便更好地加以保护。
全体员工都应当熟悉本文件所确定的信息资产敏感性分级与标识办法,及敏感信息管理要求。员工须依照敏感性分级标准和管理办法来保护信息资产。
信息资产的敏感性分级参见如下标准(对于非信息类资产,由其所承载信息的敏感性确定级别):
敏感性分类
密级
分类
对应的机密性分值
敏感性特征
关键敏感资产
绝密
泄露会使XXX的安全和利益遭受严重损害。
重要敏感资产
机密
包含XXX的重要信息,其泄露会使XXX的安全和利益受到一定的损害。
一般敏感资产
秘密
包含仅能在XXX内部或某些个别部门内部公开的信息,向外扩散有可能对XXX的利益造成损害。
一般敏感