資產(chǎn)安全管理制度
《資產(chǎn)安全管理制度》由會員分享,可在線閱讀,更多相關(guān)《資產(chǎn)安全管理制度(12頁珍藏版)》請在裝配圖網(wǎng)上搜索。
精選資料 XXXX 資產(chǎn)安全管理制度 2017年12月目錄 1 總則 3 1.1 目的 3 1.2 范圍 3 2 規(guī)范性引用文件 3 3 職責(zé) 3 3.1 信息技術(shù)科 3 3.3 其他各科室 3 4 術(shù)語與定義 3 4.1信息 3 4.2 資產(chǎn) 3 5 管理內(nèi)容和方法 4 5.1 資產(chǎn)清單 4 5.2 資產(chǎn)管理 4 5.3 信息資產(chǎn)的存放和使用 5 5.4信息資產(chǎn)分類 6 5.5信息的標(biāo)識及處置 7 5.6資產(chǎn)轉(zhuǎn)移 8 5.7資產(chǎn)數(shù)據(jù)安全管理 8 6 附則 8 7 附表 8 可修改編輯 1 總則 1.1 目的 為了規(guī)范XXXXX網(wǎng)絡(luò)與信息系統(tǒng)的信息資產(chǎn)管理,明確各種崗位的信息資產(chǎn)管理職責(zé),方便在XXXXX內(nèi)部推廣和執(zhí)行信息資產(chǎn)的管理和使用要求,特制訂本制度。 本細(xì)則描述了XXXXX信息技術(shù)科在信息資產(chǎn)管理方面的職責(zé)、管理內(nèi)容和管理方法。 1.2 范圍 本細(xì)則適用于XXXXX信息技術(shù)科所有信息資產(chǎn)的管理。 2 規(guī)范性引用文件 GB/T 22081-2008/ISO/IEC 27002:2005《信息技術(shù) 安全技術(shù) 信息安全管理實用規(guī)則》 3 職責(zé) 3.1信息技術(shù)科 1、負(fù)責(zé)所有信息資產(chǎn)的管理工作。 2、負(fù)責(zé)制作和維護所管轄系統(tǒng)的信息資產(chǎn)管理清單。 3、負(fù)責(zé)審核各個科室的信息資產(chǎn)變更。 4、定期對信息資產(chǎn)進行清查盤點。 3.3 其他各科室 1、負(fù)責(zé)維護本科室的信息資產(chǎn)清單。 2、負(fù)責(zé)審核本科室信息資產(chǎn)的變更管理。 3、協(xié)助信息技術(shù)科進行信息資產(chǎn)清點工作。 4 術(shù)語與定義 4.1信息 對組織具有重要價值,可以通過媒體傳遞和存儲的一種資產(chǎn)。 4.2 資產(chǎn) 本程序所稱的資產(chǎn)指是指XXXXX在生產(chǎn)、經(jīng)營和管理過程中,所需要的以及所產(chǎn)生的,用以支持(或指導(dǎo)、或影響)連州市人民法院生產(chǎn)、經(jīng)營和管理的一切有用的數(shù)據(jù)和資料等非財務(wù)的無形資產(chǎn),其范圍包括現(xiàn)在的和歷史的。 5 管理內(nèi)容和方法 5.1 資產(chǎn)清單 5.1.1 資產(chǎn)清單可幫助確保有效的資產(chǎn)保護,編制一份完整的資產(chǎn)清單是風(fēng)險管理的一個重要的先決條件。連州市人民法院信息技術(shù)科應(yīng)制定和維護所管轄的資產(chǎn)清單,清單中應(yīng)包括如下與信息系統(tǒng)相關(guān)的資產(chǎn): 1、信息資產(chǎn):數(shù)據(jù)庫和數(shù)據(jù)文件、合同和協(xié)議、系統(tǒng)文件、研究信息、用 戶手冊、培訓(xùn)材料、操作或支持程序、業(yè)務(wù)連續(xù)性計劃、應(yīng)變安排 (fallbackarrangement) 、審核跟蹤記錄(audit trails) 、歸檔信息; 2、軟件資產(chǎn):應(yīng)用軟件、系統(tǒng)軟件、開發(fā)工具和實用程序; 3、物理資產(chǎn):計算機設(shè)備、通信設(shè)備、可移動介質(zhì)和其他設(shè)備; 4、服務(wù):計算和通信服務(wù)、公用設(shè)施,例如,供暖,照明,能源,空調(diào); 5、人員:與信息安全相關(guān)的重要人員,如信息系統(tǒng)管理崗位人員、應(yīng)用集成崗位人員、局域網(wǎng)及終端管理崗位人員、數(shù)據(jù)管理崗位人員、資產(chǎn)管理崗位人員等。 6、無形資產(chǎn):如組織的聲譽和形象、商標(biāo)、知識產(chǎn)權(quán)等。 5.1.2資產(chǎn)清單中應(yīng)包括資產(chǎn)責(zé)任科室、責(zé)任人、重要程度、所處位置、安全分類、保存方式、使用方法等內(nèi)容。 5.2 資產(chǎn)管理 5.2.1資產(chǎn)責(zé)任人 XXXXX在資產(chǎn)管理過程中,應(yīng)將一組資產(chǎn)指派給一個責(zé)任人,與信息處理設(shè)施有關(guān)的所有信息和資產(chǎn)應(yīng)由組織的指定科室或人員承擔(dān)責(zé)任,資產(chǎn)責(zé)任人應(yīng)負(fù)責(zé): 1、確保與信息處理設(shè)施相關(guān)的信息和資產(chǎn)進行了適當(dāng)?shù)姆诸悾? 2、確定并周期性評審訪問限制和分類,要考慮到可應(yīng)用的訪問控制策略。 5.2.2新資產(chǎn)必須進行入庫登記接收,明確資產(chǎn)接收人、責(zé)任人、時間等信息; 5.2.3資產(chǎn)應(yīng)明確其所有者、管理者及使用者三類角色,對于每一個資產(chǎn)必須有且僅有一個所有者角色,同時必須有且僅有一個管理者角色。 5.2.5任何對網(wǎng)絡(luò)與資產(chǎn)的變更、訪問應(yīng)在獲得資產(chǎn)責(zé)任人的批準(zhǔn)后進行。 5.2.6所有需要接入連州市人民法院信息網(wǎng)絡(luò)的設(shè)備,應(yīng)經(jīng)信息技術(shù)科審核、備案。 5.2.7隨機資料、軟件等應(yīng)由使用者或資產(chǎn)責(zé)任人妥善保管,重要的專用驅(qū)動程序應(yīng)有備份。 5.2.8連州市人民法院信息技術(shù)科應(yīng)定期對資產(chǎn)進行清查盤點,確保資產(chǎn)帳物相符和完好無損。 5.2.9資產(chǎn)的報廢應(yīng)由使用科室提出書面申請,信息技術(shù)科根據(jù)資產(chǎn)的使用情況進行審核,提出資產(chǎn)報廢清單,按固定資產(chǎn)報廢程序辦理。 5.3 信息資產(chǎn)的存放和使用 5.3.1信息資產(chǎn)的存放應(yīng)立足于管理和安全的考慮,為了便于保管、提取、查詢,信息資產(chǎn)應(yīng)盡量以電子介質(zhì)的形式存儲,因此,對于存儲在紙介質(zhì)等其他非結(jié)構(gòu)化的信息資產(chǎn),如果技術(shù)上允許并且有必要的話,應(yīng)及時進行適當(dāng)?shù)奶幚恚D(zhuǎn)換為結(jié)構(gòu)化的電子信息,并以電子介質(zhì)的形式存儲。資產(chǎn)具體存放形式參見(附件1)《信息資產(chǎn)的存放形式表》。 5.3.2 信息資產(chǎn)的存儲介質(zhì)存放的地點要求如下: 1、對于對外公開信息,存放地點沒有要求。 2、對于對內(nèi)公開信息,如果是結(jié)構(gòu)化的電子信息,應(yīng)存放在內(nèi)部服務(wù)網(wǎng)絡(luò)中的文件服務(wù)器等;如果是非結(jié)構(gòu)化的其他信息,應(yīng)存放在室內(nèi)文件柜中,并有明顯的分類標(biāo)識。 3、對于秘密信息,如果是結(jié)構(gòu)化的電子信息,應(yīng)存放在有嚴(yán)格管理制度、具有足夠的安全防護措施的機房環(huán)境中的相關(guān)服務(wù)器和存儲設(shè)備上;如果是非結(jié)構(gòu)化的其他信息,應(yīng)存放在室內(nèi)具有較強防盜竊能力的文件柜中,并造冊登記,分項存放。 4、對于機密信息,如果是聯(lián)機存儲的結(jié)構(gòu)化電子信息,應(yīng)存放在有嚴(yán)格管理制度、具有高強度的安全防護措施的機房環(huán)境中的相關(guān)服務(wù)器和存儲設(shè)備上;如果是脫機存儲的結(jié)構(gòu)化電子信息,以及非結(jié)構(gòu)化的其他信息,應(yīng)存放在具有嚴(yán)格保安措施的、專門的保管環(huán)境中(如機要室等),并造冊登記,分項存放。 5.3.3 信息資產(chǎn)的存儲介質(zhì)使用控制要求如下: 1、對于對外公開信息,介質(zhì)使用沒有限制要求,任何人在任何場合均可以使用。 2、對于對內(nèi)公開信息,對于存儲在電子介質(zhì)上的信息,必須通過內(nèi)部網(wǎng)絡(luò),以注冊的合法身份,登錄訪問和下載使用;對于非結(jié)構(gòu)化的其他信息,經(jīng)介質(zhì)保存科室同意,可以提取存儲信息的介質(zhì)使用,使用完畢放回原處。 3、對于秘密信息,對于存儲在電子介質(zhì)上的信息,原則上要求聯(lián)機使用,信息只能通過應(yīng)用系統(tǒng)專用界面使用,使用者必須具有足夠的使用權(quán)限;秘密信息的脫機提取或抄錄,必須有相關(guān)領(lǐng)導(dǎo)的書面批準(zhǔn)意見,其提取或抄錄的相關(guān)細(xì)節(jié)必須記錄在案,使用者必須對其提取或抄錄秘密信息的安全保密負(fù)責(zé);對于非結(jié)構(gòu)化信息的使用,必須符合秘密級文件的相關(guān)使用規(guī)定,信息的提取或抄錄必須有相關(guān)領(lǐng)導(dǎo)的書面批準(zhǔn)意見,其相關(guān)細(xì)節(jié)必須記錄在案,使用者必須對其提取或抄錄秘密信息的安全保密負(fù)責(zé)。 4、對于機密信息,對于存儲在電子介質(zhì)上的信息,必須聯(lián)機使用,信息只能通過應(yīng)用系統(tǒng)專用界面使用,使用者必須具有足夠的使用權(quán)限;機密信息絕對禁止的脫機提取,特殊信息的抄錄,必須有相關(guān)領(lǐng)導(dǎo)及保密人員的書面批準(zhǔn)意見,抄錄的過程及內(nèi)容必須有保密人員現(xiàn)場監(jiān)督檢查,抄錄的相關(guān)細(xì)節(jié)必須記錄在案,使用者必須對其抄錄的機密信息的安全保密負(fù)責(zé);對于非結(jié)構(gòu)化信息的使用,必須符合機密級文件的相關(guān)使用規(guī)定,特殊信息的抄錄必須有相關(guān)領(lǐng)導(dǎo)及保密人員的書面批準(zhǔn)意見,其相關(guān)細(xì)節(jié)必須記錄在案,使用者必須對其提取或抄錄秘密信息的安全保密負(fù)責(zé)。 5.4信息資產(chǎn)分類 5.4.1按照信息資產(chǎn)管理的相關(guān)標(biāo)準(zhǔn)和信息資產(chǎn)的表現(xiàn)形式,信息資產(chǎn)包括: (1)單位的域名、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)IP地址及分配規(guī)則、企業(yè)標(biāo)準(zhǔn)編碼。 (2)單位投資開發(fā)的(或具有獨立知識產(chǎn)權(quán)的)程序軟件的源代碼、支持程序軟件、外購軟件的使用許可證記錄、系統(tǒng)平臺基礎(chǔ)數(shù)據(jù)等。 (3)系統(tǒng)配置數(shù)據(jù)、系統(tǒng)授權(quán)信息、口令文件、密鑰及算法文件、系統(tǒng)說明文檔、用戶手冊等系統(tǒng)基礎(chǔ)數(shù)據(jù)。 (4)各類系統(tǒng)的應(yīng)用數(shù)據(jù)庫及數(shù)據(jù)文件、業(yè)務(wù)報表等系統(tǒng)業(yè)務(wù)數(shù)據(jù)。 (5)各類系統(tǒng)的運行方案、運行記錄、變更記錄等系統(tǒng)運行數(shù)據(jù)以及應(yīng)急計劃。 (6)各類的規(guī)劃、方案與策略、業(yè)務(wù)流程、業(yè)務(wù)規(guī)范、操作規(guī)程等管理數(shù)據(jù)。 (7)技術(shù)圖紙、技術(shù)文檔、工程資料等項目數(shù)據(jù)。 (8)其他紙介質(zhì)的重要辦公文件(信件)、圖像、影像、錄音和照片等非結(jié)構(gòu)化辦公資料。 (9)單個員工擁有的專家技能和經(jīng)驗等隱性數(shù)據(jù)。 5.4.2信息資產(chǎn)具有不同的敏感度和重要性,應(yīng)從其機密性、完整性和可用性等屬性對其進行分級,反映不同的保護要求、優(yōu)先級和程度。連州市人民法院信息資產(chǎn)按信息的敏感度分類為機密信息、秘密信息、對內(nèi)公開信息、對外公開信息。信息資產(chǎn)安全分類見附件2《信息資產(chǎn)安全分類表》 5.5信息的標(biāo)識及處置 XXXXX的信息系統(tǒng)應(yīng)在物理或邏輯標(biāo)簽中標(biāo)明其資產(chǎn)分級。 5.5.1應(yīng)根據(jù)品牌型號、設(shè)備流水號、設(shè)備名稱、設(shè)備序列號、設(shè)備責(zé)任人、使用單位、資產(chǎn)編碼等制定資產(chǎn)標(biāo)簽,并把標(biāo)簽貼在相應(yīng)的信息資產(chǎn)上; 5.5.2應(yīng)明確信息處于不同載體的標(biāo)注方法。信息的密級必須被明確標(biāo)注。根據(jù)存儲和輸出方式的不同,可以采用物理標(biāo)簽、電子標(biāo)記等方法。 5.5.3XXXXX的客戶或第三方在制作連州市人民法院的信息資產(chǎn)標(biāo)識時,應(yīng)遵循連州市人民法院統(tǒng)一的計算機和服務(wù)器標(biāo)識定義及《保密法》有關(guān)規(guī)定要求。 5.5.4XXXXX的客戶或第三方在對連州市人民法院的信息資產(chǎn)標(biāo)識時,應(yīng)遵循連州市人民法院統(tǒng)一的標(biāo)識定義。 5.5.5XXXXX不同分級的信息在處置過程中應(yīng)采取不同的控制和保護措施,對實物形式和電子形式信息資產(chǎn)的信息處置活動包括如下類型: 1 、復(fù)制; 2、 存儲; 3 、通過郵寄、傳真或電子郵件等方式進行傳輸; 4 、通過口頭對話方式進行傳播,包括電話、語音郵件、應(yīng)答設(shè)備等; 5 、銷毀。 5.5.6XXXXX機密信息的處置要得到連州市人民法院主管領(lǐng)導(dǎo)的批準(zhǔn),并報信息技術(shù)科備案審核。 5.5.7處置信息類資產(chǎn)信息時,須在連州市人民法院內(nèi)部的專門處置場所,設(shè)置特殊的處置柜存放;含連州市人民法院機密信息的紙件不得重復(fù)使用,紙質(zhì)文件要通過專門設(shè)備徹底粉碎;電子文件要使用專門的清除軟件安全清除;存儲介質(zhì)需要可靠地擦除或物理上徹底銷毀。 5.6資產(chǎn)轉(zhuǎn)移 在未經(jīng)設(shè)備管理責(zé)任科室領(lǐng)導(dǎo)審批的情況下,不得讓信息設(shè)備離開辦公場所。對于有權(quán)允許移動信息設(shè)備,應(yīng)設(shè)置信息設(shè)備移動的時間限制,明確對資產(chǎn)的轉(zhuǎn)移、外出等進行跟蹤管理,并在返還時進行一致性檢查,并對設(shè)備做移出記錄和送回記錄的管理。 為了防止未授權(quán)的信息設(shè)備移動,進出時由信息技術(shù)科進行抽查,以檢測未授權(quán)的信息設(shè)備進出。這樣的抽查應(yīng)按照相關(guān)規(guī)章制度執(zhí)行,并告知局所有員工此種抽查制度。 5.7資產(chǎn)數(shù)據(jù)安全管理 1、應(yīng)采取措施確保系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸過程中得到完整性檢驗與保護。 2、應(yīng)采取措施確保系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸過程中得到保密保護。 3、應(yīng)采取措施對關(guān)鍵數(shù)據(jù)得到及時備份,確保數(shù)據(jù)的可恢復(fù)性。 4、應(yīng)建立規(guī)范的資產(chǎn)銷毀流程,確保資產(chǎn)銷毀過程中信息的備份回收,并做好銷毀記錄(填寫《資產(chǎn)銷毀記錄表》,見附件3),確保信息的保密、防止信息泄露。 6 附則 1、本細(xì)則自批準(zhǔn)發(fā)文之日起生效。 2、本細(xì)則由連州市人民法院信息技術(shù)科負(fù)責(zé)解釋。 7 附表 附件1信息資產(chǎn)的存放形式表 定義類別 信息資產(chǎn)名稱 存儲方式 存儲介質(zhì) 1 單位的域名 無 無 1 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu) 脫機 電子介質(zhì) 1 網(wǎng)絡(luò)IP地址及分配規(guī)則 脫機 電子介質(zhì) 1 企業(yè)標(biāo)準(zhǔn)編碼 脫機 電子介質(zhì)或紙介質(zhì) 2 程序軟件的源代碼 脫機 電子介質(zhì) 2 支持程序軟件 脫機 電子介質(zhì) 2 外購軟件的使用許可證記錄 脫機 紙介質(zhì) 2 系統(tǒng)平臺基礎(chǔ)數(shù)據(jù) 聯(lián)機 電子介質(zhì) 3 系統(tǒng)配置數(shù)據(jù) 脫機 電子介質(zhì)或紙介質(zhì) 3 系統(tǒng)授權(quán)信息 脫機 電子介質(zhì)或紙介質(zhì) 3 口令文件 脫機 電子介質(zhì)或紙介質(zhì) 3 密鑰及算法文件 脫機 電子介質(zhì) 3 系統(tǒng)說明文檔、用戶手冊 脫機 紙介質(zhì) 4 各類系統(tǒng)的應(yīng)用數(shù)據(jù)庫及數(shù)據(jù)文件、業(yè)務(wù)報表等 聯(lián)機 電子介質(zhì) 5 各類系統(tǒng)的運行日志 聯(lián)機 電子介質(zhì)或紙介質(zhì) 5 客戶服務(wù)記錄 聯(lián)機 電子介質(zhì) 6 企業(yè)各類規(guī)劃、方案與策略 脫機 電子介質(zhì)或紙介質(zhì) 6 的業(yè)務(wù)流程、業(yè)務(wù)規(guī)范、操作規(guī)程 脫機 電子介質(zhì)或紙介質(zhì) 7 技術(shù)圖紙、技術(shù)文檔、工程資料 聯(lián)機 電子介質(zhì)或紙介質(zhì) 8 其他紙介質(zhì)辦公文件(信件)、圖象、影象、錄音和照片等非結(jié)構(gòu)化辦公資料 脫機 按實際需要選擇的各種介質(zhì) 9 單個員工擁有的專家技能和經(jīng)驗等 無 無 附件2信息資產(chǎn)安全分類表 定義類別 信息資產(chǎn)名稱 信息資產(chǎn)分類 1 單位的域名 對外公開信息 1 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu) 秘密信息 1 網(wǎng)絡(luò)IP地址及分配規(guī)則 秘密信息 1 企業(yè)標(biāo)準(zhǔn)編碼 對內(nèi)公開信息 2 程序軟件的源代碼 秘密信息 2 支持程序軟件 對內(nèi)公開信息 2 外購軟件的使用許可證 對內(nèi)公開信息 2 系統(tǒng)平臺基礎(chǔ)數(shù)據(jù) 秘密信息 3 系統(tǒng)配置數(shù)據(jù) 秘密信息 3 系統(tǒng)授權(quán)信息 秘密信息 3 口令文件 機密信息 3 密鑰及算法文件 機密信息 3 系統(tǒng)說明文檔、用戶手冊 對內(nèi)公開信息 4 系統(tǒng)應(yīng)用數(shù)據(jù)庫及數(shù)據(jù)文件、業(yè)務(wù)報表等 秘密信息 5 數(shù)據(jù)中心、機房運行日志及應(yīng)急計劃 秘密信息 5 客戶服務(wù)記錄 對內(nèi)公開信息 6 單位經(jīng)營方案與策略 機密信息 6 單位信息與網(wǎng)絡(luò)安全方案與策略 機密信息 6 單位及各專業(yè)的規(guī)劃與投資方案 秘密信息 6 單位的業(yè)務(wù)規(guī)范、操作規(guī)程 對內(nèi)公開信息 6 各專業(yè)的業(yè)務(wù)流程 對內(nèi)公開信息 7 技術(shù)圖紙、技術(shù)文檔、工程資料 秘密信息 8 其他紙介質(zhì)的重要辦公文件(信件)、圖象、影象、錄音和照片等非結(jié)構(gòu)化辦公資料 不定 9 單個員工擁有的專家技能和經(jīng)驗等 具體確認(rèn) 附件3資產(chǎn)銷毀記錄表 資產(chǎn)名稱 資產(chǎn)編號 銷毀事因 銷毀方式 銷毀時間 保管人 審批人 備注 THANKS !!! 致力為企業(yè)和個人提供合同協(xié)議,策劃案計劃書,學(xué)習(xí)課件等等 打造全網(wǎng)一站式需求 歡迎您的下載,資料僅供參考- 1.請仔細(xì)閱讀文檔,確保文檔完整性,對于不預(yù)覽、不比對內(nèi)容而直接下載帶來的問題本站不予受理。
- 2.下載的文檔,不會出現(xiàn)我們的網(wǎng)址水印。
- 3、該文檔所得收入(下載+內(nèi)容+預(yù)覽)歸上傳者、原創(chuàng)作者;如果您是本文檔原作者,請點此認(rèn)領(lǐng)!既往收益都?xì)w您。
下載文檔到電腦,查找使用更方便
15 積分
下載 |
- 配套講稿:
如PPT文件的首頁顯示word圖標(biāo),表示該PPT已包含配套word講稿。雙擊word圖標(biāo)可打開word文檔。
- 特殊限制:
部分文檔作品中含有的國旗、國徽等圖片,僅作為作品整體效果示例展示,禁止商用。設(shè)計者僅對作品中獨創(chuàng)性部分享有著作權(quán)。
- 關(guān) 鍵 詞:
- 資產(chǎn) 安全 管理制度
鏈接地址:http://www.820124.com/p-11441839.html