XX_2_COM_信息资产管理办法.doc

文档编号 XX_2_COM_信息资产管理办法 版 本 号 V1.0 密 级 内部公开 信息资产管理办法 XXX信息技术有限公司 文档信息 发布版本：V1.0 最后发布时间：XX 编写人：XX 审核人：XX 版本控制 编号 修订人 修订时间 版本号 修订内容说明 1 2 3 第 11 页 共 11 页 目 录 第一章 总则 4 第二章 信息资产责任 4 第三章 信息资产定级与标识 6 第四章 信息资产的使用管理 7 第五章 附则 11 第一章 总则 第一条 XXX信息技术有限公司（以下简称“XXX”）为提升信息资产的管理水平，保障信息资产安全，制定本文件。 第二条 XXX的信息资产可分为以下六类资产： （一） 信息类资产：包括数据库和数据文件、合同和协议、系统文件、研究信息、用户手册、培训材料、操作或支持程序、业务连续性计划、后备运行安排、审计记录、归档记录等信息。 （二） 软件类资产：包括应用软件、系统软件、开发工具和实用程序等软件。 （三） 硬件类资产：包括计算机设备、通信设备、可移动介质和其他等设备。 （四） 服务类资产：包括计算和通信服务、通用公用事业服务（如，供暖，照明，能源，空调）等。 （五） 人员类资产：包括与信息安全相关的重要人员，如系统管理员、应用系统管理员等。 （六） 无形类资产：包括XXX的声誉和形象等。 第二章 信息资产责任 第三条 风险委员会是XXX信息资产安全管理工作的最高领导机构，负责XXX信息资产的安全。各部门指定相应人员负责建立和维护本部门的信息资产清单，确保其准确性和及时性，并报信息安全部汇总。 第四条 信息资产所有者是指对资产具有所有权的单位、部门或个人，信息资产所有者对资产的获取、使用及处置具有决策权；信息资产的管理者通常可以是信息资产的所有者，也可以是得到信息资产所有者授权的其他部门或个人，信息资产管理者根据信息资产所有者的授权行使对信息资产的日常管理，对于超出授权范围的管理要求，需要书面征求信息资产所有者的意见；信息资产的使用者是XXX的各类用户，他们向管理者申请使用信息资产。 第五条 信息资产应明确其所有者、管理者及使用者，其中，所有者角色有且只有一个，管理者角色原则上有且只有一个。 第六条 对于未明确所有者或管理者的信息资产，由风险委员会或信息安全部根据实际工作需要，指定其所有者或管理者。 第七条 各部门需建立信息资产清单，信息资产清单须详细记录XXX各类信息资产，其内容包括信息资产分类、信息资产编号、信息资产类型、资产所有者、管理者、使用者等。具体参见ISMS文件《ISMS信息资产风险评估表》-《资产登记表》。 第八条 各部门相关责任人负责维护和保存本部门的信息资产清单，定期检查信息资产清单的正确性和完整性；在信息资产发生变更时，需及时更新信息资产清单，并报送信息安全部。各部门相关责任人同时负责本部门信息资产的风险评估与风险处置的具体工作。 第九条 信息安全部负责维护和保存XXX的信息资产清单，并根据各部门报送的变更信息，及时汇总并更新信息资产清单；定期检查信息资产清单的正确性和完整性；定期组织信息安全风险评估。 第三章 信息资产定级与标识 第十条 敏感性分级方法 （一） 制定信息资产敏感性分级方法是为了帮助公司员工和外部人员判断哪些信息资产属于敏感信息资产，以便更好地加以保护。 （二） 全体员工都应当熟悉本文件所确定的信息资产敏感性分级与标识办法，及敏感信息管理要求。员工须依照敏感性分级标准和管理办法来保护信息资产。 第十一条 信息资产的敏感性分级参见如下标准（对于非信息类资产，由其所承载信息的敏感性确定级别）： 敏感性分类 密级 分类 对应的机密性分值 敏感性特征 关键敏感资产 绝密 5 泄露会使XXX的安全和利益遭受严重损害。 重要敏感资产 机密 4 包含XXX的重要信息，其泄露会使XXX的安全和利益受到一定的损害。 一般敏感资产 秘密 3 包含仅能在XXX内部或某些个别部门内部公开的信息，向外扩散有可能对XXX的利益造成损害。 一般敏感资产 内部公开 2 包含仅能在XXX内部或多个部门内部公开的信息，向外扩散有可能对XXX的利益造成损害。 公开使用 公开 1 包含可对社会公开的信息，公用的信息处理设备和系统资源等。 第十二条 员工应根据本文件的有关要求保护XXX敏感性信息资产，如果某种特定信息的敏感性级别不确定时，默认情况下先按“一般敏感资产”进行保护。 第十三条 对于敏感性级别高的信息资产要使用明确的标签加以标识，标识方法参见《信息资产敏感性标识实施规范》。 第四章 信息资产的使用管理 第十四条 信息类资产的使用管理 （一） “关键敏感资产”类信息的使用 “关键敏感资产”类信息是一类极其敏感的信息，对于此类信息在没有相应授权的前提下，严格禁止XXX内部员工和外部人员对“关键敏感资产”类信息的访问。客户敏感信息需要进行加密管理及传输。禁止在公共场合讨论该类信息，并建立详细传阅清单。一旦发现有对“关键敏感资产”类信息的非授权使用或授权的滥用情况，必须立即作为信息安全事故向本部门负责人汇报，并报送风险委员会及CEO。 （二） “重要敏感资产”类信息的使用 “重要敏感资产”类信息是一类较敏感的信息，XXX的内部员工和外部人员在使用 “重要敏感资产”类信息时，应当特别谨慎以防止信息资产的丢失、被盗和敏感信息的泄露。所有人员都应按照“知所必须”的原则，获得完成其工作职责所必须的最小范围的“重要敏感资产”信息。一旦发现有对“重要敏感资产”类信息的非授权使用或授权的滥用情况，必须立即作为信息安全事故向本部门负责人汇报，并报送风险委员会及信息安全部。 （三） “一般敏感资产”类信息的使用 XXX内部员工使用，一般避免向外扩散，外部人员要使用 “一般敏感资产”类信息，需要得到必要的授权。一旦发现有对“一般敏感资产”类信息的非授权使用或授权的滥用情况，必须立即作为信息安全事故向本部门负责人汇报，并报送信息安全部。 （四） 敏感信息泄露上报机制 XXX员工如发现公司敏感信息泄露，依据信息的重要性级别，及时上报相关管理层；管理层制定处理方案。 敏感性分类 对应的机密性分值 上报级别 关键敏感资产 5 CEO及风险委员会 重要敏感资产 4 风险委员会及信息安全部 一般敏感资产 3 本部门主管及信息安全部 一般敏感资产 2 本部门主管及信息安全部 公开使用 1 无需上报 第十五条 硬件类资产的使用管理 XXX所有非涉密硬件类资产都应按照相应固定资产管理办法进行保护，同时注意以下事项： （一） 资产接收 新采购的资产到货后，资产负责人(资产的所有者或管理者)依据相关采购合同对资产进行确认，如合同中无相关要求需参考以下工作内容执行： 1、 对照发货票对资产的数量、型号、外观等初步核实后，依据相关的验收标准进行功能检验，并在“货物验收单”上注明检验结果，检验结果包括合格与不合格。 2、 对于存在问题需要退货或进一步协商处理的，要在 “货物验收单”上注明。 部门相关责任人进行以下操作： 对于检验合格的硬件类资产，依据《信息资产敏感性标识实施规范》标识资产敏感性级别并对新的资产贴上适当的敏感性标签，更新信息资产清单。 （二） 资产发出 XXX发送出去的资产一般按照以下方式处理： 1、 部门相关责任人应当核查发出资产是否符实，并确保发出过程符合敏感性信息相关要求。 2、 在发送后，部门相关责任人应及时更新信息资产清单。 （三） 没有部门相关负责人员的批准，资产不得随意移动位置或带出XXX。 （四） 所有者的变更 当所有者发生变更，原资产所属部门相关责任人应参照《信息存储介质数据安全清除管理程序》的要求，对数据进行可靠清除。 （五） 报废资产的处置 硬件类信息资产报废前，应参照《存储介质数据安全清除管理程序》的要求，对数据进行可靠清除后。移交相关部门按照报废程序处置 第十六条 软件类资产的使用 （一） 在全公司范围使用符合安全性要求的正版软件，禁止使用盗版软件，系统软件要及时进行补丁更新。 （二） 所有XXX使用的电脑，只能安装通过XXX测试合格，满足XXX安全性要求的操作系统和应用软件；外部人员电脑上安装的软件只有满足XXX的安全要求后才能在XXX使用。 （三） 需采取必要的措施防范病毒、木马和流氓软件等恶意程序。 （四） 采购软件类资产，应遵守《公司采购制度》，选择软件开发商，进行软件测试，必要时要进行源代码审查，以确保采购软件安全。 （五） 对于公司自主开发的软件，要确保在软件开发需求中包含安全需求，在软件开发和测试中这些要求能够得到满足。 （六） 禁止在办公电脑上安装未经XXX许可的软件和程序，服务器和终端原则上只安装满足其业务要求的最小范围的软件。 （七） 所有贮存软件的介质应当妥善保存，并登记入册。所用的安全控制措施应遵循《移动介质管理程序》及《备份介质管理程序》。 第十七条 服务类资产的使用要防止资源的浪费和节约能源。如占用网络带宽进行与工作无关的下载，下班后不关电脑、照明、空调等的电源。 第十八条 人员类资产的管理依《人力资源安全管理办法》的规定执行。 第十九条 无形资产对XXX而言非常重要，要维护好这些无形资产，可以通过以下方面体现： （一） 企业形象设计。 （二） 办公礼仪。 （三） 参与各类社会活动的专业性和权威性。 （四） 客户服务水平的提升。 （五） 紧急事件的圆满处理。 （六） 其它方面。 第五章 附则 第二十条 本文件由XXX风险委员会负责解释。 第二十一条 本文件自发布之日起执行。 第二十二条 本文件将每年进行一次评审修订，并在重大信息安全事件发生后进行评审修订。