资产安全管理制度
第一章 总则
第一条为了对资产实施适当地分类与分级,建立资产清单并加以维护,使威尼斯98488的资产受到有效的保护,特制定此制度。
第二条本制度适用于威尼斯98488的所有信息化资产。
第二章 资产分类
第三条要对信息化资产进行分类,列出信息资产清单,并将每项资产的名称,
资产编号,所处位置,价值(相对价值),资产负责人等相关信息记录在资产清单上。
第四条根据资产的表现形式,可将资产分为业务系统、物理资产、软件资产、
信息资源、服务、组织等类型:
1、业务系统:
l 业务系统:信息与教育技术中心所管署的信息系统;
2、 物理资产:
l 计算机主机设备:超级性能计算机、大/中型计算机、主机服务器、PC 服务
器、其他主机设备。
l 计算机网络设备:网关、交换机、路由器、网络接入设备、其他网络设备。
l 安全设备:AD、防火墙、入侵检测、漏洞扫描、安全审计、VPN、堡垒机、计算机终端安全设备、上网行为管理、其他安全设备。
l 终端设备:台式计算机、便携式计算机、其他终端设备。
l 存储设备:磁盘机、磁盘阵列、光纤交换机、光盘库、移动存储设备、其他存储设备。
l 输入输出设备:打印设备、显示器、扫描仪、刷卡机、其他输入输出设备。
l 机房辅助设备:电源设备(UPS)、空调、门禁、机柜、消防设备、监控设备、其他机房辅助设备。
l 办公设备:复印机、摄像机、照相机及器材、录音设备、LED 显示屏、打印机、碎纸机、其他办公设备。
3、软件资产:包括系统软件、支撑软件、应用软件、其他计算机软件。
4、信息资源:
l 文档:技术类文档、业务类文档、运维类文档、管理类文档、其他文档。
l 数据:基础数据库、业务数据库、其他数据。
5、服务:包括基础设施运维服务、应用系统运维服务、安全管理服务、网络接入服务、内容信息服务、综合管理服务等。
6、组织:包括组织和人员。
第五条依据《GB/T20984-2007 信息安全风险评估规范》,资产的价值分为 1~
5 个等级,等级越大,资产的价值越高。资产的价值评定依据描述如下:
l 1 级(很低):对其承载的业务系统基本上没有或仅有极小的影响或损害;
l 2 级(低):对其承载的业务系统带来一定的损失或破坏;
l 3 级(中等):对其承载的业务系统带来严重的损失或破坏;
l 4 级(高):对其承载的业务系统来极其严重的损失或破坏;
l 5 级(很高):对其承载的业务系统带来灾难性的损失或破坏。
第三章 信息等级划分标准
第六条信息包括数据和文档,将所有的信息按照敏感性和重要程度分为不同的等级,并按不同的等级进行标识和处理。
第七条信息的等级划分标准描述如下:
l 涉密:按照国家规定,属于涉及国家秘密的信息,泄露会损害单位、社会、国家的安全和利益。
保存方法:统一存放在在防磁柜、保险柜。
处置方法:严禁复制,存储,邮寄,传真和 E-MAIL。不允许将其内容通过电话
和手机等以交谈方式告诉第三方。如需借阅必须经过授权及有借阅记录。
l 敏感:重要的单位秘密,内部限定获取。
保存方法:存放在加锁文件柜。
处置方法:禁止非授权复制、存储,禁止使用邮寄、传真和 E-MAIL 方式传递信
息。不允许将其内容通过电话和手机等以交谈方式告诉第三方。如需借阅必须
经过授权及有借阅记录。
l 内部公开:非敏感信息,但仅限内部使用。
保存方法:指定专人管理,专门存放的文件夹。
处置方法:对于内部公开信息可以在部门内部复制,存储,可以采用传真和
E-MAIL 方式传递给相关人员。可以将其内容通过电话和手机等方式告诉相关人
员如需借阅必须经过授权及有借阅记录。
l 互联网公开:非敏感信息,可以在互联网上公开。
保存方法:各人文件夹。
第四章 标记与处理
第八条在进行对信息进行划分等级的同时,必须对信息进行标记。信息的标
记需要涵盖物理形式和电子格式的信息网络中心范围内的所有资产。信息的标记遵循以下规则:
1. 电子文档的右上角加上方框来标明该文档的密级,方框高 2cm,宽 3cm,方框内加注字体大小为 4 号,字体为宋体。
2. 信息化介质要贴上密级章或密级标签,标记出不同密级,归类整理统一张贴资产编号的标识。
3. 业务系统输出敏感的信息在输出时要携带合适的分类标记,以使授权使用者注意。输出方式可以表现为打印出的报告、屏幕显示、记录媒体(例如磁带、磁盘、CD)、电子报文和文件传送等。
4. 所有的数据复印都要清楚标明密级,以便使授权的接收者注意。
第五章 资产管理
第九条资产管理员负责信息中心的信息系统资产的管理,对威尼斯98488资产的管理应满足以下要求:
1、对属于威尼斯98488的资产进行分类,列出信息资产清单,并将每项资产的名称、资产编号、所处位置、价值(相对价值)、资产负责人等相关信息记
录在资产清单上。
2、依据威尼斯98488固定资产管理有关要求和信息等级划分要求,对信息资产张贴标识。
3、资产管理员每年对威尼斯98488信息资产进行核查。
4、落实信息的等级划分与标记要求,对信息的使用、传输和存储等方面不定期
进行检查。
第六章 附则
第十条本规定由威尼斯98488信息与教育技术中心负责解释。
第十一条本制度自发布之日起施行。