参考模版,仅供参考
目的
为加强组织资产的安全管理,掌握组织资产状态,特制定本制度。范围
本制度适用于组织的所有资产的管理。职责
3.1 信息安全部
负责组织开展资产梳理工作,编写《组织资产信息表》;
审计检查资产安全管理落实情况;
负责维护和更新资产安全管理制度。
3.2 其他各部门
配合信息安全部执行资产梳理;
负责所属资产的安全管理。
相关文件
《资产安全管理策略》内容
5.1 资产定义
资产指组织在生产、经营和管理过程中,所需要的设施以及所产生的有用的数据,其范围包括但不限于:
组织的域名、网络拓扑结构、网络IP地址及分配规则、企业标准编码;
组织投资开发的(或具有独立知识产权的)程序软件的源代码、支持程序软件、外购软件的使用许可证记录、系统平台基础数据等;
系统配置数据、系统授权信息、口令文件、密钥及算法文件、系统说明文档、用户手册等系统基础数据;
各类专业系统的应用数据库及数据文件、业务报表等系统业务数据;
各类专业系统的运行方案、运行记录、变更记录等系统运行数据以及应急计划;
各类专业的规划、方案与策略、业务流程、业务规范、操作规程等管理数据;
技术图纸、技术文档、工程资料等项目数据;
其他纸介质的重要办公文件(信件)、图像、影象、录音和照片等非结构化办公资料;
单个员工拥有的专家技能和经验等隐性数据;
各类信息处理设施如办公终端、服务器、网络安全设备、存储设备等。
5.2 资产分类
资产按信息的敏感度分类为秘密级别、内部级别和外部级别3个类别。
秘密级别:包括组织投资开发的(或具有独立知识产权的)程序软件的源代码;系统配置数据、系统授权信息、口令文件、应用数据库及数据文件、业务报表等系统业务数据和各类信息处理设施;
内部级别:包括组织网络拓扑结构、网络IP地址及分配规则、防火墙策略、企业标准;业务流程、业务规范、操作规程和办公资料等;
外部级别:包括组织的域名、业务系统、用户手册等系统基础数据。
5.3 资产管理
5.3.1 资产识别
各部门应根据资产的定义,配合信息安全部识别、编制和维护《组织资产信息表》,确认资产的类别和责任人;
资产责任人的确定根据“谁使用,谁负责;谁运营,谁管理”的原则进行界定。
5.3.2 资产使用
外部级别资产:资产使用暂无限制要求,任何人在任何场合均可以使用;
内部级别资产:
传输要求:使用组织内部网络或VPN;
处理要求:使用组织授权的设备;
其他要求:具备访问权限并满足组织其他安全策略要求。
秘密级别资产:
满足内部级别要求;
访问过程需进行申请、审批和记录。
5.3.2 资产保存
资产的保存应立足于管理和安全的考虑,为了便于保管、提取、查询,应尽量以电子介质的形式存储;
资产的存储介质保存的地点要求如下:
外部级别:保存地点暂无特殊要求;
内部级别:电子信息应保存在内部服务网络中的服务器,纸质类应保存在室内文件柜中,并有明显的分类标识;
秘密级别:电子信息应保存在有安全防护措施的机房环境中的相关服务器和存储设备上,纸质类应保存在室内具有较强防盗窃能力的文件柜中,并造册登记,分项存放。
5.3.3 资产报废
根据组织的资产管理制度要求进行报废处理;
确保数据的清除;
禁止报废设备处理组织业务数据。
- 记录
《组织资产信息表》
