文档信息
文档名称
|
资产管理制度
|
文档编号
|
|
文档类别
|
策略方针 □管理制度 ■工作流程 □操作指南 □运维记录 □其他 □
|
当前版本
|
1.0
|
创建日期
|
2020-10-18
|
文档编辑部门
|
信息中心
|
文档作者
|
|
联系方式
|
|
修订记录
文档版本
|
日期
|
修改人员
|
审阅人员
|
修订摘要
|
V1.0
|
2020-10-18
|
|
|
建立文档
|
|
|
|
|
|
审批发布
序号
|
审核记录
|
日期
|
审阅人员
|
1
|
审阅
|
2020-10-18
|
|
2
|
正式核准发布
|
2020-10-18
|
|
3
|
|
|
|
一总则
目的。为进一步加强的信息系统资产的管理,依据《信息安全管理办法》制定本管理制度。
对象。信息系统内部所有的重要资产(例如硬件、软件、操作系统、数据、信息等等)。
范围。本制度适用于信息系统涉及的所有资产。
要求。资产管理制度统一遵循《GB/T 22239-2019信息安全技术 信息系统安全等级保护基本要求》。
二资产分类与分级
1.与信息系统相关的信息资产主要分为以下几类:
(1)网络及安全设备:路由器、交换机、负载均衡、防篡改、防火墙、IDS/IPS等构成信息系统传输环境和安全环境的设备、软件和传输介质。
(2)服务器:各类承载业务系统和软件的计算机系统及其操作系统,包括安装在服务器上各类应用系统以及构建系统的平台软件(数据库,各软件平台等)。
(3)存储设备:NAS、SAN、磁带机、磁带库、磁盘阵列等构成信息系统存储环境的设备和软件。
(4)终端资产:包括工作站和普通办公终端。工作站指监控终端,即用于管理服务器上的服务的终端,例如网管终端等。普通办公终端包括一般用途的笔记本和PC。
(5)其他资产:除上述资产之外的其他信息资产,如数据、文档等。
2.为便于对资产实行分级别保护,信息系统资产分级将资产划分为:超核心资产、核心资产、高级资产、中级资产、一般资产五个级别。
三资产使用与维护
1.对于已识别的信息资产,根据相关访问控制规定对资产的使用加以规范。
2.应把信息资产访问控制规定有效传达给所有的相关信息资产使用人员,保证单位内部人员、第三方人员等了解使用相关信息资产的规定并严格遵照执行。
3.应定义一名资产管理员,专门负责信息资产的分类、赋值、标识以及更新维护管理工作。
4.与信息系统相关的其他管理员有责任协助信息资产管理员核实和维护信息资产的信息。
5.应按规定要求对信息资产进行审核和检查,检查信息资产清单是否保持更新、资产标识同资产清单信息是否一致、资产信息变更是否经过审核等。
6.信息资产属性发生变更(如地理位置变动、资产配置信息等)时,信息资产管理者要及时对信息资产清单进行变更、保存,并报学校安全管理员复核存档。
四资产赋值与标识
1.资产的安全属性包括资产的保密性、完整性和可用性三部分。
2.信息资产的安全性赋值按照如下规定进行:
(1)信息资产的保密性、完整性和可用性分别划分为1(低)、2(中)、3(高)共三个级别;
(2)根据资产所包含敏感信息被揭露时所可能造成后果的严重性可将资产的保密性分为“1”、“2”、“3”三级;
(3)根据资产内容处于不正确、不完整或可依赖状态时所可能造成后果的严重性可将资产的完整性分为“1”、“2”、“3”三级;
(4)根据资产不可用时所可能造成后果的严重性可将资产的可用性分为“1”、“2”、“3”三级。
3.应对所有已进行识别并分类的信息资产进行标识,标识方法可以采用标签、文档标识、数据标识等。
4.对信息资产进行标识时,应标识出信息资产的名称、型号、版本、分类、资产编号、资产管理员、重要级别、所处物理位置等相关信息。根据不同的信息资产类别,标识的内容和方法可以有所不同。
5.资产管理者要维护好自己所负责的资产分类清单,并定期进行检查和更新。
6.当信息资产的管理者、物理位置、重要级别等信息发生变更时,需要及时对相应的标识进行变更。
五资产保护
1.信息资产由所属的管理人员负责安全防护,按照分类、分级管理的要求采取相应的安全保护措施。
2.信息管理部门定期进行信息安全评估,根据评估结果制定风险整改计划。
3.系统管理员应定期巡检机房内的网络设备、计算机设备。采用实时监控、定期养护,确保设备始终处于良好的安全运行状态。
4.信息资产要及时安装安全补丁,安全补丁的安装要符合业务影响最小原则。
5.资产管理员定期核对本部门资产登记信息与资产管理系统中信息是否一致。安全管理部门不定期抽检资产信息登记情况,抽检结果作为考核因素之一。
六资产的维修与报废
1.设备应有专人负责维修,并建立满足正常运行最低要求的易损件的备件库;
2.根据安全设备的资质情况及系统的可靠性等级,制定预防性维修计划;
3.对系统进行维修时应采取数据保护措施,系统维修时应有系统管理员在场;
4.对设备进行维修时必须记录维修对象、故障原因、排除方法、主要维修过程及维修有关情况等;
5.对设备应规定折旧期,设备到了规定使用年限或因严重故障不能恢复,应由专业技术人员对设备进行鉴定和残值估计,并对设备情况进行详细登记,提出报告书和处理意见,由主管领导和上级主管部门批准后方可进行报废处理。
6.对存储类资产报废时需要经过资产责任人和安全员处理,保证没有敏感信息,然后再交行政部门处理。
七附则
对违反本制度的人员,将按照有关规定进行处罚。
本制度由信息安全工作小组负责制定、解释和修改。
本制度自发布之日起执行。
信息安全工作小组
2020年10月18日