MHWJW26-资产安全管理制度-V1.1试题.docx

文档信息制度编号:生效日期:分发范围:解释部门:版次:Ver1.1页数:13制定人:审核人: 批准人: 传阅 阅后执行并存档 保密 保密等级 内部公开版本记录版本号版本日期修改者说明文件名资产安全管理制度资产安全管理制度XX单位资产安全管理制度目录1总则31.1目的31.2范围31.3职责31.4术语和定义32管理细则32.1信息资产的获取32.2信息资产的分类32.2.1信息资产的分类42.2.2信息资产的分级62.2.3信息资产的标识信息资产标注的原则信息资产标注的方法信息资产标注的内容82.2.4信息资产的识别与汇总82.3信息资产的使用规范82.3.1硬件资产的使用规范82.3.2软件资产的使用规范92.3.3电子数据的使用规范102.3.4实体信息的使用规范103附件11总则目的规范XX单位信息资产的管理、使用和处置，防止其滥用和丢失，保护数据安全。范围适用于XX单位信息资产的管理，包括：获得、分类分级、使用和处置。职责信息中心：主要负责信息资产的采购、入库、领用、为资产建立台账，负责使用与处置方法，并监督各部门的执行情况。各部门：按照相关规定，对信息资产进行有效使用和管理。术语和定义信息资产：本文件中的信息资产是指可以存储信息数据的信息载体，包括：硬件、软件、数据（电子数据）、文档（实体信息）、人员、服务设施、其他。管理细则信息资产的生命周期可分为采购与生成、使用与更新、销毁与废弃三个阶段。信息资产的获取软件、硬件设施、服务性设施等的获得主要以采购的方式获得，采购按照《IT产品采购管理制度》有关规定进行采购和验收。数据信息资产的获得来源主要为：供应商、财务信息、其他信息。信息资产的分类信息资产的分类各科室根据业务流程列出信息资产清单并将每项资产的资产类别、信息资产编号、资产现有编号、资产名称、所属部门、管理者、使用者、地点等相关信息记录在资产清单上。资产的分类原则和编号原则如下：分类原则：硬件计算机设备：(台式机、笔记本)、（WWW、SMTP、POP3、FTP、DNS）等服务器（含虚拟机）；存储设备：磁带机、磁盘整列、磁带、光盘、软盘、移动硬盘等；网络设备：路由器、交换机、HUB、网关、程控交换机等；传输线路：光纤、双绞线、电话线(布线)、电源线；安全设备：硬件防火墙、入侵检测、网络隔离设备（如网闸）、负载均衡设备、身份验证、SOC、UTM等；办公设备：打印机、复印机、扫描仪、传真机、碎纸机、写字白板、应急照明设备；保障设备：动力保障设备（UPS、变电设备）、空调、保险柜、文件柜、门禁、消防设施等；其他设备：生产设备(测量仪、SMT等)；软件如：操作系统、系统软件（office/AutoCAD）、应用软件（医疗信息软件）、网管软件、杀毒软件、财务软件、开发工具和资源库等。电子数据存在电子媒介的各种数据资料。如：源代码、数据库数据、各种数据资料、系统文档、运行管理规程、计划、日周月报告、财务报告（电子版本）、用户手册、方案、电子设计图纸等。实体信息纸质的各种文件。如：传真、电报、财务报告、发展计划、合同、纸张图纸等。服务性设施如：电源、空调、保险柜、文件柜、门禁、消防设施等。人员如：XX单位各级领导、各级正式雇员、临时雇员等。其他如：XX单位形象等。对于XX单位信息资产，为了可唯一进行识别，定立以下编号规则：说明：资产编号 = 资产分类标识+-+PN码（SN码）　　　　　序号资产分类标识顺序号硬件H设备码工作站电脑PN或SN码激光打印机PN或SN码针式、热敏打印机PN或SN码耐用型全向条码扫描器PN或SN码网络交换机PN或SN码网络防火墙PN或SN码网络设备配件PN或SN码存储设备配件PN或SN码服务器设备配件PN或SN码客户端设备配件PN或SN码软件S电子数据D实体信息E服务R人员P其他O信息资产的分级按照信息资产的公开和敏感程度，以及信息资产对系统和组织的重要性，信息资产的分级原则有两个：对于文档（含电子文档与纸质文档）、介质类的数据载体，按照承载信息本身的公开和敏感程度，该类信息资产拟划分为“工作秘密”、“内部公开”、“外部公开”三级，针对不同级别的资产标识不同的保护等级。对于其他物理设备，按照其对系统和组织的重要程度，该类信息资产拟划分为“关键资产”、“重要资产”、“普通资产”三级，针对不同级别的资产标识不同的防护等级。信息资产分级划分具体方法：关键资产：承载、处理或存储XX单位核心业务信息系统数据，一旦破坏，会对XX单位的主营业务造成冲击和损害。原则上承载处理业务信息系统数据的资产均应被标识为关键资产。重要资产：对XX单位某一部门提供服务的信息系统所含资产、或属于业务信息系统的支撑系统的信息系统所含资产。普通资产：除上述信息系统以外的信息系统包含资产均可划分为普通