信息资产管理管理办法 第一章 总则 第一条 XXX 有限公司(以下简称“XXX”)为提升信息资产的管理水平,保障信息资产安全,制定本文件。 第二条 XXX 的信息资产可分为以下六类资产: 信息类资产:包括数据库和数据文件、合同和协议、系统文件、研究信息、用户手册、培训材料、操作或支持程序、业务连续性计划、后备运行安排、审计记录、归档记录等信息。 软件类资产:包括应用软件、系统软件、开发工具和实用程序等软件。 硬件类资产:包括计算机设备、通信设备、可移动介质和其他等设备。 服务类资产:包括计算和通信服务、通用公用事业服务(如,供暖,照明,能源,空调)等。 人员类资产:包括与信息安全相关的重要人员,如系统管理员、应用系统管理员等。 无形类资产:包括 XXX 的声誉和形象等。 第二章 信息资产责任 第三条 风险委员会是 XXX 信息资产安全管理工作的最高领导机构,负责 XXX 信息资产的安全。各部门指定相应人员负责建立和维护本部门的信息资产清单,确保其准确性和及时性,并报信息安全部汇总。 第四条 信息资产所有者是指对资产具有所有权的单位、部门或个人,信息资产所有者对资产的获取、使用及处置具有决策权;信息资产的管理者通常可以是信息资产的所有者,也可以是得到信息资产所有者授权的其他部门或个人,信息资产管理者根据信息资产所有者的授权行使对信息资产的日常管理,对于超出授权范围的管理要求,需要书面征求信息资产所有者的意见;信息资产的使用者是XXX 的各类用户,他们向管理者申请使用信息资产。 第五条 信息资产应明确其所有者、管理者及使用者,其中,所有者角色有且只有一个,管理者角色原则上有且只有一个。 第六条 对于未明确所有者或管理者的信息资产,由风险委员会或信息安全部根据实际工作需要,指定其所有者或管理者。 第七条 各部门需建立信息资产清单,信息资产清单须详细记录 XXX 各类信息资产,其内容包括信息资产分类、信息资产编号、信息资产类型、资产所有者、管理者、使用者等。具体参见 ISMS 文件《ISMS 信息资产风险评估表》。 第八条 各部门相关责任人负责维护和保存本部门的信息资产清单,定期检查信息资产清单的正确性和完整性;在信息资产发生变更时,需及时更新信息资产清单,并报送信息安全部。各部门相关责任人同时负责本部门信息资产的风险评估与 风险处置的具体工作。 第九条 信息安全部负责维护和保存XXX 的信息资产清单,并...
