资产安全管理制度第一章 总则第一条为了加强公司信息安全保障能力,建立健全公司的安全管理体系,提高整体的信息安全水平,保证网络和业务系统的正常运营,提高网络服务质量,在公司安全体系框架下,本策略主要通过对公司信息资产的管理,及时规避隐患和风险。第二条本制度适用于技术部.第三条本办法适用于公司安全管理员,系统管理员及主管领导等资产管理人员。第二章 信息资产识别第一节 信息资产分类第四条信息资产有多种存在形式,有无形的、有形的,有硬件、软件,也有数据等.它的识别是指根据规定属性对各类信息资产的辨认和区分,包括信息资产识别、分类和登记等项工作。第五条公司信息资产主要包括如下几类:(1) 网络设备:网关、二层交换机、负载均衡、光纤转换器、路由器、缓冲服务器、调制解调器、多层交换机等构成信息系统网络传输环境的设备,软件和传输介质;(2) 服务器:各类承载业务系统和软件的计算机系统及其操作系统,包括安装在服务器上各类应用系统以及构建系统的平台软件(数据库,中间件、群件系统、各商业软件平台等);(3) 存储设备:磁带机、磁带库、磁盘阵列、光纤交换机等构成信息系统存储环境的设备,软件和传输介质;(4) 安全设备:VPN 网关、防火墙、内容过滤网关、入侵检测系统、防病毒网关等构成信息系统信息安全环境的设备,软件;(5) 工作站资产:指监控终端,即用于管理服务器上的服务的终端,例如网管终端等。工作站不包括一般用途的笔记本和 PC。(6) 移动专有资产:移动通信类专门设备,在信息安全管理的资产管理中,不将其作为资产管理的范畴;(7) 其他资产:非以上信息资产。第二节 信息资产安全赋值第六条信息资产的安全价值有别于商品价值,由资产的机密性价值、完整性价值和可用性价值三部分组成.第七条信息资产安全性赋值根据如下规定进行:(1) 每项资产的机密性价值、完整性价值和可用性价值分为一至三级;(2) 根据资产所包含秘密信息被揭露时所可能造成后果的严重性可将资产的机密性价值分为“轻度损害”,“中度损害”,“严重损害三级";(3) 根据资产处于不正确、不完整或可依赖状态时所可能造成后果的严重性可将资产的完整性价值分为“轻度损害”,“中度损害”,“严重损害”三级;(4) 根据资产不可用时所可能造成后果的严重性可将资产的可用性分为“个体不可用”,“局部不可用”,“整体不可用"三级。第三章 信息资产信息管理第一节 信息资产信息的维护第八条各系统...
