资产安全管理制度第一章 总则第一条为了加强公司信息安全保障能力,建立健全公司的安全管理体系,提高整体的信息安全水平,保证网络和业务系统的正常运营,提高网络服务质量,在公司安全体系框架下,本策略主要通过对公司信息资产的管理,及时规避隐患和风险
第二条本制度适用于技术部
第三条本办法适用于公司安全管理员,系统管理员及主管领导等资产管理人员
第二章 信息资产识别第一节 信息资产分类第四条信息资产有多种存在形式,有无形的、有形的,有硬件、软件,也有数据等
它的识别是指根据规定属性对各类信息资产的辨认和区分,包括信息资产识别、分类和登记等项工作
第五条公司信息资产主要包括如下几类:(1) 网络设备:网关、二层交换机、负载均衡、光纤转换器、路由器、缓冲服务器、调制解调器、多层交换机等构成信息系统网络传输环境的设备,软件和传输介质;(2) 服务器:各类承载业务系统和软件的计算机系统及其操作系统,包括安装在服务器上各类应用系统以及构建系统的平台软件(数据库,中间件、群件系统、各商业软件平台等);(3) 存储设备:磁带机、磁带库、磁盘阵列、光纤交换机等构成信息系统存储环境的设备,软件和传输介质;(4) 安全设备:VPN 网关、防火墙、内容过滤网关、入侵检测系统、防病毒网关等构成信息系统信息安全环境的设备,软件;(5) 工作站资产:指监控终端,即用于管理服务器上的服务的终端,例如网管终端等
工作站不包括一般用途的笔记本和 PC
(6) 移动专有资产:移动通信类专门设备,在信息安全管理的资产管理中,不将其作为资产管理的范畴;(7) 其他资产:非以上信息资产
第二节 信息资产安全赋值第六条信息资产的安全价值有别于商品价值,由资产的机密性价值、完整性价值和可用性价值三部分组成
第七条信息资产安全性赋值根据如下规定进行:(1) 每项资产的机密性价值、完整性价值和可用性价值分为一至三级;(2) 根据资产
