QEP程序文件InformationAssertOfManagementProcedure信息资产管理程序DOCNO文件编号QEP-047REV版本APAGE页码1of5FP001-05C1.目的对公司信息资产进行登记和分类,明确各类信息资产保护级别与保护要求,从而达到保护公司信息资产目的。2.范围适用于公司信息资产分级管理。3.定义信息资产:公司直接赋予其价值,且需要保护的东西,它可以是有形的,也可以是无形的;可分为硬件、软件、人员、数据及文件、服务和其它六大类别,具体如见信息资产分类表。4.权责4.1信息资产责任部门:提出信息资产创建需求的部门。4.2信息资产责任人:信息资产责任部门的负责人;4.2.1识别信息资产在业务系统使用中的主要风险;4.2.2确定信息资产的价值和密级;4.2.3保护信息资产的控制措施;4.2.4用户申请或取消访问信息资产权限审批。4.3信息资产保管人:负责对信息设备进行实物管理和日常维护的人员;4.3.1保管信息资产日常管理和实际操作维护;4.3.2处理信息资产责任人的日常管理要求;4.3.3识别信息资产使用中各个环境的风险;4.3.4向责任人建议有利于保护信息的新技术和措施;4.3.5维护信息访问设备或系统的可靠性;4.3.6落实安全控制措施。4.4用户:使用信息资产对应的业务系统的公司员工或客户员工:4.4.1向信息资产责任部门提出访问信息系统的访问申请;4.4.2使用过程中应遵守信息保密相关要求;4.4.3遵守信息资产责任人或信息资产保管人实施的控制;5.作业内容5.1信息资产分类定义QEP程序文件InformationAssertOfManagementProcedure信息资产管理程序DOCNO文件编号QEP-047REV版本APAGE页码2of5FP001-05C信息资产分类表分类示例硬件资产1.各种硬件设施,这些硬件设施或者安装有已识别的软件,或者其上存放有已识别的数据文件资产,或者是对部门业务有支持作用。2.设施,例如机房、重要场地、消防设施、供电等。软件资产1.安装使用的软件,包括系统软件、应用软件(有后台数据库并存储应用数据的软件系统)、工具软件(支持特定工作的软件工具)、桌面软件(日常办公所需的桌面软件包)等。2.所列举的软件应该与产生、支持和操作已识别的数据文件资产有直接关系。数据及文件资产1.包括各种业务相关的电子类及纸质的文件资料,可按照部门现有文件明细列举,或者根据部门业务流程从头至尾列举。2.要求识别的是分组或类别,不要具体到特定的单个文件。3.数据资料的列举和分组应该以业务功能和保密性要求为主要考虑,也就是说,识别出的数据资料应该具有某种业务功能,此外,还应该重点考虑其保密性要求。4.本部门产生的以及其他部门按正常流程交付过来供本部门使用的,都在列举范畴内。本部门尽量清晰,来自外部门的可以按照比较宽泛的类别来界定。人员资产各种对已识别的数据文件资产、软件资产和硬件资产进行使用、操作和支持(也就是对业务有支持作用)的人员角色。服务资产1.支持业务运作的信息系统。2.各种本部门通过购买方式获取的,或者需要支持部门特别提供的,能够对其他已识别资产的操作起支持作用(也就是对业务有支持作用)的服务。其它资产企业形象、客户关系、商业秘密、知识产权等。5.2信息资产保密价值定义QEP程序文件InformationAssertOfManagementProcedure信息资产管理程序DOCNO文件编号QEP-047REV版本APAGE页码3of5FP001-05C5.3信息资产密级分类5.3.1信息资产密级分类仅针对信息资产分类中的硬件、软件和数据及文件类信息资产做密级分类。5.3.2信息资产密级分类包括:绝密、机密、内部公开、外部公开。密级描述范例绝密指直接影响公司权益和利益的重要资料,是最重要的公司秘密,泄露会使公司的权益和利益遭受特别严重的损害。商业绝密:尚未公布的公司发展经营计划,经营策略;对外重大投资计划、投标前方案及重大合同,重要股权变更与会议纪要、重要信函,客户合同和协议、客户名单和资料等。技术绝密:尚未公开公司专利设计、保密技术方案等重要技术资料。公司开发的专用软件、计算机软件、数据库等。管理绝密:尚未公开的各种审计报告、财务报表和分析报告、政府关系档案、产品采购底价和限价、重大人事信息、网络安全资料、重要会议决议和会议纪要、重要信函等。级别价值描...
