资产安全管理制度 第一章 总则 第一条 为了加强公司信息安全保障能力,建立健全公司的安全管理体系,提高整体的信息安全水平,保证网络和业务系统的正常运营,提高网络服务质量,在公司安全体系框架下,本策略主要通过对公司信息资产的管理,及时规避隐患和风险。 第二条 本制度适用于技术部。 第三条 本办法适用于公司安全管理员,系统管理员及主管领导等资产管理人员。 第二章 信息资产识别 第一节 信息资产分类 第四条 信息资产有多种存在形式,有无形的、有形的,有硬件、软件,也有数据等。它的识别是指按照规定属性对各类信息资产的辨认和区分,包括信息资产识别、分类和登记等项工作。 第五条 公司信息资产主要包括如下几类: (1 ) 网络设备:网关、二层交换机、负载均衡、光纤转换器、路由器、缓冲服务器、调制解调器、多层交换机等构成信息系统网络传输环境的设备,软件和传输介质; (2 ) 服务器:各类承 载业务系统和软件的计 算 机系统及其 操作系统,包括安装 在服务器上 各类应 用系统以 及构建系统的平台 软件(数据库 ,中 间 件、群 件系统、各商业软件平台 等); (3) 存储设备:磁带机、磁带库、磁盘阵列、光纤交换机等构成信息系统存储环境的设备,软件和传输介质; (4) 安全设备:V PN 网关、防火墙、内容过滤网关、入侵检测系统、防病毒网关等构成信息系统信息安全环境的设备,软件; (5) 工作站资产:指监控终端,即用于管理服务器上的服务的终端,例如网管终端等。工作站不包括一般用途的笔记本和 PC。 (6) 移动专有资产:移动通信类专门设备,在信息安全管理的资产管理中,不将其作为资产管理的范畴; (7) 其他资产:非以上信息资产。 第二节 信息资产安全赋值 第六条 信息资产的安全价值有别于商品价值,由资产的机密性价值、完整性价值和可用性价值三部分组成。 第七条 信息资产安全性赋值按照如下规定进行: (1) 每项资产的机密性价值、完整性价值和可用性价值分为一至三级; (2) 根据资产所包含秘密信息被揭露时所可能造成后果的严重性可将资产的机密性价值分为“轻度损害”,“中度损害”,“严重损害三级”; (3) 根据资产处于不正确、不完整或可依赖状态 时所可能造成后果的严重性可将资产的完整性价值分为“轻度损害”,“中度损害”,“严重损害”三级; (4) 根据资产不可用时所可能造成后果的严重性可将资产 的可用性...
VIP
