《SMS-资产管理程序.docx》由会员分享,可在线阅读,更多相关《SMS-资产管理程序.docx(3页珍藏版)》请在第壹文秘上搜索。
1、资产管理程序1目的为规范资产的识别和分级、标识和处理、以及生命周期管理,并对组织资产、交付服务的资产实现保护,特制定本规定。2范围2.1 本规定适用于组织资产、交付服务的资产管理,包括但不只限于资产识别及使用授权管理、信息分类和标记管理、资产分配和归还管理、信息介质使用处理及介质传递管理。2.2 本规定适用于信息安全管理体系范围内资产的所有者、管理者和使用者。3术语1.1 资产指对组织具有价值的信息或资源,是安全策略保护的对象,资产的类型有基本资产和支持性资产。3. 2基本资产包括信息、业务过程或活动。4. 3支持性资产包括软件、硬件、网络、场所、人员和组织。5. 4资产责任人是指使用资产并对
2、该资产负有管理责任的人或实体。4组织和职责4.1资产使用部门的职责如下:4.1.1 识别本部门所有的全部资产;4.1. 2对本部门的资产进行风险评估;4. 1.3选择并实施保护本部门资产的控制措施;5. 1.4指定资产责任人;4. 1.5制定本部门的资产使用规划。4. 2信息安全管理部门的职责如下:4. 2.1制定资产分类、编码、标识规范;4. 2.2制定资产风险评估方法和接受标准;4. 2.3指导各部门执行资产管理和风险评估;6. 2.4定期开展内部资产安全检查和评审。4.3运维服务部门的职责如下:负责对用于交付服务的资产进行管理,确保满足服务要求,以及相关策略、标准、法律法规和合同要求的义
3、务以及这些义务如何在SMS和服务中得到履行。5资产使用管理5.1应识别所有资产及其属性,形成资产管理文件。5. 2资产的识别应遵从如下原则:7. 2.1相互独立原则:识别出的资产应没有概念上的重合;5.2.2颗粒适度原则:指所识别资产的颗粒度既能满足进行各项管理工作的要求,又符合相互独立原则;5.2.3完全穷尽原则:应识别信息安全管理体系范围内的所有资产。5.3资产分类包括基本资产和支持性资产构成:5.3.1基本资产包括:信息、业务过程或活动;5.3.2支持性资产包括软件、硬件、网络、场所、人员和组织。5.4资产的属性应包括但不限于:资产类型、格式、位置、备份信息、许可证信息和业务价值。5.5
4、所有的库存资产要进行管理,并指定责任人。5.6制定和实施对信息和资产的使用规则,并形成文件,如:电子邮件、互联网和移动设备的使用规则。6信息分类管理6.1按照信息的价值、法律要求、敏感性和关键性制定分类方案。6.2根据组织所采用的信息分类方案,对信息统一编码进行标记标识。6.2.1信息标记的方案要涵盖物理和电子格式的信息。6.2.2要根据信息的分类要考虑用适宜的方法来进行标识,如:打印报告、屏幕显示、记录介质、电子消息和文件传送等输出信息要采用的标记方法。6.2.3对每个分类的信息都要定义处理、存储、传输、删除、销毁的处理程序。6.3信息要依据组织的安全级别进行分级管理,并对不同级别采取不同的
5、保护措施。6.4所有员工、第三方员工在合同(协议)终止或调岗后应归还组织的资产。6.4.1在员工离职时相关部门应及时禁用或删除该员工的物理和逻辑访问权限,如,办公OA系统帐号、邮箱帐号、各业务系统中与该员工相关的帐号。6.4.2员工离职时,应归还其使用的相关资产,如,办公电话、工卡、与业务相关的纸质文件资料和存储于电子介质中的文档、数据等。6. 4.3应确保对离职人员曾使用过的组织的信息已经安全交付给组织。7. 4.4相关责任部门应对离职人员办公电脑硬盘、移动存储介质等进行数据清除,清除方式包括格式化或使用专用工具进行安全擦除。7信息介质处理7.1 按照信息类别对存放信息的介质进行管理。7. 1.1所有的介质应保存在安全的、保密的环境中。7.1. 2对介质和介质中信息的使用应经过授权并加以记录。7. 2对不再使用的介质,使用可靠的方法进行处置,并对处置过程进行记录。8. 3保护传输过程中介质,防止介质中存储的信息被泄露或修改。