信息資產(chǎn)管理辦法

1、精品文檔信息資產(chǎn)管理辦法第一章總則第一條目的：本管理辦法旨在對(duì)XX銀行（以下簡(jiǎn)稱(chēng)我行）內(nèi)部重要的信息資產(chǎn)進(jìn)行分類(lèi)分級(jí)，以便對(duì)信息的分發(fā)和流轉(zhuǎn)進(jìn)行恰當(dāng)?shù)目刂疲_保信息資產(chǎn)的保密性、完整性和可用性能夠?qū)崿F(xiàn)。第二條依據(jù)：本管理辦法根據(jù)XX 銀行信息安全管理策略制訂。第三條范圍：本管理辦法適用于我行總部及所轄分、支行。第四條定義（一）本管理辦法所涉及的信息包括各種存儲(chǔ)或者存在形式，包括但不限于電子信息、紙質(zhì)數(shù)據(jù)文件、語(yǔ)音和圖像等。（二）本管理辦法所稱(chēng)信息是指以任何形式存在或傳播的對(duì)我行具有價(jià)值的內(nèi)容，包括電子信息、紙質(zhì)數(shù)據(jù)文件、語(yǔ)音圖像等。信息安全關(guān)注的是信息的保密性、可用性和完整性。（三）本管理辦法

2、所稱(chēng)信息資產(chǎn)是指任何對(duì)我行具有價(jià)值的信息的存在形式或者載體，包括計(jì)算機(jī)硬件、通信設(shè)施、 IT 環(huán)境、數(shù)據(jù)庫(kù)、軟件、文檔資料、信息服務(wù)和人員等，所有這些資產(chǎn)都需要妥善保護(hù)。第二章組織與管理第五條我行各部門(mén)負(fù)責(zé)人是本部門(mén)信息資產(chǎn)管理的第一責(zé)任人，負(fù)責(zé)組織本管理辦法的貫徹落實(shí)。第六條全體員工理解并遵守本管理辦法定義的內(nèi)容。第七條本管理辦法定義以下相關(guān)角色，履行相應(yīng)的信息安全管理、執(zhí)行和審核職責(zé)。（一）責(zé)任人，信息資產(chǎn)的創(chuàng)建者，或者主要用戶所在組織、單位或部門(mén)的負(fù)責(zé)人。信息資產(chǎn)責(zé)任人對(duì)所屬信息資產(chǎn)負(fù)直接責(zé)任。其主要職責(zé)包括：.精品文檔1、理解和各種信息訪問(wèn)活動(dòng)相關(guān)的安全風(fēng)險(xiǎn)；2、根據(jù)我行信息密級(jí)劃分標(biāo)

3、準(zhǔn)來(lái)確定所屬信息資產(chǎn)的級(jí)別；3、根據(jù)我行相關(guān)策略確定并檢查信息訪問(wèn)權(quán)限；4、針對(duì)所屬信息資產(chǎn)提出恰當(dāng)?shù)谋Ｗo(hù)措施。（二）保管者，受信息資產(chǎn)責(zé)任人委托，對(duì)信息資產(chǎn)進(jìn)行日常的管理，維護(hù)已經(jīng)建立的保護(hù)措施。資產(chǎn)保管者通常是我行的IT部門(mén)或者代表（例如系統(tǒng)管理員）。其主要職責(zé)包括：1、根據(jù)相關(guān)策略和信息資產(chǎn)責(zé)任人的要求，負(fù)責(zé)信息資產(chǎn)的維護(hù)操作和日常管理事務(wù)；2、負(fù)責(zé)具體設(shè)置信息訪問(wèn)權(quán)限；3、負(fù)責(zé)所管理的信息資產(chǎn)的安全控制；4、部署恰當(dāng)?shù)陌踩珯C(jī)制，進(jìn)行備份和恢復(fù)操作；5、按照信息資產(chǎn)責(zé)任人的要求實(shí)施其他控制。（三）用戶，信息資產(chǎn)的使用者，除了我行內(nèi)部員工，也可能是因?yàn)闃I(yè)務(wù)需要而訪問(wèn)我行信息的客戶或第三方組

4、織。其主要職責(zé)包括：1、向信息資產(chǎn)責(zé)任人申請(qǐng)信息訪問(wèn)；2、按照我行信息安全策略要求正當(dāng)訪問(wèn)信息，禁止非授權(quán)訪問(wèn)；3、向相關(guān)組織報(bào)告隱患、故障或者違規(guī)事件。第三章資產(chǎn)管理要求第八條信息資產(chǎn)分類(lèi)信息資產(chǎn)責(zé)任人應(yīng)該指導(dǎo)進(jìn)行相關(guān)資產(chǎn)的調(diào)查，資產(chǎn)調(diào)查以業(yè)務(wù)流程為線索，包括各類(lèi)輸入、中間環(huán)節(jié)和輸出信息，所有這些信息資產(chǎn)都為業(yè)務(wù)流程的運(yùn)轉(zhuǎn)提供支持。信息資產(chǎn)可以分為以下幾大類(lèi)。（一）數(shù)據(jù)文件，通常包括各種電子檔：業(yè)務(wù)數(shù)據(jù)、客戶數(shù)據(jù)、配置文件、記錄數(shù)據(jù)（日志、審計(jì)記錄）、管理文件（策略、流程文件、操作手冊(cè)等）、商務(wù)文件（合同、協(xié)議等）。也包括以實(shí)物方式存在的資產(chǎn)：各類(lèi)電子數(shù)據(jù)的歸檔、打印件、書(shū)面管理文件、業(yè)務(wù)報(bào)

5、表、包含重要商業(yè)成果的文件，還有膠片等。（二）軟件資產(chǎn)，各種系統(tǒng)軟件、應(yīng)用軟件（OA、業(yè)務(wù)軟件等）和工具軟件（開(kāi)發(fā)系統(tǒng)、網(wǎng)管軟件、安全軟件等），包括操作系統(tǒng)、數(shù)據(jù)庫(kù)應(yīng)用程序、網(wǎng)絡(luò)軟件、辦公應(yīng)用系.精品文檔統(tǒng)、業(yè)務(wù)系統(tǒng)程序、軟件開(kāi)發(fā)工具等，這些軟件資產(chǎn)負(fù)責(zé)處理、存儲(chǔ)或傳輸各類(lèi)信息。（三）實(shí)物資產(chǎn)，與業(yè)務(wù)相關(guān)的 IT 物理設(shè)備，包括計(jì)算機(jī)（工作站和服務(wù)器等）和網(wǎng)絡(luò)通信設(shè)備、磁介質(zhì)（磁帶和磁盤(pán)等）、裝置、環(huán)境等，這些實(shí)物資產(chǎn)容納著軟件和數(shù)據(jù)文件。（四）人員，承擔(dān)某項(xiàng)與業(yè)務(wù)活動(dòng)相關(guān)責(zé)任的角色和職位。例如普通用戶、系統(tǒng)管理員、網(wǎng)絡(luò)管理員、保安、清潔員等，這些人員與各類(lèi)數(shù)據(jù)、軟件和實(shí)物資產(chǎn)的操作直接相關(guān)。

6、（五）服務(wù)，安保（例如監(jiān)控、門(mén)禁、保安等），環(huán)境服務(wù)（例如清潔），基礎(chǔ)保障（供水、供熱、供電），設(shè)備維護(hù)，通信服務(wù)（例如互聯(lián)網(wǎng)接入）。第九條信息資產(chǎn)分級(jí)標(biāo)準(zhǔn)保密性、完整性和可用性是評(píng)價(jià)資產(chǎn)的三個(gè)安全屬性。風(fēng)險(xiǎn)評(píng)估中資產(chǎn)的價(jià)值不是以資產(chǎn)的經(jīng)濟(jì)價(jià)值來(lái)衡量， 而是由資產(chǎn)在這三個(gè)安全屬性上的達(dá)成程度或者其安全屬性未達(dá)成時(shí)所造成的影響程度來(lái)決定的。安全屬性達(dá)成程度的不同將使資產(chǎn)具有不同的價(jià)值，而資產(chǎn)面臨的威脅、存在的脆弱性、以及已采用的安全措施都將對(duì)資產(chǎn)安全屬性的達(dá)成程度產(chǎn)生影響。（一）保密性賦值根據(jù)資產(chǎn)在保密性上的不同要求，將其分為五個(gè)不同的等級(jí)，分別對(duì)應(yīng)資產(chǎn)在保密性上應(yīng)達(dá)成的不同程度或者保密性缺失時(shí)

7、對(duì)整個(gè)組織的影響。下表提供了一種保密性賦值的參考。表 1.1資產(chǎn)保密性賦值表賦值標(biāo)識(shí)定義5很高包含組織最重要的秘密，關(guān)系未來(lái)發(fā)展的前途命運(yùn)，對(duì)組織根本利益有著決定性的影響，如果泄露會(huì)造成災(zāi)難性的損害4高包含組織的重要秘密，其泄露會(huì)使組織的安全和利益遭受?chē)?yán)重?fù)p害3中等組織的一般性秘密，其泄露會(huì)使組織的安全和利益受到損害2低僅能在組織內(nèi)部或在組織某一部門(mén)內(nèi)部公開(kāi)的信息，向外擴(kuò)散有可能對(duì)組織的利益造成輕微損害1很低可對(duì)社會(huì)公開(kāi)的信息，公用的信息處理設(shè)備和系統(tǒng)資源等（二）完整性賦值根據(jù)資產(chǎn)在完整性上的不同要求，將其分為五個(gè)不同的等級(jí)，分別對(duì)應(yīng)資產(chǎn)在完整性上缺失時(shí)對(duì)整個(gè)組織的影響。下表提供了一種完整性賦

8、值的參考。表 1.2資產(chǎn)完整性賦值表.精品文檔賦值標(biāo)識(shí)定義5很高完整性價(jià)值非常關(guān)鍵，未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)組織造成重大的或無(wú)法接受的影響，對(duì)業(yè)務(wù)沖擊重大，并可能造成嚴(yán)重的業(yè)務(wù)中斷，難以彌補(bǔ)4高完整性價(jià)值較高，未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)組織造成重大影響，對(duì)業(yè)務(wù)沖擊嚴(yán)重，較難彌補(bǔ)3中等完整性價(jià)值中等，未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)組織造成影響，對(duì)業(yè)務(wù)沖擊明顯，但可以彌補(bǔ)2低完整性價(jià)值較低，未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)組織造成輕微影響，對(duì)業(yè)務(wù)沖擊輕微，容易彌補(bǔ)1很低完整性價(jià)值非常低，未經(jīng)授權(quán)的修改或破壞對(duì)組織造成的影響可以忽略，對(duì)業(yè)務(wù)沖擊可以忽略（三）可用性賦值根據(jù)資產(chǎn)在可用性上的不同要求，將其分為五個(gè)不同的

9、等級(jí)，分別對(duì)應(yīng)資產(chǎn)在可用性上應(yīng)達(dá)成的不同程度。下表提供了一種可用性賦值的參考。表 1.3資產(chǎn)可用性賦值表賦值標(biāo)識(shí)定義5很高可用性價(jià)值非常高，合法使用者對(duì)信息及信息系統(tǒng)的可用度達(dá)到年度99.9%以上，或系統(tǒng)不允許中斷4高可用性價(jià)值較高，合法使用者對(duì)信息及信息系統(tǒng)的可用度達(dá)到每天90%以上，或系統(tǒng)允許中斷時(shí)間小于10min3中等可用性價(jià)值中等，合法使用者對(duì)信息及信息系統(tǒng)的可用度在正常工作時(shí)間達(dá)到 70%以上，或系統(tǒng)允許中斷時(shí)間小于30min2低可用性價(jià)值較低，合法使用者對(duì)信息及信息系統(tǒng)的可用度在正常工作時(shí)間達(dá)到 25%以上，或系統(tǒng)允許中斷時(shí)間小于60min1很低可用性價(jià)值可以忽略，合法使用者對(duì)信息

10、及信息系統(tǒng)的可用度在正常工作時(shí)間低于 25%（四）資產(chǎn)重要性等級(jí)資產(chǎn)重要性等級(jí) （資產(chǎn)價(jià)值）應(yīng)依據(jù)資產(chǎn)在保密性、完整性和可用性上的賦值等級(jí)，由以下公式計(jì)算得出：Aln( eCeIe A ) / 3 。通常，根據(jù)最終賦值將資產(chǎn)劃分為五級(jí)，級(jí)別越高表示資產(chǎn)越重要，也可以根據(jù)組織的實(shí)際情況確定資產(chǎn)識(shí)別中的賦值依據(jù)和等級(jí)。 下表中的資產(chǎn)等級(jí)劃分表明了不同等級(jí)的重要性的綜合描述。表 1.4資產(chǎn)等級(jí)及含義描述等級(jí)標(biāo)識(shí)描述5很高非常重要，其安全屬性破壞后可能對(duì)組織造成非常嚴(yán)重的損失4高重要，其安全屬性破壞后可能對(duì)組織造成比較嚴(yán)重的損失.精品文檔3中等比較重要，其安全屬性破壞后可能對(duì)組織造成中等程度的損失2低不太重要，其安全屬性破壞后可能