(3)IT運(yùn)維管理：ITIL先鋒論壇-IT部信息資產(chǎn)分類分級實(shí)踐探索

******有限公司信息系統(tǒng)部資產(chǎn)分類與信息分級管理規(guī)定版本1.1版權(quán)所有文檔信息作者：創(chuàng)建日期（yyyy-mm-dd）:審核者:審核日期（yyyy-mm-dd）:最后修訂者：最后修訂日期（yyyy-mm-dd）:文檔類型：文檔修訂歷史版本號修訂日期修訂者修訂內(nèi)容目 錄目錄TOC\o"1-3"\h\u159061總則 4180401.1目的 4285811.2適用范圍 4320631.3引用文件 425622無 441493角色與職責(zé) 4206344內(nèi)容 4197454.1概述 4149374.2資產(chǎn)分類 413943數(shù)據(jù)文件 529237軟件資產(chǎn) 531845實(shí)物資產(chǎn) 631884人員資產(chǎn) 623334服務(wù)資產(chǎn) 6124364.3資產(chǎn)賦值 728994賦值總述 728226CIA賦值說明 8297844.4資產(chǎn)價(jià)值 931812秘密 1086124.5文檔資料類信息分級 105901絕密信息 1028520機(jī)密信息 1016644秘密 1128378版本：1.1 119548秘密信息 112632公開信息 11106994.6不同等級信息資產(chǎn)的管理策略 1127022系統(tǒng)上線后實(shí)施） 1129264版本：1.1 1222296錄。 1226124機(jī)密類文檔可以由各功能塊參照執(zhí)行。 1246031. 1245412. 1276713.DLPDLP 12215604. 12267144.7數(shù)據(jù)、文檔標(biāo)識 1228723標(biāo)識方法 124377資產(chǎn)標(biāo)識的原則 1213701資產(chǎn)標(biāo)識的內(nèi)容 13249894.8信息資產(chǎn)的訪問控制和數(shù)據(jù)保護(hù) 1317710信息資產(chǎn)分類、owner和訪問權(quán)限 131817信息資產(chǎn)的數(shù)據(jù)保護(hù) 13202064.9信息資產(chǎn)的處置 1452165附則 20235956附件 20總則目的決方案提供依據(jù)。適用范圍本文件的適用范圍是*****有限公司的信息相關(guān)資產(chǎn)的管理。本文件適用于信息安全管理體系認(rèn)證范圍。（電話，視屏?xí)h。引用文件無無角色與職責(zé)PMO組作為信息相關(guān)資產(chǎn)管理的總負(fù)責(zé)，全面協(xié)調(diào)資產(chǎn)管理工作。內(nèi)容概述ITITIT期的風(fēng)險(xiǎn)評估及解決方案的設(shè)計(jì)提供依據(jù)。資產(chǎn)分類參照ISO27001對資產(chǎn)的描述和定義，將信息相關(guān)資產(chǎn)按照下面的分類方法：類別解釋/示例類別解釋/示例數(shù)據(jù)文件包括各種業(yè)務(wù)相關(guān)的電子類及紙質(zhì)的文件資料，可按照部門現(xiàn)有文件明細(xì)列舉，或者根據(jù)部門業(yè)務(wù)流程從頭至尾列舉。要求識別的是分組或類別，不要具體到特定的單個(gè)文件。數(shù)據(jù)資料的列舉和分組應(yīng)該以業(yè)務(wù)功能和保密性要求為主要考慮，也就是說疇內(nèi)。本部門盡量清晰，來自外部門的可以按照比較寬泛的類別來界定。軟件資產(chǎn)（有后臺數(shù)據(jù)庫并存儲(chǔ)應(yīng)用數(shù)據(jù)的軟件系統(tǒng)（支持特定工作的軟件工具（日常辦公所需的桌面軟件包）等。所列舉的軟件應(yīng)該與產(chǎn)生、支持和操作已識別的數(shù)據(jù)文件資產(chǎn)有直接關(guān)系。實(shí)物資產(chǎn)上存放有已識別的數(shù)據(jù)文件資產(chǎn)，或者是對部門業(yè)務(wù)有支持作用。設(shè)施，例如機(jī)房、重要場地、消防設(shè)施、供電等人員資產(chǎn)1.支持（也就是對業(yè)務(wù)有支持作用）的人員角色。服務(wù)資產(chǎn)WWWSMTPPOP3FTPDNS、內(nèi)部文件服務(wù)、網(wǎng)絡(luò)連接、網(wǎng)絡(luò)隔離保護(hù)、網(wǎng)絡(luò)管理、網(wǎng)絡(luò)安全保障等；IT服務(wù)。。下面描述各類別資產(chǎn)的說明：數(shù)據(jù)文件的載體。屬于需要重點(diǎn)評估、保護(hù)的對象。完整性的重要性會(huì)隨著保密性的提高而提高。軟件資產(chǎn)軟件是現(xiàn)代企業(yè)中重要的信息資產(chǎn)之一，與企業(yè)的硬件資產(chǎn)一起構(gòu)成了企業(yè)的服務(wù)資產(chǎn)以及IT實(shí)物資產(chǎn)主要指企業(yè)中的硬件信息設(shè)備，包括硬件計(jì)算機(jī)設(shè)備、通信設(shè)備、網(wǎng)絡(luò)設(shè)備(路由器、交換機(jī)、硬件防火墻、程控交換機(jī))、可移動(dòng)介質(zhì)、線纜、備份存儲(chǔ)設(shè)備和其他設(shè)備；。硬件資產(chǎn)單指硬件設(shè)備，不包括運(yùn)行在硬件設(shè)備中的軟件系統(tǒng)、IOS、配置文件和存儲(chǔ)的數(shù)據(jù)等，軟件本身屬于軟件資產(chǎn)，運(yùn)行中的軟件系統(tǒng)和IOS等屬于服務(wù)資產(chǎn)，配置文件和存儲(chǔ)的數(shù)據(jù)屬于數(shù)據(jù)資產(chǎn)。人員資產(chǎn)角色承擔(dān)著一定的業(yè)務(wù)流程和信息安全職責(zé)。服務(wù)資產(chǎn)屬于需要重點(diǎn)評估、保護(hù)的對象。要。但是，完整性也同樣重要，例如門戶站點(diǎn)的主頁被修改，造成的損失也可能是災(zāi)難性的。系統(tǒng)提供，包括軟件提供的服務(wù)，標(biāo)準(zhǔn)和配置，人員的操作，各種資源提供的支持等。資產(chǎn)賦值賦值總述的價(jià)值，以便于進(jìn)一步考察資產(chǎn)相關(guān)的弱點(diǎn)、威脅和風(fēng)險(xiǎn)屬性，并進(jìn)行量化。保密性、完整性和可用性的定義如下：——保密性：確保只有經(jīng)過授權(quán)的人才能訪問信息；——完整性：保護(hù)信息和信息的處理方法準(zhǔn)確而完整；——可用性：確保經(jīng)過授權(quán)的用戶在需要時(shí)可以訪問信息并使用相關(guān)信息資產(chǎn)。通過考量受到損失時(shí)對整個(gè)評估體的影響，其賦值表格如下：資產(chǎn)等級密級C－保 密 性I－完 整 性A－可 用 性3(高)絕密最高密級。會(huì)造成嚴(yán)重?fù)p害和給來嚴(yán)重的財(cái)務(wù)損失。未經(jīng)授權(quán)的破壞或更改將會(huì)對信息系統(tǒng)有非常重的業(yè)務(wù)中斷99.9%以上（7*24）2(中)機(jī)密嚴(yán)格限制使用，只授權(quán)給那些預(yù)先確定因工作必須知道的員工。權(quán)的修改或破壞會(huì)對組95%以上（5*8）1(低)秘密非授權(quán)的披露或破壞，不會(huì)給公司或員工帶來明顯危害。在公司內(nèi)部需要使用。該信息特指獲準(zhǔn)對外發(fā)評價(jià)。50%以上（5*8）0（可忽略）公開一般性的、可公開的信息、信息處理設(shè)施和系統(tǒng)資源。獲準(zhǔn)對外發(fā)布該信息特指獲準(zhǔn)對外發(fā)布的信息。此部分信息歸口到特定單位負(fù)責(zé)，一旦發(fā)布，對保密性而言可不評價(jià)。CIA賦值說明CIA說明數(shù)據(jù)文件資產(chǎn)的CIA在研發(fā)部門，數(shù)據(jù)文件資產(chǎn)主要以保密性（C）為衡量標(biāo)準(zhǔn)。樣（根據(jù)現(xiàn)有密級劃分標(biāo)準(zhǔn)確定）IAIA。數(shù)據(jù)文件ITIT//IP（參考）文件屬于此級別，只能由部門的少數(shù)人可以授權(quán)訪問秘密：常規(guī)系統(tǒng)架構(gòu)設(shè)計(jì)/業(yè)務(wù)需求文檔，系統(tǒng)問題知識庫，（列）。原則上可在全部門范圍內(nèi)使用的文件都屬于此范圍公開：ITITIT資源的使用手冊等。原則上部門外部可以獲知的資料。軟件資產(chǎn)的CIAC資產(chǎn)直接關(guān)聯(lián)。IA實(shí)物資產(chǎn)的CIACA應(yīng)該是最為關(guān)注的。人員資產(chǎn)的CIACA應(yīng)該是最為關(guān)注的。服務(wù)資產(chǎn)的CIA向相關(guān)數(shù)據(jù)文件資產(chǎn)、軟件、實(shí)物或人員關(guān)聯(lián)，產(chǎn)生對應(yīng)的CIA判斷。關(guān)于將一組資產(chǎn)整體考慮的評價(jià)對于軟件應(yīng)用系統(tǒng)和硬件服務(wù)器系統(tǒng)來說，如果其做為統(tǒng)一容級別，將整體系統(tǒng)的保密性等級按最高等級定。例如，PDM3PDMC3資產(chǎn)價(jià)值通常，考察實(shí)際經(jīng)驗(yàn)，三個(gè)安全屬性中最高的一個(gè)對最終的資產(chǎn)價(jià)值影響最大。換而言之，整體安全屬性的賦值并不隨著三個(gè)屬性值的增加而線性增加，較高的屬性值具有較大的權(quán)重。使用下面的公式來計(jì)算資產(chǎn)價(jià)值賦值：2AssetValue=Round1{Log[(2Conf+2Int+2Avail)/3]}2其中，ConfIntAvailRound1四舍五入處理，保留一位小數(shù)；Log2[]2資產(chǎn)分類與信息分級管理規(guī)定資產(chǎn)分類與信息分級管理規(guī)定秘密

版本：1.1修改期數(shù)屬性的主導(dǎo)作用。這里需要聲明的是：該算式屬于經(jīng)驗(yàn)算式，使用與否、使用的方式都由評估者根據(jù)經(jīng)驗(yàn)來決定。文檔資料類信息分級對于我們核心關(guān)注的數(shù)據(jù)、文檔類資產(chǎn)，即信息資產(chǎn)，根據(jù)資產(chǎn)的敏感性將資產(chǎn)分為如下四級：絕密信息ITITITIT機(jī)密信息ITITIP/licenseIT秘密

版本：1.1修改期數(shù)秘密信息訪問、修改或刪除會(huì)影響企業(yè)形象或業(yè)務(wù)收益，但這種影響是可以在較短時(shí)期內(nèi)恢復(fù)的。針對IT（劃等，內(nèi)部信息安全管控制度，IT內(nèi)部業(yè)務(wù)流程等信息。通常該類信息向IT部門人員開放，并促使大家學(xué)習(xí)和工作中應(yīng)用，但同樣需要在技術(shù)手段上對該類信息流出公司外部進(jìn)行管控。公開信息ITITITITPMO防泄密的管控，但需要從管理制度上提醒公司全體員工和供應(yīng)商，內(nèi)部資料，防止擴(kuò)散。分類方法如下：敏感性0-0.91-1.92-2.93分類公開信息秘密信息機(jī)密信息絕密信息不同等級信息資產(chǎn)的管理策略）DLPDLP（DLP系統(tǒng)上線后實(shí)施）秘密

版本：1.1修改期數(shù)錄。機(jī)密類文檔可以由各功能塊參照執(zhí)行。DLPDLP（）DLPDLP數(shù)據(jù)、文檔標(biāo)識標(biāo)識方法行具體操作和處理，從而最大限度地降低了由于人為的誤操作所帶來的安全隱患的概率。資產(chǎn)標(biāo)識的原則PMO有最終決定權(quán)。絕密、機(jī)密和秘密信息必須進(jìn)行詳盡標(biāo)識，其內(nèi)容和格式必須統(tǒng)一。其它等級信息根據(jù)情況自行進(jìn)行標(biāo)識管理。對所有的信息安全分類標(biāo)識，必須由專人作定期更新維護(hù)（1。資產(chǎn)分類與信息分級管理規(guī)定版本：1.1資產(chǎn)分類與信息分級管理規(guī)定版本：1.1修改期數(shù)13秘密一般采用標(biāo)簽方式對信息進(jìn)行安全分類標(biāo)識，但是對以電子格式的數(shù)據(jù)和文檔則可以采用有關(guān)電子方式進(jìn)行安全分類標(biāo)識，所有公司的涉密文檔信息都應(yīng)采用規(guī)范的標(biāo)準(zhǔn)模板發(fā)布，在電子文檔的屬性中設(shè)置“絕密”或“機(jī)密”的字樣，在文檔的頁眉、頁腳中標(biāo)注“絕密”或“機(jī)密”的字樣。IT產(chǎn)密級標(biāo)簽進(jìn)行標(biāo)示。原則上實(shí)物資產(chǎn)密級標(biāo)簽需要專人定期更新維護(hù)和檢查。資產(chǎn)標(biāo)識的內(nèi)容信息資產(chǎn)分標(biāo)識可包括并不僅限于下列信息：簡單描述或內(nèi)部編號創(chuàng)建日期和最后修改日期版本控制信息信息分級（絕密，機(jī)密，秘密，公開）專管人員或?qū)９懿块T信息資產(chǎn)的訪問控制和數(shù)據(jù)保護(hù)信息資產(chǎn)分類、owner和訪問權(quán)限信息系統(tǒng)部信息資產(chǎn)分類，所有人和訪問權(quán)限等詳細(xì)信息請參見：《IT部信息資產(chǎn)分類表》文件信息資產(chǎn)的數(shù)據(jù)保護(hù)信息資產(chǎn)的數(shù)據(jù)保護(hù)要求如下表所示：信息資產(chǎn)分類信息資產(chǎn)示例傳輸保密性要求存儲(chǔ)保密性要求絕密各關(guān)鍵IT設(shè)備和系統(tǒng)的最高權(quán)限帳號和密碼加密通道專人專柜/特定位置存放機(jī)密級IP/license文件信息采用可信信道控制授權(quán)范圍，未授權(quán)不能訪問秘密級各類業(yè)務(wù)系統(tǒng)的部分文檔（等信息無要求允許范圍內(nèi)授權(quán)訪問公開信息ITIT系統(tǒng)使用手冊無要求無要求信息資產(chǎn)的處置信息處置是對信息資產(chǎn)進(jìn)行以下類型的信息處理活動(dòng)：向第三方公開；通過口頭對話方式進(jìn)行傳播，包括會(huì)議，電話錄音，手機(jī)，電話，公開談話等；等；復(fù)制拷貝，包括復(fù)印，電子拷貝，數(shù)據(jù)備份等；存儲(chǔ)，包括電子郵件，電子文檔，打印文檔等；作廢處理，包括非寫存儲(chǔ)介質(zhì)，可寫存儲(chǔ)介質(zhì)，紙張，硬件設(shè)備等；物理訪問控制，包括機(jī)房和辦公區(qū)域進(jìn)出；邏輯訪問控制，包括本機(jī)訪問和網(wǎng)絡(luò)訪問；日志；審計(jì)。公司應(yīng)明確規(guī)定不同密級的信息，在處置過程中需要采取的相應(yīng)控制和保護(hù)措施。參照執(zhí)行。操作類別公開信息秘密信息機(jī)密信息絕密信息向第三方公開源出處。需要向該信息資產(chǎn)的責(zé)任人提出申請，經(jīng)批準(zhǔn)后方可執(zhí)行，并且必須事先和第三方簽訂“保密協(xié)禁止向任何第三方透露機(jī)密信息，如有特殊情況，則需要書面批準(zhǔn)，并且必須事先和第三方簽訂嚴(yán)格的保密條款后方可進(jìn)行。嚴(yán)禁向任何第三方透露絕密信息?？陬^傳遞會(huì)議電話錄音手機(jī)電話公開談話沒有特殊安全規(guī)定。所有內(nèi)部員工，未經(jīng)相關(guān)授權(quán)，不以任何口頭方式向非內(nèi)部人員或非相關(guān)人員透露內(nèi)部信息。禁止以任何口頭方式向非相關(guān)人員透露機(jī)密信息。禁止在公共場合，討論任何機(jī)密信息。嚴(yán)禁以任何口頭方式向非相關(guān)人員透露絕密信息。嚴(yán)禁在公共場合，討論任何絕密信息。通過電子通訊手段傳遞互聯(lián)網(wǎng)服務(wù)電子郵件傳真內(nèi)部網(wǎng)絡(luò)手機(jī)短信息應(yīng)當(dāng)有傳真封（單位人（單位）息。所有內(nèi)部員工，未經(jīng)相關(guān)授權(quán)，不以任何電子手段向非內(nèi)部人員或非相關(guān)人員透露內(nèi)部信息。有條件的情況下，所有電子通訊系統(tǒng)必須設(shè)有身份驗(yàn)證所有內(nèi)部員工，未經(jīng)相關(guān)授權(quán)，禁止以任何電子手段向非內(nèi)部人員或非相關(guān)人員透露機(jī)密信息。所有電子通訊系統(tǒng)必須設(shè)有身份驗(yàn)證（用原則上嚴(yán)禁通過電子通訊手段傳遞絕密級信息或者授權(quán)情況下的電子傳遞必須進(jìn)行加密處理。（用戶身份驗(yàn)證或設(shè)備身份驗(yàn)證）和審計(jì)機(jī)制。戶身份驗(yàn)證或設(shè)備身份驗(yàn)證）和審計(jì)機(jī)制。有條件的情況下，授權(quán)電子傳遞須進(jìn)行加密處理。復(fù)制拷貝復(fù)印電子拷貝數(shù)據(jù)備份沒有特殊安全規(guī)定。經(jīng)由該信息資產(chǎn)的責(zé)任人同意后，可以對內(nèi)部信息進(jìn)行復(fù)制拷貝，但是必須遵循“誰復(fù)制，誰防止在復(fù)制過程中產(chǎn)生安全隱患。數(shù)據(jù)備份存放在安全地點(diǎn)。一般禁止對機(jī)密信息進(jìn)行復(fù)印或電子拷貝，如有特殊需要，經(jīng)由該信息資產(chǎn)責(zé)任人書面批準(zhǔn)后，再由責(zé)任人進(jìn)行具體操作，并親自交付接收人手中。數(shù)據(jù)備份進(jìn)行加密處理，并存放在安全場所。嚴(yán)格控制數(shù)據(jù)備份的份數(shù)，并對每份備份做詳細(xì)的記錄備案。任何對秘密信禁止進(jìn)行復(fù)印和電子拷貝數(shù)據(jù)備份進(jìn)行加密處理，并存放在有防火和防磁級別的保險(xiǎn)柜中。嚴(yán)格控制數(shù)據(jù)備份的份數(shù)，并對每份備份做詳細(xì)的記錄備案。任何對絕密信息的復(fù)制拷貝，都必須記錄備案。息的復(fù)制拷貝，都必須記錄備案。存儲(chǔ)電子郵件電子文檔打印文檔沒有特殊安全規(guī)定。存放在安全地點(diǎn)。內(nèi)部員工應(yīng)對本人擁有的內(nèi)部信息拷貝妥善保管。應(yīng)當(dāng)存放在規(guī)定的地點(diǎn)，以便統(tǒng)一管理。對信息進(jìn)行標(biāo)識，注明信息的密級是“機(jī)內(nèi)部員工應(yīng)對本人擁有的內(nèi)部信息拷貝妥善保管。打印文檔或電子文檔的硬拷貝，必須存放在安全柜子中妥善保管。不允許對絕密信息通過電子郵件進(jìn)行傳遞。所有該級別電子文檔，并由專人存放在有嚴(yán)格物理訪問控制的存儲(chǔ)設(shè)備中，以便統(tǒng)一管理。打印文檔或電子文檔的硬拷貝，必須存放在有嚴(yán)格物理訪問控制的保險(xiǎn)柜中妥善保管。作廢處理非寫存儲(chǔ)介質(zhì)可寫存儲(chǔ)介質(zhì)紙張硬件設(shè)備使用。利用。紙張文件建議粉碎?？蓪懘鎯?chǔ)介質(zhì)格式化（化）后方可重新使用。非寫存儲(chǔ)介質(zhì)建議進(jìn)行物理銷毀。紙張文件必須粉碎?？蓪懘鎯?chǔ)介質(zhì)必須格式化和覆蓋后方可重新使用。非寫存儲(chǔ)介質(zhì)必須進(jìn)行物理銷毀。紙張文件必須粉碎?？蓪懘鎯?chǔ)介質(zhì)必須格式化和覆蓋后方可重新使用。非寫存儲(chǔ)介質(zhì)必須進(jìn)行物理銷毀。硬件設(shè)備建議事先進(jìn)行完全初始化。硬件設(shè)備必須事先進(jìn)行完全初始化。任何需要重新使用的存儲(chǔ)介質(zhì)或硬件設(shè)備，需要進(jìn)行驗(yàn)收，確定沒有任何敏感數(shù)據(jù)遺留后方可繼續(xù)使用。任何作廢的存儲(chǔ)介質(zhì)或硬件設(shè)備，需要在確定沒有任何敏感數(shù)據(jù)遺留后，交付專門部門進(jìn)行相關(guān)處理。硬件設(shè)備必須事先進(jìn)行完全初始化。任何需要重新使用的存儲(chǔ)介質(zhì)或硬件設(shè)備，需要進(jìn)行驗(yàn)收，確定沒有任何敏感數(shù)據(jù)遺留后方可繼續(xù)使用。任何作廢的存儲(chǔ)介質(zhì)或硬件設(shè)備，需要在確定沒有任何敏感數(shù)據(jù)遺留后，交付專門部門進(jìn)行相關(guān)處理。物理訪問控制機(jī)房和辦公區(qū)域進(jìn)出沒有特殊安全規(guī)定。非內(nèi)部人員或非相關(guān)人員必須有專人陪同，并進(jìn)行登記注冊。非內(nèi)部人員或非相關(guān)人員必須有專人陪同，并進(jìn)行登記注冊。非內(nèi)部人員或非相關(guān)人員必須有專人陪同，并進(jìn)行登記注冊。邏輯訪問控制本機(jī)訪問網(wǎng)絡(luò)訪問網(wǎng)絡(luò)訪問。訪問權(quán)限設(shè)為員開放“寫”和可以本機(jī)訪問和網(wǎng)絡(luò)訪問。對那些由于工作需要訪問內(nèi)部信息的內(nèi)部人員的訪問權(quán)可以本機(jī)訪問和網(wǎng)絡(luò)訪問。對那些由于工作需要訪問內(nèi)部信息的內(nèi)部人員的訪問權(quán)禁止網(wǎng)絡(luò)訪問。嚴(yán)格控制本機(jī)訪問，并對本機(jī)訪問情況進(jìn)行記錄備案。限設(shè)為“只需要修改、更新的人員開放“寫”和“刪除”的權(quán)限。采用密碼認(rèn)