系统运维管理-资产管理规范_第1页
系统运维管理-资产管理规范_第2页
系统运维管理-资产管理规范_第3页
系统运维管理-资产管理规范_第4页
系统运维管理-资产管理规范_第5页
免费预览已结束,剩余1页可下载查看

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、系统运维管理资产管理规范版本历史编制人: 审批人:错误!未定义书签 错误!未定义书签 错误!未定义书签 错误!未定义书签 错误!未定义书签 错误!未定义书签 错误!未定义书签目录一、要求内容二、实施建议三、常见问题四、实施难点五、测评方法六、参考资料、要求内容a)应编制并保存与信息系统相关的资产清单, 包括资产责任部门、重要程度 和所处位置等内容;b)应建立资产安全管理制度,规定信息系统资产管理的责任人员或责任部门,并规范资产管理和使用的行为;c)应根据资产的重要程度对资产进行标识管理,根据资产的价值选择相应的 管理措施;d)应对信息分类与标识方法作出规定,并对信息的使用、传输和存储等进行 规

2、范化管理。二、实施建议编制各部门的信息资产清单可以了解各部门信息资产的管理情况,同时也是信息资产风险评估的基础,资产清单记录的内容越详细对资产的管理越有帮助; 对于信息资产的管理同样需要建立管理制度,内容应包括资产的分类、分级、标识、使用、保管等内容。三、常见问题多数企业没有信息资产的清单,没有单独针对信息资产管理的要求。四、实施难点在信息资产管理初期需要对员工进行适当的培训使之了解哪些资产属于信 息资产,对信息资产的安全管理有哪些好处五、测评方法形式 访谈,检查。 对象 安全主管,资产管理员,信息资产清单,信息分 类分级文档,资产安全管理制度。实施a)应访谈安全主管,询问是否指定信息资产管理

3、的责任人员或部门,由何部门/何人负责;b)应访谈资产管理员,询问是否根据信息资产清单定期对资产进行一致性清 查,并对信息资产清单进行维护更新; 是否对信息资产进行分类、分级和标识管 理,不同类别、不同安全级别的信息资产是否采取不同的管理措施;c)应访谈资产管理员,询问对信息的操作(包括信息使用、存储和传输等方 面)是否要求进行标识;d)应访谈系统运维负责人,询问目前信息系统是否由机构自身负责运行维护,如果是,系统运行所产生的文档如何进行管理(责任书、授权书、许可证、 各类策略文档、事故报告处理文档、安全配置文档、系统各类日志等),是否由专人管理;e)应检查信息资产清单,查看其内容是否覆盖资产责

4、任人、 所属级别、所处 位置和所属部门等方面,清单内容是否因资产所属发生变化或资产增减而进行过 改变;f)应检查资产安全管理制度,查看其内容是否覆盖了资产使用、 借用、维护 等方面;g)应检查信息分类分级文档,查看其是否规定了分类标识的原则和方法 (如 根据数据的重要程度、敏感程度或用途不同进行分类分级),是否根据分类分级 文档所描述的信息的安全级别规定不同信息的使用、 传输、存储等方面内容。六、参考资料信息安全等级保护信息系统安全管理要求 中对资产清单管理的要求:资产清单管理 对资产清单的管理,不同安全等级应有选择地满足以下要求的一项:a)般资产清单:应编制并维护与信息系统相关的资产清单,至

5、少包括以下内容:信息资产:数据库和数据文档、系统文件、用户手册、培训资料、操作 和支持程序、持续性计划、备用系统安排、存档信息;软件资产:应用软件、系统软件、开发工具和实用程序;有形资产:计算机设备(处理器、监视器、膝上形电脑、调制解调器) , 通信设备(路由器、数字程控交换机、传真机、应答机),磁媒体(磁带和软盘), 其他技术装备(电源,空调设备),家具和机房;相关资产:由信息系统控制的或与信息系统密切相关的各类资产。由于信息系统或信息的泄露或破坏,这些资产会受到相应的损坏。服务:计算和通信服务,通用设备如供暖、照明、供电和空调等。b)详细的资产清单:在 a)的基础上,应清晰识别每项资产的拥

6、有权、责 任人、安全分类以及资产所在的位置等。c )业务应用系统清单:在 b)的基础上,作为信息系统组成部分的业务应 用系统的资产应在资产清单中体现。应清晰识别业务应用系统资产的拥有权、责 任人、安全分类以及资产所在的位置等。资产分类与标识的要求 对资产的分类与标识,不同安全等级应有选择地满 足以下要求的一项:a) 资产重要性标识:应根据资产的重要程度对资产进行标识,以便可以基 于资产的价值选择保护措施和进行资产管理等相关工作。b)资产分类管理:在a)的基础上,应对信息资产进行分类管理,对信息 系统内分属不同业务范围的各类信息,按其对安全性的不同要求分类加以标识。对于信息资产,通常信息系统数据可以分为系统数据和用户数据两类,其重要性 一般与其所在的系统或子系统的安全保护等级相关;用户数据的重要性还应考虑 自身保密性分类,如:国家秘密信息:秘密、机密、绝密信息;其他秘密信息:受国家法律保护的商业秘密和个人隐私信息;专有信息:国家或组织机构内部共享、内部受限、内部专控信息,以及 公民个人专有信息;公开信息:国家公开共享的信息、组织机构公开共享的信息、公民个人 可公开共享的信息。组织机构应根据业务应用的具体情况进行分类分级和标识, 纳入规范化管理;不同安全等级的信息应当本着“知所必需、 用所必需、共享必 需、公开必需、互

人人文库> 全部分类> 行业资料 > 信息产业

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

最新文档

评论

0/150

提交评论