4-8资产安全管理制度_第1页
4-8资产安全管理制度_第2页
4-8资产安全管理制度_第3页
4-8资产安全管理制度_第4页
4-8资产安全管理制度_第5页
已阅读5页,还剩5页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、资产安全管理制度文档信息单位名称淄博市卫生和计划生育委员会文档名称资产安全管理制度文档编号受控状态受控文件扩散范围内部使用制作人审核人批准人页数共10页发布日期生效日期版本历史版本日期说明修订人1.0创建文件4-8 资产安全管理制度第一章 总则第一条 本管理办法旨在对淄博市卫生和计划生育委员会内部重要的信息资产进行分类分级,以便对信息的分发和流转进行恰当的控制,确保信息资产的保密性、完整性和可用性能够实现。第二条本管理办法适用于淄博市卫生和计划生育委员会。第三条定义(一)本制度所涉及的信息包括各种存储或者存在形式,包括但不限于电子信息、纸质数据文件、语音和图像等。(二)本制度所称信息是指以任何

2、形式存在或传播的对我单位具有价值的内容,包括电子信息、纸质数据文件、语音图像等。信息安全关注的是信息的保密性、可用性和完整性。(三)本制度所称信息资产是指任何对本单位具有价值的信息的存在形式或者载体,包括计算机硬件、通信设施、 IT 环境、数据库、软件、文档资料、信息服务和人员等,所有这些资产都需要妥善保护。第二章 组织与管理第四条本单位各部门负责人是本部门信息资产管理的第一责任人,负责组织本制度的贯彻落实。第五条全体员工理解并遵守本制度定义的内容。第六条本制度定义以下相关角色,履行相应的信息安全管理、执行和审核职责。(一)责任人,信息资产的创建者,或者主要用户所在单位或部门的负责人。信息资产

3、责任人对所属信息资产负直接责任。其主要职责包括:1、理解和各种信息访问活动相关的安全风险;2、根据单位信息密级划分标准来确定所属信息资产的级别;3、根据单位相关策略确定并检查信息访问权限;4、针对所属信息资产提出恰当的保护措施。(二)保管者,受信息资产责任人委托,对信息资产进行日常的管理,维护已经建立的保护措施。资产保管者通常是本单位淄博市卫生和计划生育委员会或者代表(例如系统管理员) 。其主要职责包括:1、根据相关策略和信息资产责任人的要求,负责信息资产的维护操作和日常管理事务;2、负责具体设置信息访问权限;3、负责所管理的信息资产的安全控制;4、部署恰当的安全机制,进行备份和恢复操作;5、

4、按照信息资产责任人的要求实施其他控制。(三)用户,信息资产的使用者,除了本单位内部员工,也可能是因为业务需要而访问本单位信息的客户或第三方组织。其主要职责包括:1、向信息资产责任人申请信息访问;2、按照单位信息安全策略要求正当访问信息,禁止非授权访问;3、向相关组织报告隐患、故障或者违规事件。第三章 资产管理要求第七条 信息资产分类信息资产责任人应该指导进行相关资产的调查,资产调查以业务流程为线索,包括各类输入、中间环节和输出信息,所有这些信息资产都为业务流程的运转提供支持。信息资产可以分为以下几大类。(一)数据文件,通常包括各种电子文档:业务数据、客户数据、配置文件、记录数据(日志、审计记录

5、) 、管理文件(策略、流程文件、操作手册等) 、商务文件(合同、协议等)也包括以实物方式存在的资产:各类电子数据的归档、打印件、书面管理文件、业务报表、包含重要商业成果的文件,还有胶片等。(二)软件资产,各种系统软件、应用软件(OA业务软件等)和工具软件(开发系统、网管软件、安全软件等) ,包括操作系统、数据库应用程序、网络软件、办公应用系统、业务系统程序、软件开发工具等,这些软件资产负责处理、存储或传输各类信息。(三)实物资产,与业务相关的 IT 物理设备,包括计算机(工作站和服务器等)和网络通信设备、磁介质(磁带和磁盘等) 、装置、环境等,这些实物资产容纳着软件和数据文件。(四)人员,承担

6、某项与业务活动相关责任的角色和职位。例如普通用户、系统管理员、网络管理员、保安、清洁员等,这些人员与各类数据、软件和实物资产的操作直接相关。(五)服务,安保(例如监控、门禁、保安等) ,环境服务(例如清洁) ,基础保障(供水、供热、供电) ,设备维护,通信服务(例如互联网接入) 。第八条 信息资产分级标准保密性、完整性和可用性是评价资产的三个安全属性。风险评估中资产的价值不是以资产的经济价值来衡量,而是由资产在这三个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的。安全属性达成程度的不同将使资产具有不同的价值,而资产面临的威胁、存在的脆弱性、以及已采用的安全措施都将对资产安全

7、属性的达成程度产生影响。(一)保密性赋值根据资产在保密性上的不同要求,将其分为五个不同的等级,分别对应资产在保密性上应达成的不同程度或者保密性缺失时对整个组织的影响。下表提供了一种保密性赋值的参考表1.1资产保密性赋值表5很高包含组织最重要的秘密,美系未来发展的前途命运对组织根本利益有看 决定性的影口向,如果泄露会造成灾难性的损害4高1包含组S?的重要秘看,耳泄露会使组织的安全和利S遛受严重损害3乎组织的一般性秘密,其泄露会使蛆织的安全和利益受到损害2低一仅有衽组织内部球在组纵某一部门内部公开的信息,向外弁散有可能对组 织的利益苣成羟赧损害1很低可劝社会公开的信息n公用的信息处理谡备和系统资源

8、等(二)完整性赋值根据资产在完整性上的不同要求,将其分为五个不同的等级,分别对应资产在完整性上 缺失时对整个组织的影响。下表提供了一种完整性赋值的参考。表1.2资产完整性赋值表5很高完整性价值非常关键,未经授权的修改或破坏会对组织造成重大的或无法 接受的题向,对业务冲击重大,井可能造成严重的业务中断,难以弥补4高完整性价值较高,未经授权的修改或破坏会对组织造成重土影响,对业务 冲击严重,破难弥补3中等完整性价值中等,未经授权的修改或破坏会又控织造成影响,对业务冲击 明显,但可以弥补2低完整性价值较低,未经授权的修改或破坏会对组织造成轻澈影响,对业务 冲击轻微容易弥补1很低完整性价值非常低,未经

9、授权的修改或破坏对组织成的影响可以忽略, 对业务;中击可以忽略(三)可用性赋值 根据资产在可用性上的不同要求,将其分为五个不同的等级,分别 对应资产在可用性上应达成的不同程度。下表提供了一种可用性赋值的参考。表1.3资产可用性赋值表msSR定义5很高可用性价值非常高,合法使用者对信息及信息系统的可用度达到年度39.9% 以上,或系蜿不允许中断4高可用性价值兢高,合法使用者对信息及信息系蜿的可用度达到每天9。喷A上, 或系统允许申断时间小于3中等可用性价值中等,合法使用者对信息及信息系统的可用度在正常工作时间达 到T城让?或系统允许中断时间小于30M2低可用性价值较低;合法使用者对信息及信息系统

10、的可用度在正常工作时间达 到2例以上,或系统允许中断时间小于60mm1很低可用性价值可以意略,合法使用者对信息及信息系统的可用度在正常工作时 间低于20%(四)资产重要性等级资产重要性等级(资产价值)应依据资产在保密性、完整性和可用性上的赋值等级,由 以下公式计算得出:A=ln(e C + e I + e A)/3通常,根据最终赋值将资产划分为五级,级别越高表示资产越重要,也可以根据组织的 实际情况确定资产识别中的赋值依据和等级。下表中的资产等级划分表明了不同等级的重要 性的综合描述。表1.4资产等级及含义描述轴描逑5很高非常重要,其安全属性破坏后可能对组织造成非常严重的损失4imj重要其安全

11、属性玻坏后可SS对组织造成比较严重的损失3中等比校重要,其安全属性破坏后可能对组织造成中等程度的损失2低不太重要,其安全属性破坏后可能对组织造成较低的损失1很低不重要,其安全属性破坏后对组织造成导很小的损失,甚至缈各不计第九条各部门根据业务流程列出信息资产清单并将每项资产的名称,对资产实施编号、标识管理,所处位置,资产价值,资产负责人等相关信息记录在资产清单,并每年以抽查形式验证资产清单与实际设备相一致。第一节硬件安全管理第十条设备选型(一)业务系统设备的选型与采购由淄博市卫生和计划生育委员会负责。(二)设备选型的原则是在满足工作需要的前提下,保证所选产品的先进性和实用性,避免过早被淘汰,但也

12、不要搞超前消费而造成资金的浪费。(三)选用或购置涉密设备时应符合有关规定,确保这些设备的可靠性。第十一条设备购置与安装(一)对大宗采购的设备要在国内和国际厂商间进行招标,并根据厂商的产品性能、质 量、价格和售后服务等指标做出优化选择,实行集中采购。(二)下属机构购置的设备,都要填写购置申请表上报淄博市卫生和计划生育委员会, 经淄博市卫生和计划生育委员会和其他相关部门审批后由相关部门负责购置。(三)新购置的网络设备及网络安全产品应经过安全检测和实际测试,测试合格后方能 投入使用。(四)复杂的设备由厂商或集成商负责安装调试,保证设备的可靠运行。(五)关键的设备由信息技术人员经过培训进行安装。第十二

13、条设备登记与使用(一)建立设备登记档案,详细记录每台设备的名称、规格、配置、装载软件、单价、 购入日期、供货商、存放地点、使用部门、耐用年限等参数,关键设备应建立维护档案。(二)设备应由网络管理员登记网络拓扑图,所有带网卡的设备都应登记网卡号,严格 限定相应的网络权限。(三)所有设备都应粘贴印有其设备编号、名称、类别、使用部门的标签,并填写一式 两份的固定资产登记卡,一份交使用部门的行政秘书或负责人保管,另一份淄博市卫生和计 划生育委员会保管。(四)各部门及个人领用的设备应实行个人负责制,每台设备有专人负责管理和使用, 不得随意转借,更不得交给无关人员使用。(五)各部门间设备的调拨由调入部门填

14、写设备调入申请单,由调入部门、调出部门及 相关部门负责人签字同意后方可进行调拨。(六)对于不再需要或长期闲置的设备,各部门应及时归还给资产管理部门,以充分发 挥设备的使用价值。第十三条设备维护(一)遵守定期维护检查制度,对关键设备的维护与维修要建立详细的维护档案,凡因 疏于保养而造成的设备损坏或工作延误将追究当事人的责任。(二)建立设备管理维护记录,实行维护记录制度。对故障发生的时间、表现、采取的 解决措施、结果及软硬件的升级情况等进行详细记录,并由系统管理员予以签字,以便今后 解决故障。(三)建立相关电子设备的维护和维修手册,详细记录各厂商的联系电话、服务热线等 信息。(四)设备自然使用损坏

15、后,当事人需填写故障维修申请单报淄博市卫生和计划生育委员会,由淄博市卫生和计划生育委员会指派专人检查损坏情况后进行维修,对无法当时维修好的设备联系厂商或维修单位进行修理。(五)非淄博市卫生和计划生育委员会指定维护人员不得私自拆卸电子设备、不得维修设备或更换零件,凡因此而造成的设备损坏或配件丢失由当事人负责赔偿。(六)系统设备的扩容和升级应由淄博市卫生和计划生育委员会考察必要性和可行性,经领导批准后,统一安排购买配件和实施升级。任何人不得自行联系设备升级。(七)设备需要维修时,需填写设备维修申请 。第十四条 设备报废(一)长期闲置或不再使用的设备可向淄博市卫生和计划生育委员会提出调拨或报废申请,

16、由淄博市卫生和计划生育委员会根据设备的完好率、使用年限等因数决定进行调拨或报废。(二)对各部门内确无使用价值的设备的报废申请,由淄博市卫生和计划生育委员会核准后报领导批准,并由财务室备案。(三) 由于使用人员重大责任事故而造成的部门内的设备报废, 必须追究当事人的责任,经领导批准后,再作报废处理,并由财务室备案。(四)各部门大额设备( 单件购买价超过五万) 的调拨和报废工作原则上采用各部门提申请,淄博市卫生和计划生育委员会审核批准的方式。(五)设备报废依据财务管理办法和有关规定执行,对报废设备上保存的存贮介质要进行清除,防止泄密。(六)形成设备销毁记录文件,其中需体现时间、地点、内容、责任人等

17、信息。第二节 软件安全管理第十五条 软件的选型(一)应用软件在开发或购买之前应正式立项,成立由技术人员、业务人员和管理人员共同组成的项目小组并建立软件质量保证体系。(二)选用的软件必须是正版软件。第十六条 软件安全检测审查(一)软件在正式使用之前应进行必要的安全功能检测,保证业务能正常安全可靠的运行。不得建立无关的用户,测试用户在完成测试后必须加以限制或删除。(二)应用软件在正式投入使用前必须经过内部评审,确认系统功能、测试结果和试运行结果均满足设计要求,技术文档齐全,并经分管领导批准。(三)重要的业务应用系统应具有如下安全特性:(四)自动记录全部操作过程;(五)关键数据不得以明码存放;(六)

18、无法绕过应用界面直接查看或操作数据库;(七)系统管理与业务操作权限严格分开;(八)防止异常中断后非法进入系统;(九)提供超时键盘锁定功能;(十)业务数据在通信网络上以加密方式传输;(十一)应存储一年以上完整的系统运行记录;(十二)提供系统运行状态监控模块;(十三)提供数据接口,满足稽核、审计及技术监控的要求;(十四)其它有助于控制业务操作风险的功能特性。(十五)系统软件应具备如下安全功能:(十六)身份验证功能,防止非法用户随意进入系统;(十七)访问控制功能,防止越权访问;(十八)故障恢复功能,能够自动或在人工干预下从故障状态恢复到正常状态而不致造 成系统混乱和数据丢失;(十九)安全保护功能,对

19、信息的交换、传输、存储提供安全保护;(二十)安全审计功能,便于应用系统建立访问用户资源的审计记录;(二十一)分权制约功能,支持对操作员和管理员的权限分离与相互制约。(二十二)系统软件应达到相应的安全级别才能投入正常使用。(二十三)数据库管理软件除上述功能要求外,还应具有数据库的安全性、完整性、一 致性及可恢复性保障机制。(二十四)应用软件应具备基本的访问控制和安全审计功能。第十六条软件使用与维护(一)应规定软件的使用范围和使用权限。(二)严禁擅自使用外来的磁盘、磁带和光盘。如工作需要,必须在确保无计算机病毒、 计算机系统工作安全的情况下,经淄博市卫生和计划生育委员会批准,并做好登记后方可使 用

20、。(三)软件使用人员应经过适当的操作培训和安全教育。(四)信息技术人员不得擅自进行软件维护和系统参数调整。(五)应采取有效措施,防止对应用软件的非法修改。(六)设专人负责业务软件的版本升级,及时为软件缺陷打补丁。第十七条 软件安全跟踪与报告(一)设专人负责跟踪系统软件的安全补丁,及时弥补安全漏洞。(二)关键业务系统软件和应用软件必须启用其自身的安全审计留痕功能,便于系统建立访问用户资源的审计记录。(三)专人负责定期检查和跟踪审计日志,及时发现问题,并生成日志分析报告。(四)定期对系统产生的日志进行转存和清除。第三节 数据安全管理第十八条 数据保密性管理(一)对系统数据实施严格的安全与保密管理,

21、防止系统数据的非法生成、变更、泄露、丢失与破坏。(二)关键业务数据不得泄露,禁止外传。(3) 重要数据的处理过程中, 被批准使用数据人员以外的其它人员不应进入机房工作;处理结束后,应清除不能带走的本作业数据;妥善处理打印结果,任何记有重要信息的废弃物在处理前应进行粉碎。(四)各业务数据仅用于明确规定的目的,未经批准不得它用。(五)无正当理由和有关批准手续,不得查阅客户资料;经正式批件查阅数据时必须登记,并由查阅人签字。(六)涉密数据不得以明码形式存储和传输。(七)根据数据的保密规定和用途,确定数据使用人员的存取权限、存取方式和审批手续。(八)在数据的传输过程中采用各种加密手段进行保障,如利用

22、SSLPG将技术手段。(九)未经允许,不准将机房设备、维护用品、软盘、资料等私自带出机房,如有特殊情况,需经负责人同意并进行登记后方可带出。第十九条 数据访问控制管理(一)设置系统管理员岗位,对系统数据实行专人管理。(二)设置数据库管理员岗位,对业务数据实行专人管理。(三)数据库管理系统的口令必须由专人掌管,并定期更换。禁止同一人掌管操作系统口令和数据库管理系统口令。(四)在重要数据的处理过程中,被批准使用数据的人员以外的其它人员不应进入机房工作。处理结束后,应清除不能带走的本次作业数据。应妥善处理打印结果,任何记有重要信息的废弃物在处理前应进行粉碎。(五)对数据的备份、恢复、转出、转入的权限都应严加控制。严禁未经授权将各种数据等拷贝出系统,转给无关的人员或单位;严禁未经授权进行数据恢复或转入操作。(六)采用实时监控机制,及时发现不良信息或破坏性数据,对其采取封堵、清除等相应安全控制措

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论