系统运维管理资产管理规范样本

系统运维管理资产管理规范 版本历史编制人：审批人：

目录目录 2一、规定内容 2二、实行建议 3三、常用问题 3四、实行难点 3五、测评办法 3六、参照资料 4

一、规定内容

a)应编制并保存与信息系统有关资产清单，涉及资产责任部门、重要限度和所处位置等内容；

b)应建立资产安全管理制度，规定信息系统资产管理负责人员或责任部门，并规范资产管理和使用行为；

c)应依照资产重要限度对资产进行标记管理，依照资产价值选取相应管理办法；

d)应对信息分类与标记办法作出规定，并对信息使用、传播和存储等进行规范化管理。

二、实行建议

编制各部门信息资产清单可以理解各部门信息资产管理状况，同步也是信息资产风险评估基本，资产清单记录内容越详细对资产管理越有协助；对于信息资产管理同样需要建立管理制度，内容应涉及资产分类、分级、标记、使用、保管等内容。

三、常用问题

多数公司没有信息资产清单，没有单独针对信息资产管理规定。

四、实行难点

在信息资产管理初期需要对员工进行恰当培训使之理解哪些资产属于信息资产，对信息资产安全管理有哪些好处。

五、测评办法

形式访谈，检查。对象安全主管，资产管理员，信息资产清单，信息分类分级文档，资产安全管理制度。

实行

a)应访谈安全主管，询问与否指定信息资产管理负责人员或部门,由何部门/何人负责；

b)应访谈资产管理员，询问与否依照信息资产清单定期对资产进行一致性清查，并对信息资产清单进行维护更新；与否对信息资产进行分类、分级和标记管理，不同类别、不同安全级别信息资产与否采用不同管理办法；

c)应访谈资产管理员，询问对信息操作（涉及信息使用、存储和传播等方面）与否规定进行标记；

d)应访谈系统运维负责人，询问当前信息系统与否由机构自身负责运营维护，如果是，系统运营所产生文档如何进行管理（责任书、授权书、允许证、各类方略文档、事故报告解决文档、安全配备文档、系统各类日记等），与否由专人管理；

e)应检查信息资产清单，查看其内容与否覆盖资产负责人、所属级别、所处位置和所属部门等方面，清单内容与否因资产所属发生变化或资产增减而进行过变化；

f)应检查资产安全管理制度，查看其内容与否覆盖了资产使用、借用、维护等方面；

g)应检查信息分类分级文档，查看其与否规定了分类标记原则和办法（如依照数据重要限度、敏感限度或用途不同进行分类分级），与否依照分类分级文档所描述信息安全级别规定不同信息使用、传播、存储等方面内容。

六、参照资料

《信息安全级别保护信息系统安全管理规定》中对资产清单管理规定：

资产清单管理对资产清单管理，不同安全级别应有选取地满足如下规定一项：

a）普通资产清单：应编制并维护与信息系统有关资产清单，至少涉及如下内容：

——信息资产：数据库和数据文档、系统文献、顾客手册、培训资料、操作和支持程序、持续性筹划、备用系统安排、存档信息；

——软件资产：应用软件、系统软件、开发工具和实用程序；

——有形资产：计算机设备（解决器、监视器、膝上形电脑、调制解调器），通信设备（路由器、数字程控互换机、传真机、应答机），磁媒体（磁带和软盘），其她技术装备（电源，空调设备），家具和机房；

——有关资产：由信息系统控制或与信息系统密切有关各类资产。由于信息系统或信息泄露或破坏，这些资产会受到相应损坏。

——服务：计算和通信服务，通用设备如供暖、照明、供电和空调等。

b）详细资产清单：在a）基本上，应清晰辨认每项资产拥有权、负责人、安全分类以及资产所在位置等。

c）业务应用系统清单：在b）基本上，作为信息系统构成某些业务应用系统资产应在资产清单中体现。应清晰辨认业务应用系统资产拥有权、负责人、安全分类以及资产所在位置等。资产分类与标记规定对资产分类与标记，不同安全级别应有选取地满足如下规定一项：a）资产重要性标记：应依照资产重要限度对资产进行标记，以便可以基于资产价值选取保护办法和进行资产管理等有关工作。

b）资产分类管理：在a）基本上，应对信息资产进行分类管理，对信息系统内分属不同业务范畴各类信息，按其对安全性不同规定分类加以标记。对于信息资产，普通信息系统数据可以分为系统数据和顾客数据两类，其重要性普通与其所在系统或子系统安全保护级别有关；顾客数据重要性还应考虑自身保密性分类，如：

——国家秘密信息：秘密、机密、绝密信息；

——其她秘密信息：受国家法律保护商业秘密和个人隐私信息；

——专有信息：国家或组织机构内部共享、内部受限、内部专控信息，以及公民个人专有信息；

——公开信息：国家公开共享信息、组织机构公开共享信息、公民个人可公开共享信息。组织机构应依照业务应用品体状况进行分类分级和标记，纳入规范化管理；不同安全级别信息应当本着“知所必须、用所必须、共享必须、公开