信息资产分类标识管理制度

PAGE信息资产分类标准管理制度第12页共22页信息资产分类标准管理制度文档修订摘要日期版本号/状态描述著者审阅者批准人/日期年月日孙秀芳年月日年月日年月日年月日年月日年月日年月日年月日年月日年月日年月日年月日年月日年月日年月日

目录TOC\o"1-2"\h\z\u第一章总则 41.1 概述 41.2 目标 41.3 范围 51.4 分类步骤 5第二章人员和职责 5第三章内容 62.1 信息资产分类及标注处理流程 62.2信息资产功能分类标准 62.3 信息资产等级分类操作方法 122.4 资产标注和处理 14第四章相关记录 22第五章相关文件 22第六章附则 22

第一章总则概述在组织资产中，信息资产是非常重要组成部分，随着业务经营越来越依赖信息化，信息资产的管理也变得越来越重要。同时信息资产的特点又是复杂多变的，只有运用科学的分类方法，才能实现信息资产的良好管理。因此对信融投资系统的信息资产进行等级分类，是资产管理的前提条件。信息资产等级分类也是整个评估工作的前提，是安全评估的基础和重要依据，也为之后的资产管理标准制定提供了良好的基础。因此本文档可以帮助XX公司xx系统实现信息资产等级分类标准化。目标主要体现在以下两个方面通过对XX公司xx系统的信息资产进行合理的等级分类，为信息资产管理提供科学、有效的方式。对XX公司xx系统现有信息资产进行信息安全属性的赋值，并对其进行等级划分，从而进行有针对性的保护，同时为以后的安全解决方案提供依据。范围XX公司xx系统的数据资产、实物资产、软件资产、人员资产、服务资产和无形资产。分类步骤根据XX公司xx系统的实际环境，对于信息资产等级分类，主要分成三步进行：信息资产的分类方法：根据国际标准ISO27001：2005关于资产的分类描述，参考最佳实践，并结合XX公司xx系统自身的组织特点，定义信息资产的分类方法。信息资产识别和安全属性赋值：参照国际标准ISO27001：2005关于对资产识别和安全属性的定义，通过对XX公司xx系统的实际调研，综合各方面因素，对XX公司xx系统信息资产进行识别和安全属性赋值。信息资产等级分类：通过信息资产安全属性值，计算出信息资产等级级别，并按等级进行归类。第二章人员和职责资产的维护人员负责资产发生变更时，及时更新资产表，资产管理员每半年对资产表进行一次审查。第三章内容信息资产分类及标注处理流程2.2信息资产功能分类标准信息资产的分类。以ISO27001资产分类方法为基础，结合XX公司xx系统本身的业务特点和实际情况，以保护XX公司xx系统数据资产为核心，以项目及应用为主线，设计如下的资产分类方法。人员资产需要进行统计，包括人员数量、人员职责、岗位等。人员资产不进行CIA赋值，也不进行等级分类。桌面资产：主要包括PC、笔记本、外设、CPU、内存、显示卡、显示器、移动硬盘、硬盘、主板等资产。主机资产：主要包括NT服务器、HPUX服务器、SUN服务器、AIX服务器、400服务器、CPU、LINUX服务器、内存、显示卡、显示器、硬盘、主板等资产。存储资产：主要包括磁带库、磁带机、磁盘阵列、HBA、NAS、磁盘阵列端口、存储光纤链路、存储交换机、存储交换机端口等资产。网络资产：主要包括交换机、路由器、负载均衡、KVM、无线设备、板卡、模块、端口、VLAN、铜缆、光缆、光纤、专线、无线链路、程控电话交换机、视频设备、网段等资产。安全资产：主要包括VPN网关、防病毒网关、防火墙网关、IDS、IPS、证书、虚拟防火墙等资产。软件资产：主要包括数据库软件、中间件软件、操作系统软件、办公软件、安全软件、专用软件、补丁等资产。数据库资产：主要包括Oracle数据库系统、SQLServer数据库系统、DB2数据库系统等资产。中间件资产：主要包括Weblogic系统、Websphere系统、Apache系统、IIS系统、等其它资产。业务系统资产：主要包括产品研发管理、采购资源管理、生产经营系统、营销资源管理、综合业务系统、生产控制系统、其它应用系统、网络服务管理等资产。机房环境资产：主要包括机柜、UPS、机房监控系统、空调等资产。文档资产：主要包括施工资料、项目文档、运维资料等资产。合同资产：主要包括采购、服务、租赁等资产。归档数据：主要包括各种规定的信息、数据等。信息资产安全属性赋值在ISO27001体系中，安全的三个特性（机密性C、完整性I、可用性A）是其核心思想，在信息资产等级定义中也是围绕着这三个方面展开的，因此对信息资产机密性、完整性和可用性的赋值也是评价信息资产等级依据。对信息资产进行安全属性赋值的目的就是为了更好地反映资产的业务价值，并区分出各资产的价值等级，为风险评估提供量化基础。机密性、完整性和可用性的定义如下：机密性（C）：确保只有经过授权的人才能访问信息；完整性（I）：确保非授权用户对信息和信息处理设施的破坏；可用性（A）：确保经过授权的用户在需要时可以访问信息并使用相关信息资产。在安全属性赋值时，以XX公司xx系统业务为导向，以信息资产的C、I、A赋值为基础，对XX公司xx系统信息资产的C、I、A属性进行的赋值。主要方法是：先对信息资产的C、I、A进行赋值，并以此为基础，通过对这些承载信息数据的载体，网络通信媒介、信息系统及相关的支撑资产识别，来完成对这些信息资产的C、I、A属性赋值。以下是参考业界经验和最佳实践，分别为C、I、A定义的4个具体等级。机密性赋值标准根据信息资产机密性属性的不同，将它分为4个不同的等级，分别对应资产在机密性方面的价值或者在机密性方面受到损失时对整个评估体的影响。赋值标准参照下表：赋值含义解释4非常高信息资产为极机密，对信息资产的访问仅授权极少数必须使用者，信息资产机密性受破坏影响严重，用户蒙受严重损失，无法接受。3高信息资产为机密信息，对信息的访问只有必须使用者才予以授权，信息资产机密性受破坏影响严重，用户蒙受损失，并且损失较难弥补。2中信息为内部信息，组织内部可以授权访问，对信息潜在未授权访问影响重大，但是造成的损失可以弥补。1低信息为公开信息，对信息的访问无需特别授权。并且由于机密性原因造成的损失容易弥补。完整性赋值标准根据信息资产完整性属性的不同，将它分为4个不同的等级，分别对应信息资产在完整性方面的价值或者在完整性方面受到损失时对整个评估体的影响。赋值标准参照下表：赋值含义解释4非常高对信息资产的未经授权的破坏或修改有重大影响，且可能导致信息资产价值损失非严重，用户无法接受。3高对信息的未经授权的破坏或修改有重大影响，且可能导致对信息价值资产损失严重，难以弥补。2中对信息资产的未经授权的破坏或修改造成影响，且可能导致对信息资产价值损失，但可以弥补。1低对信息资产的未经授权的破坏或修改不会产生重大影响。且可能导致对信息资产价值轻微损失，但容易弥补。可用性赋值标准根据信息资产可用性属性的不同，将它分为4个不同的等级，分别对应信息资产在可用性方面的价值或者在可用性方面受到损失时对整个评估体的影响。赋值标准参照下表：赋值含义解释4非常高合法使用者对信息的存取可用度达到年度99.9%及以上。3高合法使用者对信息的存取可用度达到年度95%以上。2中合法使用者对信息的存取可用度在正常工作时间达到100%。1低合法使用者对信息的存取可用度在正常工作时间至少达到50%以上。信息资产等级计算通过前面对信息资产安全属性的赋值，可以判断该资产在XX公司xx系统经营活动中的价值，经过资产的价值等级计算，XX公司xx系统就可以非常明确的对资产采用分类保护措施，从而达到保障XX公司xx系统经营活动的目标。信息资产等级的计算主要来源于ISO27001的CIA属性，同时参考最佳实践，根据XX公司xx系统的组织特点，我们确定了取CIA三者中的最大值为该资产的资产价值。通过CIA矩阵表，得出信息资产等级：下表体现了资产价值与资产等级的对应关系：等级价值分类资产价值1低12中23高34很高4信息资产等级分类操作方法信息资产等级分类方法本节主要指导XX公司xx系统对信息资产等级分类的操作方法，以利于合理有效的完成信息资产等级分类的工作。信息资产登记首先，先要将整个分类标准对XX公司xx系统相关收集人员进行讲解，让其充分了解。其次由相关资产负责人对照各收集表进行登记。然后由顾问统一进行整理并检查其完整性。信息资产分类等级根据资产的保密程度将资产分为如下四级：绝密信息绝密信息是指那些对组织具有重大价值，但又极其敏感的信息。任何对绝密信息的非法访问、修改或删除会严重影响XX公司xx系统的形象或业务收益，这种影响可能无法恢复。机密信息机密信息是指那些对组织具有重大价值的信息，必须有严格访问控制的信息。任何对机密信息的非法访问、修改或删除会严重影响XX公司xx系统的形象或业务收益，但这种影响是可以在短时期内恢复的。秘密信息秘密信息通常是指那些只供内部使用的信息资料，任何对内部信息的非法访问、修改或删除可能会对组织内部的安全造成一定的影响，但不可能是严重的或不可恢复的。一般信息一般信息是指内部公开或可以公共访问和对外发布的信息，并且一般信息可以自由散布而不会产生任何安全问题。信息资产分类举例信息分类举例说明一般信息技术书籍秘密信息项目文档领借用记录机密信息网络安全系统配置文件账号权限业务数据备份数据绝密信息客户特殊要求保密的数据信息资产安全属性赋值XX公司xx系统信息资产分类表填写之后，需对填写的结果进行整理，并与各填表人员进行沟通，对信息资产进行CIA赋值。信息资产等级分类统计根据前期得到的XX公司xx系统信息资产C、I、A值，按照三者取大原则，将得出信息资产的等级，根据对等级的相应统计、分类，可以作为下阶段风险评估的输入。资产标注和处理资产标注方法对不同安全类别的信息进行明确的标识，有助于内部相关人员依照有关信息安全规章制度进行具体操作和处理，从而最大限度地降低了由于人为的误操作所带来的安全隐患的概率。组织应明确规定信息处于不同载体的标注方法。信息的密级必须被明确标注。根据存储和输出方式的不同，可以采用物理标签、电子标记等方法。信息的存储介质必须以物理标签形式标明其密级。当信息以可视方式输出（如：打印、屏幕显示等）时，必须以可视的方式显示其密级。资产标注的原则所有信息安全分类标识必须正确反应该信息的安全防护级别，信息安全主管对信息安全分类有最终决定权。信息安全分类标识务必详尽，而且其内容和格式必须统一。对所有的信息安全分类标识，必须由专人作定期更新维护（每1年一次）。一般采用标签方式对信息进行安全分类标识，但是对以电子格式的数据和文档则可以采用有关电子方式进行安全分类标识，例如：在电子文档的属性中设置“机密”或“绝密”的字样，在文档的页眉、页脚中标注“机密”或“绝密”的字样。资产标注的内容(仅对文件和备份数据进行标注)信息资产分类标识必须包括并不仅限于下列信息：简单描述或内部编号资产本身的创建日期和最后修改日期版本控制信息安全类别

一般信息－XX公司xx系统一般性商业信息

秘密信息－仅供XX公司xx系统内部使用

机密信息－XX公司xx系统机密信息绝密信息-国家机密或客户有特殊要求的数据专管人员或专管部门资产处理信息处置是对信息资产进行以下类型的信息处理活动：向第三方公开；通过口头对话方式进行传播，包括会议，电话录音，手机，电话，公开谈话等；通过电子通讯手段传递，包括互联网服务，电子邮件，传真，内部网络，手机短信息等；复制拷贝，包括复印，电子拷贝，数据备份等；存储，包括电子邮件，电子文档，打印文档等；作废处理，包括非写存储介质，可写存储介质，纸张，硬件设备等；物理访问控制，包括机房和办公区域进出；逻辑访问控制，包括本机访问和网络访问；日志；审计。组织应明确规定不同密级的信息，在处置过程中需要采取的相应控制和保护措施。下表给出了针对具有不同的信息等级分类级别的信息的安全管理规定。操作类别一般信息秘密信息机密信息绝密信息向第三方公开可以向第三方人员或组织公开，并允许对外进行发布，但是要注明一般信息的来源出处。需要向该信息资产的责任人，提出申请，经批准后方可执行，并且必须事先和第三方签订“保密协议”。一般禁止向任何第三方透露机密信息，如有特殊情况，则需要该信息资产责任人所在单位的主要领导书面批准，并且必须事先和第三方签订严格的保密条款（需要专业律师介入）后方可进行。严禁向任何第三方透露绝密信息。口头传递会议电话录音手机电话公开谈话没有特殊安全规定。所有内部员工，未经相关授权，禁止以任何口头方式向非内部人员或非相关人员透露内部信息。禁止以任何口头方式向非相关人员透露机密信息。禁止在公共场合，讨论任何机密信息。严禁以任何口头方式向非相关人员透露绝密信息。严禁在公共场合，讨论任何绝密信息。通过电子通讯手段传递互联网服务电子邮件传真内部网络手机短信息在发送传真时，应当有传真封面，并注明发件人（部门）、收件人（部门）等信息。所有内部员工，未经相关授权，禁止以任何电子手段向非内部人员或非相关人员透露内部信息。所有电子通讯系统必须设有身份验证（用户身份验证或设备身份验证）和审计机制。以电子邮件传送时必须注明“仅供XX公司xx系统内部使用”。所有内部员工，未经相关授权，禁止以任何电子手段向非内部人员或非相关人员透露机密信息。以电子邮件传送时必须注明“XX公司xx系统机密信息”。严禁以任何电子通讯手段向非相关人员透露绝密信息。。复制拷贝复印电子拷贝数据备份没有特殊安全规定。经由该信息资产的责任人同意后，可以对内部信息进行复制拷贝，但是必须遵循“谁复制，谁负责”的原则，防止在复制过程中产生安全隐患。数据备份必须存放在指定的地点，并由专人负责安全存放。一般禁止对机密信息进行复印或电子拷贝，如有特殊需要，经由该信息资产责任人所在单位的主要领导书面批准后，再由XX公司xx系统相关负责人进行具体操作，并亲自交付接收人手中。数据备份建议进行加密处理，并存放在有防火和防磁级别的保险柜中。严格控制数据备份的份数，并对每份备份做详细的记录备案。任何对机密信息的复制拷贝，都必须记录备案。严禁对绝密信息进行复印或电子拷贝。数据备份必须进行加密处理，并存放在有防火和防磁级别的保险柜中。严格控制数据备份的份数，并对每份备份作详细的记录备案。任何对绝密信息的复制拷贝，都必须记录备案。存储电子邮件电子文档打印文档没有特殊安全规定。必须对信息进行标识，注明信息的密级是“仅供XX公司xx系统内部使用”。应当存放在规定的地点或网络驱动器，以便统一管理。内部员工应对本人拥有的内部信息拷贝妥善保管。必须对信息进行标识，注明信息的密级是“XX公司xx系统机密信息”。打印文档或电子文档的硬拷贝，必须存放在保险柜中妥善保管。必须对信息进行标识，注明信息的密级是“XX公司xx系统绝密信息”。所有电子文档（包括电子邮件和其附件）必须进行加密处理，并由专人存放在有严格物理访问控制的存储设备中，以便统一管理。打印文档或电子文档的硬拷贝，必须存放在有严格物理访问控制的保险柜中妥善保管。作废处理非写存储介质可写存储介质纸张硬件设备存有一般信息的磁盘可以不经过格式化或覆盖操作，并可以直接使用。纸张可以直接再利用。纸张文件必须粉碎。可写存储介质必须格式化（初始化）后方可重新使用。非写存储介质必须进行物理销毁。硬件设备必须事先进行完全初始化。纸张文件必须粉碎。可写存储介质必须格式化和覆盖后方可重新使用。非写存储介质必须进行物理销毁。硬件设备必须事先进行完全初始化。任何需要重新使用的存储介质或硬件设备，需要由相关负责人进行验收，确定没有任何敏感数据遗留后方可继续使用。任何作废的存储介质或硬件设备，需要由相关负责人进行验收，在确定没有任何敏感数据遗留后，交付专门部门进行相关处理。纸张文件必须粉碎。可写存储介质必须格式化和覆盖后方可重新使用。非写存储介质必须进行物理销毁。硬件设备必须事先进行完全初始化。任何需要重新使用的存储介质或硬件设备，需要由安全主管进行验收，确定没有任何敏感数据遗留后方可继续使用。任何作废的存储介质或硬件设备，需要由安全主管进行验收，在确定没有任何敏感数据遗留后，提交主要领导人进行报批，经核准后方可由专门部门进行相关处理。物理访问控制机房和办公区域进出没有特殊安全规定。非内部人员或非相关人员必须有专人陪同，并进行登记注册。禁止非内部人员或非相关人员进入，如有特殊需要，则必须经由该信息资产责任人所在单位的主要领导书面批准，由相关负责人陪同。必须进行进出登记手续，并由专人定期检查。严禁非内部人员或非相关人员进入。所有进出人员必须进行进出登记手续，并由专人定期检查。逻辑访问控制本机访问网络访问可以本机访问和网络访问。访问权限设为“只读”，只对少数需要修改、更新一般信息的人员开放“写”和“删除”的权限。必须采用强密码认证方式。可以本机访问和网络访问。对那些由于工作需要访问内部信息的内部人员的访问权限设为“只读”，只对少数需要修改、更新的人员开放“写”和“删除”的权限。必须采用强密码认证方式。可以本机访问和网络访问。对那些由于工作需要访问内部信息的内部人员的访问权限设为“只读”，只对少数需要修改、更新的人员开放“写”和“删除”的权限。本地访问和本地网络访问必须采用强密