【参考借鉴】信息资产管理办法.doc
信息资产管理管理办法
信息资产管理管理办法信息资产管理管理办法Chapter 1 引言本信息资产管理管理办法(以下简称“办法”)旨在规范和管理组织的信息资产,确保信息资产的安全、完整和可靠,并保护信息资源的机密性、完整性和可用性。
Chapter 2 定义和范围2.1 定义信息资产:指由组织拥有、持有、控制或处理的所有信息,包括但不限于电子、纸质、数据库、软件、硬件、网络设备等。
2.2 范围本办法适用于组织内的所有信息资产,无论其形式和存储介质。
Chapter 3 信息资产分级和分类3.1 信息资产分级根据信息资产的重要性和敏感程度,对信息资产进行分级,包括但不限于核心资产、重要资产和一般资产。
3.2 信息资产分类根据信息资产的业务功能和类型,对信息资产进行分类,包括但不限于财务信息、人事信息、业务信息等。
Chapter 4 信息资产管理责任和权限4.1 信息资产管理责任明确信息资产管理的责任,并指定信息资产管理人员,确保其具备专业知识和技能。
4.2 信息资产管理权限确定信息资产管理人员的权限范围,包括分级访问权限、修改权限、备份权限等。
Chapter 5 信息资产风险评估和控制5.1 信息资产风险评估对信息资产进行风险评估,包括风险识别、风险分析和风险评价。
5.2 信息资产风险控制根据风险评估结果,制定相应的控制措施和风险管理计划,包括但不限于防范控制、纠正控制和监控控制。
Chapter 6 信息资产安全保障措施6.1 物理安全保障措施采取措施确保信息资产的物理安全,包括但不限于门禁控制、监控设备、机房环境等。
6.2 逻辑安全保障措施采取措施确保信息资产的逻辑安全,包括但不限于身份认证、访问控制、加密技术等。
Chapter 7 信息资产的获取和维护7.1 信息资产的获取明确信息资产的获取程序和流程,包括申请、审批、采购和验收等。
7.2 信息资产的维护确保信息资产的正常运行和维护,包括但不限于系统更新、漏洞修复、备份和灾备等。
信息资产管理管理办法
信息资产管理管理办法信息资产管理管理办法第一章:总则第一条为了加强对信息资产的管理,保障信息资产的安全性、完整性和可用性,依据相关法律法规,制定本办法。
第二条本办法适用于我单位内对信息资产的管理,涵盖信息系统、数据、网络设备等。
第二章:信息资产的分类和定级管理第三条信息资产依照其重要性和敏感性进行分类,采取定级管理。
第四条信息资产的分类和定级应参考国家有关规定,结合我单位的实际情况进行确定。
第五条对于定级较高的信息资产,应建立专门的保护措施,包括但不限于加密、备份、审计等,确保其安全性和完整性。
第三章:信息资产的采购和使用第六条信息资产的采购应按照相关采购制度进行,确保采购的信息资产符合安全和质量要求。
第七条信息资产的使用应按照内部规定和合法合规要求进行,不得超越授权范围使用。
第八条对于涉及个人信息的信息资产,应加强保护措施,确保个人信息不被泄露、篡改或滥用。
第四章:信息资产的变更和处置第九条信息资产的变更应按照规定的流程进行,确保变更的安全和可控性。
第十条信息资产的处置应按照相关要求进行,包括数据删除、设备销毁等,确保信息资产不再被恶意利用。
第十一条信息资产的变更和处置需经过相关部门的审批和备案,并留存相应的记录。
第五章:信息资产的安全保护第十二条信息资产的安全保护应建立完善的安全机制,包括防火墙、杀毒软件、入侵检测等。
第十三条对于信息资产的安全事件和漏洞,应及时进行处理和修复,并进行跟踪追溯,防止类似事件发生。
第十四条定期进行信息安全培训,增强员工的安全意识和防范能力。
第六章:监督和责任追究第十五条建立健全的信息资产管理制度,明确管理职责和权限。
第十六条对于违反本办法的行为,应依照相关规定进行纪律处分或法律追究。
第十七条建立信息安全管理机构,加强对信息资产管理的监督和检查。
第七章:附则第十八条本办法的解释权归我单位所有。
第十九条本办法自发布之日起生效。
以上为《信息资产管理管理办法》的内容,请各相关部门和人员严格遵守执行。
信息资产管理制度范文(三篇)
信息资产管理制度范文第一章总则第一条目的和意义为了加强对信息资产的管理和保护,保障信息资产的完整性、可用性和机密性,防止信息资产被非法获取、使用、传输、损坏及泄露,确保信息系统的正常运行和网络安全,制定本制度。
第二条适用范围本制度适用于公司内所有信息资产的管理和保护。
第三条定义1. 信息资产:指在信息系统中产生、传输、处理和存储的各种数据和信息。
2. 信息系统:指由计算机硬件、软件、网络设备及其相关设备组成的用于处理和传输信息的系统。
3. 信息资产管理:指对公司信息资产进行规划、采购、使用、维护、监控和处置的全过程管理。
4. 信息安全:指保障信息资产的完整性、可用性和机密性,并防止信息被非法获取、使用、传输、损坏及泄露的状态。
5. 信息资产管理制度:指规范公司信息资产管理和保护的制度和规定。
第二章信息资产保护责任第四条资产归属责任1. 各部门和岗位应清楚明确自己所属的信息资产,并保证其安全和完整。
2. 各部门和岗位负责人应对所属信息资产进行定期巡检和核查,确保其安全和可用性。
第五条信息资产管理岗位职责1. 信息资产管理部门应负责制定和完善信息资产管理制度,监督和检查各部门和岗位的信息资产安全工作。
2. 信息资产管理部门应定期对信息资产进行风险评估和漏洞扫描,及时修复安全漏洞。
3. 信息资产管理部门应负责对信息资产进行备份和恢复,以保障信息的持续可用性。
第三章信息资产的分类和保护第六条信息资产分类1. 根据重要程度和敏感程度,将信息资产分为三个等级:高级、中级和低级。
2. 高级信息资产:包括公司重要的商业机密、核心技术资料等,需要加强保密和防护。
3. 中级信息资产:包括公司一般业务数据和客户信息等,需要进行适当保护。
4. 低级信息资产:包括一般办公数据和公开信息等,需要进行基本保护。
第七条信息资产保护措施1. 高级信息资产应采取以下措施进行保护:(1) 严格的访问控制:权限分级制度、二次认证等。
(2) 数据加密:对重要数据进行加密存储和传输。
信息资产管理办法
精心整理信息资产管理办法第一章总则第一条目的:本管理办法旨在对XX银行(以下简称我行)内部重要的信息资产进行分类分级,以便对信息的分发和流转进行恰当的控制,确保信息资产的保密性、完整性和可用性能够实现。
第六条全体员工理解并遵守本管理办法定义的内容。
第七条本管理办法定义以下相关角色,履行相应的信息安全管理、执行和审核职责。
(一)责任人,信息资产的创建者,或者主要用户所在组织、单位或部门的负责人。
信息资产责任人对所属信息资产负直接责任。
其主要职责包括:1、理解和各种信息访问活动相关的安全风险;2、根据我行信息密级划分标准来确定所属信息资产的级别;3、根据我行相关策略确定并检查信息访问权限;4、针对所属信息资产提出恰当的保护措施。
(二)保管者,受信息资产责任人委托,对信息资产进行日常的管理,维护已经建立的保护措施。
资产保管者通常是我行的IT部门或者代表(例如系统管理员)。
第八条信息资产分类信息资产责任人应该指导进行相关资产的调查,资产调查以业务流程为线索,包括各类输入、中间环节和输出信息,所有这些信息资产都为业务流程的运转提供支持。
信息资产可以分为以下几大类。
(一)数据文件,通常包括各种电子档:业务数据、客户数据、配置文件、记录数据(日志、审计记录)、管理文件(策略、流程文件、操作手册等)、商务文件(合同、协议等)。
也包括以实物方式存在的资产:各类电子数据的归档、打印件、书面管理文件、业务报表、包含重要商业成果的文件,还有胶片等。
(二)软件资产,各种系统软件、应用软件(OA、业务软件等)和工具软件(开不是以资产的经济价值来衡量,而是由资产在这三个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的。
安全属性达成程度的不同将使资产具有不同的价值,而资产面临的威胁、存在的脆弱性、以及已采用的安全措施都将对资产安全属性的达成程度产生影响。
(一)保密性赋值根据资产在保密性上的不同要求,将其分为五个不同的等级,分别对应资产在保密性上应达成的不同程度或者保密性缺失时对整个组织的影响。
信息资产管理管理办法
信息资产管理管理办法目录1.引言2.范围3.定义4.信息资产管理原则5.信息资产分类6.信息资产识别和评估7.信息资产保管和存储8.信息资产访问控制9.信息资产使用和传输10.信息资产维护和更新11.信息资产安全事件处理12.信息资产审计和监控13.信息资产培训和意识14.附件引言本信息资产管理管理办法旨在确保组织的信息资产得到有效管理和保护,防止信息资产泄露、滥用、损坏或丢失。
本管理办法适用于组织内所有信息资产的识别、评估、保管、存储、访问控制、使用、传输、维护、更新、安全事件处理、审计和监控等活动。
范围本管理办法适用于组织内所有信息资产,包括但不限于电子文件、纸质文件、数据库、应用程序、网络设备、移动设备、云计算服务等。
定义1.信息资产:指组织拥有的、具有价值的、需要保护的任何形式的信息,包括数据、、软件、硬件等。
2.信息资产所有者:指负责管理和保护特定信息资产的个人或团队。
3.信息资产使用者:指有权访问和使用特定信息资产的个人或团队。
4.信息资产保管人:指负责存储、保管和维护特定信息资产的个人或团队。
5.信息资产安全事件:指可能导致信息资产泄露、滥用、损坏或丢失的任何事件。
信息资产管理原则1.保密性:确保信息资产只能被授权人员访问和使用。
2.完整性:确保信息资产在存储、传输和处理过程中不被篡改或损坏。
3.可用性:确保信息资产在需要时可供授权人员使用。
4.责任分离:确保信息资产的所有者、使用者、保管人等角色相互独立,相互制约。
5.法律合规性:确保信息资产管理符合相关法律法规和标准要求。
信息资产分类1.公开信息:对外公开的信息,如组织公告、宣传资料等。
2.内部信息:仅对组织内部人员公开的信息,如内部文件、员工通讯录等。
3.机密信息:对组织外部的竞争者或敌对势力具有较高价值的信息,如商业计划、客户数据等。
4.极密信息:对组织具有极高价值的信息,如核心技术、重要合同等。
信息资产识别和评估1.信息资产所有者负责识别和评估其负责的信息资产。
信息资产管理管理办法精选全文
可编辑修改精选全文完整版信息资产管理管理办法第一章总则第一条XXX有限公司(以下简称“XXX”)为提升信息资产的管理水平,保障信息资产安全,制定本文件。
第二条XXX的信息资产可分为以下六类资产:信息类资产:包括数据库和数据文件、合同和协议、系统文件、研究信息、用户手册、培训材料、操作或支持程序、业务连续性计划、后备运行安排、审计记录、归档记录等信息。
软件类资产:包括应用软件、系统软件、开发工具和实用程序等软件。
硬件类资产:包括计算机设备、通信设备、可移动介质和其他等设备。
服务类资产:包括计算和通信服务、通用公用事业服务(如,供暖,照明,能源,空调)等。
人员类资产:包括与信息安全相关的重要人员,如系统管理员、应用系统管理员等。
无形类资产:包括XXX的声誉和形象等。
第二章信息资产责任第三条风险委员会是XXX信息资产安全管理工作的最高领导机构,负责XXX信息资产的安全。
各部门指定相应人员负责建立和维护本部门的信息资产清单,确保其准确性和及时性,并报信息安全部汇总。
第四条信息资产所有者是指对资产具有所有权的单位、部门或个人,信息资产所有者对资产的获取、使用及处置具有决策权;信息资产的管理者通常可以是信息资产的所有者,也可以是得到信息资产所有者授权的其他部门或个人,信息资产管理者根据信息资产所有者的授权行使对信息资产的日常管理,对于超出授权范围的管理要求,需要书面征求信息资产所有者的意见;信息资产的使用者是XXX的各类用户,他们向管理者申请使用信息资产。
第五条信息资产应明确其所有者、管理者及使用者,其中,所有者角色有且只有一个,管理者角色原则上有且只有一个。
第六条对于未明确所有者或管理者的信息资产,由风险委员会或信息安全部根据实际工作需要,指定其所有者或管理者。
第七条各部门需建立信息资产清单,信息资产清单须详细记录XXX各类信息资产,其内容包括信息资产分类、信息资产编号、信息资产类型、资产所有者、管理者、使用者等。
信息资产管理管理办法范本
信息资产管理管理办法范本一、总则为了加强和规范公司的信息资产管理,保障信息资产的安全、完整和有效利用,提高公司的信息化水平和竞争力,根据国家有关法律法规和公司的实际情况,制定本办法。
本办法适用于公司及所属各单位的信息资产管理活动。
二、信息资产的定义和分类(一)信息资产的定义信息资产是指公司拥有或控制的、能够为公司带来经济利益或具有潜在价值的、以各种形式存在的信息资源,包括但不限于数据、文档、软件、硬件、网络设备、服务等。
(二)信息资产的分类1、数据资产:包括业务数据、客户数据、财务数据、市场数据等。
2、文档资产:包括规章制度、操作手册、技术文档、合同协议等。
3、软件资产:包括操作系统、应用软件、开发工具等。
4、硬件资产:包括服务器、计算机、存储设备、网络设备等。
5、服务资产:包括网络服务、数据中心服务、云服务等。
三、信息资产的管理职责(一)信息资产所有者信息资产所有者对其拥有的信息资产的安全、完整和有效利用负责,具有以下职责:1、明确信息资产的使用目的和安全要求。
2、批准信息资产的访问权限和使用方式。
3、监督信息资产的使用情况,及时发现和处理异常情况。
(二)信息资产管理者信息资产管理者负责信息资产的日常管理和维护工作,具有以下职责:1、建立和维护信息资产清单,定期进行资产清查和盘点。
2、制定和执行信息资产的安全策略和操作规程。
3、负责信息资产的备份和恢复工作,确保数据的可用性和完整性。
4、对信息资产的使用情况进行监控和审计,及时发现和处理违规行为。
(三)信息资产使用者信息资产使用者应当遵守公司的信息资产管理规定,合理使用信息资产,具有以下职责:1、按照授权使用信息资产,不得越权访问和使用。
2、保护信息资产的安全,不得泄露、篡改、破坏信息资产。
3、及时报告信息资产使用过程中发现的安全问题和异常情况。
四、信息资产的登记与标识(一)信息资产登记公司应建立信息资产登记制度,对所有信息资产进行登记,登记内容包括资产名称、类别、型号、规格、数量、使用部门、责任人、购置日期、价值等。
信息资产管理办法
信息资产管理办法第一章总则第一条目得:本管理办法旨在对XX银行(以下简称我行)内部重要得信息资产进行分类分级,以便对信息得分发与流转进行恰当得控制,确保信息资产得保密性、完整性与可用性能够实现。
第二条依据:本管理办法根据《XX银行信息安全管理策略》制订。
第三条范围:本管理办法适用于我行总部及所辖分、支行。
第四条定义(一)本管理办法所涉及得信息包括各种存储或者存在形式,包括但不限于电子信息、纸质数据文件、语音与图像等。
(二)本管理办法所称信息就是指以任何形式存在或传播得对我行具有价值得内容,包括电子信息、纸质数据文件、语音图像等。
信息安全关注得就是信息得保密性、可用性与完整性。
(三)本管理办法所称信息资产就是指任何对我行具有价值得信息得存在形式或者载体,包括计算机硬件、通信设施、IT环境、数据库、软件、文档资料、信息服务与人员等,所有这些资产都需要妥善保护。
第二章组织与管理第五条我行各部门负责人就是本部门信息资产管理得第一责任人,负责组织本管理办法得贯彻落实。
第六条全体员工理解并遵守本管理办法定义得内容。
第七条本管理办法定义以下相关角色,履行相应得信息安全管理、执行与审核职责。
(一)责任人,信息资产得创建者,或者主要用户所在组织、单位或部门得负责人。
信息资产责任人对所属信息资产负直接责任。
其主要职责包括:1、理解与各种信息访问活动相关得安全风险;2、根据我行信息密级划分标准来确定所属信息资产得级别;3、根据我行相关策略确定并检查信息访问权限;4、针对所属信息资产提出恰当得保护措施。
(二)保管者,受信息资产责任人委托,对信息资产进行日常得管理,维护已经建立得保护措施。
资产保管者通常就是我行得IT部门或者代表(例如系统管理员)。
其主要职责包括:1、根据相关策略与信息资产责任人得要求,负责信息资产得维护操作与日常管理事务;2、负责具体设置信息访问权限;3、负责所管理得信息资产得安全控制;4、部署恰当得安全机制,进行备份与恢复操作;5、按照信息资产责任人得要求实施其她控制。
信息资产管理办法
信息资产管理办法第一章总则第一条目的:本管理办法旨在对XX银行(以下简称我行)内部重要的信息资产进行分类分级,以便对信息的分发和流转进行恰当的控制,确保信息资产的保密性、完整性和可用性能够实现。
第二条依据:本管理办法根据《XX银行信息安全管理策略》制订。
第三条范围:本管理办法适用于我行总部及所辖分、支行。
第四条定义(一)本管理办法所涉及的信息包括各种存储或者存在形式,包括但不限于电子信息、纸质数据文件、语音和图像等。
(二)本管理办法所称信息是指以任何形式存在或传播的对我行具有价值的内容,包括电子信息、纸质数据文件、语音图像等。
信息安全关注的是信息的保密性、可用性和完整性。
(三)本管理办法所称信息资产是指任何对我行具有价值的信息的存在形式或者载体,包括计算机硬件、通信设施、IT环境、数据库、软件、文档资料、信息服务和人员等,所有这些资产都需要妥善保护。
第二章组织与管理第五条我行各部门负责人是本部门信息资产管理的第一责任人,负责组织本管理办法的贯彻落实。
第六条全体员工理解并遵守本管理办法定义的内容。
第七条本管理办法定义以下相关角色,履行相应的信息安全管理、执行和审核职责。
(一)责任人,信息资产的创建者,或者主要用户所在组织、单位或部门的负责人。
信息资产责任人对所属信息资产负直接责任。
其主要职责包括:1理解和各种信息访问活动相关的安全风险;2、根据我行信息密级划分标准来确定所属信息资产的级别;3、根据我行相关策略确定并检查信息访问权限;4、针对所属信息资产提出恰当的保护措施。
(二)保管者,受信息资产责任人委托,对信息资产进行日常的管理,维护已经建立的保护措施。
资产保管者通常是我行的IT部门或者代表(例如系统管理员)。
其主要职责包括:1根据相关策略和信息资产责任人的要求,负责信息资产的维护操作和日常管理事务;2、负责具体设置信息访问权限;3、负责所管理的信息资产的安全控制;4、部署恰当的安全机制,进行备份和恢复操作;5、按照信息资产责任人的要求实施其他控制。
信息资产管理管理办法
信息资产管理管理办法信息资产管理管理办法第一章总则第一条为了加强信息资产管理,保障信息资产的安全和有效利用,根据相关法律法规,制定本管理办法。
第二条本办法适用于对组织内部所有信息资产的管理工作,包括但不限于计算机系统、网络设备、数据库、应用系统、数据等。
第三条信息资产管理的目标是确保信息的保密性、完整性和可用性,降低信息安全风险,提升信息资源的价值。
第四条信息资产管理应遵循科学、规范、统一的原则,按照风险评估、安全策略、防护措施、监控评估和应急处理的要求进行操作。
第五条信息资产管理应由专门机构或专人负责,确保管理工作的顺利进行。
第二章信息资产管理的组织和责任第一节组织机构第六条组织应设立信息资产管理部门,负责信息资产管理的组织、协调、指导和监督工作。
第七条信息资产管理部门的职责包括:1. 制定和完善信息资产管理方案;2. 指导各部门组织实施信息资产管理工作;3. 监测信息资产管理工作的落实情况;4. 组织开展信息资产的风险评估和安全检查;5. 协调处理信息资产管理中的重大事件和安全事故。
第八条组织应当明确信息资产管理部门的权责和作用,提供相应的人员和经费保障,确保其正常运转。
第二节责任分工第九条信息资产管理部门应划分工作职责,明确相关岗位的职责和权限。
第十条各部门应配合信息资产管理部门开展工作,承担相应的责任。
第十一条信息资产所有人应对其负责的信息资产进行全面的管理,并配合进行风险评估、安全检查和事故处理工作。
第十二条信息资产管理人员应具备相关的技术和管理能力,严守保密职责,保证信息资产的安全。
第十三条信息资产管理人员应定期接受信息安全管理培训,不断提升自身能力。
第三章信息资产管理的流程第一节信息资产管理的规划与评估流程第十四条信息资产管理部门应制定信息资产管理规划,明确管理目标、评估方法和工作流程。
第十五条信息资产管理规划应包括以下内容:1. 信息资产的分类与归档;2. 信息资产的价值评估和风险评估;3. 信息安全策略和控制措施;4. 信息资产管理的监控与评估机制。
信息资产管理办法
信息资产管理办法第一章总则第一条目的:本管理办法旨在对XX银行(以下简称我行)内部重要的信息资产进行分类分级,以便对信息的分发和流转进行恰当的控制,确保信息资产的保密性、完整性和可用性能够实现。
第二条依据:本管理办法根据《XX银行信息安全管理策略》制订。
第三条范围:本管理办法适用于我行总部及所辖分、支行。
第四条定义(一)本管理办法所涉及的信息包括各种存储或者存在形式,包括但不限于电子信息、纸质数据文件、语音和图像等。
(二)本管理办法所称信息是指以任何形式存在或传播的对我行具有价值的内容,包括电子信息、纸质数据文件、语音图像等。
信息安全关注的是信息的保密性、可用性和完整性。
(三)本管理办法所称信息资产是指任何对我行具有价值的信息的存在形式或者载体,包括计算机硬件、通信设施、IT环境、数据库、软件、文档资料、信息服务和人员等,所有这些资产都需要妥善保护。
第二章组织与管理第五条我行各部门负责人是本部门信息资产管理的第一责任人,负责组织本管理办法的贯彻落实。
第六条全体员工理解并遵守本管理办法定义的内容。
第七条本管理办法定义以下相关角色,履行相应的信息安全管理、执行和审核职责。
(一)责任人,信息资产的创建者,或者主要用户所在组织、单位或部门的负责人。
信息资产责任人对所属信息资产负直接责任。
其主要职责包括:1、理解和各种信息访问活动相关的安全风险;2、根据我行信息密级划分标准来确定所属信息资产的级别;3、根据我行相关策略确定并检查信息访问权限;4、针对所属信息资产提出恰当的保护措施。
(二)保管者,受信息资产责任人委托,对信息资产进行日常的管理,维护已经建立的保护措施。
资产保管者通常是我行的IT部门或者代表(例如系统管理员)。
其主要职责包括:1、根据相关策略和信息资产责任人的要求,负责信息资产的维护操作和日常管理事务;2、负责具体设置信息访问权限;3、负责所管理的信息资产的安全控制;4、部署恰当的安全机制,进行备份和恢复操作;5、按照信息资产责任人的要求实施其他控制。
信息资产管理办法
信息资产管理办法第一章总则第一条目的:本管理办法旨在对XX银行(以下简称我行)内部重要的信息资产进行分类分级,以便对信息的分发和流转进行恰当的控制,确保信息资产的保密性、完整性和可用性能够实现.第二条依据:本管理办法根据《XX银行信息安全管理策略》制订。
第三条范围:本管理办法适用于我行总部及所辖分、支行。
第四条定义(一)本管理办法所涉及的信息包括各种存储或者存在形式,包括但不限于电子信息、纸质数据文件、语音和图像等。
(二)本管理办法所称信息是指以任何形式存在或传播的对我行具有价值的内容,包括电子信息、纸质数据文件、语音图像等。
信息安全关注的是信息的保密性、可用性和完整性。
(三)本管理办法所称信息资产是指任何对我行具有价值的信息的存在形式或者载体,包括计算机硬件、通信设施、IT环境、数据库、软件、文档资料、信息服务和人员等,所有这些资产都需要妥善保护。
第二章组织与管理第五条我行各部门负责人是本部门信息资产管理的第一责任人,负责组织本管理办法的贯彻落实.第六条全体员工理解并遵守本管理办法定义的内容。
第七条本管理办法定义以下相关角色,履行相应的信息安全管理、执行和审核职责。
(一)责任人,信息资产的创建者,或者主要用户所在组织、单位或部门的负责人.信息资产责任人对所属信息资产负直接责任。
其主要职责包括:1、理解和各种信息访问活动相关的安全风险;2、根据我行信息密级划分标准来确定所属信息资产的级别;3、根据我行相关策略确定并检查信息访问权限;4、针对所属信息资产提出恰当的保护措施。
(二)保管者,受信息资产责任人委托,对信息资产进行日常的管理,维护已经建立的保护措施。
资产保管者通常是我行的IT部门或者代表(例如系统管理员).其主要职责包括:1、根据相关策略和信息资产责任人的要求,负责信息资产的维护操作和日常管理事务;2、负责具体设置信息访问权限;3、负责所管理的信息资产的安全控制;4、部署恰当的安全机制,进行备份和恢复操作;5、按照信息资产责任人的要求实施其他控制。
信息资产管理办法
信息资产管理办法第一章总则第一条目的:本管理办法旨在对XX银行(以下简称我行)内部重要的信息资产进行分类分级,以便对信息的分发和流转进行恰当的控制,确保信息资产的保密性、完整性和可用性能够实现.第二条依据:本管理办法根据《XX银行信息安全管理策略》制订。
第三条范围:本管理办法适用于我行总部及所辖分、支行。
第四条定义(一)本管理办法所涉及的信息包括各种存储或者存在形式,包括但不限于电子信息、纸质数据文件、语音和图像等.(二)本管理办法所称信息是指以任何形式存在或传播的对我行具有价值的内容,包括电子信息、纸质数据文件、语音图像等。
信息安全关注的是信息的保密性、可用性和完整性.(三)本管理办法所称信息资产是指任何对我行具有价值的信息的存在形式或者载体,包括计算机硬件、通信设施、IT环境、数据库、软件、文档资料、信息服务和人员等,所有这些资产都需要妥善保护。
第二章组织与管理第五条我行各部门负责人是本部门信息资产管理的第一责任人,负责组织本管理办法的贯彻落实。
第六条全体员工理解并遵守本管理办法定义的内容.第七条本管理办法定义以下相关角色,履行相应的信息安全管理、执行和审核职责.(一)责任人,信息资产的创建者,或者主要用户所在组织、单位或部门的负责人。
信息资产责任人对所属信息资产负直接责任。
其主要职责包括:1、理解和各种信息访问活动相关的安全风险;2、根据我行信息密级划分标准来确定所属信息资产的级别;3、根据我行相关策略确定并检查信息访问权限;4、针对所属信息资产提出恰当的保护措施。
(二)保管者,受信息资产责任人委托,对信息资产进行日常的管理,维护已经建立的保护措施。
资产保管者通常是我行的IT部门或者代表(例如系统管理员)。
其主要职责包括:1、根据相关策略和信息资产责任人的要求,负责信息资产的维护操作和日常管理事务;2、负责具体设置信息访问权限;3、负责所管理的信息资产的安全控制;4、部署恰当的安全机制,进行备份和恢复操作;5、按照信息资产责任人的要求实施其他控制。
信息资产管理办法
信息资产管理办法第一章总则第一条目的:本管理办法旨在对XX银行(以下简称我行)内部重要的信息资产进行分类分级,以便对信息的分发和流转进行恰当的控制,确保信息资产的保密性、完整性和可用性能够实现。
第二条依据:本管理办法根据《XX银行信息安全管理策略》制订。
第三条范围:本管理办法适用于我行总部及所辖分、支行。
第四条定义(一)本管理办法所涉及的信息包括各种存储或者存在形式,包括但不限于电子信息、纸质数据文件、语音和图像等。
(二)本管理办法所称信息是指以任何形式存在或传播的对我行具有价值的内容,包括电子信息、纸质数据文件、语音图像等。
信息安全关注的是信息的保密性、可用性和完整性。
(三)本管理办法所称信息资产是指任何对我行具有价值的信息的存在形式或者载体,包括计算机硬件、通信设施、IT环境、数据库、软件、文档资料、信息服务和人员等,所有这些资产都需要妥善保护。
第二章组织与管理第五条我行各部门负责人是本部门信息资产管理的第一责任人,负责组织本管理办法的贯彻落实。
第六条全体员工理解并遵守本管理办法定义的内容。
第七条本管理办法定义以下相关角色,履行相应的信息安全管理、执行和审核职责。
(一)责任人,信息资产的创建者,或者主要用户所在组织、单位或部门的负责人。
信息资产责任人对所属信息资产负直接责任。
其主要职责包括:1、理解和各种信息访问活动相关的安全风险;2、根据我行信息密级划分标准来确定所属信息资产的级别;3、根据我行相关策略确定并检查信息访问权限;4、针对所属信息资产提出恰当的保护措施。
(二)保管者,受信息资产责任人委托,对信息资产进行日常的管理,维护已经建立的保护措施。
资产保管者通常是我行的IT部门或者代表(例如系统管理员)。
其主要职责包括:1、根据相关策略和信息资产责任人的要求,负责信息资产的维护操作和日常管理事务;2、负责具体设置信息访问权限;3、负责所管理的信息资产的安全控制;4、部署恰当的安全机制,进行备份和恢复操作;5、按照信息资产责任人的要求实施其他控制。
【9A文】信息资产管理办法
信息资产管理办法第一章总则第一条目的:本管理办法旨在对RR银行(以下简称我行)内部重要的信息资产进行分类分级,以便对信息的分发和流转进行恰当的控制,确保信息资产的保密性、完整性和可用性能够实现。
第二条依据:本管理办法根据《RR银行信息安全管理策略》制订。
第三条范围:本管理办法适用于我行总部及所辖分、支行。
第四条定义(一)本管理办法所涉及的信息包括各种存储或者存在形式,包括但不限于电子信息、纸质数据文件、语音和图像等。
(二)本管理办法所称信息是指以任何形式存在或传播的对我行具有价值的内容,包括电子信息、纸质数据文件、语音图像等。
信息安全关注的是信息的保密性、可用性和完整性。
(三)本管理办法所称信息资产是指任何对我行具有价值的信息的存在形式或者载体,包括计算机硬件、通信设施、IT环境、数据库、软件、文档资料、信息服务和人员等,所有这些资产都需要妥善保护。
第二章组织与管理第五条我行各部门负责人是本部门信息资产管理的第一责任人,负责组织本管理办法的贯彻落实。
第六条全体员工理解并遵守本管理办法定义的内容。
第七条本管理办法定义以下相关角色,履行相应的信息安全管理、执行和审核职责。
(一)责任人,信息资产的创建者,或者主要用户所在组织、单位或部门的负责人。
信息资产责任人对所属信息资产负直接责任。
其主要职责包括:1、理解和各种信息访问活动相关的安全风险;2、根据我行信息密级划分标准来确定所属信息资产的级别;3、根据我行相关策略确定并检查信息访问权限;4、针对所属信息资产提出恰当的保护措施。
(二)保管者,受信息资产责任人委托,对信息资产进行日常的管理,维护已经建立的保护措施。
资产保管者通常是我行的IT部门或者代表(例如系统管理员)。
其主要职责包括:1、根据相关策略和信息资产责任人的要求,负责信息资产的维护操作和日常管理事务;2、负责具体设置信息访问权限;3、负责所管理的信息资产的安全控制;4、部署恰当的安全机制,进行备份和恢复操作;5、按照信息资产责任人的要求实施其他控制。
信息资产管理管理办法
信息资产管理管理办法信息资产管理管理办法第一章总则第一条为规范企业对信息资产的管理,确保信息安全,提高企业的信息化管理水平,制定本办法。
第二条本办法合用于企业内部所有信息资产的管理。
第三条信息资产包括但不限于电子数据库、软件程序、网络设备、服务器设备等。
第四条信息资产管理应遵循以下原则:1. 信息资产的分类管理:根据信息的重要性和敏感程度,对信息资产进行分类管理。
2. 信息资产的归属责任:明确信息资产的归属责任,确保负责人对信息资产的管理和维护。
3. 信息资产的访问控制:建立有效的访问控制机制,限制未授权人员对信息资产的访问。
第二章信息资产的分类管理第五条信息资产应根据其重要性和敏感程度进行分类管理,分为以下三个等级:1. 重要级:包括企业核心数据、商业机密信息等,惟独特定人员才干访问和管理。
2. 普通级:包括企业常规业务数据、内部文件等,限制部份人员访问和管理。
3. 非重要级:包括公开的企业信息、普通办公文件等,限制范围较小的人员访问和管理。
第六条根据信息资产的分类等级,分别制定相应的管理措施,包括但不限于:1. 重要级信息资产应采取物理隔离、加密等措施,限制权限分配,定期进行安全评估和漏洞修复。
2. 普通级信息资产应限制权限分配,定期进行安全检查和维护。
3. 非重要级信息资产应制定合理的权限控制策略,确保信息的完整性和可用性。
第三章信息资产的归属责任第七条每一个信息资产应明确一位负责人,并由负责人对其进行管理和维护。
第八条信息负责人应具备以下职责和义务:1. 负责制定信息资产的操作规程和管理制度,并确保执行。
2. 负责信息资产的申请、调拨和归还等工作。
3. 负责制定信息资产的备份和恢复方案,确保信息资产的安全可用。
4. 负责信息资产的维护和更新,及时修复漏洞和故障。
第四章信息资产的访问控制第九条建立有效的访问控制机制是保障信息资产安全的基础。
第十条根据信息的分类等级,制定相应的访问权限控制策略,包括但不限于:1. 对重要级信息资产的访问进行严格控制,仅授权人员能够访问。
信息资产管理制度范文(五篇)
信息资产管理制度范文1.总则第一条为了更好地维护和管理信息系统设备,提高办公效率,降低管理成本,服务信息化建设,特制定本信息资产管理制度;第二条本制度所称信息系统资产是指应用于信息系统的所有资产,包括软件、计算机及其外设、网络设备以及相应的配件、耗材、工具等;第三条本制度主要是明确本办信息系统资产管理的权限和职责,共同维护和管理本办的信息系统资产;第四条信息系统资产的管理包括采购审核、资产登记、维护与支持、报废审核。
____分类与标识第五条信息系统资产分为软件、信息系统设备以及配件耗材三大类。
信息系统设备包括服务、台式电脑主机、便携式电脑、显示器、打印机、扫描仪、多功能一体机、网络交换机、路由器、防火墙等;第六条信息系统设备必须编制并保存与信息系统相关的资产清单,其内容必须包括资产责任部门、资产重要程度、资产所处位置等,并在初次投入使用前必须由信息系统管理员统一登记。
3.添置更换第七条设备添置更换流程(1)由需求人员申请;(2)信息科进行技术鉴定;(3)科负责人签字;(4)信息科分析信息系统设备需求,形成设备采购方案,如需采购则依照政府采购标准进行统一采购。
4.领用和交还第八条设备由信息系统管理员统一发放,并登记领用人,并填写《设备领用登记表》明确责任人;第九条信息系统资产的使用人或保管人即是该信息系统资产的责任人,负责信息系统资产的安全和一般性维护;第十条公用信息系统资产的责任人为科长,或科长指定的员工;第十一条科室人员在岗位异动或离职时,应向信息系统管理员交还领用的信息系统资产,如有遗失或损毁必须按本单位相关规定赔偿。
5.管理与维护第十二条信息系统设备实行包干管理负责制。
每台设备都应有专人负责保管(包括说明书及有关附件),在未特别指定管理人员的设备由操作人员负责管理,并切实负起保管、维护责任。
秘书行政科负责定期检查信息系统设备使用情况,进行需求分析,制订解决方案。
第十三条在使用信息系统设备前,应掌握操作规程,阅读有关手册。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息资产管理办法
第一章总则
第一条目的:本管理办法旨在对RR银行(以下简称我行)内部重要的信息资产进行分类分级,以便对信息的分发和流转进行恰当的控制,确保信息资产的保密性、完整性和可用性能够实现。
第二条依据:本管理办法根据《RR银行信息安全管理策略》制订。
第三条范围:本管理办法适用于我行总部及所辖分、支行。
第四条定义
(一)本管理办法所涉及的信息包括各种存储或者存在形式,包括但不限于电子信息、纸质数据文件、语音和图像等。
(二)本管理办法所称信息是指以任何形式存在或传播的对我行具有价值的内容,包括电子信息、纸质数据文件、语音图像等。
信息安全关注的是信息的保密性、可用性和完整性。
(三)本管理办法所称信息资产是指任何对我行具有价值的信息的存在形式或者载体,包括计算机硬件、通信设施、IT环境、数据库、软件、文档资料、信息服务和人员等,所有这些资产都需要妥善保护。
第二章组织与管理
第五条我行各部门负责人是本部门信息资产管理的第一责任人,负责组织本管理办法的贯彻落实。
第六条全体员工理解并遵守本管理办法定义的内容。
第七条本管理办法定义以下相关角色,履行相应的信息安全管理、执行和审核职
责。
(一)责任人,信息资产的创建者,或者主要用户所在组织、单位或部门的负责人。
信息资产责任人对所属信息资产负直接责任。
其主要职责包括:
1、理解和各种信息访问活动相关的安全风险;
2、根据我行信息密级划分标准来确定所属信息资产的级别;
3、根据我行相关策略确定并检查信息访问权限;
4、针对所属信息资产提出恰当的保护措施。
(二)保管者,受信息资产责任人委托,对信息资产进行日常的管理,维护已经建立的保护措施。
资产保管者通常是我行的IT部门或者代表(例如系统管理员)。
其主要职责包括:
1、根据相关策略和信息资产责任人的要求,负责信息资产的维护操作和日常管理事务;
2、负责具体设置信息访问权限;
3、负责所管理的信息资产的安全控制;
4、部署恰当的安全机制,进行备份和恢复操作;
5、按照信息资产责任人的要求实施其他控制。
(三)用户,信息资产的使用者,除了我行内部员工,也可能是因为业务需要而访问我行信息的客户或第三方组织。
其主要职责包括:
1、向信息资产责任人申请信息访问;
2、按照我行信息安全策略要求正当访问信息,禁止非授权访问;
3、向相关组织报告隐患、故障或者违规事件。
第三章资产管理要求
第八条信息资产分类
信息资产责任人应该指导进行相关资产的调查,资产调查以业务流程为线索,包括各类输入、中间环节和输出信息,所有这些信息资产都为业务流程的运转提供支持。
信息资产可以分为以下几大类。
(一)数据文件,通常包括各种电子档:业务数据、客户数据、配置文件、记录数据(日志、审计记录)、管理文件(策略、流程文件、操作手册等)、商务文件(合同、协议等)。
也包括以实物方式存在的资产:各类电子数据的归档、打印件、书面管理文件、业务报表、包含重要商业成果的文件,还有胶片等。
(二)软件资产,各种系统软件、应用软件(OA、业务软件等)和工具软件(开发系统、网管软件、安全软件等),包括操作系统、数据库应用程序、网络软件、办公应用系统、业务系统程序、软件开发工具等,这些软件资产负责处理、存储或传输各类信息。
(三)实物资产,与业务相关的IT物理设备,包括计算机(工作站和服务器等)和网络通信设备、磁介质(磁带和磁盘等)、装置、环境等,这些实物资产容纳着软件和数据文件。
(四)人员,承担某项与业务活动相关责任的角色和职位。
例如普通用户、系统管理员、网络管理员、保安、清洁员等,这些人员与各类数据、软件和实物资产的操作直接相关。
(五)服务,安保(例如监控、门禁、保安等),环境服务(例如清洁),基础保障(供水、供热、供电),设备维护,通信服务(例如互联网接入)。
第九条信息资产分级标准
保密性、完整性和可用性是评价资产的三个安全属性。
风险评估中资产的价值不是以资产的经济价值来衡量,而是由资产在这三个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的。
安全属性达成程度的不同将使资产具有不同的价值,而资产面临的威胁、存在的脆弱性、以及已采用的安全措施都将对资产安全属性的达成程度产生影响。
(一)保密性赋值
根据资产在保密性上的不同要求,将其分为五个不同的等级,分别对应资产在保密性上应达成的不同程度或者保密性缺失时对整个组织的影响。
下表提供了一种保密性赋值的参考。
表 1.1 资产保密性赋值表
根据资产在完整性上的不同要求,将其分为五个不同的等级,分别对应资产在完整性上缺失时对整个组织的影响。
下表提供了一种完整性赋值的参考。
表 1.2 资产完整性赋值表
根据资产在可用性上的不同要求,将其分为五个不同的等级,分别对应资产在可用性上应达成的不同程度。
下表提供了一种可用性赋值的参考。
表 1.3 资产可用性赋值表
资产重要性等级(资产价值)应依据资产在保密性、完整性和可用性上的赋值等级,由以下公式计算得出:
]3/)ln[(A I C e e e A ++=。
通常,根据最终赋值将资产划分为五级,级别越高表示资产越重要,也可以根据组织的实际情况确定资产识别中的赋值依据和等级。
下表中的资产等级划分表明了不同等级的重要性的综合描述。
表 1.4 资产等级及含义描述
第十条
信息资产登记 各部门根据业务流程列出信息资产清单并将每项资产的名称,资产编号,所处位置,资产价值,资产负责人等相关信息记录在《信息资产登记表》。
第四章附则
第十一条 本办法由科技信息部负责解释与修订。
第十二条 本办法自发布之日起施行。
第十三条。