信息类资产管理信息模型规范_2009-02-20
16信息资产分类及安全管理规定
信息资产分类及安全管理规定第一章.总则第一条.本规定是为加强对信息中心信息资产的管理,保障信息资产安全,防止信息资产损毁、误用和非授权访问,确保信息资产的保密性、完整性和可用性,特制订本规定。
第二条.本规定适用于信息中心针对信息资产进行分级分类保护以及相应的管理活动。
第三条.信息中心负责对IT资产的日常管理。
第二章.管理规定第一节.信息资产分类第四条.所有信息资产都应指定资产责任人,并由资产责任人负责进行相关资产的识别、统计、分类、分级和实施相应的保护措施,需从安全责任划分资产所有者(即资产责任人)、维护者以及使用者。
第五条.信息资产按形式不同可以分为五类:数据和文档资产、软件资产、实物资产、人员资产和服务资产。
其中数据和文档资产主要包括业务数据和记录、各类管理制度、管理文档、办公文档以及外来的数据文件等。
具体如下:(一)数据和文档资产:通常包括各种电子档:业务数据、客户数据、配置文件、记录数据(日志、审计记录)、管理文件(策略、流程文件、操作手册等)、商务文件(合同、协议等)以及外来数据文件等。
也包括以实物方式存在的资产:各类电子数据的归档、打印件、书面管理文件、业务报表、包含重要商业成果的文件,还有胶片等。
(二)软件资产:各种系统软件、应用软件(OA、业务软件等)和工具软件(网管软件、安全软件等),包括操作系统、数据可应用程序、网络软件、办公应用系统、业务应用系统等,这些软件资产负责处理、存储或传输各类信息。
(三)实物资产:与业务相关的 IT 物理设备,包括计算机(工作站和服务器等)和网络通信设备、磁介质(磁带和磁盘等)、装置、环境等,这些实物资产容纳着软件和数据文件。
(四)人员资产:承担某项与业务活动相关责任的角色和职位。
例如普通用户、系统管理员、网络管理员、有合同约束的保安、清洁员等,这些人员与各类数据、软件和实物资产的操作直接相关。
(五)服务资产:安保(例如监控、门禁、保安等),环境服务(例如清洁),基础保障(供水、供热、供电),设备维护,通信服务(例如互联网接入)。
企业资产管理信息化的基石——资产主数据管理
利 用 ,降 低维 简 资 金投 入 。此外 ,要 防 止资 产 自然 流 失 ,提 高 设 备 出租 率 ,大 力 开 展 闲置 设 备 调 剂 工 作 ,加 大 租 赁 力
业技术装备水平 ,充分发挥设备 的效能 ,取得 良好 的投资效
管 理 版
文章编 号 :17 — 7 (0 0 6 0 3 — 3 6 1 0 1 2 1 )0 — 0 0 0 1
设备 ・ 论坛
. ’’’’’’’’、 '
2 A 之窗 : P S
I 。 t ‘ ‘ I ‘ l
企业资产管理信 息化的基石 资产主数据管理
赵 斌
( 爱普 软 件 系统 有 限公 司 中国研 究 院 ,上海 思 2 00 ) 12 3
摘
要:LS P A X - A E M企业 资产管理 软件 中的 “ 资产主数据管理”为主题 ,探讨企业 如何 依靠E 产信 息 。 关键 词 :企 业 资 产 管理 ;信息 化 ;资产 主数 据 管理 中 图分 类 号 :F 7 . 23 4 文 献标 识 码 :B
【 辑 :郭 霄】 编
3 0
中国 设备工程 l 0 0 6 21 ̄0 月
设备・ 论坛
1设 备主数据 中记录的数据 . ()设备 的一般信息数 据 。如设 备类别 、技 术对象类 1
型 、重 量 、大 小 等 ;
管 理
版
以便 查 询 。每 条 文 档 记 录 可 以链 接  ̄ E M系 统 的 对 象 ( ] IA 如
企业 资产管理混乱 的一 个突出问题就是设 备信息记 录
混 乱 和 缺 失 ,造 成 设 备 流 失 、闲 置 、荒 废 、重 置 、失 修 等 巨 大 损 失 和 浪 费 。 另 一 方 面 ,现 代设 备 越 来 越 多地 采 用 当
信息安全服务提供方管理要求
信息安全服务提供方管理要求1 范围本标准规定了信息安全服务提供方,提出了术语和定义、信息安全服务原则、信息安全服务组织级管理和信息安全服务项目级管理的要求。
本标准适用于信息安全服务提供方对其服务要素和服务风险进行管控,对信息安全服务需求方、评价机构和监管部门具有参考意义。
2 规范性引用文件下列文件对于本文件的应用是必不可少的。
凡是注日期的引用文件,仅注日期的版本适用于本文件。
凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 22080-2008 信息技术安全技术信息安全管理体系要求GB/T 24405.1-2009 信息技术服务管理第1部分:规范GB/T 30283-2013 信息安全技术信息安全服务分类3 术语和定义GB/T 30283-2013 界定的术语和定义以及下列术语和定义适用于本文件。
3.1信息安全服务 information security service面向组织或个人的各类信息安全需求和信息安全保障需求,由服务提供方按照服务协议所执行的一个信息安全过程或任务。
注1:信息安全服务通常是基于信息安全技术、产品或管理体系的,通过外包的形式,由专业信息安全人员所提供的支持和帮助。
注2:信息安全服务通常以信息安全服务提供方和信息安全服务需求方之间的服务项目形式进行。
3.2信息安全服务需求方 information security service acquirer获取外部所提供的信息安全服务,以满足信息安全需求和信息安全保障需求,实现自身业务目标的组织(或个人用户)。
3.3信息安全服务提供方 information security service provider按照服务协议,通过专业的信息安全人员提供信息安全服务的组织。
3.4服务协议 service agreement服务需求方和服务提供方在服务开始前共同签署的约定,并在服务过程中共同遵守。
注:通常包含服务原则、服务内容、服务形式、服务级别、服务价格、服务交付成果、服务安全要求等,在形式上可以是服务合同及其附属的工作说明书。
信息资产分级分类标准
1.目的本文件目的在于通过对信息资产进行合理的分类,为信息资产管理提供科学、有效的方式。
对现有信息资产进行信息安全属性的赋值,并对其进行等级划分,从而为以后的安全解决方案及安全保护措施的采用提供依据。
2.适用范围本文件的适用于公司的信息资产的相关管理工作。
3.术语、定义和缩略语无4.职责4.1.信息化科负责本制度的制定与更新,协调和监督资产分级分类工作的实施。
4.2.信息资产管理人负责信息资产的管理工作,负责相关信息资产的识别与登记。
4.3.全体员工协助信息资产管理人进行资产的识别与分类工作。
概述信息资产是组织直接赋予了价值因而需要保护的东西。
它可能是以多种形式存在,有无形的、有形的、硬件、软件、文档、代码、服务和组织形象等。
它们分别具有不同的价值属性和存在特点,其存在的弱点、面临的威胁、需要进行的保护和安全控制都各不相同。
为此,有必要对组织、机构中的信息资产进行科学分类,让组织清晰的了解需要重点保护的对象,并为的信息安全风险评估及信息安全解决方案的设计提供依据。
5.资产分类5.1.硬件主要指组织中的硬件信息设备,包括计算机硬件、路由器、交换机、硬件防火墙、加密设备、布线、备份存储设备等。
硬件资产单指硬件设备,不包括运行在硬件设备中的软件系统、IOS、配置文件和存储的数据等,软件本身属于软件资产,运行中的软件系统和IOS等属于服务资产,配置文件和存储的数据属于数据资产。
5.2.软件软件是现代组织中重要的信息资产之一,与组织的硬件资产一起构成了组织的整个的IT信息环境。
一般情况下,软件资产包括已经安装并正在运行中的软件,软件的许可证、存储的媒体等,与可能安装或运行的硬件无关,软件的价值主要体现在已经安装并运行的软件提供应用和功能,也包括本身的许可证、序列号、软件使用权等。
安装或运行后的软件,也为组织提供服务和应用的功能,也有一定的服务的性质,但服务类资产强调的是业务流程和业务服务能力,是一个抽象的概念,一般不是一个软件就能提供,而是由一套有机组成的系统提供,包括软件提供的服务,标准和配置,人员的操作等,所以服务资产有别于软件资产。
信息资产分类标准
陕西广电网络传媒股份有限公司信息资产分类标准文档信息第一章目标在企业资产中,IT资产是非常重要组成部分,随着企业经营越来越依赖信息化,IT资产的管理也变得越来越重要。
同时IT资产的特点又是复杂多变的,只有运用科学的分类方法,才能实现IT资产的良好管理。
因此对陕西广电IT 资产进行等级分类,是资产管理的前提条件。
其目标主要体现在以下几个方面:●通过对陕西广电合理的IT资产等级分类,为IT资产管理提供科学、有效的方式。
●对陕西广电现有IT资产进行信息安全属性的赋值,并对其进行等级划分,从而为以后的安全解决方案提供依据。
IT资产等级分类也是整个评估工作的前提,是安全评估的基础和重要依据,也为之后的资产管理标准制定提供了良好的基础。
因此本文档可以帮助陕西广电实现IT资产等级分类标准化。
第二章概述IT资产是企业、机构直接赋予了价值因而需要保护的东西。
它可能是以多种形式存在,有无形的、有有形的,有硬件、有软件,有文档、代码,也有服务、企业形象等。
它们分别具有不同的价值属性和存在特点,其存在的弱点、面临的威胁、需要进行的保护和安全控制都各不相同。
为此,有必要对企业、机构中的IT资产进行科学分类,让企业清晰的了解需要重点保护的IT资产,并为后期的基础设备、应用风险评估,进而为解决方案的设计提供依据。
IT资产分类范围根据本标准的分类对象,包括IT和运营支撑中心所有信息系统、信息资产、软件资产、实体资产、书面文件和服务。
IT资产分类步骤根据陕西广电的实际环境,对于IT资产等级分类,主要分成三部分进行:●IT资产的分类方法:根据国际标准ISO27001:2005关于资产的分类描述,参考最佳实践,并结合陕西广电自身的企业特点,定义陕西广电IT资产的分类方法。
●IT资产识别和安全属性赋值:参照国际标准ISO27001:2005关于对资产识别和安全属性的定义,通过对陕西广电的实际调研,综合各方面因素,对陕西广电IT资产进行识别和安全属性赋值。
信息资产管理管理办法精选全文
可编辑修改精选全文完整版信息资产管理管理办法第一章总则第一条XXX有限公司(以下简称“XXX”)为提升信息资产的管理水平,保障信息资产安全,制定本文件。
第二条XXX的信息资产可分为以下六类资产:信息类资产:包括数据库和数据文件、合同和协议、系统文件、研究信息、用户手册、培训材料、操作或支持程序、业务连续性计划、后备运行安排、审计记录、归档记录等信息。
软件类资产:包括应用软件、系统软件、开发工具和实用程序等软件。
硬件类资产:包括计算机设备、通信设备、可移动介质和其他等设备。
服务类资产:包括计算和通信服务、通用公用事业服务(如,供暖,照明,能源,空调)等。
人员类资产:包括与信息安全相关的重要人员,如系统管理员、应用系统管理员等。
无形类资产:包括XXX的声誉和形象等。
第二章信息资产责任第三条风险委员会是XXX信息资产安全管理工作的最高领导机构,负责XXX信息资产的安全。
各部门指定相应人员负责建立和维护本部门的信息资产清单,确保其准确性和及时性,并报信息安全部汇总。
第四条信息资产所有者是指对资产具有所有权的单位、部门或个人,信息资产所有者对资产的获取、使用及处置具有决策权;信息资产的管理者通常可以是信息资产的所有者,也可以是得到信息资产所有者授权的其他部门或个人,信息资产管理者根据信息资产所有者的授权行使对信息资产的日常管理,对于超出授权范围的管理要求,需要书面征求信息资产所有者的意见;信息资产的使用者是XXX的各类用户,他们向管理者申请使用信息资产。
第五条信息资产应明确其所有者、管理者及使用者,其中,所有者角色有且只有一个,管理者角色原则上有且只有一个。
第六条对于未明确所有者或管理者的信息资产,由风险委员会或信息安全部根据实际工作需要,指定其所有者或管理者。
第七条各部门需建立信息资产清单,信息资产清单须详细记录XXX各类信息资产,其内容包括信息资产分类、信息资产编号、信息资产类型、资产所有者、管理者、使用者等。
配电自动化专业知识考试题(一)
配电自动化专业知识题库1、在配电自动化通信方式中,属于串口通信方式的为()。
A、配电载波B、GPRSC、GSMD、RS-232答案:D 解析:《配电自动化专业技能题库》2、数据通信系统的传输方式,按照信息传输的方向和时间可分为()。
A、单工通信B、半双工通信C、全双工通信D、以上三项都是答案:D 解析:配电自动化运维技术P1263、心跳测试过程中配电主站发送功能码“发送/确认()链路测试功能”,配电终端回复“认可确认”()。
A、FC=1;FC=0B、FC=2; FC=1C、FC=2;FC=0D、FC=3;FC=0答案:C 解析:运检三〔2017〕6号国网运检部关于做好“十三五”配电自动化建设应用工作的通知(1)正文150页4、下列传输介质中不受电磁干扰的是()。
A、双绞线B、同轴电缆C、光纤D、音频电缆答案:C 解析:配电自动化运维技术P1495、104规约采用()方式传输。
A、非平衡方式传输B、平衡方式传输C、都是D、都不是答案:B 解析:6-配电自动化系统应用DLT634.5104-2009实施细则(试行)6、104规约默认采用端口()。
A、2404B、10001C、10002D、1024答案:A 解析:6-配电自动化系统应用DLT634.5104-2009实施细则(试行)7、报文格式的控制域定义中,编号的监视功能格式简称()。
A、I-格式B、S-格式C、U-格式D、都不是答案:B 解析:6-配电自动化系统应用DLT634.5104-2009实施细则(试行)8、报文格式的控制域定义中,编号的信息传输格式简称()。
A、I-格式B、S-格式C、U-格式D、都不是答案:A 解析:6-配电自动化系统应用DLT634.5104-2009实施细则(试行)9、报文格式的控制域定义中,不编号的控制功能格式()简称。
A、I-格式B、S-格式C、U-格式D、都不是答案:C 解析:6-配电自动化系统应用DLT634.5104-2009实施细则(试行)10、当配电通信系统发生异常时,应通知()人员并按照缺陷处理要求时限及时处理。
信息资产管理管理办法
信息资产管理管理办法第一章总则第一条XXX有限公司(以下简称“XXX”)为提升信息资产的管理水平,保障信息资产安全,制定本文件。
第二条XXX的信息资产可分为以下六类资产:信息类资产:包括数据库和数据文件、合同和协议、系统文件、研究信息、用户手册、培训材料、操作或支持程序、业务连续性计划、后备运行安排、审计记录、归档记录等信息。
软件类资产:包括应用软件、系统软件、开发工具和实用程序等软件。
硬件类资产:包括计算机设备、通信设备、可移动介质和其他等设备。
服务类资产:包括计算和通信服务、通用公用事业服务(如,供暖,照明,能源,空调)等。
人员类资产:包括与信息安全相关的重要人员,如系统管理员、应用系统管理员等。
无形类资产:包括XXX的声誉和形象等。
第二章信息资产责任第三条风险委员会是XXX信息资产安全管理工作的最高领导机构,负责XXX信息资产的安全。
各部门指定相应人员负责建立和维护本部门的信息资产清单,确保其准确性和及时性,并报信息安全部汇总。
第四条信息资产所有者是指对资产具有所有权的单位、部门或个人,信息资产所有者对资产的获取、使用及处置具有决策权;信息资产的管理者通常可以是信息资产的所有者,也可以是得到信息资产所有者授权的其他部门或个人,信息资产管理者根据信息资产所有者的授权行使对信息资产的日常管理,对于超出授权范围的管理要求,需要书面征求信息资产所有者的意见;信息资产的使用者是XXX的各类用户,他们向管理者申请使用信息资产。
第五条信息资产应明确其所有者、管理者及使用者,其中,所有者角色有且只有一个,管理者角色原则上有且只有一个。
第六条对于未明确所有者或管理者的信息资产,由风险委员会或信息安全部根据实际工作需要,指定其所有者或管理者。
第七条各部门需建立信息资产清单,信息资产清单须详细记录XXX各类信息资产,其内容包括信息资产分类、信息资产编号、信息资产类型、资产所有者、管理者、使用者等。
具体参见ISMS文件《ISMS信息资产风险评估表》。
资产管理信息化、标准化情况-解释说明
资产管理信息化、标准化情况-概述说明以及解释1.引言1.1 概述概述资产管理信息化和标准化是企业管理中的重要组成部分,随着信息技术的迅猛发展和企业竞争日趋激烈,越来越多的企业意识到了信息化和标准化对于资产管理的重要性。
本文旨在分析当前资产管理信息化、标准化的情况,探讨其影响因素以及未来的发展趋势,为企业在资产管理上做出科学决策提供参考。
1.2 文章结构:本文将首先介绍资产管理信息化情况,包括当前信息化水平、信息化技术应用情况等方面的情况分析。
接着将详细探讨资产管理标准化情况,包括标准化程度、标准化体系建设等方面的情况分析。
最后,通过对资产管理信息化、标准化情况进行比较和分析,得出结论,并探讨未来发展趋势,以期为提升资产管理工作质量和效率提供参考。
1.3 目的文章的目的是探讨和分析当前资产管理信息化、标准化的情况,深入了解相关影响因素和发展趋势。
通过对现状进行全面调研和分析,可以为未来资产管理工作提供参考和指导,促进企业的数字化转型和管理水平的提升。
希望通过本文的研究,可以为相关领域的决策者和从业人员提供有益的启示和建议,推动资产管理信息化、标准化的进一步发展和完善。
2.正文2.1 资产管理信息化情况资产管理信息化是指通过信息技术手段对企业资产进行管理和控制,以提高资产利用效率、减少管理成本、提高管理水平和决策能力的过程。
随着信息技术的不断发展和应用,资产管理信息化在企业中的地位日益重要。
在当前的商业环境下,许多企业已经意识到了资产管理信息化的重要性,开始加大投入并采用各种信息化工具和系统来管理和监控资产。
这些信息化工具包括企业资源规划(ERP)系统、资产管理系统(AMS)、云计算、物联网等。
通过这些工具,企业可以实时监控资产的状况、使用率和运营情况,提高资产利用效率,减少资产损耗和浪费。
然而,目前在我国一些企业中,资产管理信息化的应用还存在一些问题。
首先,一些企业对于资产管理信息化的重要性认识不足,缺乏对信息化工具的全面了解和应用。
银行风险经理考试:中国农业银行风险经理考试考试资料四
银行风险经理考试:中国农业银行风险经理考试考试资料四1、判断题债券交易中仅存在市场风险,不存在信用风险。
正确答案:错2、名词解释超额准备金存款正确答案:超额准备金存款是指银行在中央银行准备金存款中高于法定存款(江南博哥)准备金的部分。
3、单选根据《中国农业银行关联交易管理办法》(农银发[2007]63号)规定,农业银行的关联方包括以下哪些OOA、法人或其他组织B、自然人、法人C、自然人、法人或其他组织D、法人正确答案:C4、判断题根据我行《2009-2010年“三农”和县域信贷业务政策指引》(农银发[2009]329号)规定,2010年“三农”信贷业务拨备覆盖率要达到80%。
正确答案:错5、单选1994年7月和8月,巴林银行曾对新加坡期货公司进行了一次内部审计,审计在职责分工层面提出了明确的建议,但该审计报告没得到很好的执行。
从巴塞尔委员会《操作风险管理与监管的稳健做法》10项原则看,这一点体现出巴林银行违反了OOA、原则2内部审计的角色B、原则3管理者的角色C、原则4风险识别评估D、原则7业务连续性管理正确答案:A6、判断题规范现金业务操作程序,严禁“先存后取”逆程序操作现金存取款业务,监控中心、会计主管务必加强监督管理。
正确答案:对7、判断题根据《中国农业银行三农金融事业部制改革与监管指引》(银监发[2009]35号),三农金融部的新增贷款占其新增存款的比例在财务重组完成次年原则上应达到50%,五年内贷款余额占其存款余额的比例应争取达到50%以上。
正确答案:对8、判断题根据《中国农业银行全面风险管理体系建设纲要》(农银发[2009]339号),风险主管不代替二级分行风险管理工作,不承担二级分行风险管理组织、协调职能。
正确答案:对9、单选关于信用风险,下列表述正确的是O oA、衍生产品不存在信用风险B、商业银行主要的信用风险来源于存款业务C、对于商业银行,信用风险存在于贷款等表内业务,不存在于各种表外业务D、尽管交易对手没有发生违约,但是由于其信用等级下降也能够形成信用风险并导致损失正确答案:D10、单选商业银行应当按照银监会关于商业银行资本充足率管理的有关要求划分O,以采取相应的市场风险识别、计量、监测和控制方法。
信息资产分级管理
新疆汇和银行信息资产分级管理1. 信息资产分类鉴别为达到及维护组织资产的保护,应明确识别所有资产,并制作与维持所有重要资产的清单,与信息处理设施相关的所有信息及资产由信息科技管理小组指定管理者。
与信息处理设施相关的信息与资产。
计算机管理中心和会计核心算中心具体负责做好信息资产定期更新与维护信息资产清单,由信息科技管理小组统一控管,确保信息资产列表完整性。
信息资产依其性质不同,分为5类:人员、硬件、软件、电子数据、书面文件依序如下:∙人员:系指业务主管、承办人员、委外厂商、契约人员等。
∙硬件:系指网络设备、主机设备、通讯设备、环境设备等相关硬件设施。
例如:服务器主机、个人计算机、不断电设备等。
∙软件:系指自行开发或委外开发之应用系统程序、外购之软件包等。
例如:应用系统、操作系统、软件包、工具程序等。
∙电子数据:系指以电子形式存在之信息数据。
例如:网络设定数据、备份文件等。
∙书面文件:系指以纸本形式存在之文书数据、报表等相关信息。
例如:合同、规范、系统文件、用户手册、训练教材等。
所有资产经由资产分类,制成「信息资产列表」。
2. 信息资产价值鉴别为信息依其对组织的价值、法律要求、敏感性及重要性加以分类,价值鉴别准则依信息资产分类分别针对机密性、可用性、完整性,其评估标准如下:各资产价值为资产之机密性、完整性及可用性评估值取最大值;如以下式子:资产价值 = 机密性评估值 + 完整性评估值 + 可用性评估值。
各资产依资产价值数值分级;详如资产价值等级表3. 信息资产标示与处理依照组织所采用的分类法,发展与实作一套适当的信息标示与处置程序。
资产标示必须明确。
资产标示含资产风险等级并以颜色卷标区分。
硬件类资产标示依其价值等级并以颜色卷标区分。
高资产价值:指该资产价值最高,贴红色卷标。
中资产价值:指该资产价值中等,贴黄色标签。
低资产价值:指该资产价值最低,不贴卷标。
资产在保存过程中,应依适当程序作妥善保存。
资产的生命周期包含产生、使用、维护与销毁。
信息资产管理管理办法范本
信息资产管理管理办法范本一、总则为了加强和规范公司的信息资产管理,保障信息资产的安全、完整和有效利用,提高公司的信息化水平和竞争力,根据国家有关法律法规和公司的实际情况,制定本办法。
本办法适用于公司及所属各单位的信息资产管理活动。
二、信息资产的定义和分类(一)信息资产的定义信息资产是指公司拥有或控制的、能够为公司带来经济利益或具有潜在价值的、以各种形式存在的信息资源,包括但不限于数据、文档、软件、硬件、网络设备、服务等。
(二)信息资产的分类1、数据资产:包括业务数据、客户数据、财务数据、市场数据等。
2、文档资产:包括规章制度、操作手册、技术文档、合同协议等。
3、软件资产:包括操作系统、应用软件、开发工具等。
4、硬件资产:包括服务器、计算机、存储设备、网络设备等。
5、服务资产:包括网络服务、数据中心服务、云服务等。
三、信息资产的管理职责(一)信息资产所有者信息资产所有者对其拥有的信息资产的安全、完整和有效利用负责,具有以下职责:1、明确信息资产的使用目的和安全要求。
2、批准信息资产的访问权限和使用方式。
3、监督信息资产的使用情况,及时发现和处理异常情况。
(二)信息资产管理者信息资产管理者负责信息资产的日常管理和维护工作,具有以下职责:1、建立和维护信息资产清单,定期进行资产清查和盘点。
2、制定和执行信息资产的安全策略和操作规程。
3、负责信息资产的备份和恢复工作,确保数据的可用性和完整性。
4、对信息资产的使用情况进行监控和审计,及时发现和处理违规行为。
(三)信息资产使用者信息资产使用者应当遵守公司的信息资产管理规定,合理使用信息资产,具有以下职责:1、按照授权使用信息资产,不得越权访问和使用。
2、保护信息资产的安全,不得泄露、篡改、破坏信息资产。
3、及时报告信息资产使用过程中发现的安全问题和异常情况。
四、信息资产的登记与标识(一)信息资产登记公司应建立信息资产登记制度,对所有信息资产进行登记,登记内容包括资产名称、类别、型号、规格、数量、使用部门、责任人、购置日期、价值等。
信息资产分类与保护
信息资产分类与保护随着信息技术的迅速发展和普及,信息资产管理也成为了组织日常运营中至关重要的一环。
信息资产的分类与保护对于保障组织的商业机密、客户隐私、知识产权以及其他重要数据的安全至关重要。
本文将探讨信息资产分类的重要性以及实施信息资产保护的方法。
一、信息资产的分类信息资产是指在组织内部产生、流转和存储的各种信息,包括但不限于商业数据、客户信息、知识产权、合同文件等。
对信息资产进行分类可以更好地理解和掌握这些资产的价值、敏感程度以及需要采取的保护措施。
1. 商业数据类资产商业数据类资产包括销售数据、财务数据、市场调研数据等。
这类资产对于组织的经营决策、竞争优势等具有重要意义。
为了保护这些资产的完整性和机密性,组织应确保商业数据的备份和加密,并设定访问权限,限制只有授权人员可以访问。
2. 客户信息类资产客户信息类资产包括客户姓名、联系方式、交易记录等。
这些信息是组织与客户之间的重要纽带,保护客户信息的安全是维护客户关系的关键。
组织应该建立合适的信息保护控制措施,包括加密技术、访问权限设置和防止未经授权的数据泄露等。
3. 知识产权类资产知识产权类资产包括专利、商标、版权等。
知识产权的保护对于维护组织创新能力和商业竞争力至关重要。
为了保护这些资产,组织应该定期进行知识产权的审查和登记,并建立相关的保护机制,避免侵权和盗窃行为发生。
4. 合同文件类资产合同文件类资产包括供应商合同、客户合同、法律文件等。
这些文件对于组织的业务运营和法律合规具有重要意义。
为了保护这些合同文件的完整性和机密性,组织应该采取物理和电子两种方式进行保护,如加密存储、备份存档等。
二、信息资产保护的方法信息资产保护是指通过采取一系列措施对信息资产进行保护,确保其完整性、可用性和机密性。
下面列举几种常用的信息资产保护方法。
1. 访问控制访问控制是指对信息资产的访问进行限制和管理,确保只有授权的人员可以访问。
采取有效的访问控制措施,如密码认证、身份验证等,可以防止未经授权的人员获取敏感信息。
交通运输行业信息资产管理规范
交通运输行业信息资产管理规范1. 引言2. 术语和定义信息资产管理:指对信息资产进行分类、评估、保护、维护和管理。
信息资产管理责任人:指负责信息资产管理策略的执行、监督和评估的相关人员。
3. 信息资产分类和评估3.1 业务信息资产包括交通运输行业内涉及的各类业务数据和相关信息,如客户信息、运输合同、运输路线等。
3.2 系统信息资产包括交通运输行业内的服务器、网络设备、操作系统、数据库等。
3.3 应用信息资产包括交通运输行业内的各类应用软件和相关数据,如运输管理系统、车辆监控系统等。
对于上述信息资产,应进行评估,确定其价值、风险和重要性,以便对其进行合理的保护和管理。
4. 信息资产保护措施4.1 访问控制对信息资产的访问应进行严格控制,确保仅授权人员可访问相关信息。
具体措施包括:引入身份验证机制,如用户名和密码、指纹识别等。
建立访问权限管理制度,明确授权人员的权限范围。
定期审计和监控系统的访问日志,及时发现异常访问行为。
4.2 数据备份与恢复对重要的业务数据和系统信息资产应定期进行备份,确保在数据丢失或系统故障时能够及时恢复。
定期备份重要数据,确保备份的完整性和可靠性。
将备份数据存储在安全可靠的地方,防止数据泄露和灾难损坏。
定期进行数据恢复测试,验证备份的可用性和恢复速度。
4.3 通信安全保障保障交通运输行业内的通信安全是信息资产管理的重要任务之一。
对关键信息进行加密传输,防止信息被窃听和篡改。
采用防火墙、入侵检测系统等技术手段,保护网络安全。
定期进行网络安全漏洞扫描和隐患排查,及时修补和加固网络设备。
5. 信息资产管理责任人为有效执行信息资产管理规范,应指定相应的信息资产管理责任人或团队负责相关工作。
5.1 职责负责制定和完善信息资产管理策略和制度。
监控信息资产的使用和操作情况,发现和处理安全事件。
定期审核和评估信息资产管理策略的有效性,并根据需要进行调整和改进。
5.2 组成信息资产管理团队由涉及交通运输行业内的技术人员、安全专家、管理人员等组成,以确保多方面的专业能力覆盖。
信息资产分类分级管理制度
信息资产分类分级管理程序目录1.目的和范围 (1)2.引用文件 (1)3.职责和权限 (2)4.信息资产的分类分级 (2)4.1信息资产的分类 (2)4.2信息资产的分级管理 (3)4.3信息资产分类指导 (4)5.信息分级标识 (4)5.1分级标识编号 (4)5.2公司绝密、机密信息定义 (5)5.3各密级知晓范围 (5)5.4分级标识编号可作为分级标识使用 (5)6.公司秘密信息使用管理 (6)6.1涉密信息的保管 (6)6.2涉密信息的访问限制 (7)6.3涉密信息的使用 (8)6.4涉密信息发送 (9)6.5涉密信息的废弃处置 (10)7.保密原则 (11)1. 目的和范围为降低公司重要资产因遗失、损坏、篡改、外泄等事件带来的潜在风险,这些风险将对公司的信誉、经营活动、经济利益等造成较大或重大损失,需要规范信息资产保护方法和管理要求,特制订本管理制度。
本规定适用于本公司信息资产的安全管理,适用对象为本公司员工和所有外来人员。
特殊岗位或特殊人员,另有规定的从其规定。
公司信息资产是指一切关系公司安全和利益,在保护期内只限一定范围内人员知悉、操作、维护的事物、文档、项目、数据等资源。
2. 引用文件1) 下列文件中的条款通过本规定的引用而成为本规定的条款。
凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励各部门研究是否可使用这些文件的最新版本。
凡是不注日期的引用文件,其最新版本适用于本标准。
2) GB/T 22080-2016/ISO/IEC 27001:2013 信息技术-安全技术-信息安全管理体系要求3) GB/T 22081-2016/ISO/IEC 27002:2013 信息技术-安全技术-信息安全管理实施细则4) 《备份管理规定》5) 《访问控制程序》6) 《文件控制程序》3. 职责和权限本管理规定作为全公司范围信息类资产的最低管理要求,各部门或各项目组,均可以根据客户要求,添加补充策略,并在本部门、本项目组内实施,与本规定一起,作为信息安全管理的工作指南。
信息安全管理体系中的资产管理信息安全体系管理服务-国际信息安全学习联盟
信息安全管理体系中的资产管理信息安全体系管理服务-国际信息安全学习联盟信息安全管理体系中的资产管理一、背景近年来,我国经济社会持续快速发展,信息化的步伐也随着新技术的应用不断加快。
信息化在促进经济发展、调整经济结构、改造传统产业和提高人民生活质量等方面发挥了不可替代的重要作用。
一方面社会经济对信息化的依赖程度越来越高,另一方面,信息化过程中逐步建设和积累的信息资产却越来越多的受到安全的威胁,加上信息资产的脆弱性,对于病毒破坏、黑客侵扰、系统故障等造成信息资产丢失而造成的经济损失呈逐年增长态势。
如何保护信息资产,使其最大限度地促进组织的健康发展已成为至关重要的课题。
ISO/IEC27001:2005《信息安全管理体系要求》标准的发布,提供给我们一套管理组织信息资产、确保信息安全的最佳实践模型。
建立信息安全管理体系的目的是最大范围内保护信息资产,以预防信息安全事故,确保组织业务的连续性,使业务风险最小化,投资回报和商业机遇最大化。
达到这样的目的是通过实施一组合适的控制目标和措施而达到的,它包括策略、过程、程序、组织结构和软件硬件功能。
信息资产作为信息安全管理体系的作用对象,信息资产管理在整个信息安全管理体系的建立、实施和运行中有着重要的地位。
二、什么是资产ISO/IECTR13335-1:2004中对资产的定义是“对组织具有价值的任何东西”。
它能够以多种形式存在,如有形财产(基础设施、硬件、软件、文档等);如无形财产(声誉、友好关系、员工的生产力);如IT 服务(如电话传真、网络服务等)。
在信息安全管理体系中,要保护、要管理的是信息资产的安全,但信息资产的效能发挥,还要包括信息资产制造、存储、传输、处理、销毁等辅助资产。
本文所指资产包括了信息资产:本身和其辅助资产。
三、资产识别组织在保障信息安全的过程中,首先应清晰地识别其所有资产,这些资产应包括所有为从灾难中恢复而需要的信息。
与信息系统相关的资产有很多类型,在识别资产时,可考虑以下6种资产:(1)信息资产:数据库和数据文件、合同和协议、系统文件、研究信息、用户手册、培训材料、操作或支持程序、业务连续性计划、后备运行安排、审计记录、归档的信息;(2)软件资产:应用软件、系统软件、开发工具和实用程序;(3)物理资产:计算机设备、通信设备、可移动媒体和其他设备:(4)服务:计算和通信服务、通用公用事业,例如,供暖、照明、能源、空调;(5)人员及其资格、技能和经验:(6)无形资产,如组织的声誉和形象。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息类资产管理信息模型规范
(征求意见稿)
北京市信息化工作办公室
二○○九年二月
信息类资产管理信息模型规范
目录
1总则 (1)
2参考标准 (1)
3缩略语 (1)
4信息类资产管理信息建模方法 (1)
4.1信息类资产对象类定义 (1)
4.2信息类资产管理对象属性定义 (3)
4.2.1属性命名 (3)
4.2.2属性分组 (3)
4.2.3属性类型 (3)
4.2.4属性的强制性要求 (4)
4.2.5通用属性定义 (4)
5信息类资产管理信息模型 (6)
5.1业务系统 (6)
5.2物理资产 (8)
5.2.1计算机主机设备 (8)
5.2.2计算机网络设备 (10)
5.2.3安全设备 (12)
5.2.4终端设备 (13)
5.2.5存储设备 (14)
5.2.6输入输出设备 (17)
5.2.7机房辅助设备 (17)
5.2.8视频会议设备 (19)
5.2.9办公设备 (19)
5.2.10计算机及办公设备零部件 (19)
5.3软件资产 (19)
5.4信息资源 (19)
5.4.1文档 (19)
5.4.2数据 (20)
5.5服务 (20)
5.5.1服务包 (20)
5.5.2服务项 (20)
5.6组织 (21)
5.6.1组织 (21)
5.6.2人员 (21)
I
信息类资产管理信息模型规范
前言
本规范参照国际标准化组织和国家相关标准,并结合北京市电子政务运维的实际情况而制定。
本规范由北京市信息化工作办公室提出并归口。
I
1总则
本规范规定了信息类资产的分类以及各类资产的特征属性。
本规范适用于信息类资产管理、清查、登记、统计。
2参考标准
下列文件中的条款通过本部分的引用而成为本部分的条款。
凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本部分,然而,鼓励根据本部分达成协议的各方研究是否可使用这些文件的最新版本。
凡是不注日期的引用文件,其最新版本适用于本部分。
ISO/IEC 27002:2005 信息技术安全技术信息安全管理实施指南
GB/T 14885—94 固定资产分类及代码
GB/T 14885—94 固定资产分类及代码第1号修改单
GB/T 13702—92 计算机软件分类及代码
3缩略语
IEC International Electro Technical Commission 国际电工委员会ISO International Organization for Standardization 国际标准化组织
IT Information Technology 信息技术
OA Office Automation 办公自动化
POS Point of Sales 销售点终端
UPS Uninterruptible Power System 不间断电源
4信息类资产管理信息建模方法
4.1信息类资产对象类定义
本规范对信息类资产进行统一归类和定义,信息类资产的详细分类参见表1。
物理资产和软件资产的分类代码参见国家和北京市相关分类标准。
对于本规范未涉及的信息类资产,可根据需要在本规范基础上补充。
1
2
4.2信息类资产管理对象属性定义
4.2.1属性命名
属性必须按统一规则命名。
属性的命名应采用有明确含义的英文、阿拉伯数字或下划线组成,属性的名称最长不超过32个字符。
具体规则如下:属性名称的首字符必须为字母。
不要过多使用缩写,尽量使用完整英文单词。
对于较长的名称或常用词,可使用缩写使名称长度适中,缩写应保持一致。
不同的类中相同的属性名称应表示相同含义。
4.2.2属性分组
为从各个方面对信息类资产对象进行完整、详尽的描述,一个类通常需要定义多种属性,为更好的管理信息类资产的属性,同时也便于维护,本规范对属性进行分组,增强管理对象描述的条理性,保证资产对象信息的快速查找和呈现。
本规范按照属性的不同用途分为以下几组:
基本属性组:描述信息类资产的固有信息。
如资产的名称、编号、类别、规格型号、使用者、使用部门等。
运维属性组:描述除基本属性组之外运维管理所关心的资产信息。
如资产的技术细节属性、、地理位置、运行状态、关联关系、安全等级等。
财务属性组:描述除基本属性组之外财务管理所关心的资产信息。
如产权、价值、生命周期状态等。
4.2.3属性类型
属性类型指该类属性可以持有何种类型的数据以及如何存储这些数据。
属性的数据类型可以是以下几种:字符型、整型、布尔型、实型、日期型、枚举型等。
3
4.2.4属性的强制性要求
在管理信息模型的属性描述中,需明确对每个属性的强制性要求。
类的描述属性按照要求的程度不同可以分为强制要求、条件要求和推荐要求三种。
其中,描述为强制要求(M)的属性在依照模型规范进行相关项目实施中必须要提供数据;作为条件要求(C)的属性在依照模型规范进行相关项目实施中,在符合适用条件的情况下必须提供数据;而作为推荐要求(O)的属性在依照模型规范进行相关项目实施中,则可以根据具体的需求和情形决定是否必要提供数据。
强制要求和条件要求的属性对运维管理和财务管理有重要意义。
4.2.5通用属性定义
表2定义的通用属性适用于业务系统、物理资产、软件资产和信息资源。
4
5信息类资产管理信息模型5.1业务系统
业务系统的属性定义详见表3。
5.2物理资产
物理资产的属性定义详见表4。
5.2.1计算机主机设备
计算机主机设备在物理资产的基础上补充定义表5中的以下属性。
5.2.2计算机网络设备
5.2.2.1 过滤网关
过滤网关的属性定义同物理资产。
5.2.2.2 交换机
交换机在物理资产的基础上补充定义表6中的以下属性。
5.2.2.3 路由器
路由器在物理资产的基础上补充定义表7中的以下属性。
5.2.2.4 光端机
光端机的属性定义同物理资产。
5.2.2.5 集线器
集线器的属性定义同物理资产。
5.2.2.6 网络接入设备
网络接入设备的属性定义同物理资产。
5.2.2.7 排队管理系统
排队管理系统的属性定义同物理资产。
5.2.3安全设备
安全设备在物理资产的基础上补充定义表8中的以下属性。
5.2.4终端设备
终端设备在物理资产的基础上补充定义表9中的以下属性。
5.2.4.1 台式计算机、便携式计算机
台式计算机、便携式计算机在终端设备的基础上补充定义表10中的以下属性。
5.2.4.2 触摸式终端设备
触摸式终端设备的属性定义同终端设备。
5.2.4.3 终端机
终端机的属性定义同终端设备。
5.2.5存储设备
存储设备在物理资产的基础上补充定义表11中的以下属性。
5.2.5.1 磁盘机
磁盘机的属性定义同存储设备。
5.2.5.2 磁盘阵列
磁盘阵列在存储设备的基础上补充定义表12中的以下属性。
5.2.5.3 光纤交换机
光纤交换机在存储设备的基础上补充定义表13中的以下属性。
5.2.5.4 光盘库
光盘库在存储设备的基础上补充定义表14中的以下属性。
表 14 光盘库的属性定义
5.2.5.5 磁带机/ 磁带库
磁带机和磁带库在存储设备的基础上补充定义表15中的以下属性。
5.2.5.6 移动存储设备
移动存储设备的属性定义同存储设备。
5.2.6输入输出设备
输入输出设备的属性定义同物理资产。
5.2.7机房辅助设备
5.2.7.1 不间断电源
不间断电源在物理资产的基础上补充定义表16中的以下属性。
5.2.7.2 空调
空调在物理资产的基础上补充定义表17中的以下属性。
5.2.7.3 门禁
门禁的属性定义同物理资产。
5.2.7.4 机柜
机柜在物理资产的基础上补充定义表18中的以下属性。
5.2.7.5 消防设备
消防设备的属性定义同物理资产。
5.2.7.6 监控设备
监控设备的属性定义同物理资产。
5.2.8视频会议设备
视频会议设备的属性定义同物理资产。
5.2.9办公设备
办公设备的属性定义同物理资产。
5.2.10计算机及办公设备零部件
计算机及办公设备零部件的属性定义同物理资产。
5.3软件资产
软件资产的属性定义详见表19。
5.4信息资源
5.4.1文档
文档的属性定义详见表20。
5.4.2数据
数据的属性定义详见表21。
5.5服务
5.5.1服务包
服务包的属性定义详见表22。
5.5.2服务项
服务项的属性定义详见表23。
5.6组织
5.6.1组织
组织的属性定义详见表24。
5.6.2人员
人员的属性定义详见表25。