还剩5页未读,继续阅读
文本内容:
信息资产的分类和标识管理办法目录
1.安全策略要求3总则
1.
1.
1.
2.3信息资产的范围
1.
3.3单位信息资产的安全分类
1.
4.4信息资产的存放形式
1.
5.5信息资产访问控制权限
1.
6.6信息资产的管理与使用
1.
7.6安全策略要求
1.总则
1.
1.为有利于中心信息资产的识别、保护和利用,加强中心信息资产的安全管理,特制订本办法本办法适用于中心的信息资产的管理信息资产分类和标识的目的
1.
2.通过对单位信息按无形资产性质(非财务)进行分类和标识,促进信息的增值利用,提高信息资产的利用率;促进信息分布的合理化、促进非结构化信息向结构化数字信息的转换,降低信息管理成本;掌握单位信息资产状态,明确信息资产的使用方法、保存方式、放置位置、安全分类和责任人等,加强信息资产的管理,为信息系统的日常与应急工作提供基本资料;根据各种信息资产的敏感度和重要性的不同,制定对信息资产各种相应的分类保护措施,对各类信息资产实施适当程度的保护信息资产的范围
1.
3.信息资产指单位在生产、经营和管理过程中,所需要的以及所产生的,用以支持(或指导、或影响)单位生产、经营和管理的一切有用的数据和资料等非财务的无形资产,其范围包括如下现在的和历史的信息资产
1、单位的域名、网络拓扑结构、网络IP地址及分配规则、企业标准编码;
2、单位投资开发的(或具有独立知识产权的)程序软件的源代码、支持程序软件、外购软件的使用许可证记录、系统平台基础数据等;
3、系统配置数据、系统授权信息、口令文件、密钥及算法文件、系统说明文档、用户手册等系统基础数据;
4、各类专业系统的应用数据库及数据文件、业务报表等系统业务数据;
5、各类专业系统的运行方案、运行记录、变更记录等系统运行数据以及应急计划;
6、各类专业的规划、方案与策略、业务流程、业务规范、操作规程等管理数据;
7、技术图纸、技术文档、工程资料等项目数据;
8、其他纸介质的重要办公文件(信件)、图象、影象、录音和照片等非结构化办公资料;
9、单个员工拥有的专家技能和经验等隐性数据单位信息资产的安全分类
1.
4.信息资产按信息的敏感度分类为机密信息、秘密信息、对内公开信息、对外公开信息信息资产的分类如下所示定义级信息资产名称信息资产分类别1单位的域名对外公开信息1网络拓扑结构秘密信息1网络IP地址及分配规则秘密信息1企业标准编码对内公开信息程序软件的源代码秘密信息22支持程序软件对内公开信息外购软件的使用许可证对内公开信息2系统平台基础数据秘密信息23系统配置数据秘密信息系统授权信息秘密信息3口令文件机密信息33密钥及算法文件机密信息系统说明文档、用户手册对内公开信息34办公应用数据库及数据文件、业务报秘密信息表等4秘密信息****数据库及数据文件、业务报表等4****数据库及数据文件、业务报表等秘密信息***日志及应急计划秘密信息5设备、机房运维记录秘密信息5单位信息与网络安全方案与策略机密信息66单位业务规范、操作规程对内公开信息各专业的业务流程对内公开信息6技术图纸、技术文档、工程资料秘密信息78具体确认其他纸质的重要办公文件、图像、影像、录音和照片等非结构化办公资料9单个员工拥有的专家技能和经验等具体确认信息资产的存放形式
1.
5.信息资产的存放介质分别为电子介质、纸介质以及其他介质,对于存储介质同时有电子介质或纸介质两种情况的信息资产,其最终目标应该是信息资产存储在电子介质信息资产的存放形式如下所示:定义级信息资产名称存储方式存储介质别单位的域名无无1网络拓扑结构脱机电子介质11网络IP地址及分配规则脱机电子介质企业标准编码脱机电子介质或文档1程序软件的源代码脱机电子介质2支持程序软件脱机电子介质22外购软件的使用许可证脱机电子介质或文档系统平台基础数据联机电子介质23系统配置数据脱机电子介质或文档3系统授权信息脱机电子介质或文档口令文件脱机电子介质或文档33密钥及算法文件脱机电子介质3系统说明文档、用户手册脱机电子介质4各类数据库及数据文件、业务报表等联机电子介质各类系统运维日志、记录联机电子介质或文档56单位各类规划、方案与策略脱机电子介质或文档6单位业务流程、业务规范、操作规程脱机电子介质或文档技术图纸、技术文档、工程资料脱机电子介质或文档78其他纸质的重要办公文件、图像、影像、脱机电子介质或文档录音和照片等非结构化办公资料9单个员工拥有的专家技能和经验等无信息资产访问控制权限
1.
6.信息资产的访问控制权限如下所示:创建和修改权限(部门或查阅和使用权限(部门或信息资产名称定义类别人员)人员)网络拓扑图信息部门的管理人员被授权人员1网络IP及规则信息部门的管理人员被授权人员1企业标准编码信息部门的管理人员所有员工1信息部门的程序员或被2程序软件源代码信息部门的程序员授权修改者2外购软件的使用许可证信息部门的管理员信息系统管理员或被授信息系统管理员或被授3系统数据权管理者权管理者信息系统管理员或被授3系统平台基础数据被授权修改者权使用者系统授权信息信息系统管理员3口令文件信息系统管理员3信息系统管理员、系统信息系统管理员或被授3系统说明文档、操作手册开发方权使用者***数据库文件、数据报表信息系统管理员被授权使用者4信息系统管理员或被授5***日志信息系统管理员权使用者信息系统管理员或被授信息系统管理员或被授5***运维记录权使用者权使用者单位制度、操作规程信息部门的管理人员所有员工6技术图纸、技术文档、工程资7信息部门的管理人员被授权使用者料其他纸质办公文件、图像、影8音、录音和照片等非结构化办信息部门的管理人员被授权使用者公资料单个员工拥有的专家经验和技9被授权使用者能等信息资产的管理与使用
1.
7.信息资产的存放应立足于管理和安全的考虑,为了便于保管、提取、查询,信息资产应尽量以电子介质的形式存储,因此,对于存储在纸介质等其他非结构化的信息资产,如果技术上允许并且有必要的话,应及时进行适当的处理,转换为结构化的电子信息,并以电子介质的形式存储信息资产的存储介质存放的地点要求如下
1、对于对外公开信息,存放地点没有要求;
2、对于对内公开信息,如果是结构化的电子信息,应存放在内部服务网络中的文件服务器等;如果是非结构化的其他信息,应存放在室内文件柜中,并有明显的分类标识;
3、对于秘密信息,如果是结构化的电子信息,应存放在有严格管理制度、具有足够的安全防护措施的机房环境中的相关服务器和存储设备上;如果是非结构化的其他信息,应存放在室内具有较强防盗窃能力的文件柜中,并造册登记,分项存放;
4、对于机密信息,如果是联机存储的结构化电子信息,应存放在有严格管理制度、具有高强度的安全防护措施的机房环境中的相关服务器和存储设备上;如果是脱机存储的结构化电子信息,以及非结构化的其他信息,应存放在具有严格保安措施的、专门的保管环境中(如机要室等),并造册登记,分项存放信息资产的存储介质使用控制要求如下
1、对于对外公开信息,介质使用没有限制要求,任何人在任何场合均可以使用;
2、对于对内公开信息,对于存储在电子介质上的信息,必须通过内部网络,以注册的合法身份,登录访问和下载使用;对于非结构化的其他信息,经介质保存部门同意,可以提取存储信息的介质使用,使用完毕放回原处;
3、对于秘密信息,对于存储在电子介质上的信息,原则上要求联机使用,信息只能通过应用系统专用界面使用,使用者必须具有足够的使用权限;秘密信息的脱机提取或抄录,必须有相关领导的书面批准意见,其提取或抄录的相关细节必须记录在案,使用者必须对其提取或抄录秘密信息的安全保密负责;对于非结构化信息的使用,必须符合秘密级文件的相关使用规定,信息的提取或抄录必须有相关领导的书面批准意见,其相关细节必须记录在案,使用者必须对其提取或抄录秘密信息的安全保密负责;
4、对于机密信息,对于存储在电子介质上的信息,必须联机使用,信息只能通过应用系统专用界面使用,使用者必须具有足够的使用权限;机密信息绝对禁止的脱机提取,特殊信息的抄录,必须有相关领导及保密人员的书面批准意见,抄录的过程及内容必须有保密人员现场监督检查,抄录的相关细节必须记录在案,使用者必须对其抄录的机密信息的安全保密负责;对于非结构化信息的使用,必须符合机密级文件的相关使用规定,特殊信息的抄录必须有相关领导及保密人员的书面批准意见,其相关细节必须记录在案,使用者必须对其提取或抄录秘密信息的安全保密负责。