文檔信息
|
文檔名稱
|
世界杯官网資産管理制度
|
|
文檔編號
|
|
|
文檔類別
|
策略方针 □ 管理制度 ■ 工作流程 □ 操作指南 □ 运维记录 □ 其他 □
|
|
當前版本
|
1.0
|
|
創建日期
|
2020-10-18
|
|
文檔編輯部門
|
信息中心
|
|
文檔作者
|
|
|
聯系方式
|
|
修訂記錄
|
文檔版本
|
日期
|
修改人員
|
審閱人員
|
修訂摘要
|
|
V1.0
|
2020-10-18
|
|
|
建立文檔
|
|
|
|
|
|
|
審批發布
|
序號
|
審核記錄
|
日期
|
審閱人員
|
|
1
|
審閱
|
2020-10-18
|
|
|
2
|
正式核准發布
|
2020-10-18
|
|
|
3
|
|
|
|
一 總則
目的。爲進一步加強世界杯官网的信息系統資産的管理,依據《世界杯官网信息安全管理辦法》制定本管理制度。
對象。世界杯官网信息系統內部所有的重要資産(例如硬件、軟件、操作系統、數據、信息等等)。
範圍。本制度適用于世界杯官网信息系統涉及的所有資産。
要求。世界杯官网資産管理制度統一遵循《GB/T 22239-2019信息安全技术 信息系统安全等级保护基本要求》。
二 資産分類與分級
1.與信息系統相關的信息資産主要分爲以下幾類:
(1)網絡及安全設備:路由器、交換機、負載均衡、防篡改、防火牆、IDS/IPS等構成信息系統傳輸環境和安全環境的設備、軟件和傳輸介質。
(2)服務器:各類承載業務系統和軟件的計算機系統及其操作系統,包括安裝在服務器上各類應用系統以及構建系統的平台軟件(數據庫,各軟件平台等)。
(3)存儲設備:NAS、SAN、磁帶機、磁帶庫、磁盤陣列等構成信息系統存儲環境的設備和軟件。
(4)終端資産:包括工作站和普通辦公終端。工作站指監控終端,即用于管理服務器上的服務的終端,例如網管終端等。普通辦公終端包括一般用途的筆記本和PC。
(5)其他資産:除上述資産之外的其他信息資産,如數據、文檔等。
2.爲便于對資産實行分級別保護,信息系統資産分級將資産劃分爲:超核心資産、核心資産、高級資産、中級資産、一般資産五個級別。
三 資産使用與維護
1.对于已识别的信息資産,根据相关访问控制规定对資産的使用加以规范。
2.应把信息資産访问控制规定有效传达给所有的相关信息資産使用人员,保证单位内部人员、第三方人员等了解使用相关信息資産的规定并严格遵照执行。
3.应定义一名資産管理员,专门负责信息資産的分类、赋值、标识以及更新维护管理工作。
4.与信息系统相关的其他管理员有责任协助信息資産管理员核实和维护信息資産的信息。
5.应按规定要求对信息資産进行审核和检查,检查信息資産清单是否保持更新、資産标识同資産清单信息是否一致、資産信息变更是否经过审核等。
6.信息資産属性发生变更(如地理位置变动、資産配置信息等)时,信息資産管理者要及时对信息資産清单进行变更、保存,并报學校安全管理員複核存檔。
四 資産賦值與標識
1.資産的安全属性包括資産的保密性、完整性和可用性三部分。
2.信息資産的安全性赋值按照如下规定进行:
(1)信息資産的保密性、完整性和可用性分别划分为1(低)、2(中)、3(高)共三个级别;
(2)根据資産所包含敏感信息被揭露时所可能造成后果的严重性可将資産的保密性分为“1”、“2”、“3”三级;
(3)根据資産内容处于不正确、不完整或可依赖状态时所可能造成后果的严重性可将資産的完整性分为“1”、“2”、“3”三级;
(4)根据資産不可用时所可能造成后果的严重性可将資産的可用性分为“1”、“2”、“3”三级。
3.应对所有已进行识别并分类的信息資産进行标识,标识方法可以采用标签、文档标识、数据标识等。
4.对信息資産进行标识时,应标识出信息資産的名称、型号、版本、分类、資産编号、資産管理员、重要级别、所处物理位置等相关信息。根据不同的信息資産类别,标识的内容和方法可以有所不同。
5.資産管理者要维护好自己所负责的資産分类清单,并定期进行检查和更新。
6.当信息資産的管理者、物理位置、重要级别等信息发生变更时,需要及时对相应的标识进行变更。
五 資産保护
1.信息資産由所属的管理人员负责安全防护,按照分类、分级管理的要求采取相应的安全保护措施。
2.信息管理部門定期進行信息安全評估,根據評估結果制定風險整改計劃。
3.系統管理員應定期巡檢機房內的網絡設備、計算機設備。采用實時監控、定期養護,確保設備始終處于良好的安全運行狀態。
4.信息資産要及时安装安全补丁,安全补丁的安装要符合业务影响最小原则。
5.資産管理员定期核对本部门資産登记信息与資産管理系统中信息是否一致。安全管理部门不定期抽检資産信息登记情況,抽檢結果作爲考核因素之一。
六 資産的维修与报废
1.設備應有專人負責維修,並建立滿足正常運行最低要求的易損件的備件庫;
2.根據安全設備的資質情況及系統的可靠性等級,制定預防性維修計劃;
3.對系統進行維修時應采取數據保護措施,系統維修時應有系統管理員在場;
4.對設備進行維修時必須記錄維修對象、故障原因、排除方法、主要維修過程及維修有關情況等;
5.對設備應規定折舊期,設備到了規定使用年限或因嚴重故障不能恢複,應由專業技術人員對設備進行鑒定和殘值估計,並對設備情況進行詳細登記,提出報告書和處理意見,由主管領導和上級主管部門批准後方可進行報廢處理。
6.对存储类資産报废时需要经过資産责任人和安全员处理,保证没有敏感信息,然后再交行政部门处理。
七 附則
對違反本制度的人員,將按照世界杯官网有關規定進行處罰。
本制度由信息安全工作小組負責制定、解釋和修改。
本制度自發布之日起執行。
世界杯官网信息安全工作小組
2020年10月18日