ISMS-02-12-V1.0 信息资产安全管理规定
信息资产安全管理规定
第一章 总则
第一条 目的
为规范思度安全运营中心信息资产的分类分级管理,维护信息资产清单、明确信息资产管理责任以及对信息资产进行标识,确保信息资产得到适当的保护,特制定本规定。
第二条 适用范围
本规定适用于思度安全运营中心职责范围内的所有信息资产以及信息资产管理的相关活动。
第二章 组织与职责
第三条 风险管理组
思度安全运营中心风险管理组负责组织各部门对信息资产进行识别、分类、分级、标识和定期评审,建立并维护思度安全运营中心整体信息资产清单,监督各部门在信息资产安全管理方面的工作。
第四条 各部门安全组
各部门安全组负责监督和检查本部门在信息资产安全管理方面的工作。
第五条 各部门
各部门负责对职责范围内的信息资产进行识别,建立并维护本部门的信息资产清单,对信息资产进行分类、分级和标识;部门负责人作为本部门信息资产的第一责任人,负责对本部门信息资产的管理提出要求,落实部门内员工对资产的管理要求,每年对照信息资产清单组织一次对本部门信息资产的核查以及对本部门信息资产管理活动的自查。
第六条 部门负责人
作为本部门信息资产的第一责任人,负责落实本部门内信息资产的直接责任人,信息资产的直接责任人负责对信息资产的生成、传递、使用和销毁进行管理。
第七条 全体员工
作为各类信息资产的日常使用者,必须遵守本规定的要求,保护工作中所涉及的一切信息资产。
第三章 信息资产分类标准
第八条 信息资产类别
按其形式的不同分为五大类:数据资产、实物资产、软件资产、人员资产和服务资产(资产分类见附件二)。
第九条 数据资产
包括电子和实物两种形式的生产数据、配置文件、记录、管理文件和商务文件以及外来数据和文档等;
第十条 实物资产
包括用于支撑IT服务的核心生产设备以及具有辅助功能的基础环境设施和办公设备等;
第十一条 软件资产
包括生产和办公所需的操作系统、数据库、中间件、应用软件和工具软件等;
第十二条 人员资产
承担特定岗位相关责任的人员;
第十三条 服务资产
包括支撑生产和办公的基础性服务、网络服务、设备维保服务、技术支持服务等。
第四章 信息资产分级标准
第十四条 分级标准
根据信息资产在保密性、完整性和可用性(CIA属性)三个方面所表现出的重要程度,将信息资产的CIA属性分别划分为5个级别,从高到低依次赋值为5到1;信息资产价值由信息资产的CIA属性综合计算得到。
第十五条 保密性
人员资产的保密性级别按照人员最高能够访问或存取的其他信息资产级别来定义;其他信息资产的保密性级别按照其泄露后对思度安全运营中心的影响程度来定义。
第十六条 完整性
人员资产的完整性级别按照人员未正确执行其职务内容时对思度安全运营中心正常运作的影响程度来定义;其他信息资产的完整性级别按照信息资产未经授权的修改对思度安全运营中心造成的影响程度来定义。
第十七条 可用性
人员资产的可用性级别按照要维持思度安全运营中心正常运作能够容忍该人员突然缺席的时间长短来定义;其他信息资产可用性级别按照合法使用者对其可用度的要求高低来定义。
第五章 信息资产的保护
第十八条 命名规范
各部门应对信息资产进行规范的命名。
第十九条 资产清单
各部门应对信息资产进行分类、分级、标识和记录,形成信息资产清单;清单应包括信息资产的类型、名称、位置、CIA属性、责任人等基本信息;信息资产清单应每年进行一次审核和更新。
第二十条 资产标识
各部门应根据信息资产的保密性级别对信息资产进行必要的标识。
第二十一条 保护要求
全体员工必须遵守思度安全运营中心信息资产的安全管理策略,基于信息资产在保密性、完整性和可用性的不同要求,采取必要的管理和技术手段,对信息资产进行保护。
第二十二条 资产流转管理
全体员工应在适当的区域内进行数据资产的流转。
第二十三条 举报违规操作
员工一旦发现违反信息资产保护策略以及数据和文档流转区域控制策略的情况,必须立即通知本部门负责人及思度安全运营中心,提醒采取补救措施。
第二十四条 资产评审
思度安全运营中心风险管理组应每年组织各部门进行一次信息资产的评审,根据业务变化对信息资产的CIA属性进行调整,确保其保持最新;当CIA属性发生变化后,必须按照新的属性值对信息资产进行管理和保护。
第六章 附则
本规定由思度安全运营中心制定、修订和解释。 本规定自发布之日起生效。
附件二: 信息资产分类表 分类 描述 举例 数据资产 包括电子和实物两种形式的生产数据、配置文件、记录、管理文件和商务文件以及外来数据和文档。 记录:日志、审计记录等; 管理文件:制度、流程、操作手册等; 商务文件:合同、协议等。 实物资产 包括用于支撑IT服务的核心生产设备以及具有辅助功能的基础环境设施和办公设备等。 计算机设备:大型机、小型机、服务器等; 通信设备:路由器、交换机、防火墙等; 存储介质:带库、磁带、磁盘、光盘、U盘等; 基础环境设施:供电系统、空调系统、门禁系统、消防系统等; 办公设备:打印机、扫描仪等。 软件资产 包括生产和办公所需的操作系统、数据库、中间件、应用软件和工具软件等,这些软件资产用于处理、存储和传输各类信息数据。 操作系统:AIX、各类Linux、Windows等; 数据库:DB2、SQL等; 中间件:CICS等; 应用软件:生产应用、办公应用; 工具软件:网管软件、系统管理软件等。 人员资产 包括承担某项工作及相关责任的岗位,这些人员资产与其他信息资产的操作直接相关。 系统管理员、网络管理员、运维用户、操作用户、审计检查人员、管理人员等。 服务资产 包括支撑生产和办公的基础服务、网络服务、日常技术支持服务、设备维保服务和软硬件系统平台运维服务等。 基础服务:物业、保洁、安保等; 网络服务:有线接入、无线接入等; 日常技术支持服务:办公用计算机操作系统、应用软件安装维护; 设备维保服务:办公设备、机房环境设备维护; 软硬件系统运维服务:生产设备、生产用计算机操作系统、应用软件运维。
附件三: 信息资产计算公式
附件四: 保密性分级标准表 级别 秘密级别 人员资产定义 其他信息资产定义 5 内部Ⅰ级 可以访问或存取全部信息资产的人员 思度安全运营中心核心秘密,泄露会使生产运行遭受特别严重的损害 4 内部Ⅱ级 最高可以访问或存取保密级别低于4的其他信息资产的人员 思度安全运营中心重要秘密,泄露会使生产运行遭受严重的损害 3 内部Ⅲ级 最高可以访问或存取保密级别低于3的其他信息资产的人员 思度安全运营中心一般秘密,泄露会使生产运行遭受损害 2 内部公开 最高可以访问或存取保密级别低于2的其他信息资产的人员 思度安全运营中心内部信息,泄露会使思度安全运营中心的生产运行和日常办公受到影响 1 公开 可以访问或存取保密级别为1的其他信息资产的人员 可对思度安全运营中心相关方公开的信息,公用的信息处理设备和资源等
附件五: 完整性分级标准表 级别 人员资产定义 其他信息资产定义 5 如果该人员未正确执行其职务内容,将造成思度安全运营中心正常运作的效率大幅度降低或停顿 完整性价值非常关键,未经授权的修改会对思度安全运营中心造成重大的或无法接受的影响,对业务冲击重大,并可能造成严重的生产运行中断,难以弥补 4 如果该人员未正确执行其职务内容,将造成所在部门正常运作的效率明显降低 完整性价值较高,未经授权的修改会对思度安全运营中心造成重大影响,对生产运行冲击严重,较难弥补 3 如果该人员未正确执行其职务内容,将造成相关工作正常运作的效率小幅度降低或停顿 完整性价值中等,未经授权的修改会对思度安全运营中心造成影响,对生产运行冲击明显,但可以弥补 2 如果该人员未正确执行其职务内容,将会对相关工作正常运作造成轻微影响 完整性价值较低,未经授权的修改会对思度安全运营中心造成轻微影响,对生产运行冲击轻微,容易弥补 1 如果该人员未正确执行其职务内容,基本不会对相关工作正常运作造成影响 完整性价值非常低,未经授权的修改对思度安全运营中心的影响可以忽略,对生产运行的冲击可以忽略
附件六: 可用性分级标准表 等级 人员资产定义 其他信息资产定义 5 如果要维持思度安全运营中心正常运作,可以容忍该人员突然缺席不得超过1个工作日 可用性价值非常高,合法使用者对其的可用度在必要使用时间内达到99.9%以上,或对其的使用不允许中断 4 如果要维持思度安全运营中心正常运作,可以容忍该人员突然缺席不得超过3个工作日 可用性价值较高,合法使用者对其的可用度在必要使用时间内达到90%以上,或允许中断使用时间小于10分钟 3 如果要维持思度安全运营中心正常运作,可以容忍该人员突然缺席不得超过3个工作日,但不能超过5个工作日 可用性价值中等,合法使用者对其的可用度在在必要使用时间内达到70%以上,或允许中断使用时间小于30分钟 2 如果要维持思度安全运营中心正常运作,可以容忍该人员突然缺席超过5个工作日 可用性价值较低,合法使用者对其的可用度在必要使用时间内达到25%以上,或允许中断使用时间小于60分钟 1 如果该人员突然缺席,基本不会对思度安全运营中心生产运行造成影响 可用性价值可以忽略,合法使用者对其的可用度在必要使用时间内允许低于25%
附件七: 信息资产保护策略表
内部Ⅰ级 内部Ⅱ级 内部Ⅲ级 内部公开 公开 标注 文件资料类,在封面或首页的右上角标明密级和保密期限;非文件资料类,在载体的包装或明显处标明密级和保密期限 可标注,无标注的文件缺省为内部使用 非商密文件经所属部门负责人批准后,可以标识为"公开" 授权 需要得到思度安全运营中心有权审批人批准 需要得到资产直接责任人同意 无特别要求 访问 只能被得到授权的极少数人员访问,保密协议中对此有明确规定,调阅使用应有记录 只能被得到授权的少数人员访问,保密协议中对此有明确规定,调阅使用应有记录 只能被得到授权的人员访问,保密协议中对此有明确规定,调阅使用应有记录 可以被思度安全运营中心员工或思度安全相关人员访问,外部相关人员可以在签署保密协议的前提下访问 可以被思度安全员工或外部相关人员访问 存储 电子文件应加密存储,或在不加密的状态下存储在访问受控的环境中;纸质文件应锁在带锁的柜子中;其他资产应放置于风险受控的环境内 电子文件应妥善保管,可以加密存储;纸质文件不应放在可以随意获取的地方 应恰当保管,避免被无关人员访问,避免丢失 复制 可以在得到授权的情况下复制,复制件视同原件管理,保留复制记录 经授权后可以复制,复制件视同原件管理 无限制 打印 可以在得到授权的情况下打印,打印件视同原件管理,保留打印记录 经授权后可以打印,打印件视同原件妥善管理 无限制 邮件 可以在得到授权的情况下使用内部邮件系统发送,文件必须加密并保留发送记录 经授权后可以通过内部邮件系统发送 无限制,可以使用外部邮件系统发送 传真 禁止传真 经授权后可以传真 无限制 邮递 必须通过机要渠道寄发,保留寄发记录 必须使用挂号件寄发,保留寄发记录 经授权后可以由指定机构邮递 无限制 内部分发 在生成分发过程中应严格管理,核定份数,统一编号,登记分发 经授权后可以在内部分发 无限制 对外分发 经授权后分发,需签署保密协议(不包括有权机构)并保留分发记录 经授权可以对外分发,需签署保密协议 无限制 销毁 由指定部门负责集中销毁;所有销毁结果需检查确认,保留销毁记录 文件和数据资产由信息资产使用人负责销毁;其他资产由指定部门负责集中销毁 无限制 记录 保留信息资产的全部处理记录 无限制 无限制
附件八: 数据流转区域控制表 流转区域 保密性
内部Ⅰ级 内部Ⅱ级 内部Ⅲ级 内部公开 公开 外部环境 互联网络 × × × × √
外部邮件系统 × × × × √
笔记本计算机(个人使用) × × × √ √
一般介质(个人使用) × × × √ √ 办公环境 办公网络 √○1 √○1 √○1 √ √
内部邮件系统 √○2 √○2 √○2 √ √
台式计算机/办公服务器 √○2 √○2 √○2 √ √
文档服务器 √○2 √○2 √○2 √ √
涉密介质(专人管理) √○2 √○2 √○2 √ √ 生产环境 生产网络 √ √ √ √ ×
生产服务器 √ √ √ √ ×
生产操作终端 √ √ √ √ √
生产介质(专人管理) √ √ √ √ √ 注1:部署在办公环境的特殊生产设备可以在办公网络上传输必要的生产数据(内部Ⅰ级) 注2:文档需加密