ISO27001：2013信息资产分类分级管理制度

信息资产管理规定（版本号：V1.1）更改控制页目录1目的 (2)2范围 (2)3术语定义 (2)4职责 (2)4.1管理者代表 ............................................................................ 错误!未定义书签。

4.2信息安全经理 (2)4.3各部门 (2)5内容 (3)5.1角色和责任 ............................................................................ 错误!未定义书签。

5.2信息资产类型 (3)5.3信息资产分级标准 (4)5.3.1信息资产密级确定方式 (5)5.3.2信息资产密级标注规定 (6)5.4信息资产处理和保护 (6)6相关文件 (8)7相关记录 (8)1目的本规定旨在对XXX内部重要的信息资产进行分类分级，对不同级别的信息资产提出恰当的处理原则，以便对信息的分发和流转进行恰当的控制，确保信息资产的保密性、完整性和可用性。

2范围本规定适用于整个xxx公司。

本规定所涉及的信息包括各种存储或者存在形式，包括但不限于电子信息、纸质数据文件、语音和图像等。

3术语定义责任人（Owner）：信息资产的创建者，或者主要用户所在组织、单位或部门的负责人。

信息资产责任人对所属信息资产负直接责任。

保管者（Custodian）：受信息资产责任人委托，对信息资产进行日常的管理。

用户（User）：信息资产的使用者，除了公司内部员工，也可能是因为业务需要而访问公司信息的客户或第三方组织。

4职责4.1信息安全经理负责确定信息资产的分类标准；负责制定信息资产的赋值规则；组织并指导各部门正确识别信息资产。

4.2各部门5内容5.1信息资产分类及维护信息资产责任人应该指导进行相关资产的调查，资产调查以业务流程为线索，包括各类输入、中间环节和输出信息，所有这些信息资产都为业务流程的运转提供支持。

目录前言 (30 引言 (40.1 总则 (40.2 与其他管理系统标准的兼容性 (41. 范围 (52 规范性引用文件 (53 术语和定义 (54 组织景况 (54.1 了解组织及其景况 (54.2 了解相关利益方的需求和期望 (5 4.3 确立信息安全管理体系的范围 (64.4 信息安全管理体系 (65 领导 (65.1 领导和承诺 (65.2 方针 (65.3 组织的角色,职责和权限 (76. 计划 (76.1 应对风险和机遇的行为 (76.2 信息安全目标及达成目标的计划 (97 支持 (97.1 资源 (97.2 权限 (97.3 意识 (107.4 沟通 (107.5 记录信息 (108 操作 (118.1 操作的计划和控制措施 (118.2 信息安全风险评估 (118.3 信息安全风险处置 (119 性能评价 (129.1监测、测量、分析和评价 (129.2 内部审核 (129.3 管理评审 (1210 改进 (1310.1 不符合和纠正措施 (1310.2 持续改进 (14附录A(规范参考控制目标和控制措施 (15参考文献 (28前言0 引言0.1 总则本标准提供建立、实施、保持和持续改进信息安全管理体系的要求。

采用信息安全管理体系是组织的一项战略性决策。

组织信息安全管理体系的建立和实施受组织的需要和目标、安全要求、所采用的过程、规模和结构的影响。

所有这些影响因素可能随时间发生变化。

信息安全管理体系通过应用风险管理过程来保持信息的保密性、完整性和可用性,并给相关方建立风险得到充分管理的信心。

重要的是,信息安全管理体系是组织的过程和整体管理结构的一部分并集成在其中,并且在过程、信息系统和控制措施的设计中要考虑到信息安全。

信息安全管理体系的实施要与组织的需要相符合。

本标准可被内部和外部各方用于评估组织的能力是否满足自身的信息安全要求。

本标准中表述要求的顺序不反映各要求的重要性或实施顺序。

编写委员会信息安全管理手册GLSC2020第A/0版编写：审核：批准：受控状态：XXX网络科技有限公司发布时间：2020年9月1日实施时间：2020年9月1日01目录02修订页03颁布令为提高我公司的信息安全管理水平,保障公司和客户信息安全，依据GB/T 2 2080-2016/ISO/IEC 27001:2013《信息技术安全技术信息安全管理体系要求》结合本公司实际，特制定信息安全管理手册（以下简称“管理手册”）A/0版。

《管理手册》阐述了公司信息安全管理，并对公司管理体系提出了具体要求，引用了文件化程序，是公司管理体系的法规性文件，它是指导公司建立并实施管理体系的纲领和行动准则，也是公司对所有社会、客户的承诺。

《管理手册》是由公司管理者代表负责组织编写，经公司总经理审核批准实施。

《管理手册》A/0版于2020年9月1日发布，并自颁布日起实施。

本公司全体员工务必认真学习,并严格贯彻执行，确保公司信息安全管理体系运行有效，实现信息安全管理目标，促使公司信息安全管理工作得到持续改进和不断发展。

在贯彻《管理手册》中，如发现问题，请及时反馈，以利于进一步修改完善。

授权综合部为本《管理手册》A/0版的管理部门。

XXX网络科技有限公司总经理：2020年9月1日04任命书为了贯彻执行GB/T 22080-2016/ISO/IEC 27001:2013《信息技术安全技术信息安全管理体系要求》，加强对管理体系运作的领导，特任命gary为本公司的信息安全管理者代表。

除履行原有职责外，还具有以下的职责和权限如下：（1）确保信息安全管理体系的建立、实施、保持和更新；进行资产识别和风险评估。

（2）向最高管理者报告管理体系的有效性和适宜性，并作为评审依据用于体系的改进；（3）负责与信息安全管理体系有关的协调和联络工作；（4）负责确保管理手册的宣传贯彻工作；（5）负责管理体系运行及持续改进活动的日常督导；（6）负责加强对员工的思想教育和业务、技术培训，提高员工信息安全风险意识；（7）主持公司内部审核活动，任命内部审核人员；（8）代表公司就公司管理体系有关事宜与外部进行联络。

iso27001 信息资产概念【实用版】目录1.ISO27001 简介2.信息资产的定义与分类3.信息资产管理的重要性4.ISO27001 与信息资产管理的关系5.如何实施 ISO27001 信息资产管理正文【ISO27001 简介】ISO27001 是国际通用的信息安全管理体系标准，主要用于指导各类组织建立、实施、维护和持续改进信息安全管理体系，以确保信息资产的安全。

【信息资产的定义与分类】信息资产是指组织拥有和控制的、对组织运营有价值的信息和信息系统。

信息资产包括硬件、软件、数据、文档、人员等。

根据其价值和重要性，信息资产可分为核心资产、重要资产和一般资产。

【信息资产管理的重要性】信息资产管理对组织的运营和发展具有重要意义。

有效的信息资产管理可以降低信息安全风险，保障业务的连续性和可靠性，提高组织的竞争力。

【ISO27001 与信息资产管理的关系】ISO27001 标准中的信息资产管理是一个关键环节，涉及到信息的保护、存储、处理和使用等方面。

通过实施 ISO27001，组织可以建立完善的信息资产管理制度，确保信息资产的安全和有效利用。

【如何实施 ISO27001 信息资产管理】1.确立信息资产管理的目标和范围，明确各类信息资产的价值和重要性。

2.制定并实施信息资产管理政策和程序，确保信息资产的安全和合规性。

3.进行信息资产风险评估，识别潜在的安全威胁和风险，采取相应的控制措施。

4.对信息资产进行分类管理，根据其价值和重要性制定相应的保护策略。

5.建立并维护信息资产台账，实时掌握信息资产的动态变化。

6.定期进行信息资产审计和监督，确保信息资产管理制度的有效性和持续改进。

7.提供培训和教育，提高员工的信息安全意识和能力，形成全员参与的信息安全氛围。

ISO27001-2013 信息技术--安全技术--信息安全管理体系--要求中文版(正式发布版)ISO 27001.2013 信息技术--安全技术--信息安全管理体系--要求中文版(正式发布版)1.背景和目的该标准详细规定了建立、实施、操作、监控、审查、维护和持续改进信息安全管理体系（ISMS）的要求。

它旨在确保组织合理评估信息安全风险，并采取适当的安全措施来保护机密性、完整性和可用性。

2.规范性引用文件本标准适用于以下引用文档:- ISO/IEC 27000.2018 信息技术－安全技术－信息安全管理体系－概述和词汇- ISO/IEC 27002.2013 信息技术－安全技术－信息安全管理实施指南- ISO/IEC 27003.2017 信息技术－安全技术－信息安全管理系统实施指南3.术语和定义以下术语和定义适用于本标准：- 组织：指定了ISMS的范围并对其进行实施、操作、监控、审查、维护和持续改进的实体。

- 高层管理：按照组织的要求，履行其职权和责任的最高级别管理职位。

- ISMS：信息安全管理体系。

4.理解组织和其上下文组织应确定和理解其内外部各方的需求和期望，以及相关方和利益相关者，以确保ISMS的有效性。

5.领导的承诺高层管理应明确表达对ISMS的支持和承诺，确保其适当实施和维护，并提供资源以满足ISMS的要求。

6.政策组织应制定和实施信息安全政策，为ISMS提供框架和方向，并与组织的活动和风险管理策略保持一致。

7.组织内部的风险评估组织应在ISMS实施之前进行风险评估，以确保全面了解和评估信息资产相关的威胁和风险。

8.管理资源组织应为ISMS指定适当的资源，包括人员、设备和财务资源，以确保其有效实施、操作、监控、审查和持续改进。

9.专门支持组织应为ISMS提供必要的支持，包括培训、意识和沟通，以确保员工的积极参与和遵守ISMS的要求。

10.安全风险管理组织应基于风险评估结果，采取适当的措施来管理和缓解信息安全风险，确保信息资产的安全性。

iso27001标准2013版ISO27001标准2013版。

ISO27001标准是国际标准化组织（ISO）发布的信息安全管理体系标准，旨在帮助组织建立、实施、运行、监控、审查、维护和改进信息安全管理体系。

2013年版的ISO27001标准是对2005年版的修订和更新，以适应当今信息安全环境的变化和发展。

本文将对ISO27001标准2013版进行详细介绍，包括标准的背景、内容要点和实施方法。

ISO27001标准2013版的背景。

ISO27001标准的制定是为了应对信息安全威胁的不断增加，保护组织的信息资产免受各种威胁和风险。

随着互联网的普及和信息技术的发展，信息安全已成为组织面临的重大挑战。

因此，ISO27001标准的修订和更新是必要的，以使其更好地适应当前的信息安全需求。

ISO27001标准2013版的内容要点。

ISO27001标准2013版主要包括以下内容要点：1. 范围，明确了标准适用的范围，包括信息安全管理体系的建立、实施、运行、监控、审查、维护和改进。

2. 规范性引用，列出了与ISO27001标准相关的其他国际标准和文档。

3. 术语和定义，对一些关键术语和定义进行了详细解释，以便于标准的理解和应用。

4. 上下文分析，要求组织必须了解其内外部环境，明确信息安全管理体系的范围和目标。

5. 领导和承诺，要求组织的领导层必须承担信息安全管理的责任，并提供必要的资源支持。

6. 策划，要求组织必须制定信息安全政策、风险评估和风险处理计划。

7. 支持，要求组织必须提供必要的资源、培训和意识培养，以支持信息安全管理体系的实施和运行。

8. 运作，要求组织必须实施各种信息安全控制措施，以保护信息资产的安全。

9. 评价绩效，要求组织必须对信息安全管理体系进行定期的内部和外部审核，以确保其持续有效性。

10. 改进，要求组织必须不断改进信息安全管理体系，以适应不断变化的信息安全威胁和风险。

ISO27001标准2013版的实施方法。

信息安全设备设施管理规范
1适用与目的
本程序适用于公司与IT相关各类信息处理设施（包括各类软件、硬件、服务、传输线路）的引进、实施、维护等事宜的管理。

本程序通过对技术选型、验收、实施、维护等过程中相关控制的明确规定来确保引进的信息处理设施的保密性、完整性和可用性。

2信息处理设施的分类
2.1研发控制系统、数据存储控制系统及其子系统设备，包括位于机房的服务器和位于使用区域的使用控制系统终端设备。

2.2业务管理系统、财务管理系统，包括位于机房的服务器和位于使用区域的终端设备。

2.3办公用计算机设备，包括所有办公室、会议室内的计算机、打印机，域控制服务器，DNS服务器、Email服务器等。

2.4网络设备，包括交换机、路由器、防火墙等。

2.5其它办公设备，包括电话设备、复印机、传真机等。

3职责
3.1DXC主要负责全公司与IT相关各类信息处理设施及其服务的引进。

包括制作技术规格书、进行技术选型、安装和验收等。

DXC同时负责全公司网络设备、研发控制系统、业务管理系统、财务管理系统日常管理与维护。

3.2各部负责项目实施过程中设备及软件系统的管理制度的执行与维护。

3.3DXC负责后勤系统设备及网络系统、电话/网络通讯与办公系统的管理与维护。

XXXXXX软件有限公司人性化科技提升业绩设备管理规定目录1. 目的和范围 (2)2. 引用文件 (2)3. 职责和权限 (2)4. 设备管理流程 (2)4.1. 设备资产统计 (2)4.2. 设备入网 (3)4.3. 设备安置与保护 (3)4.3.1信息设备安装管理 (3)4.3.2支持性设施安置管理 (3)4.3.3线缆安全 (4)4.4. 设备移动 (4)4.5. 维护、保养 (4)4.6. 设备处置 (4)4.7.无人值守的用户设备 (5)4.8.清空桌面和屏幕 (5)5. 笔记本电脑管理规定 (5)6. 实施策略 (5)7. 相关记录........................................................................................................ 错误！未定义书签。

1.目的和范围本制度是对信息资产分类中物理资产下的硬件设备的规划、购置、安装、验收、使用、维护、处置等各阶段进行有效控制，在保证设备安全的前提下最大限度发挥设备的效能，同时减少由于设备入网造成的安全风险。

2.引用文件1)下列文件中的条款通过本规定的引用而成为本规定的条款。

凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励各部门研究是否可使用这些文件的最新版本。

凡是不注日期的引用文件，其最新版本适用于本标准。

2)GB/T 22080-2016/ISO/IEC 27001:2013 信息技术-安全技术-信息安全管理体系要求3)GB/T 22081-2016/ISO/IEC 27002:2013 信息技术-安全技术-信息安全管理实施细则3.职责和权限服务部：负责信息设备的使用、维护、处置。

信息设备指IT建设方面所需的硬件设备。

4.设备管理流程4.1. 设备资产统计1)服务部负责IT设备的统计，并更新完善《运营硬件固定资产清单库》。

信息安全管理手册目录1. 概述 (3)1.1 目的 (3)1.2 适用范围 (3)1.3 颁布令 (3)1.4 授权书 (4)2. 依据文件和术语 (5)2.1 依据文件 (5)2.2 术语定义 (5)3. 裁剪说明 (6)4. 组织环境 (7)4.1 组织环境描述 (7)4.2 信息安全相关方的需求和期望 (10)4.3 信息安全管理体系范围的确定 (10)4.4 体系概述 (11)5. 领导力 (13)5.1 领导力和承诺 (13)5.2 信息安全方针和目标 (13)5.3 组织角色、职责和权限 (14)6. 策划 (16)6.1 风险评估和处置............................. 错误！未定义书签。

6.2 目标实现过程 (17)7. 支持 (19)7.1 资源提供 (19)7.2 能力管理 (19)7.3 意识培训 (19)7.4 信息安全沟通管理 (20)7.5 文件记录管理 (20)8. 运行 (23)8.1 体系策划与运行 (23)8.2 风险评估 (23)8.3 风险处置 (23)9. 绩效评价 (25)9.1 监视、测量、分析和评价..................... 错误！未定义书签。

9.2 内部审核 (26)9.3 管理评审 (27)10. 改进........................................ 2910.1 不符合和纠正措施 2710.2 持续改进 (27)11. 信息安全总体控制 (31)A.5信息安全策略 (31)A.6信息安全组织 (31)A.7人力资源安全 (34)A.8资产管理 (34)A.9访问控制 (34)A.10密码控制 (35)A.11物理和环境安全 (35)A.12操作安全 (35)A.13通信安全 (36)A.14系统获取、开发和维护 (36)A.15供应商关系 (37)A.16信息安全事故 (37)A.17业务连续性管理的信息安全方面 (37)A.18符合性 (37)附件一：信息安全组织架构映射表 (39)附件二：信息安全职责分配表 (40)1.概述为提高服务质量，规范管理活动，保障系统安全运行，提升人员安全意识水平，XXXXXX软件有限公司（以下简称“公司”）依据信息安全管理标准《GB/T 22080-2016/ISO/IEC 27001:2013 信息技术安全技术信息安全管理体系要求》的相关要求，结合自身业务系统实际运行安全需求，已建立实施了一套科学有效的信息安全管理体系，并通过体系的有效运行，实现持续改进，达到动态系统、全员参与、制度化的、以预防为主的信息安全管理方式。

iso27001管理制度ISO 27001（国际标准化组织27001）是一项关于信息安全管理的国际标准。

作为全球最广泛应用的信息安全管理标准之一，ISO 27001管理制度为组织提供了一个有效的框架，以确保信息安全的保密性、完整性和可用性。

在当今信息爆炸的时代，保护组织的信息资产已经变得至关重要。

随着网络攻击和数据泄露的增加，组织需要制定一套明确而完善的信息安全管理制度，来保护其利益和客户的利益。

这正是ISO 27001管理制度所能提供的。

ISO 27001管理制度主要包括以下几个关键方面：1. 风险评估和治理：ISO 27001要求组织对其信息资产进行全面的风险评估，并根据评估结果采取相应的风险治理措施。

这些措施可能包括制定安全策略和规程、实施技术控制和加密措施、确保员工的安全意识培训等。

2. 安全控制和保护：ISO 27001要求组织建立一套有效的安全控制措施，以保护其信息资产免受未经授权的访问、使用、泄露、破坏和修改。

这些措施涵盖了物理安全、技术安全和组织安全等各个方面。

在物理安全方面，组织需要采取措施保护服务器房和数据中心，包括门禁控制、视频监控和防火墙等。

在技术安全方面，组织需要使用防病毒软件、防火墙、加密技术等来保护其信息系统的安全。

在组织安全方面，组织需要确保制定并执行适当的安全政策和规程，并监控其人员的行为和活动。

3. 安全意识和培训：ISO 27001要求组织确保其员工具备足够的安全意识和技能，以应对不断变化的信息安全威胁。

组织应该提供相关的培训和教育，以确保员工了解信息安全政策、规程和最佳实践，并能够正确处理机密信息和敏感数据。

4. 审计和持续改进：ISO 27001要求组织定期进行内部和外部的信息安全审计，以确保其信息安全管理制度的有效性和合规性。

通过审计，组织可以发现和修正潜在的安全风险和漏洞，并持续改进其信息安全管理制度。

ISO 27001管理制度的实施对组织具有多重价值。

ISO27000体系标准概述发展历史BS779959新版本采用了ISO导则73做为结构性要求，从8个章节拓展到了10个章节，重新构建了ISO标准PDCA的章节架构，这个结构在已发布的ISO22301中已经进行了应用，未来将在ISO其他标准改版中被普遍采用（包括即将改版的ISO9001 ISO20000等）10新版标准附录A从原有11个控制域扩展为14个控制域密码学和供应商管理成为独立的控制域通信与操作安全管理被拆分为操作安全和通信安全11 ISO27001：2013正文解析13解释标准的作用和所用的定义,及相关术语1415建立•制定信息安全策略•确定体系范围•明确管理层职责•通过风险评估确定控制目标和控制方式建立ISMS环境&风险评估设计&实施ISMS监视&复审ISMS改进ISMS开发、维护和改进生命周期PlanDoCheckAct利益伙伴信息安全需求和期望利益伙伴得到管理的信息安全维护•遵循PDCA•体系一旦建立，组织应该按规定要求进行运作，保持体系的有效性。

◆解释建立和维护文档化的ISMS的要求ISO27001:2013标准解析19最高管理者应确保与信息安全相关角色的职责和权限的分配和沟通。

22转嫁风险30ISO27001:2013附录A解析3842信息安全管理委员会外部安全专家信息安全的独立审核/审计信息安全管理权威机构444661。

编写委员会信息安全管理手册GLSC2020第A/0版编写：审核：批准：受控状态：XXX网络科技有限公司发布时间：2020年9月1日实施时间：2020年9月1日01目录02修订页03颁布令为提高我公司的信息安全管理水平,保障公司和客户信息安全，依据GB/T 2 2080-2016/ISO/IEC 27001:2013《信息技术安全技术信息安全管理体系要求》结合本公司实际，特制定信息安全管理手册（以下简称“管理手册”）A/0版。

《管理手册》阐述了公司信息安全管理，并对公司管理体系提出了具体要求，引用了文件化程序，是公司管理体系的法规性文件，它是指导公司建立并实施管理体系的纲领和行动准则，也是公司对所有社会、客户的承诺。

《管理手册》是由公司管理者代表负责组织编写，经公司总经理审核批准实施。

《管理手册》A/0版于2020年9月1日发布，并自颁布日起实施。

本公司全体员工务必认真学习,并严格贯彻执行，确保公司信息安全管理体系运行有效，实现信息安全管理目标，促使公司信息安全管理工作得到持续改进和不断发展。

在贯彻《管理手册》中，如发现问题，请及时反馈，以利于进一步修改完善。

授权综合部为本《管理手册》A/0版的管理部门。

XXX网络科技有限公司总经理：2020年9月1日04任命书为了贯彻执行GB/T 22080-2016/ISO/IEC 27001:2013《信息技术安全技术信息安全管理体系要求》，加强对管理体系运作的领导，特任命gary为本公司的信息安全管理者代表。

除履行原有职责外，还具有以下的职责和权限如下：（1）确保信息安全管理体系的建立、实施、保持和更新；进行资产识别和风险评估。

（2）向最高管理者报告管理体系的有效性和适宜性，并作为评审依据用于体系的改进；（3）负责与信息安全管理体系有关的协调和联络工作；（4）负责确保管理手册的宣传贯彻工作；（5）负责管理体系运行及持续改进活动的日常督导；（6）负责加强对员工的思想教育和业务、技术培训，提高员工信息安全风险意识；（7）主持公司内部审核活动，任命内部审核人员；（8）代表公司就公司管理体系有关事宜与外部进行联络。

XXXXXX软件有限公司人性化科技提升业绩信息系统获取、开发与维护管理制度目录1. 目的和范围 (3)2. 引用文件 (3)3. 职责和权限 (3)4. 确定信息系统安全需求 (4)5. 在应用中建立安全措施......................................................................... 错误!未定义书签。

5.1. 输入数据验证............................................................................. 错误!未定义书签。

5.2. 内部处理的控制......................................................................... 错误!未定义书签。

5.3. 输出数据验证............................................................................. 错误!未定义书签。

6. 密码控制 (5)6.1. 使用密码控制的策略 (5)6.2. 密钥管理 (5)7. 系统文件的安全 (6)7.1. 运行软件的控制 (6)7.2. 系统测试数据的保护 (6)7.3. 对程序源代码的访问控制 (7)7.4. 测试和运行设施分离 (7)7.5. 系统安全性测试 (8)8. 开发和支持过程中的安全 (8)8.1. 变更控制制度 (8)8.2. 操作系统变更后应用的技术评审 (8)8.3. 软件包变更的限制 (9)8.4. 信息泄露 (9)8.5. 系统验收 (10)9. 技术脆弱性的控制 (10)10. 公共网络应用服务的安全 (11)11. 安全的开发环境 (11)12. 项目管理中的信息安全 (13)13. 支持文件 (14)1.目的和范围为确保安全成为所开发的信息系统一个有机组成部分，保证开发过程安全，特制定本程序。

XXXXXX软件有限公司人性化科技提升业绩信息安全组织管理制度目录1.目的和范围 (2)2.引用文件 (2)3.职责和权限 (2)4.内部组织及沟通 (3)5.与监管机构联系 (4)6.与特定利益集团联系 (4)7.项目管理中的信息安全 (4)8.笔记本电脑使用规定 (5)9.远程访问管理 (6)9.1.远程接入的用户认证 (6)9.2.远程接入的审计 (6)10.实施策略 (6)11.相关记录 (7)1.目的和范围建立完善内外组织系统，保证内外部组织渠道的畅通，及时了解体系运行情况，确保体系有效运行，促进公司业务组织的安全管理制度。

本规定适用于公司业务组织的安全管理，包括：1）内部之间的组织；2）信息系统与外部系统之间的组织；3）与供应商、客户等相关单位和个人间的组织。

2.引用文件1）下列文件中的条款通过本规定的引用而成为本规定的条款。

凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励各部门研究是否可使用这些文件的最新版本。

凡是不注日期的引用文件，其最新版本适用于本标准。

2）GB/T 22080-2016/ISO/IEC 27001:2013 信息技术-安全技术-信息安全管理体系要求3）GB/T 22081-2016/ISO/IEC 27002:2013 信息技术-安全技术-信息安全管理实施细则3.职责和权限1）信息安全工作小组内部沟通职责：维持内部的信息沟通；向公司内部人员传达与信息安全有关的法规资料及政策；接收内部人员对信息安全管理体系的意见并采取相应行动。

2）信息安全工作小组成员：收集员工对信息安全方面的意见，并向信息安全工作小组组长反映；协助宣传及教育员工，使员工熟悉有关信息安全方面的知识。

3）部门负责人：确保部门内容信息能及时有效沟通。

对于公司内、外部所反馈的信息安全方面的意见、建议进行审查，不断的改进、完善信息安全管理体系。

4.内部组织及沟通1）信息安全工作小组组织各个部门通过公告、内部网络、宣传物品、活动、通告、会议及培训把有关信息安全方面的政策及其它事项传达予各员工;2）员工对公司信息安全管理体系有任何意见可向其部门主管或其所在部门信息安全员建议、投诉；部门主管或信息安全员将员工的意见分类后向信息安全工作小组反映并填写《信息安全管理体系意见表》，信息安全工作小组联同各部门按此表格进行跟进并进行有关调查；3）信息安全工作小组负责收集和汇总《监管机构及特定利益团体联系表》的信息。

XXXXXXX软件有限公司人性化科技提升业绩办公固定资产管理规定第一章总则 (2)一、目的 (2)二、固定资产的分类原则 (2)三、固定资产的计价原则 (2)四、固定资产的管理目标： (2)五、固定资产的管理原则： (3)第二章办公固定资产管理办法 (3)一、职责和权限 (3)二、办公固定资产管理流程 (4)㈠办公固定资产的采购管理 (4)㈡办公固定资产的验收管理 (4)㈢办公固定资产的编码管理 (5)㈣办公固定资产的统计管理 (6)㈤办公信息设备的安置管理 (7)㈥办公固定资产的移动管理 (7)㈦办公固定资产的变动管理 (8)㈧办公固定资产的维护管理 (9)㈨办公固定资产的闲置管理 (9)㈩办公固定资产的报废管理 (10)（十一）办公固定资产的赔偿管理 (10)（十二）办公固定资产的监督管理 (11)第一章总则一、目的为加强北京讯鸟软件有限公司的固定资产的管理，保证固定资产的完好无损，防止资产流失，使公司固定资产能够更好的为公司运营及管理服务，特作如下规定。

二、固定资产的分类原则（一）单位价值在2000元以上，使用年限在一年以上的办公固定资产，指用于办公的网络设备、电子及办公设备、办公家具等；（二）单位价值在2000元以上，使用年限在一年以上的运营固定资产，指为公云、私云服务采购的资产。

三、固定资产的计价原则（一）购入的固定资产按购入价格入帐，按规定支付的购置附加费计入购价，购置运杂费不计入购价。

（二）有偿调入的固定资产，按调拨价入帐。

（三）无偿调入、捐赠的固定资产估价入帐。

四、固定资产的管理目标：全程可视、流转可控、职责明确，达到资产投资收益和使用效率的最大化。

五、固定资产的管理原则：北京讯鸟软件有限公司及下属分公司、子公司的固定资产实行统一核算，分级归口管理的原则，即由公司财务部、行政部、系统服务部制定固定资产管理办法，进行统一核算，设立总帐；分管部门和各使用部门按照固定资产管理制度的规定属地管理本地区固定资产。

1.目的本文件目的在于通过对信息资产进行合理的分类，为信息资产管理提供科学、有效的方式。

对现有信息资产进行信息安全属性的赋值，并对其进行等级划分，从而为以后的安全解决方案及安全保护措施的采用提供依据。

2.适用范围本文件的适用于公司的信息资产的相关管理工作。

3.术语、定义和缩略语无4.职责4.1.信息化科负责本制度的制定与更新，协调和监督资产分级分类工作的实施。

4.2.信息资产管理人负责信息资产的管理工作，负责相关信息资产的识别与登记。

4.3.全体员工协助信息资产管理人进行资产的识别与分类工作。

概述信息资产是组织直接赋予了价值因而需要保护的东西。

它可能是以多种形式存在，有无形的、有形的、硬件、软件、文档、代码、服务和组织形象等。

它们分别具有不同的价值属性和存在特点，其存在的弱点、面临的威胁、需要进行的保护和安全控制都各不相同。

为此，有必要对组织、机构中的信息资产进行科学分类，让组织清晰的了解需要重点保护的对象，并为的信息安全风险评估及信息安全解决方案的设计提供依据。

5.资产分类5.1.硬件主要指组织中的硬件信息设备，包括计算机硬件、路由器、交换机、硬件防火墙、加密设备、布线、备份存储设备等。

硬件资产单指硬件设备，不包括运行在硬件设备中的软件系统、IOS、配置文件和存储的数据等，软件本身属于软件资产，运行中的软件系统和IOS等属于服务资产，配置文件和存储的数据属于数据资产。

5.2.软件软件是现代组织中重要的信息资产之一，与组织的硬件资产一起构成了组织的整个的IT信息环境。

一般情况下，软件资产包括已经安装并正在运行中的软件，软件的许可证、存储的媒体等，与可能安装或运行的硬件无关，软件的价值主要体现在已经安装并运行的软件提供应用和功能，也包括本身的许可证、序列号、软件使用权等。

安装或运行后的软件，也为组织提供服务和应用的功能，也有一定的服务的性质，但服务类资产强调的是业务流程和业务服务能力，是一个抽象的概念，一般不是一个软件就能提供，而是由一套有机组成的系统提供，包括软件提供的服务，标准和配置，人员的操作等，所以服务资产有别于软件资产。