信息资产管理制度
- 格式:pdf
- 大小:82.37 KB
- 文档页数:5
信息资产管理制度
【信息资产管理制度】
第一章:总则
第一条:为保障公司信息安全,合理管理和保护信息资产,规
范信息使用行为,制定本制度。该制度适用于公司内所有使用公司
信息系统及信息资源的人员。
第二条:本制度任务是制定企业内部的信息资产管理规定,保
障企业信息的保密性、完整性、可用性及合规性。
第三条:本制度的适用范围包括但不限于公司系统,数据存储
设备,网络,应用程序,信息传输系统,保密室等。
第二章:信息资产管理制度
第四条:企业信息安全管理职责是企业信息安全的核心控制人
力。企业应设立信息安全岗位,明确职责且具有安全专业特长。
第五条:企业应具备能符合实际制定的最高明确标准的安全技
术和管理控制(包括编程规范、访问控制、加密、备份、灾备等措
施)。
第六条:信息化建设过程中,必须制定合规的信息安全管理规
范,严格按照规范进行设计与实施。第七条:企业应制定完整规范的信息安全管理流程,建立可靠
的信息安全工作机制和基础设施。
第八条:企业应从业务流程中发现和遏止潜在漏洞,阻止外部
恶意入侵,保证经济损失最小化。
第九条:企业应保障其所涉及客户信息资产的完整性和保密性,
确保知识产权政策和相关法律法规的合规性。
第十条:企业应严格遵循企业信息安全管理体系,提升员工培
训和教育,加强与客户共同的安全管控。
第十一条:企业要建立完善的安全事件管理体系,及时处理相
关信息安全事件。
第三章:信息资产管理制度之实施
第十二条:信息安全整体规划与体系建设是企业保证信息资产
安全主要措施之一。企业在实施信息安全管理体系的过程中,应遵
循国家相关规定与标准。
第十三条:企业任何信息的设计和运维,均应严格按照信息资
产的重要程度、风险评估和戴米利茨分析为基础,进行特定的安全
控制和监控。第十四条:企业应按照类别和重要程度分级管理信息资产和信
息系统,并对不同级别的信息资产或信息系统实施不同级别的安全
防范措施。
第十五条:企业应通过账户和密码、多因素验证、数据加密、
安全协议、访问授权、安全管理软件等措施保证信息资产及信息系
统的安全。
第十六条:企业应采用网络审计、防火墙、入侵检测、漏洞扫
描、信息安全检测等信息安全防护技术手段,保障信息资产的安全。
第十七条:企业应制定信息安全管理手册、网络安全规范、SSL
VPN配置规范、移动办公规范和网络建设方案等规范和制度,做到
一旦发现数据泄露或其他安全问题,能够及时响应并采取相应的措
施。
第十八条:企业应制定备份存储策略,存放在安全的存储位置,
并及时更新备份记录。
第四章:其他
第十九条:企业应建立信息安全管理制度和文件档案,整合、
归档、存储目的和执行结果,努力提高管理水平,做到全面、评估、
调整和审查制度的实际执行效果。第二十条:企业应加强对信息安全方面的培训和教育,不断巩
固信息安全意识等,常规开展测试、演练和应急预案,提升组织和
人员的应对能力。
第二十一条:企业应对本制度的实际运作效果进行监督和检查,
及时解决发现的问题,并对制度进行修改完善,确保制度的持续运
作和实用。
【所涉及附件】
1. 安全事件处置手册
2. 漏洞扫描报告
3. 系统规划图
4. 安全管理制度
【所涉及的法律名词及注释】
1. 戴米利茨分析:指为保障信息系统有关数据的可靠性、完整
性、真实性等要求所采取的控制层次划分方法。
2. 访问授权:指为申请人或者主体在信息系统中进行信息资源
访问活动的行为,需要获得管理人员的批准或授权。
3. 信息系统:指为处理、存储、检索和传递信息而构成的计算
机硬件、软件及与之相联的人员和数据等构成体系。4. 数据加密:指针对敏感性高的数据,在传输和存储时将其加
密,保证数据安全。
【在实际执行过程中可能遇到的困难及解决办法】
1. 困难:企业所涉及的信息量大,可能需要投入大量人力物力
才能实现信息系统的安全性。 解决办法: 对企业进行全面的风险
评估并结合实际场景进行呈现,减少废弃或冗余的信息资源,针对
企业的信息安全整体规划和体系建设进行详细的分析和实施。
2. 困难: 企业所涉及的信息安全工作中出现疏忽或漏洞,给
企业信息安全造成不小的影响。 解决办法: 组织相关信息安全专
家进行全面的漏洞扫描和安全检测,制定应对措施和安全事件处置
手册,在出现问题时及时快速进行处理和维护。