信息资产管理制度

  • 格式:pdf
  • 大小:82.37 KB
  • 文档页数:5

信息资产管理制度

【信息资产管理制度】

第一章:总则

第一条:为保障公司信息安全,合理管理和保护信息资产,规

范信息使用行为,制定本制度。该制度适用于公司内所有使用公司

信息系统及信息资源的人员。

第二条:本制度任务是制定企业内部的信息资产管理规定,保

障企业信息的保密性、完整性、可用性及合规性。

第三条:本制度的适用范围包括但不限于公司系统,数据存储

设备,网络,应用程序,信息传输系统,保密室等。

第二章:信息资产管理制度

第四条:企业信息安全管理职责是企业信息安全的核心控制人

力。企业应设立信息安全岗位,明确职责且具有安全专业特长。

第五条:企业应具备能符合实际制定的最高明确标准的安全技

术和管理控制(包括编程规范、访问控制、加密、备份、灾备等措

施)。

第六条:信息化建设过程中,必须制定合规的信息安全管理规

范,严格按照规范进行设计与实施。第七条:企业应制定完整规范的信息安全管理流程,建立可靠

的信息安全工作机制和基础设施。

第八条:企业应从业务流程中发现和遏止潜在漏洞,阻止外部

恶意入侵,保证经济损失最小化。

第九条:企业应保障其所涉及客户信息资产的完整性和保密性,

确保知识产权政策和相关法律法规的合规性。

第十条:企业应严格遵循企业信息安全管理体系,提升员工培

训和教育,加强与客户共同的安全管控。

第十一条:企业要建立完善的安全事件管理体系,及时处理相

关信息安全事件。

第三章:信息资产管理制度之实施

第十二条:信息安全整体规划与体系建设是企业保证信息资产

安全主要措施之一。企业在实施信息安全管理体系的过程中,应遵

循国家相关规定与标准。

第十三条:企业任何信息的设计和运维,均应严格按照信息资

产的重要程度、风险评估和戴米利茨分析为基础,进行特定的安全

控制和监控。第十四条:企业应按照类别和重要程度分级管理信息资产和信

息系统,并对不同级别的信息资产或信息系统实施不同级别的安全

防范措施。

第十五条:企业应通过账户和密码、多因素验证、数据加密、

安全协议、访问授权、安全管理软件等措施保证信息资产及信息系

统的安全。

第十六条:企业应采用网络审计、防火墙、入侵检测、漏洞扫

描、信息安全检测等信息安全防护技术手段,保障信息资产的安全。

第十七条:企业应制定信息安全管理手册、网络安全规范、SSL

VPN配置规范、移动办公规范和网络建设方案等规范和制度,做到

一旦发现数据泄露或其他安全问题,能够及时响应并采取相应的措

施。

第十八条:企业应制定备份存储策略,存放在安全的存储位置,

并及时更新备份记录。

第四章:其他

第十九条:企业应建立信息安全管理制度和文件档案,整合、

归档、存储目的和执行结果,努力提高管理水平,做到全面、评估、

调整和审查制度的实际执行效果。第二十条:企业应加强对信息安全方面的培训和教育,不断巩

固信息安全意识等,常规开展测试、演练和应急预案,提升组织和

人员的应对能力。

第二十一条:企业应对本制度的实际运作效果进行监督和检查,

及时解决发现的问题,并对制度进行修改完善,确保制度的持续运

作和实用。

【所涉及附件】

1. 安全事件处置手册

2. 漏洞扫描报告

3. 系统规划图

4. 安全管理制度

【所涉及的法律名词及注释】

1. 戴米利茨分析:指为保障信息系统有关数据的可靠性、完整

性、真实性等要求所采取的控制层次划分方法。

2. 访问授权:指为申请人或者主体在信息系统中进行信息资源

访问活动的行为,需要获得管理人员的批准或授权。

3. 信息系统:指为处理、存储、检索和传递信息而构成的计算

机硬件、软件及与之相联的人员和数据等构成体系。4. 数据加密:指针对敏感性高的数据,在传输和存储时将其加

密,保证数据安全。

【在实际执行过程中可能遇到的困难及解决办法】

1. 困难:企业所涉及的信息量大,可能需要投入大量人力物力

才能实现信息系统的安全性。 解决办法: 对企业进行全面的风险

评估并结合实际场景进行呈现,减少废弃或冗余的信息资源,针对

企业的信息安全整体规划和体系建设进行详细的分析和实施。

2. 困难: 企业所涉及的信息安全工作中出现疏忽或漏洞,给

企业信息安全造成不小的影响。 解决办法: 组织相关信息安全专

家进行全面的漏洞扫描和安全检测,制定应对措施和安全事件处置

手册,在出现问题时及时快速进行处理和维护。