资产安全管理制度.docx

XXXX资产安全管理制度2017年12月目录1总则 32规范性引用文件 33职责 34术语与定义 35管理内容和方法 86附则 87附表 ,明确各种岗位的信息资产管理职责,方便在XXXXX内部推广和执行信息资产的管理和使用要求,特制订本制度。本细则描述了XXXXX信息技术科在信息资产管理方面的职责、管理内容和管理方法。。2规范性引用文件GB/T22081-2008/ISO/IEC27002:2005《信息技术安全技术信息安全管理实用规则》、负责所有信息资产的管理工作。2、负责制作和维护所管辖系统的信息资产管理清单。3、负责审核各个科室的信息资产变更。4、定期对信息资产进行清查盘点。、负责维护本科室的信息资产清单。2、负责审核本科室信息资产的变更管理。3、协助信息技术科进行信息资产清点工作。,可以通过媒体传递和存储的一种资产。、经营和管理过程中,所需要的以及所产生的,用以支持(或指导、或影响)连州市人民法院生产、经营和管理的一切有用的数据和资料等非财务的无形资产,其范围包括现在的和历史的。,编制一份完整的资产清单是风险管理的一个重要的先决条件。连州市人民法院信息技术科应制定和维护所管辖的资产清单,清单中应包括如下与信息系统相关的资产:1、信息资产:数据库和数据文件、合同和协议、系统文件、研究信息、用户手册、培训材料、操作或支持程序、业务连续性计划、应变安排(fallbackarrangement)、审核跟踪记录(audittrails)、归档信息;2、软件资产:应用软件、系统软件、开发工具和实用程序;3、物理资产:计算机设备、通信设备、可移动介质和其他设备;4、服务:计算和通信服务、公用设施,例如,供暖,照明,能源,空调;5、人员:与信息安全相关的重要人员,如信息系统管理岗位人员、应用集成岗位人员、局域网及终端管理岗位人员、数据管理岗位人员、资产管理岗位人员等。6、无形资产:如组织的声誉和形象、商标、知识产权等。、责任人、重要程度、所处位置、安全分类、保存方式、使用方法等内容。,应将一组资产指派给一个责任人,与信息处理设施有关的所有信息和资产应由组织的指定科室或人员承担责任,资产责任人应负责:1、确保与信息处理设施相关的信息和资产进行了适当的分类;2、确定并周期性评审访问限制和分类,要考虑到可应用的访问控制策略。,明确资产接收人、责任人、时间等信息;、管理者及使用者三类角色,对于每一个资产必须有且仅有一个所有者角色,同时必须有且仅有一个管理者角色。、访问应在获得资产责任人的批准后进行。,应经信息技术科审核、备案。、软件等应由使用者或资产责任人妥善保管,重要的专用驱动程序应有备份。,确保资产帐物相符和完好无损。,信息技术科根据资产的使用情况进行审核,提出资产报废清单,按固定资产报废程序办理。,为了便于保管、提取、查询,信息资产应尽量以电子介质的形式存储,因此,对于存储在纸介质等其他非结构化的信息资产,如果技术上允许并且有必要的话,应及时进行适当的处理,转换为结构化的电子信息,并以电子介质的形式存储。资产具体存放形式参见(附件1)《信息资产的存放形式表》。:1、对于对外公开信息,存放地点没有要求。2、对于对内公开信息,如果是结构化的电子信息,应存放在内部服务网络中的文件服务器等;如果是非结构化的其他信息,应存放在室内文件柜中,并有明显的分类标识。3、对于秘密信息,如果是结构化的电子信息,应存放在有严格管理制度、具有足够的安全防护措施的机房环境中的相关服务器和存储设备上;如果是非结构化的其他