第一章 总 则
第一条为加强上海石化工业学校信息资产的有效管理,使信息资产管理更加规范化,特制定本制度。
第二条本制度所涉及的信息资产指与信息相关的资产,主要包括信息数据及支撑信息数据的相关软、硬件。
第二章 管理职责
第三条财务科负责资产的价值管理。
第四条信息中心负责机房信息数据资产,硬件资产和软件资产的管理,并对各部门的信息数据资产管理进行业务指导。
第五条各部门负责本部门信息数据资产的管理。
第三章 信息资产分类
第六条信息资产可以分为三类:信息数据资产、软件资产和硬件资产。
第七条信息数据资产:通常包括各种电子档案、业务数据、配置文件、记录数据(日志、审计记录)、管理文件(策略、流程文件、操作手册等)、商务文件(合同、协议等)等。
第八条软件资产:各种系统软件、应用软件和工具软件,包括操作系统、数据库应用程序、网络软件、办公应用系统、业务系统程序、软件开发工具等,这些软件资产负责处理、存储或传输各类信息数据资产。
第九条硬件资产:承载信息数据资产和软件资产的物理设备,包括计算机(PC和服务器等)和网络通信设备、网络安全设备、介质(磁盘和阵列等)等。
第四章 信息资产分级
第十条信息数据资产分级标准:
保密性(Confidentiality)、完整性(Integrityc)和可用性(Availabilit)是评价信息数据资产的三个安全属性,根据安全属性的不同将信息数据资产分为不同的等级。
(一)信息数据资产保密性赋值:根据信息数据资产在保密性上的不同要求,将其分为三个不同的等级,分别对应信息数据资产在保密性上应达成的不同程度或者保密性缺失时对的影响。保密性赋值参考《上海石化工业学校信息数据资产保密性赋值表》。
(二)完整性赋值:根据信息资产在完整性上的不同要求,将其分为三个不同的等级,分别对应信息资产在完整性上缺失时对整个组织的影响。完整性赋值参考《信息资产完整性赋值表》。
(三)可用性赋值:根据资产在可用性上的不同要求,将其分为三个不同的等级,分别对应资产在可用性上应达成的不同程度。可用性赋值参考《信息资产可用性赋值表》。
(四)信息数据资产重要性等级计算:资产重要性等级(资产价值)应依据资产在保密性、完整性和可用性上的赋值等级,由以下公式计算得出:
。
(五)根据最终赋值将信息数据资产划分为三级,级别越高表示资产越重要,也可以根据的实际情况确定信息数据资产识别中的赋值依据和等级。信息数据资产等级划分参考《上海石化工业学校信息资产等级赋值表》。
第十一条 软件资产、硬件资产分级标准:
软件资产和硬件资产的重要性等级由其承载的数据资产重要性和本身的价值决定,共分为三级,也可以根据的实际情况确定资产等级。软、硬件资产等级划分参考《上海石化工业学校信息资产等级赋值表》。
第五章 信息资产管理
第十二条 信息中心对硬件资产进行统一编号、登记和分级,并对软件资产进行统一编号、等级和分级,各部门对信息数据资产进行标识管理。
第十三条 各部门编制并保存《上海石化工业学校信息资产清单》,清单中应包括资产分类、资产责任部门、资产等级和所处位置等内容,如信息资产变动应及时更新表单,并报信息中心备案。
第十四条 信息数据资产管理:
(一)所有信息数据资产应按照《上海石化工业学校备份与恢复管理制度》规定的备份频率和备份方式定期进行备份;
(二)对于信息数据资产的访问,根据数据资产等级以及数据资产提供服务的不同,设置不同的访问权限,避免非授权访问;
(三)在处理信息数据资产时,要小心操作,确认后再进行处理,避免由于误操作将有用的信息数据资产删除。
第十五条 软件资产管理:
(一)所有的软件资产必须设置专人管理,明确职责,避免软件资产的丢失,泄密;
(二)所有正版软件实体由专人保管,在安装软件时要规定使用权限,防止非授权访问;
(三)按照《上海石化工业学校备份与恢复管理制度》要求,对重要系统进行备份;
(四)当人员离职或岗位变动时,需要回收有关的软件,必要时,由部门技术人员对离职人员使用的软件进行卸载,删除。
第十六条 硬件资产管理:
(一)信息资产重要性等级为二级以上的硬件资产应放在安全的位置,以减少硬件在使用期间信息被窥视的风险,保护硬件资产以防止未授权访问;
(二)硬件资产的使用人(或管理人),在使用或管理硬件资产时,要注意硬件资产的安全性、机密性、完整性,防止信息载体的毁坏和信息的泄密,防止信息处理设施的滥用;
(三)对硬件资产定期进行维护保养。发生毁坏,丢失等问题时能够及时处置;
(四)硬件资产如需报废时,应向主管部门提出报废申请,经批准后报废。
第六章 信息资产盘点
第十七条 信息中心定期对信息数据资产进行盘点。
第十八条 信息中心定期对信息资产中软件资产部分进行盘点。
第十九条 信息中心定期对信息资产中硬件资产部分进行盘点。
第七章 附 则
第二十条 本制度信息中心负责解释。
第二十一条 本制度正式发布之日起执行。
附件:信息资产安全管理表单
赋值 | 标识 | 定义 |
3 | 三级 | 包含信息中心的重要秘密,其泄露会使信息中心的安全和利益遭受严重损害 |
2 | 二级 | 信息中心的一般性秘密,其泄露会使信息中心的安全和利益受到损害 |
1 | 一级 | 可对社会公开的信息 |
上海石化工业学校信息数据资产完整性赋值表
赋值 | 标识 | 定义 |
3 | 三级 | 完整性价值很高,未经授权的修改或破坏会对信息中心造成重大影响,对业务冲击严重,较难弥补 |
2 | 二级 | 完整性价值中,未经授权的修改或破坏会对信息中心造成影响,对业务冲击明显,但可以弥补 |
1 | 一级 | 完整性价值低,未经授权的修改或破坏会对信息中心造成轻微影响,对业务冲击轻微或可以忽略,容易弥补 |
(编号:SHGY/AQ-ZC-01-2016-B02)
上海石化工业学校信息数据资产可用性赋值表
(编号:SHGY/AQ-ZC-01-2016-B03)
赋值 | 标识 | 定义 |
3 | 三级 | 可用性价值高,信息及信息系统的可用度达到每天95%以上,或系统允许中断时间小于5min |
2 | 二级 | 可用性价值中,信息及信息系统的可用度在正常工作时间达到80%以上,或系统允许中断时间小于30min |
1 | 一级 | 可用性价值低,信息及信息系统的可用度在正常工作时间达到60%以上,或系统允许中断时间小于60min |
上海石化工业学校信息资产等级赋值表
等级 | 标识 | 描述 |
3 | 三级 | 非常重要,遭到破坏后可能对信息中心造成非常严重的损失 |
2 | 二级 | 比较重要,遭到破坏后可能对信息中心造成一定程度的损失 |
1 | 一级 | 不重要,遭到破坏后对信息中心造成很小的损失,甚至忽略不计 |
上海石化工业学校信息资产清单
(编号:SHGY/AQ-ZC-01-2016-B05)
序号 | 资产名称 | 资产类型 | 资产等级 | 所属位置 | 资产责任部门 | 资产使用部门 | 备注 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|