编程那点事编程那点事

专注编程入门及提高
探究程序员职业规划之道!

信息安全等级保护之管理要求→系统运维管理→资产管理

一、要求内容 

a)应编制并保存与信息系统相关的资产清单,包括资产责任部门、重要程度和所处位置等内容; 

b)应建立资产安全管理制度,规定信息系统资产管理的责任人员或责任部门,并规范资产管理和使用的行为; 

c)应根据资产的重要程度对资产进行标识管理,根据资产的价值选择相应的管理措施; 

d)应对信息分类与标识方法作出规定,并对信息的使用、传输和存储等进行规范化管理。 

二、实施建议 

编制各部门的信息资产清单可以了解各部门信息资产的管理情况,同时也是信息资产风险评估的基础,资产清单记录的内容越详细对资产的管理越有帮助;对于信息资产的管理同样需要建立管理制度,内容应包括资产的分类、分级、标识、使用、保管等内容。 

三、常见问题 

多数企业没有信息资产的清单,没有单独针对信息资产管理的要求。 

四、实施难点 

在信息资产管理初期需要对员工进行适当的培训使之了解哪些资产属于信息资产,对信息资产的安全管理有哪些好处。 

五、测评方法 

形式 访谈,检查。 对象 安全主管,资产管理员,信息资产清单,信息分类分级文档,资产安全管理制度。 

实施 

a)应访谈安全主管,询问是否指定信息资产管理的责任人员或部门,由何部门/何人负责; 

b)应访谈资产管理员,询问是否根据信息资产清单定期对资产进行一致性清查,并对信息资产清单进行维护更新;是否对信息资产进行分类、分级和标识管理,不同类别、不同安全级别的信息资产是否采取不同的管理措施; 

c)应访谈资产管理员,询问对信息的操作(包括信息使用、存储和传输等方面)是否要求进行标识; 

d)应访谈系统运维负责人,询问目前信息系统是否由机构自身负责运行维护,如果是,系统运行所产生的文档如何进行管理(责任书、授权书、许可证、各类策略文档、事故报告处理文档、安全配置文档、系统各类日志等),是否由专人管理; 

e)应检查信息资产清单,查看其内容是否覆盖资产责任人、所属级别、所处位置和所属部门等方面,清单内容是否因资产所属发生变化或资产增减而进行过改变; 

f)应检查资产安全管理制度,查看其内容是否覆盖了资产使用、借用、维护等方面; 

g)应检查信息分类分级文档,查看其是否规定了分类标识的原则和方法(如根据数据的重要程度、敏感程度或用途不同进行分类分级),是否根据分类分级文档所描述的信息的安全级别规定不同信息的使用、传输、存储等方面内容。 

六、参考资料 

《信息安全等级保护信息系统安全管理要求》中对资产清单管理的要求: 

5.4.2.1 资产清单管理 对资产清单的管理,不同安全等级应有选择地满足以下要求的一项: 

a)一般资产清单:应编制并维护与信息系统相关的资产清单,

至少包括以下内容: 

——信息资产:数据库和数据文档、系统文件、用户手册、培训资料、操作和支持程序、持续性计划、备用系统安排、存档信息; 

——软件资产:应用软件、系统软件、开发工具和实用程序; 

——有形资产:计算机设备(处理器、监视器、膝上形电脑、调制解调器),通信设备(路由器、数字程控交换机、传真机、应答机),磁媒体(磁带和软盘),其他技术装备(电源,空调设备),家具和机房; 

——相关资产:由信息系统控制的或与信息系统密切相关的各类资产。由于信息系统或信息的泄露或破坏,这些资产会受到相应的损坏。 

——服务:计算和通信服务,通用设备如供暖、照明、供电和空调等。 

b)详细的资产清单:在a)的基础上,应清晰识别每项资产的拥有权、责任人、安全分类以及资产所在的位置等。 

c)业务应用系统清单:在b)的基础上,作为信息系统组成部分的业务应用系统的资产应在资产清单中体现。应清晰识别业务应用系统资产的拥有权、责任人、安全分类以及资产所在的位置等。 5.4.2.2 资产分类与标识的要求 对资产的分类与标识,不同安全等级应有选择地满足以下要求的一项: a)资产重要性标识:应根据资产的重要程度对资产进行标识,以便可以基于资产的价值选择保护措施和进行资产管理等相关工作。 

b)资产分类管理:在a)的基础上,应对信息资产进行分类管理,对信息系统内分属不同业务范围的各类信息,按其对安全性的不同要求分类加以标识。对于信息资产,通常信息系统数据可以分为系统数据和用户数据两类,其重要性一般与其所在的系统或子系统的安全保护等级相关;用户数据的重要性还应考虑自身保密性分类,

如: 

——国家秘密信息:秘密、机密、绝密信息; 

——其他秘密信息:受国家法律保护的商业秘密和个人隐私信息; 

——专有信息:国家或组织机构内部共享、内部受限、内部专控信息,以及公民个人专有信息; 

——公开信息:国家公开共享的信息、组织机构公开共享的信息、公民个人可公开共享的信息。 组织机构应根据业务应用的具体情况进行分类分级和标识,纳入规范化管理;不同安全等级的信息应当本着“知所必需、用所必需、共享必需、公开必需、互联通信必需”的策略进行访问控制和信息交换管理。 

c)资产体系架构:在b)的基础上,以业务应用为主线,用体系架构的方法描述信息资产;资产体系架构不是简单的资产清单,而是通过对各个资产之间有机的联系和关系的结构性描述。

未经允许不得转载: 技术文章 » 信息安全 » 信息安全等级保护之管理要求→系统运维管理→资产管理