信息资产管理办法

发布者:信息化建设与管理中心发布时间:2015-09-16浏览次数:240

南京特殊教育师范学院信息安全管理体系文档

信息资产管理办法


(初稿V1.0





















南京特殊教育师范学院





编制说明

随着南京特殊教育师范学院各信息系统功能与规模的日益完善与扩大,为加强信息安全管理能力,提高信息系统安全服务水平,保障南京特殊教育师范学院各信息系统的安全运转,特制定南京特殊教育师范学院信息安全管理体系规范文档。

南京特殊教育师范学院信息安全管理体系文档主要依据ISO/IEC27001:2005《信息系统安全管理规范指南》、GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》、GB/T22240-2008《信息安全技术信息系统安全等级保护定级指南》和《教育行政部门及高等院校信息系统安全等级保护定级指南》,同时参考了国际和国内的其它信息安全标准,以及国家相关法律法规,并结合南京特殊教育师范学院的实际情况制定。

最终目标是建设完善南京特殊教育师范学院的信息安全管理体系,是南京特殊教育师范学院对信息系统及第三方供应商进行信息安全管理的重要依据,各相关单位必须结合具体情况将信息安全管理落实到实际的工作中。

南京特殊教育师范学院信息安全管理委员会负责对本规范进行解释和修改。

本规范自公布之日起实施。









第1条总则

  1. 本规范的目的是确保信息资产的安全,落实资产的责任,明确资产管理流程。

  2. 本办法的适用对象为南京特殊教育师范学院教职员和相关外部人员。

第2条信息资产分类

  1. 南京特殊教育师范学院的信息资产包括以下几类:

  1. 信息类资产:数据库和数据文件、合同和协议、系统文件、研究信息、用户手册、培训材料、操作或支持程序、业务连续性计划、后备运行安排、审计记录、归档的信息;

  2. 软件类资产:应用软件、系统软件、开发工具和实用程序;

  3. 物理类资产:计算机设备、通信设备、可移动介质和其他设备;

  4. 服务类资产:计算机和通信服务、通用公用事业,例如,供暖,照明,能源,空调;

  5. 人员类资产:与信息安全相关的重要人员,如系统管理员、应用系统管理员等;

  6. 无形资产类:如单位的声誉和形象。

第3条信息资产责任



  1. 南京特殊教育师范学院信息资产管理部门负责校内的信息资产管理工作。信息安全管理委员会是信息资产安全管理工作的最高领导机构,负责校内信息资产的安全。信息安全管理部门负责汇总和维护南京特殊教育师范学院完整的信息安全资产清单,各业务部门信息安全管理员负责建立和维护本部门的信息安全资产清单。

  2. 信息资产应明确其所有者、管理者及使用者三类角色,对于每一个信息资产必须有且仅有一个所有者角色,同时必须有且仅有一个管理者角色。

  3. 信息资产所有者是指对资产具有所有权的单位、部门或个人,信息资产所有者对资产的获取、使用及处置具有最高决策权;信息资产的管理者通常可以是信息资产的所有者,也可以是得到信息资产所有者授权的其他部门或个人,信息资产管理者根据信息资产所有者的授权行使对信息资产的日常管理,对于超出授权范围的管理要求,需要单独向所有者申请相应权限;信息资产的使用者是南京特殊教育师范学院的各类用户,他们向管理者申请使用信息资产。

  4. 对于未明确所有者或管理者的信息资产,由信息资产管理部门根据实际工作需要,指定其所有者或管理者;对于具有多个所有者或管理者的信息资产,由信息资产管理部门根据实际工作需要,指定一个唯一的所有者或管理者。

第4条信息资产定级与标识

  1. 敏感性分类规则。根据信息资产清单中的机密性分级标准对信息资产的敏感性进行分类如下:

    敏感性分类

    对应的机密性分值

    敏感性特征

    标签内容及颜色

    机密信息

    4

    包含重要机密,其泄露会使BTV的安全和利益遭受严重损害。

    密级:机密
    红色

    秘密信息

    3

    包含一般性秘密,其泄露会使BTV的安全和利益受到一定的损害。

    密级:秘密
    橙色

    内部使用

    2

    包含仅能在内部或在某一部门内部公开的信息,向外扩散有可能对院方的利益造成损害。

    密级:内部
    黄色

    公开使用

    0-1

    包含可对社会公开的信息,公用的信息处理设备和系统资源等。

    公开信息不做敏感性标签

  2. 鼓励教职员在一定的程度上使用常识性的办法来保护单位敏感信息资产,如果教职员不知道某种特定信息的敏感性程度,默认情况下至少按“内部”的保护办法来对待。

  3. 对信息资产进行标记。对于“内部”、“秘密、“机密”类资产要使用明确的标签加以标识,负责管理信息资产的人员必须制作含有一个有唯一标识的标签并附着到资产上,标签均应挂在显眼且易找的位置。标签必须保持完好的状态,破损时要换掉。对于从外部收到而含有敏感信息的文件,必须评估其敏感性,进行分类并加贴上适当的分类标签。

  1. 对于诸如服务器、台式机、网络交换机等硬件设备,要根据风险评估时所确定的硬件本身的机密性及设备中所包含信息的机密性级别,取其中最高机密性级别来确定总体信息敏感性级别。敏感性标签要张贴在设备的显著位置。

  2. 对于纸质形式文档和电子形式文档都要在首页显著位置标识(含电子标识)其分类级别,并且在格式设计时就要考虑加入此内容。对于实在无法加入或以前形成的文档记录,可以在存储这些文档记录的文件夹或文件袋上标识出其保密级别。

  3. 建议对于应用系统或应用系统中的显示页面、数据表单或打印输出等内容,如果其中的信息涉及敏感信息,也要尽量在显著位置加以标识,以提醒应用系统的用户注意对敏感信息的保护。

  4. 对于因信息资产自身原因(体积太小无处贴标签或实在不适合贴标签的)无法标识保密级别的信息资产(如:U盘、录音笔、由玻璃或透明材料制作的服务性设施等),可以不以标签形式标识。

  5. 如果是用于传递的信息,应根据其内容尽可能地标识。如因存在技术限制,则需采取其它弥补控制措施。例如:

        1. 对于无法粘贴标识的信息,可在信息载体的外部粘贴该信息的分类标签;

        2. 对于无法粘贴标识的信息,也可在发送前告知接受方关于此信息的敏感性程度。

第5条信息资产清单与日常管理维护

  1. 信息资产清单必须详细记录南京特殊教育师范学院所有的各类信息资产,其内容包括信息资产分类、信息资产编号、信息资产类型、资产描述、资产位置、资产所有者、管理者、使用者、物资管理部门中的资产编号、信息资产的CIA赋值、风险评估值和风险处置措施等内容。

  2. 各部门信息安全管理员负责维护和保存本部门的信息安全资产清单,并定期检查其正确性和完整性;在信息资产发生变更时,需及时更新该清单,并报送校内信息安全管理部门。信息安全管理员负责本部门或单位信息资产的风险评估与风险处置的具体工作,并将结果填写到信息安全资产清单中。

  3. 校内信息安全管理部门负责维护和保存南京特殊教育师范学院的信息安全资产清单,并根据各部门信息安全管理员报送的变更信息,及时汇总并更新该清单;定期检查信息安全资产清单的正确性和完整性;定期根据信息安全资产清单对信息资产进行价值评估;定期进行风险评估与风险处置,将结果汇总、填写到信息安全资产清单中。

第6条信息资产管理的控制措施

  1. 信息资产的使用。

  2. 机密”类信息是一类极其敏感的信息,这类信息在南京特殊教育师范学院数量较少。对南京特殊教育师范学院来说,在没有相应授权的前提下,严格禁止南京特殊教育师范学院内部教职员和外部人员对“机密”类信息的访问,一旦发现有对“机密”类信息的非授权使用或授权的滥用情况,必须立即作为安全事故向本部门信息安全管理负责人或信息安全管理部门汇报。

  3. 秘密”类信息是一类较敏感的信息,这类信息在南京特殊教育师范学院数量较多。南京特殊教育师范学院的内部教职员和外部人员在使用“秘密”类信息时,应当特别谨慎以防止信息资产的丢失、被盗和敏感信息的泄露。一切人员都应按照“知所必须”的原则,获得完成其工作职责所必须的最小范围的“秘密”信息。禁止在公共场合讨论该类信息,“秘密”类信息限制打印或复制,“秘密”类信息分发时,要建立详细传阅清单,多余的份数应粉碎或安全删除。

  4. 内部”类信息仅限于南京特殊教育师范学院内部教职员使用,一般避免向外扩散,外部人员要使用“内部使用”类信息,需要得到必要的授权。

  5. 信息类资产的控制措施主要从信息的产生,保存,传输,使用,复制,销毁等过程来进行控制。

  6. 软件类资产的控制措施主要从软件采购,运输,部署,使用,销毁等过程来进行控制。

  7. 所有物理资产都应按照《物理与环境安全实施规范》进行保护。

  8. 服务类资产的控制措施主要从服务设计,服务实施和服务终止三个过程来进行控制。

  9. 人员类资产的控制措施主要从任用前,任用中和任用终止三个过程来进行控制。

  10. 无形资产控制措施主要从产生中和传播中的过程进行控制。

第7条审计和执行

  1. 根据信息安全策略体系的要求,本管理办法由南京特殊教育师范学院每年检核一次,根据检核结果进行修订,修订后重新颁布执行。

  2. 本管理办法的解释权归南京特殊教育师范学院

  3. 本管理办法自签发之日起生效。


Copyright © 南特信息化建设与管理中心 版权所有.   苏ICP备11063222号-1  苏公网安备 32011302320123号