河北艺术职业学院信息安全管理制度-信息资产安全管理制度

第一章总则

第一条为加强河北艺术职业学院（以下简称“河北艺校”）信息资产管理和保护，制定本制度。

第二条信息资产是指在河北艺校信息系统范围内，具有价值并需要保护的对象，除有形的固定资产外，还包括责任书、授权书、许可证、各类策略文档、事故报告处理文档、安全配置文档、系统各类日志、信息数据等资料。

第三条信息资产管理是指对信息资产进行识别、安全性赋值和安全保护。

第二章适用范围

第四条本制度适用于河北艺术职业学院各部门，规范非涉密信息系统的信息资产管理。

第五条计算机系统设计、开发、测试和运行的技术文档，用于数据备份的磁带、磁盘和光盘等数据存储介质等，参照《介质管理制度》进行管理。

第三章职责

第六条河北艺校的信息资产包含所有部门的信息系统资产。

第七条信息系统运维部门各管理员负责根据各信息资产管理员提供的《信息资产登记表》中的赋值等级和管理措施进行相应的日常维护工作。

第八条信息资产管理员：负责信息系统资产的管理，具体人员由河北艺校各部门指定。

1、负责信息资产的识别、记录、赋值和标识。

2、负责信息资产等级划分、信息授权。

第四章信息资产识别

第九条信息资产有多种形式，包括软件、硬件和数据等。它的识别是指按照规定属性对各类信息资产的辨认和区分。

第十条信息资产共分为六类：

1、网络资产：交换机、负载均衡、光纤转换器、路由器、调制解调器等构成信息系统网络传输环境的设备、软件和传输介质等 。

2、服务器资产：各类承载业务系统的服务器硬件及其操作系统，包括安装在服务器上的各类应用系统以及平台软件（数据库、中间件等）。

3、存储资产：NAS、SAN、磁带机、磁带库、磁盘阵列、光纤交换机等构成信息系统存储环境的设备、软件和传输介质。

4、安全资产：VPN网关、防火墙、内容过滤网关、入侵检测系统、防病毒网关、加密机、安全网闸等安全设备软硬件。

5、工作站资产：指信息系统环境中的各用户终端设备。

6、其他资产：非以上五类的信息资产。

第十一条信息资产管理员应对信息资产按上述六类逐项分类识别。

第十二条在信息资产识别中，信息资产管理员按规定对本部门信息资产进行调查，并建立资产清单。

第十三条在设备采购和新系统上线后，信息资产管理员应对新增信息资产进行识别、标记并将信息录入《信息资产登记表》。

第十四条在系统变更、设备升级或废弃后，信息资产管理员应立即更新资产清单。

第五章信息资产的安全性赋值

第十五条信息资产的安全价值有别于其商品价值，它由资产的机密性、完整性和可用性三部分决定，信息资产赋值包括上述三个方面的内容。

第十六条信息资产安全性赋值应按照如下规定进行：

1、每项资产的安全性赋值，综合信息资产的机密性、完整性和可用性分为高、中、低三级。

2、信息资产遭到破坏时，会对XXXX信息系统正常运行造成“严重损害”,则信息资产安全性赋值为“高”。

3、信息资产遭到破坏时，会对XXXX信息系统正常运行造成“中度损害”,则信息资产安全性赋值为“中”。

4、信息资产遭到破坏时，会对XXXX信息系统正常运行造成“轻度损害”,则信息资产安全性赋值为“低”。

第六章信息资产管理

第十七条信息资产维护

1、运维部门管理员有责任协助信息资产管理员识别自身职责范围内管理的信息资产。

2、信息资产管理员有责任协助运维部门管理员核实和维护信息资产信息。

3、信息资产内部属性发生变更，信息资产管理员要及时更新到《信息资产登记表》中。变更包括地理位置变更、信息资产配置信息变更等。

4、信息资产管理权限发生变更，信息资产管理员要将信息资产状况及时更新到《信息资产登记表》中。

5、《信息资产登记表》由河北艺校各部门和运维部门各保存一份，并保持内容同步。

6、系统运行产生的文档由专人负责管理。其中责任书、授权书、许可证由各资产管理员负责管理。各类策略文档、安全配置文档、系统各类日志等由运维部门相关管理员负责管理。事故报告处理文档由安全管理员负责管理。

第十八条安全审计员定期检查《信息资产登记表》信息完整性，检查信息资产信息和信息资产登记表是否一致。

第十九条信息资产管理流程

第七章信息资产保护

第一条信息资产保护管理

1、信息资产设备由设备所属部门负责安全防护。

2、各部门信息系统的安全管理员定期巡检所负责的信息资产安全状况（或委托第三方进行安全巡检）。

第二条信息资产保护内容

1、针对信息资产每年定期进行信息安全评估及安全加固（可借助第三方）。

2、信息资产的信息要及时反映到《信息资产登记表》中。

3、不同信息资产设备应根据系统及资产的重要性，部署不同程度的安全保护措施。

第八章相关文件

第三条与本制度相关的其他文件及表单包括：

1、《信息资产登记表》

2、《信息安全策略纲要》

第九章附则

第四条本制度自发布之日起执行。

第五条本制度的解释和修改权属于信息安全领导小组。

信息安全领导小组每年统一检查和评估本制度，并做出适当更新。在业务环境和安全需求发生重大变化时，也将对本制度进行检查和更新。