系统运维管理-资产管理规范

系统运维管理资产管理规范

版本历史 编制人： 审批人：

目录

目录 .......................................................................................................... 2 一、要求内容 ............................................................................................ 3 二、实施建议 ............................................................................................ 3 三、常见问题 ............................................................................................ 3 四、实施难点 ............................................................................................ 3 五、测评方法 ............................................................................................ 4 六、参考资料 ............................................................................................ 5

一、要求内容

a)应编制并保存与信息系统相关的资产清单，包括资产责任部门、重要程度和所处位置等内容；

b)应建立资产安全管理制度，规定信息系统资产管理的责任人员或责任部门，并规范资产管理和使用的行为；

c)应根据资产的重要程度对资产进行标识管理，根据资产的价值选择相应的管理措施；

d)应对信息分类与标识方法作出规定，并对信息的使用、传输和存储等进行规范化管理。

二、实施建议

编制各部门的信息资产清单可以了解各部门信息资产的管理情况，同时也是信息资产风险评估的基础，资产清单记录的内容越详细对资产的管理越有帮助；对于信息资产的管理同样需要建立管理制度，内容应包括资产的分类、分级、标识、使用、保管等内容。

三、常见问题

多数企业没有信息资产的清单，没有单独针对信息资产管理的要求。

四、实施难点

在信息资产管理初期需要对员工进行适当的培训使之了解哪些资产属于信

息资产，对信息资产的安全管理有哪些好处。

五、测评方法

形式访谈，检查。对象安全主管，资产管理员，信息资产清单，信息分类分级文档，资产安全管理制度。

实施

a)应访谈安全主管，询问是否指定信息资产管理的责任人员或部门,由何部门/何人负责；

b)应访谈资产管理员，询问是否根据信息资产清单定期对资产进行一致性清查，并对信息资产清单进行维护更新；是否对信息资产进行分类、分级和标识管理，不同类别、不同安全级别的信息资产是否采取不同的管理措施；

c)应访谈资产管理员，询问对信息的操作（包括信息使用、存储和传输等方面）是否要求进行标识；

d)应访谈系统运维负责人，询问目前信息系统是否由机构自身负责运行维护，如果是，系统运行所产生的文档如何进行管理（责任书、授权书、许可证、各类策略文档、事故报告处理文档、安全配置文档、系统各类日志等），是否由专人管理；

e)应检查信息资产清单，查看其内容是否覆盖资产责任人、所属级别、所处位置和所属部门等方面，清单内容是否因资产所属发生变化或资产增减而进行过改变；

f)应检查资产安全管理制度，查看其内容是否覆盖了资产使用、借用、维护等方面；

g)应检查信息分类分级文档，查看其是否规定了分类标识的原则和方法（如