资讯资产管理程序书中州科技大学.doc
《资讯资产管理程序书中州科技大学.doc》由会员分享,可在线阅读,更多相关《资讯资产管理程序书中州科技大学.doc(20页珍藏版)》请在咨信网上搜索。
1、管理系統文件文件類別第 二 階 文 件文件編號ISMS-P-003文件名稱資訊資產管理程序書發行單位文 件 管 制 小 組發行日期103年12月01日版次A訂修廢單位審 查核 准資通安全處理小組(原版簽名頁保存於文件管制小組)訂 修 廢 記 錄版次發行日期訂 修 廢 內 容 摘 要A103/12/01初版發行1. 目的為促使本校各項資訊資產之分類、分級、評價、標示及處理之管理有一明確規範,確保執行各項資訊資產管理之作業均能滿足本校之需求,避免因人為疏失、蓄意或自然災害等風險所造成之傷害,特制定本程式書。2. 適用範圍凡本校各項資訊資產之管理,均適用本程序書。3. 參考文件3.1. 中華民國國家
2、標準CNS 27001資訊安全管理系統控制要項。3.2. ISMS-P-001文件與紀錄管理程序書。3.3. ISMS-P-010人力資源安全管理程序書。3.4. ISMS-P-011實體與環境安全管理程序書。4. 名詞定義4.1. 資訊資產管理單位對該項資訊資產具有判斷資產價值、決定存取權限或新增、刪除、修改權限,以及執行資訊資產日常保護、異動與維護之作業,同時也是資訊資產的擁有單位。4.2. 資訊資產使用單位以實際或邏輯方式使用該項資訊資產之人員,對於被授權使用資產之單位或人員,應依各項安全程序正確使用操作資產。4.3. 資產價值(資產鑑價C、I、A)4.3.1. 機密性(Confiden
3、tiality,簡稱C):確保只有經過授權的人才能存取資訊(使資訊不可用或不揭露給未經授權之個人、個體或過程的性質)。4.3.2. 完整性(Integrity,簡稱I):保護資訊及其處理方法的準確性(accuracy)和完整性(completeness)的性質。4.3.3. 可用性(Availability,簡稱A):確保經授權的使用者,在需要時可以隨時存取資訊並使用相關資訊資産。5. 作業內容5.1. 資訊資產管理流程圖作業流程權責單位相關表單權責單位資訊資產管理單位資通安全處理小組資通安全管理委員會資訊資產清冊資訊資產管理單位資訊資產清冊資訊資產管理單位資訊資產清冊資訊資產管理單位資通安全
4、管理委員會資訊資產清冊資訊資產管理單位資訊資產清冊各需求單位資訊資產管理單位資訊資產清冊資訊資產管理單位資訊資產清冊相關業務承辦人員資訊資產清冊5.2. 資訊資產驗收各項資訊資產之驗收,由權責單位依據本校相關之驗收程序辦理驗收作業。5.3. 資訊資產鑑別5.3.1. 各項資訊資產之管理單位應鑑別所管轄之資訊資產,並建立ISMS-P-003-01資訊資產清冊。5.3.2. 各項資訊資產管理單位應定期更新與維護所管轄之ISMS-P-003-01資訊資產清冊。5.3.3. 資訊資產清單由各資訊資產管理單位提供,資通安全處理小組負責彙整,並陳報至資通安全管理委員會統一控管,以確保資訊資產編號及清單之完
5、整性。5.4. 資訊資產分類與分級5.4.1. 資訊資產分類依資訊資產之價值、對組織運作的關鍵程度或依其可用性和完整性進行分類。資訊資產分為五大類,分別為:人員類、資訊類、硬體類、軟體類、環境保護類,各分類說明如下:大分類小分類範例人員類(People / PE)編制內人員正式編制人員、臨時人員、工讀生、專案人員、委外承包廠商等。臨時鐘點人員廠商駐點人員委外廠商資訊類(Information / IF)作業文件資料庫與資料檔案、備份資料、原始程式碼、網路架構圖、系統文件、操作或支援程序、使用手冊、教育訓練教材、管理制度文件、緊急應變&復原計畫、營運持續計劃(BCP)、稽核日誌、合約與協議、報表
6、、表單記錄等。系統文件合約資訊紀錄(電子/紙本)系統紀錄(Log)硬體類(Hardware / HW)個人電腦一般硬體:包含電腦設備(伺服器、筆記型電腦、個人電腦、工作站)、CD/DVD 燒錄器、CD/DVD光碟機、磁帶機、軟碟機、投影機、PDA、印表機等。通訊設備:集線器、橋接器、網路交換器、路由器、數據機、電話自動交換機(PBX)、網路纜線、防火牆、入侵偵測系統、視訊會議設備、傳真機、手機。儲存媒體:CD/DVD(空白)、硬碟(無資料)、磁片(空白)、磁帶(空白)、移動式硬碟(空白)、錄音/影帶(無資料)等。可攜式電腦伺服器資安設備網路設備可攜式儲存媒體電腦保護設施其他硬體軟體類(Soft
7、ware / SW)作業系統應用系統軟體、作業系統軟體、開發工具、套裝軟體、公用程式、防火牆軟體、防毒軟體、驗證軟體、資料庫管理系統(DBMS)、加密軟體、文件管理系統、內部開發程式、內部發展系統等。應用系統套裝軟體軟體開發工具資訊安全系統環境保護類(Environment / EV)一般辦公區域建築類:電腦機房、會議室、辦公室、監控室、接待區、交貨區/裝載區等。環境保護設施:不斷電系統、第二電力供應迴路、穩壓器、機櫃、避雷裝置、警報系統、備用發電系統、環境控制系統(火偵測、熱偵測、水偵測、溫濕度偵測、自動消防滅火系統)等。特殊辦公區域資訊機房倉庫/庫房建築保護設施5.4.2. 資訊資產分級依
8、資訊之特性與實際需要進行資訊資產安全分級。各類資訊資產之機密等級區分為3級,分別為:一般、內部使用、機敏。各分級之評估標準如下:分級評估標準說明機敏 含敏感資訊,僅提供少數相關業務承辦人員及其主管,或被授權之單位及人員使用。 資訊資產若洩漏,會影響本校聲譽及員工與客戶之權益。組織需採取補救措施。 資訊資產存取權限須經由高階主管核准同意。內部使用 含部分敏感資訊,僅供組織內部人員或被授權之外部單位使用。 資訊資產若洩漏,會對本校造成有形或無形的損害,此損害為組織可承受之範圍。 資訊資產存取權限須經由單位權責主管核准同意。一般 為一般性資料可對外公開,但須遵守相關發布流程。 若流傳至組織外部,不會
9、對組織造成任何有形或無形的傷害。 資訊資產存取權限只須經由資訊資產使用者同意。5.4.2.1. 資訊資產之機密等級應定期審核,視實際需要予以調整及修正,以符合本校需求。5.4.2.2. 不同等級之資訊資產合併使用或處理時,應以其中最高之等級為其機密等級。5.5. 資訊資產價值鑑別5.5.1. 資訊資產管理單位應鑑別其所管轄內所有資訊資產之價值。5.5.2. 資訊資產價值除考量資訊資產機密等級之外,尚需考量資訊資產之可用性及完整性。5.5.3. 資訊資產價值評估標準依資訊資產之特性,分成人員與非人員(含硬體、軟體、資訊及環境保護類)兩大類,其各所對應之機密性、完整性及可用性之定義與價值評估標準說
10、明如下:5.5.3.1. 人員類資產5.5.3.1.1. 機密性評估著重於保護資產,確保只有獲得授權的人才能存取該資產。等級量化值內 容 說 明高3其工作執掌可存取限定資料(含機敏、內部使用及一般等三類)。中2其工作執掌可存取內部使用類資料及一般類資料。低1其工作執掌僅可存取一般類資料。5.5.3.1.2. 完整性評估著重於確保資料的正確性及資產(作業)處理的完整性,以避免因運用錯誤的資料或因資產處理的不完全,而造成對組織的衝擊。等級量化值內 容 說 明高3 未正確執行業務而造成資料不完整,會對業務造成很大的衝擊,甚至造成業務中斷失敗。 可能影響全組織對外所提供的服務作業。中2 未正確執行業務
11、而造成資料不完整,可能對業務運作不造成中斷,但降低運作效率及影響。 可能影響單一部門運作。低1 未正確執行業務而造成資料不完整,可能對業務運作不會造成中斷或雖降低效率但不會造成影響。 僅僅影響少數承辦人的作業。5.5.3.1.3. 可用性評估確保資產提供使用者所需的服務,以達成預期之功能,主要為避免因災害而致使組織無法持續運作或提供服務之衝擊。等級量化值內 容 說 明高3 欲維持業務正常運作,在該等人員無法持續提供服務時,可容忍替換時間為4小時。 業務高度仰賴該員,且一旦該員無法作業時,將影響本校對外所提供的服務作業。中2 欲維持業務正常運作,在該等人員無法持續提供服務時,可容忍替換時間為12
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 资讯 资产 管理程序 中州 科技大学
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【w****g】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【w****g】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。