SMS- 资产管理程序.doc

【SMS-资产管理程序.doc】文件主要讨论的是组织中资产管理的规范和流程，旨在确保资产的安全性和有效管理。以下是对文件内容的详细解析： 1. **资产管理的目的**：目的是规范资产的识别、分级、标识和处理，以及它们的生命周期管理，同时保护组织资产和服务交付过程中的资产。 2. **适用范围**：涵盖了组织内的所有资产，包括识别、使用授权、信息分类和标记、资产分配和归还、信息介质的使用和传递。涉及资产的所有者、管理者和使用者，无论是在信息安全管理体系范围内的哪一环节。 3. **术语定义**： - 资产：对组织有价值的信息或资源，包括基本资产（如信息、业务过程）和支持性资产（如软件、硬件、网络、场所、人员和组织）。 - 资产责任人：使用资产并对资产负管理责任的个人或实体。 4. **组织和职责**： - 资产使用部门：负责识别本部门所有资产、风险评估、控制措施选择和实施、指定资产责任人及制定使用规划。 - 信息安全管理部门：制定资产分类、编码、标识规范，制定风险评估方法，指导执行，并定期进行安全检查和评审。 - 运维服务部门：管理用于服务交付的资产，确保符合策略、标准、法规和合同要求。 5. **资产使用管理**： - 资产识别需遵循相互独立、颗粒适度和完全穷尽的原则，确保识别出所有相关资产，并形成管理文件。 - 资产分类为基本资产和支持性资产，每种资产都有特定的属性，如类型、格式、位置、备份信息、许可证信息和业务价值。 - 设定使用规则，如电子邮件、互联网和移动设备的使用政策，并形成书面文件。 6. **信息分类管理**： - 制定基于信息价值、法律要求、敏感性和关键性的分类方案。 - 对信息进行编码和标记，覆盖物理和电子形式，确保在各种输出中一致。 - 根据信息分类设定处理、存储、传输、删除和销毁的程序。 - 不同安全级别的信息应采取不同的保护措施。 - 员工离职或变动岗位时，应归还资产，取消访问权限，并确保信息的安全转移。 7. **信息介质处理**： - 介质管理根据信息类别进行，保持介质和信息的安全。 - 介质的使用需要授权和记录。 - 不再使用的介质要安全处置，如格式化或使用安全擦除工具，并记录处置过程。 - 在传输过程中保护介质，防止信息泄露或篡改。 这个文档提供了全面的资产管理框架，旨在通过明确的职责分配、信息分类和介质管理来确保组织资产的安全性和合规性。每个部分都强调了资产保护的重要性，从识别到处置的每一个环节都有严格的管理规定。通过这样的程序，组织可以有效地降低风险，保护其关键信息和资源。