ABCD-ITSMS-P10 资产管理程序

资产管理程序文档编号SC-ITSMS-P10文档版本号V1.0当前版本日期2021/09/05下次文档回顾日期2022/09/04文档编制后勤部文档审核张言文档批准苟彬密级内部公开杭州世拓创意智能科技有限公司该文档的最新版本保存在文件服务器上，在使用该文档前使用者有责任从文件服务器中获取最新版本。该文档的打印版本仅用来参考。文档信息文档的保存主控文档(masterdocument)存放在文件服务器上。文档修订信息版本号修订日期修订人修订说明备注V1.0后勤部按照18020000-1:2018版标准新建体系文件文档的审批该文档需要以下的审批:姓名职位是否批准苟彬总经理是文档的分发该文档的主控版本存放于文件服务器上，该文档的打印版本仅用作参考并且不在控制范围内。该文档的使用者有责任确保使用的是最新版本。第一章目的第一条为规范资产的识别和分级、标识和处理、以及生命周期管理,并对组织资产实现保护，特制定本规定。第二章适用范E第一条本规定适用于组织资产的管理，包括但不只限于资产识别及使用授权管理、信息分类和标记管理、资产分配和归还管理、信息介质使用处理及介质传递管理。第二条本规定适用于信息安全管理体系范围内资产的所有者、管理者和使用者。第三章术语、定义、缩略语第三条资产指对组织具有价值的信息或资源，是安全策略保护的对象,资产的类型有基本资产和支持性资产。第四条基本资产包括信息、业务过程或活动。第五条支持性资产包括软件、硬件、网络、场所、人员和组织。第六条资产责任人是指使用资产并对该资产负有管理责任的人或实体。第四章组织和职责第四章组织和职责第七条资产使用部门的职责如下:识别本部门所有的全部资产；对本部门的资产进行风险评估；选择并实施保护本部门资产的控制措施；指定资产责任人；制定本部门的资产使用规划。第二条信息安全管理部门的职责如下：制定资产分类、编码、标识规范；制定资产风险评估方法和接受标准；（三）指导各部门执行资产管理和风险评估；定期开展内部资产安全检查和评审。第五章资产使用管理第三条应识别所有资产及其属性，形成资产管理文件。第四条资产的识别应遵从如下原则：相互独立原则：识别出的资产应没有概念上的重合；颗粒适度原则：指所识别资产的颗粒度既能满足进行各项管理工作的要求，又符合相互独立原则；完全穷尽原则：应识别信息安全管理体系范围内的所有资产。第五条资产分类包括基本资产和支持性资产构成：基本资产包括：信息、业务过程或活动；支持性资产包括软件、硬件、网络、场所、人员和组织。第六条资产的属性应包括但不限于：资产类型、格式、位置、备份信息、许可证信息和业务价值。第七条所有的库存资产要进行管理，并指定责任人。第八条制定和实施对信息和资产的使用规则，并形成文件，如：电子邮件、互联网和移动设备的使用规则。第六章信息分类管理第九条按照信息的价值、法律要求、敏感性和关键性制定分类方案。第十条根据组织所采用的信息分类方案，对信息统一编码进行标记标识。信息标记的方案要涵盖物理和电子格式的信息。要根据信息的分类要考虑用适宜的方法来进行标识，如：打印报告、屏幕显示、记录介质、电子消息和文件传送等输出信息要采用的标记方法。对每个分类的信息都要定义处理、存储、传输、删除、销毁的处理程序。第十一条信息要依据组织的安全级别进行分级管理，并对不同级别采取不同的保护措施。第十二条所有员工、第三方员工在合同（协议）终止或调岗后应归还组织的资产。（一）在员工离职时相关部门应及时禁用或删除该员工的物理和逻辑访问权限，如，办公0A系统帐号、邮箱帐号、各业务系统中与该员工相关的帐号。（二）员工离职时，应归还其使用的相关资产，如，办公电话、工卡、与业务相关的纸质文件资料和存储于电子介质中的文档、数据等。（三）应确保对离职人员曾使用过的组织的信息已经安全交付给组织。相关责任部门应对离职人员办公电脑硬盘、移动存储介质等进行数据清除，清除方式包括格式化或使用专用工具进行安全擦除。第七章信息介质处理第十三条按照信息类别对存放信息的介质进行管理。（一）所有的介质应保存在安全的、保密的环境中。（二）对介质和介质中信息的使用应经过授权并加以记录。第十四条对不再使用的介质，使