中央戏剧学院
信息与网络安全信息资产管理办法
(中戏院[2013]156号)
本办法依据中华人民共和国信息安全的有关法律法规,结合中央戏剧学院自身特点并参考国际有关信息安全标准制定。
《信息资产管理办法》包括三部分内容。“信息资产识别” 主要描述学院信息资产的种类;“信息资产信息管理” 主要描述学院信息资产信息管理的要求;“信息资产保护”主要描述信息资产的安全要求。
总 则
第一条 目标:为了加强中央戏剧学院信息安全保障能力,建立健全学院的安全管理体系,提高整体的网络与信息安全水平,保证网络通信畅通和业务系统的正常运营,提高网络服务质量,在学院安全体系框架下,本办法主要通过对学院信息资产的管理,及时规避隐患和风险。
第二条 适用范围:本办法适用于学院各相关部门。
第三条 使用人员及角色职责:本办法适用于学院系统安全管理员及资产管理人员。
第四条 相关性:本办法应遵照中央戏剧学院相关资产管理制度。
一、信息资产识别
(一) 信息资产分类
第五条 信息资产有多种存在形式,有无形的、有形的,有硬件、软件,也有数据等。它的识别是指按照规定属性对各类信息资产的辨认和区分,包括信息资产识别、分类和登记等项工作。
第六条 中央戏剧学院信息资产主要包括如下几类:
(1) 网络设备:无线AP、AC、Hub、VoIP网关、二层交换机、负载均衡、光纤转换器、路由器、调制解调器、多层交换机等构成信息系统网络传输环境的设备,软件和传输介质;
(2) 服务器:各类承载业务系统和软件的计算机系统及其操作系统,包括安装在服务器上各类应用系统以及构建系统的平台软件(数据库、中间件、群件系统、各商业软件平台等);
(3) 存储设备:NAS、SAN、磁带机、磁带库、磁盘阵列、光纤交换机等构成信息系统存储环境的设备,软件和传输介质;
(4) 安全设备:VPN网关、防火墙、内容过滤网关、入侵检测系统、防病毒网关、加密机、综合日志审计系统、安全网闸等构成信息系统信息安全环境的系统;
(5) 工作站资产:指监控终端,即用于管理服务器上的服务的终端,例如网管终端等。工作站不包括一般用途的笔记本和PC;
(6) 数据资产:指学院内部的以信息数据形式存在的信息资产,亦可称为学院的无形资产,包括:财务数据、人员信息、校园管理信息等等;
(7) 其他资产:非以上信息资产。
(二) 信息资产安全赋值
第七条 信息资产的安全价值有别于商品价值,由资产的机密性价值、完整性价值和可用性价值三部分组成。
第八条 信息资产安全性赋值按照如下规定进行:
(1) 每项资产的机密性价值、完整性价值和可用性价值分为一至三级; (2) 根据资产所包含秘密信息被揭露时所可能造成后果的严重性可将资产的机密性价值分为“轻度损害”、“中度损害”和“严重损害三级”;
(3) 根据资产处于不正确、不完整或可依赖状态时所可能造成后果的严重性可将资产的完整性价值分为“轻度损害”、“中度损害”和“严重损害”三级;
(4) 根据资产不可用时所可能造成后果的严重性可将资产的可用性分为“个体不可用”、“局部不可用”和“整体不可用”三级。
第2页
共3页
二、信息资产信息管理
第九条 所有中央戏剧学院信息资产归学院所有,信息网络中心及相关部门代为管理数据资产(有特殊要求的除外,如财务数据),并对存在的数据资产进行定期备份处理。
三、信息资产保护
(一) 信息资产保护管理
第十条 信息资产设备由设备所属的各系统管理人员负责安全防护。 第十一条 各系统管理人员定期巡检所属系统信息资产的安全状况。 第十二条 学院信息安全领导小组定期安排巡检学校所有信息资产的安全状况。
(二)信息资产保护内容
第十三条 信息资产要及时安装安全补丁,安全补丁的安装要符合业务影响最小原则。
第十四条 信息安全等级保护二级(含)以上系统每年定期进行信息安全评估及安全加固。
第十五条 不同信息资产应根据系统及资产的重要性,部署不同程度的安全保护措施。
四、附则
第十六条 本办法由学院信息网络中心制定,并负责修订。由学院信息安全领导小组讨论通过,发布执行。
第十七条 本办法自发布之日起执行。
第3页
共3页