等级保护对象的资产包括各种硬件设备(如网络设备、安全设备、服务器设备、操作终端、存储设备和存储介质,以及供电和通信用线缆等)、各种软件(如操作系统、数据库管理系统、应用系统等)各种数据(如配置数据、业务数据、备份数据等)和各种文件等。由于等级保护对象资产种类较多,必须对所有资产实施有效的管理,确保资产可被识别,并依据其重要程度得到有效的保护。
| 10.2.1 应编制并保存与保护对象相关的资产清单,包括资产责任部门、重要程度和所处位置等内容 |
| 等级保护对象资产种类较多,如保护对象的资产管理比较混乱,容易导致等级保护对象发生安全问题或不利于发生安全问题时有效应急。 【测评方法】 1)核查资产清单。 2)资产清单内容是否包括了资产范围(含设备设施、软件、文档等)、资产责任部门、重要程度和所处位置等。 【预期结果】 1)具有资产清单。 2)资产清单内容包括了资产范围(含设备设施、软件、文档等)、资产责任部门、重要程度和所处位置等。 【权重】0.7 |
| 10.2.2应根据资产的重要程度对资产进行标识管理,根据资产的价值选择相应的管理措施。 |
| 信息资产的重要程度不同,在系统中所起的作用也不尽相同,应综合考虑资产的价值、在系统中的地位、作用等因素,按照重要程度高低对资产进行分类、分级管理,分类的原则应在相关文档中进行明确,且需明确重要资产和非重要资产在资产管理环节(如入库、维修、出库)的不同要求。 【测评方法】 1)核查资产管理制度。 2)制度内容是否包括了资产的标识方法以及不同资产的管理措施要求。 3)核查资产清单中的设备是否具有相应的标识。 4)核查资产清单中的设备上的标识方法是否符合相关要求。 【预期结果或主要证据】 1)具有资产管理制度。 2)制度内容包括了资产的标识方法以及不同资产的管理措施要求。 3)资产清单中的设备具有相应的标识。 4)资产清单中的设备上的标识方法符合相关要求。 【权重】1 |
| 10.2.3 应对信息分类与标识方法作出规定,并对信息的使用、传输和存储等进行规范化管理 |
| 信息作为资产的一种,可根据其所属的类别不同,重要程度不同进行信息的梳理分类(一般可分为:敏感、内部公开、对外公开等不同类别),不同类别的信息在使用、传输和存储等方面管理要求也应不同。 【测评方法】 1)核查安全管理制度中是否明确了对信息进行分类与标识的原则和方法。 2)核查安全管理制度中是否明确了对不同类信息的使用、传输和存储等操作的要求。 【预期结果】 1)安全管理制度中具有对信息进行分类与标识的原则和方法。 2)安全管理制度中具有对不同类信息的使用、传输和存储等操作的要求。 【权重】1 |
