安全运维管理-（二）资产管理

安全运维管理

 控制点

2.资产管理

等级保护对象的资产包括各种硬件设备（例如网络设备、安全设备、服务器设备、操作终端、存储设备和存储介质、供电和通信用线缆等）、各种软件（例如操作系统、数据库管理系统、应用系统等）、各种数据（例如配置数据、业务数据、备份数据等）和各种文件等。由于等级保护对象的资产种类较多，所以必须对所有资产实施有效的管理，以确保资产可以被识别，并能够按照其自身重要程度得到有效的保护。

a)

安全要求（一般）：应编制并保存与保护对象相关的资产清单，包括资产责任部门、重要程度和所处位置等内容。

要求解读：等级保护对象资产种类较多，如保护对象的资产管理比较混乱，容易导致等级保护对象发生安全问题或不利于安全问题发生时有效应急。

测评方法

1.核查资产清单。

2.资产清单内是否包含了资产范围（含设备设施、软件、文档等）、资产责任部门、重要程度和所处位置。

期望结果

1.具有资产清单。

2.资产清单内容包含了资产范围（含设备设施、软件、文档等）、资产责任部门、重要程度和所处位置。

b)

安全要求（一般）：应根据资产的重要程度对资产进行标识管理，根据资产的价值选择相应的管理措施。

要求解读：信息资产的重要程度不同，在系统中所起的作用也不尽相同，应综合考虑资产的价值、在系统中的地位、作用等因素，按照重要程度高低对资产进行分类、分级管理，分类的原则应在相关文档中进行明确，且需明确重要资产和非重要资产在资产管理环节（如入库、维修、出库）的不同要求。

测评方法

1.核查资产管理制度。

2.制度内容是否包括了资产的标识方法以及不同资产的管理措施要求。

3.核查资产清单中的设备是否具有相应的标识。

4.核查资产清单中的设备上的标识方法是否符合相关要求。

期望结果

1.具有资产管理制度。

2.制度内容包括了资产的标识方法以及不同资产的管理措施要求。

3.资产清单中的设备具有相应的标识。

c)

安全要求（重要）：应对信息分类与标识方法作出规定，并对信息的使用、传输和存储等进行规范化管理。

要求解读：信息作为资产的一种，可根据其所属的类别不同，重要程度不同进行信息的梳理分类（一般可分为敏感，内部公开，对外公开等不同类别），不同类别的信息，在使用、传输和存储等方面管理要求也应该不同。

测评方法

1.核查安全管理制度中是否明确了对信息进行分类与标识的原则和方法。

2.核查安全管理制度中是否明确了对不同类信息的使用、传输和存储等操作的要求。

期望结果

1.安全管理制度中明确了对信息进行分类与标识的原则和方法。

2.安全管理制度中明确了对不同类信息的使用、传输和存储等操作的要求。