信息资产与人员安全制度.doc

信息资产与人员安全制度 7.1 资产责任 7.1.1 资产的清单 第31条 应清楚识别所有的资产，所有与信息相关的重要资产都应该在资产清单中标出，并及时维护更新。这些资产包括但不限于 1)信息：数据库和数据文件、系统文档、用户手册、培训材料、操作手册、业务连续性计划、系统恢复计划、备份信息和合同等。 2)软件：应用软件、系统软件、开发工具以及实用工具等。 3)实体：计算机设备（处理器、显示器、笔记本电脑、调制解调器等）、通讯设备（路由器、程控电话交换机、传真机等）、存储设备、磁介质（磁带和磁盘等）、其它技术设备（电源、空调器等）、机房等。 4)服务：通讯服务（专线）。 第32条 资产清单必须每年至少审核一次。在购买新资产之前必须进行安全评估。资产交付后，资产清单必须更新。资产的风险评估必须每年至少一次，主要评估当前已部署安全控制措施的有效性。 第33条 实体资产需要贴上适当的标签。 7.1.2 资产的管理权 第34条 所有