本文目录导读:

CISP-AM(注册信息安全专业人员-资产与供应链安全)是由中国信息安全测评中心(CSEC)推出的专业认证,专注于信息资产管理与供应链安全,虽然其官方大纲会随行业实践更新,但“档案管理”作为资产管理中的核心环节,其框架通常遵循生命周期管理与分级分类两大原则。
以下是基于CISP-AM知识体系及行业最佳实践总结的信息资产管理(档案管理)框架,适用于企业构建或审查相关体系:
核心管理目标
- 可见性: 确保所有档案(信息资产)被识别和记录。
- 可控性: 确保档案的访问、使用、变更受控。
- 可追溯性: 记录档案的全生命周期操作日志。
- 合规性: 满足《网络安全法》、等保2.0、数据安全法等法规要求。
档案管理的关键步骤(PDCA闭环)
识别与分类(Plan)
- 资产盘点范围: 硬件(服务器、存储介质)、软件(系统、应用、代码库)、数据(结构化、非结构化)、文档(制度、合同、技术方案)、人员(档案中的权限记录)。
- 分类维度:
- 按重要性: 核心资产、重要资产、一般资产。
- 按密级: 公开、内部、机密、绝密。
- 按类型: 运维档案、研发档案、业务档案、审计档案。
- 建档要求: 建立统一的资产编号规则(如:ORG-ASSET-TYPE-YYYYMMDD-XXX)。
存储与维护(Do)
- 元数据管理: 记录档案的创建者、创建时间、存储位置、哈希值(完整性校验)、责任人。
- 存储安全:
- 介质保护: 加密存储、防磁、防潮、防火。
- 版本控制: 实施文档/配置的版本管理(如Git、SVN权限隔离)。
- 责任人机制: 明确每个档案的“Owner”(所有者)和“Custodian”(保管者/管理员)。
访问与使用(Check/Control)
- 最小权限原则: 基于角色(RBAC)授予档案读取、修改、删除权限。
- 审批流程:
- 机密级以上档案的对外提供、复制需双人审批。
- 档案注销(销毁)需部门负责人与安全/法务共同审批。
- 日志审计: 记录谁、何时、何地、对什么档案、做了什么操作(4W1H)。
处置与销毁(Act)
- 保留期限: 根据法律(如劳动法、保密法)设定最小保留期,超期后评估是否销毁或降密。
- 销毁方式: 物理销毁(碎纸、消磁)、逻辑销毁(覆写、加密擦除),需出具销毁证明并归档。
档案管理框架的核心要素(CISP-AM强调点)
| 要素 | 说明 | CISP-AM关注点 |
|---|---|---|
| 台账管理 | 建立“档案即资产”的动态台账。 | 台账是否实时更新?是否与CMDB/ITSM系统联动? |
| 脆弱性关联 | (如代码、配置)是否暴露已知漏洞? | 档案中的软件版本是否纳入漏洞扫描范围? |
| 供应链档案 | 外包、供应商交付的文档(如SDLC文档、安全白皮书)。 | 供应商的交付物是否经过安全验收入档? |
| 应急恢复 | 档案的备份与灾备策略。 | 核心档案是否具备异地备份?恢复演练是否记录? |
| 合规审计 | 向监管机构或审计方证明档案管理过程。 | 能否提供完整的档案生命周期审计报告? |
典型实施路径(企业落地建议)
- 制度先行: 制定《信息资产档案管理办法》,明确责任部门(通常为信息/运维中心,安全部监督)。
- 工具选型:
- 轻量级: 自建Excel台账 + 共享文件夹权限(适合小型企业,风险较高)。
- 标准级: 使用资产管理工具(如ServiceNow、ManageEngine)或ALM/PLM系统。
- 安全级: 部署DLP(数据防泄漏)+ DCAP(数据资产感知)系统,实现自动发现与分类。
- 定期盘存: 至少每季度进行一次全量盘点,每年进行一次全面审计。
- 培训宣贯: 让每个员工明白“我创建的文档就是企业的档案/资产”,遵循统一命名与存储规范。
与CISP认证的关系
- 考试重点: 你会看到关于“资产分类原则”、“档案的访问控制模型”、“档案销毁的合规要求”等选择题。
- 案例分析: “某公司服务器报废,硬盘直接丢弃,导致客户数据泄露,请根据CISP-AM框架分析问题并提出改进措施。” —— 答案会涉及《档案销毁管理制度》缺失、缺乏物理销毁记录等。
如果需要针对特定场景(如数据中心运维档案、源代码档案管理、供应商交付物档案管理)的详细实施方案,可以补充说明你的行业或规模。