文档信息。
版本记录。xx单位。
资产安全管理制度。
目录。1 总则 3
1.1 目的 3
1.2 范围 3
1.3 职责 3
1.4 术语和定义 3
2 管理细则 3
2.1 信息资产的获取 3
2.2 信息资产的分类 3
2.2.1 信息资产的分类 4
2.2.2 信息资产的分级 6
2.2.3 信息资产的标识 7
2.2.3.1 信息资产标注的原则 7
2.2.3.2 信息资产标注的方法 7
2.2.3.3 信息资产标注的内容 8
2.2.4 信息资产的识别与汇总 8
2.3 信息资产的使用规范 8
2.3.1 硬件资产的使用规范 8
2.3.2 软件资产的使用规范 9
2.3.3 电子数据的使用规范 10
2.3.4 实体信息的使用规范 10
3 附件 11
规范xx单位信息资产的管理、使用和处置,防止其滥用和丢失,保护数据安全。
适用于xx单位信息资产的管理,包括:获得、分类分级、使用和处置。
信息中心:主要负责信息资产的采购、入库、领用、为资产建立台账,负责使用与处置方法,并监督各部门的执**况。
各部门:按照相关规定,对信息资产进行有效使用和管理。
信息资产:本文件中的信息资产是指可以存储信息数据的信息载体,包括:硬件、软件、数据(电子数据)、文档(实体信息)、人员、服务设施、其他。
信息资产的生命周期可分为采购与生成、使用与更新、销毁与废弃三个阶段。
软件、硬件设施、服务性设施等的获得主要以采购的方式获得,采购按照《it产品采购管理制度》有关规定进行采购和验收。
数据信息资产的获得**主要为:**商、财务信息、其他信息。
各科室根据业务流程列出信息资产清单并将每项资产的资产类别、信息资产编号、资产现有编号、资产名称、所属部门、管理者、使用者、地点等相关信息记录在资产清单上。资产的分类原则和编号原则如下:
分类原则:硬件。
1. 计算机设备:(台式机、笔记本)、(www、smtp、pop3、ftp、dns)等服务器(含虚拟机);
2. 存储设备:磁带机、磁盘整列、磁带、光盘、软盘、移动硬盘等;
3. 网络设备:路由器、交换机、hub、网关、程控交换机等;
4. 传输线路:光纤、双绞线、**线(布线)、电源线;
5. 安全设备:硬件防火墙、入侵检测、网络隔离设备(如网闸)、负载均衡设备、身份验证、soc、utm等;
6. 办公设备:打印机、复印机、扫描仪、传真机、碎纸机、写字白板、应急照明设备;
7. 保障设备:动力保障设备(ups、变电设备)、空调、保险柜、文件柜、门禁、消防设施等;
8. 其他设备:生产设备(测量仪、smt等);
软件。如:操作系统、系统软件(office/autocad)、应用软件(医疗信息软件)、网管软件、杀毒软件、财务软件、开发工具和资源库等。
电子数据。存在电子媒介的各种数据资料。如:源**、数据库数据、各种数据资料、系统文档、运行管理规程、计划、日周月报告、财务报告(电子版本)、用户手册、方案、电子设计图纸等。
实体信息。纸质的各种文件。如:传真、电报、财务报告、发展计划、合同、纸张图纸等。
服务性设施。
如:电源、空调、保险柜、文件柜、门禁、消防设施等。
人员。如:xx单位各级领导、各级正式雇员、临时雇员等。
其他。如:xx单位形象等。
对于xx单位信息资产,为了可唯一进行识别,定立以下编号规则:
按照信息资产的公开和敏感程度,以及信息资产对系统和组织的重要性,信息资产的分级原则有两个:
对于文档(含电子文档与纸质文档)、介质类的数据载体,按照承载信息本身的公开和敏感程度,该类信息资产拟划分为“工作秘密”、“内部公开”、“外部公开”**,针对不同级别的资产标识不同的保护等级。
对于其他物理设备,按照其对系统和组织的重要程度,该类信息资产拟划分为“关键资产”、“重要资产”、“普通资产”**,针对不同级别的资产标识不同的防护等级。
信息资产分级划分具体方法:
关键资产:承载、处理或存储xx单位核心业务信息系统数据,一旦破坏,会对xx单位的主营业务造成冲击和损害。原则上承载处理业务信息系统数据的资产均应被标识为关键资产。
重要资产:对xx单位某一部门提供服务的信息系统所含资产、或属于业务信息系统的支撑系统的信息系统所含资产。
普通资产:除上述信息系统以外的信息系统包含资产均可划分为普通资产,如不直接承载、存储业务信息系统的打印机、打码机等。
工作秘密:涉及xx单位明确规定需要保密的信息、业务信息系统数据、xx单位财务数据、人员工资数据、信息系统账号等的信息数据文档均应划分为工作秘密。
内部公开:在xx单位内部公开,对外保密的信息,向外扩散有可能对xx单位的利益造成损害的数据文档。
外部公开:对社会公开的信息,公用的信息处理设备和系统资源等信息资产。
对不同安全类别的信息进行明确的标识,有助于内部相关人员依照有关信息安全规章制度进行具体操作和处理,从而最大限度地降低人为的误操作带来安全隐患的概率。
1) 所有信息资产安全分类标识必须正确反映该信息的安全防护级别,信息安全工作小组对信息安全分类有最终决定权。
2) 对所有的信息安全分类标识,由信息安全工作小组作定期更新维护。
3) 电子格式的数据和文档采用电子方式进行分类标识。其他形式的资产采用贴标签的方式对信息进行分类标识。
1) 电子信息。
电子格式的数据和文档采用电子方式进行分类标识。标识分为“工作秘密、内部公开、外部公开”三个类别。
对于电子文档,应在文档的页眉、页脚、或封面开始部分的醒目处进行标识。
其他电子信息,如配置信息、备份数据等,如果可以采用电子方式进行标识,则采用电子方式进行标识。
对于技术手段上不能进行标识的电子信息,可以在文件名称上加上密级标识,或者采用对信息载体进行物理标签标识等其他方法。
如果文档是由已经标识好的电子文档打印出来的,则不需要再做任何标识。
2) 物理资产。
采用贴物理标签的方式对信息进行分类标识。
信息资产分类标识必须包括并不仅限于下列信息:
1) 简单描述或内部编号。
2) 安全类别/重要程度。
3) 资产管理员。
通过业务流程分析,识别各个流程的各类关键信息资产,最终信息中心汇总《信息资产清单》,并每半年进行一次更新,确保重要信息资产的完备性(重要信息资产没有遗漏和缺失)和准确性(信息资产的保密级别和重要程度能够真实反映信息资产的状态)。
所有的硬件资产必须明确设备的使用人员/管理人员,明确职责。
硬件资产的使用人(或管理人),在使用或管理硬件资产时,要注意硬件资产的安全性、机密性、完整性,防止信息载体的毁坏和信息的泄密,防止信息处理设施的滥用。
对设备定期进行维护保养,发生毁坏,丢失等问题时能够及时处置。
新硬件设备接入网络按照相关规定处理。
当设备迁移时,如果设备中存储有重要信息时候,需事先进行备份;
设备迁移完成后,需要检查设备是否损坏;
设备迁移出xx单位时,检查人员在检查时要格外注意,禁止设备中存放重要信息,以防止xx单位机密信息泄露或泄露的风险增加。
离开xx单位的设备和介质,如客户现场的设备和介质需要有人值守或委派负责人(或者公共场所放置的需要有人值守或监视系统)。
在旅行时便携式计算机(笔记本电脑)要作为手提行李携带,若可能宜伪装起来;
制造商保护设备用的说明书要始终加以遵守,例如,防止暴露于强电磁场内;
所有的软件资产必须设置专人管理,明确职责,避免软件资产的丢失,泄密。
所有正版软件实体由信息中心保管,在安装软件时要规定使用权限,防止非授权访问。
xx单位自己开发系统软件的源**应进行备份。
对xx单位重要系统,如邮件系统,文件服务器系统进行备份。
当人员离职或岗位变动,需要**有关的软件,必要时,由信息中心人员对离职人员使用的软件进行卸载,删除。
资产安全管理制度资产安全管理制度办法
资产安全管理制度 资产安全管理制度办法。资产安全管理制度 资产安全管理制度办法。资产安全管理制度篇1 一 管好用好园所的一切财物是全园师幼的共同责任。全园师幼都要树立园所是我家 爱护,保护财产靠大家的思想,把爱园如家变成自觉行动。二 财物管理员,对园所财产负有管理 清查 维护等责任,对所有园产都要登...
MHWJW28 IT设备安全管理制度V
文档信息。版本记录。xx单位。it设备安全管理制度。为加强对xx单位it设备的统一管理,规范xx单位it设备的采购 使用 保管和维修管理,保证各科室正常办公,更好地发挥计算机作用,促进办公自动化 信息化的发展,制定本制度。本制度适用于xx单位各科室全体职工。信息中心负责对xx单位所有it设备的统一采...
公司资产管理制度
第一章目的。完善公司管理流程,加强公司资产采购 使用 保管和报废等管理,保证公司资产安全与完整,充分发挥资产使用效能。第二章范围。根据资产的价值和使用年限,资产管理范围包括固定资产和低值易耗品两类。1 固定资产 单位价值2000元以上 含2000元 或使用年限超过1年以上的有形资产 2 低值易耗品 ...