第一条
第二条
第三条
第四条
第五条
第六条
第七条
第八条
(一) 1) 2)
信息资产和设备管理制度
第一章 范围及职责
本制度适用于信息资产的管理,包括:获取、分类、使用和处置以及安全设备的管理。
本制度中的信息资产是指可以存储信息数据的信息载体,包括:硬件、软件、数据(电子数据)、文档(纸质文件)、人员、服务设施、其他。
信息技术部主要负责信息资产的分类、汇总、使用与处置方法,以及安全设备的选型、检测、安装、登记、使用、维护和储存。
计算机资产统计信息的范围包含但不限于:计算机主机名、IP地址、MAC地址、使用人/责任人、所属部门、物理位置、服务器的内外网IP对应等。
第二章 信息资产的获取
软件、硬件设施、服务性设施等的获得主要以采购的方式获得,采购按照有关规定进行采购和验收。
数据信息资产的获得来源主要为:外包供应商、市场信息、其他信息。
第三章 信息资产的分类
各部门根据业务流程列出信息资产清单并将每项资产的资产类别、信息资产编号、资产现有编号、资产名称、所属部门(组别)、管理者、使用者、地点等相关信息记录在资产清单上。
资产的分类原则和编号原则如下:
硬件 计算机设备:(台式机、笔记本)、服务器;
存储设备:磁带机、磁盘整列、磁带、光盘、软盘、移动硬盘等;
3) 4) 5)
6) 7) 8) (二) (三) (四) (五) (六) (七) 第九条
第十条
网络设备:路由器、交换机、网关、程控交换机等; 传输线路:光纤、双绞线、电话线(布线)、电源线;
安全设备:硬件防火墙、入侵检测、网络隔离设备(如网闸)、身份验证等;
办公设备:打印机、复印机、扫描仪、传真机、碎纸机、写字白板、应急照明设备等;
保障设备:动力保障设备(UPS、变电设备)、空调、保险柜、文件柜、门禁、消防设施等;
其他设备。
软件
如:操作系统、系统软件(office/AutoCAD)、应用软件(生产软件)、
网管软件、杀毒软件、财务软件、开发工具和资源库等;
电子数据
存在电子媒介的各种数据资料。如:源代码、数据库数据、各种数据资料、系统文档、运行管理规程、计划、日周月报告、财务报告(电子版本)、用户手册、方案、电子设计图纸等;
纸质文件
纸质的各种文件。如:传真、电报、合同、纸张图纸等;
服务性设施
如:供电、供水、保洁、门禁、消防设施等;
人员
如:各级领导、各级正式雇员、临时雇员等;
其他。 按照《涉及国家秘密的信息系统分级保护技术标准》和信息安全管理体系建设要求,按照信息资产的公开和敏感程度,将信息资产化分为不同的保护等级,并对不同等级的信息资产进行保护,确保信息安全。各部门要将所有的移动介质和电子文件按照敏感性和重要程度分为不同的保护等级,保密级别与保密期限由持有人自行定义。
识别各个流程的各类关键信息资产,最终由信息技术部汇总,并每
半年进行一次更新,确保重要信息资产的完备性(重要信息资产没有遗漏和缺失)和准确性(信息资产的保密级别和重要程度能够真实反映信息资产的状态)。
第十一条 对信息资产进行编号,同时对重要信息资产进行标识:文档需有固
定版本编号规则;硬件设备粘贴在设备明显位置处。
第四章 信息资产的使用和处置
硬件资产的使用和处置
第十二条 硬件的使用处置包括购买/接收、使用(交接、维修、重用)、处置
等有关内容。
第十三条 购买新的硬件设备或者从其他部门接收转移的设备时,要核对设备
清单,对相关设备进行测试验证,然后登记。由资产管理员对硬件设备进行管理,明确设备管理职责。
第十四条 硬件资产的保存
(一) 机房选址要避免在地下室、一楼(水淹和渗水)和顶层(渗水和失
火时火向上燃烧),同时考虑相邻楼层的活动(避免热源和渗水);
(二) 处理敏感数据的信息处理设施放在适当安全的位置;以减少在设备
在使用期间信息被窥视的风险,保护储存设施以防止未授权访问;
(三) 设备的选址应采取控制措施以减小潜在的物理威胁的风险,例如偷
窃、火灾、爆炸、烟雾、水(或供水故障)、温度、湿度、尘埃、振动、化学影响、电源干扰、通信干扰、电磁辐射和故意破坏;
(四) 禁止在信息处理设施附近进食、喝饮料和抽烟; (五) 对专门保护的部件要予以隔离,以满足特殊安全要求。 第十五条 硬件资产的日常使用安全
(一) 所有的硬件资产必须明确设备的使用人员/管理人员,明确职责; (二) 硬件资产的使用人(或管理人),在使用或管理硬件资产时,要注意
硬件资产的安全性、机密性、完整性,防止信息载体的毁坏和信息的泄密,防止信息处理设施的滥用;对设备定期进行维护保养,发生毁坏,丢失等问题时能够及时处置;
(三) 新硬件设备接入网络按照相关规定处理;
(四) 在人员上岗时,可根据需要为上岗人员配备必要的办公设备,包括
电脑(笔记本或台式机),电话机,其它办公用品;信息技术部根据该工作人员所处部门、工作性质为其设置相应的办公网访问权限;
(五) 需要使用移动计算设备(包括笔记本、无线网卡、移动硬盘和U盘)
的用户,应得到信息技术部负责人的同意后方可使用;
(六) 对于无人职守的设备,要明确管理人员,加强物理安全控制。 第十六条 硬件资产的转移安全
(一) 当设备迁移时,必须先对设备中存储的重要信息进行备份; (二) 设备迁移完成后,必须检查设备是否损坏;
(三) 设备迁移出本单位时,设备中禁止存放重要信息,以防止机密信息
泄露或泄露的风险增加。
第十七条 办公地点外使用任何信息处理设备必须通过管理者授权。场外设备
的保护要考虑下列内容:
(一) 离开本单位的设备和介质(如现场的设备和介质),必须有人值守或
委派负责人(或者公共场所放置的需要有人值守或监视系统);
(二) 制造商保护设备用的说明书要始终加以遵守,例如,防止暴露于强
电磁场内;
(三) 根据风险的不同采取足够的安全保障措施,以保护离开办公室设备
的安全。
第十八条 硬件资产的处置和重用
(一) 存储设备销毁前,必须确保所有存储的敏感数据或授权软件已经被
移除或安全重写;
(二) 服务器、主要网络设备的处置由信息技术部进行安全处置; (三) 台式机、打印机、传真机、扫描仪等IT设备的处置由信息技术部进
行并做登记;
(四) 如需报废时,应向主管部门提出报废申请,经批准后报废。
软件资产的使用和处置
第十九条 软件资产的使用
(一) 所有的软件资产必须设置专人管理,明确职责,避免软件资产的丢
失,泄密;
(二) 所有正版软件实体由信息技术部专人保管,在安装软件时要规定使
用权限,防止非授权访问;
(三) 按照《数据存储备份管理制度》中要求,对重要系统进行备份; (四) 当人员离职或岗位变动,需要回收有关的软件,必要时,由信息技
术部技术人员对离职人员使用的软件进行卸载,删除。
第二十条 软件资产的处置:对过时或确认无效的软件资产,定期进行清除。
电子数据的使用和处置
第二十一条
电子数据的使用
(一) 对所有电子数据进行分类/分级,标识未授权人员的访问限制,不同
安全级别的数据应存储在不同的区域,按类按级传达,便于信息的安全管理;
(二) 不同类型的电子文件按照统一规律存放在个人电脑或服务器中,便
于整理和查阅以及工作交接时转移;
(三) 所有电子文件保存在电脑或服务器中,并按照《数据存储备份管理
制度》规定的备份频率定期进行备份;
(四) 对于存于服务器上的电子数据的访问,根据服务器提供服务的不同
与部门/职务的不同,设置不同的访问权限,避免非授权访问;
(五) 对于内部公开级别的电子信息,其使用要控制在内部,禁止带出; (六) 对于秘密级别以上的电子文件的处理过程,必须保障数据的完整性、
机密性和可用性;
(七) 对于秘密级别以上的电子文件的使用,系统应进行审计; (八) 对于秘密级别以上的电子文件的传输,必须采取适当的安全措施加
以保护,如加密传输、分散传输等;
(九) 在整理电脑中的电子数据时,要小心操作,确认后再进行处理,避
免由于误操作将有用的电子数据删除。
纸质文档的使用和处置
第二十二条
纸质文档的使用