2023年信息资产和设备管理制度.docx

信息资产和设备管理制度 第一条 第二条 第三条 第四条 第五条 第六条 第七条 第八条 （一）1）2）信息资产和设备管理制度 第一章范围及职责 本制度适用于信息资产的管理，包括。获取、分类、使用和处置以及平安设备的管理。 本制度中的信息资产是指可以存储信息数据的信息载体，包括：硬件、软件、数据（电子数据）、文档（纸质文件）、人员、效劳设施、其他。 信息技术部主要负责信息资产的分类、汇总、使用与处置方法，以及平安设备的选型、检测、安装、登记、使用、维护和储存。 计算机资产统计信息的范围包含但不限于。计算机主机名、ip地址、mac地址、使用人/责任人、所属部门、物理位置、效劳器的内外网ip对应等。 第二章信息资产的获取 软件、硬件设施、效劳性设施等的获得主要以采购的方式获得，采购按照有关规定进行采购和验收。 数据信息资产的获得来源主要为。外包供应商、市场信息、其他信息。 第三章信息资产的分类 各部门根据业务流程列出信息资产清单并将每项资产的资产类别、信息资产编号、资产现有编号、资产名称、所属部门（组别）、管理者、使用者、地点等相关信息记录在资产清单上。 资产的分类原那么和编号原那么如下： 硬件计算机设备：（台式机、笔记本）、效劳器； 存储设备：磁带机、磁盘整列、磁带、光盘、软盘、移动硬盘等；3）4）5） 6）7）8） （二） （三） （四） （五） （六） （七）第九条 第十条网络设备：路由器、交换机、网关、程控交换机等；传输线路：光纤、双绞线、 线（布线）、电源线； 平安设备：硬件防火墙、入侵检测、网络隔离设备（如网闸）、身份验证等； 办公设备：打印机、复印机、扫描仪、 机、碎纸机、写字白板、应急照明设备等； 保障设备：动力保障设备（ups、变电设备）、空调、保险柜、文件柜、门禁、消防设施等； 其他设备。 软件 如：操作系统、系统软件（office/autocad）、应用软件（生产软件）、网管软件、杀毒软件、财务软件、开发工具和资源库等； 电子数据 存在电子媒介的各种数据资料。如。源代码、数据库数据、各种数据资料、系统文档、运行管理规程、方案、日周月报告、财务报告（电子版本）、用户手册、方案、电子设计图纸等； 纸质文件 纸质的各种文件。如。 、电报、合同、纸张图纸等； 效劳性设施 如：供电、供水、保洁、门禁、消防设施等； 人员 如：各级领导、各级正式雇员、临时雇员等； 其他。按照涉及国家秘密的信息系统分级保护技术标准和信息平安管理体系建设要求，按照信息资产的公开和敏感程度，将信息资产化分为不同的保护等级，并对不同等级的信息资产进行保护，确保信息平安。各部门要将所有的移动介质和电子文件按照敏感性和重要程度分为不同的保护等级，保密级别与保密期限由持有人自行定义。 识别各个流程的各类关键信息资产，最终由信息技术部汇总，并每半年进行一次更新，确保重要信息资产的完备性（重要信息资产没有遗漏和缺失）和准确性（信息资产的保密级别和重要程度能够真实反映信息资产的状态）。 第十一条对信息资产进行编号，同时对重要信息资产进行标识：文档需有固定版本编号规那么；硬件设备粘贴在设备明显位置处。 第四章信息资产的使用和处置 硬件资产的使用和处置 第十二条硬件的使用处置包括购置/接收、使用（交接、维修、重用）、处置等有关内容。 第十三条购置新的硬件设备或者从其他部门接收转移的设备时，要核对设备清单，对相关设备进行测试验证，然后登记。由资产管理员对硬件设备进行管理，明确设备管理职责。 第十四条硬件资产的保存 （一）机房选址要防止在地下室、一楼（水淹和渗水）和顶层（渗水和失火时火向上燃烧），同时考虑相邻楼层的活动（防止热源和渗水）； （二）处理敏感数据的信息处理设施放在适当平安的位置；以减少在设备在使用期间信息被窥视的风险，保护储存设施以防止未授权访问； （三）设备的选址应采取控制措施以减小潜在的物理威胁的风险，例如偷窃、火灾、爆炸、烟雾、水（或供水故障）、温度、湿度、尘埃、振动、化学影响、电源干扰、通信干扰、电磁辐射和成心破坏； （四）禁止在信息处理设施附近进食、喝饮料和抽烟； （五）对专门保护的部件要予以隔离，以满足特殊平安要求。第十五条硬件资产的日常使用平安 （一）所有的硬件资产必须明确设备的使用人员/管理人员，明确职责； （二）硬件资产的使用人（或管理人），在使用或管理硬件资产时，要注意硬件资产的平安性、机密性、完整性，防止信息载体的毁坏和信息的泄密，防止信息处理设施的滥用；对设备定期进行维护保养，发生毁坏，丧失等问题时能够及时处置； （三）新硬件设备接入网络按照相关规定处理； （四）在人员上岗时，可根据需要为上岗人员配备必要的办公设备，包括（笔记本或台式机）， 机，其它办公用品；信息技术部根据该工作人员所处部门、工作性质为其设置相应的办公网访问权限； （五）需要使用移动计算设备（包括笔记本、无线网卡、移动硬盘和u盘）的用户，应得到信息技术部负责人的同意前方可使用； （六）对于无人职守的设备，要明确管理人员，加强物理平安控制。第十六条硬件资产的转移平安 （一）当设备迁移时，必须先对设备中存储的重要信息进行备份； （二）设备迁移完成后，必须检查设备是否损坏； （三）设备迁移出本单位时，设备中禁止存放重要信息，以防止机密信息泄露或泄露的风险增加。 第十七条办公地点外使用任何信息处理设备必须通过管理者授权。场外设备的保护要考虑以下内容： （一）离开本单位的设备和介质（如现场的设备和介质），必须有人值守或委派负责人（或者公共场所放置的需要有人值守或监视系统）； （二）制造商保护设备用的说明书要始终加以遵守，例如，防止暴露于强电磁场内； （三）根据风险的不同采取足够的平安保障措施，以保护离开办公室设备的平安。 第十八条硬件资产的处置和重用 （一）存储设备销毁前，必须确保所有存储的敏感数据或授权软件已经被移除或平安重写； （二）效劳器、主要网络设备的处置由信息技术部进行平安处置； （三）台式机、打印机、 机、扫描仪等it设备的处置由信息技术部进行并做登记； （四）如需报废时，应向主管部门提出报废申请，经批准后报废。 软件资产的使用和处置 第十九条软件资产的使用 （一）所有的软件资产必须设置专人管理，明确职责，防止软件资产的丧失，泄密； （二）所有正版软件实体由信息技术部专人保管，在安装软件时要规定使用权限，防止非授权访问； （三）按照数据存储藏份管理制度中要求，对重要系统进行备份； （四）当人员离职或岗位变动，需要回收有关的软件，必要时，由信息技术部技术人员对离职人员使用的软件进行卸载，删除。 第二十条软件资产的处置。对过时或确认无效的软件资产，定期进行去除。 电子数据的使用和处置 第二十一条电子数据的使用 （一）对所有电子数据进行分类/分级，标识未授权人员的访问限制，不同平安级别的数据应存储在不同的区域，按类按级传达，便于信息的平安管理； （二）不同类型的电子文件按照统一规律存放在个人或效劳器中，便于整理和查阅以及工作交接时转移； （三）所有电子文件保存在或效劳器中，并按照数据存储藏份管理制度规定的备份频率定期进行备份； （四）对于存于效劳器上的电子数据的访问，根据效劳器提供效劳的不同与部门／职务的不同，设置不同的访问权限，防止非授权访问； （五）对于内部公开级别的电子信息，其使用要控制在内部，禁止带出； （六）对于秘密级别以上的电子文件的处理过程，必须保障数据的完整性、机密性和可用性； （七）对于秘密级别以上的电子文件的使用，系统应进行审计； （八）对于秘密级别以上的电子文件的传输，必须采取适当的平安措施加以保护，如加密传输、分散传输等； （九）在整理中的电子数据时，要小心操作，确认后再进行处理，防止由于误操作将有用的电子数据删除。 纸质文档的使用和处置 第二十二条纸质文档的使用 （一）所有的秘密级以上的纸质文件资料要（通过标签或其它方式）标识出资产的保密级别，分类存放，不同平安级别的纸质文件应按类按级传达，便于纸质文件的平安管理； （二）对于比较重要的纸质文件（机密级别以上）必须保存在带锁的文件柜或保险柜中，钥匙由专人保管； （三）对于纸质文件的保存期限依据实际要求制定和实施； （四）对于比较重要的纸质文件的使用过程，必须注意信息的保密，确保信息的完整性和可用性； （五）对于比较重要的纸质文件的传输，必须采取适当的平安措施加以保护，如专人递送、分散传输等。 第二十三条纸质文档的处置 （一）实体数据资料到达保存期限后，必须将其撕毁或者粉碎到读不出来为止，防止实体数据资料的泄密； （二）对于重要纸质文件的销毁，如财务纸质文件，要求两人以上在场，防止信息的泄密。 人员招调、在职、离职 第二十四条所有人员的招调、在职、离职平安管理按照人员平安管理制度的要求进行实施。 效劳性资产的使用和处置 第二十五条所有效劳性资产要设置专人管理，定期维护，防止损坏、非授权使用或丧失。涉及效劳性的合同，相关管理部门在签署合同时，应审核涉及信息保密的相关条款。 第二十六条当效劳性设施损坏，如果可以维修，由负责人联络相关人员进行维修，如果涉及到第三方，依据人员平安管理制度对第三方进行管理。 第二十七条当效劳性设施损坏，不可维修，只能报废时，应联络相关管理部门提出报废申请。 第五章平安设备的选型 设备的选型 第二十八条第二十九条严禁采购和使用未获得销售许可证的信息平安产品。应优先采用我国自主开发研制的信息平安技术和设备。 第三十条 防止采用境外的密码设备。第三十一条如需采用境外信息平安产品时，必须确保产品获得我国权威机构的认证测试和销售许可证。 第三十二条使用经国家密码管理部门批准和认可的国内密码技术及相关产品。 第三十三条终端物理隔离必须使用国家保密局认可的隔离卡或采用国家保密局认可的其他方式。 设备检测 第三十四条信息系统中的所有平安设备必须符合中华人民共和国国家标准数据处理设备的平安、电动办公机器的平安中规定的要求，其电磁辐射强度、可靠性及兼容性也必须符合平安管理等级要求。 设备安装 第三十五条第三十六条设备符合系统选型要求并获得批准后，方可购置安装。凡购回的设备均须在测试环境下经过连续72小时以上的单机运行测试和联机48小时的应用系统兼容性运行测试。 第三十七条主机、效劳器、网络设备、平安设备等上架运行前必须通过平安检测