软硬件资产管理制度.docx
《软硬件资产管理制度.docx》由会员分享,可在线阅读,更多相关《软硬件资产管理制度.docx(9页珍藏版)》请在冰豆网上搜索。
软硬件资产管理制度
X系统
--软硬件软硬件资产管理制度--
文档编号
使用部门
编制日期
发行日期
修订及审核记录
文档信息
文档名称
信息管理制度
文档编号
服务对象
X平台有限公司
创建日期
文档版本
V1.0
发行日期
文档审核
审核人
职务
审核时间
审核意见
修订记录
修正章节
修订日期
修订人
变更记录
全文
文档审核
一、总则
第一条为了对X平台系统信息信息进行科学规范化管理,让X信息化委员会技术部清晰的了解需要重点保护的信息信息并采取规范的管理措施,特制定本信息系统信息管理制度。
第二条本制度所称信息系统信息是指应用于X平台系统的所有信息,包括所有数据信息、软件信息、实体信息、人员和服务。
第三条本制度主要是明确X信息化委员会信息系统信息管理的权限和职责,共同维护和管理本单位的信息系统信息。
第四条X平台有限公司技术部保留对本管理制度的最终解释权。
二、软硬件资产分类管理
第五条管理人员应明确对信息信息的不同类型与机密程度进行分类管理,信息信息类型主要包括:
(1)数据信息:
数据库数据文件、系统文档、用户手册、培训材料、操作或支持步骤、连续性计划、回退计划、归档等信息;
(2)软件信息:
应用程序软件、系统软件、开发工具以及实用程序;
(3)实体信息:
计算机设备(处理器、监视器)、通讯设备(路由器、传真机)、磁介质(磁带和磁盘)、其它技术设备(电源、空调器)、机房等;
(4)书面文件:
包含系统文件、使用手册、各种程序及指引办法、合约书等;
(5)服务:
计算和通讯服务、常用设备,如照明设备、电源、空调。
根据信息的机密程度可将信息分为如下四级;
(6)机密信息:
机密信息是指那些具有最高安全级别,从本质上是指对X平台有限公司形象、业务运作起到至关重要作用的信息。
机密信息一旦被非法访问或篡改,可能会导致灾难性的影响,并且这种影响在短时期内是不可恢复的;
(7)敏感信息:
敏感信息是指那些对单位组织具有重大价值的信息,必须有严格访问控制的信息。
任何对敏感信息的非法访问、修改或删除会严重影响X平台有限公司的形象或业务运作,但这种影响是可以在短时期内恢复的;
(8)分类受限信息:
内部限制信息通常是指那些只供内部使用的信息资料,任何对内部信息的非法访问、修改或删除可能会对单位内部的安全造成一定的影响,但不可能是严重的或不可恢复的;
(9)公用信息:
一般信息是指内部公开或可以公共访问和对外发布的信息,并且一般信息可以自由散布而不会产生任何安全问题。
第六条信息系统各种信息必须编制并保存与信息系统相关的信息清单,如:
数据信息表、实体信息表、软件信息表、人员信息表、服务信息表等。
二、软硬件资产标注管理
第七条组织单位应明确规定信息处于不同载体的标注方法。
信息信息的密级必须被明确标注。
根据存储和输出方式的不同,可以采用物理标签、电子标记等方法。
信息信息的存储介质必须以物理标签形式标明其密级。
当信息以可视方式输出(如:
打印、屏幕显示等)时,必须以可视的方式显示其密级。
第八条信息信息分类标识务必详尽,而且其内容和格式必须统一,对所有的信息信息安全分类标识,必须由专人作定期更新维护。
信息必须标注使用部门、使用时间、信息类型、重要程度等信息
信息的使用、传输和存储等进行规范化管理、严格按照相关规定执行,对于重大操作,需经过信息中心主任审批、并由科员监督执行、在传输和存储中必须保证经过严密的加密算法、防止信息被窃取
三、软硬件资产处置管理
第九条凡列入X信息化委员会技术部的固定信息未经信息技术推广部主任批准,任何部门不得擅自调拔、转移、借出和出售。
第十条设备信息添置更换流程
(1)由需求人员申请;
(2)信息技术推广部技术小组进行技术鉴定;
(3)信息技术推广部负责人签字;
(4)财务部门分析信息系统设备需求,形成设备采购方案,如需采购则依照政府采购标准进行统一采购。
第十一条X信息化委员会技术部内部设备的调拨与转移,必须通过信息技术推广部信息管理部门办理信息转移手续,同时由调出、调入单位的双方领导及经办人签字后,由财务部门办理转帐手续,并通知相关的会计进行账、卡交接。
第十二条信息系统信息的使用人或保管人即是该信息系统信息的责任人,负责信息系统信息的安全和一般性维护;
第十一条公用信息系统信息的责任人为主任,或主任指定的人员;
第十二条信息技术推广部人员在岗位异动或离职时,应向管理人员交还领用的信息系统信息,如有遗失或损毁必须按本单位相关规定赔偿,有特殊情况的须出具书面说明并报办公室审批。
第十三条信息系统设备实行包干管理负责制。
每台设备都应有专人负责保管,在未特别指定管理人员的设备由操作人员负责管理,并切实负起保管、维护责任。
信息技术推广部负责定期检查信息系统设备使用情况,进行需求分析,制订解决方案。
第十四条在使用信息系统设备前,应掌握操作规程,阅读有关手册。
第十五条未经信息技术推广部负责人同意,任何人不得外借信息系统设备及其附件给其它单位和个人使用。
四、软硬件资产报废与封存管理
第十六条X平台有限公司技术部的固定信息报废处理时,须使用部门提出申请,填写设备报废单一式三份由财务部门将其净损失上报党办相关领导批复后,办理报废相关手续。
凡符合下列条件可申请报废:
1.超过使用年限,主要功能停止发挥功效,耗能高,而且不能改造利用的。
2.腐蚀严重无法修复或继续使用要发生危险的。
3.绝缘老化,磁路失效,性能低劣无修复价值的。
4.因事故或其他自然灾害,使设备遭受损坏无修复价值的。
第十七条凡经批准报废的固定信息不能继续在政府信息网上使用,主管部门与使用部门要及时作价处理。
处理后的固定信息由主管部门和使用部门一起办理固定信息的注销手续,对外处理报废固定信息时由主管部门提出处理意见,信息技术推广部主任批准,变价收入上交财务部。
凡停用三个月以上的固定信息由使用部门封存保管。
闲置设备和封存设备启封后,由使用部门填写启封单,信息技术推广部主管部门同意后,方可使用。
五、软硬件资产清查管理
第十八条为了保护固定信息的安全与完整,信息管理部门必须对固定信息进行定期清查、盘点,以掌握固定信息的实有数量,查明有无丢失、毁损或未列入帐的固定信息,保证账实相符。
固定信息每年至少清查一次。
遇有下列情况,应当对有关固定信息进行全部或部分的临时清查:
(一)直接经管固定信息的人员调动工作;
(二)因机构、业务变动,办理财产交接;
(三)固定信息发生非常损失事故;
(四)单位负责人根据工作需要决定进行的临时抽查。
第十九条根据固定信息清查的范围和任务,成立由信息管理部门、财务部门、使用部门、技术人员和实物保管人员参加的清查小组。
组长由主管固定信息的单位领导担任。
第二十条对固定信息进行清查以前,财务部门必须检查有关财产增减变动的凭证是否齐全,如有尚未入账的会计事项,应当及时入账,主动与固定信息管理、仓库以及其他有关部门核对各项固定信息的收、付记录,做到清查前的账目相符。
经管固定信息的人员,在清查以前,应当将所经管的固定信息进行整理,对尚未点验入库和应当调拨出库的固定信息,尽可能做好入库和出库手续,避免发生重点、漏点等差错。
固定信息清查应当逐一点清实物,包括查明固定信息的实有数与账面结存数是否相符,固定信息的保管、使用、维修、报废和转让等情况是否正常等等。
发现没有入账的固定信息,应当查明原因,及时入账。
在清查中发现毁损情况,应当查明毁损的程度、原因和责任以后,在清查表内加以注明,并提出处理意见。
对租赁、代管的固定信息,都应当进行清查,并分别填制清查表。
对固定信息清查以后,根据清查的结果填制清查表单。
清查表单经过审核无误以后,由参与清查的人员和经管财产的人员共同签名盖章。
清查表单应当由信息管理部门留存一份,送交财务部门一份。
财务部门根据清查表格与固定信息账簿记录进行核对。
如发现盘存数与账存数不一致的时候,应该及时查明原因,必要时进行复查或由经管财产的人员做出书面报告。
对清查出的固定信息短缺和溢余,经查明核实以后,经信息清查小组审核,报单位领导集体审批。
财务部门根据审查核实后的清查表和审批意见,按照会计制度的规定,做账务的调整,使账簿记录与实际盘存的资料一致。
第二十一条固定信息保管人、使用人玩忽职守,违反有关固定信息管理规定及操作规程,造成固定信息损失者,应予赔偿。
赔偿数额依据损失大小和责任大小确定,同时追究其相关领导的责任。
第二十二条造成重大固定信息安全事故,依据国家安全法规有关安全管理规定,对相关责任人进行纪律处分和经济处罚,并追究相应的法律责任。
六、软硬件资产维护管理
第二十三条对于机房软硬件信息维修、更换、报废等维护操作,需提前一天由管理人员项相关领导提出书面申请,填写进出机房申请单,经审批后方可进行维修、更换等操作,如涉及内部信息则需在相关内部信息销毁后方可离开机房、维护人员需全程负责陪同维修人员、监督、销毁相关内部数据,保证信息的使用、传输和存储过程中信息的机密性、完整性、安全性。
七、信息清单管理
第二十四条对信息清单的管理,不同安全等级应有选择地满足以下要求的一项:
Ø一般信息清单:
应编制并维护与信息系统相关的信息清单,至少包括以下内容:
Ø信息信息:
数据库和数据文档、系统文件、用户手册、培训资料、操作和支持程序、持续性计划、备用系统安排、存档信息;
Ø软件信息:
应用软件、系统软件、开发工具和实用程序;
Ø有形信息:
计算机设备(处理器、监视器、膝上形电脑、调制解调器),通信设备(路由器、数字程控交换机、传真机、应答机),磁媒体(磁带和软盘),其他技术装备(电源,空调设备),家具和机房;
Ø相关信息:
由信息系统控制的或与信息系统密切相关的各类信息。
由于信息系统或信息的泄露或破坏,这些信息会受到相应的损坏。
Ø服务:
计算和通信服务,通用设备如供暖、照明、供电和空调等。
Ø详细的信息清单:
在一般信息的基础上,应清晰识别每项信息的拥有权、责任人、安全分类以及信息所在的位置等。
Ø业务应用系统清单:
在信息的基础上,作为信息系统组成部分的业务应用系统的信息应在信息清单中体现。
应清晰识别业务应用系统信息的拥有权、责任人、安全分类以及信息所在的位置等。
八、信息分类与标识
对信息的分类与标识:
Ø信息重要性标识:
应根据信息的重要程度对信息进行标识,以便可以基于信息的价值选择保护措施和进行信息管理等相关工作。
Ø信息分类管理:
在普通信息的基础上,应对信息信息进行分类管理,对信息系统内分属不同业务范围的各类信息,按其对安全性的不同要求分类加以标识。
对于信息信息,通常信息系统数据可以分为系统数据和用户数据两类,其重要性一般与其所在的系统或子系统的安全保护等级相关;用户数据的重要性还应考虑自身保密性分类,如:
专有信息:
组织机构内部共享、内部受限、内部专控信息,以及公民个人专有信息;
公开信息:
公开共享的信息、组织机构公开共享的信息、公民个人可公开共享的信息。
组织机构应根据业务应用的具体情况进行分类分级和标识,纳入规范化管理;不同安全等级的信息应当本着“知所必需、用所必需、共享必需、公开必需、互联通信必需”的策略进行访问控制和信息交换管理。
信息体系架构:
在信息信息的基础上,以业务应用为主线,用体系架构的方法描述信息信息;信息体系架构不是简单的信息清单,而是通过对各个信息之间有机的联系和关系的结构性描述。
升级会员 