1、最新信息资产和设备管理制度(最新)信息资产和设备管理制度信息资产和设备管理制度 第一章 范围及职责 第一条 本制度适用于信息资产的管理包括:获取、分类、使用和处置以及安全设备的管理。 第二条 本制度中的信息资产是指可以存储信息数据的信息载体包括:硬件、软件、数据,电子数据,、文档,纸质文件,、人员、服务设施、其他。 第三条 某某单位办公室,以下简称:办公室,主要负责信息资产的分类、汇总、使用与处置方法以及安全设备的选型、检测、安装、登记、使用、维护和储存。 第四条 计算机资产统计信息的范围包含但不限于:计算机主机名、IP地址、MAC地址、使用人/责任人、所属部门、物理位置、服务器的内外网IP对
2、应等。 第二章 信息资产的获取 第五条 软件、硬件设施、服务性设施等的获得主要以采购的方式获得采购按照有关规定进行采购和验收。 第六条 数据信息资产的获得来源主要为:外包供应商、市场信息、其他信息。 第三章 信息资产的分类 第七条 各部门根据业务流程列出信息资产清单并将每项资产的资产类别、信息资产编号、资产现有编号、资产名称、所属部门,组别,、管理者、使用者、地点等相关信息记录在资产清单上。 第八条 资产的分类原则和编号原则如下: 1、硬件 1) 计算机设备:(台式机、笔记本)、服务器; 2) 存储设备:磁带机、磁盘整列、磁带、光盘、软盘、移动硬盘等, 3) 网络设备:路由器、交换机、网关、程
3、控交换机等, 4) 传输线路:光纤、双绞线、电话线(布线)、电源线, 5) 安全设备:硬件防火墙、入侵检测、网络隔离设备,如网闸,、身份验证等, 6) 办公设备:打印机、复印机、扫描仪、传真机、碎纸机、写字白板、应急照明设备等, 7) 保障设备:动力保障设备,UPS、变电设备,、空调、保险柜、文件柜、门禁、消防设施等, 8) 其他设备, 2、软件 如:操作系统、系统软件,office/AutoCAD,、应用软件,生产软件,、网管软件、杀毒软件、财务软件、开发工具和资源库等, 3、电子数据 存在电子媒介的各种数据资料。如:源代码、数据库数据、各种数据资料、系统文档、运行管理规程、计划、日周月报告
4、、财务报告,电子版本,、用户手册、方案、电子设计图纸等, 4、纸质文件 纸质的各种文件。如:传真、电报、合同、纸张图纸等, 5、服务性设施 如:供电、供水、保洁、门禁、消防设施等, 6、人员 如:各级领导、各级正式雇员、临时雇员等, 7、其他。 第九条 按照涉及国家秘密的信息系统分级保护技术标准和信息安全管理体系建设要求按照信息资产的公开和敏感程度将信息资产化分为不同的保护等级并对不同等级的信息资产进行保护确保信息安全。各部门要将所有的移动介质和电子文件按照敏感性和重要程度分为不同的保护等级保密级别与保密期限由持有人自行定义。 第十条 识别各个流程的各类关键信息资产最终办公室汇总并每半年进行一
5、次更新确保重要信息资产的完备性,重要信息资产没有遗漏和缺失,和准确性,信息资产的保密级别和重要程度能够真实反映信息资产的状态,。 第十一条 对信息资产进行编号同时对重要信息资产进行标识:文档需有固定版本编号规则,硬件设备粘贴在设备明显位置处。 第四章 信息资产的使用和处置 (一)硬件资产的使用和处置 第十二条 硬件的使用处置包括购买/接收、使用,交接、维修、重用,、处置等有关内容。 第十三条 购买新的硬件设备或者从其他部门接收转移的设备时要核对设备清单对相关设备进行测试验证然后登记。由资产管理员对硬件设备进行管理明确设备管理职责。 第十四条 硬件资产的保存 1、机房选址要避免在地下室、一楼,水
6、淹和渗水,和顶层,渗水和失火时火向上燃烧,同时考虑相邻楼层的活动,避免热源和渗水, 2、处理敏感数据的信息处理设施放在适当安全的位置以减少在设备在使用期间信息被窥视的风险保护储存设施以防止未授权访问, 3、设备的选址应采取控制措施以减小潜在的物理威胁的风险例如偷窃、火灾、爆炸、烟雾、水,或供水故障,、温度、湿度、尘埃、振动、化学影响、电源干扰、通信干扰、电磁辐射和故意破坏, 4、禁止在信息处理设施附近进食、喝饮料和抽烟, 5、对专门保护的部件要予以隔离以满足特殊安全要求, 第十五条 硬件资产的日常使用安全 1、所有的硬件资产必须明确设备的使用人员/管理人员明确职责, 2、硬件资产的使用人,或管
7、理人,在使用或管理硬件资产时要注意硬件资产的安全性、机密性、完整性防止信息载体的毁坏和信息的泄密防止信息处理设施的滥用, 对设备定期进行维护保养发生毁坏丢失等问题时能够及时处置, 3、新硬件设备接入网络按照相关规定处理, 4、在人员上岗时可根据需要为上岗人员配备必要的办公设备包括电脑,笔记本或台式机,电话机其它办公用品,办公室根据该工作人员所处部门、工作性质为其设置相应的办公网访问权限, 5、需要使用移动计算设备,包括笔记本、无线网卡、移动硬盘和U盘,的用户应得到办公室负责人的同意后方可使用, 6、对于无人职守的设备要明确管理人员加强物理安全控制。 第十六条 硬件资产的转移安全 1、当设备迁移
8、时必须先对设备中存储的重要信息进行备份, 2、设备迁移完成后必须检查设备是否损坏, 3、设备迁移出本单位时设备中禁止存放重要信息以防止机密信息泄露或泄露的风险增加。 第十七条 办公地点外使用任何信息处理设备必须通过管理者授权。场外设备的保护要考虑下列内容: 1、离开本单位的设备和介质,如现场的设备和介质,必须有人值守或委派负责人(或者公共场所放置的需要有人值守或监视系统), 2、制造商保护设备用的说明书要始终加以遵守例如防止暴露于强电磁场内, 3、根据风险的不同采取足够的安全保障措施以保护离开办公室设备的安全。 八条 硬件资产的处置和重用 第十1、存储设备销毁前必须确保所有存储的敏感数据或授权
9、软件已经被移除或安全重写, 2、服务器、主要网络设备的处置由办公室进行安全处置, 3、台式机、打印机、传真机、扫描仪等IT设备的处置由办公室进行并做登记, 4、如需报废时应向主管部门提出报废申请经批准后报废。 (二)软件资产的使用和处置 第十九条 软件资产的使用 1、所有的软件资产必须设置专人管理明确职责避免软件资产的丢失泄密, 2、所有正版软件实体由办公室专人保管在安装软件时要规定使用权限防止非授权访问, 3、按照系统运行维护管理制度中“备份与恢复管理”章节要求对重要系统进行备份, 4、当人员离职或岗位变动需要回收有关的软件必要时由办公室技术人员对离职人员使用的软件进行卸载删除。 第二十条
10、软件资产的处置:对过时或确认无效的软件资产定期进行清除。 (三)电子数据的使用和处置 第二十一条 电子数据的使用 1、对所有电子数据进行分类/分级标识未授权人员的访问限制不同安全级别的数据应存储在不同的区域按类按级传达便于信息的安全管理, 2、不同类型的电子文件按照统一规律存放在个人电脑或服务器中便于整理和查阅以及工作交接时转移, 3、所有电子文件保存在电脑或服务器中并按照备份和恢复管理制度规定的备份频率定期进行备份, 4、对于存于服务器上的电子数据的访问根据服务器提供服务的不同与部门,职务的不同设置不同的访问权限避免非授权访问, 5、对于内部公开级别的电子信息其使用要控制在内部禁止带出, 6
11、、对于秘密级别以上的电子文件的处理过程必须保障数据的完整性、机密性和可用性, 7、对于秘密级别以上的电子文件的使用系统应进行审计, 8、对于秘密级别以上的电子文件的传输必须采取适当的安全措施加以保护如加密传输、分散传输等, 9、在整理电脑中的电子数据时要小心操作确认后再进行处理避免由于误操作将有用的电子数据删除。 (四)纸质文档的使用和处置 第二十二条 纸质文档的使用 1、所有的秘密级以上的纸质文件资料要,通过标签或其它方式,标识出资产的保密级别分类存放不同安全级别的纸质文件应按类按级传达便于纸质文件的安全管理, 2、对于比较重要的纸质文件,机密级别以上,必须保存在带锁的文件柜或保险柜中钥匙由
12、专人保管, 3、对于纸质文件的保存期限依据实际要求制定和实施, 4、对于比较重要的纸质文件的使用过程必须注意信息的保密确保信息的完整性和可用性, 5、对于比较重要的纸质文件的传输必须采取适当的安全措施加以保护如专人递送、分散传输等。 第二十三条 纸质文档的处置 1、实体数据资料达到保存期限后必须将其撕毁或者粉碎到读不出来为止避免实体数据资料的泄密, 2、对于重要纸质文件的销毁如财务纸质文件要求两人以上在场防止信息的泄密。 (五)人员招调、在职、离职 第二十四条 所有人员的招调、在职、离职安全管理按照用户管理制度的要求进行实施。 (六)服务性资产的使用和处置 第二十五条 所有服务性资产要设置专人
13、管理定期维护避免损坏、非授权使用或丢失。涉及服务性的合同相关管理部门在签署合同时应审核涉及信息保密的相关条款。 第二十六条 当服务性设施损坏如果可以维修由负责人联络相关人员进行维修如果涉及到第三方依据用户管理制度对第三方进行管理。 第二十七条 当服务性设施损坏不可维修只能报废时应联络相关管理部门提出报废申请。 第五章 安全设备管理 (一)设备的选型 第二十八条 严禁采购和使用未获得销售许可证的信息安全产品。 第二十九条 应优先采用我国自主开发研制的信息安全技术和设备。 第三十条 避免采用境外的密码设备。 第三十一条 如需采用境外信息安全产品时必须确保产品获得我国权威机构的认证测试和销售许可证。
14、 第三十二条 使用经国家密码管理部门批准和认可的国内密码技术及相关产品。 第三十三条 终端物理隔离必须使用国家保密局认可的隔离卡或采用国家保密局认可的其他方式。 (二)设备检测 第三十四条 信息系统中的所有安全设备必须符合中华人民共和国国家标准数据处理设备的安全、电动办公机器的安全中规定的要求其电磁辐射强度、可靠性及兼容性也必须符合安全管理等级要求。 (三)设备安装 第三十五条 设备符合系统选型要求并获得批准后方可购置安装。 第三十六条 凡购回的设备均须在测试环境下经过连续72小时以上的单机运行测试和联机48小时的应用系统兼容性运行测试。 第三十七条 主机、服务器、网络设备、安全设备等上架运行
15、前必须通过安全检测禁止安装有默认操作系统的主机、服务器直接接入系统。 第三十八条 通过上述测试后设备进入试运行阶段试运行时间的长短根据业务需要动态设定。 第三十九条 通过试运行的设备才能接入生产系统正式运行。 (四)设备登记 第四十条 对所有设备均应建立严格完整的购置、移交、使用、维护、维修和报废等记录认真做好资产登记和管理工作保证设备管理的正规化。 (五)设备使用管理 第四十一条 每台设备的使用均应指定专人负责并建立详细的运行日志。 第四十二条 由责任人负责进行设备的日常清洗及定期保养维护做好维护记录保证设备处于最佳状态。 第四十三条 保证设备在其适宜的使用环境下工作。 第四十四条 一旦设备
16、出现故障管理员如实填写故障报告通知有关人员处理。 (六)设备维修管理 第四十五条 设备由专人负责维修并建立满足正常运行最低要求的易损件的备件库。 第四十六条 根据每台设备的使用情况及系统的可靠性等级制定预防性维修计划。 第四十七条 对系统进行维修时必须采取数据保护措施安全设备维修时应有安全管理员在场。 第四十八条 对设备进行维修时必须记录维修对象、故障原因、排除方法、主要维修过程及维修有关情况等。 第四十九条 对设备应规定折旧期设备到了规定使用年限或因严重故障不能恢复由专业技术人员对设备进行鉴定和残值估价并对设备情况进行详细登记提出报告书和处理意见由主管领导和上级主管部门批准后方能进行报废处理。 (七)设备储存管理 第五十条 设备储存环境应符合出厂标称要求。 第五十一条 建立详细的设备进出库、领用和报废登记。 第五十二条 必须定期对储存设备进行清洁、核查及通电检测。 第五十三条 安全产品及保密设备必须单独储存并有相应的保护措施。 第六章 附则 第五十四条 本制度由某某单位负责解释。 第五十五条 本制度自发布之日起生效执行。
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1