信息系统资产安全管理办法

1、学院信息系统资产安全管理办法总则第一条为了确保学院信息资产的管理水平，保障信息资 产安全，特制定本文件。第二条学院的信息资产可分为以下六类资产：（一）信息类资产：包括数据库和数据文件、合同和协议、系 统文件、研究信息、用户手册、培训材料、业务连续性计划、后 备运行安排审核记录、归档记录、系统的规划架构、设计文档、 测试和配置文档、度量考核指标、流程记录、管理办法、规范标 准等信息。（二）软件资产：包括应用软件、系统软件、开发工具和实用 软件程序等。（三）硬件类资产：包括计算机设备、通信设备、可移动介质 和其他设备。（四）服务类资产：包括通信服务、通用共用事业服务（如， 供暖、照明、电力、空调）

2、等。（五）人员类资产：包括单位内与信息安全相关的重要人员， 如系统管理员、应用系统管理员、网络管理员等。（六）无形类资产：包括学院的社会公众形象和声誉等。第三条 文件中涉及的信息类资产管理要求主要涵盖非涉密 信息及学院内部信息系统的安全管理。（2）信息资产责任（七）第四条学院信息资产安全管理工作的最高领导机构为 网络与信息安全工作领导小组，负责单位内部信息资产的安全； 网络与信息安全工作领导小组负责汇总和维护单位的信息资产 清单，各部门制定相应的人员负责建立和维护被本门的信息资产 清单。（八）第五条 信息资产所有者是指对信息资产具有所有权的 单位、部门或个人，信息资产所有者对资产的获取、使用及

3、处置 具有决策权；信息资产的管理者通常可以是信息资产的所有者， 也可以是得到信息资产所有者授权的其他部门或个人，信息资产 管理者根据信息资产所有者授权行使对信息资产的日常管理；信 息资产的使用者是单位的各类用户，他们向管理者申请使用信息 资产。（九）第六条信息资产应明确其所有者、管理者及使用者，其 中，所有者角色有且只有一个，管理者角色原则上有且只有一个。（十）第七条对于未明确所有者或管理者的信息资产，由网 络安全与信息化领导小组或者根据实际工作需要，制定其所有者或管理者。（十一）第八条学院各个部门需建立信息资产清单，信息资 产清单必须详细记录部门的各类信息资产，其内容包括信息资产 分类、信息

4、资产编号、信息资产名称、用途、资产所有者、管理 者、使用者、存放地点位置等，便于查找、使用与管理。（十二）第九条各部门相关责任人负责维护和保存本部门的 信息资产清单，定期检查信息资产清单的正确性和完整性；在信 息资产发生变更时，需及时更新信息资产清单，并报送网络与信 息安全工作领导小组办公室。（十三）第十条网络与信息安全工作领导小组办公室负责维 护和保存学院的信息资产清单，并根据各部门报送的变更信息， 及时汇总并更新信息资产清单。（3）信息资产的定级与标识第十一条学院信息资产的敏感性分级方法（一）制定信息资产定级方法是为了帮助单位员工和外部人 员从机密性角度判断哪些信息资产属于敏感信息资产，以

5、便更好 的加以保护。（二）学院全体员工都应熟悉本文件所确定的信息资产敏感 性分级和标识办法，对有形资产应用标签（或其他标识物）进行 标识，以及敏感信息的管理要求；员工必须依照信息资产的敏感性分级在日常使用过程中落实相应的保护措施保护信息资产。第十二条学院信息资产依据敏感性分级方法，可以分为以下几个级别:敏感性分类敏感性特征关键敏感资产主要为学院极其重要的信息，其泄漏会 使单位的安全和利益遭受严重损害，并对社 会公众产生严重的影响重要敏感资产主要为学院重要的信息，其泄漏会使单 位的安全和利益遭受一定的损害，并对社会 公众产生不良的影响一般敏感资产包含仅能在学院内部会某一部门公开的信息，向外公布可

6、能对单位的安全和利益造成损害公开使用包含可对社会公众公开的信息，共用的信息处理设备和系统资源等第十三条 学院的员工应根据本文件的相关要求保护单位的敏感信息资产，如某特定信息类资产的敏感级别不确定时，默认 情况下按照“一般敏感资产”级别进行保护。（4）信息资产的使用管理第十四条信息资产的使用和管理（一）“关键敏感资产”类信息的使用，这类信息资产是学院 极其重要的信息。针对此类信息在未经授权的前提下，严禁内部 员工和外部人员对“关键敏感资产”类信息的访问；禁止在公共 场合讨论该类信息，并建立详细的传阅清单；一旦发现有对“关 键敏感资产”类信息的非授权使用或者授权滥用的情况，须立即 作为信息安全事件

7、向本部门信息安全管理负责人汇报，并报送网 络安全与信息化领导小组。（二）“重要敏感资产”类信息的使用，这类信息资产是学院 重要的信息。在内部员工和外部员工使用“重要敏感资产”类信 息时，须特别谨慎以防止信息资产丢失、被盗和敏感信息的泄漏。 所有人员都应按照“知所必须”的原则，获得完成其工作职责所 必须的最小范围的“重要敏感资产”类信息。（三）“一般敏感资产”类信息的使用，在学院内部员工使用 过程中，一般应避免向外扩散；外部人员要使用“一般敏感资产” 类信息时，需要得到部门责任人的授权许可。（四）“公开使用”类信息使用，这类信息为学院对社会公众 公开的信息，共用的信息处理设备和系统资源等。（5）

8、硬件资产的使用管理第十五条硬件类资产的使用和管理（一）资产接收，采购到资产后，资产接收人（资产的所有者 /管理者）依据相关的采购合同对资产进行确认，如合同中无相 关的要求，需参考以下内容执行：对照发货票据对资产的数量、型号、外观等进行初步核实 后，依据相关的验收标准进行设备功能检验，并在“货物 验收单”上注明检验的结果，检验结果包括合格和不合格。对于存在问题需要退货或进一步协商处理的，要在“货物 验收单”中注明。对于验收合格的硬件资产，对其进行资产敏感性级别标识， 并及时更新信息资产清单。（二）资产的发出，学院送出的资产必须由资产所属部门的相 关责任人授权批准，整个资产发出流程应全程陪同，确保

9、整个过 程的操作符合敏感性信息相关的要求；发送完成后，相关部门的 责任人应及时更新信息资产清单。（三）未经资产所有者部门批准和授权，资产不得随意移动位 置或者带出单位。（四）资产所有者变更，当资产所有者发生变更时，原资产所 属部门的相关责任人应对硬件资产内部的数据进行清除处理，确 保数据的安全，同时更新信息资产清单。（五）硬件资产报废，硬件资产报废前，应对数据使用可靠的方法进行清除后，移交学院相关部门安全报废程序处置。软件资产的使用管理第十六条软件类资产的使用管理学院内部应使用符合安全性要求的正版软件，禁止使 用盗版软件；系统软件须及时进行补丁更新。学院内部使用的电脑，只能安装符合单位内部安全

10、规 范的操作系统和应用软件；外部人员电脑必须确保安装了指定的 防病毒软件并病毒查杀未发现病毒后，才能接入学院的内部网络 使用。必须采取必要的措施防范病毒、木马和流氓软件等恶意 程序。对于定制开发的软件，确保在软件开发过程中包含了信 息安全相关的需求，并通过测试确保这些安全需求能够得到满足。对于采购的软件，应选址成熟的软件类产品，选择学院 认可的软件产品供应商，进行软件安全性相关的测试，必要时进 行源代码审查，以确保采购软件的安全。禁止在服务器、办公终端电脑中安装未经学院的相关部 门许可的软件和程序；服务器和终端原则上只能安装满足其业务 开展要求的最小范围的软件/功能。对于重要的软件和程序应进行完整性校验和离线备份，防止重要程序被恶意篡改。（7）人员资产的管理第十七条人员类资产安全管理参照长沙航空职业技术学 院工作人员信息安全管理办法和长沙航空职业技术学院第三 方工作人员信息安全管理办法执行。（8）无形资产的管理第十八条无形资产关系着学院的公众形象和声誉非常重要， 须维护好这些无形资产。具体通过以下方面体现：（一）办公礼仪；（二）参与各类社会