信息资产管理规定

XXXXX信息资产管理规定编制人授权人：版本号V1.0生效日期：版权说明本文件中包含的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属XXXXX所有。未经许可任何人不得将此文件中的任何部分以任何形式进行复制，储存和传播。版本记录版本号日期修改者说明文件名V12013-6-03编写初稿《XXXXX信息资产管理规定》目录TOC\o"1-5"\h\z第一章 总则 4第二章 信息产品及设备采购 4第三章 信息产品及设备入库及领用 5第四章 信息资产分类和标识 6第五章 信息资产的日常使用与维护 6第六章 信息资产报废 9第七章 附则 9第八章 附件 10附件一 采购申请 10\o"CurrentDocument"附件二 到货验收单 11\o"CurrentDocument"附件三 设备领用单 12\o"CurrentDocument"附件四 设备接收单 13\o"CurrentDocument"附件五 信息资产分类表 14\o"CurrentDocument"附件六 信息资产分级标准图 15\o"CurrentDocument"附件七 信息资产日常使用与保护图 16\o"CurrentDocument"附件八 设备报废申请 19XXXXX信息资产管理规定第一章总则第一条为有利于XXXXX信息资产的采购、分类、识别、维护和使用，加强信息资产的安全管理，特制订本规定。第二条本规定适用于XXXXX信息资产的管理。第三条XXXXX系统运行部是本部门信息资产的管理部门。第二章信息产品及设备采购第四条信息产品及设备需求部门制定产品需求的技术参数，采购过程参照《公司采购管理办法》相关规定，属于集中采购的提交《采购申请》（详见附件一）到集采中心；属于零星采购的将《采购申请》提交到系统运行部相关负责人处，审批后成立招标小组，由专人负责产品招标。第五条招标小组依据信息产品及设备选购原则完成招标并确定服务商。第六条信息产品及设备的选型选购，应符合以下要求：设备选购过程坚持公开、公平、公正的原则；符合清算所业务应用需求，适应业务发展需要；符合国家相关管理规定、清算所技术标准、安全标准和设备配备定额标准，与现有清算所设备兼容，著名品牌、质量好、价格和使用成本合理，售后服务良好，优先考虑选购国家政策扶持采购的产品；安全产品应符合国家有关规定，密码技术产品应符合国家密码主管部门的要求。符合专款专用、勤俭节约、追踪问效等财务、审计管理要求。第七条信息产品及设备到货后，系统运行部相关技术人员配合需求部门完成到货验收并填写《到货验收单》（详见附件二）。第八条所有设备到货后均需进行严格检测，凡购置的设备均应在测试环境下经过连续72小时以上的单机运行测试和联机48小时的应用系统兼容性运行测试。严禁将未经测试验收或验收不合格的设备上线。第三章信息产品及设备入库及领用第九条到货验收完成后，资产管理负责人将设备编码、用标签打印机打印贴签、入库登记，并更新库房资产清单。第十条信息产品或设备需求部门首先填写《设备领用单》（详见附件三），经本部门负责人批准后，提交到资产管理负责人审批。审批通过，需求部门填写《设备接收单》（详见附件四），双方完成设备交接。《设备领用单》、《设备接收单》由资产管理负责人归档保存，并修改资产清单中设备的状态。第十一条信息产品及设备使用完成需要归还的，经资产管理负责人对归还产品验收完成后，收归入库，归还《设备领用单》、《设备接收单》，并修改资产清单中设备的状态。对于破损、损坏的产品及设备，借用部门或个人参照公司相关规定进行补偿。XXXXX信息资产管理规定第四章信息资产分类和标识第十二条所有信息资产都应指定资产责任人，并由资产责任人负责进行相关资产的识别、统计、分类、分级，以便相关人员采取相应的保护措施。第十三条系统运行部纳入信息资产管理范畴的信息资产类别划分为：数据资产、软件资产、实物资产、人员资产、服务资产、其他资产。详细资产分类情况参见《信息资产分类表》（详见附件五）。第十四条根据各类信息资产在保密性、完整性和可用性三个方面所表现出的重要程度，各划分为五个级别，对应取值范围从“5”到“1”（5为很高，1为很低）。详细分级情况参见《信息资产分级标准图》（详见附件六）。第十五条信息资产按信息的敏感度级别为机密级、秘密级、部门级、对内公开级、对外公开级。第十六条信息资产标识应建立统一的命名规则，便于资产识别和日常管理。第十七条资产分类分级信息应在资产清单中进行标注，伴随每年的资产盘点更新相关信息。第五章信息资产的日常使用与维护第十八条资产日常使用中的管理依据“谁使用，谁负责”原则。清算所内部所有用户日常资产使用中都应遵守本制度相关要求，结合其他管理要求，采取对应的措施手段进行资产保护，参见《信息资产日常使用与保护图》（详见附件七）。第十九条XXXXX数据类资产中的内部文件资产涉及的编写、审批发布、分发、评审修订、保管、作废等管理要求参阅《XXXXX信息系统规范性文件管理办法》。第二十条存储介质（含磁盘、磁带、光盘和优盘）的管理应遵循《XXXXX介质安全管理规定》第二十一条需要机房上线的信息产品及设备必须经过测试后，设备才能进入试运行阶段。试运行时间的长短可根据需要确定。通过试运行的设备，才能投入生产系统，正式运行。第二十二条设备日常使用及维护管理：设备的网络配置应遵循统一的规划和分配，相关网络配置应向系统运行部备案。设备的安全策略应进行统一管理，安全策略固化后的变更应经过系统运行部审核批准，并及时更新策略配置库。关键的设备须有备机备件，由系统运行部统一进行保管、分发和替换。每台（套）设备的使用均应指定专人负责，均应设定严格的管理员身份鉴别和访问控制，严禁盗用账号和密码，超越管理权限，非法操作设备。设备的口令不得少于8位，须使用包含大小写字母、数字等在内的不易猜测的强口令，并遵循XXXXX统一的账号口令管理办法。设备每月详细检查一次，记录并分析相关日志，对可疑行为及时进行处理。日志至少保留3个月；关键设备每天须进行日常巡检；及时升级维护信息安全产品，凡超过使用期限的或不能继续使用的信息安全产品，要按照固定资产报废审批程序处理；当设备的配置更改时，应做好配置的备份工作；扫描、检测类信息安全产品的使用/启动应经系统运行部负责人批准授权专人使用;信息资产日常使用管理过程中涉及维修的，原则上要求服务商现场维修。确需送外单位维修时，应彻底清除所存的工作相关信息，并与设备维修厂商签订保密协议，与密码设备配套使用的设备送修前必须请生产设备的科研单位拆除与密码有关的硬件，并彻底清除与密码有关的软件和信息，并派专人在场监督。信息资产发生故障对清算所业务产生影响或引起信息安全事件的，应参照《XXXXX信息安全事件管理规定》进行处理并建立详细的故障日志（包括故障发生的时间、范围、现象、处理结果和处理人员等内容）。第二十三条因工作需要，设备需携带出工作环境时，应递交申请并由相关责任人签字并留档。第二十四条资产管理负责人应至少每年进行一次管辖范围内的资产盘点。确保资产清单及资产状态与资产实际使用情况保持一致。第二十五条在信息资产生命周期的不同阶段，信息资产保密性（C）、完整性（I）、可用性（A）属性值会因各种原因发生变化，此时资产责任人及相关人员应按照新的属性值采取适当的处理和保护措施。第六章信息资产报废第二十六条信息资产需要报废的部门应填写《设备报废申请》（详见附件八），经本部门领导审批后，提交到资产管理负责人审批。审批通过后，统一由资产管理负责人对资产进行回收处理。资产报废部门应做好报废设备的信息及数据备份工作。第二十七条资产管理负责人对报废设备应进行信息处理，处置措施参考如下：磁盘、磁带等设备应进行消磁处理；光盘、纸质介质采用碎纸机进行销毁；其它报废不再使用的设备可考虑不可恢复的物理损坏操作；无法采用上述处置措施的，电子类信息可考虑三次以上低格操作。第二十八条报废后的设备，按照公司相关规定统一处理。资产管理负责人更改资产清单及设备状态。第七章附则第二十九条本规定由XXXXX系统运行部负责解释。第三十条本规定自发布之日起执行。

第八章附件附件一采购申请设备采购申请表填表人： 申请日期年月日申请部门设备名称数量规格型号用途技术要求及指标大约单价大约总价希望到货的日期部门负责人意见系统运行部负责人意见分管领导意见备注XXXXX信息资产管理规定附件二到货验收单到货验收单设备名称/型号设备数量设备供货商名称设备原厂商名称设备到货时间设备到货验收内容是否按照预定期限到货是/否型号/数量是否与商务合同一致是/否包装是否完好是/否外观是否完好是/否所有附件是否齐备是/否加电开关机是否正常是/否上架安装是否完成是/否验收人员签字确认姓名职务日期供货方人员签字确认姓名职务日期原厂商人员签字确认姓名职务日期

XXXXX信息资产管理规定附件三设备领用单设备领用单领用人： 所在部门： 领用时间：领用设备信息设备名称设备配置用途简述所属部门负责人意见签章：日期：资产管理负责人意见签章：日期：XXXXX信息资产管理规定附件四设备接收单设备接收单设备信息设备名称设备配置资产管理负责人签章：日期：设备接收人签章：日期：XXXXX信息资产管理规定附件五信息资产分类表分类—般描述数据资产以物理或电子的方式记录的数据，如文件资料、电子数据等。文件资料类包括公文、合同、操作单、项目文档、记录、传真、财务报告、发展计划、应急预案、日常数据，以及各类外来流入文件等。电子数据类如制度文件、管理办法、体系文件、技术方案及报告、工作记录、表单、配置文件、拓扑图、系统信息表、用户手册、数据库数据、操作和统计数据、开发过程中的源代码等。软件资产信息处理设施（服务器，台式机，笔记本，存储设备等）上安装使用的各种软件，用于处理、存储或传输各类信息，包括系统软件、应用软件（有后台数据库并存储应用数据的软件系统）、工具软件（支持特定工作的软件工具）、桌面软件（日常办公所需的桌面软件包）等。例如：操作系统、数据库应用程序、网络软件、办公应用系统、业务系统程序、软件开发工具等。实物资产各种与业务相关的IT物理设备或使用的硬件设施，用于安装已识别的软件、存放有已识别的数据资产或对业务有支持作用。包括主机设备、存储设备、网络设备、安全设备、计算机外设、可移动设备、移动存储介质、布线系统等。人员资产各种对已识别的数据资产、软件资产和实物资产进行使用、操作和支持（也就是对业务有支持作用）的人员角色。如管理人员、业务操作人员、技术支持人员、开发人员、运行维护人员、保障人员、普通用户、外包人员、有合同约束的保安、清洁员等。服务资产各种以购买方式获取的，或者需要支持部门特别提供的、能够对其他已识别资产的操作起支持作用（即对业务有支持作用）的服务。如产品技术支持、运行维护服务、桌面帮助服务、内部基础服务、网络接入服务、安保（例如监控、门禁、保安等）、呼叫中心、监控、咨询审计、基础设施服务（供水、供热、供电）等。其他资产除已识别的信息资产以外，为业务提供支持的其他无形资产。如ISMS体系的有效性、标准合规、客户要求的符合性等。附件六信息资产分级标准图取值取值标准描述保密性Confidentiality完整性Integrity可用性Availability一般资产人员一般资产人员一般资产人员5很高包含组织最重要的秘密，关系未来发展的前途命运，对组织根本利益有着决定性的影响，如果泄露会造成灾难性的损害可以接触/存取商密各个级别的信息完整性价值非常高，未经授权的修改或破坏会对组织造成重大的或无法接受的影响，对业务冲击重大，并可能造成严重的业务中断，难以弥补如果该人员未正确执行其职务内容，将造成业务运作效率大幅度降低或停顿可用性价值非常高，合法使用者对信息及信息系统的可用度达到年度100%以上，或系统不允许中断如果要维持业务正常运作，可以容忍该人员所承担职务不得缺席，否则会对公司业务造成影响4高包含组织的重要秘密，其泄露会使组织的安全和利益受到严重损害最高可以接触/存取到同级别的信息完整性价值较高，未经授权的修改或破坏会对组织造成重大影响，对业务冲击严重，较难弥补如果该人员未正确执行其职务内容，将造成部门/处室之业务运作效率明显降低或停顿可用性价值较高，合法使用者对信息及信息系统的可用度达到年度99.8%以上，或每次系统允许中断时间小于90分钟如果要维持业务正常运作，可以容忍该人员所承担职务突然缺席不得超过1个工作日3中组织的一般性秘密，其泄露会使组织的安全和利益受到损害只可以接触/存取一般性的秘密信息和内部使用信息完整性价值中等，未经授权的修改或破坏会对组织造成影响，对业务冲击明显，但可以弥补如果该人员未正确执行其职务内容，将造成相关工作任务效率小幅度降低或停顿可用性价值中等，每次系统允许中断时间小于12小时如果要维持业务正常运作，可以容忍该人员所承担职务突然缺席超过1个工作日，但不能超过3个工作日2低仅能在组织内部或在组织内某一部门内公开的信息，向外扩散有可能对组织的利益造成轻微损害只可以接触/存取内部使用和公开信息完整性价值较低，未经授权的修改或破坏会对组织造成轻微影响，对业务冲击轻微，容易弥补如果该人员未正确执行其职务内容，会对业务运作造成轻微影响可用性价值较低，每次系统允许中断时间小于24小时如果要维持业务正常运作，可以容忍该人员所承担职务突然缺席超过3个工作日1很低可对社会公开的信息，公用的信息处理设备和系统资源等只可以接触/存取对外公开的信息完整性价值非常低，未经授权的修改或破坏会对组织造成的影响可以忽略，对业务冲击可以忽略如果该人员未正确执行其职务内容，基本不会对业务运作造成影响可用性价值可以忽略，每次系统允许中断时间没有特殊要求如果该人员缺席，基本不会对业务正常运作造成影响

附件七信息资产日常使用与保护图机密级秘密级部门级对内公开级对外公开级电子介质标注要求在文件封面及内部都应该标注在文件封面及明显处应标注在明显处标注可标注，无标注的文件缺省为本级别无标注要求。定义为公开的信息须经相关部门授权硬拷贝标注要求如果是活页则每一页都需标注；如果是一体的则只需在封面封底或首页标注；其他介质表面标注如果是活页则每一页都需标注；如果是一体的则只需在封面封底或首页标注；其他介质表面标注在明显处标注可标注，无标注的文件缺省为本级别无标注要求。定义为公开的信息须经相关部门授权授权需得到责任人和管理层批准需得到责任人和管理层批准需得到相关责任人及部门领导批准需得到责任人批准无特别要求访问只能被得到授权的极少数核心人员访问，保密协议中对此有明确规定只能被得到授权的少数重要人员访问，保密协议中对此有明确规定只能被公司内部或外部得到明确授权的人员访问，访问者应该签署相应保密协议可以被公司内部或外部因为业务需要的人员访问，访问者应该签署相应保密协议公司内员工或因为业务需要的人员都可以访问

机密级秘密级部门级对内公开级对外公开级存储电子类的应该加密存储在安全的计算机系统内；硬拷贝应该锁在安全的保险柜内；禁止以其他形式存储或显示电子类的应该加密或存储在安全的计算机系统内；硬拷贝应该放置在安全区域内；禁止以其他形式存储或显示电子类的应该妥善保存在设有安全控制的计算机系统内；硬拷贝应该妥善保管，严禁摆放在桌面；使用白板展示后应立即擦除电子类的应该妥善保管，可以进行加密；纸质不应放在桌面以恰当方式保存，避免被非授权人员看到；存储有信息的介质避免丢失打印禁止打印（或在授权情况下专人负责打印，不得打印到无人值守机）须经相关责任人许可，打印件标注密级并妥善管理，不得打印到无人值守机须经相关责任人许可，打印件标注密级并妥善管理，不得打印到无人值守机经相关责任人许可，打印件标注密级并妥善管理无限制，打印件标注密级邮件禁止邮件直接发送，经授权后做电子签名和加密控制，经安全的途径发送，保留记录须经相关责任人许可，邮件发送应做加密控制，保留记录须经相关责任人许可，邮件发送应做加密控制，保留记录经相关责任人许可无限制传真禁止传真须经相关责任人许可后专人负责传真须经相关责任人许可后专人负责传真经相关责任人许可无限制物理传输经授权后采取妥善的保护措施，由专人、专车传输经