2024年信息资产和设备管理制度模版（二篇）

第10页共10页2024年信息资产和设备管理制度模版保密文件资料管理规定一、纸质文件资料的保密管理1.秘密级及以上的纸质文件资料，必须明确标识其保密级别（可通过标签或其他方式），并实行分类存放。各类、各级文件应按其安全级别进行传达，以确保纸质文件的安全管理。2.对于机密级别以上的重要纸质文件，必须存放在配备锁的文件柜或保险柜中，钥匙由专人负责保管，以加强安全控制。3.纸质文件的保存期限应根据实际需求制定并严格执行，确保文件的有效管理。4.在使用重要纸质文件时，必须严格遵守保密规定，确保信息的保密性、完整性和可用性不受损害。5.对于重要纸质文件的传输，应采取适当的安全措施，如专人递送、分散传输等，以防止信息泄露。二、纸质文档的处置1.当实体数据资料达到保存期限后，必须采取撕毁或粉碎等不可恢复的方式进行处理，以防止数据泄密。2.对于重要纸质文件（如财务文件）的销毁，应确保两人以上在场监督，以进一步保障信息安全。三、人员招调、在职、离职管理1.所有关于人员招调、在职、离职的安全管理活动，均须按照《用户管理制度》的要求严格实施。四、服务性资产的使用与处置1.所有服务性资产应设立专人管理，并进行定期维护，以防止损坏、非授权使用或丢失。2.涉及服务性合同的签署，相关管理部门应严格审核保密条款，确保信息安全。3.当服务性设施损坏时，若可维修，则负责人应联系相关人员进行修复；若涉及第三方，则需依据《用户管理制度》对第三方进行管理。4.若服务性设施无法维修，只能报废时，应联系相关管理部门提出报废申请，并按程序处理。五、安全设备管理（一）设备选型1.严禁采购和使用未经销售许可的信息安全产品。2.优先选用我国自主开发的信息安全技术和设备。3.避免采用境外密码设备，如确需使用，必须确保产品已通过我国权威机构的认证测试并获得销售许可。4.使用经国家密码管理部门批准和认可的国内密码技术及相关产品。5.终端物理隔离必须采用国家保密局认可的隔离卡或其他方式。（二）设备检测1.信息系统中的所有安全设备必须符合国家相关标准，如《数据处理设备的安全》、《电动办公机器的安全》等，同时电磁辐射强度、可靠性及兼容性也需符合安全管理等级要求。（三）设备安装1.设备选型并获得批准后，方可进行购置安装。2.新购设备需在测试环境下进行连续运行测试和应用系统兼容性测试，确保设备性能稳定。3.主机、服务器、网络设备、安全设备等在上架前必须通过安全检测，禁止安装有默认操作系统的设备直接接入系统。4.设备通过测试后进入试运行阶段，试运行时间根据业务需要动态调整。5.试运行通过的设备方可接入生产系统正式运行。（四）设备登记1.建立严格的设备购置、移交、使用、维护、维修和报废记录制度，确保设备管理的规范化和正规化。（五）设备使用管理1.指定专人负责每台设备的使用，并建立详细的运行日志。2.设备责任人负责日常清洗、定期保养维护，并做好维护记录。3.确保设备在适宜的环境下工作，防止因环境因素导致设备故障。4.设备出现故障时，管理员应如实填写故障报告并通知相关人员处理。（六）设备维修管理1.设立专人负责设备维修工作，并建立备件库以满足正常运行需求。2.根据设备使用情况和系统可靠性等级制定预防性维修计划。3.维修时采取数据保护措施并确保有安全管理员在场监督。4.记录设备维修的详细情况包括维修对象、故障原因、排除方法等。5.设备达到折旧期或严重故障无法修复时由专业技术人员鉴定并提出处理意见报请批准后进行报废处理。（七）设备储存管理1.设备储存环境应符合出厂标称要求以防止设备受损。2.建立详细的设备进出库、领用和报废登记制度以确保设备管理的准确性。3.定期对储存设备进行清洁、核查及通电检测以维护设备性能稳定。4.安全产品及保密设备应单独储存并采取相应保护措施以确保信息安全。六、附则1.本制度由某某单位负责解释。2.本制度自发布之日起生效执行。2024年信息资产和设备管理制度模版（二）1)职责信息中心：1.承担数据资产安全管理情况的审查职责。2.负责本文件的编制、维护及管理工作。3.全面负责固定资产的管理流程，包括采购、记录、变更、报废等各个环节。4.执行备品备件的出入库管理任务。5.对有形资产实施分类、分级及标记管理。6.对备品备件进行细致分类管理。7.在有形资产发生变更、报废或销毁时，负责监督并确保资产中信息的妥善处理。8.定期检查台帐、信息系统中与信息资产相关的记录，并将检查结果纳入考核计划中。各部门：1.遵循资产使用规则和限制，确保信息资产得到正确使用。2.在有形资产和备品备件发生变更、报废或销毁时，负责检查并向信息中心报告介质中可能存在的敏感信息。2)工作程序资产的分类分级：1.资产分类明确划分为关键资产与非关键资产：关键资产：对业务连续性和系统可用性具有重大影响的资产（通常价格或价值较高）。非关键资产：对业务连续性和系统可用性影响较小的资产（通常价格或价值较低）。资产的登记与标记：1.信息中心负责固定资产的分类分级、登记工作，明确资产的类型、用途、位置、格式、规格、价值等具体信息。2.信息中心根据资产清单及设备标牌，对有形资产进行标记，并指定各部门资产责任人，由其负责所管资产的保护。3.各部门在资产新增、更新、调拨、报废时，需向信息中心提出需求，经信息安全领导小组审核并报主管领导批准后执行。4.信息中心定期检查有形资产的标记与使用情况，记录资产丢失、标签缺损等情况，并将其纳入部门考核。5.各部门对本部门管理的数据资产进行归类和统计，对电子文件采用统一电子标记进行标识。资产的使用与维护：1.信息中心制定信息资产使用规范说明，包括使用授权、管理方式、操作方法、移动管理等，并报信息安全领导小组备案。2.各部门工作人员（包括雇员、承包方人员和第三方人员）需明确信息资产使用限制条件，并对信息资产的使用和管理负责。3.各部门人员在使用移动介质进行数据传输后，应及时删除介质上保留的数据信息；对于只读介质，由本部门信息安全专员负责保存。4.各部门信息安全专员应确保存储介质的贮存地点符合各项安全要求，介质的存储需符合生产商的存储要求。5.各部门定期对本部门存储介质中的数据进行备份和恢复测试，并记录测试结果，以防止因介质老化导致的信息丢失。6.涉及国家秘密的信息通过移动介质存储时，各部门应参照国家相关规定执行。7.信息安全领导小组定期检查数据资产的安全管理情况，记录发现的问题，并将其纳入部门考核。资产的移动管理：1.所有有形资产的移动均需获得资产责任部门的授权。2.物理介质在运送至物理地点之外时，为防止未授权访问、不当使用或被毁坏，各部门应采取必要措施：如使用防篡改包装进行密封，确保内部人员亲自押运等。3.所有有形资产的移动均需进行登记。资产的销毁：1.各部门负责