信息资产和设备管理制度

1、信息资产和设备管理系统第一章范围和责任第一条本制度适用于信息资产管理，包括取得、分类、使用和处置、安全设备管理。第二条本系统的信息资产是指可以存储信息数据(包括硬件、软件、数据(电子数据)、文档(纸面文件)、人员、服务设施和其他)的信息载体。第三条特定单位办公室(以下简称“办公室”)主要负责信息资产的分类、汇总、使用和处置方法以及安全设备的选择、测试、安装、注册、使用、维护和保管。第四个计算机资产统计数据的范围包括但不限于计算机主机名、IP地址、MAC地址、用户/所有者、所属部门、物理位置和服务器的内部和外部网络IP响应。第二章信息资产购置第五条获取软件、硬件设施、服务设施等主要是采购，采购按

2、照相关规定进行采购和验收。第六条数据信息资产的来源主要是外包商、市场信息、其他信息。第三章信息资产分类第7条各部门根据业务流程列出信息资产列表，并将与每项资产的资产类别、信息资产编号、资产现有编号、资产名称、所属部门(组)、经理、用户和地点相关的信息记录在资产列表中。第八条资产的分类原则和编号原则如下。1、硬件1)计算机设备： (台式机、笔记本电脑)、服务器；2)存储设备：磁带机、磁盘整列、磁带、光盘、软盘、可移动硬盘等；3)网络设备：路由器、交换机、网关、程控交换机等；4)传输线：光纤、双绞线、电话线(接线)、电源线；5)安全设备：硬件防火墙、入侵检测、网络隔离设备(如网关守护设备)、身份验

3、证等；(6)办公用品：打印机、复印机、扫描仪、传真机、研磨机、书写白板、紧急照明设备等；7)设备保护：电力保护设备(UPS、变电站设备)、空调、保险柜、柜、门禁、消防设施等；八)其他设备；2，软件操作系统、系统软件(office/AutoCAD)、应用程序(生产软件)、网络管理软件、防病毒软件、财务软件、开发工具和资源池等：3、电子数据有关于电子媒体的各种数据资料。源代码、数据库数据、各种数据资料、系统文档、运营管理法规、计划、每周报告、财务报告(电子版本)、用户指南、程序、电子设计图纸等：4、纸质文档纸的各种文件。传真、电报、合同、纸质图纸等5、服务设施例如：供电、供水、清洁、门禁、消防设施

4、等；6、人例如：各级领导、各级正式员工、临时员工等；7、其他。根据第9条涉及国家秘密的信息系统分级保护技术标准和信息安全管理系统构建要求，根据信息资产的披露和敏感度将信息资产分类为不同的保护级别，保护不同级别的信息资产，以确保信息安全。各部门必须根据敏感度和重要性将所有移动介质和电子文件分类为不同的保护级别，保密级别和保密期限由持有者直接定义。第10条确定各过程中的各种核心信息资产，监督最终办公室，每6个月更新一次，以确保重要信息资产的完整性(重要信息资产不缺失或缺失)和准确性(信息资产的机密性级别和重要性完全反映信息资产的状态)。第十一条对信息资产进行编号的同时，识别重要信息资产。文件需要固

5、定版本编号规则。硬件设备粘贴在设备上的明显位置。第四章信息资产的使用和处置(a)硬件资产的使用和处置第12条硬件的使用处置包括采购/接收、使用(转移、维修、重复使用)、处置等相关内容。第十三条购买新硬件设备或者收到其他部门发送的设备时，必须验证设备清单，测试验证相关设备，然后注册。资产管理员管理硬件设备并指定设备管理责任。第14条.硬件资产的保存1、客房空间应考虑相邻楼层的活动(热源和防止漏水)，避免在地下室、一楼(水淹和漏水)和顶层(漏水和火灾时在火灾中燃烧)。2、将处理敏感数据的信息处理设施放在适当的安全位置，以减少使用设备时信息窥探的风险，保护存储设施，防止未经授权的访问。3、设备位置必

6、须采取控制措施，以降低潜在物理威胁的危险，如失窃、火灾、爆炸、烟雾、水(或供水故障)、温度、湿度、灰尘、振动、化学影响、电源干扰、通信干扰、电磁辐射和蓄意破坏。4、禁止在信息处理设施附近吃饭、喝酒、吸烟；5、隔离特别保护的部件，以满足特殊安全要求。第15条硬件资产的日常使用安全1、所有硬件资产应明确指定设备的使用/管理人员，明确责任。2、在使用(或管理人员)硬件资产、使用或管理硬件资产时，注意硬件资产的安全性、机密性、完整性，防止信息载体的破坏和信息泄露，防止信息处理设施的滥用；设备发生定期维护、破坏、丢失和其他问题时，可以及时处置。3、新硬件设备接入网按有关规定；4、根据需要，包括计算机(笔

7、记本电脑或台式机)、电话、其他办公用品，在员工工作时，您可以放置所需的办公用品。办公室根据员工所属的部门和工作性质设置相应的办公室网络访问。5需要使用移动计算设备(包括笔记本电脑、无线卡、移动硬盘和u盘)的用户必须得到办公室负责人的同意。6、对无人驾驶设备，要明确管理管理者，加强物理安全控制。第16条硬件资产的转让安全1、设备迁移时，必须首先备份设备上存储的重要信息；2、设备迁移完成后，应检查设备是否损坏；3、防止设备在从本单元转移时将重要信息保存在设备上，从而防止机密信息泄露或泄漏的风险增加。第十七条在办公室现场以外使用任何信息处理设备必须得到经理的批准。场外设备的保护应考虑：1、离开设备的

8、设备和介质，如现场设备和介质，必须由某人监视或委派负责人(或者在公共场所安置，需要有人监视或监视系统)；2、要始终遵守制造商用于保护设备的说明书，例如避免暴露在强电磁场中；3、根据风险采取适当的安全措施，保护办公室设备的安全。第18条硬件资产的处置和再利用1、处置存储设备之前，请确保所有存储的重要数据或授权软件均已删除或安全重写。2、服务器、关键网络设备的处置由办公室安全处置。3、台式机、打印机、传真机、扫描仪等IT设备的处置在办公室进行和注册。4、需要处分的，应向主管部门申请处分，批准后处分。(b)软件资产的使用和处置第19条软件资产的使用1、所有软件资产必须设置管理、明确责任、防止软件资产

9、损失、泄漏；2、所有正版软件实体由办公室员工保管，安装软件时必须规定权限以防止未经授权的访问。3、根据系统运行维护管理制度“备份和恢复管理”一章中的要求备份关键系统。4、离职或职务变更，需要回收相关软件，必要时删除、删除办公室技术人员离职员工使用的软件。第20条软件资产的处置：对已确认过期或无效的软件资产，定期删除。(c)电子数据的使用和处置第21条电子数据的使用1、对所有电子数据进行分类/分类，确定未经授权的员工的访问限制，不同安全级别的数据必须存储在不同的区域，按类传送，以便于安全管理信息；2、不同类型的电子文件在PC或服务器上按集成规则存档，以便于整理、查看和发送作业。3、所有电子文件都

10、保存在计算机或服务器上，并根据备份和恢复管理制度确定的备份频率定期备份。4、访问存储在服务器上的电子数据时，根据服务器提供的服务，将访问权限设置为不同于部门/职务，以防止未经授权的访问。5、对于内部公开级别的电子信息，其使用应受到内部控制，禁止取出；6，对于机密级别以上的电子文件处理过程，必须确保数据的完整性、机密性和可用性。7、对秘密级以上电子文件的使用，系统必须接受审核；8、对于秘密级别以上的电子文件传输，应采取相应的安全措施，如加密传输、分布式传输等。9、在整理计算机上的电子数据时，为了防止错误操作删除有用的电子数据，请仔细工作后确认。(d)纸质文件的使用和处置第22条.纸质文件的使用1

11、、所有秘密级别以上的纸质文档资料(通过标签或其他手段)必须确定资产的机密级别并分类，不同安全级别的纸质文档必须按类传送，以便于安全管理纸质文档。2、更重要的纸质文件(机密级别以上)，应放在带锁的文件柜或保险柜里，钥匙由个人保管；3、纸质文件的保存期限根据实际要求制定和实施；4、在更重要的纸质文档使用过程中，要注意信息的机密性，以确保信息的完整性和可用性；5、对于更重要的纸质文件传输，应采取适当的安全措施，如个人递送、分布式传输等。第23条.纸质文件的处置1、物理数据达到保留期后，应将其撕裂或粉碎，以避免物理数据泄露。2、对财务纸质文件等重要纸质文件的破坏，要求两人以上出席，防止信息泄露。(e)

12、征聘、在职、离职第二十四条所有人员的招聘、在职、离职安全管理按照用户管理制度的要求执行。(六)服务资产的使用和处置第二十五条所有服务资产为避免损坏、未经授权使用或丢失，应设置个人管理、定期维护。有关服务合同，有关管理部门在签订合同时，必须审查与信息机密相关的相关条款。第二十六条服务设施损坏，可以维修的话，负责人联系有关负责人维修，有关第三方的情况，按照用户管理制度管理第三方。第二十七条服务设施损坏，不能维修，只能报废的，应当联系有关管理部门申请报废。第五章安全设备管理(a)选择设备第二十八条未经销售许可的信息安全产品的购买和使用被严格禁止。第29条应优先引进我国自行开发的信息安全技术和设备。第

13、30条.避免使用海外密码设备。第三十一条需要采用国外信息安全产品的，应当确保该产品得到我国权威机构的认证测试和销售许可。第三十二条国家密码管理部门批准和批准的国内密码技术及相关产品的使用。第三十三条最终物理隔离应使用国家机密局批准的隔离卡或国家机密局批准的其他方式。(b)设备测试第三十四条信息系统的所有安全设备必须符合中华人民共和国国家标准数据处理设备的安全，电动办公机器的安全中规定的要求，电磁辐射强度、可靠性和兼容性也必须符合安全管理水平要求。(c)设备安装第三十五条设备符合系统选择要求，经批准后才能购买安装。第36条购买的所有设备必须在测试环境中进行72小时以上的独立测试和在线48小时的应

14、用程序系统兼容性操作测试。第37条在运行主机、服务器、网络设备、安全设备等搁板之前，必须通过安全测试，并且必须禁止安装基本操作系统的主机、服务器直接访问系统。第三十八条通过上述测试后，装置进入试运行阶段，试运行时间的长度根据业务需要动态设定。第三十九条只有通过试运行的设备才能进入生产系统。(d)设备注册第四十条所有设备必须严格建立完整的购置、转让、使用、维护、维修、报废记录，认真执行资产登记和管理工作，确保设备管理标准化。(e)设备使用管理第四十一条要负责各设备的使用，并牢记写详细的操作日志。第四十二条负责人负责设备的日常清洁和定期维护，做好维护记录，保证设备保持最佳状态。第四十三条设备在适当的使用环境下运行。第四十四条设备发生故障时，管理员如实填写问题报告，通知有关负责人处理。(六)设备维护管理第四十五条设备负责维修，建立满足正常运行最低要求的脆弱部件的备件库。第四十六条根据各设备的使用和系统的可靠性水平制定预防性维护计划。第四十七条维修系统时必须采取数据保护措施，维修安全设备时必须有安全管理员。第四十八条设备维修应记录维修对象、问题原因、解决方法、主要维