信息資產(chǎn)和設(shè)備管理制度

信息資產(chǎn)和設(shè)備管理制度第一章范圍及職責(zé)

第一條本制度適用于于信息資產(chǎn)的管理，包含：以獲取、分類、采用和處理以及安全設(shè)備的管理。

第二條本制度中的信息資產(chǎn)就是指可以存儲信息數(shù)據(jù)的信息載體，包含：硬件、軟件、數(shù)據(jù)（電子數(shù)據(jù)）、文檔（紙質(zhì)文件）、人員、服務(wù)設(shè)施、其他。

第三條某某單位辦公室（以下縮寫：辦公室）主要負(fù)責(zé)管理信息資產(chǎn)的分類、匯總、采用與處理方法，以及安全設(shè)備的選型、檢測、加裝、備案、采用、保護(hù)和儲存。

第四條計(jì)算機(jī)資產(chǎn)統(tǒng)計(jì)數(shù)據(jù)信息的范圍涵蓋但不局限于：計(jì)算機(jī)主機(jī)名、IP地址、MAC地址、采用人/責(zé)任人、所屬部門、物理邊線、服務(wù)器的內(nèi)外網(wǎng)IP對應(yīng)等。

第二章信息資產(chǎn)的以獲取

第五條軟件、硬件設(shè)施、服務(wù)性設(shè)施等的贏得主要以訂貨的方式贏得，訂貨按照有關(guān)規(guī)定展開訂貨和環(huán)評。

第六條數(shù)據(jù)信息資產(chǎn)的贏得來源主要為：外包供應(yīng)商、市場信息、其他信息。

第三章信息資產(chǎn)的分類

第七條各部門根據(jù)業(yè)務(wù)流程列舉信息資產(chǎn)目錄并將每項(xiàng)資產(chǎn)的資產(chǎn)類別、信息資產(chǎn)編號、資產(chǎn)現(xiàn)有編號、資產(chǎn)名稱、所屬部門（界別）、管理者、使用者、地點(diǎn)等有關(guān)信息記錄在資產(chǎn)目錄上。

第八條資產(chǎn)的分類原則和編號原則如下：

1、硬件

1)

計(jì)算機(jī)設(shè)備：(臺式機(jī)、筆記本)、服務(wù)器;

2)

存儲設(shè)備：磁帶機(jī)、磁盤整列、磁帶、光盤、軟盤、移動硬盤等；

3)

網(wǎng)絡(luò)設(shè)備：路由器、交換機(jī)、網(wǎng)關(guān)、程控交換機(jī)等；

4)

傳輸線路：光纖、雙絞線、電話線(布線)、電源線；

5)

安全設(shè)備：硬件防火墻、侵略檢測、網(wǎng)絡(luò)隔絕設(shè)備（例如網(wǎng)閘）、身份驗(yàn)證等；

6)

辦公設(shè)備：打印機(jī)、復(fù)印機(jī)、掃描儀、傳真機(jī)、碎紙機(jī)、寫字白板、應(yīng)急照明設(shè)備等；

7)

確保設(shè)備：動力確保設(shè)備（UPS、變電設(shè)備）、空調(diào)、保險(xiǎn)柜、文件柜、門禁系統(tǒng)、消防設(shè)施等；

8)

其他設(shè)備；

2、軟件

例如：操作系統(tǒng)、系統(tǒng)軟件（office/AutoCAD）、應(yīng)用軟件（生產(chǎn)軟件）、網(wǎng)管軟件、殺毒軟件、財(cái)務(wù)軟件、開發(fā)工具和資源庫等；

3、電子數(shù)據(jù)

存有電子媒介的各種數(shù)據(jù)資料。例如：源代碼、數(shù)據(jù)庫數(shù)據(jù)、各種數(shù)據(jù)資料、系統(tǒng)文檔、運(yùn)轉(zhuǎn)管理規(guī)程、計(jì)劃、日周月報(bào)告、財(cái)務(wù)報(bào)告（電子版本）、用戶手冊、方案、電子設(shè)計(jì)圖紙等；

4、紙質(zhì)文件

紙質(zhì)的各種文件。例如：或電子郵件、電報(bào)、合約、紙張圖紙等；

5、服務(wù)性設(shè)施

例如：供電、供水、清掃、門禁系統(tǒng)、消防設(shè)施等；

6、人員

例如：各級領(lǐng)導(dǎo)、各級正式宣布雇員、臨時(shí)雇員等；

7、其他。

第九條按照《牽涉國家秘密的信息系統(tǒng)分級維護(hù)技術(shù)標(biāo)準(zhǔn)》和信息安全管理體系建設(shè)建議，按照信息資產(chǎn)的官方和脆弱程度，將信息資產(chǎn)化分成相同的維護(hù)等級，并對相同等級的信息資產(chǎn)展開維護(hù)，保證信息安全。各部門必須將所有的移動介質(zhì)和電子文件按照敏感性和關(guān)鍵程度分成相同的維護(hù)等級，保密級別與保密期限由持有人自行定義。

第十條辨識各個流程的各類關(guān)鍵信息資產(chǎn)，最終辦公室匯總，并每半年展開一次更新，保證關(guān)鍵信息資產(chǎn)的完善性（關(guān)鍵信息資產(chǎn)沒遺漏和缺位）和準(zhǔn)確性（信息資產(chǎn)的保密級別和關(guān)鍵程度能真實(shí)充分反映信息資產(chǎn)的狀態(tài)）。

第十一條對信息資產(chǎn)展開編號，同時(shí)對關(guān)鍵信息資產(chǎn)展開標(biāo)識：文檔須要存有緊固版本編號規(guī)則；硬件設(shè)備粘貼在設(shè)備顯著邊線處。

第四章信息資產(chǎn)的采用和處理

（一）硬件資產(chǎn)的采用和處理

第十二條硬件的采用處理包含出售/發(fā)送、采用（更替、修理、器重）、處理等有關(guān)內(nèi)容。

第十三條出售代萊硬件設(shè)備或者從其他部門發(fā)送遷移的設(shè)備時(shí)，必須錄入設(shè)備目錄，對有關(guān)設(shè)備展開測試檢驗(yàn)，然后備案。由資產(chǎn)管理員對硬件設(shè)備展開管理，明晰設(shè)備管理職責(zé)。

第十四條硬件資產(chǎn)的留存

1、機(jī)房選址必須防止在地下室、一樓（水淹和漏水）和頂層（漏水和起火時(shí)火向上冷卻），同時(shí)考量相連樓層的活動（防止熱源和漏水）；

2、處置敏感數(shù)據(jù)的信息處理設(shè)施放到適度安全的邊線，以增加在設(shè)備在采用期間信息被窺探的風(fēng)險(xiǎn)，維護(hù)儲存設(shè)施以避免未許可出訪；

3、設(shè)備的選址應(yīng)當(dāng)實(shí)行控制措施以增大潛在的物理威脅的風(fēng)險(xiǎn)，比如盜竊、火災(zāi)、核爆、煙霧、水（或供水故障）、溫度、濕度、塵埃、振動、化學(xué)影響、電源阻礙、通信阻礙、電磁輻射和故意毀壞；

4、嚴(yán)禁在信息處理設(shè)施附近排便、喝飲料和吸煙；

5、對專門維護(hù)的部件必須不予隔絕，以滿足用戶特定安全建議；

第十五條硬件資產(chǎn)的日常采用安全

1、所有的硬件資產(chǎn)必須明晰設(shè)備的采用人員/管理人員，明晰職責(zé)；

2、硬件資產(chǎn)的采用人（或管理人），在采用或管理硬件資產(chǎn)時(shí)，必須特別注意硬件資產(chǎn)的安全性、機(jī)密性、完整性，避免信息載體的燒毀和信息的泄露，避免信息處理設(shè)施的誤用；

對設(shè)備定期展開維護(hù)保養(yǎng)，出現(xiàn)燒毀，遺失等問題時(shí)能及時(shí)處理；

3、嶄新硬件設(shè)備互連網(wǎng)絡(luò)按照有關(guān)規(guī)定處置；

4、在人員上崗時(shí)，可以根據(jù)須要為上崗人員配備必要的辦公設(shè)備，包含電腦（筆記本或臺式機(jī)），電話機(jī)，其它辦公用品；辦公室根據(jù)該工作人員所處部門、工作性質(zhì)為其設(shè)置適當(dāng)?shù)霓k公網(wǎng)出訪權(quán)限；

5、須要采用移動排序設(shè)備（包含筆記本、無線網(wǎng)卡、移動硬盤和U盤）的用戶，應(yīng)當(dāng)獲得辦公室負(fù)責(zé)人的同意后方可以采用；

6、對于無人職守的設(shè)備，必須明晰管理人員，強(qiáng)化物理安全控制。

第十六條硬件資產(chǎn)的遷移安全

1、當(dāng)設(shè)備搬遷時(shí)，必須先對設(shè)備中存儲的關(guān)鍵信息展開備份；

2、設(shè)備搬遷順利完成后，必須檢查設(shè)備與否損毀；

3、設(shè)備搬遷出本單位時(shí)，設(shè)備中嚴(yán)禁放置關(guān)鍵信息，以避免機(jī)密信息泄漏或泄漏的風(fēng)險(xiǎn)減少。

第十七條辦公地點(diǎn)外采用任何信息處理設(shè)備必須通過管理者許可。場外設(shè)備的維護(hù)必須考量以下內(nèi)容：

1、返回本單位的設(shè)備和介質(zhì)（例如現(xiàn)場的設(shè)備和介質(zhì)），必須有人值班或委派負(fù)責(zé)人(或者公共場所置放的須要有人值班或監(jiān)視系統(tǒng))；

2、制造商維護(hù)設(shè)備用的說明書必須始終予以嚴(yán)格遵守，比如，避免曝露于弱電磁場內(nèi)；

3、根據(jù)風(fēng)險(xiǎn)的相同實(shí)行足夠多的安全確保措施，以維護(hù)返回辦公室設(shè)備的安全。

第十八條硬件資產(chǎn)的處理和器重

1、存儲設(shè)備封存前，必須保證所有存儲的敏感數(shù)據(jù)或許可軟件已經(jīng)被去除或安全改寫；

2、服務(wù)器、主要網(wǎng)絡(luò)設(shè)備的處理由辦公室展開安全處理；

3、臺式機(jī)、打印機(jī)、傳真機(jī)、掃描儀等IT設(shè)備的處理由辦公室展開并搞備案；

4、例如須要除役時(shí)，應(yīng)當(dāng)向主管部門明確提出除役提出申請，經(jīng)批準(zhǔn)后除役。

（二）軟件資產(chǎn)的采用和處理

第十九條軟件資產(chǎn)的采用

1、所有的軟件資產(chǎn)必須設(shè)置專人管理，明晰職責(zé)，防止軟件資產(chǎn)的遺失，泄露；

2、所有正版軟件實(shí)體由辦公室專人看管，在加裝軟件時(shí)必須規(guī)定采用權(quán)限，避免非許可出訪；

3、按照《系統(tǒng)運(yùn)轉(zhuǎn)保護(hù)管理制度》中“備份與恢復(fù)正常管理”章節(jié)建議，對關(guān)鍵系統(tǒng)展開備份；

4、當(dāng)人員辭職或崗位變動，須要廢舊有關(guān)的軟件，必要時(shí)，由辦公室技術(shù)人員對辭職人員采用的軟件展開裝載，刪掉。

第二十條軟件資產(chǎn)的處理：對過時(shí)或證實(shí)違憲的軟件資產(chǎn)，定期展開去除。

（三）電子數(shù)據(jù)的采用和處理

第二十一條電子數(shù)據(jù)的采用

1、對所有電子數(shù)據(jù)展開分類/分級，標(biāo)識未許可人員的出訪管制，相同安全級別的數(shù)據(jù)應(yīng)當(dāng)存儲在相同的區(qū)域，按類按級表達(dá)，易于信息的安全管理；

2、相同類型的電子文件按照統(tǒng)一規(guī)律存放在個人電腦或服務(wù)器中，易于整理和查詢以及工作更替時(shí)遷移；

3、所有電子文件留存在電腦或服務(wù)器中，并按照《備份和恢復(fù)正常管理制度》規(guī)定的備份頻率定期展開備份；

4、對于藏于服務(wù)器上的電子數(shù)據(jù)的出訪，根據(jù)服務(wù)器提供更多服務(wù)的相同與部門／職務(wù)的相同，設(shè)置相同的出訪權(quán)限，防止非許可出訪；

5、對于內(nèi)部官方級別的電子信息，其采用必須掌控在內(nèi)部，嚴(yán)禁拎出來；

6、對于秘密級別以上的電子文件的處理過程，必須確保數(shù)據(jù)的完整性、機(jī)密性和可用性；

7、對于秘密級別以上的電子文件的采用，系統(tǒng)應(yīng)當(dāng)展開審計(jì)工作；

8、對于秘密級別以上的電子文件的傳輸，必須實(shí)行適度的安全措施予以維護(hù)，例如加密傳輸、集中傳輸?shù)龋?/p>

9、在整理電腦中的電子數(shù)據(jù)時(shí)，必須小心操作方式，證實(shí)后再展開處置，防止由于誤操作將有價(jià)值的電子數(shù)據(jù)刪掉。

（四）紙質(zhì)文檔的采用和處理

第二十二條紙質(zhì)文檔的采用

1、所有的秘密級以上的紙質(zhì)文件資料必須（通過標(biāo)簽或其它方式）標(biāo)識出來資產(chǎn)的保密級別，分類放置，相同安全級別的紙質(zhì)文件應(yīng)當(dāng)按類按級表達(dá)，易于紙質(zhì)文件的安全管理；

2、對于比較關(guān)鍵的紙質(zhì)文件（機(jī)密級別以上）必須留存在CLO的文件柜或保險(xiǎn)柜中，鑰匙由專人看管；

3、對于紙質(zhì)文件的留存期限依據(jù)實(shí)際建議制訂和實(shí)行；

4、對于比較關(guān)鍵的紙質(zhì)文件的采用過程，必須特別注意信息的保密，保證信息的完整性和可用性；

5、對于比較關(guān)鍵的紙質(zhì)文件的傳輸，必須實(shí)行適度的安全措施予以維護(hù)，例如專人郵寄、集中傳輸?shù)取?/p>

第二十三條紙質(zhì)文檔的處理

1、實(shí)體數(shù)據(jù)資料達(dá)至留存期限后，必須將其撕掉或者消滅至念不出年才，防止實(shí)體數(shù)據(jù)資料的泄露；

2、對于關(guān)鍵紙質(zhì)文件的封存，例如財(cái)務(wù)紙質(zhì)文件，建議兩人以上到場，避免信息的泄露。

（五）人員招調(diào)、在校、辭職

第二十四條所有人員的招調(diào)、在校、辭職安全管理按照《用戶管理制度》的建議展開實(shí)行。

（六）服務(wù)性資產(chǎn)的采用和處理

第二十五條所有服務(wù)性資產(chǎn)必須設(shè)置專人管理，消防系統(tǒng)，防止損毀、非許可采用或遺失。牽涉服務(wù)性的合約，有關(guān)管理部門在簽訂合約時(shí)，應(yīng)當(dāng)審查牽涉信息保密的有關(guān)條款。

第二十六條當(dāng)服務(wù)性設(shè)施損毀，如果可以修理，由負(fù)責(zé)人聯(lián)絡(luò)有關(guān)人員展開修理，如果牽涉至第三方，依據(jù)《用戶管理制度》對第三方展開管理。

第二十七條當(dāng)服務(wù)性設(shè)施損毀，不容修理，就可以除役時(shí)，應(yīng)當(dāng)聯(lián)絡(luò)有關(guān)管理部門明確提出除役提出申請。

第五章安全設(shè)備管理

（一）設(shè)備的選型

第二十八條不得訂貨和采用未贏得銷售許可證的信息安全產(chǎn)品。

第二十九條應(yīng)當(dāng)優(yōu)先使用我國獨(dú)立自主研發(fā)研制的信息安全技術(shù)和設(shè)備。

第三十條防止使用境外的密碼設(shè)備。

第三十一條例如須要使用境外信息安全產(chǎn)品時(shí)，必須保證產(chǎn)品贏得我國權(quán)威機(jī)構(gòu)的證書測試和銷售許可證。

第三十二條采用經(jīng)國家密碼管理部門核準(zhǔn)和普遍認(rèn)可的國內(nèi)密碼技術(shù)及有關(guān)產(chǎn)品。

第三十三條終端物理隔絕必須采用國家保密局普遍認(rèn)可的隔離卡或使用國家保密局普遍認(rèn)可的其他方式。

（二）設(shè)備檢測

第三十四條信息系統(tǒng)中的所有安全設(shè)備必須合乎中華人民共和國國家標(biāo)準(zhǔn)《數(shù)據(jù)處理設(shè)備的安全》、《電動辦公機(jī)器的安全》中規(guī)定的建議，其電磁輻射強(qiáng)度、可靠性及兼容性也必須合乎安全管理等級建議。

（三）設(shè)備加裝

第三十五條設(shè)備合乎系統(tǒng)選型建議并贏得批準(zhǔn)后，方可添置加裝。

第三十六條凡購入的設(shè)備均須在測試環(huán)境下經(jīng)過已連續(xù)72小時(shí)以上的單機(jī)運(yùn)轉(zhuǎn)測試和聯(lián)機(jī)48小時(shí)的應(yīng)用領(lǐng)域系統(tǒng)兼容性運(yùn)轉(zhuǎn)測試。

第三十七條主機(jī)、服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等開賣運(yùn)轉(zhuǎn)前必須通過安全檢測，嚴(yán)禁加裝存有預(yù)設(shè)操作系統(tǒng)的主機(jī)、服務(wù)器輕易互連系統(tǒng)。

第三十八條通過上述測試后，設(shè)備步入試運(yùn)營階段，試運(yùn)營時(shí)間的長短根據(jù)業(yè)務(wù)須要動態(tài)預(yù)設(shè)。

第三十九條通過試運(yùn)營的設(shè)備就可以互連生產(chǎn)系統(tǒng)，正式宣布運(yùn)轉(zhuǎn)。

（四）設(shè)備備案

第四十條對所有設(shè)備均應(yīng)當(dāng)創(chuàng)建嚴(yán)苛完備的添置、轉(zhuǎn)交、采用、保護(hù)、修理和除役等記錄，深入細(xì)致搞好資產(chǎn)備案和管理工作，確保設(shè)備管理的正規(guī)化。

（五）設(shè)備采用管理

第四十一條每臺設(shè)備的采用均應(yīng)當(dāng)選定專人負(fù)責(zé)管理并創(chuàng)建詳盡的運(yùn)行日志。

第四十二條由責(zé)任人負(fù)責(zé)管理展開設(shè)備的日常沖洗及定期維修保養(yǎng)保護(hù)，搞好保護(hù)記錄，確保設(shè)備處在最佳狀態(tài)。

第四十三條確保設(shè)備在其適合的采用環(huán)境下工作。

第四十四條一旦設(shè)備發(fā)生故障，管理