信息系統(tǒng)資產(chǎn)安全管理辦法

1、學(xué)院信息系統(tǒng)資產(chǎn)安全管理辦法總則第一條為了確保學(xué)院信息資產(chǎn)的管理水平，保障信息資 產(chǎn)安全，特制定本文件。第二條學(xué)院的信息資產(chǎn)可分為以下六類資產(chǎn)：（一）信息類資產(chǎn)：包括數(shù)據(jù)庫(kù)和數(shù)據(jù)文件、合同和協(xié)議、系 統(tǒng)文件、研究信息、用戶手冊(cè)、培訓(xùn)材料、業(yè)務(wù)連續(xù)性計(jì)劃、后 備運(yùn)行安排審核記錄、歸檔記錄、系統(tǒng)的規(guī)劃架構(gòu)、設(shè)計(jì)文檔、 測(cè)試和配置文檔、度量考核指標(biāo)、流程記錄、管理辦法、規(guī)范標(biāo) 準(zhǔn)等信息。（二）軟件資產(chǎn)：包括應(yīng)用軟件、系統(tǒng)軟件、開(kāi)發(fā)工具和實(shí)用 軟件程序等。（三）硬件類資產(chǎn)：包括計(jì)算機(jī)設(shè)備、通信設(shè)備、可移動(dòng)介質(zhì) 和其他設(shè)備。（四）服務(wù)類資產(chǎn)：包括通信服務(wù)、通用共用事業(yè)服務(wù)（如， 供暖、照明、電力、空調(diào)）

2、等。（五）人員類資產(chǎn)：包括單位內(nèi)與信息安全相關(guān)的重要人員， 如系統(tǒng)管理員、應(yīng)用系統(tǒng)管理員、網(wǎng)絡(luò)管理員等。（六）無(wú)形類資產(chǎn)：包括學(xué)院的社會(huì)公眾形象和聲譽(yù)等。第三條 文件中涉及的信息類資產(chǎn)管理要求主要涵蓋非涉密 信息及學(xué)院內(nèi)部信息系統(tǒng)的安全管理。（2）信息資產(chǎn)責(zé)任（七）第四條學(xué)院信息資產(chǎn)安全管理工作的最高領(lǐng)導(dǎo)機(jī)構(gòu)為 網(wǎng)絡(luò)與信息安全工作領(lǐng)導(dǎo)小組，負(fù)責(zé)單位內(nèi)部信息資產(chǎn)的安全； 網(wǎng)絡(luò)與信息安全工作領(lǐng)導(dǎo)小組負(fù)責(zé)匯總和維護(hù)單位的信息資產(chǎn) 清單，各部門(mén)制定相應(yīng)的人員負(fù)責(zé)建立和維護(hù)被本門(mén)的信息資產(chǎn) 清單。（八）第五條 信息資產(chǎn)所有者是指對(duì)信息資產(chǎn)具有所有權(quán)的 單位、部門(mén)或個(gè)人，信息資產(chǎn)所有者對(duì)資產(chǎn)的獲取、使用及

3、處置 具有決策權(quán)；信息資產(chǎn)的管理者通?？梢允切畔①Y產(chǎn)的所有者， 也可以是得到信息資產(chǎn)所有者授權(quán)的其他部門(mén)或個(gè)人，信息資產(chǎn) 管理者根據(jù)信息資產(chǎn)所有者授權(quán)行使對(duì)信息資產(chǎn)的日常管理；信 息資產(chǎn)的使用者是單位的各類用戶，他們向管理者申請(qǐng)使用信息 資產(chǎn)。（九）第六條信息資產(chǎn)應(yīng)明確其所有者、管理者及使用者，其 中，所有者角色有且只有一個(gè)，管理者角色原則上有且只有一個(gè)。（十）第七條對(duì)于未明確所有者或管理者的信息資產(chǎn)，由網(wǎng) 絡(luò)安全與信息化領(lǐng)導(dǎo)小組或者根據(jù)實(shí)際工作需要，制定其所有者或管理者。（十一）第八條學(xué)院各個(gè)部門(mén)需建立信息資產(chǎn)清單，信息資 產(chǎn)清單必須詳細(xì)記錄部門(mén)的各類信息資產(chǎn)，其內(nèi)容包括信息資產(chǎn) 分類、信息

4、資產(chǎn)編號(hào)、信息資產(chǎn)名稱、用途、資產(chǎn)所有者、管理 者、使用者、存放地點(diǎn)位置等，便于查找、使用與管理。（十二）第九條各部門(mén)相關(guān)責(zé)任人負(fù)責(zé)維護(hù)和保存本部門(mén)的 信息資產(chǎn)清單，定期檢查信息資產(chǎn)清單的正確性和完整性；在信 息資產(chǎn)發(fā)生變更時(shí)，需及時(shí)更新信息資產(chǎn)清單，并報(bào)送網(wǎng)絡(luò)與信 息安全工作領(lǐng)導(dǎo)小組辦公室。（十三）第十條網(wǎng)絡(luò)與信息安全工作領(lǐng)導(dǎo)小組辦公室負(fù)責(zé)維 護(hù)和保存學(xué)院的信息資產(chǎn)清單，并根據(jù)各部門(mén)報(bào)送的變更信息， 及時(shí)匯總并更新信息資產(chǎn)清單。（3）信息資產(chǎn)的定級(jí)與標(biāo)識(shí)第十一條學(xué)院信息資產(chǎn)的敏感性分級(jí)方法（一）制定信息資產(chǎn)定級(jí)方法是為了幫助單位員工和外部人 員從機(jī)密性角度判斷哪些信息資產(chǎn)屬于敏感信息資產(chǎn)，以

5、便更好 的加以保護(hù)。（二）學(xué)院全體員工都應(yīng)熟悉本文件所確定的信息資產(chǎn)敏感 性分級(jí)和標(biāo)識(shí)辦法，對(duì)有形資產(chǎn)應(yīng)用標(biāo)簽（或其他標(biāo)識(shí)物）進(jìn)行 標(biāo)識(shí)，以及敏感信息的管理要求；員工必須依照信息資產(chǎn)的敏感性分級(jí)在日常使用過(guò)程中落實(shí)相應(yīng)的保護(hù)措施保護(hù)信息資產(chǎn)。第十二條學(xué)院信息資產(chǎn)依據(jù)敏感性分級(jí)方法，可以分為以下幾個(gè)級(jí)別:敏感性分類敏感性特征關(guān)鍵敏感資產(chǎn)主要為學(xué)院極其重要的信息，其泄漏會(huì) 使單位的安全和利益遭受嚴(yán)重?fù)p害，并對(duì)社 會(huì)公眾產(chǎn)生嚴(yán)重的影響重要敏感資產(chǎn)主要為學(xué)院重要的信息，其泄漏會(huì)使單 位的安全和利益遭受一定的損害，并對(duì)社會(huì) 公眾產(chǎn)生不良的影響一般敏感資產(chǎn)包含僅能在學(xué)院內(nèi)部會(huì)某一部門(mén)公開(kāi)的信息，向外公布可

6、能對(duì)單位的安全和利益造成損害公開(kāi)使用包含可對(duì)社會(huì)公眾公開(kāi)的信息，共用的信息處理設(shè)備和系統(tǒng)資源等第十三條 學(xué)院的員工應(yīng)根據(jù)本文件的相關(guān)要求保護(hù)單位的敏感信息資產(chǎn)，如某特定信息類資產(chǎn)的敏感級(jí)別不確定時(shí)，默認(rèn) 情況下按照“一般敏感資產(chǎn)”級(jí)別進(jìn)行保護(hù)。（4）信息資產(chǎn)的使用管理第十四條信息資產(chǎn)的使用和管理（一）“關(guān)鍵敏感資產(chǎn)”類信息的使用，這類信息資產(chǎn)是學(xué)院 極其重要的信息。針對(duì)此類信息在未經(jīng)授權(quán)的前提下，嚴(yán)禁內(nèi)部 員工和外部人員對(duì)“關(guān)鍵敏感資產(chǎn)”類信息的訪問(wèn)；禁止在公共 場(chǎng)合討論該類信息，并建立詳細(xì)的傳閱清單；一旦發(fā)現(xiàn)有對(duì)“關(guān) 鍵敏感資產(chǎn)”類信息的非授權(quán)使用或者授權(quán)濫用的情況，須立即 作為信息安全事件

7、向本部門(mén)信息安全管理負(fù)責(zé)人匯報(bào)，并報(bào)送網(wǎng) 絡(luò)安全與信息化領(lǐng)導(dǎo)小組。（二）“重要敏感資產(chǎn)”類信息的使用，這類信息資產(chǎn)是學(xué)院 重要的信息。在內(nèi)部員工和外部員工使用“重要敏感資產(chǎn)”類信 息時(shí)，須特別謹(jǐn)慎以防止信息資產(chǎn)丟失、被盜和敏感信息的泄漏。 所有人員都應(yīng)按照“知所必須”的原則，獲得完成其工作職責(zé)所 必須的最小范圍的“重要敏感資產(chǎn)”類信息。（三）“一般敏感資產(chǎn)”類信息的使用，在學(xué)院內(nèi)部員工使用 過(guò)程中，一般應(yīng)避免向外擴(kuò)散；外部人員要使用“一般敏感資產(chǎn)” 類信息時(shí)，需要得到部門(mén)責(zé)任人的授權(quán)許可。（四）“公開(kāi)使用”類信息使用，這類信息為學(xué)院對(duì)社會(huì)公眾 公開(kāi)的信息，共用的信息處理設(shè)備和系統(tǒng)資源等。（5）

8、硬件資產(chǎn)的使用管理第十五條硬件類資產(chǎn)的使用和管理（一）資產(chǎn)接收，采購(gòu)到資產(chǎn)后，資產(chǎn)接收人（資產(chǎn)的所有者 /管理者）依據(jù)相關(guān)的采購(gòu)合同對(duì)資產(chǎn)進(jìn)行確認(rèn)，如合同中無(wú)相 關(guān)的要求，需參考以下內(nèi)容執(zhí)行：對(duì)照發(fā)貨票據(jù)對(duì)資產(chǎn)的數(shù)量、型號(hào)、外觀等進(jìn)行初步核實(shí) 后，依據(jù)相關(guān)的驗(yàn)收標(biāo)準(zhǔn)進(jìn)行設(shè)備功能檢驗(yàn)，并在“貨物 驗(yàn)收單”上注明檢驗(yàn)的結(jié)果，檢驗(yàn)結(jié)果包括合格和不合格。對(duì)于存在問(wèn)題需要退貨或進(jìn)一步協(xié)商處理的，要在“貨物 驗(yàn)收單”中注明。對(duì)于驗(yàn)收合格的硬件資產(chǎn)，對(duì)其進(jìn)行資產(chǎn)敏感性級(jí)別標(biāo)識(shí)， 并及時(shí)更新信息資產(chǎn)清單。（二）資產(chǎn)的發(fā)出，學(xué)院送出的資產(chǎn)必須由資產(chǎn)所屬部門(mén)的相 關(guān)責(zé)任人授權(quán)批準(zhǔn)，整個(gè)資產(chǎn)發(fā)出流程應(yīng)全程陪同，確保

9、整個(gè)過(guò) 程的操作符合敏感性信息相關(guān)的要求；發(fā)送完成后，相關(guān)部門(mén)的 責(zé)任人應(yīng)及時(shí)更新信息資產(chǎn)清單。（三）未經(jīng)資產(chǎn)所有者部門(mén)批準(zhǔn)和授權(quán)，資產(chǎn)不得隨意移動(dòng)位 置或者帶出單位。（四）資產(chǎn)所有者變更，當(dāng)資產(chǎn)所有者發(fā)生變更時(shí)，原資產(chǎn)所 屬部門(mén)的相關(guān)責(zé)任人應(yīng)對(duì)硬件資產(chǎn)內(nèi)部的數(shù)據(jù)進(jìn)行清除處理，確 保數(shù)據(jù)的安全，同時(shí)更新信息資產(chǎn)清單。（五）硬件資產(chǎn)報(bào)廢，硬件資產(chǎn)報(bào)廢前，應(yīng)對(duì)數(shù)據(jù)使用可靠的方法進(jìn)行清除后，移交學(xué)院相關(guān)部門(mén)安全報(bào)廢程序處置。軟件資產(chǎn)的使用管理第十六條軟件類資產(chǎn)的使用管理學(xué)院內(nèi)部應(yīng)使用符合安全性要求的正版軟件，禁止使 用盜版軟件；系統(tǒng)軟件須及時(shí)進(jìn)行補(bǔ)丁更新。學(xué)院內(nèi)部使用的電腦，只能安裝符合單位內(nèi)部安全

10、規(guī) 范的操作系統(tǒng)和應(yīng)用軟件；外部人員電腦必須確保安裝了指定的 防病毒軟件并病毒查殺未發(fā)現(xiàn)病毒后，才能接入學(xué)院的內(nèi)部網(wǎng)絡(luò) 使用。必須采取必要的措施防范病毒、木馬和流氓軟件等惡意 程序。對(duì)于定制開(kāi)發(fā)的軟件，確保在軟件開(kāi)發(fā)過(guò)程中包含了信 息安全相關(guān)的需求，并通過(guò)測(cè)試確保這些安全需求能夠得到滿足。對(duì)于采購(gòu)的軟件，應(yīng)選址成熟的軟件類產(chǎn)品，選擇學(xué)院 認(rèn)可的軟件產(chǎn)品供應(yīng)商，進(jìn)行軟件安全性相關(guān)的測(cè)試，必要時(shí)進(jìn) 行源代碼審查，以確保采購(gòu)軟件的安全。禁止在服務(wù)器、辦公終端電腦中安裝未經(jīng)學(xué)院的相關(guān)部 門(mén)許可的軟件和程序；服務(wù)器和終端原則上只能安裝滿足其業(yè)務(wù) 開(kāi)展要求的最小范圍的軟件/功能。對(duì)于重要的軟件和程序應(yīng)進(jìn)行完整性校驗(yàn)和離線備份，防止重要程序被惡意篡改。（7）人員資產(chǎn)的管理第十七條人員類資產(chǎn)安全管理參照長(zhǎng)沙航空職業(yè)技術(shù)學(xué) 院工作人員信息安全管理辦法和長(zhǎng)沙航空職業(yè)技術(shù)學(xué)院第三 方工作人員信息安全管理辦法執(zhí)行。（8）無(wú)形資產(chǎn)的管理第十八條無(wú)形資產(chǎn)關(guān)系著學(xué)院的公眾形象和聲譽(yù)非常重要， 須維護(hù)好這些無(wú)形資產(chǎn)。具體通過(guò)以下方面體現(xiàn)：（一）辦公禮儀；（二）參與各類社會(huì)