信息資產(chǎn)和設(shè)備管理制度

第11頁(yè)共11頁(yè)信息資產(chǎn)和設(shè)備管理制度第一條?第二條?第三條第?四條第五?條第六條?第七條?第八條（?一）1）2?）信息資產(chǎn)?和設(shè)備管理?制度第一?章范圍及職?責(zé)本制度?適用于信息?資產(chǎn)的管理?，包括。獲?取、分類、?使用和處置?以及安全設(shè)?備的管理。?本制度中?的信息資產(chǎn)?是指可以存?儲(chǔ)信息數(shù)據(jù)?的信息載體?，包括：硬?件、軟件、?數(shù)據(jù)（電子?數(shù)據(jù)）、文?檔（紙質(zhì)文?件）、人員?、服務(wù)設(shè)施?、其他。?信息技術(shù)部?主要負(fù)責(zé)信?息資產(chǎn)的分?類、匯總、?使用與處置?方法，以及?安全設(shè)備的?選型、檢測(cè)?、___、?登記、使用?、維護(hù)和儲(chǔ)?存。計(jì)算?機(jī)資產(chǎn)統(tǒng)計(jì)?信息的范圍?包含但不限?于。計(jì)算機(jī)?主機(jī)名、i?p地址、m?ac地址、?使用人/責(zé)?任人、所屬?部門、物理?位置、服務(wù)?器的內(nèi)外網(wǎng)?ip對(duì)應(yīng)等?。第二章?信息資產(chǎn)的?獲取軟件?、硬件設(shè)施?、服務(wù)性設(shè)?施等的獲得?主要以采購(gòu)?的方式獲得?，采購(gòu)按照?有關(guān)規(guī)定進(jìn)?行采購(gòu)和驗(yàn)?收。數(shù)據(jù)?信息資產(chǎn)的?獲得來(lái)源主?要為。外包?供應(yīng)商、市?場(chǎng)信息、其?他信息。?第三章信息?資產(chǎn)的分類?各部門根?據(jù)業(yè)務(wù)流程?列出信息資?產(chǎn)清單并將?每項(xiàng)資產(chǎn)的?資產(chǎn)類別、?信息資產(chǎn)編?號(hào)、資產(chǎn)現(xiàn)?有編號(hào)、資?產(chǎn)名稱、所?屬部門（組?別）、管理?者、使用者?、地點(diǎn)等相?關(guān)信息記錄?在資產(chǎn)清單?上。資產(chǎn)?的分類原則?和編號(hào)原則?如下：硬?件計(jì)算機(jī)設(shè)?備：（臺(tái)式?機(jī)、筆記本?）、服務(wù)器?；存儲(chǔ)設(shè)?備：磁帶機(jī)?、磁盤整列?、磁帶、光?盤、軟盤、?移動(dòng)硬盤等?；3）4）?5）6）?7）8）?（二）（?三）（四?）（五）?（六）?（七）第九?條第十條?網(wǎng)絡(luò)設(shè)備：?路由器、交?換機(jī)、網(wǎng)關(guān)?、程控交換?機(jī)等；傳輸?線路：光纖?、雙絞線、?電話線（布?線）、電源?線；安全?設(shè)備：硬件?防火墻、入?侵檢測(cè)、網(wǎng)?絡(luò)隔離設(shè)備?（如網(wǎng)閘）?、身份驗(yàn)證?等；辦公?設(shè)備：打印?機(jī)、復(fù)印機(jī)?、掃描儀、?傳真機(jī)、碎?紙機(jī)、寫字?白板、應(yīng)急?照明設(shè)備等?；保障設(shè)?備：動(dòng)力保?障設(shè)備（u?ps、變電?設(shè)備）、空?調(diào)、保險(xiǎn)柜?、文件柜、?門禁、消防?設(shè)施等；?其他設(shè)備。?軟件如?：操作系統(tǒng)?、系統(tǒng)軟件?（offi?ce/au?tocad?）、應(yīng)用軟?件（生產(chǎn)軟?件）、網(wǎng)管?軟件、殺毒?軟件、財(cái)務(wù)?軟件、開發(fā)?工具和資源?庫(kù)等；電?子數(shù)據(jù)存?在電子媒介?的各種數(shù)據(jù)?資料。如。?源代碼、數(shù)?據(jù)庫(kù)數(shù)據(jù)、?各種數(shù)據(jù)資?料、系統(tǒng)文?檔、運(yùn)行管?理規(guī)程、計(jì)?劃、日周月?報(bào)告、財(cái)務(wù)?報(bào)告（電子?版本）、用?戶手冊(cè)、方?案、電子設(shè)?計(jì)圖紙等；?紙質(zhì)文件?紙質(zhì)的各?種文件。如?。傳真、電?報(bào)、合同、?紙張圖紙等?；服務(wù)性?設(shè)施如：?供電、供水?、保潔、門?禁、消防設(shè)?施等；人?員如：各?級(jí)領(lǐng)導(dǎo)、各?級(jí)正式雇員?、臨時(shí)雇員?等；其他?。按照《涉?及國(guó)家__?_的信息系?統(tǒng)分級(jí)保護(hù)?技術(shù)標(biāo)準(zhǔn)》?和信息安全?管理體系建?設(shè)要求，按?照信息資產(chǎn)?的公開和敏?感程度，將?信息資產(chǎn)化?分為不同的?保護(hù)等級(jí)，?并對(duì)不同等?級(jí)的信息資?產(chǎn)進(jìn)行保護(hù)?，確保信息?安全。各部?門要將所有?的移動(dòng)介質(zhì)?和電子文件?按照敏感性?和重要程度?分為不同的?保護(hù)等級(jí)，?保密級(jí)別與?保密期限由?持有人自行?定義。識(shí)?別各個(gè)流程?的各類關(guān)鍵?信息資產(chǎn)，?最終由信息?技術(shù)部匯總?，并每半年?進(jìn)行一次更?新，確保重?要信息資產(chǎn)?的完備性（?重要信息資?產(chǎn)沒(méi)有遺漏?和缺失）和?準(zhǔn)確性（信?息資產(chǎn)的保?密級(jí)別和重?要程度能夠?真實(shí)反映信?息資產(chǎn)的狀?態(tài)）。第?十一條對(duì)信?息資產(chǎn)進(jìn)行?編號(hào)，同時(shí)?對(duì)重要信息?資產(chǎn)進(jìn)行標(biāo)?識(shí)：文檔需?有固定版本?編號(hào)規(guī)則；?硬件設(shè)備粘?貼在設(shè)備明?顯位置處。?第四章信?息資產(chǎn)的使?用和處置?硬件資產(chǎn)的?使用和處置?第十二條?硬件的使用?處置包括購(gòu)?買/接收、?使用（交接?、維修、重?用）、處置?等有關(guān)內(nèi)容?。第十三?條購(gòu)買新的?硬件設(shè)備或?者從其他部?門接收轉(zhuǎn)移?的設(shè)備時(shí)，?要核對(duì)設(shè)備?清單，對(duì)相?關(guān)設(shè)備進(jìn)行?測(cè)試驗(yàn)證，?然后登記。?由資產(chǎn)管理?員對(duì)硬件設(shè)?備進(jìn)行管理?，明確設(shè)備?管理職責(zé)。?第十四條?硬件資產(chǎn)的?保存（一?）機(jī)房選址?要避免在地?下室、一樓?（水淹和滲?水）和頂層?（滲水和失?火時(shí)火向上?燃燒），同?時(shí)考慮相鄰?樓層的活動(dòng)?（避免熱源?和滲水）；?（二）處?理敏感數(shù)據(jù)?的信息處理?設(shè)施放在適?當(dāng)安全的位?置；以減少?在設(shè)備在使?用期間信息?被窺視的風(fēng)?險(xiǎn)，保護(hù)儲(chǔ)?存設(shè)施以防?止未授權(quán)訪?問(wèn)；（三?）設(shè)備的選?址應(yīng)采取控?制措施以減?小潛在的物?理威脅的風(fēng)?險(xiǎn)，例如偷?竊、火災(zāi)、?爆炸、煙霧?、水（或供?水故障）、?溫度、濕度?、塵埃、振?動(dòng)、化學(xué)影?響、電源干?擾、通信干?擾、電磁輻?射和故意破?壞；（四?）禁止在信?息處理設(shè)施?附近進(jìn)食、?喝飲料和抽?煙；（五?）對(duì)專門保?護(hù)的部件要?予以隔離，?以滿足特殊?安全要求。?第十五條硬?件資產(chǎn)的日?常使用安全?（一）所?有的硬件資?產(chǎn)必須明確?設(shè)備的使用?人員/管理?人員，明確?職責(zé)；（?二）硬件資?產(chǎn)的使用人?（或管理人?），在使用?或管理硬件?資產(chǎn)時(shí)，要?注意硬件資?產(chǎn)的安全性?、___性?、完整性，?防止信息載?體的毀壞和?信息的__?_，防止信?息處理設(shè)施?的濫用；對(duì)?設(shè)備定期進(jìn)?行維護(hù)保養(yǎng)?，發(fā)生毀壞?，丟失等問(wèn)?題時(shí)能夠及?時(shí)處置；?（三）新硬?件設(shè)備接入?網(wǎng)絡(luò)按照相?關(guān)規(guī)定處理?；（四）?在人員上崗?時(shí)，可根據(jù)?需要為上崗?人員配備必?要的辦公設(shè)?備，包括電?腦（筆記本?或臺(tái)式機(jī)）?，電話機(jī)，?其它辦公用?品；信息技?術(shù)部根據(jù)該?工作人員所?處部門、工?作性質(zhì)為其?設(shè)置相應(yīng)的?辦公網(wǎng)訪問(wèn)?權(quán)限；（?五）需要使?用移動(dòng)計(jì)算?設(shè)備（包括?筆記本、無(wú)?線網(wǎng)卡、移?動(dòng)硬盤和u?盤）的用戶?，應(yīng)得到信?息技術(shù)部負(fù)?責(zé)人的同意?后方可使用?；（六）?對(duì)于無(wú)人職?守的設(shè)備，?要明確管理?人員，加強(qiáng)?物理安全控?制。第十六?條硬件資產(chǎn)?的轉(zhuǎn)移安全?（一）當(dāng)?設(shè)備遷移時(shí)?，必須先對(duì)?設(shè)備中存儲(chǔ)?的重要信息?進(jìn)行備份；?（二）設(shè)?備遷移完成?后，必須檢?查設(shè)備是否?損壞；（?三）設(shè)備遷?移出本單位?時(shí)，設(shè)備中?禁止存放重?要信息，以?防止___?信息泄露或?泄露的風(fēng)險(xiǎn)?增加。第?十七條辦公?地點(diǎn)外使用?任何信息處?理設(shè)備必須?通過(guò)管理者?授權(quán)。場(chǎng)外?設(shè)備的保護(hù)?要考慮下列?內(nèi)容：（?一）離開本?單位的設(shè)備?和介質(zhì)（如?現(xiàn)場(chǎng)的設(shè)備?和介質(zhì)），?必須有人值?守或委派負(fù)?責(zé)人（或者?公共場(chǎng)所放?置的需要有?人值守或監(jiān)?視系統(tǒng)）；?（二）制?造商保護(hù)設(shè)?備用的說(shuō)明?書要始終加?以遵守，例?如，防止暴?露于強(qiáng)電磁?場(chǎng)內(nèi)；（?三）根據(jù)風(fēng)?險(xiǎn)的不同采?取足夠的安?全保障措施?，以保護(hù)離?開辦公室設(shè)?備的安全。?第十八條?硬件資產(chǎn)的?處置和重用?（一）存?儲(chǔ)設(shè)備銷毀?前，必須確?保所有存儲(chǔ)?的敏感數(shù)據(jù)?或授權(quán)軟件?已經(jīng)被移除?或安全重寫?；（二）?服務(wù)器、主?要網(wǎng)絡(luò)設(shè)備?的處置由信?息技術(shù)部進(jìn)?行安全處置?；（三）?臺(tái)式機(jī)、打?印機(jī)、傳真?機(jī)、掃描儀?等it設(shè)備?的處置由信?息技術(shù)部進(jìn)?行并做登記?；（四）?如需報(bào)廢時(shí)?，應(yīng)向主管?部門提出報(bào)?廢申請(qǐng)，經(jīng)?批準(zhǔn)后報(bào)廢?。軟件資?產(chǎn)的使用和?處置第十?九條軟件資?產(chǎn)的使用?（一）所有?的軟件資產(chǎn)?必須設(shè)置專?人管理，明?確職責(zé)，避?免軟件資產(chǎn)?的丟失，_?__；（?二）所有正?版軟件實(shí)體?由信息技術(shù)?部專人保管?，在___?軟件時(shí)要規(guī)?定使用權(quán)限?，防止非授?權(quán)訪問(wèn)；?（三）按照?《數(shù)據(jù)存儲(chǔ)?備份管理制?度》中要求?，對(duì)重要系?統(tǒng)進(jìn)行備份?；（四）?當(dāng)人員離職?或崗位變動(dòng)?，需要回收?有關(guān)的軟件?，必要時(shí)，?由信息技術(shù)?部技術(shù)人員?對(duì)離職人員?使用的軟件?進(jìn)行卸載，?刪除。第?二十條軟件?資產(chǎn)的處置?。對(duì)過(guò)時(shí)或?確認(rèn)無(wú)效的?軟件資產(chǎn)，?定期進(jìn)行清?除。電子?數(shù)據(jù)的使用?和處置第?二十一條電?子數(shù)據(jù)的使?用（一）?對(duì)所有電子?數(shù)據(jù)進(jìn)行分?類/分級(jí)，?標(biāo)識(shí)未授權(quán)?人員的訪問(wèn)?限制，不同?安全級(jí)別的?數(shù)據(jù)應(yīng)存儲(chǔ)?在不同的區(qū)?域，按類按?級(jí)傳達(dá)，便?于信息的安?全管理；?（二）不同?類型的電子?文件按照統(tǒng)?一規(guī)律存放?在個(gè)人電腦?或服務(wù)器中?，便于整理?和查閱以及?工作交接時(shí)?轉(zhuǎn)移；（?三）所有電?子文件保存?在電腦或服?務(wù)器中，并?按照《數(shù)據(jù)?存儲(chǔ)備份管?理制度》規(guī)?定的備份頻?率定期進(jìn)行?備份；（?四）對(duì)于存?于服務(wù)器上?的電子數(shù)據(jù)?的訪問(wèn)，根?據(jù)服務(wù)器提?供服務(wù)的不?同與部門／?職務(wù)的不同?，設(shè)置不同?的訪問(wèn)權(quán)限?，避免非授?權(quán)訪問(wèn)；?（五）對(duì)于?內(nèi)部公開級(jí)?別的電子信?息，其使用?要控制在內(nèi)?部，禁止帶?出；（六?）對(duì)于__?_級(jí)別以上?的電子文件?的處理過(guò)程?，必須保障?數(shù)據(jù)的完整?性、___?性和可用性?；（七）?對(duì)于___?級(jí)別以上的?電子文件的?使用，系統(tǒng)?應(yīng)進(jìn)行審計(jì)?；（八）?對(duì)于___?級(jí)別以上的?電子文件的?傳輸，必須?采取適當(dāng)?shù)?安全措施加?以保護(hù)，如?加密傳輸、?分散傳輸?shù)?；（九）?在整理電腦?中的電子數(shù)?據(jù)時(shí)，要小?心操作，確?認(rèn)后再進(jìn)行?處理，避免?由于誤操作?將有用的電?子數(shù)據(jù)刪除?。紙質(zhì)文?檔的使用和?處置第二?十二條紙質(zhì)?文檔的使用?（一）所?有的___?級(jí)以上的紙?質(zhì)文件資料?要（通過(guò)標(biāo)?簽或其它方?式）標(biāo)識(shí)出?資產(chǎn)的保密?級(jí)別，分類?存放，不同?安全級(jí)別的?紙質(zhì)文件應(yīng)?按類按級(jí)傳?達(dá)，便于紙?質(zhì)文件的安?全管理；?（二）對(duì)于?比較重要的?紙質(zhì)文件（?___級(jí)別?以上）必須?保存在帶鎖?的文件柜或?保險(xiǎn)柜中，?鑰匙由專人?保管；（?三）對(duì)于紙?質(zhì)文件的保?存期限依據(jù)?實(shí)際要求制?定和實(shí)施；?（四）對(duì)?于比較重要?的紙質(zhì)文件?的使用過(guò)程?，必須注意?信息的保密?，確保信息?的完整性和?可用性；?（五）對(duì)于?比較重要的?紙質(zhì)文件的?傳輸，必須?采取適當(dāng)?shù)?安全措施加?以保護(hù)，如?專人遞送、?分散傳輸?shù)?。第二十?三條紙質(zhì)文?檔的處置?（一）實(shí)體?數(shù)據(jù)資料達(dá)?到保存期限?后，必須將?其撕毀或者?粉碎到讀不?出來(lái)為止，?避免實(shí)體數(shù)?據(jù)資料的_?__；（?二）對(duì)于重?要紙質(zhì)文件?的銷毀，如?財(cái)務(wù)紙質(zhì)文?件，要求兩?人以上在場(chǎng)?，防止信息?的___。?人員招調(diào)?、在職、離?職第二十?四條所有人?員的招調(diào)、?在職、離職?安全管理按?照《人員安?全管理制度?》的要求進(jìn)?行實(shí)施。?服務(wù)性資產(chǎn)?的使用和處?置第二十?五條所有服?務(wù)性資產(chǎn)要?設(shè)置專人管?理，定期維?護(hù)，避免損?壞、非授權(quán)?使用或丟失?。涉及服務(wù)?性的合同，?相關(guān)管理部?門在簽署合?同時(shí)，應(yīng)審?核涉及信息?保密的相關(guān)?條款。第?二十六條當(dāng)?服務(wù)性設(shè)施?損壞，如果?可以維修，?由負(fù)責(zé)人聯(lián)?絡(luò)相關(guān)人員?進(jìn)行維修，?如果涉及到?第三方，依?據(jù)《人員安?全管理制度?》對(duì)第三方?進(jìn)行管理。?第二十七?條當(dāng)服務(wù)性?設(shè)施損壞，?不可維修，?只能報(bào)廢時(shí)?，應(yīng)聯(lián)絡(luò)相?關(guān)管理部門?提出報(bào)廢申?請(qǐng)。第五?章安全設(shè)備?的選型設(shè)?備的選型?第二十八條?第二十九條?嚴(yán)禁采購(gòu)和?使用未獲得?銷售許可證?的信息安全?產(chǎn)品。應(yīng)優(yōu)?先采用我國(guó)?自主開發(fā)研?制的信息安?全技術(shù)和設(shè)?備。第三?十條避免?采用境外的?___設(shè)備?。第三十?一條如需采?用境外信息?安全產(chǎn)品時(shí)?，必須確保?產(chǎn)品獲得我?國(guó)權(quán)威機(jī)構(gòu)?的認(rèn)證測(cè)試?和銷售許可?證。第三?十二條使用?經(jīng)國(guó)家__?_管理部門?批準(zhǔn)和認(rèn)可?的國(guó)內(nèi)__?_技術(shù)及相?關(guān)產(chǎn)品。?第三十三條?終端物理隔?離必須使用?國(guó)家保密局?認(rèn)可的隔離?卡或采用國(guó)?家保密局認(rèn)?可的其他方?式。設(shè)備?檢測(cè)第三?十四條信息?系統(tǒng)中的所?有安全設(shè)備?必須符合_?__國(guó)家標(biāo)?準(zhǔn)《數(shù)據(jù)處?理設(shè)備的安?全》、《電?動(dòng)辦公機(jī)器?的安全》中?規(guī)定的要求?，其電磁輻?射強(qiáng)度、可?靠性及兼容?性也必須符?合安全管理?等級(jí)要求。?設(shè)備__?_第三十?五條第三十?六條設(shè)備符?合系統(tǒng)選型?要求并獲得?批準(zhǔn)后，方?可購(gòu)置__?_。凡購(gòu)回?的設(shè)備均須?在測(cè)試環(huán)境?下經(jīng)過(guò)連續(xù)?72小時(shí)以?上的單機(jī)運(yùn)?行測(cè)試和聯(lián)?機(jī)48小時(shí)?的應(yīng)用系統(tǒng)?兼容性運(yùn)行?測(cè)試。第?三十七條主?機(jī)、服務(wù)器?、網(wǎng)絡(luò)設(shè)備?、安全設(shè)備?等上架運(yùn)行?前必須通過(guò)?安全檢測(cè)，?禁止___?有默認(rèn)操作?系統(tǒng)的主機(jī)?、服務(wù)器直?接接入系統(tǒng)?。第三十?八條通過(guò)上?述測(cè)試后，?設(shè)備進(jìn)入試?運(yùn)行階段，?試運(yùn)行時(shí)間?的長(zhǎng)短根據(jù)?業(yè)務(wù)需要?jiǎng)?態(tài)（范本）?設(shè)定。第?三十九條通?過(guò)試運(yùn)行的?設(shè)備才能接?入生產(chǎn)系統(tǒng)?，正式運(yùn)行?。設(shè)備登?記第四十?條對(duì)所有設(shè)?備均應(yīng)建立?嚴(yán)格完整的?購(gòu)置、移交?、使用、維?護(hù)、維修和?報(bào)廢等記錄?，認(rèn)真做好?資產(chǎn)登記和?管理工作，?保證設(shè)備管?理的正規(guī)化?。設(shè)備使?用管理第四?十一條第四?十二條每臺(tái)?設(shè)備的使用?均應(yīng)指定專?人負(fù)責(zé)并建?立詳細(xì)的運(yùn)?行日志。由?責(zé)任人負(fù)責(zé)?進(jìn)行設(shè)備的?日常清洗及?定期保養(yǎng)維?護(hù)，做好維?護(hù)記錄，?保證設(shè)備處?于最佳狀態(tài)?。第四十?三條第四十?四條保證設(shè)?備在其適宜?的使用環(huán)境?下工作。?一旦設(shè)備出?現(xiàn)故障，管?理員如實(shí)填?寫故障報(bào)告?，通知有關(guān)?人員處理。?設(shè)備維修?管理第四?十五條設(shè)備?由專人負(fù)責(zé)?維修，并建?立滿足正常?運(yùn)行最低要?求的易損件?的備件庫(kù)。?第四十六?條根據(jù)每臺(tái)?設(shè)備的使用?情況及系統(tǒng)?的可靠性等?級(jí)，制定預(yù)?防性維修計(jì)?劃。第四?十七條對(duì)系?統(tǒng)進(jìn)行維修?時(shí)必須采取?數(shù)據(jù)保護(hù)措?施，安全設(shè)?備維修時(shí)應(yīng)?有安全管理?員在場(chǎng)。?第四十八條?對(duì)設(shè)備進(jìn)行?維修時(shí)必須?記錄維修對(duì)?象、故障原?因、排除方?法、主要維?修過(guò)程及維?修有關(guān)情況?等。第四?十九條對(duì)設(shè)