《信息资产管理制度(3篇)》由会员分享,可在线阅读,更多相关《信息资产管理制度(3篇)(20页珍藏版)》请在金锄头文库上搜索。
1、信息资产管理制度1)职责信息中心1.负责检查数据资产的安全管理情况。2.负责本文件的编制和管理;3.负责固定资产的管理,包括固定资产的采购、记录、变更、报废等;4.负责备品备件的出入库管理;5.负责对有形资产进行分类、分级和标记;6.负责对备品备件进行分类;7.在有形资产发生变更、报废或销毁时,负责检查资产中信息的处理情况。8.负责检查台帐、信息系统中信息资产相关记录,并将记录情况纳入考核计划中。各部门1.按资产的使用规则和限制,正确使用信息资产;2.在有形资产和备品备件发生变更、报废或销毁时,负责检查并向信息中心报告介质中_。2)工作程序资产的分类分级1.资产分类分为关键资产和非关键资产:关
2、键资产。对业务连续性和系统可用性影响大的资产(价格或价值较高的资产)。非关键资产。对业务连续性和系统可用性影响小的资产(价格或价值较低的资产)。资产的登记与标记1.信息中心对固定资产进行分类分级、登记,确定该资产的类型、用途、位置、格式、规格、价值等具体信息;2.信息中心根据发放的资产清单及设备标牌,对有形资产进行粘贴标记,各部门指定资产责任人,由资产责任人对所负责的资产进行保护;3.各部门在资产新增、更新、调拨、报废时,向信息中心提出需求,由信息安全领导小组审核,报主管领导批准后按照相关规定执行;4.信息中心定期检查有形资产的标记与使用情况,对资产丢失,标签缺损的情况进行记录,并纳入各部门考
3、核;5.各部门对本部门管理的数据资产进行归类和统计,对电子文件采用统一样式的电子标记进行标识。资产的使用与维护1.信息中心信息资产使用规范说明,包括使用授权、管理方式、操作方法、移动管理等,报信息安全领导小组备案。2.各部门工作人员,包括雇员、承包方人员和第三方人员应明确到他们使用信息资产时的限制条件,应对信息资产的使用和管理负责。3.各部门人员应确保在采用移动介质进行数据传输时,传输完毕应及时删除介质上保留的数据信息,对于只读介质,由本部门信息安全专员进行保存;4.各部门的存储介质在长期存储时,信息安全专员应确保本部门介质贮存地点应符合防火、防水、防震、防潮、防霉、防鼠害、防虫蛀、防静电、防
4、磁等方面的安全要求,介质的存储要符合介质生产商对介质存储的要求;5.各部门定期对本部门存储介质中的数据进行备份和恢复测试,并进行测试记录,防止由于介质老化而导致的重要信息丢失;6.涉及国家_的信息通过移动介质进行存储时,各部门应参照国家有关规定执行。7.信息安全领导小组定期检查数据资产的安全管理情况,发现问题进行记录,并纳入各部门考核。资产的移动管理1.所有有形资产的移动必须经过资产责任部门的授权;2.物理介质在物理地点之外运送时,为了防止未授权访问、不当使用或被毁坏,各部门应采取以下必要的措施:物理介质的包装应采取防篡改的包装进行密封(即封口破坏后无法恢复原状,可以很容易发现未授权访问的企图
5、),防止信息在送信的过程中泄漏或被修改。含有_的物理介质必须由内部人员亲自押运,不得交由第三方公司单独运送。3.所有有形资产的移动必须登记;资产的销毁1.各部门检查并清空待报废设备内的所有信息,交信息中心统一处理;2.信息中心对报废设备进行清点;3.信息中心定期对报废设备进行统一处理,处理前对设备的存储信息进行检查;4.各部门介质上存储的信息的敏感程度,由信息中心采取适当的措施对已报废的介质进行处理:包含_的介质,应按照国家要求,去专门地点删除原有介质上的数据信息或进行消磁处理;对于只读介质,可采用粉碎等方式进行处理。信息资产管理制度(二)1.总则第一条为了更好地维护和管理信息系统设备,提高办
6、公效率,降低管理成本,服务信息化建设,特制定本信息资产管理制度;第二条本制度所称信息系统资产是指应用于信息系统的所有资产,包括软件、计算机及其外设、网络设备以及相应的配件、耗材、工具等;第三条本制度主要是明确本办信息系统资产管理的权限和职责,共同维护和管理本办的信息系统资产;第四条信息系统资产的管理包括采购审核、资产登记、维护与支持、报废审核。_分类与标识第五条信息系统资产分为软件、信息系统设备以及配件耗材三大类。信息系统设备包括服务、台式电脑主机、便携式电脑、显示器、打印机、扫描仪、多功能一体机、网络交换机、路由器、防火墙等;第六条信息系统设备必须编制并保存与信息系统相关的资产清单,其内容必
7、须包括资产责任部门、资产重要程度、资产所处位置等,并在初次投入使用前必须由信息系统管理员统一登记。3.添置更换第七条设备添置更换流程(1)由需求人员申请;(2)信息科进行技术鉴定;(3)科负责人签字;(4)信息科分析信息系统设备需求,形成设备采购方案,如需采购则依照政府采购标准进行统一采购。4.领用和交还第八条设备由信息系统管理员统一发放,并登记领用人,并填写设备领用登记表明确责任人;第九条信息系统资产的使用人或保管人即是该信息系统资产的责任人,负责信息系统资产的安全和一般性维护;第十条公用信息系统资产的责任人为科长,或科长指定的员工;第十一条科室人员在岗位异动或离职时,应向信息系统管理员交还
8、领用的信息系统资产,如有遗失或损毁必须按本单位相关规定赔偿。5.管理与维护第十二条信息系统设备实行包干管理负责制。每台设备都应有专人负责保管(包括说明书及有关附件),在未特别指定管理人员的设备由操作人员负责管理,并切实负起保管、维护责任。秘书行政科负责定期检查信息系统设备使用情况,进行需求分析,制订解决方案。第十三条在使用信息系统设备前,应掌握操作规程,阅读有关手册。第十四条爱护信息系统设备,做好防尘、防水、防磁、防震等工作。请勿在计算机上运行与业务无关的程序,未经系统管理员允许不得随意更改系统和网络设置、变更网线、加装设备。信息系统设备若出现故障,应及时向系统管理员反映,由系统管理员及时查明
9、原因,_维修。第十五条未经秘书行政科同意,任何人不得外借信息系统设备及其附件给其它单位和个人使用。6.报废第十六条如需报废计算机及相关设备,由使用人员填写申报表,经相关部门鉴定无二次利用价值时,转由财务部门按相关规定办理设备报废手续。信息资产管理制度(三)第一章范围及职责第一条本制度适用于信息资产的管理,包括。获取、分类、使用和处置以及安全设备的管理。第二条本制度中的信息资产是指可以存储信息数据的信息载体,包括:硬件、软件、数据(电子数据)、文档(纸质文件)、人员、服务设施、其他。第三条_单位办公室(以下简称。办公室)主要负责信息资产的分类、汇总、使用与处置方法,以及安全设备的选型、检测、_、
10、登记、使用、维护和储存。第四条计算机资产统计信息的范围包含但不限于。计算机主机名、ip地址、mac地址、使用人/责任人、所属部门、物理位置、服务器的内外网ip对应等。第二章信息资产的获取第五条软件、硬件设施、服务性设施等的获得主要以采购的方式获得,采购按照有关规定进行采购和验收。第六条数据信息资产的获得来源主要为。外包供应商、市场信息、其他信息。第三章信息资产的分类第七条各部门根据业务流程列出信息资产清单并将每项资产的资产类别、信息资产编号、资产现有编号、资产名称、所属部门(组别)、管理者、使用者、地点等相关信息记录在资产清单上。第八条资产的分类原则和编号原则如下:1、硬件1)计算机设备:(台
11、式机、笔记本)、服务器;2)存储设备:磁带机、磁盘整列、磁带、光盘、软盘、移动硬盘等;3)网络设备:路由器、交换机、网关、程控交换机等;4)传输线路:光纤、双绞线、电话线(布线)、电源线;5)安全设备:硬件防火墙、入侵检测、网络隔离设备(如网闸)、身份验证等;6)办公设备:打印机、复印机、扫描仪、传真机、碎纸机、写字白板、应急照明设备等;7)保障设备:动力保障设备(ups、变电设备)、空调、保险柜、文件柜、门禁、消防设施等;8)其他设备;2、软件如:操作系统、系统软件(office/autocad)、应用软件(生产软件)、网管软件、杀毒软件、财务软件、开发工具和资源库等;3、电子数据存在电子媒
12、介的各种数据资料。如。源代码、数据库数据、各种数据资料、系统文档、运行管理规程、计划、日周月报告、财务报告(电子版本)、用户手册、方案、电子设计图纸等;4、纸质文件纸质的各种文件。如。传真、电报、合同、纸张图纸等;5、服务性设施如:供电、供水、保洁、门禁、消防设施等;6、人员如:各级领导、各级正式雇员、临时雇员等;7、其他。第九条按照涉及国家_的信息系统分级保护技术标准和信息安全管理体系建设要求,按照信息资产的公开和敏感程度,将信息资产化分为不同的保护等级,并对不同等级的信息资产进行保护,确保信息安全。各部门要将所有的移动介质和电子文件按照敏感性和重要程度分为不同的保护等级,保密级别与保密期限
13、由持有人自行定义。第十条识别各个流程的各类关键信息资产,最终办公室汇总,并每半年进行一次更新,确保重要信息资产的完备性(重要信息资产没有遗漏和缺失)和准确性(信息资产的保密级别和重要程度能够真实反映信息资产的状态)。第十一条对信息资产进行编号,同时对重要信息资产进行标识:文档需有固定版本编号规则;硬件设备粘贴在设备明显位置处。第四章信息资产的使用和处置(一)硬件资产的使用和处置第十二条硬件的使用处置包括购买/接收、使用(交接、维修、重用)、处置等有关内容。第十三条购买新的硬件设备或者从其他部门接收转移的设备时,要核对设备清单,对相关设备进行测试验证,然后登记。由资产管理员对硬件设备进行管理,明
14、确设备管理职责。第十四条硬件资产的保存1、机房选址要避免在地下室、一楼(水淹和渗水)和顶层(渗水和失火时火向上燃烧),同时考虑相邻楼层的活动(避免热源和渗水);2、处理敏感数据的信息处理设施放在适当安全的位置,以减少在设备在使用期间信息被窥视的风险,保护储存设施以防止未授权访问;3、设备的选址应采取控制措施以减小潜在的物理威胁的风险,例如偷窃、火灾、爆炸、烟雾、水(或供水故障)、温度、湿度、尘埃、振动、化学影响、电源干扰、通信干扰、电磁辐射和故意破坏;4、禁止在信息处理设施附近进食、喝饮料和抽烟;5、对专门保护的部件要予以隔离,以满足特殊安全要求;第十五条硬件资产的日常使用安全1、所有的硬件资
15、产必须明确设备的使用人员/管理人员,明确职责;2、硬件资产的使用人(或管理人),在使用或管理硬件资产时,要注意硬件资产的安全性、_性、完整性,防止信息载体的毁坏和信息的_,防止信息处理设施的滥用;对设备定期进行维护保养,发生毁坏,丢失等问题时能够及时处置;3、新硬件设备接入网络按照相关规定处理;4、在人员上岗时,可根据需要为上岗人员配备必要的办公设备,包括电脑(笔记本或台式机),电话机,其它办公用品;办公室根据该工作人员所处部门、工作性质为其设置相应的办公网访问权限;5、需要使用移动计算设备(包括笔记本、无线网卡、移动硬盘和u盘)的用户,应得到办公室负责人的同意后方可使用;6、对于无人职守的设备,要明确管理人员,加强物理安全控制。第十六条硬件资产的转移安全1、当设备迁移时,必须先对设备中存储的重要信息进行备份;2、设备迁移完成后,必须检查设备是否损坏;3、设备迁移出本单位时,设备中禁止存放重要信息,以防止_信息泄露或泄露的风险增加。第十七条办公地点外使用任何信息处理设备必须通过管理者授权。场外设备的保护要
