XXXXX信息資產管理規定編制人授權人：版本號V1.0生效日期：版權說明本文件中包含的任何文字敘述、文檔格式、插圖、照片、方法、過程等內容，除另有特別注明，版權均屬XXXXX所有。未經許可任何人不得將此文件中的任何部分以任何形式進行復制，儲存和傳播。版本記錄版本號日期修改者說明文件名V12013-6-03編寫初稿《XXXXX信息資產管理規定》目錄TOC\o"1-5"\h\z第一章 總則 4第二章 信息產品及設備采購 4第三章 信息產品及設備入庫及領用 5第四章 信息資產分類和標識 6第五章 信息資產的日常使用與維護 6第六章 信息資產報廢 9第七章 附則 9第八章 附件 10附件一 采購申請 10\o"CurrentDocument"附件二 到貨驗收單 11\o"CurrentDocument"附件三 設備領用單 12\o"CurrentDocument"附件四 設備接收單 13\o"CurrentDocument"附件五 信息資產分類表 14\o"CurrentDocument"附件六 信息資產分級標準圖 15\o"CurrentDocument"附件七 信息資產日常使用與保護圖 16\o"CurrentDocument"附件八 設備報廢申請 19XXXXX信息資產管理規定第一章總則第一條為有利于XXXXX信息資產的采購、分類、識別、維護和使用，加強信息資產的安全管理，特制訂本規定。第二條本規定適用于XXXXX信息資產的管理。第三條XXXXX系統運行部是本部門信息資產的管理部門。第二章信息產品及設備采購第四條信息產品及設備需求部門制定產品需求的技術參數，采購過程參照《公司采購管理辦法》相關規定，屬于集中采購的提交《采購申請》（詳見附件一）到集采中心；屬于零星采購的將《采購申請》提交到系統運行部相關負責人處，審批后成立招標小組，由專人負責產品招標。第五條招標小組依據信息產品及設備選購原則完成招標并確定服務商。第六條信息產品及設備的選型選購，應符合以下要求：設備選購過程堅持公開、公平、公正的原則；符合清算所業務應用需求，適應業務發展需要；符合國家相關管理規定、清算所技術標準、安全標準和設備配備定額標準，與現有清算所設備兼容，著名品牌、質量好、價格和使用成本合理，售后服務良好，優先考慮選購國家政策扶持采購的產品；安全產品應符合國家有關規定，密碼技術產品應符合國家密碼主管部門的要求。符合?？顚Ｓ谩⑶趦€節約、追蹤問效等財務、審計管理要求。第七條信息產品及設備到貨后，系統運行部相關技術人員配合需求部門完成到貨驗收并填寫《到貨驗收單》（詳見附件二）。第八條所有設備到貨后均需進行嚴格檢測，凡購置的設備均應在測試環境下經過連續72小時以上的單機運行測試和聯機48小時的應用系統兼容性運行測試。嚴禁將未經測試驗收或驗收不合格的設備上線。第三章信息產品及設備入庫及領用第九條到貨驗收完成后，資產管理負責人將設備編碼、用標簽打印機打印貼簽、入庫登記，并更新庫房資產清單。第十條信息產品或設備需求部門首先填寫《設備領用單》（詳見附件三），經本部門負責人批準后，提交到資產管理負責人審批。審批通過，需求部門填寫《設備接收單》（詳見附件四），雙方完成設備交接?！对O備領用單》、《設備接收單》由資產管理負責人歸檔保存，并修改資產清單中設備的狀態。第十一條信息產品及設備使用完成需要歸還的，經資產管理負責人對歸還產品驗收完成后，收歸入庫，歸還《設備領用單》、《設備接收單》，并修改資產清單中設備的狀態。對于破損、損壞的產品及設備，借用部門或個人參照公司相關規定進行補償。XXXXX信息資產管理規定第四章信息資產分類和標識第十二條所有信息資產都應指定資產責任人，并由資產責任人負責進行相關資產的識別、統計、分類、分級，以便相關人員采取相應的保護措施。第十三條系統運行部納入信息資產管理范疇的信息資產類別劃分為：數據資產、軟件資產、實物資產、人員資產、服務資產、其他資產。詳細資產分類情況參見《信息資產分類表》（詳見附件五）。第十四條根據各類信息資產在保密性、完整性和可用性三個方面所表現出的重要程度，各劃分為五個級別，對應取值范圍從“5”到“1”（5為很高，1為很低）。詳細分級情況參見《信息資產分級標準圖》（詳見附件六）。第十五條信息資產按信息的敏感度級別為機密級、秘密級、部門級、對內公開級、對外公開級。第十六條信息資產標識應建立統一的命名規則，便于資產識別和日常管理。第十七條資產分類分級信息應在資產清單中進行標注，伴隨每年的資產盤點更新相關信息。第五章信息資產的日常使用與維護第十八條資產日常使用中的管理依據“誰使用，誰負責”原則。清算所內部所有用戶日常資產使用中都應遵守本制度相關要求，結合其他管理要求，采取對應的措施手段進行資產保護，參見《信息資產日常使用與保護圖》（詳見附件七）。第十九條XXXXX數據類資產中的內部文件資產涉及的編寫、審批發布、分發、評審修訂、保管、作廢等管理要求參閱《XXXXX信息系統規范性文件管理辦法》。第二十條存儲介質（含磁盤、磁帶、光盤和優盤）的管理應遵循《XXXXX介質安全管理規定》第二十一條需要機房上線的信息產品及設備必須經過測試后，設備才能進入試運行階段。試運行時間的長短可根據需要確定。通過試運行的設備，才能投入生產系統，正式運行。第二十二條設備日常使用及維護管理：設備的網絡配置應遵循統一的規劃和分配，相關網絡配置應向系統運行部備案。設備的安全策略應進行統一管理，安全策略固化后的變更應經過系統運行部審核批準，并及時更新策略配置庫。關鍵的設備須有備機備件，由系統運行部統一進行保管、分發和替換。每臺（套）設備的使用均應指定專人負責，均應設定嚴格的管理員身份鑒別和訪問控制，嚴禁盜用賬號和密碼，超越管理權限，非法操作設備。設備的口令不得少于8位，須使用包含大小寫字母、數字等在內的不易猜測的強口令，并遵循XXXXX統一的賬號口令管理辦法。設備每月詳細檢查一次，記錄并分析相關日志，對可疑行為及時進行處理。日志至少保留3個月；關鍵設備每天須進行日常巡檢；及時升級維護信息安全產品，凡超過使用期限的或不能繼續使用的信息安全產品，要按照固定資產報廢審批程序處理；當設備的配置更改時，應做好配置的備份工作；掃描、檢測類信息安全產品的使用/啟動應經系統運行部負責人批準授權專人使用;信息資產日常使用管理過程中涉及維修的，原則上要求服務商現場維修。確需送外單位維修時，應徹底清除所存的工作相關信息，并與設備維修廠商簽訂保密協議，與密碼設備配套使用的設備送修前必須請生產設備的科研單位拆除與密碼有關的硬件，并徹底清除與密碼有關的軟件和信息，并派專人在場監督。信息資產發生故障對清算所業務產生影響或引起信息安全事件的，應參照《XXXXX信息安全事件管理規定》進行處理并建立詳細的故障日志（包括故障發生的時間、范圍、現象、處理結果和處理人員等內容）。第二十三條因工作需要，設備需攜帶出工作環境時，應遞交申請并由相關責任人簽字并留檔。第二十四條資產管理負責人應至少每年進行一次管轄范圍內的資產盤點。確保資產清單及資產狀態與資產實際使用情況保持一致。第二十五條在信息資產生命周期的不同階段，信息資產保密性（C）、完整性（I）、可用性（A）屬性值會因各種原因發生變化，此時資產責任人及相關人員應按照新的屬性值采取適當的處理和保護措施。第六章信息資產報廢第二十六條信息資產需要報廢的部門應填寫《設備報廢申請》（詳見附件八），經本部門領導審批后，提交到資產管理負責人審批。審批通過后，統一由資產管理負責人對資產進行回收處理。資產報廢部門應做好報廢設備的信息及數據備份工作。第二十七條資產管理負責人對報廢設備應進行信息處理，處置措施參考如下：磁盤、磁帶等設備應進行消磁處理；光盤、紙質介質采用碎紙機進行銷毀；其它報廢不再使用的設備可考慮不可恢復的物理損壞操作；無法采用上述處置措施的，電子類信息可考慮三次以上低格操作。第二十八條報廢后的設備，按照公司相關規定統一處理。資產管理負責人更改資產清單及設備狀態。第七章附則第二十九條本規定由XXXXX系統運行部負責解釋。第三十條本規定自發布之日起執行。

第八章附件附件一采購申請設備采購申請表填表人： 申請日期年月日申請部門設備名稱數量規格型號用途技術要求及指標大約單價大約總價希望到貨的日期部門負責人意見系統運行部負責人意見分管領導意見備注XXXXX信息資產管理規定附件二到貨驗收單到貨驗收單設備名稱/型號設備數量設備供貨商名稱設備原廠商名稱設備到貨時間設備到貨驗收內容是否按照預定期限到貨是/否型號/數量是否與商務合同一致是/否包裝是否完好是/否外觀是否完好是/否所有附件是否齊備是/否加電開關機是否正常是/否上架安裝是否完成是/否驗收人員簽字確認姓名職務日期供貨方人員簽字確認姓名職務日期原廠商人員簽字確認姓名職務日期

XXXXX信息資產管理規定附件三設備領用單設備領用單領用人： 所在部門： 領用時間：領用設備信息設備名稱設備配置用途簡述所屬部門負責人意見簽章：日期：資產管理負責人意見簽章：日期：XXXXX信息資產管理規定附件四設備接收單設備接收單設備信息設備名稱設備配置資產管理負責人簽章：日期：設備接收人簽章：日期：XXXXX信息資產管理規定附件五信息資產分類表分類—般描述數據資產以物理或電子的方式記錄的數據，如文件資料、電子數據等。文件資料類包括公文、合同、操作單、項目文檔、記錄、傳真、財務報告、發展計劃、應急預案、日常數據，以及各類外來流入文件等。電子數據類如制度文件、管理辦法、體系文件、技術方案及報告、工作記錄、表單、配置文件、拓撲圖、系統信息表、用戶手冊、數據庫數據、操作和統計數據、開發過程中的源代碼等。軟件資產信息處理設施（服務器，臺式機，筆記本，存儲設備等）上安裝使用的各種軟件，用于處理、存儲或傳輸各類信息，包括系統軟件、應用軟件（有后臺數據庫并存儲應用數據的軟件系統）、工具軟件（支持特定工作的軟件工具）、桌面軟件（日常辦公所需的桌面軟件包）等。例如：操作系統、數據庫應用程序、網絡軟件、辦公應用系統、業務系統程序、軟件開發工具等。實物資產各種與業務相關的IT物理設備或使用的硬件設施，用于安裝已識別的軟件、存放有已識別的數據資產或對業務有支持作用。包括主機設備、存儲設備、網絡設備、安全設備、計算機外設、可移動設備、移動存儲介質、布線系統等。人員資產各種對已識別的數據資產、軟件資產和實物資產進行使用、操作和支持（也就是對業務有支持作用）的人員角色。如管理人員、業務操作人員、技術支持人員、開發人員、運行維護人員、保障人員、普通用戶、外包人員、有合同約束的保安、清潔員等。服務資產各種以購買方式獲取的，或者需要支持部門特別提供的、能夠對其他已識別資產的操作起支持作用（即對業務有支持作用）的服務。如產品技術支持、運行維護服務、桌面幫助服務、內部基礎服務、網絡接入服務、安保（例如監控、門禁、保安等）、呼叫中心、監控、咨詢審計、基礎設施服務（供水、供熱、供電）等。其他資產除已識別的信息資產以外，為業務提供支持的其他無形資產。如ISMS體系的有效性、標準合規、客戶要求的符合性等。附件六信息資產分級標準圖取值取值標準描述保密性Confidentiality完整性Integrity可用性Availability一般資產人員一般資產人員一般資產人員5很高包含組織最重要的秘密，關系未來發展的前途命運，對組織根本利益有著決定性的影響，如果泄露會造成災難性的損害可以接觸/存取商密各個級別的信息完整性價值非常高，未經授權的修改或破壞會對組織造成重大的或無法接受的影響，對業務沖擊重大，并可能造成嚴重的業務中斷，難以彌補如果該人員未正確執行其職務內容，將造成業務運作效率大幅度降低或停頓可用性價值非常高，合法使用者對信息及信息系統的可用度達到年度100%以上，或系統不允許中斷如果要維持業務正常運作，可以容忍該人員所承擔職務不得缺席，否則會對公司業務造成影響4高包含組織的重要秘密，其泄露會使組織的安全和利益受到嚴重損害最高可以接觸/存取到同級別的信息完整性價值較高，未經授權的修改或破壞會對組織造成重大影響，對業務沖擊嚴重，較難彌補如果該人員未正確執行其職務內容，將造成部門/處室之業務運作效率明顯降低或停頓可用性價值較高，合法使用者對信息及信息系統的可用度達到年度99.8%以上，或每次系統允許中斷時間小于90分鐘如果要維持業務正常運作，可以容忍該人員所承擔職務突然缺席不得超過1個工作日3中組織的一般性秘密，其泄露會使組織的安全和利益受到損害只可以接觸/存取一般性的秘密信息和內部使用信息完整性價值中等，未經授權的修改或破壞會對組織造成影響，對業務沖擊明顯，但可以彌補如果該人員未正確執行其職務內容，將造成相關工作任務效率小幅度降低或停頓可用性價值中等，每次系統允許中斷時間小于12小時如果要維持業務正常運作，可以容忍該人員所承擔職務突然缺席超過1個工作日，但不能超過3個工作日2低僅能在組織內部或在組織內某一部門內公開的信息，向外擴散有可能對組織的利益造成輕微損害只可以接觸/存取內部使用和公開信息完整性價值較低，未經授權的修改或破壞會對組織造成輕微影響，對業務沖擊輕微，容易彌補如果該人員未正確執行其職務內容，會對業務運作造成輕微影響可用性價值較低，每次系統允許中斷時間小于24小時如果要維持業務正常運作，可以容忍該人員所承擔職務突然缺席超過3個工作日1很低可對社會公開的信息，公用的信息處理設備和系統資源等只可以接觸/存取對外公開的信息完整性價值非常低，未經授權的修改或破壞會對組織造成的影響可以忽略，對業務沖擊可以忽略如果該人員未正確執行其職務內容，基本不會對業務運作造成影響可用性價值可以忽略，每次系統允許中斷時間沒有特殊要求如果該人員缺席，基本不會對業務正常運作造成影響

附件七信息資產日常使用與保護圖機密級秘密級部門級對內公開級對外公開級電子介質標注要求在文件封面及內部都應該標注在文件封面及明顯處應標注在明顯處標注可標注，無標注的文件缺省為本級別無標注要求。定義為公開的信息須經相關部門授權硬拷貝標注要求如果是活頁則每一頁都需標注；如果是一體的則只需在封面封底或首頁標注；其他介質表面標注如果是活頁則每一頁都需標注；如果是一體的則只需在封面封底或首頁標注；其他介質表面標注在明顯處標注可標注，無標注的文件缺省為本級別無標注要求。定義為公開的信息須經相關部門授權授權需得到責任人和管理層批準需得到責任人和管理層批準需得到相關責任人及部門領導批準需得到責任人批準無特別要求訪問只能被得到授權的極少數核心人員訪問，保密協議中對此有明確規定只能被得到授權的少數重要人員訪問，保密協議中對此有明確規定只能被公司內部或外部得到明確授權的人員訪問，訪問者應該簽署相應保密協議可以被公司內部或外部因為業務需要的人員訪問，訪問者應該簽署相應保密協議公司內員工或因為業務需要的人員都可以訪問

機密級秘密級部門級對內公開級對外公開級存儲電子類的應該加密存儲在安全的計算機系統內；硬拷貝應該鎖在安全的保險柜內；禁止以其他形式存儲或顯示電子類的應該加密或存儲在安全的計算機系統內；硬拷貝應該放置在安全區域內；禁止以其他形式存儲或顯示電子類的應該妥善保存在設有安全控制的計算機系統內；硬拷貝應該妥善保管，嚴禁擺放在桌面；使用白板展示后應立即擦除電子類的應該妥善保管，可以進行加密；紙質不應放在桌面以恰當方式保存，避免被非授權人員看到；存儲有信息的介質避免丟失打印禁止打?。ɑ蛟谑跈嗲闆r下專人負責打印，不得打印到無人值守機）須經相關責任人許可，打印件標注密級并妥善管理，不得打印到無人值守機須經相關責任人許可，打印件標注密級并妥善管理，不得打印到無人值守機經相關責任人許可，打印件標注密級并妥善管理無限制，打印件標注密級郵件禁止郵件直接發送，經授權后做電子簽名和加密控制，經安全的途徑發送，保留記錄須經相關責任人許可，郵件發送應做加密控制，保留記錄須經相關責任人許可，郵件發送應做加密控制，保留記錄經相關責任人許可無限制傳真禁止傳真須經相關責任人許可后專人負責傳真須經相關責任人許可后專人負責傳真經相關責任人許可無限制物理傳輸經授權后采取妥善的保護措施，由專人、專車傳輸經