信息資產(chǎn)管理制度

信息資產(chǎn)管理制度是對企業(yè)內(nèi)部信息資源進行有效管理和保護的規(guī)則體系，它涵蓋了數(shù)據(jù)、軟件、硬件、網(wǎng)絡(luò)、知識產(chǎn)權(quán)等多個層面，旨在確保信息資產(chǎn)的安全、完整和高效利用。

包括哪些方面

1. 信息分類與標(biāo)識：明確各類信息的重要程度，對其進行合理的分類和標(biāo)識，以便于管理。

2. 訪問控制：設(shè)定權(quán)限，限制無關(guān)人員對敏感信息的訪問，保障信息安全。

3. 數(shù)據(jù)備份與恢復(fù)：定期備份重要信息，以防止意外丟失，并建立快速恢復(fù)機制。

4. 安全審計：定期檢查信息系統(tǒng)的安全性，及時發(fā)現(xiàn)并修復(fù)漏洞。

5. 災(zāi)難恢復(fù)計劃：面對重大事件，如自然災(zāi)害或大規(guī)模系統(tǒng)故障，能迅速恢復(fù)業(yè)務(wù)運行。

6. 合規(guī)性管理：確保信息處理符合法律法規(guī)及行業(yè)標(biāo)準(zhǔn)，如gdpr、iso 27001等。

7. 員工培訓(xùn)與意識：提高員工的信息安全意識，防止人為失誤導(dǎo)致的風(fēng)險。

8. 技術(shù)更新與維護：定期升級硬件和軟件，確保系統(tǒng)的穩(wěn)定性和安全性。

重要性

信息資產(chǎn)是企業(yè)的核心競爭力，其價值不可估量。有效的信息資產(chǎn)管理制度能夠：

1. 保護企業(yè)利益：防止機密泄露，維護企業(yè)聲譽，避免經(jīng)濟損失。

2. 提升運營效率：通過合理的信息管理，提高工作效率，降低運營成本。

3. 增強法規(guī)遵從性：避免因違規(guī)操作導(dǎo)致的法律糾紛，保障企業(yè)合法經(jīng)營。

4. 促進創(chuàng)新與發(fā)展：保障信息資產(chǎn)的安全，為企業(yè)創(chuàng)新提供穩(wěn)固基礎(chǔ)。

方案

1. 制定詳細(xì)政策：由it部門和法務(wù)部門合作，制定全面的信息資產(chǎn)管理制度，明確責(zé)任和流程。

2. 實施技術(shù)防護：部署防火墻、入侵檢測系統(tǒng)等，增強網(wǎng)絡(luò)安全防護。

3. 權(quán)限分配：根據(jù)員工職務(wù)和工作需要，授予相應(yīng)的信息訪問權(quán)限。

4. 定期審查：每季度進行一次全面的信息安全審查，評估并調(diào)整策略。

5. 培訓(xùn)與教育：每年至少組織兩次信息安全培訓(xùn)，強化員工的防范意識。

6. 應(yīng)急響應(yīng)機制：建立快速響應(yīng)團隊，制定詳細(xì)的應(yīng)急響應(yīng)計劃，以應(yīng)對突發(fā)情況。

7. 外部咨詢與審計：定期邀請專業(yè)機構(gòu)進行信息安全審計，確保制度的有效性。

通過上述措施，企業(yè)可以構(gòu)建起堅實的信息資產(chǎn)管理體系，為持續(xù)發(fā)展保駕護航。在實際操作中，應(yīng)根據(jù)企業(yè)具體情況進行調(diào)整，確保制度的靈活性和適應(yīng)性。

信息資產(chǎn)管理制度范文

第1篇 信息資產(chǎn)設(shè)備管理制度

第一章 范圍及職責(zé)

第一條 本制度適用于信息資產(chǎn)的管理,包括:獲取、分類、使用和處置以及安全設(shè)備的管理。

第二條 本制度中的信息資產(chǎn)是指可以存儲信息數(shù)據(jù)的信息載體,包括:硬件、軟件、數(shù)據(jù)(電子數(shù)據(jù))、文檔(紙質(zhì)文件)、人員、服務(wù)設(shè)施、其他。

第三條 某某單位辦公室(以下簡稱:辦公室)主要負(fù)責(zé)信息資產(chǎn)的分類、匯總、使用與處置方法,以及安全設(shè)備的選型、檢測、安裝、登記、使用、維護和儲存。

第四條 計算機資產(chǎn)統(tǒng)計信息的范圍包含但不限于:計算機主機名、ip地址、mac地址、使用人/責(zé)任人、所屬部門、物理位置、服務(wù)器的內(nèi)外網(wǎng)ip對應(yīng)等。

第二章 信息資產(chǎn)的獲取

第五條 軟件、硬件設(shè)施、服務(wù)性設(shè)施等的獲得主要以采購的方式獲得,采購按照有關(guān)規(guī)定進行采購和驗收。

第六條 數(shù)據(jù)信息資產(chǎn)的獲得來源主要為:外包供應(yīng)商、市場信息、其他信息。

第三章 信息資產(chǎn)的分類

第七條 各部門根據(jù)業(yè)務(wù)流程列出信息資產(chǎn)清單并將每項資產(chǎn)的資產(chǎn)類別、信息資產(chǎn)編號、資產(chǎn)現(xiàn)有編號、資產(chǎn)名稱、所屬部門(組別)、管理者、使用者、地點等相關(guān)信息記錄在資產(chǎn)清單上。

第八條 資產(chǎn)的分類原則和編號原則如下:

1、硬件

1) 計算機設(shè)備:(臺式機、筆記本)、服務(wù)器;

2) 存儲設(shè)備:磁帶機、磁盤整列、磁帶、光盤、軟盤、移動硬盤等;

3) 網(wǎng)絡(luò)設(shè)備:路由器、交換機、網(wǎng)關(guān)、程控交換機等;

4) 傳輸線路:光纖、雙絞線、電話線(布線)、電源線;

5) 安全設(shè)備:硬件防火墻、入侵檢測、網(wǎng)絡(luò)隔離設(shè)備(如網(wǎng)閘)、身份驗證等;

6) 辦公設(shè)備:打印機、復(fù)印機、掃描儀、傳真機、碎紙機、寫字白板、應(yīng)急照明設(shè)備等;

7) 保障設(shè)備:動力保障設(shè)備(ups、變電設(shè)備)、空調(diào)、保險柜、文件柜、門禁、消防設(shè)施等;

8) 其他設(shè)備;

2、軟件

如:操作系統(tǒng)、系統(tǒng)軟件(office/autocad)、應(yīng)用軟件(生產(chǎn)軟件)、網(wǎng)管軟件、殺毒軟件、財務(wù)軟件、開發(fā)工具和資源庫等;

3、電子數(shù)據(jù)

存在電子媒介的各種數(shù)據(jù)資料。如:源代碼、數(shù)據(jù)庫數(shù)據(jù)、各種數(shù)據(jù)資料、系統(tǒng)文檔、運行管理規(guī)程、計劃、日周月報告、財務(wù)報告(電子版本)、用戶手冊、方案、電子設(shè)計圖紙等;

4、紙質(zhì)文件

紙質(zhì)的各種文件。如:傳真、電報、合同、紙張圖紙等;

5、服務(wù)性設(shè)施

如:供電、供水、保潔、門禁、消防設(shè)施等;

6、人員

如:各級領(lǐng)導(dǎo)、各級正式雇員、臨時雇員等;

7、其他。

第九條 按照《涉及國家秘密的信息系統(tǒng)分級保護技術(shù)標(biāo)準(zhǔn)》和信息安全管理體系建設(shè)要求,按照信息資產(chǎn)的公開和敏感程度,將信息資產(chǎn)化分為不同的保護等級,并對不同等級的信息資產(chǎn)進行保護,確保信息安全。各部門要將所有的移動介質(zhì)和電子文件按照敏感性和重要程度分為不同的保護等級,保密級別與保密期限由持有人自行定義。

第十條 識別各個流程的各類關(guān)鍵信息資產(chǎn),最終辦公室匯總,并每半年進行一次更新,確保重要信息資產(chǎn)的完備性(重要信息資產(chǎn)沒有遺漏和缺失)和準(zhǔn)確性(信息資產(chǎn)的保密級別和重要程度能夠真實反映信息資產(chǎn)的狀態(tài))。

第十一條 對信息資產(chǎn)進行編號,同時對重要信息資產(chǎn)進行標(biāo)識:文檔需有固定版本編號規(guī)則;硬件設(shè)備粘貼在設(shè)備明顯位置處。

第四章 信息資產(chǎn)的使用和處置

(一)硬件資產(chǎn)的使用和處置

第十二條 硬件的使用處置包括購買/接收、使用(交接、維修、重用)、處置等有關(guān)內(nèi)容。

第十三條 購買新的硬件設(shè)備或者從其他部門接收轉(zhuǎn)移的設(shè)備時,要核對設(shè)備清單,對相關(guān)設(shè)備進行測試驗證,然后登記。由資產(chǎn)管理員對硬件設(shè)備進行管理,明確設(shè)備管理職責(zé)。

第十四條 硬件資產(chǎn)的保存

1、機房選址要避免在地下室、一樓(水淹和滲水)和頂層(滲水和失火時火向上燃燒),同時考慮相鄰樓層的活動(避免熱源和滲水);

2、處理敏感數(shù)據(jù)的信息處理設(shè)施放在適當(dāng)安全的位置,以減少在設(shè)備在使用期間信息被窺視的風(fēng)險,保護儲存設(shè)施以防止未授權(quán)訪問;

3、設(shè)備的選址應(yīng)采取控制措施以減小潛在的物理威脅的風(fēng)險,例如偷竊、火災(zāi)、爆炸、煙霧、水(或供水故障)、溫度、濕度、塵埃、振動、化學(xué)影響、電源干擾、通信干擾、電磁輻射和故意破壞;

4、禁止在信息處理設(shè)施附近進食、喝飲料和抽煙;

5、對專門保護的部件要予以隔離,以滿足特殊安全要求;

第十五條 硬件資產(chǎn)的日常使用安全

1、所有的硬件資產(chǎn)必須明確設(shè)備的使用人員/管理人員,明確職責(zé);

2、硬件資產(chǎn)的使用人(或管理人),在使用或管理硬件資產(chǎn)時,要注意硬件資產(chǎn)的安全性、機密性、完整性,防止信息載體的毀壞和信息的泄密,防止信息處理設(shè)施的濫用;

對設(shè)備定期進行維護保養(yǎng),發(fā)生毀壞,丟失等問題時能夠及時處置;

3、新硬件設(shè)備接入網(wǎng)絡(luò)按照相關(guān)規(guī)定處理;

4、在人員上崗時,可根據(jù)需要為上崗人員配備必要的辦公設(shè)備,包括電腦(筆記本或臺式機),電話機,其它辦公用品;辦公室根據(jù)該工作人員所處部門、工作性質(zhì)為其設(shè)置相應(yīng)的辦公網(wǎng)訪問權(quán)限;

5、需要使用移動計算設(shè)備(包括筆記本、無線網(wǎng)卡、移動硬盤和u盤)的用戶,應(yīng)得到辦公室負(fù)責(zé)人的同意后方可使用;

6、對于無人職守的設(shè)備,要明確管理人員,加強物理安全控制。

第十六條 硬件資產(chǎn)的轉(zhuǎn)移安全

1、當(dāng)設(shè)備遷移時,必須先對設(shè)備中存儲的重要信息進行備份;

2、設(shè)備遷移完成后,必須檢查設(shè)備是否損壞;

3、設(shè)備遷移出本單位時,設(shè)備中禁止存放重要信息,以防止機密信息泄露或泄露的風(fēng)險增加。

第十七條 辦公地點外使用任何信息處理設(shè)備必須通過管理者授權(quán)。場外設(shè)備的保護要考慮下列內(nèi)容:

1、離開本單位的設(shè)備和介質(zhì)(如現(xiàn)場的設(shè)備和介質(zhì)),必須有人值守或委派負(fù)責(zé)人(或者公共場所放置的需要有人值守或監(jiān)視系統(tǒng));

2、制造商保護設(shè)備用的說明書要始終加以遵守,例如,防止暴露于強電磁場內(nèi);

3、根據(jù)風(fēng)險的不同采取足夠的安全保障措施,以保護離開辦公室設(shè)備的安全。

第十八條 硬件資產(chǎn)的處置和重用

1、存儲設(shè)備銷毀前,必須確保所有存儲的敏感數(shù)據(jù)或授權(quán)軟件已經(jīng)被移除或安全重寫;

2、服務(wù)器、主要網(wǎng)絡(luò)設(shè)備的處置由辦公室進行安全處置;

3、臺式機、打印機、傳真機、掃描儀等it設(shè)備的處置由辦公室進行并做登記;

4、如需報廢時,應(yīng)向主管部門提出報廢申請,經(jīng)批準(zhǔn)后報廢。

(二)軟件資產(chǎn)的使用和處置

第十九條 軟件資產(chǎn)的使用

1、所有的軟件資產(chǎn)必須設(shè)置專人管理,明確職責(zé),避免軟件資產(chǎn)的丟失,泄密;

2、所有正版軟件實體由辦公室專人保管,在安裝軟件時要規(guī)定使用權(quán)限,防止非授權(quán)訪問;

3、按照《系統(tǒng)運行維護管理制度》中“備份與恢復(fù)管理”章節(jié)要求,對重要系統(tǒng)進行備份;

4、當(dāng)人員離職或崗位變動,需要回收有關(guān)的軟件,必要時,由辦公室技術(shù)人員對離職人員使用的軟件進行卸載,刪除。

第二十條 軟件資產(chǎn)的處置:對過時或確認(rèn)無效的軟件資產(chǎn),定期進行清除。

(三)電子數(shù)據(jù)的使用和處置

第二十一條 電子數(shù)據(jù)的使用

1、對所有電子數(shù)據(jù)進行分類/分級,標(biāo)識未授權(quán)人員的訪問限制,不同安全級別的數(shù)據(jù)應(yīng)存儲在不同的區(qū)域,按類按級傳達,便于信息的安全管理;

2、不同類型的電子文件按照統(tǒng)一規(guī)律存放在個人電腦或服務(wù)器中,便于整理和查閱以及工作交接時轉(zhuǎn)移;

3、所有電子文件保存在電腦或服務(wù)器中,并按照《備份和恢復(fù)管理制度》規(guī)定的備份頻率定期進行備份;

4、對于存于服務(wù)器上的電子數(shù)據(jù)的訪問,根據(jù)服務(wù)器提供服務(wù)的不同與部門/職務(wù)的不同,設(shè)置不同的訪問權(quán)限,避免非授權(quán)訪問;

5、對于內(nèi)部公開級別的電子信息,其使用要控制在內(nèi)部,禁止帶出;

6、對于秘密級別以上的電子文件的處理過程,必須保障數(shù)據(jù)的完整性、機密性和可用性;

7、對于秘密級別以上的電子文件的使用,系統(tǒng)應(yīng)進行審計;

8、對于秘密級別以上的電子文件的傳輸,必須采取適當(dāng)?shù)陌踩胧┘右员Ｗo,如加密傳輸、分散傳輸?shù)?

9、在整理電腦中的電子數(shù)據(jù)時,要小心操作,確認(rèn)后再進行處理,避免由于誤操作將有用的電子數(shù)據(jù)刪除。

(四)紙質(zhì)文檔的使用和處置

第二十二條 紙質(zhì)文檔的使用

1、所有的秘密級以上的紙質(zhì)文件資料要(通過標(biāo)簽或其它方式)標(biāo)識出資產(chǎn)的保密級別,分類存放,不同安全級別的紙質(zhì)文件應(yīng)按類按級傳達,便于紙質(zhì)文件的安全管理;

2、對于比較重要的紙質(zhì)文件(機密級別以上)必須保存在帶鎖的文件柜或保險柜中,鑰匙由專人保管;

3、對于紙質(zhì)文件的保存期限依據(jù)實際要求制定和實施;

4、對于比較重要的紙質(zhì)文件的使用過程,必須注意信息的保密,確保信息的完整性和可用性;

5、對于比較重要的紙質(zhì)文件的傳輸,必須采取適當(dāng)?shù)陌踩胧┘右员Ｗo,如專人遞送、分散傳輸?shù)取?/p>

第二十三條 紙質(zhì)文檔的處置

1、實體數(shù)據(jù)資料達到保存期限后,必須將其撕毀或者粉碎到讀不出來為止,避免實體數(shù)據(jù)資料的泄密;

2、對于重要紙質(zhì)文件的銷毀,如財務(wù)紙質(zhì)文件,要求兩人以上在場,防止信息的泄密。

(五)人員招調(diào)、在職、離職

第二十四條 所有人員的招調(diào)、在職、離職安全管理按照《用戶管理制度》的要求進行實施。

(六)服務(wù)性資產(chǎn)的使用和處置

第二十五條 所有服務(wù)性資產(chǎn)要設(shè)置專人管理,定期維護,避免損壞、非授權(quán)使用或丟失。涉及服務(wù)性的合同,相關(guān)管理部門在簽署合同時,應(yīng)審核涉及信息保密的相關(guān)條款。

第二十六條 當(dāng)服務(wù)性設(shè)施損壞,如果可以維修,由負(fù)責(zé)人聯(lián)絡(luò)相關(guān)人員進行維修,如果涉及到第三方,依據(jù)《用戶管理制度》對第三方進行管理。

第二十七條 當(dāng)服務(wù)性設(shè)施損壞,不可維修,只能報廢時,應(yīng)聯(lián)絡(luò)相關(guān)管理部門提出報廢申請。

第五章 安全設(shè)備管理

(一)設(shè)備的選型

第二十八條 嚴(yán)禁采購和使用未獲得銷售許可證的信息安全產(chǎn)品。

第二十九條 應(yīng)優(yōu)先采用我國自主開發(fā)研制的信息安全技術(shù)和設(shè)備。

第三十條 避免采用境外的密碼設(shè)備。

第三十一條 如需采用境外信息安全產(chǎn)品時,必須確保產(chǎn)品獲得我國權(quán)威機構(gòu)的認(rèn)證測試和銷售許可證。

第三十二條 使用經(jīng)國家密碼管理部門批準(zhǔn)和認(rèn)可的國內(nèi)密碼技術(shù)及相關(guān)產(chǎn)品。

第三十三條 終端物理隔離必須使用國家保密局認(rèn)可的隔離卡或采用國家保密局認(rèn)可的其他方式。

(二)設(shè)備檢測

第三十四條 信息系統(tǒng)中的所有安全設(shè)備必須符合中華人民共和國國國家標(biāo)準(zhǔn)《數(shù)據(jù)處理設(shè)備的安全》、《電動辦公機器的安全》中規(guī)定的要求,其電磁輻射強度、可靠性及兼容性也必須符合安全管理等級要求。

(三)設(shè)備安裝

第三十五條 設(shè)備符合系統(tǒng)選型要求并獲得批準(zhǔn)后,方可購置安裝。

第三十六條 凡購回的設(shè)備均須在測試環(huán)境下經(jīng)過連續(xù)72小時以上的單機運行測試和聯(lián)機48小時的應(yīng)用系統(tǒng)兼容性運行測試。

第三十七條 主機、服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等上架運行前必須通過安全檢測,禁止安裝有默認(rèn)操作系統(tǒng)的主機、服務(wù)器直接接入系統(tǒng)。

第三十八條 通過上述測試后,設(shè)備進入試運行階段,試運行時間的長短根據(jù)業(yè)務(wù)需要動態(tài)設(shè)定。

第三十九條 通過試運行的設(shè)備才能接入生產(chǎn)系統(tǒng),正式運行。

(四)設(shè)備登記

第四十條 對所有設(shè)備均應(yīng)建立嚴(yán)格完整的購置、移交、使用、維護、維修和報廢等記錄,認(rèn)真做好資產(chǎn)登記和管理工作,保證設(shè)備管理的正規(guī)化。

(五)設(shè)備使用管理

第四十一條 每臺設(shè)備的使用均應(yīng)指定專人負(fù)責(zé)并建立詳細(xì)的運行日志。

第四十二條 由責(zé)任人負(fù)責(zé)進行設(shè)備的日常清洗及定期保養(yǎng)維護,做好維護記錄,保證設(shè)備處于最佳狀態(tài)。

第四十三條 保證設(shè)備在其適宜的使用環(huán)境下工作。

第四十四條 一旦設(shè)備出現(xiàn)故障,管理員如實填寫故障報告,通知有關(guān)人員處理。

(六)設(shè)備維修管理

第四十五條 設(shè)備由專人負(fù)責(zé)維修,并建立滿足正常運行最低要求的易損件的備件庫。

第四十六條 根據(jù)每臺設(shè)備的使用情況及系統(tǒng)的可靠性等級,制定預(yù)防性維修計劃。

第四十七條 對系統(tǒng)進行維修時必須采取數(shù)據(jù)保護措施,安全設(shè)備維修時應(yīng)有安全管理員在場。

第四十八條 對設(shè)備進行維修時必須記錄維修對象、故障原因、排除方法、主要維修過程及維修有關(guān)情況等。

第四十九條 對設(shè)備應(yīng)規(guī)定折舊期,設(shè)備到了規(guī)定使用年限或因嚴(yán)重故障不能恢復(fù),由專業(yè)技術(shù)人員對設(shè)備進行鑒定和殘值估價,并對設(shè)備情況進行詳細(xì)登記,提出報告書和處理意見,由主管領(lǐng)導(dǎo)和上級主管部門批準(zhǔn)后方能進行報廢處理。

(七)設(shè)備儲存管理

第五十條 設(shè)備儲存環(huán)境應(yīng)符合出廠標(biāo)稱要求。

第五十一條 建立詳細(xì)的設(shè)備進出庫、領(lǐng)用和報廢登記。

第五十二條 必須定期對儲存設(shè)備進行清潔、核查及通電檢測。

第五十三條 安全產(chǎn)品及保密設(shè)備必須單獨儲存并有相應(yīng)的保護措施。

第六章 附則

第五十四條 本制度由某某單位負(fù)責(zé)解釋。

第五十五條 本制度自發(fā)布之日起生效執(zhí)行。