《資產(chǎn)安全管理制度》由會員分享，可在線閱讀，更多相關《資產(chǎn)安全管理制度（12頁珍藏版）》請在裝配圖網(wǎng)上搜索。

精選資料 XXXX 資產(chǎn)安全管理制度 2017年12月目錄 1 總則 3 1.1 目的 3 1.2 范圍 3 2 規(guī)范性引用文件 3 3 職責 3 3.1 信息技術科 3 3.3 其他各科室 3 4 術語與定義 3 4.1信息 3 4.2 資產(chǎn) 3 5 管理內(nèi)容和方法 4 5.1 資產(chǎn)清單 4 5.2 資產(chǎn)管理 4 5.3 信息資產(chǎn)的存放和使用 5 5.4信息資產(chǎn)分類 6 5.5信息的標識及處置 7 5.6資產(chǎn)轉移 8 5.7資產(chǎn)數(shù)據(jù)安全管理 8 6 附則 8 7 附表 8 可修改編輯 1 總則 1.1 目的 為了規(guī)范XXXXX網(wǎng)絡與信息系統(tǒng)的信息資產(chǎn)管理，明確各種崗位的信息資產(chǎn)管理職責，方便在XXXXX內(nèi)部推廣和執(zhí)行信息資產(chǎn)的管理和使用要求，特制訂本制度。 本細則描述了XXXXX信息技術科在信息資產(chǎn)管理方面的職責、管理內(nèi)容和管理方法。 1.2 范圍 本細則適用于XXXXX信息技術科所有信息資產(chǎn)的管理。 2 規(guī)范性引用文件 GB/T 22081-2008/ISO/IEC 27002:2005《信息技術 安全技術 信息安全管理實用規(guī)則》 3 職責 3.1信息技術科 1、負責所有信息資產(chǎn)的管理工作。 2、負責制作和維護所管轄系統(tǒng)的信息資產(chǎn)管理清單。 3、負責審核各個科室的信息資產(chǎn)變更。 4、定期對信息資產(chǎn)進行清查盤點。 3.3 其他各科室 1、負責維護本科室的信息資產(chǎn)清單。 2、負責審核本科室信息資產(chǎn)的變更管理。 3、協(xié)助信息技術科進行信息資產(chǎn)清點工作。 4 術語與定義 4.1信息 對組織具有重要價值，可以通過媒體傳遞和存儲的一種資產(chǎn)。 4.2 資產(chǎn) 本程序所稱的資產(chǎn)指是指XXXXX在生產(chǎn)、經(jīng)營和管理過程中，所需要的以及所產(chǎn)生的，用以支持（或指導、或影響）連州市人民法院生產(chǎn)、經(jīng)營和管理的一切有用的數(shù)據(jù)和資料等非財務的無形資產(chǎn)，其范圍包括現(xiàn)在的和歷史的。 5 管理內(nèi)容和方法 5.1 資產(chǎn)清單 5.1.1 資產(chǎn)清單可幫助確保有效的資產(chǎn)保護，編制一份完整的資產(chǎn)清單是風險管理的一個重要的先決條件。連州市人民法院信息技術科應制定和維護所管轄的資產(chǎn)清單，清單中應包括如下與信息系統(tǒng)相關的資產(chǎn)： 1、信息資產(chǎn)：數(shù)據(jù)庫和數(shù)據(jù)文件、合同和協(xié)議、系統(tǒng)文件、研究信息、用 戶手冊、培訓材料、操作或支持程序、業(yè)務連續(xù)性計劃、應變安排 （fallbackarrangement） 、審核跟蹤記錄（audit trails） 、歸檔信息； 2、軟件資產(chǎn)：應用軟件、系統(tǒng)軟件、開發(fā)工具和實用程序； 3、物理資產(chǎn)：計算機設備、通信設備、可移動介質和其他設備； 4、服務：計算和通信服務、公用設施，例如，供暖，照明，能源，空調(diào)； 5、人員：與信息安全相關的重要人員，如信息系統(tǒng)管理崗位人員、應用集成崗位人員、局域網(wǎng)及終端管理崗位人員、數(shù)據(jù)管理崗位人員、資產(chǎn)管理崗位人員等。 6、無形資產(chǎn)：如組織的聲譽和形象、商標、知識產(chǎn)權等。 5.1.2資產(chǎn)清單中應包括資產(chǎn)責任科室、責任人、重要程度、所處位置、安全分類、保存方式、使用方法等內(nèi)容。 5.2 資產(chǎn)管理 5.2.1資產(chǎn)責任人 XXXXX在資產(chǎn)管理過程中，應將一組資產(chǎn)指派給一個責任人，與信息處理設施有關的所有信息和資產(chǎn)應由組織的指定科室或人員承擔責任，資產(chǎn)責任人應負責： 1、確保與信息處理設施相關的信息和資產(chǎn)進行了適當?shù)姆诸悾? 2、確定并周期性評審訪問限制和分類，要考慮到可應用的訪問控制策略。 5.2.2新資產(chǎn)必須進行入庫登記接收，明確資產(chǎn)接收人、責任人、時間等信息； 5.2.3資產(chǎn)應明確其所有者、管理者及使用者三類角色，對于每一個資產(chǎn)必須有且僅有一個所有者角色，同時必須有且僅有一個管理者角色。 5.2.5任何對網(wǎng)絡與資產(chǎn)的變更、訪問應在獲得資產(chǎn)責任人的批準后進行。 5.2.6所有需要接入連州市人民法院信息網(wǎng)絡的設備，應經(jīng)信息技術科審核、備案。 5.2.7隨機資料、軟件等應由使用者或資產(chǎn)責任人妥善保管，重要的專用驅動程序應有備份。 5.2.8連州市人民法院信息技術科應定期對資產(chǎn)進行清查盤點，確保資產(chǎn)帳物相符和完好無損。 5.2.9資產(chǎn)的報廢應由使用科室提出書面申請，信息技術科根據(jù)資產(chǎn)的使用情況進行審核，提出資產(chǎn)報廢清單，按固定資產(chǎn)報廢程序辦理。 5.3 信息資產(chǎn)的存放和使用 5.3.1信息資產(chǎn)的存放應立足于管理和安全的考慮，為了便于保管、提取、查詢，信息資產(chǎn)應盡量以電子介質的形式存儲，因此，對于存儲在紙介質等其他非結構化的信息資產(chǎn)，如果技術上允許并且有必要的話，應及時進行適當?shù)奶幚?，轉換為結構化的電子信息，并以電子介質的形式存儲。資產(chǎn)具體存放形式參見（附件1）《信息資產(chǎn)的存放形式表》。 5.3.2 信息資產(chǎn)的存儲介質存放的地點要求如下： 1、對于對外公開信息，存放地點沒有要求。 2、對于對內(nèi)公開信息，如果是結構化的電子信息，應存放在內(nèi)部服務網(wǎng)絡中的文件服務器等；如果是非結構化的其他信息，應存放在室內(nèi)文件柜中，并有明顯的分類標識。 3、對于秘密信息，如果是結構化的電子信息，應存放在有嚴格管理制度、具有足夠的安全防護措施的機房環(huán)境中的相關服務器和存儲設備上；如果是非結構化的其他信息，應存放在室內(nèi)具有較強防盜竊能力的文件柜中，并造冊登記，分項存放。 4、對于機密信息，如果是聯(lián)機存儲的結構化電子信息，應存放在有嚴格管理制度、具有高強度的安全防護措施的機房環(huán)境中的相關服務器和存儲設備上；如果是脫機存儲的結構化電子信息，以及非結構化的其他信息，應存放在具有嚴格保安措施的、專門的保管環(huán)境中（如機要室等），并造冊登記，分項存放。 5.3.3 信息資產(chǎn)的存儲介質使用控制要求如下： 1、對于對外公開信息，介質使用沒有限制要求，任何人在任何場合均可以使用。 2、對于對內(nèi)公開信息，對于存儲在電子介質上的信息，必須通過內(nèi)部網(wǎng)絡，以注冊的合法身份，登錄訪問和下載使用；對于非結構化的其他信息，經(jīng)介質保存科室同意，可以提取存儲信息的介質使用，使用完畢放回原處。 3、對于秘密信息，對于存儲在電子介質上的信息，原則上要求聯(lián)機使用，信息只能通過應用系統(tǒng)專用界面使用，使用者必須具有足夠的使用權限；秘密信息的脫機提取或抄錄，必須有相關領導的書面批準意見，其提取或抄錄的相關細節(jié)必須記錄在案，使用者必須對其提取或抄錄秘密信息的安全保密負責；對于非結構化信息的使用，必須符合秘密級文件的相關使用規(guī)定，信息的提取或抄錄必須有相關領導的書面批準意見，其相關細節(jié)必須記錄在案，使用者必須對其提取或抄錄秘密信息的安全保密負責。 4、對于機密信息，對于存儲在電子介質上的信息，必須聯(lián)機使用，信息只能通過應用系統(tǒng)專用界面使用，使用者必須具有足夠的使用權限；機密信息絕對禁止的脫機提取，特殊信息的抄錄，必須有相關領導及保密人員的書面批準意見，抄錄的過程及內(nèi)容必須有保密人員現(xiàn)場監(jiān)督檢查，抄錄的相關細節(jié)必須記錄在案，使用者必須對其抄錄的機密信息的安全保密負責；對于非結構化信息的使用，必須符合機密級文件的相關使用規(guī)定，特殊信息的抄錄必須有相關領導及保密人員的書面批準意見，其相關細節(jié)必須記錄在案，使用者必須對其提取或抄錄秘密信息的安全保密負責。 5.4信息資產(chǎn)分類 5.4.1按照信息資產(chǎn)管理的相關標準和信息資產(chǎn)的表現(xiàn)形式，信息資產(chǎn)包括： （1）單位的域名、網(wǎng)絡拓撲結構、網(wǎng)絡IP地址及分配規(guī)則、企業(yè)標準編碼。 （2）單位投資開發(fā)的（或具有獨立知識產(chǎn)權的）程序軟件的源代碼、支持程序軟件、外購軟件的使用許可證記錄、系統(tǒng)平臺基礎數(shù)據(jù)等。 （3）系統(tǒng)配置數(shù)據(jù)、系統(tǒng)授權信息、口令文件、密鑰及算法文件、系統(tǒng)說明文檔、用戶手冊等系統(tǒng)基礎數(shù)據(jù)。 （4）各類系統(tǒng)的應用數(shù)據(jù)庫及數(shù)據(jù)文件、業(yè)務報表等系統(tǒng)業(yè)務數(shù)據(jù)。 （5）各類系統(tǒng)的運行方案、運行記錄、變更記錄等系統(tǒng)運行數(shù)據(jù)以及應急計劃。 （6）各類的規(guī)劃、方案與策略、業(yè)務流程、業(yè)務規(guī)范、操作規(guī)程等管理數(shù)據(jù)。 （7）技術圖紙、技術文檔、工程資料等項目數(shù)據(jù)。 （8）其他紙介質的重要辦公文件（信件）、圖像、影像、錄音和照片等非結構化辦公資料。 （9）單個員工擁有的專家技能和經(jīng)驗等隱性數(shù)據(jù)。 5.4.2信息資產(chǎn)具有不同的敏感度和重要性，應從其機密性、完整性和可用性等屬性對其進行分級，反映不同的保護要求、優(yōu)先級和程度。連州市人民法院信息資產(chǎn)按信息的敏感度分類為機密信息、秘密信息、對內(nèi)公開信息、對外公開信息。信息資產(chǎn)安全分類見附件2《信息資產(chǎn)安全分類表》 5.5信息的標識及處置 XXXXX的信息系統(tǒng)應在物理或邏輯標簽中標明其資產(chǎn)分級。 5.5.1應根據(jù)品牌型號、設備流水號、設備名稱、設備序列號、設備責任人、使用單位、資產(chǎn)編碼等制定資產(chǎn)標簽，并把標簽貼在相應的信息資產(chǎn)上； 5.5.2應明確信息處于不同載體的標注方法。信息的密級必須被明確標注。根據(jù)存儲和輸出方式的不同，可以采用物理標簽、電子標記等方法。 5.5.3XXXXX的客戶或第三方在制作連州市人民法院的信息資產(chǎn)標識時，應遵循連州市人民法院統(tǒng)一的計算機和服務器標識定義及《保密法》有關規(guī)定要求。 5.5.4XXXXX的客戶或第三方在對連州市人民法院的信息資產(chǎn)標識時，應遵循連州市人民法院統(tǒng)一的標識定義。 5.5.5XXXXX不同分級的信息在處置過程中應采取不同的控制和保護措施，對實物形式和電子形式信息資產(chǎn)的信息處置活動包括如下類型： 1 、復制； 2、 存儲； 3 、通過郵寄、傳真或電子郵件等方式進行傳輸； 4 、通過口頭對話方式進行傳播，包括電話、語音郵件、應答設備等； 5 、銷毀。 5.5.6XXXXX機密信息的處置要得到連州市人民法院主管領導的批準，并報信息技術科備案審核。 5.5.7處置信息類資產(chǎn)信息時，須在連州市人民法院內(nèi)部的專門處置場所，設置特殊的處置柜存放；含連州市人民法院機密信息的紙件不得重復使用，紙質文件要通過專門設備徹底粉碎；電子文件要使用專門的清除軟件安全清除；存儲介質需要可靠地擦除或物理上徹底銷毀。 5.6資產(chǎn)轉移 在未經(jīng)設備管理責任科室領導審批的情況下，不得讓信息設備離開辦公場所。對于有權允許移動信息設備，應設置信息設備移動的時間限制，明確對資產(chǎn)的轉移、外出等進行跟蹤管理，并在返還時進行一致性檢查，并對設備做移出記錄和送回記錄的管理。 為了防止未授權的信息設備移動，進出時由信息技術科進行抽查，以檢測未授權的信息設備進出。這樣的抽查應按照相關規(guī)章制度執(zhí)行，并告知局所有員工此種抽查制度。 5.7資產(chǎn)數(shù)據(jù)安全管理 1、應采取措施確保系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務數(shù)據(jù)在傳輸過程中得到完整性檢驗與保護。 2、應采取措施確保系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務數(shù)據(jù)在傳輸過程中得到保密保護。 3、應采取措施對關鍵數(shù)據(jù)得到及時備份，確保數(shù)據(jù)的可恢復性。 4、應建立規(guī)范的資產(chǎn)銷毀流程，確保資產(chǎn)銷毀過程中信息的備份回收，并做好銷毀記錄（填寫《資產(chǎn)銷毀記錄表》，見附件3），確保信息的保密、防止信息泄露。 6 附則 1、本細則自批準發(fā)文之日起生效。 2、本細則由連州市人民法院信息技術科負責解釋。 7 附表  附件1信息資產(chǎn)的存放形式表 定義類別 信息資產(chǎn)名稱 存儲方式 存儲介質 1 單位的域名 無 無 1 網(wǎng)絡拓撲結構 脫機 電子介質 1 網(wǎng)絡IP地址及分配規(guī)則 脫機 電子介質 1 企業(yè)標準編碼 脫機 電子介質或紙介質 2 程序軟件的源代碼 脫機 電子介質 2 支持程序軟件 脫機 電子介質 2 外購軟件的使用許可證記錄 脫機 紙介質 2 系統(tǒng)平臺基礎數(shù)據(jù) 聯(lián)機 電子介質 3 系統(tǒng)配置數(shù)據(jù) 脫機 電子介質或紙介質 3 系統(tǒng)授權信息 脫機 電子介質或紙介質 3 口令文件 脫機 電子介質或紙介質 3 密鑰及算法文件 脫機 電子介質 3 系統(tǒng)說明文檔、用戶手冊 脫機 紙介質 4 各類系統(tǒng)的應用數(shù)據(jù)庫及數(shù)據(jù)文件、業(yè)務報表等 聯(lián)機 電子介質 5 各類系統(tǒng)的運行日志 聯(lián)機 電子介質或紙介質 5 客戶服務記錄 聯(lián)機 電子介質 6 企業(yè)各類規(guī)劃、方案與策略 脫機 電子介質或紙介質 6 的業(yè)務流程、業(yè)務規(guī)范、操作規(guī)程 脫機 電子介質或紙介質 7 技術圖紙、技術文檔、工程資料 聯(lián)機 電子介質或紙介質 8 其他紙介質辦公文件（信件）、圖象、影象、錄音和照片等非結構化辦公資料 脫機 按實際需要選擇的各種介質 9 單個員工擁有的專家技能和經(jīng)驗等 無 無 附件2信息資產(chǎn)安全分類表 定義類別 信息資產(chǎn)名稱 信息資產(chǎn)分類 1 單位的域名 對外公開信息 1 網(wǎng)絡拓撲結構 秘密信息 1 網(wǎng)絡IP地址及分配規(guī)則 秘密信息 1 企業(yè)標準編碼 對內(nèi)公開信息 2 程序軟件的源代碼 秘密信息 2 支持程序軟件 對內(nèi)公開信息 2 外購軟件的使用許可證 對內(nèi)公開信息 2 系統(tǒng)平臺基礎數(shù)據(jù) 秘密信息 3 系統(tǒng)配置數(shù)據(jù) 秘密信息 3 系統(tǒng)授權信息 秘密信息 3 口令文件 機密信息 3 密鑰及算法文件 機密信息 3 系統(tǒng)說明文檔、用戶手冊 對內(nèi)公開信息 4 系統(tǒng)應用數(shù)據(jù)庫及數(shù)據(jù)文件、業(yè)務報表等 秘密信息 5 數(shù)據(jù)中心、機房運行日志及應急計劃 秘密信息 5 客戶服務記錄 對內(nèi)公開信息 6 單位經(jīng)營方案與策略 機密信息 6 單位信息與網(wǎng)絡安全方案與策略 機密信息 6 單位及各專業(yè)的規(guī)劃與投資方案 秘密信息 6 單位的業(yè)務規(guī)范、操作規(guī)程 對內(nèi)公開信息 6 各專業(yè)的業(yè)務流程 對內(nèi)公開信息 7 技術圖紙、技術文檔、工程資料 秘密信息 8 其他紙介質的重要辦公文件（信件）、圖象、影象、錄音和照片等非結構化辦公資料 不定 9 單個員工擁有的專家技能和經(jīng)驗等 具體確認 附件3資產(chǎn)銷毀記錄表 資產(chǎn)名稱 資產(chǎn)編號 銷毀事因 銷毀方式 銷毀時間 保管人 審批人 備注  THANKS !!! 致力為企業(yè)和個人提供合同協(xié)議，策劃案計劃書，學習課件等等 打造全網(wǎng)一站式需求 歡迎您的下載，資料僅供參考