1、总则
1.1、目的
为了规范XXXXX单位信息资产的管理、使用和处置,防止其滥用和丢失,保护数据安全;为提高资产使用效益,规范信息资产采购、管理、报废等流程;为加强对XXXXX单位设备的统一管理,规范XXXXX单位IT设备的采购、使用、保管和维修管理,保证各部门正常办公各业务系统正常运行,特制定本管理制度。
1.2、范围
本管理规定适用于XXXXX单位的信息资产和设备的管理。
1.3、职责
信息资产设备由网络安全与信息化管理部门负责统一管理维护,主要包括服务器、网络资产设备、安全资产设备、通信资产设备、存储资产设备、终端资产设备、计算机外围资产设备、网络综合布线工程、机房工程、光碟、磁带、硬盘、各种系统软件和应用软件等。
1.4、术语和定义
信息资产:本文件中的信息资产是指可以存储信息数据的信息载体,包括:硬件、软件、数据(电子数据)、文档(实体信息)、人员、服务设施、其他。
2、管理细则
2.1、信息资产及设备分类
2.1.1、信息资产及设备分类
XXXXX单位各部门根据业务流程列出信息资产清单并将每项资产的资产类别、信息资产编号、资产现有编号、资产名称、所属部门、管理者、使用者、地点等相关信息记录在资产清单上。资产的分类原则和编号原则如下:
分类原则:
- 硬件
- 计算机设备:(台式机、笔记本)、服务器(含虚拟机);
- 存储设备:磁带机、磁盘整列、磁带、光盘、软盘、移动硬盘等;
- 网络设备:路由器、交换机、HUB、网关、程控交换机等;
- 传输线路:光纤、双绞线、电话线(布线)、电源线;
- 安全设备:硬件防火墙、入侵检测、网络隔离设备(如网闸)、负载均衡设备、身份验证、SOC、UTM等;
- 办公设备:打印机、复印机、扫描仪、传真机、碎纸机、写字白板、应急照明设备;
- 保障设备:动力保障设备(UPS、变电设备)、空调、保险柜、文件柜、门禁、消防设施等;
- 其他设备:生产设备(测量仪、SMT等);
- 软件
如:操作系统、系统软件(office/AutoCAD)、应用软件(医保信息软件)、网管软件、杀毒软件、财务软件、开发工具和资源库等。
- 电子数据
存在电子媒介的各种数据资料。如:源代码、数据库数据、各种数据资料、系统文档、运行管理规程、计划、日周月报告、财务报告(电子版本)、用户手册、方案、电子设计图纸等。
- 实体信息
纸质的各种文件。如:传真、电报、财务报告、发展计划、合同、纸张图纸等。
- 服务性设施
如:电源、空调、保险柜、文件柜、门禁、消防设施等。
- 人员
如:各级领导、各级正式雇员、临时雇员等。
- 其他
如:单位形象声誉、知识产权、公信力等。
2.1.2、信息资产及设备分级
按照信息资产的公开和敏感程度,以及信息资产对系统和组织的重要性,信息资产的分级原则有两个:
对于文档(含电子文档与纸质文档)、介质类的数据载体,按照承载信息本身的公开和敏感程度,该类信息资产拟划分为“工作秘密”、“内部公开”、“外部公开”三级,针对不同级别的资产标识不同的保护等级。
对于其他物理设备,按照其对系统和组织的重要程度,该类信息资产拟划分为“关键资产”、“重要资产”、“普通资产”三级,针对不同级别的资产标识不同的防护等级。
信息资产分级划分具体方法:
- 关键资产:承载、处理或存储XXXXX单位核心业务信息系统数据,一旦破坏,会对XXXXX单位的主营业务造成冲击和损害。原则上承载处理业务信息系统数据的资产均应被标识为关键资产。
- 重要资产:对XXXXX单位提供服务的信息系统所含资产、或属于业务信息系统的支撑系统的信息系统所含资产,如财务信息系统所有资产、人力资源系统所有资产、OA办公自动化系统所有资产、防病毒系统所有资产、入侵检测系统所有资产等。
- 普通资产:除上述信息系统以外的信息系统包含资产均可划分为普通资产,如不直接承载、存储业务信息系统的打印机、打码机等。
- 工作秘密:涉及XXXXX单位明确规定需要保密的信息、业务信息系统数据、财务数据、人员工资数据、信息系统账号等的信息数据文档均应划分为工作秘密。
- 内部公开:在XXXXX单位内部公开,对外保密的信息,向外扩散有可能对XXXXX单位的利益造成损害的数据文档。
- 外部公开:对社会公开的信息,公用的信息处理设备和系统资源等信息资产。
2.2、信息资产及设备购置方法
- 网络安全与信息化管理部门购买信息资产设备前,需提出购买申请,连同用款计划,经单位负责人及财务负责人批准后方可购买。
- 资产设备采购,必须与供货商签订购销合同;购物清单须注明信息资产名称、规格等,加盖供货单位公章。
- 大型项目采购或大型资产设备采购,需求部负责人需申请召开临时信息技术治理委员会,经信息技术治理委员会开会讨论同意后,方可购买(保留会议记录)。
- 大型项目采购或大型资产设备采购项目,必须进行招标,由单位信息系统招标小组负责评标及商务谈判。
- 供应商选择依据单位供应商管理办法执行。每次招标活动,投标人原则上不得少于3家;个别项目由于指定供应商或者供应商较少等因素导致投标人少于3家的,会同招标小组成员共同组织商务谈判,并报请单位领导批准
- 为提高工作效率,避免重复招标,6个月内已组织相同项目招标的,可参照上次招标结果直接选择供应商
- 需求部门负责招(邀)标书的编制、发放、收缴;牵头根据相应的招标流程组织评标活动;负责合同的签订,监督合同的履行及项目验收工作;做好相关文档的档案管理工作
- 资产设备选型应符合经济原则及未来业务发展需求。
- 重要资产设备应选择行业主流品牌,安全资产设备应具有公安部安全认证。
- 重要资产设备采购商应具备集成资质三级或以上要求。
- 验收资产设备必须核对资产设备规格、型号、数目及软件和文字资料,并进行质量检验。核对无误,验收合格后,方可签字并办理有关手续。
2.3、信息资产及设备登记管理
- 应与服务提供商签订服务保障协议。
- 必须对资产设备进行编码,并把资产设备的型号、用途、配置等信息进行统一记录。
2.4、信息资产及设备标识管理
2.4.1、信息资产标注原则
对不同安全类别的信息进行明确的标识,有助于内部相关人员依照有关信息安全规章制度进行具体操作和处理,从而最大限度地降低人为的误操作带来安全隐患的概率。
- 所有信息资产安全分类标识必须正确反映该信息的安全防护级别,信息安全工作小组对信息安全分类有最终决定权。
- 对所有的信息安全分类标识,由信息安全工作小组作定期更新维护。
- 电子格式的数据和文档采用电子方式进行分类标识。其他形式的资产采用贴标签的方式对信息进行分类标识。
2.4.2、信息资产标注方法
- 电子信息
- 电子格式的数据和文档采用电子方式进行分类标识。标识分为“工作秘密、内部公开、外部公开”三个类别。
- 对于电子文档,应在文档的页眉、页脚、或封面开始部分的醒目处进行标识。
- 其他电子信息,如配置信息、备份数据等,如果可以采用电子方式进行标识,则采用电子方式进行标识。
- 对于技术手段上不能进行标识的电子信息,可以在文件名称上加上密级标识,或者采用对信息载体进行物理标签标识等其他方法。
- 如果文档是由已经标识好的电子文档打印出来的,则不需要再做任何标识。
- 物理资产
- 采用贴物理标签的方式对信息进行分类标识。
2.4.3、信息资产标注内容
信息资产分类标识必须包括并不仅限于下列信息:
- 简单描述或内部编号
- 安全类别/重要程度
- 资产管理员
2.4.4、信息资产的识别与汇总
通过业务流程分析,识别各个流程的各类关键信息资产,最终由网络安全与信息化管理部门汇总《信息资产清单》,并每半年进行一次更新,确保重要信息资产的完备性(重要信息资产没有遗漏和缺失)和准确性(信息资产的保密级别和重要程度能够真实反映信息资产的状态)。
2.5、信息资产及设备维护管理
- 网络安全与信息化管理部门负责机房资产设备的安全保卫工作。
- 机房所使用的资产设备均应在质保期内,超过质保期后必须续保。
- 未经网络安全与信息化管理部门负责人许可,任何人不得擅自移动、拆卸机房内各种资产设备。
- 经技术部负责人批准后,资产设备进出必须填写《机房资产设备进出登记表》。
- 应有资产设备服务商准确详细联系方式,并保留资产设备维修维护记录。
2.6、信息资产及设备报废管理
- 达到报废条件的资产设备,按照单位相关规定进行处理。
- 废旧资产设备须作记录,并报财务报作固定资产报废处理。
2.7、信息资产及设备使用规范
2.7.1、硬件资产的使用规范
- 所有的硬件资产必须明确设备的使用人员/管理人员,明确职责。
- 硬件资产的使用人(或管理人),在使用或管理硬件资产时,要注意硬件资产的安全性、机密性、完整性,防止信息载体的毁坏和信息的泄密,防止信息处理设施的滥用。
- 对设备定期进行维护保养,发生毁坏,丢失等问题时能够及时处置。
- 新硬件设备接入网络按照相关规定处理。
- 当设备迁移时,如果设备中存储有重要信息时需事先进行备份;
- 设备迁移完成后,需要检查设备是否损坏;
- 设备迁移出XXXXX单位时,检查人员在检查时要格外注意,禁止设备中存放重要信息,以防止XXXXX单位机密信息泄露或泄露的风险增加。
- 离开XXXXX单位的设备和介质,如客户现场的设备和介质需要有人值守或委派负责人(或者公共场所放置的需要有人值守或监视系统)。
- 在旅行时便携式计算机(笔记本电脑)要作为手提行李携带,若可能宜伪装起来;
- 制造商保护设备用的说明书要始终加以遵守,例如,防止暴露于强电磁场内;
2.7.2、软件资产的使用规范
- 所有的软件资产必须设置专人管理,明确职责,避免软件资产的丢失,泄密。
- 所有正版软件实体由网络安全与信息化管理部门保管,在安装软件时要规定使用权限,防止非授权访问。
- 应对外包开发系统软件的源代码进行备份。
- 对XXXXX单位重要系统进行备份。
- 当人员离职或岗位变动,需要回收有关的软件,必要时,由网络安全与信息化管理部门人员对离职人员使用的软件进行卸载,删除。
2.7.3、电子数据的使用规范
- 对所有电子数据进行分类/分级,标识未授权人员的访问限制,不同安全级别的数据应存储在不同的区域,按类按级传达,便于信息的安全管理。
- 不同类型的电子文件按照统一规律存放在个人电脑或服务器中,便于整理和查阅以及工作交接时转移。
- 所有电子文件保存在电脑或服务器中,并按照规定的备份频率定期进行备份。
- 对于存于服务器上的电子数据的访问,会根据服务器提供服务的不同与部门/职务的不同,设备不同的访问权限,减少非受权的访问。
- 对于工作秘密级别的电子信息,要由专人管理,存放在受权限控制的路径下。
- 对于内部公开级别的电子信息,其使用要控制在XXXXX单位内部,禁止带出XXXXX单位。
2.7.4、实体信息的使用规范
- 所有的工作秘密级的实体信息资料要(通过标签或其它方式)标识出资产的保密级别,分类存放,不同安全级别的实体信息应按类按级传达,便于实体信息的安全管理。
- 对于比较重要的工作秘密实体信息必要时保存在带锁的柜子或保险柜子中,柜子钥匙由专人保管。
- 对于实体信息的保存期限依据备份相关制度进行实施。
- 对于比较重要的实体信息的使用过程,应注意信息的保密,确保信息的完整性和可用性;
- 对于比较重要的实体信息的传输,应采取适当的安全措施加以保护,如专人递送、分散传输等。
3、附则
本管理制度由XXXXX单位负责解释,自发布之日起实施。
4、附录和附件
附件1:信息资产清单
信息资产清单
资产编码 | 资产名称 | 资产类别 | 在用部门 | IP地址 | 重要程度 | 责任人 | 用途 |
附件2:信息资产转移单
信息系统资产转移单
转出部门 | 转入部门 | 转移日期 | 接收人 | 资产状态 |