資產(chǎn)安全管理制度

1、XXXX資產(chǎn)安全管理制度2017年12月目錄1 總則31.1 目的3.1.2 范圍3.2 規(guī)范性引用文件33 職責33.1 信息技術(shù)科3.3.3 其他各科室3.4術(shù)語與定義34.1 信息3.4.2 資產(chǎn)3.5管理內(nèi)容和方法41.1 資產(chǎn)清單4.1.2 資產(chǎn)管理4.1.3 信息資產(chǎn)的存放和使用 5.1.4 信息資產(chǎn)分類6.1.5 信息的標識及處置 7.1.6 資產(chǎn)轉(zhuǎn)移 8.1.7 資產(chǎn)數(shù)據(jù)安全管理8.6 附則87 附表8第9頁共13頁1總則1.1 目的為了規(guī)范XXXX刖絡(luò)與信息系統(tǒng)的信息資產(chǎn)管理，明確各種崗位的信息資產(chǎn) 管理職責，方便在XXXX泗部推廣和執(zhí)行信息資產(chǎn)的管理和使用要求， 特制訂本

2、制度。本細則描述了 XXXXXW息技術(shù)科在信息資產(chǎn)管理方面的職責、管理內(nèi)容和管 理方法。1.2 范圍本細則適用于XXXXXW息技術(shù)科所有信息資產(chǎn)的管理。2規(guī)范性引用文件GB/T 22081-2008/ISO/IEC 27002:2005信息技術(shù)安全技術(shù)信息安全管理 實用規(guī)則3職責3.1 信息技術(shù)科1、負責所有信息資產(chǎn)的管理工作。2、負責制作和維護所管轄系統(tǒng)的信息資產(chǎn)管理清單。3、負責審核各個科室的信息資產(chǎn)變更。4、定期對信息資產(chǎn)進行清查盤點。3.3其他各科室1、負責維護本科室的信息資產(chǎn)清單。2、負責審核本科室信息資產(chǎn)的變更管理。3、協(xié)助信息技術(shù)科進行信息資產(chǎn)清點工作。4術(shù)語與定義4.1 信息對

3、組織具有重要價值，可以通過媒體傳遞和存儲的一種資產(chǎn)。4.2 資產(chǎn)本程序所稱的資產(chǎn)指是指 XXXXXS生產(chǎn)、經(jīng)營和管理過程中，所需要的以 及所產(chǎn)生的，用以支持（或指導(dǎo)、或影響）連州市人民法院生產(chǎn)、經(jīng)營和管理 的一切有用的數(shù)據(jù)和資料等非財務(wù)的無形資產(chǎn)，具范圍包括現(xiàn)在的和歷史的。5管理內(nèi)容和方法5.1 資產(chǎn)清單5.1.1資產(chǎn)清單可幫助確保有效的資產(chǎn)保護，編制一份完整的資產(chǎn)清單是風 險管理的一個重要的先決條件。連州市人民法院信息技術(shù)科應(yīng)制定和維護所管轄 的資產(chǎn)清單，清單中應(yīng)包括如下與信息系統(tǒng)相關(guān)的資產(chǎn)：1、信息資產(chǎn)：數(shù)據(jù)庫和數(shù)據(jù)文件、合同和協(xié)議、系統(tǒng)文件、研究信息、用戶手冊、培訓材料、操作或支持程序、

4、業(yè)務(wù)連續(xù)性計劃、應(yīng)變安排(fallbackarrangement ) 、審核跟蹤記錄(audit trails ) 、歸檔信息；2、軟件資產(chǎn)：應(yīng)用軟件、系統(tǒng)軟件、開發(fā)工具和實用程序；3、物理資產(chǎn)：計算機設(shè)備、通信設(shè)備、可移動介質(zhì)和其他設(shè)備；4、服務(wù)：計算和通信服務(wù)、公用設(shè)施，例如，供暖，照明，能源，空調(diào)；5、人員：與信息安全相關(guān)的重要人員，如信息系統(tǒng)管理崗位人員、應(yīng)用集 成崗位人員、局域網(wǎng)及終端管理崗位人員、數(shù)據(jù)管理崗位人員、資產(chǎn)管理崗位人員等。6、無形資產(chǎn)：如組織的聲譽和形象、商標、知識產(chǎn)權(quán)等。5.1.2資產(chǎn)清單中應(yīng)包括資產(chǎn)責任科室、責任人、重要程度、所處位置、安 全分類、保存方式、使用方法

5、等內(nèi)容。5.2 資產(chǎn)管理5.2.1 資產(chǎn)責任人XXXXX在資產(chǎn)管理過程中，應(yīng)將一組資產(chǎn)指派給一個責任人，與信息處 理設(shè)施有關(guān)的所有信息和資產(chǎn)應(yīng)由組織的指定科室或人員承擔責任，資產(chǎn)責任 人應(yīng)負責：1、確保與信息處理設(shè)施相關(guān)的信息和資產(chǎn)進行了適當?shù)姆诸悾?、確定并周期性評審訪問限制和分類，要考慮到可應(yīng)用的訪問控制策略。5.2.2 新資產(chǎn)必須進行入庫登記接收，明確資產(chǎn)接收人、責任人、時間等 信息；5.2.3 資產(chǎn)應(yīng)明確其所有者、管理者及使用者三類角色，對于每一個資產(chǎn)必 須有且僅有一個所有者角色，同時必須有且僅有一個管理者角色。5.2.5 任何對網(wǎng)絡(luò)與資產(chǎn)的變更、訪問應(yīng)在獲得資產(chǎn)責任人的批準后進行。5

6、.2.6 所有需要接入連州市人民法院信息網(wǎng)絡(luò)的設(shè)備，應(yīng)經(jīng)信息技術(shù)科審核、 備案。5.2.7 隨機資料、軟件等應(yīng)由使用者或資產(chǎn)責任人妥善保管，重要的專用驅(qū) 動程序應(yīng)有備份。5.2.8 連州市人民法院信息技術(shù)科應(yīng)定期對資產(chǎn)進行清查盤點，確保資產(chǎn)帳 物相符和完好無損。5.2.9 資產(chǎn)的報廢應(yīng)由使用科室提出書面申請，信息技術(shù)科根據(jù)資產(chǎn)的使用 情況進行審核，提出資產(chǎn)報廢清單，按固定資產(chǎn)報廢程序辦理。5.3 信息資產(chǎn)的存放和使用5.3.1 信息資產(chǎn)的存放應(yīng)立足于管理和安全的考慮，為了便于保管、提取、查詢，信息資產(chǎn)應(yīng)盡量以電子介質(zhì)的形式存儲，因此，對于存儲在紙介質(zhì)等其他非結(jié)構(gòu)化的信息資產(chǎn)，如果技術(shù)上允許并且

7、有必要的話，應(yīng)及時進行適當?shù)奶幚恚?轉(zhuǎn)換為結(jié)構(gòu)化的電子信息，并以電子介質(zhì)的形式存儲。資產(chǎn)具體存放形式參見（附 件1）信息資產(chǎn)的存放形式表。5.3.2 信息資產(chǎn)的存儲介質(zhì)存放的地點要求如下：1、對于對外公開信息，存放地點沒有要求。2、對于對內(nèi)公開信息，如果是結(jié)構(gòu)化的電子信息，應(yīng)存放在內(nèi)部服務(wù)網(wǎng)絡(luò)中的文件服務(wù)器等；如果是非結(jié)構(gòu)化的其他信息，應(yīng)存放在室內(nèi)文件柜中，并有明顯的分類標識。3、對于秘密信息，如果是結(jié)構(gòu)化的電子信息，應(yīng)存放在有嚴格管理制度、 具有足夠的安全防護措施的機房環(huán)境中的相關(guān)服務(wù)器和存儲設(shè)備上；如果是非結(jié)構(gòu)化的其他信息，應(yīng)存放在室內(nèi)具有較強防盜竊能力的文件柜中，并造冊登記， 分項存放。

8、4、對于機密信息，如果是聯(lián)機存儲的結(jié)構(gòu)化電子信息，應(yīng)存放在有嚴格管 理制度、具有高強度的安全防護措施的機房環(huán)境中的相關(guān)服務(wù)器和存儲設(shè)備上； 如果是脫機存儲的結(jié)構(gòu)化電子信息， 以及非結(jié)構(gòu)化的其他信息，應(yīng)存放在具有嚴 格保安措施的、專門的保管環(huán)境中（如機要室等），并造冊登記，分項存放。5.3.3 信息資產(chǎn)的存儲介質(zhì)使用控制要求如下：1、對于對外公開信息，介質(zhì)使用沒有限制要求，任何人在任何場合均可以 使用。2、對于對內(nèi)公開信息，對于存儲在電子介質(zhì)上的信息，必須通過內(nèi)部網(wǎng)絡(luò)， 以注冊的合法身份，登錄訪問和下載使用；對于非結(jié)構(gòu)化的其他信息，經(jīng)介質(zhì)保 存科室同意，可以提取存儲信息的介質(zhì)使用，使用完畢放回原

9、處。3、對于秘密信息，對于存儲在電子介質(zhì)上的信息，原則上要求聯(lián)機使用， 信息只能通過應(yīng)用系統(tǒng)專用界面使用，使用者必須具有足夠的使用權(quán)限；秘密信 息的脫機提取或抄錄，必須有相關(guān)領(lǐng)導(dǎo)的書面批準意見， 其提取或抄錄的相關(guān)細 節(jié)必須記錄在案，使用者必須對其提取或抄錄秘密信息的安全保密負責；對于非結(jié)構(gòu)化信息的使用，必須符合秘密級文件的相關(guān)使用規(guī)定，信息的提取或抄錄必 須有相關(guān)領(lǐng)導(dǎo)的書面批準意見，其相關(guān)細節(jié)必須記錄在案，使用者必須對其提取 或抄錄秘密信息的安全保密負責。4、對于機密信息，對于存儲在電子介質(zhì)上的信息，必須聯(lián)機使用，信息只 能通過應(yīng)用系統(tǒng)專用界面使用，使用者必須具有足夠的使用權(quán)限；機密信息絕對

10、 禁止的脫機提取，特殊信息的抄錄，必須有相關(guān)領(lǐng)導(dǎo)及保密人員的書面批準意見， 抄錄的過程及內(nèi)容必須有保密人員現(xiàn)場監(jiān)督檢查，抄錄的相關(guān)細節(jié)必須記錄在 案，使用者必須對其抄錄的機密信息的安全保密負責；對于非結(jié)構(gòu)化信息的使用， 必須符合機密級文件的相關(guān)使用規(guī)定，特殊信息的抄錄必須有相關(guān)領(lǐng)導(dǎo)及保密人 員的書面批準意見，其相關(guān)細節(jié)必須記錄在案，使用者必須對其提取或抄錄秘密 信息的安全保密負責。5.4 信息資產(chǎn)分類5.4.1 按照信息資產(chǎn)管理的相關(guān)標準和信息資產(chǎn)的表現(xiàn)形式， 信息資產(chǎn)包括:(1)單位的域名、網(wǎng)絡(luò)拓撲結(jié)構(gòu)、網(wǎng)絡(luò)IP地址及分配規(guī)則、企業(yè)標準編 碼。(2)單位投資開發(fā)的(或具有獨立知識產(chǎn)權(quán)的)程序

11、軟件的源代碼、支持 程序軟件、外購軟件的使用許可證記錄、系統(tǒng)平臺基礎(chǔ)數(shù)據(jù)等。(3)系統(tǒng)配置數(shù)據(jù)、系統(tǒng)授權(quán)信息、口令文件、密鑰及算法文件、系統(tǒng)說 明文檔、用戶手冊等系統(tǒng)基礎(chǔ)數(shù)據(jù)。(4)各類系統(tǒng)的應(yīng)用數(shù)據(jù)庫及數(shù)據(jù)文件、業(yè)務(wù)報表等系統(tǒng)業(yè)務(wù)數(shù)據(jù)。(5)各類系統(tǒng)的運行方案、運行記錄、變更記錄等系統(tǒng)運行數(shù)據(jù)以及應(yīng)急計劃(6)各類的規(guī)劃、方案與策略、業(yè)務(wù)流程、業(yè)務(wù)規(guī)范、操作規(guī)程等管理數(shù)(7)技術(shù)圖紙、技術(shù)文檔、工程資料等項目數(shù)據(jù)。(8)其他紙介質(zhì)的重要辦公文件(信件)、圖像、影像、錄音和照片等非 結(jié)構(gòu)化辦公資料。(9)單個員工擁有的專家技能和經(jīng)驗等隱性數(shù)據(jù)。5.4.2 信息資產(chǎn)具有不同的敏感度和重要性，應(yīng)從

12、其機密性、完整性和可用 性等屬性對其進行分級，反映不同的保護要求、優(yōu)先級和程度。連州市人民法院信息資產(chǎn)按信息的敏感度分類為機密信息、秘密信息、對內(nèi)公開信息、 對外公開 信息。信息資產(chǎn)安全分類見附件 2信息資產(chǎn)安全分類表5.5 信息的標識及處置XXXXX勺信息系統(tǒng)應(yīng)在物理或邏輯標簽中標明其資產(chǎn)分級。5.5.1 應(yīng)根據(jù)品牌型號、設(shè)備流水號、設(shè)備名稱、設(shè)備序列號、設(shè)備責任人、 使用單位、資產(chǎn)編碼等制定資產(chǎn)標簽，并把標簽貼在相應(yīng)的信息資產(chǎn)上；5.5.2 應(yīng)明確信息處于不同載體的標注方法。信息的密級必須被明確標注。根據(jù)存儲和輸出方式的不同，可以采用物理標簽、電子標記等方法。5.5.3 XXXXX的客戶或

13、第三方在制作連州市人民法院的信息資產(chǎn)標識時，應(yīng) 遵循連州市人民法院統(tǒng)一的計算機和服務(wù)器標識定義及保密法有關(guān)規(guī)定要求。5.5.4 XXXXX的客戶或第三方在對連州市人民法院的信息資產(chǎn)標識時，應(yīng)遵 循連州市人民法院統(tǒng)一的標識定義。5.5.5 XXXXX不同分級的信息在處置過程中應(yīng)采取不同的控制和保護措施, 對實物形式和電子形式信息資產(chǎn)的信息處置活動包括如下類型：1、復(fù)制；2、存儲；3、通過郵寄、傳真或電子郵件等方式進行傳輸；4、通過口頭對話方式進行傳播，包括電話、語音郵件、應(yīng)答設(shè)備等；5、銷毀。1.1.6 XXXXXL密信息的處置要得到連州市人民法院主管領(lǐng)導(dǎo)的批準，并報信息技術(shù)科備案審核。1.1.

14、7 處置信息類資產(chǎn)信息時，須在連州市人民法院內(nèi)部的專門處置場所， 設(shè)置特殊的處置柜存放；含連州市人民法院機密信息的紙件不得重復(fù)使用，紙 質(zhì)文件要通過專門設(shè)備徹底粉碎；電子文件要使用專門的清除軟件安全清除； 存儲介質(zhì)需要可靠地擦除或物理上徹底銷毀。5.6 資產(chǎn)轉(zhuǎn)移在未經(jīng)設(shè)備管理責任科室領(lǐng)導(dǎo)審批的情況下，不得讓信息設(shè)備離開辦公場 所。對于有權(quán)允許移動信息設(shè)備，應(yīng)設(shè)置信息設(shè)備移動的時間限制，明確對資 產(chǎn)的轉(zhuǎn)移、外出等進行跟蹤管理，并在返還時進行一致性檢查，并對設(shè)備做移 出記錄和送回記錄的管理。為了防止未授權(quán)的信息設(shè)備移動，進出時由信息技術(shù)科進行抽查，以檢測 未授權(quán)的信息設(shè)備進出。這樣的抽查應(yīng)按照相關(guān)

15、規(guī)章制度執(zhí)行，并告知局所有 員工此種抽查制度。5.7 資產(chǎn)數(shù)據(jù)安全管理1、應(yīng)采取措施確保系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸過程中 得到完整性檢驗與保護。2、應(yīng)采取措施確保系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸過程中 得到保密保護。3、應(yīng)采取措施對關(guān)鍵數(shù)據(jù)得到及時備份，確保數(shù)據(jù)的可恢復(fù)性。4、應(yīng)建立規(guī)范的資產(chǎn)銷毀流程，確保資產(chǎn)銷毀過程中信息的備份回收， 并 做好銷毀記錄（填寫資產(chǎn)銷毀記錄表，見附件3）,確保信息的保密、防止 信息泄露。6附則1、本細則自批準發(fā)文之日起生效。2、本細則由連州市人民法院信息技術(shù)科負責解釋。7附表附件2信息資產(chǎn)安全分類表定義 類別信息資產(chǎn)名稱存儲方式存儲介質(zhì)

16、1單位的域名無無1網(wǎng)絡(luò)拓撲結(jié)構(gòu)脫機電子介質(zhì)1網(wǎng)絡(luò)IP地址及分配規(guī)則脫機電子介質(zhì)1企業(yè)標準編碼脫機電子介質(zhì)或紙勿、質(zhì)2程序軟件的源代碼脫機電子介質(zhì)2支持程序軟件脫機電子介質(zhì)2外購軟件的使用許可證記錄脫機紙介質(zhì)2系統(tǒng)平臺基礎(chǔ)數(shù)據(jù)聯(lián)機電子介質(zhì)3系統(tǒng)配置數(shù)據(jù)脫機電子介質(zhì)或紙勿、質(zhì)3系統(tǒng)授權(quán)信息脫機電子介質(zhì)或紙勿、質(zhì)3口令文件脫機電子介質(zhì)或紙勿、質(zhì)3密鑰及算法文件脫機電子介質(zhì)3系統(tǒng)說明文檔、用戶手冊脫機紙介質(zhì)4各類系統(tǒng)的應(yīng)用數(shù)據(jù)庫及數(shù)據(jù)文件、業(yè) 務(wù)報表等聯(lián)機電子介質(zhì)5各類系統(tǒng)的運行日志聯(lián)機電子介質(zhì)或紙勿、質(zhì)5客戶服務(wù)記錄聯(lián)機電子介質(zhì)6企業(yè)各類規(guī)劃、方案與策略脫機電子介質(zhì)或紙勿、質(zhì)6的業(yè)務(wù)流程、業(yè)務(wù)規(guī)范、

17、操作規(guī)程脫機電子介質(zhì)或紙勿、質(zhì)7技術(shù)圖紙、技術(shù)文檔、工程資料聯(lián)機電子介質(zhì)或紙勿、質(zhì)8其他紙介質(zhì)辦公文件（信件）、圖象、 影象、錄音和照片等非結(jié)構(gòu)化辦公資料脫機按實際需要選擇的各種介質(zhì)9單個員工擁有的專家技能和經(jīng)驗等無無定義 類別信息資產(chǎn)名稱信息資產(chǎn)分類1單位的域名對外公開信息1網(wǎng)絡(luò)拓撲結(jié)構(gòu)秘密信息1網(wǎng)絡(luò)IP地址及分配規(guī)則秘密信息1企業(yè)標準編碼對內(nèi)公開信息2程序軟件的源代碼秘密信息2支持程序軟件對內(nèi)公開信息2外購軟件的使用許可證對內(nèi)公開信息2系統(tǒng)平臺基礎(chǔ)數(shù)據(jù)秘密信息3系統(tǒng)配置數(shù)據(jù)秘密信息3系統(tǒng)授權(quán)信息秘密信息3口令文件機密信息3密鑰及算法文件機密信息3系統(tǒng)說明文檔、用戶手冊對內(nèi)公開信息4系統(tǒng)應(yīng)用數(shù)據(jù)庫及數(shù)據(jù)文件、業(yè)務(wù)報表等秘密信息