資產(chǎn)安全管理制度

1、XXXX資產(chǎn)安全管理制度2017年12月目錄1 總則31.1 目的3.1.2 范圍3.2 規(guī)范性引用文件33 職責(zé)33.1 信息技術(shù)科3.3.3 其他各科室3.4術(shù)語(yǔ)與定義34.1 信息3.4.2 資產(chǎn)3.5管理內(nèi)容和方法41.1 資產(chǎn)清單4.1.2 資產(chǎn)管理4.1.3 信息資產(chǎn)的存放和使用 5.1.4 信息資產(chǎn)分類6.1.5 信息的標(biāo)識(shí)及處置 7.1.6 資產(chǎn)轉(zhuǎn)移 8.1.7 資產(chǎn)數(shù)據(jù)安全管理8.6 附則87 附表8第9頁(yè)共13頁(yè)1總則1.1 目的為了規(guī)范XXXX刖絡(luò)與信息系統(tǒng)的信息資產(chǎn)管理，明確各種崗位的信息資產(chǎn) 管理職責(zé)，方便在XXXX泗部推廣和執(zhí)行信息資產(chǎn)的管理和使用要求， 特制訂本

2、制度。本細(xì)則描述了 XXXXXW息技術(shù)科在信息資產(chǎn)管理方面的職責(zé)、管理內(nèi)容和管 理方法。1.2 范圍本細(xì)則適用于XXXXXW息技術(shù)科所有信息資產(chǎn)的管理。2規(guī)范性引用文件GB/T 22081-2008/ISO/IEC 27002:2005信息技術(shù)安全技術(shù)信息安全管理 實(shí)用規(guī)則3職責(zé)3.1 信息技術(shù)科1、負(fù)責(zé)所有信息資產(chǎn)的管理工作。2、負(fù)責(zé)制作和維護(hù)所管轄系統(tǒng)的信息資產(chǎn)管理清單。3、負(fù)責(zé)審核各個(gè)科室的信息資產(chǎn)變更。4、定期對(duì)信息資產(chǎn)進(jìn)行清查盤點(diǎn)。3.3其他各科室1、負(fù)責(zé)維護(hù)本科室的信息資產(chǎn)清單。2、負(fù)責(zé)審核本科室信息資產(chǎn)的變更管理。3、協(xié)助信息技術(shù)科進(jìn)行信息資產(chǎn)清點(diǎn)工作。4術(shù)語(yǔ)與定義4.1 信息對(duì)

3、組織具有重要價(jià)值，可以通過(guò)媒體傳遞和存儲(chǔ)的一種資產(chǎn)。4.2 資產(chǎn)本程序所稱的資產(chǎn)指是指 XXXXXS生產(chǎn)、經(jīng)營(yíng)和管理過(guò)程中，所需要的以 及所產(chǎn)生的，用以支持（或指導(dǎo)、或影響）連州市人民法院生產(chǎn)、經(jīng)營(yíng)和管理 的一切有用的數(shù)據(jù)和資料等非財(cái)務(wù)的無(wú)形資產(chǎn)，具范圍包括現(xiàn)在的和歷史的。5管理內(nèi)容和方法5.1 資產(chǎn)清單5.1.1資產(chǎn)清單可幫助確保有效的資產(chǎn)保護(hù)，編制一份完整的資產(chǎn)清單是風(fēng) 險(xiǎn)管理的一個(gè)重要的先決條件。連州市人民法院信息技術(shù)科應(yīng)制定和維護(hù)所管轄 的資產(chǎn)清單，清單中應(yīng)包括如下與信息系統(tǒng)相關(guān)的資產(chǎn)：1、信息資產(chǎn)：數(shù)據(jù)庫(kù)和數(shù)據(jù)文件、合同和協(xié)議、系統(tǒng)文件、研究信息、用戶手冊(cè)、培訓(xùn)材料、操作或支持程序、

4、業(yè)務(wù)連續(xù)性計(jì)劃、應(yīng)變安排(fallbackarrangement ) 、審核跟蹤記錄(audit trails ) 、歸檔信息；2、軟件資產(chǎn)：應(yīng)用軟件、系統(tǒng)軟件、開(kāi)發(fā)工具和實(shí)用程序；3、物理資產(chǎn)：計(jì)算機(jī)設(shè)備、通信設(shè)備、可移動(dòng)介質(zhì)和其他設(shè)備；4、服務(wù)：計(jì)算和通信服務(wù)、公用設(shè)施，例如，供暖，照明，能源，空調(diào)；5、人員：與信息安全相關(guān)的重要人員，如信息系統(tǒng)管理崗位人員、應(yīng)用集 成崗位人員、局域網(wǎng)及終端管理崗位人員、數(shù)據(jù)管理崗位人員、資產(chǎn)管理崗位人員等。6、無(wú)形資產(chǎn)：如組織的聲譽(yù)和形象、商標(biāo)、知識(shí)產(chǎn)權(quán)等。5.1.2資產(chǎn)清單中應(yīng)包括資產(chǎn)責(zé)任科室、責(zé)任人、重要程度、所處位置、安 全分類、保存方式、使用方法

5、等內(nèi)容。5.2 資產(chǎn)管理5.2.1 資產(chǎn)責(zé)任人XXXXX在資產(chǎn)管理過(guò)程中，應(yīng)將一組資產(chǎn)指派給一個(gè)責(zé)任人，與信息處 理設(shè)施有關(guān)的所有信息和資產(chǎn)應(yīng)由組織的指定科室或人員承擔(dān)責(zé)任，資產(chǎn)責(zé)任 人應(yīng)負(fù)責(zé)：1、確保與信息處理設(shè)施相關(guān)的信息和資產(chǎn)進(jìn)行了適當(dāng)?shù)姆诸悾?、確定并周期性評(píng)審訪問(wèn)限制和分類，要考慮到可應(yīng)用的訪問(wèn)控制策略。5.2.2 新資產(chǎn)必須進(jìn)行入庫(kù)登記接收，明確資產(chǎn)接收人、責(zé)任人、時(shí)間等 信息；5.2.3 資產(chǎn)應(yīng)明確其所有者、管理者及使用者三類角色，對(duì)于每一個(gè)資產(chǎn)必 須有且僅有一個(gè)所有者角色，同時(shí)必須有且僅有一個(gè)管理者角色。5.2.5 任何對(duì)網(wǎng)絡(luò)與資產(chǎn)的變更、訪問(wèn)應(yīng)在獲得資產(chǎn)責(zé)任人的批準(zhǔn)后進(jìn)行。5

6、.2.6 所有需要接入連州市人民法院信息網(wǎng)絡(luò)的設(shè)備，應(yīng)經(jīng)信息技術(shù)科審核、 備案。5.2.7 隨機(jī)資料、軟件等應(yīng)由使用者或資產(chǎn)責(zé)任人妥善保管，重要的專用驅(qū) 動(dòng)程序應(yīng)有備份。5.2.8 連州市人民法院信息技術(shù)科應(yīng)定期對(duì)資產(chǎn)進(jìn)行清查盤點(diǎn)，確保資產(chǎn)帳 物相符和完好無(wú)損。5.2.9 資產(chǎn)的報(bào)廢應(yīng)由使用科室提出書面申請(qǐng)，信息技術(shù)科根據(jù)資產(chǎn)的使用 情況進(jìn)行審核，提出資產(chǎn)報(bào)廢清單，按固定資產(chǎn)報(bào)廢程序辦理。5.3 信息資產(chǎn)的存放和使用5.3.1 信息資產(chǎn)的存放應(yīng)立足于管理和安全的考慮，為了便于保管、提取、查詢，信息資產(chǎn)應(yīng)盡量以電子介質(zhì)的形式存儲(chǔ)，因此，對(duì)于存儲(chǔ)在紙介質(zhì)等其他非結(jié)構(gòu)化的信息資產(chǎn)，如果技術(shù)上允許并且

7、有必要的話，應(yīng)及時(shí)進(jìn)行適當(dāng)?shù)奶幚恚?轉(zhuǎn)換為結(jié)構(gòu)化的電子信息，并以電子介質(zhì)的形式存儲(chǔ)。資產(chǎn)具體存放形式參見(jiàn)（附 件1）信息資產(chǎn)的存放形式表。5.3.2 信息資產(chǎn)的存儲(chǔ)介質(zhì)存放的地點(diǎn)要求如下：1、對(duì)于對(duì)外公開(kāi)信息，存放地點(diǎn)沒(méi)有要求。2、對(duì)于對(duì)內(nèi)公開(kāi)信息，如果是結(jié)構(gòu)化的電子信息，應(yīng)存放在內(nèi)部服務(wù)網(wǎng)絡(luò)中的文件服務(wù)器等；如果是非結(jié)構(gòu)化的其他信息，應(yīng)存放在室內(nèi)文件柜中，并有明顯的分類標(biāo)識(shí)。3、對(duì)于秘密信息，如果是結(jié)構(gòu)化的電子信息，應(yīng)存放在有嚴(yán)格管理制度、 具有足夠的安全防護(hù)措施的機(jī)房環(huán)境中的相關(guān)服務(wù)器和存儲(chǔ)設(shè)備上；如果是非結(jié)構(gòu)化的其他信息，應(yīng)存放在室內(nèi)具有較強(qiáng)防盜竊能力的文件柜中，并造冊(cè)登記， 分項(xiàng)存放。

8、4、對(duì)于機(jī)密信息，如果是聯(lián)機(jī)存儲(chǔ)的結(jié)構(gòu)化電子信息，應(yīng)存放在有嚴(yán)格管 理制度、具有高強(qiáng)度的安全防護(hù)措施的機(jī)房環(huán)境中的相關(guān)服務(wù)器和存儲(chǔ)設(shè)備上； 如果是脫機(jī)存儲(chǔ)的結(jié)構(gòu)化電子信息， 以及非結(jié)構(gòu)化的其他信息，應(yīng)存放在具有嚴(yán) 格保安措施的、專門的保管環(huán)境中（如機(jī)要室等），并造冊(cè)登記，分項(xiàng)存放。5.3.3 信息資產(chǎn)的存儲(chǔ)介質(zhì)使用控制要求如下：1、對(duì)于對(duì)外公開(kāi)信息，介質(zhì)使用沒(méi)有限制要求，任何人在任何場(chǎng)合均可以 使用。2、對(duì)于對(duì)內(nèi)公開(kāi)信息，對(duì)于存儲(chǔ)在電子介質(zhì)上的信息，必須通過(guò)內(nèi)部網(wǎng)絡(luò)， 以注冊(cè)的合法身份，登錄訪問(wèn)和下載使用；對(duì)于非結(jié)構(gòu)化的其他信息，經(jīng)介質(zhì)保 存科室同意，可以提取存儲(chǔ)信息的介質(zhì)使用，使用完畢放回原

9、處。3、對(duì)于秘密信息，對(duì)于存儲(chǔ)在電子介質(zhì)上的信息，原則上要求聯(lián)機(jī)使用， 信息只能通過(guò)應(yīng)用系統(tǒng)專用界面使用，使用者必須具有足夠的使用權(quán)限；秘密信 息的脫機(jī)提取或抄錄，必須有相關(guān)領(lǐng)導(dǎo)的書面批準(zhǔn)意見(jiàn)， 其提取或抄錄的相關(guān)細(xì) 節(jié)必須記錄在案，使用者必須對(duì)其提取或抄錄秘密信息的安全保密負(fù)責(zé)；對(duì)于非結(jié)構(gòu)化信息的使用，必須符合秘密級(jí)文件的相關(guān)使用規(guī)定，信息的提取或抄錄必 須有相關(guān)領(lǐng)導(dǎo)的書面批準(zhǔn)意見(jiàn)，其相關(guān)細(xì)節(jié)必須記錄在案，使用者必須對(duì)其提取 或抄錄秘密信息的安全保密負(fù)責(zé)。4、對(duì)于機(jī)密信息，對(duì)于存儲(chǔ)在電子介質(zhì)上的信息，必須聯(lián)機(jī)使用，信息只 能通過(guò)應(yīng)用系統(tǒng)專用界面使用，使用者必須具有足夠的使用權(quán)限；機(jī)密信息絕對(duì)

10、 禁止的脫機(jī)提取，特殊信息的抄錄，必須有相關(guān)領(lǐng)導(dǎo)及保密人員的書面批準(zhǔn)意見(jiàn)， 抄錄的過(guò)程及內(nèi)容必須有保密人員現(xiàn)場(chǎng)監(jiān)督檢查，抄錄的相關(guān)細(xì)節(jié)必須記錄在 案，使用者必須對(duì)其抄錄的機(jī)密信息的安全保密負(fù)責(zé)；對(duì)于非結(jié)構(gòu)化信息的使用， 必須符合機(jī)密級(jí)文件的相關(guān)使用規(guī)定，特殊信息的抄錄必須有相關(guān)領(lǐng)導(dǎo)及保密人 員的書面批準(zhǔn)意見(jiàn)，其相關(guān)細(xì)節(jié)必須記錄在案，使用者必須對(duì)其提取或抄錄秘密 信息的安全保密負(fù)責(zé)。5.4 信息資產(chǎn)分類5.4.1 按照信息資產(chǎn)管理的相關(guān)標(biāo)準(zhǔn)和信息資產(chǎn)的表現(xiàn)形式， 信息資產(chǎn)包括:(1)單位的域名、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)IP地址及分配規(guī)則、企業(yè)標(biāo)準(zhǔn)編 碼。(2)單位投資開(kāi)發(fā)的(或具有獨(dú)立知識(shí)產(chǎn)權(quán)的)程序

11、軟件的源代碼、支持 程序軟件、外購(gòu)軟件的使用許可證記錄、系統(tǒng)平臺(tái)基礎(chǔ)數(shù)據(jù)等。(3)系統(tǒng)配置數(shù)據(jù)、系統(tǒng)授權(quán)信息、口令文件、密鑰及算法文件、系統(tǒng)說(shuō) 明文檔、用戶手冊(cè)等系統(tǒng)基礎(chǔ)數(shù)據(jù)。(4)各類系統(tǒng)的應(yīng)用數(shù)據(jù)庫(kù)及數(shù)據(jù)文件、業(yè)務(wù)報(bào)表等系統(tǒng)業(yè)務(wù)數(shù)據(jù)。(5)各類系統(tǒng)的運(yùn)行方案、運(yùn)行記錄、變更記錄等系統(tǒng)運(yùn)行數(shù)據(jù)以及應(yīng)急計(jì)劃(6)各類的規(guī)劃、方案與策略、業(yè)務(wù)流程、業(yè)務(wù)規(guī)范、操作規(guī)程等管理數(shù)(7)技術(shù)圖紙、技術(shù)文檔、工程資料等項(xiàng)目數(shù)據(jù)。(8)其他紙介質(zhì)的重要辦公文件(信件)、圖像、影像、錄音和照片等非 結(jié)構(gòu)化辦公資料。(9)單個(gè)員工擁有的專家技能和經(jīng)驗(yàn)等隱性數(shù)據(jù)。5.4.2 信息資產(chǎn)具有不同的敏感度和重要性，應(yīng)從

12、其機(jī)密性、完整性和可用 性等屬性對(duì)其進(jìn)行分級(jí)，反映不同的保護(hù)要求、優(yōu)先級(jí)和程度。連州市人民法院信息資產(chǎn)按信息的敏感度分類為機(jī)密信息、秘密信息、對(duì)內(nèi)公開(kāi)信息、 對(duì)外公開(kāi) 信息。信息資產(chǎn)安全分類見(jiàn)附件 2信息資產(chǎn)安全分類表5.5 信息的標(biāo)識(shí)及處置XXXXX勺信息系統(tǒng)應(yīng)在物理或邏輯標(biāo)簽中標(biāo)明其資產(chǎn)分級(jí)。5.5.1 應(yīng)根據(jù)品牌型號(hào)、設(shè)備流水號(hào)、設(shè)備名稱、設(shè)備序列號(hào)、設(shè)備責(zé)任人、 使用單位、資產(chǎn)編碼等制定資產(chǎn)標(biāo)簽，并把標(biāo)簽貼在相應(yīng)的信息資產(chǎn)上；5.5.2 應(yīng)明確信息處于不同載體的標(biāo)注方法。信息的密級(jí)必須被明確標(biāo)注。根據(jù)存儲(chǔ)和輸出方式的不同，可以采用物理標(biāo)簽、電子標(biāo)記等方法。5.5.3 XXXXX的客戶或

13、第三方在制作連州市人民法院的信息資產(chǎn)標(biāo)識(shí)時(shí)，應(yīng) 遵循連州市人民法院統(tǒng)一的計(jì)算機(jī)和服務(wù)器標(biāo)識(shí)定義及保密法有關(guān)規(guī)定要求。5.5.4 XXXXX的客戶或第三方在對(duì)連州市人民法院的信息資產(chǎn)標(biāo)識(shí)時(shí)，應(yīng)遵 循連州市人民法院統(tǒng)一的標(biāo)識(shí)定義。5.5.5 XXXXX不同分級(jí)的信息在處置過(guò)程中應(yīng)采取不同的控制和保護(hù)措施, 對(duì)實(shí)物形式和電子形式信息資產(chǎn)的信息處置活動(dòng)包括如下類型：1、復(fù)制；2、存儲(chǔ)；3、通過(guò)郵寄、傳真或電子郵件等方式進(jìn)行傳輸；4、通過(guò)口頭對(duì)話方式進(jìn)行傳播，包括電話、語(yǔ)音郵件、應(yīng)答設(shè)備等；5、銷毀。1.1.6 XXXXXL密信息的處置要得到連州市人民法院主管領(lǐng)導(dǎo)的批準(zhǔn)，并報(bào)信息技術(shù)科備案審核。1.1.

14、7 處置信息類資產(chǎn)信息時(shí)，須在連州市人民法院內(nèi)部的專門處置場(chǎng)所， 設(shè)置特殊的處置柜存放；含連州市人民法院機(jī)密信息的紙件不得重復(fù)使用，紙 質(zhì)文件要通過(guò)專門設(shè)備徹底粉碎；電子文件要使用專門的清除軟件安全清除； 存儲(chǔ)介質(zhì)需要可靠地擦除或物理上徹底銷毀。5.6 資產(chǎn)轉(zhuǎn)移在未經(jīng)設(shè)備管理責(zé)任科室領(lǐng)導(dǎo)審批的情況下，不得讓信息設(shè)備離開(kāi)辦公場(chǎng) 所。對(duì)于有權(quán)允許移動(dòng)信息設(shè)備，應(yīng)設(shè)置信息設(shè)備移動(dòng)的時(shí)間限制，明確對(duì)資 產(chǎn)的轉(zhuǎn)移、外出等進(jìn)行跟蹤管理，并在返還時(shí)進(jìn)行一致性檢查，并對(duì)設(shè)備做移 出記錄和送回記錄的管理。為了防止未授權(quán)的信息設(shè)備移動(dòng)，進(jìn)出時(shí)由信息技術(shù)科進(jìn)行抽查，以檢測(cè) 未授權(quán)的信息設(shè)備進(jìn)出。這樣的抽查應(yīng)按照相關(guān)

15、規(guī)章制度執(zhí)行，并告知局所有 員工此種抽查制度。5.7 資產(chǎn)數(shù)據(jù)安全管理1、應(yīng)采取措施確保系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸過(guò)程中 得到完整性檢驗(yàn)與保護(hù)。2、應(yīng)采取措施確保系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸過(guò)程中 得到保密保護(hù)。3、應(yīng)采取措施對(duì)關(guān)鍵數(shù)據(jù)得到及時(shí)備份，確保數(shù)據(jù)的可恢復(fù)性。4、應(yīng)建立規(guī)范的資產(chǎn)銷毀流程，確保資產(chǎn)銷毀過(guò)程中信息的備份回收， 并 做好銷毀記錄（填寫資產(chǎn)銷毀記錄表，見(jiàn)附件3）,確保信息的保密、防止 信息泄露。6附則1、本細(xì)則自批準(zhǔn)發(fā)文之日起生效。2、本細(xì)則由連州市人民法院信息技術(shù)科負(fù)責(zé)解釋。7附表附件2信息資產(chǎn)安全分類表定義 類別信息資產(chǎn)名稱存儲(chǔ)方式存儲(chǔ)介質(zhì)

16、1單位的域名無(wú)無(wú)1網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)脫機(jī)電子介質(zhì)1網(wǎng)絡(luò)IP地址及分配規(guī)則脫機(jī)電子介質(zhì)1企業(yè)標(biāo)準(zhǔn)編碼脫機(jī)電子介質(zhì)或紙勿、質(zhì)2程序軟件的源代碼脫機(jī)電子介質(zhì)2支持程序軟件脫機(jī)電子介質(zhì)2外購(gòu)軟件的使用許可證記錄脫機(jī)紙介質(zhì)2系統(tǒng)平臺(tái)基礎(chǔ)數(shù)據(jù)聯(lián)機(jī)電子介質(zhì)3系統(tǒng)配置數(shù)據(jù)脫機(jī)電子介質(zhì)或紙勿、質(zhì)3系統(tǒng)授權(quán)信息脫機(jī)電子介質(zhì)或紙勿、質(zhì)3口令文件脫機(jī)電子介質(zhì)或紙勿、質(zhì)3密鑰及算法文件脫機(jī)電子介質(zhì)3系統(tǒng)說(shuō)明文檔、用戶手冊(cè)脫機(jī)紙介質(zhì)4各類系統(tǒng)的應(yīng)用數(shù)據(jù)庫(kù)及數(shù)據(jù)文件、業(yè) 務(wù)報(bào)表等聯(lián)機(jī)電子介質(zhì)5各類系統(tǒng)的運(yùn)行日志聯(lián)機(jī)電子介質(zhì)或紙勿、質(zhì)5客戶服務(wù)記錄聯(lián)機(jī)電子介質(zhì)6企業(yè)各類規(guī)劃、方案與策略脫機(jī)電子介質(zhì)或紙勿、質(zhì)6的業(yè)務(wù)流程、業(yè)務(wù)規(guī)范、

17、操作規(guī)程脫機(jī)電子介質(zhì)或紙勿、質(zhì)7技術(shù)圖紙、技術(shù)文檔、工程資料聯(lián)機(jī)電子介質(zhì)或紙勿、質(zhì)8其他紙介質(zhì)辦公文件（信件）、圖象、 影象、錄音和照片等非結(jié)構(gòu)化辦公資料脫機(jī)按實(shí)際需要選擇的各種介質(zhì)9單個(gè)員工擁有的專家技能和經(jīng)驗(yàn)等無(wú)無(wú)定義 類別信息資產(chǎn)名稱信息資產(chǎn)分類1單位的域名對(duì)外公開(kāi)信息1網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)秘密信息1網(wǎng)絡(luò)IP地址及分配規(guī)則秘密信息1企業(yè)標(biāo)準(zhǔn)編碼對(duì)內(nèi)公開(kāi)信息2程序軟件的源代碼秘密信息2支持程序軟件對(duì)內(nèi)公開(kāi)信息2外購(gòu)軟件的使用許可證對(duì)內(nèi)公開(kāi)信息2系統(tǒng)平臺(tái)基礎(chǔ)數(shù)據(jù)秘密信息3系統(tǒng)配置數(shù)據(jù)秘密信息3系統(tǒng)授權(quán)信息秘密信息3口令文件機(jī)密信息3密鑰及算法文件機(jī)密信息3系統(tǒng)說(shuō)明文檔、用戶手冊(cè)對(duì)內(nèi)公開(kāi)信息4系統(tǒng)應(yīng)用數(shù)據(jù)庫(kù)及數(shù)據(jù)文件、業(yè)務(wù)報(bào)表等秘密信息