信息資產(chǎn)安全管理規(guī)定

信息資產(chǎn)安全管理規(guī)定第一章總則第一條為規(guī)范科技發(fā)展部信息資產(chǎn)的分類分級管理，維護(hù)信息資產(chǎn)清單、明確信息資產(chǎn)管理責(zé)任以及對信息資產(chǎn)進(jìn)行標(biāo)識，確保信息資產(chǎn)得到適當(dāng)?shù)谋Ｗo(hù)，特制定本規(guī)定。第二條本規(guī)定適用于科技發(fā)展部職責(zé)范圍內(nèi)的所有信息資產(chǎn)以及信息資產(chǎn)管理的相關(guān)活動。第二章組織與職責(zé)第三條科技發(fā)展部風(fēng)險(xiǎn)管理組負(fù)責(zé)組織各部門對信息資產(chǎn)進(jìn)行識別、分類、分級、標(biāo)識和定期評審，建立并維護(hù)科技發(fā)展部整體信息資產(chǎn)清單，監(jiān)督各部門在信息資產(chǎn)安全管理方面的工作。第四條各部門安全組負(fù)責(zé)監(jiān)督和檢查本部門在信息資產(chǎn)安全管理方面的工作。第五條各部門負(fù)責(zé)對職責(zé)范圍內(nèi)的信息資產(chǎn)進(jìn)行識別，建立并維護(hù)本部門的信息資產(chǎn)清單，對信息資產(chǎn)進(jìn)行分類、分級和標(biāo)識；部門負(fù)責(zé)人作為本部門信息資產(chǎn)的第一責(zé)任人，負(fù)責(zé)對本部門信息資產(chǎn)的管理提出要求，落實(shí)部門內(nèi)員工對資產(chǎn)的管理要求，每年對照信息資產(chǎn)清單組織一次對本部門信息資產(chǎn)的核查以及對本部門信息資產(chǎn)管理活動的自查。第六條部門負(fù)責(zé)人作為本部門信息資產(chǎn)的第一責(zé)任人，負(fù)責(zé)落實(shí)本部門內(nèi)信息資產(chǎn)的直接責(zé)任人，信息資產(chǎn)的直接責(zé)任人負(fù)責(zé)對信息資產(chǎn)的生成、傳遞、使用和銷毀進(jìn)行管理。第七條全體員工作為各類信息資產(chǎn)的日常使用者，必須遵守本規(guī)定的要求，保護(hù)工作中所涉及的一切信息資產(chǎn)。第三章信息資產(chǎn)分類標(biāo)準(zhǔn)第八條信息資產(chǎn)按其形式的不同分為五大類：數(shù)據(jù)資產(chǎn)、實(shí)物資產(chǎn)、軟件資產(chǎn)、人員資產(chǎn)和服務(wù)資產(chǎn)（資產(chǎn)分類見附件二）。（一） 數(shù)據(jù)資產(chǎn)：包括電子和實(shí)物兩種形式的生產(chǎn)數(shù)據(jù)、配置文件、記錄、管理文件和商務(wù)文件以及外來數(shù)據(jù)和文檔等；（二） 實(shí)物資產(chǎn)：包括用于支撐IT服務(wù)的核心生產(chǎn)設(shè)備以及具有輔助功能的基礎(chǔ)環(huán)境設(shè)施和辦公設(shè)備等；（三） 軟件資產(chǎn)：包括生產(chǎn)和辦公所需的操作系統(tǒng)、數(shù)據(jù)庫、中間件、應(yīng)用軟件和工具軟件等；（四） 人員資產(chǎn)：承擔(dān)特定崗位相關(guān)責(zé)任的人員；（五） 服務(wù)資產(chǎn)：包括支撐生產(chǎn)和辦公的基礎(chǔ)性服務(wù)、網(wǎng)絡(luò)服務(wù)、設(shè)備維保服務(wù)、技術(shù)支持服務(wù)等。第四章信息資產(chǎn)分級標(biāo)準(zhǔn)第九條根據(jù)信息資產(chǎn)在保密性、完整性和可用性（CIA屬性）三個(gè)方面所表現(xiàn)出的重要程度，將信息資產(chǎn)的CIA屬性分別劃分為5個(gè)級別，從高到低依次賦值為5到1；信息資產(chǎn)價(jià)值由信息資產(chǎn)的CIA屬性綜合計(jì)算得到（計(jì)算公式詳見附件三）。第十條保密性。人員資產(chǎn)的保密性級別按照人員最高能夠訪問或存取的其他信息資產(chǎn)級別來定義；其他信息資產(chǎn)的保密性級別按照其泄露后對科技發(fā)展部的影響程度來定義（保密性分級標(biāo)準(zhǔn)詳見附件四）。第十一條完整性。人員資產(chǎn)的完整性級別按照人員未正確執(zhí)行其職務(wù)內(nèi)容時(shí)對科技發(fā)展部正常運(yùn)作的影響程度來定義；其他信息資產(chǎn)的完整性級別按照信息資產(chǎn)未經(jīng)授權(quán)的修改對科技發(fā)展部造成的影響程度來定義（完整性分級標(biāo)準(zhǔn)詳見附件五）。第十二條可用性。人員資產(chǎn)的可用性級別按照要維持科技發(fā)展部正常運(yùn)作能夠容忍該人員突然缺席的時(shí)間長短來定義；其他信息資產(chǎn)可用性級別按照合法使用者對其可用度的要求高低來定義（可用性分級標(biāo)準(zhǔn)詳見附件六）。第五章信息資產(chǎn)的保護(hù)第十三條各部門應(yīng)對信息資產(chǎn)進(jìn)行規(guī)范的命名。第十四條各部門應(yīng)對信息資產(chǎn)進(jìn)行分類、分級、標(biāo)識和記錄，形成信息資產(chǎn)清單；清單應(yīng)包括信息資產(chǎn)的類型、名稱、位置、CIA屬性、責(zé)任人等基本信息；信息資產(chǎn)清單應(yīng)每年進(jìn)行一次審核和更新。第十五條各部門應(yīng)根據(jù)信息資產(chǎn)的保密性級別對信息資產(chǎn)進(jìn)行必要的標(biāo)識（標(biāo)識規(guī)則詳見附件七）。第十六條全體員工必須遵守科技發(fā)展部信息資產(chǎn)的安全管理策略，基于信息資產(chǎn)在保密性、完整性和可用性的不同要求，采取必要的管理和技術(shù)手段，對信息資產(chǎn)進(jìn)行保護(hù)（保護(hù)策略詳見附件七）。第十七條全體員工應(yīng)在適當(dāng)?shù)膮^(qū)域內(nèi)進(jìn)行數(shù)據(jù)資產(chǎn)的流轉(zhuǎn)（流轉(zhuǎn)區(qū)域控制策略詳見附件八）。第十八條員工一旦發(fā)現(xiàn)違反信息資產(chǎn)保護(hù)策略以及數(shù)據(jù)和文檔流轉(zhuǎn)區(qū)域控制策略的情況，必須立即通知本部門負(fù)責(zé)人及科技發(fā)展部，提醒采取補(bǔ)救措施。第十九條科技發(fā)展部風(fēng)險(xiǎn)管理組應(yīng)每年組織各部門進(jìn)行一次信息資產(chǎn)的評審，根據(jù)業(yè)務(wù)變化對信息資產(chǎn)的CIA屬性進(jìn)行調(diào)整，確保其保持最新；當(dāng)CIA屬性發(fā)生變化后，必須按照新的屬性值對信息資產(chǎn)進(jìn)行管理和保護(hù)。第六章附則第二十條本規(guī)定由科技發(fā)展部制定、修訂和解釋。第二十一條本規(guī)定自發(fā)布之日起生效。附件一：修訂記錄日期（年月日）版本描述作者審批人審批日期201610111.0發(fā)布稿詹學(xué)文烏傳欣20161021

附件二：信息資產(chǎn)分類表分類描述舉例數(shù)據(jù)資產(chǎn)包括電子和實(shí)物兩種形式的生產(chǎn)數(shù)據(jù)、配置文件、記錄、管理文件和商務(wù)文件以及外來數(shù)據(jù)和文檔。記錄：日志、審計(jì)記錄等；管理文件：制度、流程、操作手冊等；商務(wù)文件：合同、協(xié)議等。實(shí)物資產(chǎn)包括用于支撐IT服務(wù)的核心生產(chǎn)設(shè)備以及具有輔助功能的基礎(chǔ)環(huán)境設(shè)施和辦公設(shè)備等。計(jì)算機(jī)設(shè)備：大型機(jī)、小型機(jī)、服務(wù)器等；通信設(shè)備：路由器、交換機(jī)、防火墻等；存儲介質(zhì)：帶庫、磁帶、磁盤、光盤、U盤等；基礎(chǔ)環(huán)境設(shè)施：供電系統(tǒng)、空調(diào)系統(tǒng)、門禁系統(tǒng)、消防系統(tǒng)等；辦公設(shè)備：打印機(jī)、掃描儀等。軟件資產(chǎn)包括生產(chǎn)和辦公所需的操作系統(tǒng)、數(shù)據(jù)庫、中間件、應(yīng)用軟件和工具軟件等，這些軟件資產(chǎn)用于處理、存儲和傳輸各類信息數(shù)據(jù)。操作系統(tǒng)：AIX、各類Linux、Windows等；數(shù)據(jù)庫：DB2、SQL等；中間件：CICS等；應(yīng)用軟件：生產(chǎn)應(yīng)用、辦公應(yīng)用；工具軟件：網(wǎng)管軟件、系統(tǒng)管理軟件等。人員資產(chǎn)包括承擔(dān)某項(xiàng)工作及相關(guān)責(zé)任的崗位，這些人員資產(chǎn)與其他信息資產(chǎn)的操作直接相關(guān)。系統(tǒng)管理員、網(wǎng)絡(luò)管理員、運(yùn)維用戶、操作用戶、審計(jì)檢查人員、管理人員等。

服務(wù)資產(chǎn)包括支撐生產(chǎn)和辦公的基礎(chǔ)服務(wù)、網(wǎng)絡(luò)服務(wù)、日常技術(shù)支持服務(wù)、設(shè)備維保服務(wù)和軟硬件系統(tǒng)平臺運(yùn)維服務(wù)等?；A(chǔ)服務(wù)：物業(yè)、保潔、安保等；網(wǎng)絡(luò)服務(wù)：有線接入、無線接入等；日常技術(shù)支持服務(wù)：辦公用計(jì)算機(jī)操作系統(tǒng)、應(yīng)用軟件安裝維護(hù)；設(shè)備維保服務(wù)：辦公設(shè)備、機(jī)房環(huán)境設(shè)備維護(hù)；軟硬件系統(tǒng)運(yùn)維服務(wù)：生產(chǎn)設(shè)備、生產(chǎn)用計(jì)算機(jī)操作系統(tǒng)、應(yīng)用軟件運(yùn)維。附件三：信息資產(chǎn)計(jì)算公式,2C+21+2A

log2―3一附件四：保密性分級標(biāo)準(zhǔn)表級別秘密級別人員資產(chǎn)定義其他信息資產(chǎn)定義5內(nèi)部I級可以訪問或存取全部信息資產(chǎn)的人員科技發(fā)展部核心秘密，泄露會使生產(chǎn)運(yùn)行遭受特別嚴(yán)重的損害4內(nèi)部H級最高可以訪問或存取保密級別低于4的其他信息資產(chǎn)的人員科技發(fā)展部重要秘密，泄露會使生產(chǎn)運(yùn)行遭受嚴(yán)重的損害3內(nèi)部B級最高可以訪問或存取保密級別低于3的其他信息資產(chǎn)的人員科技發(fā)展部一般秘密，泄露會使生產(chǎn)運(yùn)行遭受損害2內(nèi)部公開最高可以訪問或存取保密級別低于2的其他信息資產(chǎn)的人員科技發(fā)展部內(nèi)部信息，泄露會使科技發(fā)展部的生產(chǎn)運(yùn)行和日常力'公受到影響1公開可以訪問或存取保密級別為1的其他信息資產(chǎn)的人員可對科技發(fā)展部相關(guān)方公開的信息，公用的信息處理設(shè)備和資源等

附件五：完整性分級標(biāo)準(zhǔn)表級別人員資產(chǎn)定義其他信息資產(chǎn)定義5如果該人員未正確執(zhí)行其職務(wù)內(nèi)容，將造成科技發(fā)展部正常運(yùn)作的效率大幅度降低或停頓完整性價(jià)值非常關(guān)鍵，未經(jīng)授權(quán)的修改會對科技發(fā)展部造成重大的或無法接受的影響，對業(yè)務(wù)沖擊重大，并可能造成嚴(yán)重的生產(chǎn)運(yùn)行中斷，難以彌補(bǔ)4如果該人員未正確執(zhí)行其職務(wù)內(nèi)容，將造成所在部|'門正常運(yùn)作的效率明顯降低完整性價(jià)值較高，未經(jīng)授權(quán)的修改會對科技發(fā)展部造成重大影響，對生產(chǎn)運(yùn)行沖擊嚴(yán)重，較難彌補(bǔ)3如果該人員未正確執(zhí)行其職務(wù)內(nèi)容，將造成相關(guān)工作正常運(yùn)作的效率小幅度降低或停頓完整性價(jià)值中等，未經(jīng)授權(quán)的修改會對科技發(fā)展部造成影響，對生產(chǎn)運(yùn)行沖擊明顯，但可以彌補(bǔ)2如果該人員未正確執(zhí)行其職務(wù)內(nèi)容，將會對相關(guān)工作正常運(yùn)作造成輕微影響完整性價(jià)值較低，未經(jīng)授權(quán)的修改會對科技發(fā)展部造成輕微影響，對生產(chǎn)運(yùn)行沖擊輕微，容易彌補(bǔ)1如果該人員未正確執(zhí)行其職務(wù)內(nèi)容，基本不會對相關(guān)工作正常運(yùn)作造成影響完整性價(jià)值非常低，未經(jīng)授權(quán)的修改對科技發(fā)展部的影響可以忽略，對生產(chǎn)運(yùn)行的沖擊可以忽略附件六：可用性分級標(biāo)準(zhǔn)表等級人員資產(chǎn)定義其他信息資產(chǎn)定義5如果要維持科技發(fā)展部正常運(yùn)作，可以容忍該人員突然缺席不得超過1個(gè)工作日可用性價(jià)值非常高，合法使用者對其的可用度在必要使用時(shí)間內(nèi)達(dá)到99.9%以上，或?qū)ζ涞氖褂貌辉试S中斷4如果要維持科技發(fā)展部正常運(yùn)作，可以容忍該人員突然缺席不得超過3個(gè)工作日可用性價(jià)值較高，合法使用者對其的可用度在必要使用時(shí)間內(nèi)達(dá)到90%以上，或允許中斷使用時(shí)間小于10分鐘3如果要維持科技發(fā)展部正常運(yùn)作，可以容忍該人員突然缺席不得超過3個(gè)工作日，但不能超過5個(gè)工作日可用性價(jià)值中等，合法使用者對其的可用度在在必要使用時(shí)間內(nèi)達(dá)到70%以上，或允許中斷使用時(shí)間小于30分鐘2如果要維持科技發(fā)展部正常運(yùn)作，可以容忍該人員突然缺席超過5個(gè)工作日可用性價(jià)值較低，合法使用者對其的可用度在必要使用時(shí)間內(nèi)達(dá)到25%以上，或允許中斷使用時(shí)間小于60分鐘1如果該人員突然缺席，基本不會對科技發(fā)展部生產(chǎn)運(yùn)行造成影響可用性價(jià)值可以忽略，合法使用者對其的可用度在必要使用時(shí)間內(nèi)允許低于25%

附件七：信息資產(chǎn)保護(hù)策略表內(nèi)部I級內(nèi)部H級內(nèi)部B級內(nèi)部公開公開標(biāo)注文件資料類，在封面或首頁的右上角標(biāo)明密級和保密期限；非文件資料類，在載體的包裝或明顯處標(biāo)明密級和保密期限可標(biāo)注，無標(biāo)注的文件缺省為內(nèi)部使用非商密文件經(jīng)所屬部門負(fù)責(zé)人批準(zhǔn)后，可以標(biāo)識為〃公開”授權(quán)需要得到科技發(fā)展部有權(quán)審批人批準(zhǔn)需要得到資產(chǎn)直接責(zé)任人同意無特別要求訪問只能被得到授權(quán)的極少數(shù)人員訪問，保密協(xié)議中對此有明確規(guī)定，調(diào)閱使用應(yīng)有記錄只能被得到授權(quán)的少數(shù)人員訪問，保密協(xié)議中對此有明確規(guī)定，調(diào)閱使用應(yīng)有記錄只能被得到授權(quán)的人員訪問，保密協(xié)議中對此有明確規(guī)定，調(diào)閱使用應(yīng)有記錄可以被科技發(fā)展部員工或哈爾濱銀行相關(guān)人員訪問，外部相關(guān)人員可以在簽署保密協(xié)議的前提下訪問可以被哈爾濱銀行員工或外部相關(guān)人員訪問存儲電子文件應(yīng)加密存儲，或在不加密的狀態(tài)下存儲在訪問受控的環(huán)境中；紙質(zhì)文件應(yīng)鎖在帶鎖的柜子中；其他資產(chǎn)應(yīng)放置于風(fēng)險(xiǎn)受控的環(huán)境內(nèi)電子文件應(yīng)安善保管，可以加密存儲;紙質(zhì)文件不應(yīng)放在可以隨意獲取的地方應(yīng)恰當(dāng)保管，避免被無關(guān)人員訪問，避免丟失復(fù)制可以在得到授權(quán)的情況下復(fù)制，復(fù)制件視同原件管理，保留復(fù)制記錄經(jīng)授權(quán)后可以復(fù)制，復(fù)制件視同原件管理無限制

打印可以在得到授權(quán)的情況下打印，打印件視同原件管理，保留打印記錄經(jīng)授權(quán)后可以打印，打印件視同原件安善管理無限制郵件可以在得到授權(quán)的情況下使用內(nèi)部郵件系統(tǒng)發(fā)送，文件必須加密并保留發(fā)送記錄經(jīng)授權(quán)后可以通過內(nèi)部郵件系統(tǒng)發(fā)送無限制，可以使用外部郵件系統(tǒng)發(fā)送傳真禁止傳真經(jīng)授權(quán)后可以傳真無限制郵遞必須通過機(jī)要渠道寄發(fā)，保留寄發(fā)記錄必須使用掛號件寄發(fā)，保留寄發(fā)記錄經(jīng)授權(quán)后可以由指定機(jī)構(gòu)郵遞無限制內(nèi)部分發(fā)在生成分發(fā)過程中應(yīng)嚴(yán)格管理，核定份數(shù)，統(tǒng)一編號，登記分發(fā)經(jīng)授權(quán)后可以在內(nèi)部分發(fā)無限制對外分發(fā)經(jīng)授權(quán)后分發(fā)，需簽署保密協(xié)議（不包括有權(quán)機(jī)構(gòu)）并保留分發(fā)記錄經(jīng)授權(quán)可以對外分發(fā)，需簽署保密協(xié)議無限制銷毀由指定部門負(fù)責(zé)集中銷毀；所有銷毀結(jié)果需檢查確認(rèn)，保留銷毀記錄文件和數(shù)據(jù)資產(chǎn)由信息資產(chǎn)使用人負(fù)責(zé)銷毀;其他資產(chǎn)由指定部門負(fù)責(zé)集中銷毀無限制記錄保留信息資產(chǎn)的全部處理記錄無限制無限制

附件八：數(shù)據(jù)流轉(zhuǎn)區(qū)域控制表流轉(zhuǎn)區(qū)域保密性內(nèi)部I級內(nèi)部H級內(nèi)部B級內(nèi)部