《信息系统软硬件设备管理制度》-等级保护安全管理制度
信息安全管理制度
公司制度文件信息安全管理制度1.目的为了保证集团公司信息系统运行安全,特制定本制度。
2.适用范围本制度适合集团公司信息中心与各职能中心及分子公司涉及使用集团公司所有信息系统(OA,ERP,追溯系统,生产管理系统,财务系统,邮件系统等)的相关人员。
3.信息系统使用规范集团公司信息系统中的升级,安装,调试等由集团公司信息中心所属人员统一操作,禁止使用部门的人员擅自进行信息系统的删除,升级,杀毒、改变及卸载信息系统版本等。
信息中心工作人员在信息系统中设置的安全参数与软件系统环境配置等,禁止使用部门的人员修改。
信息中心人员离开工作现场时,要锁定或退出已经运行的程序,防止其它人利用自身账号权限操作,否则造成的后果由当事人自己承担。
更换使用人员或密码泄露后,用户必须及时修改密码。
集团公司信息系统中的信息,数据为集团公司资产,禁止未经授权的人员使用任何存储介质存储并外泄。
管理员权限:维护系统,对数据库与服务器进行维护。
系统管理员、数据库管理员应权限分离,不能由同一人担任。
用于存放数据的磁盘、U 盘、光盘、软盘等存储介质,必须符合相关的产品技术规范和要求。
定期安装系统的最新补丁程序,在安装前进行安全测试,并对重要文件进行备份。
每月对操作系统进行安全漏洞扫描,及时发现最新安全问题,通过升级、打补丁或加固等方式解决。
未经培训的人员禁止使用信息系统。
4.信息系统权限规范信息中心系统管理员定期检查信息系统中的账号,避免有授权不当或非正常授权账号。
信息中心系统管理员监测各账号使用信息系统的情况,发现异常上报信息中心负责人。
信息中心系统管理员应加强防火墙,路由器等网络安全方面管理,防范内外部对信息系统造成不必要的损害。
信息系统实行安全等级保护,软件使用权限按程序审批,相关软件使用人员按业务指定权限使用、操作相应的软件,并且定期或不定期地更换不同的密码口令。
5.网络管理遵守国家有关法律、法规,严格执行安全保密制度,不得利用网络从事危害国家安全、泄露国家秘密等违法犯罪活动,不得制作、浏览、复制、传播反动、色情及其他不良信息,不得在网络上发布反动、非法和虚假的消息,不得在网络上漫骂攻击他人,不得在网上泄露他人隐私。
计算机信息系统等级保护二级基本要求
测试验收包括功能测试、性能测试、安全测试等方面,以确保系统的稳定性和安全性。
测试验收过程中需要编写相应的测试用例和测试报告,并记录测试结果和问题。
测试验收通过后,需要进行系统移交和试运行,确保系统能够正常运行并满足用户需求。
系统运维管理
岗位设置:根据系统等级保护要求,设置相应的运维岗位,并明确岗位职责。
目的:降低成本、提高开发效率、专注于核心业务。
注意事项:选择合适的软件公司或团队、确保信息安全、建立有效的沟通机制。
适用范围:适用于需要快速开发软件或缺乏足够的技术资源的企业或组织。
制定系统建设方案
采购和配置硬件和软件
开发、安装和调试系统
制定系统运行和维护计划
测试验收的目的是确保系统建设符合国家相关标准和用户需求。
培训内容应涵盖安全政策、法律法规、技术防范措施等
培训对象应包括全体员工和第三方人员
培训效果应进行评估和记录
系统建设管理
确定安全需求和目标
实施安全措施和管理
设计安全体系架构
制定安全策略和规范
采购:应确保产品符合等级保护要求,并经过安全检测和认证
使用:应建立产品管理制度,包括使用权限、配置管理、维护保养等
要求:在二级基本要求中,安全区域边界应采取有效的安全措施,如防火墙、入侵检测系统等,以防止未经授权的访问和攻击。
注意事项:在设置安全区域边界时,应充分考虑系统的实际需求和安全风险,选择合适的安全措施和技术,并进行定期的安全审计和评估。
身份鉴别:采用多因素身份鉴别技术,确保用户身份的真实性。
访问控制:根据用户角色和权限,限制对资源的访问和操作。
建立安全审计机制,记录网络运行状况和安全事件,以便分析和追溯。
信息系统安全等级保护(1级2级要求)
结构安全(G)
访问控制(G)
安全审计(G) 边界完整性检查(S) 入侵防范(G) a)应对登录网络设备的用户进行身份鉴别: b)应具有登录失败处理功能,可采取结束会话、限制 非法登录次数和当网络登录连接超时自动退出等措 网络设备防护(G) 施 c)当对网络设备进行远程管理时,应采取必要措施防 止鉴别信息在网络传输过程中被窃听 主机安全
环境管理(G)
资产管理(G)
介质管理(G)
设备管理(G)
a)应对信息系统相关的各种设备、线路等指定专门 的部门或人员定期进行维护管理 b)应建立基于申报、审批和专人负责的设备安全管 理制度,对信息系统的各种软硬件设备的选型、采购 、发放和领用等过程进行规范化管理
a)应指定人员对网络进行管理,负责运行日志、网络 监控记录的日常维护和报警信息分析和处理工作 网络安全管理(G) b)应定期进行网络系统漏洞扫描,对发现的网络系统 安全漏洞进行及时的修补
a应根据业务需求和系统安全分析确定系统的访问控 制策略 b)应定期进行漏洞扫描,对发现的系统安全漏洞进行 系统安全管理(G) 及时的修补 c)应安装系统的最新补丁程序,并在安装系统补丁前 对现有的重要文件及时升级防病毒 软件,在读取移动存储设备上的数据以及网络上接收 恶意代码防范管理(G) 文件或邮件之前,先进行病毒检査,对外来计算机或 存储设备接入网络系统之前也应进行病毒检查 密码管理(G) 变更管理(G) a)应识别需要定期备份的重要业务信息、系统数据 及软件系统等 备份与恢复管理(G) b)应规定备份信息的备份方式、备份频度、存储介 质、保存期等
一级要求内容 技术要求 物理安全 物理位置的选择(G) 机房出入应安排专人负责,控制、鉴别和记录进入的 物理访问控制(G) 人员������������������������������ a)应将主要设备放置在机房内;������������ 防盗窃和防破坏(G) b)应将设备或主要部件进行固定,并设置明显的不易 除去的标记������������������������������������������������������������������������������������ 防雷击(G) 防火(G) 防水和防潮(G) 防静电(G) 温湿度控制(G) 电力供应(A) 电磁防护(S) 网络安全 a)应保证关键网络设备的业务处理能力满足基本业 务需要 b)应保证接入网络和核心网络的带宽满足基本业务 需要 c)应绘制与当前运行情况相符的网络拓扑结构图。 a)应在网络边界部署访问控制设备,启用访问控制功 能 b)应根据访问控制列表对源地址、目的地址、源端 口、目的端口和协议等进行检查,以允许/拒绝数据 包出入。 机房应设置必要的温、湿度控制设施,使机房温、湿 度的变化在设备运行所允许的范围之内 应在机房供电线路上配置稳压器和过电压防护设备 。 机房建筑应设置避雷装置 机房应设置灭火设备 a)应对穿过机房墙壁和楼板的水管增加必要的保护 措施 b)应采取措施防止雨水通过机房窗户、屋顶和墙壁
信息系统安全等级保护(一级)基本要求
(G1)
统等;
b) 应规定备份信息的备份方式、备份频度、存储介质、保存
期等。
48
安 全 事 件 处 置 a) 应报告所发现的安全弱点和可疑事件,但任何情况下用户
(G1)
均不应尝试验证弱点;
b) 应制定安全事件报告和处置管理制度,规定安全事件的现
场处理、事件报告和后期恢复的管理职责。
(G1)
录的日常维护和报警信息分析和处理工作;
b) 应定期进行网络系统漏洞扫描,对发现的网络系统安全漏
洞进行及时的修补。
45
系 统 安 全 管 理 a) 应根据业务需求和系统安全分析确定系统的访问控制策
(G1)
略;
b) 应定期进行漏洞扫描,对发现的系统安全漏洞进行及时的
修补;
c) 应安装系统的最新补丁程序,并在安装系统补丁前对现有
进、带出机房和机房环境安全等方面的管理作出规定。
41
资产管理(G1) 应编制与信息系统相关的资产清单,包括资产责任部门、重
要程度和所处位置等内容。
42
介质管理(G1) a) 应确保介质存放在安全的环境中,对各类介质进行控制和
保护;
b) 应对介质归档和查询等过程进行记录,并根据存档介质的
目录清单定期盘点。
c) 应确保提供软件设计的相关文档和使用指南。
36
工程实施(G1) 应指定或授权专门的部门或人员负责工程实施过程的管理。
37
测试验收(G1) a) 应对系统进行安全性测试验收;
b) 在测试验收前应根据设计方案或合同要求等制订测试验收
方案,在测试验收过程中应详细记录测试验收结果,并形成 测试验收报告。
问;
b) 应限制默认帐户的访问权限,重命名系统默认帐户,修改 这些帐户的默认口令;
信息系统安全等级保护第四级检查-管理要求+技术要求
应选择两种或两种以上组合的鉴别技术来进行身份鉴别,身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换;
应选择两种或两种以上组合的鉴别技术来进行身份鉴别,身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并措施防止鉴别信息在网络传输过程中被窃听。
安全审计
抗抵赖
身份鉴别
访问控制
通信完整性 通信保密性
数据安全及备份恢复
备份和恢复
第四级检查-管理要求+技术要求 检查项
系统管理+系
查网络安全管理体系是否由总体方针、安全策略、管理制度、操作规程等构成。
安全管理制度是否具有统一的格式进行版本控制,并通过正式、有效的方式发布。
检查是否定期对安全管理制度进行评审和修订。
用软件的运行状态、网络流量、用户行为、恶意代码、补丁升级、安全审计等安全相关事项进行集中管理,并对监测和报警记录进行分析。
络安全管理制度,对网络安全配置、日志保存时间、安全策略、升级与打补丁、口令更新周期等方面作出规定;是否定期对网络系统进行漏洞扫描
络安全管理制度,对网络安全配置、日志保存时间、安全策略、升级与打补丁、口令更新周期等方面作出规定;是否定期对网络系统进行漏洞扫描
提供访问控制功能,依据安全策略控制用户对文件、数据库表等客体的访问;
应具有对重要信息资源设置敏感标记的功能。 应禁止默认帐户的访问。 应采用密码技术保证通信过程中数据的完整性。 应对通信过程中的整个报文或会话过程进行加密。 应基于硬件化的设备对重要通信过程进行加解密运算和密钥管理。
,备份介质场外存放;应提供主要网络设备、通信线路和数据处理系统的硬件冗余,保证系统的高可用性。
格限制默认账户的访问权限,重命名系统默认账户,修改这些账户的默认口令;
中华人民共和国计算机信息系统安全保护条例(2011年修订)-国务院令第588号
中华人民共和国计算机信息系统安全保护条例(2011年修订)正文:----------------------------------------------------------------------------------------------------------------------------------------------------中华人民共和国计算机信息系统安全保护条例(1994年2月18日中华人民共和国国务院令第147号发布根据2011年1月8日《国务院关于废止和修改部分行政法规的决定》修订)第一章总则第一条为了保护计算机信息系统的安全,促进计算机的应用和发展,保障社会主义现代化建设的顺利进行,制定本条例。
第二条本条例所称的计算机信息系统,是指由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。
第三条计算机信息系统的安全保护,应当保障计算机及其相关的和配套的设备、设施(含网络)的安全,运行环境的安全,保障信息的安全,保障计算机功能的正常发挥,以维护计算机信息系统的安全运行。
第四条计算机信息系统的安全保护工作,重点维护国家事务、经济建设、国防建设、尖端科学技术等重要领域的计算机信息系统的安全。
第五条中华人民共和国境内的计算机信息系统的安全保护,适用本条例。
未联网的微型计算机的安全保护办法,另行制定。
第六条公安部主管全国计算机信息系统安全保护工作。
国家安全部、国家保密局和国务院其他有关部门,在国务院规定的职责范围内做好计算机信息系统安全保护的有关工作。
第七条任何组织或者个人,不得利用计算机信息系统从事危害国家利益、集体利益和公民合法利益的活动,不得危害计算机信息系统的安全。
第二章安全保护制度第八条计算机信息系统的建设和应用,应当遵守法律、行政法规和国家其他有关规定。
第九条计算机信息系统实行安全等级保护。
中华人民共和国计算机信息系统安全保护条例(2011修订)
中华人民共和国计算机信息系统安全保护条例(2011修订)【发文字号】中华人民共和国国务院令第588号【发布部门】国务院【公布日期】2011.01.08【实施日期】2011.01.08【时效性】现行有效【效力级别】行政法规中华人民共和国计算机信息系统安全保护条例(1994年2月18日中华人民共和国国务院令第147号发布根据2011年1月8日国务院令第588号《国务院关于废止和修改部分行政法规的决定》修订)第一章总则第一条为了保护计算机信息系统的安全,促进计算机的应用和发展,保障社会主义现代化建设的顺利进行,制定本条例。
第二条本条例所称的计算机信息系统,是指由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。
第三条计算机信息系统的安全保护,应当保障计算机及其相关的和配套的设备、设施(含网络)的安全,运行环境的安全,保障信息的安全,保障计算机功能的正常发挥,以维护计算机信息系统的安全运行。
第四条计算机信息系统的安全保护工作,重点维护国家事务、经济建设、国防建设、尖端科学技术等重要领域的计算机信息系统的安全。
第五条中华人民共和国境内的计算机信息系统的安全保护,适用本条例。
未联网的微型计算机的安全保护办法,另行制定。
第六条公安部主管全国计算机信息系统安全保护工作。
国家安全部、国家保密局和国务院其他有关部门,在国务院规定的职责范围内做好计算机信息系统安全保护的有关工作。
第七条任何组织或者个人,不得利用计算机信息系统从事危害国家利益、集体利益和公民合法利益的活动,不得危害计算机信息系统的安全。
第二章安全保护制度第八条计算机信息系统的建设和应用,应当遵守法律、行政法规和国家其他有关规定。
第九条计算机信息系统实行安全等级保护。
安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。
第十条计算机机房应当符合国家标准和国家有关规定。
安全等级保护2级和3级等保要求
管理要求项安全管理机构岗位设置人员配备授权和审批沟通和合作审核和检查安全管理制度管理制度制定和发布制定和发布评审和修订人员安全管理人员录用人员离岗人员考核安全意识教育和培训第三方人员访问管理系统定级安全方案设计产品采购自行软件开发外包软件开发系统建设管理工程实施测试验收系统交付系统备案安全测评安全服务商选择环境管理资产管理介质管理设备管理系统运维管理监控管理网络安全管理系统安全管理恶意代码防范管理密码管理变更管理备份与恢复管理安全事件处置应急预案管理二级等保1)应设立信息安全管理工作的职能部门,设立安全主管人、安全管理各个方面的负责人岗位,定义各负责人的职责;2)应设立系统管理人员、网络管理人员、安全管理人员岗位,定义各个工作岗位的职责;3)应制定文件明确安全管理机构各个部门和岗位的职责、分工和技能要求。
1)应配备一定数量的系统管理人员、网络管理人员、安全管理人员等;2)安全管理人员不能兼任网络管理员、系统管理员、数据库管理员等。
1)应授权审批部门及批准人,对关键活动进行审批;2)应列表说明须审批的事项、审批部门和可批准人。
1)应加强各类管理人员和组织内部机构之间的合作与沟通,定期或不定期召开协调会议,共同协助处理信息安全问题;2)信息安全职能部门应定期或不定期召集相关部门和人员召开安全工作会议,协调安全工作的实施;3)应加强与兄弟单位、公安机关、电信公司的合作与沟通,以便在发生安全事件时能够得到及时的支持。
1)应由安全管理人员定期进行安全检查,检查内容包括用户账号情况、系统漏洞情况、系统审计情况等。
1)应制定信息安全工作的总体方针、政策性文件和安全策略等,说明机构安全工作的总体目标、范围、方针、原则、责任等;2)应对安全管理活动中重要的管理内容建立安全管理制度,以规范安全管理活动,约束人员的行为方式;3)应对要求管理人员或操作人员执行的重要管理操作,建立操作规程,以规范操作行为,防止操作失误。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
第 1 页 XXX系统 管理平台 --信息系统软硬件设备管理制度--
文件编号 使用部门 初版日期 修订日期 第 2 页
目 录 第一章 总 则 ....................................................................................................................3 第二章 指导原则 ................................................................................................................3 第三章 设备采购 ................................................................................................................4 第四章 设备管理 ................................................................................................................5 第五章 设备应用 ................................................................................................................5 第六章 设备维护和维修 ......................................................................................................6 第七章 设备报废 ................................................................................................................7 第八章 附则 ........................................................................................................................7 第 3 页
第一章 总 则 第一条 在单位或组织资产中,信息资产是非常重要组成部分,为规范XXX(以下简称“XXX”)信息系统软硬件设备管理,规范设备购置、管理、应用、维护、维修及报废等方面的工作,保护信息系统安全,制定本制度。 第二条 本细则适用于XXX(以下简称“XXX”)。 第三条 本制度所指的硬件设备只包含一般硬件设备和关键硬件设备。计算机设备所使用的消耗品按照办公用品的有关规定管理。 一般硬件设备:指笔记本电脑、客户端微机主机、显示器、打印机、小型不间断电源装置、稳压电源以及各种接口卡、电缆头、简单网络设备等与微机有关的设备; 关键硬件设备:指各单位主要业务应用系统所使用的各种服务器、网络设备、网络安全设备、大中型不间断电源装置及其外围设备; 消耗品:指各计算机设备日常所使用的各种移动存储介质、打印耗材等低值易耗品。
第二章 指导原则 第四条 严格落实安全责任 有效增强防范措施 积极完善应急机制 确保可靠稳定运行 第五条 信息系统软硬件设备管理制度依据此指导原则对机房工作人员、机房用电管理制度、软件安全使用制度、机房资料和文档数据安全制度进行管理。
第三章 信息资产管理目标 XXX(以下简称“XXX”)安全管理的目标包括以下几个方面: 第六条 资产分类标准化:对信息资产进行等级分类是资产安全管理的前提条件。其分类目标主要体现在: 第 4 页
通过对XXX的信息资产进行合理的等级分类,为信息资产管理提供科学、有效的方式。
对XXX现有信息资产进行信息安全属性的赋值,并对其进行等级划分,从而为以后的安全解决方案提供依据。 第七条 资产管理责任制:有专人或部门负责信息资产的安全管理。规范信息资产的使用。 第八条 资产处置流程化:对本单位资产从购置到报废整个过程做到有流程可循,以流程办事,严格遵循评估、申请、审批等过程。保证以资产为载体的信息的安全。
第四章 设备采购 第九条 设备的购置计划由各单位的信息管理部门编制,并由各单位相应的计划审批管理部门负责审批。 第十条 各单位、部门根据自身的业务需求,在编制本单位年度预算时提前一个月向信息管理部门报送下一年度的计算机软硬件设备购置需求清单。由本单位的信息管理部门汇总设备购置清单后,再根据实际的资源配置情况编制软硬件设备购置计划,报相应的计划管理部门审批。审批同意后,由信息管理部门严格按照公司物资采购的有关规定负责组织实施,原则上其他部门不得自行购置计算机有关的软硬件设备。 第十一条 购置软硬件设备时应要求厂家或提供商提交有关设备的运行维护资料,包括技术手册、操作手册等,必要时还需负责运行相关岗位人员的技术培训。 第十二条 对于信息设备的选型、采购和验收应制定具体的软、硬件设备购置管理规定,并且对每次设备的选型、采购和验收应留存相应的文档。 第十三条 网络安全设备选型应根据国家电力行业有关规定选择经过国家有关权威部门的第 5 页
测评或认证的产品。 第十四条 购置的设备到货时,应进行检查是否带有危险品,交付及安装的场地应受到控制,必须与在线运行的应用系统隔离或远离应用系统,以避免重大问题的发生。
第五章 设备管理 第十五条 各单位的信息系统运行管理部门应设置专门的软硬件设备台帐,并由专人保管,做到登记明晰,设备的进出库、安装有帐可查。每年各单位的信息系统运行管理部门应对本单位的计算机设备资产进行核查,要求做到与财务部门的有关固定资产资料相对应。 第十六条 设备进入使用部门后,使用部门应保证运行设备的安全及完整性,防止出现设备的人为损坏或丢失。 第十七条 各单位内部各部门因工程项目需要而自行购置的软硬件设备,应在向财务部门报送固定资产资料的同时,向信息管理部门报送所购置的软硬件设备台帐。 第十八条 对于软件,应注意母盘或源代码的保存登记工作,并由专人管理。日常工作中应尽量使用母盘的复制品,避免造成对母盘或源代码的破坏。
第六章 设备应用 第十九条 各单位信息系统运行管理部门应根据各种软硬件设备的具体情况,组织安排相应的厂家或设备运行维护单位的技术人员入场安装调试。对于关键的软硬件设备,应安排专人负责跟踪、记录整个安装调试过程;在完成设备的安装调试后,应注意做好有关文档的验收及归档保存工作。 第二十条 信息系统运行管理部门应查验设备厂商或提供商提交有关设备的运行维护资料,包括技术手册、操作手册等,并负责监督设备厂商或提供商提供的运行相关岗位人员的技术培训。 第 6 页
第二十一条 设备投运前,信息系统运行管理部门要掌握有关设备所提供的各种系统监控、维护工具,并检查其安全性和完整性。 第二十二条 设备投运前,信息系统运行管理部门应与设备的供应商共同制定设备投运实施方案以及应急处理方案,并尽可能在测试环境中测试通过后,再在实际运行环境中实施。 第二十三条 信息系统运行管理部门负责软硬件设备的应用管理及用户培训工作。对于各专业应用系统的客户端软件,应根据“谁建设,谁维护”的原则,由各专业应用系统的建设单位负责用户的应用管理工作。 第二十四条 设备完成安装调试后,未经本单位信息系统运行管理部门同意,任何个人或部门不得擅自移动或拆除。如因工第二十条 作需要,确实要对有关设备进行移动或拆除,需报信息系统运行管理部门审批同意后,由信息系统运行管理部门组织有关厂家或运行维护单位的技术人员实施,并要求做好相应的登记变更工作。关键硬件设备完成安装后,运行地点要相对固定,移动或拆除要在完成审批程序后,方可实施。
第七章 设备维护和维修 第二十五条 硬件设备的维护由各单位的信息系统运行管理部门统筹安排,各单位可根据内部人员的配置情况及硬件设备的数量采取自行维护或集中外包的方式。 第二十六条 对设备的维修只有授权的维护人员才可以进行,应防止因维修造成数据损失;对设备故障的预警信息应及时响应,采取有效措施;并做好相应的故障预警记录和维修记录。 第二十七条 对需要送出单位维修的硬件设备,以及拆除或者改为他用的硬件设备,对该设备有敏感(内部以上)信息的存储部件应该物理销毁或安全地覆盖,并填写维修记录。 第二十八条 应注意保护信息传输线缆,防止线缆上传输的信息被侦听或线缆被破坏。 第二十九条 应建立设备故障报告制度,软硬件设备出现故障要及时向信息系统运行管理部门报告,并填写系统运行故障记录。 第三十条 对已投入运行的应用软件的维护或更改,应根据业务管理部门的需求申请,制定第 7 页
维护方案,以及相关部门领导批准,具体实施必须实行两人以上负责制等有关规定,并记录修改过程和有关技术资料。 第三十一条 应根据“谁建设,谁维护”的原则,由应用软件的建设单位负责应用软件的专业性维护工作,由信息系统运行管理部门负责系统软、硬件设备的专业性维护和日常应急维护工作。
第八章 设备报废 第三十二条 硬件设备的报废应由使用部门提出书面申请,信息系统运行管理部门根据设备的使用情况进行审核,提出设备报废清单,按固定资产报废程序办理。
第九章 附则 第三十三条 本管理规定自发布之日起开始实施; 第三十四条 本管理规定的解释和修改权属于XXX管理部; 第三十五条 XXX在业务环境和安全需求发生重大变化时,XXX管理部信息安全组织应对本管理规定进行及时更新,并加以说明。