信息资产和设备管理制度实用版
2024年信息资产和设备管理制度(三篇)
2024年信息资产和设备管理制度第一章绪论1.1背景随着信息技术的不断发展,企业和组织的信息资产和设备变得越来越重要。
信息资产包括:数据、文档、软件应用程序、硬件设备等;设备包括:服务器、网络设备、存储设备等。
有效地管理信息资产和设备对于保障信息安全、提高工作效率至关重要。
为了更好地保护信息资产和设备,制定一套科学合理的管理制度势在必行。
1.2目的本制度的目的是为了规范信息资产和设备的管理行为,明确责任与权限,规范操作流程,提高信息安全等级,保护信息资产和设备的完整性、可用性和可靠性,确保信息资产和设备能够按照业务需求稳定运行,防范各类威胁和风险。
第二章信息资产管理2.1 信息资产分类与登记2.1.1 信息资产按照机密程度进行分类,分为高、中、低三个级别,并根据实际需要进行细分。
2.1.2 所有信息资产必须进行登记,登记内容包括:资产名称、分类、责任人等信息。
2.1.3 高级别信息资产必须进行特殊登记,并按照特定的安全要求进行保护。
2.2 信息资产归口管理2.2.1 制定信息资产的归口管理机构,并明确责任人和权限。
2.2.2 归口管理机构负责制定信息资产管理的策略、标准和流程,并进行监督和检查。
2.3 信息资产的申请和审批制度2.3.1 任何人需要使用信息资产必须提出申请,并按照规定的流程进行审批。
2.3.2 审批人必须慎重考虑申请人的需求和信息资产的安全风险,做出合理的决策。
2.4 信息资产的备份和恢复2.4.1 所有信息资产必须定期进行备份,并确保备份数据的完整性和可用性。
2.4.2 针对不同级别的信息资产,制定不同的备份和恢复策略。
2.5 信息资产的处置2.5.1 信息资产使用寿命到期或者已经损坏的,必须进行处置,确保其中的信息不会被泄露。
2.5.2 处置信息资产的流程必须规范,并记录相关信息。
第三章设备管理3.1 设备采购管理3.1.1 设备采购必须符合法律法规和相关标准,采购过程必须透明公开。
信息资产和设备管理制度模版(3篇)
信息资产和设备管理制度模版第一章总则第一条为加强本单位的信息资产和设备管理工作,保护信息安全,确保信息资产和设备的正常运行,根据职责权限范围,制订本制度。
第二条本制度适用于本单位的各项信息资产和设备的管理工作,包括但不限于计算机、服务器、网络设备、存储设备、通讯设备等。
第三条本制度的编制、实施、监督和改进均由信息技术管理部门负责。
第四条本制度的内容包括信息资产的分类、采购、使用、归还、维护、处置等方面的规定;设备的使用、保管、维护、报废等方面的规定。
第五条所有涉及信息资产和设备管理的工作人员都应当遵守本制度的规定。
第六条本制度的修订由信息技术管理部门提出,经相关部门负责人审批后生效。
第二章信息资产管理第七条信息资产包括但不限于电子文档、数据库、软件系统等,根据其重要性和敏感性可分为三个级别:重要级、一般级、一般级。
第八条信息资产的采购、安装、调整、维护工作由信息技术管理部门负责。
第九条重要级的信息资产需要进行严格的权限管理,只有经过授权的人员才能访问和操作。
第十条一般级和一般级的信息资产需要进行适当的权限管理,确保只有合适的人员可以访问和操作。
第十一条信息资产的备份工作由信息技术管理部门负责,备份周期和备份介质等应当按照实际情况进行规定。
第十二条信息资产的归还和移交工作由信息技术管理部门负责,包括但不限于资产交接手续、设备清理、数据销毁等。
第三章设备管理第十三条设备包括但不限于计算机、服务器、网络设备、存储设备、通讯设备等。
第十四条设备的使用应当按照使用说明书和操作规程进行,任何非法使用行为均不得发生。
第十五条设备的保管应当安全可靠,设备损坏、丢失或遗失的责任由保管人承担。
第十六条设备的维护应当按照维护手册和维护计划进行,确保设备处于良好的工作状态。
第十七条设备的报废由信息技术管理部门负责,符合报废条件的设备应当按照相关规定进行处理。
第四章违纪处分第十八条对于违反本制度规定的行为,按照工作纪律和相关法律法规进行相应的处分。
公司信息资产安全管理制度
公司信息资产安全管理制度一、总则为有效防范信息安全风险,确保公司信息资产的安全、完整与可用,特制定本制度。
本制度适用于公司内所有涉及信息处理、存储及传输的部门与个人,旨在通过规范管理,提升公司整体的信息安全防护能力。
二、信息资产分类与评估公司应根据信息资产的重要性和敏感性进行分类,通常分为公开级、内部级、秘密级和机密级四个等级。
每个等级的信息资产应定期进行风险评估,包括识别潜在的威胁、漏洞以及可能造成的影响,并据此制定相应的保护措施。
三、物理安全管理物理安全是信息安全的基础。
公司应确保重要信息资产所在区域的物理安全,包括对数据中心、服务器室等关键区域实施访问控制、监控摄像以及防火、防水等灾害防护措施。
四、网络安全管理网络是信息传输的主要渠道,也是安全威胁频发的区域。
公司应部署防火墙、入侵检测系统、病毒防护软件等网络安全设施,并定期更新维护。
同时,对于远程访问、无线网络等特殊场景,应加强认证和加密措施。
五、数据安全管理数据是信息资产的核心。
公司应对敏感数据进行加密处理,并实施备份策略以防数据丢失。
对于数据的传输和共享,应采取严格的权限控制和审计跟踪,确保数据的安全使用。
六、应用系统安全应用系统是信息处理的平台。
公司应对所有应用系统进行安全设计,包括用户身份验证、权限分配、操作日志记录等功能。
对于第三方服务和应用,应进行安全审查和风险评估。
七、人员安全管理人是信息安全的关键因素。
公司应对员工进行安全意识教育和培训,明确各自的安全责任。
对于涉及敏感信息资产的工作人员,应进行背景审查,并签订保密协议。
八、应急响应与事故处理公司应建立应急响应机制,制定详细的安全事故响应流程。
一旦发生安全事件,能够迅速采取措施,减少损失,并对事件进行彻底调查,总结经验教训,防止类似事件再次发生。
九、监督与审计公司应定期对信息资产安全管理制度执行情况进行监督和审计。
通过内部审计或邀请第三方机构进行审计,确保各项安全措施得到有效执行。
信息资产管理制度
信息资产管理制度在当今信息化的社会中,信息资产已经成为企业最重要的财富之一。
为了更好地保护和管理信息资产,各个企业纷纷制定了信息资产管理制度。
本文将详细介绍信息资产管理制度的内容和要点。
一、制度目的信息资产管理制度的制定旨在确保企业对信息资产进行全面管理,保护信息的机密性、完整性和可用性,防止信息资产遭受威胁、损坏或泄露。
通过建立科学、规范的管理制度,提高信息资产的安全性,增强企业在信息化时代中的竞争力。
二、信息资产的分类信息资产可以分为数字化资产和非数字化资产两大类。
数字化资产包括电子文档、数据库、软件、网络设备等,而非数字化资产主要指纸质文件、实物设备等。
三、信息资产管理制度的要点1. 资产辨识与分类:对企业的所有信息资产进行识别和分类,清晰界定每个资产的边界和范围。
2. 资产评估与风险分析:对每个信息资产进行评估和风险分析,确定其价值和面临的威胁,以便制定相应的安全措施。
3. 安全策略与控制措施:根据不同的安全需求,制定相应的安全策略和控制措施,包括物理控制、访问控制、加密控制等。
4. 资产保护措施的实施与监控:对制定的安全措施进行实施和监控,确保其有效性和可持续性。
5. 事件处理与应急响应:建立信息安全事件处理和应急响应机制,及时处置各类安全事件,降低损失。
6. 培训与宣传:对企业员工进行信息安全培训,提高其信息安全意识和技能,并定期进行安全宣传教育。
7. 合规与审计:遵守相关法律法规,定期进行内部和外部的信息安全审计,确保信息资产管理工作符合规范要求。
四、信息资产管理的挑战信息资产管理工作中存在一些挑战,包括技术发展快速、威胁形式多样、人力和经费投入有限等问题。
为了应对这些挑战,企业应及时更新技术手段,加强对威胁情报的监测和分析,并适度增加信息安全管理的投入。
五、信息资产管理制度的监督与改进企业需要建立健全的监督机制,对信息资产管理制度的执行情况进行监督和评估。
并根据监督结果,不断改进制度,提高信息资产管理工作的效果。
信息资产管理规定
文件制修订记录1、目的为加强对本公司信息资产的管理,保障信息资产安全,制定本程序。
2、适用范围本公司的信息资产可分为以下七类资产:●硬件类资产:包括网络设备、服务器、主机、传输线路/设备、空调、打印/复印机、传真机、碎纸机、投影仪等等。
●软件类资产:包括应用软件、操作系统、数据库、开发工具和实用程序等软件。
●信息类资产:包括配置信息、帐户权限信息、口令信息、系统各类文档、源代码和安装包等。
●人员类资产:包括内部人员和外部人员。
●环境设施类资产:如保险柜、文件柜、空调、UPS等。
●外购服务类资产:包括供电、通讯、保洁、快递服务、IT服务、网站托管等。
●无形类资产:包括声誉和形象、业务和技术经验等。
3、定义信息:有价值的符号、数据、图片和语音,它能够被企业创建、使用、处理、存储及传输。
信息是必须依赖介质存在。
信息资产:与信息相关且对企业有价值,信息资产包括在信息收集、输入、传输、处理、输出和存储中产生的数据、使用的工具和服务、承载的介质及处理和使用的人员,如:计算机硬件、通信设施、运行环境、数据库、软件、文档资料、信息服务和人员等。
4、岗位职责5.1 机密性分类方法制定信息资产机密性分类方法是为了帮助本公司员工和全体外部人员判断哪些信息资产属于敏感信息资产,以便更好地加以保护。
机密性即机密性。
全体员工应当熟悉本规定所确定的信息资产分类及标识办法,及敏感信息管理指南。
员工可以根据分类定义标准和管理指南来保护信息资产,另一方面也可以采用通用最佳实践的办法来保护组织的敏感信息。
信息资产的机密性进行分类如下:知道某种特定信息的机密性程度,默认情况下至少按"内部使用"的保护办法来对待。
5.2信息资产的使用管理5.2.1硬件类和环境设施类资产的使用硬件类和环境设施类资产的接收和发出按本公司固定资产管理方面的控制程序执行;供应商送货到本公司后,接收人员对货物的品牌、型号、数量、包装和送货单据等核对无误后,在送单据上签收确认;领用时,发放人员要对领用情况进行登记,并由领用人员签字。
信息资产和设备管理制度范本(5篇)
信息资产和设备管理制度范本第一章范围及职责第一条本制度适用于信息资产的管理,包括。
获取、分类、使用和处置以及安全设备的管理。
第二条本制度中的信息资产是指可以存储信息数据的信息载体,包括:硬件、软件、数据(电子数据)、文档(纸质文件)、人员、服务设施、其他。
第三条____单位办公室(以下简称。
办公室)主要负责信息资产的分类、汇总、使用与处置方法,以及安全设备的选型、检测、____、登记、使用、维护和储存。
第四条计算机资产统计信息的范围包含但不限于。
计算机主机名、ip地址、mac地址、使用人/责任人、所属部门、物理位置、服务器的内外网ip对应等。
第二章信息资产的获取第五条软件、硬件设施、服务性设施等的获得主要以采购的方式获得,采购按照有关规定进行采购和验收。
第六条数据信息资产的获得来源主要为。
外包供应商、市场信息、其他信息。
第三章信息资产的分类第七条各部门根据业务流程列出信息资产清单并将每项资产的资产类别、信息资产编号、资产现有编号、资产名称、所属部门(组别)、管理者、使用者、地点等相关信息记录在资产清单上。
第八条资产的分类原则和编号原则如下:1)计算机设备:(台式机、笔记本)、服务器;2)存储设备:磁带机、磁盘整列、磁带、光盘、软盘、移动硬盘等;3)网络设备:路由器、交换机、网关、程控交换机等;4)传输线路:光纤、双绞线、电话线(布线)、电源线;5)安全设备:硬件防火墙、入侵检测、网络隔离设备(如网闸)、身份验证等;6)办公设备:打印机、复印机、扫描仪、传真机、碎纸机、写字白板、应急照明设备等;7)保障设备:动力保障设备(ups、变电设备)、空调、保险柜、文件柜、门禁、消防设施等;8)其他设备;2、软件如:操作系统、系统软件(office/autocad)、应用软件(生产软件)、网管软件、杀毒软件、财务软件、开发工具和资源库等;3、电子数据存在电子媒介的各种数据资料。
如。
源代码、数据库数据、各种数据资料、系统文档、运行管理规程、计划、日周月报告、财务报告(电子版本)、用户手册、方案、电子设计图纸等;4、纸质文件纸质的各种文件。
信息资产管理制度模版(四篇)
信息资产管理制度模版信息资产管理制度模板(____字)第一章总则第一条为了有效管理和保护企业的信息资产,提高信息安全管理水平,确保信息资产的安全、完整、可靠、可用,维护企业的合法权益,制定本制度。
第二条本制度适用于本企业的所有信息系统、网络、设备、数据等相关资源,以及涉及到的所有工作人员。
第三条信息资产管理的目标:确保信息资产的保密性、完整性和可用性;防止信息资产的丧失、泄露、毁坏和篡改;提高信息安全的意识和水平;合理利用信息资源,提高工作效率和业务竞争力;建立规范的信息资产管理制度和流程。
第四条信息资产管理的原则:依法合规、分类分级、系统管理、风险管理、全员参与、持续改进。
第五条本制度的术语解释:1. 信息资产:指企业所拥有的各类信息资源,包括但不限于:设备、设施、网络、软件、数据、文档、知识产权、商业秘密等。
2. 信息资产管理:指对信息资产进行全面、系统、有效的管理和保护的过程。
3. 信息资产管理制度:指为实现信息资产安全管理目标,规范信息资产管理工作的一系列规章制度和流程文件。
第二章信息资产管理的组织和责任第六条信息资产管理应建立专门的管理组织机构,设立信息资产管理中心,负责组织、协调、监督和评估信息资产管理工作。
第七条信息资产管理中心应设置合适的岗位和人员,并明确各岗位的职责和权限。
第八条信息资产管理中心的主要职责包括:1. 制定、修订和实施信息资产管理制度和相关规定;2. 组织开展信息资产安全评估和风险评估工作;3. 组织开展信息安全培训和宣传工作;4. 组织开展信息资产的安全监控和应急响应工作;5. 组织开展信息资产的合规审查和内部审核工作;6. 与相关部门进行沟通协调,推进信息资产管理工作。
第九条各部门和单位应配合信息资产管理中心的工作,并按照相关制度和流程履行信息资产管理的职责。
第十条信息资产管理中心应定期向高层管理层报告信息资产管理的情况和问题,并提出改善和优化的建议。
第三章信息资产的分类和分级保护第十一条按照信息资产的重要性和敏感程度,将信息资产分为不同的分类和分级。
设备和资产领用管理制度
设备和资产领用管理制度1. 总则1.1 本制度是为了规范公司内设备和资产的领用管理,保障公司资产的安全和有效利用。
1.2 本制度适用于公司全部员工和相关部门,包含但不限于计算机设备、通讯设备、办公用品、车辆等各类设备和资产。
1.3 设备和资产的领用必需符合国家法律法规和公司相关规定,而且必需用于公司业务需求,禁止私自领用或擅自占用公司设备和资产。
2. 设备和资产领用流程2.1 领用申请2.1.1 员工或相关部门需要设备或资产时,必需填写《设备和资产领用申请表》并提交给公司相关部门。
2.1.2 申请表应包含领用人及部门、领用设备或资产的名称、数量、用途、估计使用期限等信息。
2.2 领用审批2.2.1 领用申请表需要经过所在部门负责人批准,并提交给公司资产管理部门进行审批。
2.2.2 资产管理部门将依据申请内容和公司实际情况进行审批,审批结果应在3个工作日内通知申请人和相关部门。
2.3 领用登记2.3.1 领用申请获得批准后,申请人需要到公司资产管理部门办理领用手续。
2.3.2 领用人需在领用登记簿上填写个人及设备或资产的相关信息,包含领用日期、领用数量、估计归还日期等。
2.3.3 领用人应对领用的设备或资产进行验收,确保完好无损。
如有损坏或功能异常,应立刻向资产管理部门报告。
3. 设备和资产使用规范3.1 设备和资产的使用应符合公司相关规定,不得用于非法活动或违反道德伦理的行为。
3.2 领用人应妥当保管设备和资产,不得转借、转让、出租或私自擅离使用场合。
3.3 领用人应依照设备和资产的使用说明书进行正确操作,并保持设备和资产的清洁和维护保养。
3.4 领用人必需保密公司的商业机密和客户信息,不得将相关信息泄露给外部人员。
3.5 设备和资产的使用期限届满或不再需要时,应及时归还给资产管理部门。
3.6 领用人应遵守公司的文明办公规范,不得在办公区域高声喧哗、吸烟或擅自更改设备和资产的配置。
4. 设备和资产的维护和修理与报废4.1 领用人在使用设备和资产过程中发现故障或损坏,应及时向资产管理部门报告。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
YF-ED-J1342可按资料类型定义编号信息资产和设备管理制度实用版In Order To Ensure The Effective And Safe Operation Of The Department Work Or Production, Relevant Personnel Shall Follow The Procedures In Handling Business Or Operating Equipment.(示范文稿)二零XX年XX月XX日信息资产和设备管理制度实用版提示:该管理制度文档适合使用于工作中为保证本部门的工作或生产能够有效、安全、稳定地运转而制定的,相关人员在办理业务或操作设备时必须遵循的程序或步骤。
下载后可以对文件进行定制修改,请根据实际需要调整使用。
第一章范围及职责第一条本制度适用于信息资产的管理,包括:获取、分类、使用和处置以及安全设备的管理。
第二条本制度中的信息资产是指可以存储信息数据的信息载体,包括:硬件、软件、数据(电子数据)、文档(纸质文件)、人员、服务设施、其他。
第三条某某单位办公室(以下简称:办公室)主要负责信息资产的分类、汇总、使用与处置方法,以及安全设备的选型、检测、安装、登记、使用、维护和储存。
第四条计算机资产统计信息的范围包含但不限于:计算机主机名、IP地址、MAC地址、使用人/责任人、所属部门、物理位置、服务器的内外网IP对应等。
第二章信息资产的获取第五条软件、硬件设施、服务性设施等的获得主要以采购的方式获得,采购按照有关规定进行采购和验收。
第六条数据信息资产的获得来源主要为:外包供应商、市场信息、其他信息。
第三章信息资产的分类第七条各部门根据业务流程列出信息资产清单并将每项资产的资产类别、信息资产编号、资产现有编号、资产名称、所属部门(组别)、管理者、使用者、地点等相关信息记录在资产清单上。
第八条资产的分类原则和编号原则如下:1、硬件1) 计算机设备:(台式机、笔记本)、服务器;2) 存储设备:磁带机、磁盘整列、磁带、光盘、软盘、移动硬盘等;3) 网络设备:路由器、交换机、网关、程控交换机等;4) 传输线路:光纤、双绞线、电话线(布线)、电源线;5) 安全设备:硬件防火墙、入侵检测、网络隔离设备(如网闸)、身份验证等;6) 办公设备:打印机、复印机、扫描仪、传真机、碎纸机、写字白板、应急照明设备等;7) 保障设备:动力保障设备(UPS、变电设备)、空调、保险柜、文件柜、门禁、消防设施等;8) 其他设备;2、软件如:操作系统、系统软件(office/AutoCAD)、应用软件(生产软件)、网管软件、杀毒软件、财务软件、开发工具和资源库等;3、电子数据存在电子媒介的各种数据资料。
如:源代码、数据库数据、各种数据资料、系统文档、运行管理规程、计划、日周月报告、财务报告(电子版本)、用户手册、方案、电子设计图纸等;4、纸质文件纸质的各种文件。
如:传真、电报、合同、纸张图纸等;5、服务性设施如:供电、供水、保洁、门禁、消防设施等;6、人员如:各级领导、各级正式雇员、临时雇员等;7、其他。
第九条按照《涉及国家秘密的信息系统分级保护技术标准》和信息安全管理体系建设要求,按照信息资产的公开和敏感程度,将信息资产化分为不同的保护等级,并对不同等级的信息资产进行保护,确保信息安全。
各部门要将所有的移动介质和电子文件按照敏感性和重要程度分为不同的保护等级,保密级别与保密期限由持有人自行定义。
第十条识别各个流程的各类关键信息资产,最终办公室汇总,并每半年进行一次更新,确保重要信息资产的完备性(重要信息资产没有遗漏和缺失)和准确性(信息资产的保密级别和重要程度能够真实反映信息资产的状态)。
第十一条对信息资产进行编号,同时对重要信息资产进行标识:文档需有固定版本编号规则;硬件设备粘贴在设备明显位置处。
第四章信息资产的使用和处置(一)硬件资产的使用和处置第十二条硬件的使用处置包括购买/接收、使用(交接、维修、重用)、处置等有关内容。
第十三条购买新的硬件设备或者从其他部门接收转移的设备时,要核对设备清单,对相关设备进行测试验证,然后登记。
由资产管理员对硬件设备进行管理,明确设备管理职责。
第十四条硬件资产的保存1、机房选址要避免在地下室、一楼(水淹和渗水)和顶层(渗水和失火时火向上燃烧),同时考虑相邻楼层的活动(避免热源和渗水);2、处理敏感数据的信息处理设施放在适当安全的位置,以减少在设备在使用期间信息被窥视的风险,保护储存设施以防止未授权访问;3、设备的选址应采取控制措施以减小潜在的物理威胁的风险,例如偷窃、火灾、爆炸、烟雾、水(或供水故障)、温度、湿度、尘埃、振动、化学影响、电源干扰、通信干扰、电磁辐射和故意破坏;4、禁止在信息处理设施附近进食、喝饮料和抽烟;5、对专门保护的部件要予以隔离,以满足特殊安全要求;第十五条硬件资产的日常使用安全1、所有的硬件资产必须明确设备的使用人员/管理人员,明确职责;2、硬件资产的使用人(或管理人),在使用或管理硬件资产时,要注意硬件资产的安全性、机密性、完整性,防止信息载体的毁坏和信息的泄密,防止信息处理设施的滥用;对设备定期进行维护保养,发生毁坏,丢失等问题时能够及时处置;3、新硬件设备接入网络按照相关规定处理;4、在人员上岗时,可根据需要为上岗人员配备必要的办公设备,包括电脑(笔记本或台式机),电话机,其它办公用品;办公室根据该工作人员所处部门、工作性质为其设置相应的办公网访问权限;5、需要使用移动计算设备(包括笔记本、无线网卡、移动硬盘和U盘)的用户,应得到办公室负责人的同意后方可使用;6、对于无人职守的设备,要明确管理人员,加强物理安全控制。
第十六条硬件资产的转移安全1、当设备迁移时,必须先对设备中存储的重要信息进行备份;2、设备迁移完成后,必须检查设备是否损坏;3、设备迁移出本单位时,设备中禁止存放重要信息,以防止机密信息泄露或泄露的风险增加。
第十七条办公地点外使用任何信息处理设备必须通过管理者授权。
场外设备的保护要考虑下列内容:1、离开本单位的设备和介质(如现场的设备和介质),必须有人值守或委派负责人(或者公共场所放置的需要有人值守或监视系统);2、制造商保护设备用的说明书要始终加以遵守,例如,防止暴露于强电磁场内;3、根据风险的不同采取足够的安全保障措施,以保护离开办公室设备的安全。
第十八条硬件资产的处置和重用1、存储设备销毁前,必须确保所有存储的敏感数据或授权软件已经被移除或安全重写;2、服务器、主要网络设备的处置由办公室进行安全处置;3、台式机、打印机、传真机、扫描仪等IT 设备的处置由办公室进行并做登记;4、如需报废时,应向主管部门提出报废申请,经批准后报废。
(二)软件资产的使用和处置第十九条软件资产的使用1、所有的软件资产必须设置专人管理,明确职责,避免软件资产的丢失,泄密;2、所有正版软件实体由办公室专人保管,在安装软件时要规定使用权限,防止非授权访问;3、按照《系统运行维护管理制度》中“备份与恢复管理”章节要求,对重要系统进行备份;4、当人员离职或岗位变动,需要回收有关的软件,必要时,由办公室技术人员对离职人员使用的软件进行卸载,删除。
第二十条软件资产的处置:对过时或确认无效的软件资产,定期进行清除。
(三)电子数据的使用和处置第二十一条电子数据的使用1、对所有电子数据进行分类/分级,标识未授权人员的访问限制,不同安全级别的数据应存储在不同的区域,按类按级传达,便于信息的安全管理;2、不同类型的电子文件按照统一规律存放在个人电脑或服务器中,便于整理和查阅以及工作交接时转移;3、所有电子文件保存在电脑或服务器中,并按照《备份和恢复管理制度》规定的备份频率定期进行备份;4、对于存于服务器上的电子数据的访问,根据服务器提供服务的不同与部门/职务的不同,设置不同的访问权限,避免非授权访问;5、对于内部公开级别的电子信息,其使用要控制在内部,禁止带出;6、对于秘密级别以上的电子文件的处理过程,必须保障数据的完整性、机密性和可用性;7、对于秘密级别以上的电子文件的使用,系统应进行审计;8、对于秘密级别以上的电子文件的传输,必须采取适当的安全措施加以保护,如加密传输、分散传输等;9、在整理电脑中的电子数据时,要小心操作,确认后再进行处理,避免由于误操作将有用的电子数据删除。
(四)纸质文档的使用和处置第二十二条纸质文档的使用1、所有的秘密级以上的纸质文件资料要(通过标签或其它方式)标识出资产的保密级别,分类存放,不同安全级别的纸质文件应按类按级传达,便于纸质文件的安全管理;2、对于比较重要的纸质文件(机密级别以上)必须保存在带锁的文件柜或保险柜中,钥匙由专人保管;3、对于纸质文件的保存期限依据实际要求制定和实施;4、对于比较重要的纸质文件的使用过程,必须注意信息的保密,确保信息的完整性和可用性;5、对于比较重要的纸质文件的传输,必须采取适当的安全措施加以保护,如专人递送、分散传输等。
第二十三条纸质文档的处置1、实体数据资料达到保存期限后,必须将其撕毁或者粉碎到读不出来为止,避免实体数据资料的泄密;2、对于重要纸质文件的销毁,如财务纸质文件,要求两人以上在场,防止信息的泄密。
(五)人员招调、在职、离职第二十四条所有人员的招调、在职、离职安全管理按照《用户管理制度》的要求进行实施。
(六)服务性资产的使用和处置第二十五条所有服务性资产要设置专人管理,定期维护,避免损坏、非授权使用或丢失。
涉及服务性的合同,相关管理部门在签署合同时,应审核涉及信息保密的相关条款。
第二十六条当服务性设施损坏,如果可以维修,由负责人联络相关人员进行维修,如果涉及到第三方,依据《用户管理制度》对第三方进行管理。
第二十七条当服务性设施损坏,不可维修,只能报废时,应联络相关管理部门提出报废申请。
第五章安全设备管理(一)设备的选型第二十八条严禁采购和使用未获得销售许可证的信息安全产品。
第二十九条应优先采用我国自主开发研制的信息安全技术和设备。
第三十条避免采用境外的密码设备。
第三十一条如需采用境外信息安全产品时,必须确保产品获得我国权威机构的认证测试和销售许可证。
第三十二条使用经国家密码管理部门批准和认可的国内密码技术及相关产品。
第三十三条终端物理隔离必须使用国家保密局认可的隔离卡或采用国家保密局认可的其他方式。
(二)设备检测第三十四条信息系统中的所有安全设备必须符合中华人民共和国国家标准《数据处理设备的安全》、《电动办公机器的安全》中规定的要求,其电磁辐射强度、可靠性及兼容性也必须符合安全管理等级要求。
(三)设备安装第三十五条设备符合系统选型要求并获得批准后,方可购置安装。
第三十六条凡购回的设备均须在测试环境下经过连续72小时以上的单机运行测试和联机48小时的应用系统兼容性运行测试。