信息资产及分级管理程序

信息资产分类分级流程下载温馨提示:该文档是我店铺精心编制而成，希望大家下载以后，能够帮助大家解决实际的问题。

文档下载后可定制随意修改，请根据实际需要进行相应的调整和使用，谢谢!并且，本店铺为大家提供各种各样类型的实用资料，如教育随笔、日记赏析、句子摘抄、古诗大全、经典美文、话题作文、工作总结、词语解析、文案摘录、其他资料等等，如想了解不同资料格式和写法，敬请关注!Download tips: This document is carefully compiled by theeditor. I hope that after you download them,they can help yousolve practical problems. The document can be customized andmodified after downloading,please adjust and use it according toactual needs, thank you!In addition, our shop provides you with various types ofpractical materials,such as educational essays, diaryappreciation,sentence excerpts,ancient poems,classic articles,topic composition,work summary,word parsing,copy excerpts,other materials and so on,want to know different data formats andwriting methods,please pay attention!信息资产分类分级流程是对组织内的信息资产进行分类和分级的过程，以便更好地管理和保护这些资产。

XXXXXX软件有限公司人性化科技提升业绩信息资产分类分级管理程序目录1.目的和范围 (2)2.引用文件 (2)3.职责和权限 (3)4.信息资产的分类分级 (3)4.1信息资产的分类 (3)4.2信息资产的分级管理 (4)4.3信息资产分类指导 (5)5.信息分级标识 (5)5.1分级标识编号 (5)5.2公司绝密、机密信息定义 (6)5.3各密级知晓范围 (6)5.4分级标识编号可作为分级标识使用 (7)6.公司秘密信息使用管理 (8)6.1涉密信息的保管 (8)6.2涉密信息的访问限制 (9)6.3涉密信息的使用 (10)6.4涉密信息发送 (12)6.5涉密信息的废弃处置 (13)7.保密原则 (14)1.目的和范围为降低公司重要资产因遗失、损坏、篡改、外泄等事件带来的潜在风险，这些风险将对公司的信誉、经营活动、经济利益等造成较大或重大损失，需要规范信息资产保护方法和管理要求，特制订本管理制度。

本规定适用于本公司信息资产的安全管理，适用对象为本公司员工和所有外来人员。

特殊岗位或特殊人员，另有规定的从其规定。

公司信息资产是指一切关系公司安全和利益，在保护期内只限一定范围内人员知悉、操作、维护的事物、文档、项目、数据等资源。

2.引用文件1)下列文件中的条款通过本规定的引用而成为本规定的条款。

凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励各部门研究是否可使用这些文件的最新版本。

凡是不注日期的引用文件，其最新版本适用于本标准。

2)GB/T 22080-2016/ISO/IEC 27001:2013 信息技术-安全技术-信息安全管理体系要求3)GB/T 22081-2016/ISO/IEC 27002:2013 信息技术-安全技术-信息安全管理实施细则4)《备份管理规定》5)《访问控制程序》6)《文件控制程序》3.职责和权限本管理规定作为全公司范围信息类资产的最低管理要求，各部门或各项目组，均可以根据客户要求，添加补充策略，并在本部门、本项目组内实施，与本规定一起，作为信息安全管理的工作指南。

信息资产识别、分类和管理的相关技术和流程第一章总则第一条本规定适用于全公司信息资产的管理。

第二条本规定是为加强对本公司信息资产的管理，保障信息资产安全，防止信息资产损毁、误用和非授权访问，确保信息资产的保密性、完整性和可用性，特制订本规定。

第三条本规定适用于本公司针对信息资产进行分级分类保护以及相应的管理活动。

第二章组织与职责第四条系统管理员：负责对本公司信息化资产的日常管理。

第五条信息办安全员：负责对本公司信息资产的分级分类以及相应的安全管理和监督。

第三章管理规定第一节信息资产分类第六条所有信息资产都应指定资产责任人，并由资产责任人负责进行相关资产的识别、统计、分类、分级和实施相应的保护措施，需从安全责任划分资产所有者（即资产责任人）、维护者以及使用者，并填写《信息资产登记表》。

第七条信息资产按形式不同可以分为五类：数据和文档资产、软件资产、实物资产、人员资产和服务资产。

其中数据和文档资产主要包括业务数据和记录、各类管理制度、管理文档、办公文档以及外来的数据文件等。

具体如下：（一）数据和文档资产：通常包括各种电子档：业务数据、客户数据、配置文件、记录数据（日志、审计记录）、管理文件（策略、流程文件、操作手册等）、商务文件（合同、协议等）以及外来数据文件等。

也包括以实物方式存在的资产：各类电子数据的归档、打印件、书面管理文件、业务报表、包含重要商业成果的文件，还有胶片等。

（二）软件资产：各种系统软件、应用软件和工具软件，包括操作系统、数据库应用程序、网络软件、业务系统程序等，这些软件资产负责处理、存储或传输各类信息。

（三）实物资产：与业务相关的IT物理设备，包括计算机（工作站和服务器等）和网络通信设备、磁盘、装置、环境等，这些实物资产容纳着软件和数据文件。

（四）人员资产：承担某项与业务活动相关责任的角色和职位。

例如普通用户、系统管理员、信息办安全员等，这些人员与各类数据、软件和实物资产的操作直接相关。

信息系统安全分级管理1目的为有效保护 xxx内信息中心的信息资产，有效管理、使用、传递、存储及处理各类信息，通过适当的分类方法将信息划分为不同的保护等级,明确保护要求,确保其受到适当级别的保护,保证信息的安全，特制定本管理程序。

2职责信息中心为本院信息分类及管理工作的管理部门，负责：1)制定信息分类管理办法及措施；2)对各类关键信息进行备案；3)负责牵头查处相关部门的失、泄、窃密事件。

3管理规范3.1信息的分类根据信息在本单位信息化管理中的重要程度,考虑信息在机密性,完整性和可用性的综合影响,将信息划分为:关键信息、重要信息及一般信息。

3.1.1关键信息：为本院关键信息，如果遭受破坏或泄露会使导致关键信息系统故障或难以恢复，造成本院经济利益、公众信誉受到重大损害。

3.1.2重要信息：为本院重要信息，如果遭受破坏或泄露会导致重要业务系统故障或难以恢复，造成日常工作遭受损害、干扰和影响，本院经济利益、公众信誉受到一定损害。

3.1.3一般信息：为本院一般信息，如果遭受破坏或泄露不会使日常工作遭受损害，但不宜向外部公开的信息。

3.1.4信息载体是指记载有信息或数据的纸类、电磁类及其它媒体（软盘、硬盘、光盘、磁带等）。

信息的分类、必须按分类的定义和划分要求，对信息进行分类、标识及管理。

3.2信息的标识3.2.1信息在确定级别后，应做好标识。

3.2.2我院信息化管理部门仅对关键、重要信息进行标识。

3.2.3信息系统数据类、信息系统配置类信息的标识在所在系统设备的资产识别表中体现。

3.2.4文档类信息的标注方法为：关键信息用“G”、重要信息用“Z”标识，字体使用仿宋、三号黑体。

3.2.5文档类信息的标注位置应在封面、眉头或首页的右上角进行分类标注，或者标注在包装的明显处。

3.3信息的保管3.3.1关键信息1)纸制的重要信息必须落实专人保管并存放于上锁的箱或柜中，有条件的应存放于保险柜中；2)电子（以软盘、光盘、U盘，移动硬盘等媒介存储）的关键信息应设置访问权限，有条件的考虑加密存储，并视同纸制档案进行管理；3)存储在服务器中的关键信息，必须落实相应的保密安全措施、访问权限控制措施，未采取安全保密措施的不得与互联网连接，特权帐号口令必须分段管理及双因素认证。

第一章总则第一条为加强我单位信息资产安全管理，确保信息安全，依据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》等相关法律法规，结合我单位实际情况，制定本制度。

第二条本制度适用于我单位所有信息资产，包括但不限于信息系统、网络设备、存储设备、移动存储设备、数据等。

第三条信息资产安全管理工作应遵循以下原则：1. 预防为主，防治结合；2. 安全责任到人，明确分工；3. 技术与管理相结合；4. 依法依规，持续改进。

第二章信息资产分类与分级第四条信息资产根据其重要性、敏感性、影响范围等因素进行分类和分级。

第五条信息资产分类：1. 核心资产：涉及国家安全、公共利益、重大社会影响的资产；2. 重要资产：涉及单位关键业务、重要职能的资产；3. 一般资产：除核心资产和重要资产外的其他资产。

第六条信息资产分级：1. 特级：对国家安全、公共利益、重大社会影响具有特别重要性的资产；2. 一级：对国家安全、公共利益、重大社会影响具有重要性的资产；3. 二级：对国家安全、公共利益、重大社会影响有一定重要性的资产；4. 三级：对国家安全、公共利益、重大社会影响影响较小的资产。

第三章信息资产安全管理制度第七条信息资产安全管理制度包括：1. 信息资产安全管理制度体系；2. 信息资产安全风险评估与控制；3. 信息资产安全防护措施；4. 信息资产安全事件处理；5. 信息资产安全教育与培训；6. 信息资产安全监督检查。

第八条信息资产安全管理制度体系：1. 制定信息资产安全管理制度；2. 明确信息资产安全管理组织架构及职责；3. 建立信息资产安全管理制度评审、修订机制。

第九条信息资产安全风险评估与控制：1. 定期开展信息资产安全风险评估；2. 根据风险评估结果，制定相应的安全防护措施；3. 对重要信息资产实施重点监控。

第十条信息资产安全防护措施：1. 物理安全防护：确保信息资产物理安全，防止信息资产丢失、损坏、被窃取；2. 网络安全防护：加强网络安全防护，防止网络攻击、入侵、病毒感染；3. 数据安全防护：对重要数据实施加密、备份等措施，防止数据泄露、篡改；4. 信息系统安全防护：定期对信息系统进行安全检查、漏洞修复，确保信息系统安全稳定运行。

资产管理程序1目的为规范资产的识别和分级、标识和处理、以及生命周期管理,并对组织资产、交付服务的资产实现保护，特制定本规定。

2范围2.1本规定适用于组织资产、交付服务的资产管理，包括但不只限于资产识别及使用授权管理、信息分类和标记管理、资产分配和归还管理、信息介质使用处理及介质传递管理。

2.2本规定适用于信息安全管理体系范围内资产的所有者、管理者和使用者。

3术语1.1资产指对组织具有价值的信息或资源，是安全策略保护的对象，资产的类型有基本资产和支持性资产。

3.2基本资产包括信息、业务过程或活动。

4.3支持性资产包括软件、硬件、网络、场所、人员和组织。

5.4资产责任人是指使用资产并对该资产负有管理责任的人或实体。

4组织和职责4.1资产使用部门的职责如下：4.1.1识别本部门所有的全部资产；4.1.2对本部门的资产进行风险评估；4. 1.3选择并实施保护本部门资产的控制措施；5. 1.4指定资产责任人；4. 1.5制定本部门的资产使用规划。

4.2信息安全管理部门的职责如下：4. 2.1制定资产分类、编码、标识规范；4. 2.2制定资产风险评估方法和接受标准；4. 2.3指导各部门执行资产管理和风险评估；6. 2.4定期开展内部资产安全检查和评审。

4.3运维服务部门的职责如下：负责对用于交付服务的资产进行管理，确保满足服务要求，以及相关策略、标准、法律法规和合同要求的义务以及这些义务如何在SMS和服务中得到履行。

5资产使用管理5.1应识别所有资产及其属性，形成资产管理文件。

5.2资产的识别应遵从如下原则：7.2.1相互独立原则：识别出的资产应没有概念上的重合；5.2.2颗粒适度原则：指所识别资产的颗粒度既能满足进行各项管理工作的要求，又符合相互独立原则；5.2.3完全穷尽原则：应识别信息安全管理体系范围内的所有资产。

5.3资产分类包括基本资产和支持性资产构成：5.3.1基本资产包括：信息、业务过程或活动；5.3.2支持性资产包括软件、硬件、网络、场所、人员和组织。

附录24信息资产安全管理制度目录1、目标 (3)2、资产分类 (3)3、信息资产使用控制 (3)信息资产管理1、目标为加强对医院信息资产的管理，保障信息资产安全，防止信息资产损毁、误用和非授权访问，确保信息资产的保密性、完整性和可用性，特制订本制度。

本规定适用于信息科及其他相关部门针对信息资产进行分级分类保护以及相应的管理活动。

2、资产分类所有信息资产都应指定资产责任人，并由资产责任人负责进行相关资产的识别、统计、分类、分级和实施相应的保护措施，需从安全责任划分资产所有者（或所有部门）、维护者以及使用者。

根据信息资产的CIA，将资产的重要程度为：重要、一般、非重要；对于新资产，资产负责人需根据资产CIA对每个资产进行分类。

3、信息资产使用控制一、实物资产的使用1. 实物资产的接收和发出●实物资产的接收和发出按固定资产管理方面的管理规定执行；●接收到新的信息资产后，由部门信息安全管理员对信息资产重要程度进行标识；2. 新增的硬件和与IT相关的环境设施在经过必要的安装、配置和性能调优后，才能并入医院的网络系统。

3. 需要对主干网络、主机、网络设备、安全设备和 UPS等重要环境设施的性能和运行状况进行日常监控和维护。

4. 控制的所有硬件类资产都应按照《办公区域安全管理制度》进行保护，机房内的设备要按照《机房安全管理制度》的规定进行保护。

5. 未经批准，资产不得随意移动位置或带出医院的物理安全区域。

二、软件类资产的使用1. 医院办公计算机不得使用未经批准的软件，系统软件应根据需要及时进行补丁更新；2. 计算机采取必要的措施防范病毒、木马和流氓软件等恶意程序；3. 采购软件类资产，要选择软件开发商，进行软件测试，必要时要进行原代码审查，以确保采购软件安全；4. 所有存储软件的介质应当妥善保存。

三、信息类资产的使用1. 信息资产的保密管理●对重要信息资产实施严格的安全与保密管理，防止系统数据的非法生成、变更、泄露、丢失与破坏；●一般及以上信息资产不得泄露，禁止外传；●重要信息资产的处理过程中，被批准使用数据人员以外的其它人员不应进入机房工作；处理结束后，应清除不能带走的本作业数据；妥善处理打印结果，任何记有重要信息的废弃物在处理前应进行粉碎；●各业务数据仅用于明确规定的目的，未经批准不得它用；●无正当理由和有关批准手续，不得查阅重要信息资产资料；经正式批件查阅数据时必须登记，并由查阅人签字；●重要信息资产不得以明码形式存储和传输；2. 信息类资产的访问控制管理●对信息资产的备份、恢复、转出、转入的权限都应严加控制。

信息资产管理制度1)职责信息中心1.负责检查数据资产的安全管理情况。

2.负责本文件的编制和管理；3.负责固定资产的管理，包括固定资产的采购、记录、变更、报废等；4.负责备品备件的出入库管理；5.负责对有形资产进行分类、分级和标记；6.负责对备品备件进行分类；7.在有形资产发生变更、报废或销毁时，负责检查资产中信息的处理情况。

8.负责检查台帐、信息系统中信息资产相关记录，并将记录情况纳入考核计划中。

各部门1.按资产的使用规则和限制，正确使用信息资产；2.在有形资产和备品备件发生变更、报废或销毁时，负责检查并向信息中心报告介质中____。

2)工作程序资产的分类分级1.资产分类分为关键资产和非关键资产：Ø关键资产。

对业务连续性和系统可用性影响大的资产(价格或价值较高的资产)。

Ø非关键资产。

对业务连续性和系统可用性影响小的资产(价格或价值较低的资产)。

资产的登记与标记1.信息中心对固定资产进行分类分级、登记，确定该资产的类型、用途、位置、格式、规格、价值等具体信息；2.信息中心根据发放的资产清单及设备标牌，对有形资产进行粘贴标记，各部门指定资产责任人，由资产责任人对所负责的资产进行保护；3.各部门在资产新增、更新、调拨、报废时，向信息中心提出需求，由信息安全领导小组审核，报主管领导批准后按照相关规定执行；4.信息中心定期检查有形资产的标记与使用情况，对资产丢失，标签缺损的情况进行记录，并纳入各部门考核；5.各部门对本部门管理的数据资产进行归类和统计，对电子文件采用统一样式的电子标记进行标识。

资产的使用与维护1.信息中心信息资产使用规范说明，包括使用授权、管理方式、操作方法、移动管理等，报信息安全领导小组备案。

2.各部门工作人员，包括雇员、承包方人员和第三方人员应明确到他们使用信息资产时的限制条件，应对信息资产的使用和管理负责。

3.各部门人员应确保在采用移动介质进行数据传输时，传输完毕应及时删除介质上保留的数据信息，对于只读介质，由本部门信息安全专员进行保存；4.各部门的存储介质在长期存储时，信息安全专员应确保本部门介质贮存地点应符合防火、防水、防震、防潮、防霉、防鼠害、防虫蛀、防静电、防磁等方面的安全要求，介质的存储要符合介质生产商对介质存储的要求；5.各部门定期对本部门存储介质中的数据进行备份和恢复测试，并进行测试记录，防止由于介质老化而导致的重要信息丢失；6.涉及国家____的信息通过移动介质进行存储时，各部门应参照国家有关规定执行。