信息资产和设备管理系统规章制度
信息资产管理制度范文(三篇)
信息资产管理制度范文第一章总则第一条目的和意义为了加强对信息资产的管理和保护,保障信息资产的完整性、可用性和机密性,防止信息资产被非法获取、使用、传输、损坏及泄露,确保信息系统的正常运行和网络安全,制定本制度。
第二条适用范围本制度适用于公司内所有信息资产的管理和保护。
第三条定义1. 信息资产:指在信息系统中产生、传输、处理和存储的各种数据和信息。
2. 信息系统:指由计算机硬件、软件、网络设备及其相关设备组成的用于处理和传输信息的系统。
3. 信息资产管理:指对公司信息资产进行规划、采购、使用、维护、监控和处置的全过程管理。
4. 信息安全:指保障信息资产的完整性、可用性和机密性,并防止信息被非法获取、使用、传输、损坏及泄露的状态。
5. 信息资产管理制度:指规范公司信息资产管理和保护的制度和规定。
第二章信息资产保护责任第四条资产归属责任1. 各部门和岗位应清楚明确自己所属的信息资产,并保证其安全和完整。
2. 各部门和岗位负责人应对所属信息资产进行定期巡检和核查,确保其安全和可用性。
第五条信息资产管理岗位职责1. 信息资产管理部门应负责制定和完善信息资产管理制度,监督和检查各部门和岗位的信息资产安全工作。
2. 信息资产管理部门应定期对信息资产进行风险评估和漏洞扫描,及时修复安全漏洞。
3. 信息资产管理部门应负责对信息资产进行备份和恢复,以保障信息的持续可用性。
第三章信息资产的分类和保护第六条信息资产分类1. 根据重要程度和敏感程度,将信息资产分为三个等级:高级、中级和低级。
2. 高级信息资产:包括公司重要的商业机密、核心技术资料等,需要加强保密和防护。
3. 中级信息资产:包括公司一般业务数据和客户信息等,需要进行适当保护。
4. 低级信息资产:包括一般办公数据和公开信息等,需要进行基本保护。
第七条信息资产保护措施1. 高级信息资产应采取以下措施进行保护:(1) 严格的访问控制:权限分级制度、二次认证等。
(2) 数据加密:对重要数据进行加密存储和传输。
2024年信息资产和设备管理制度(三篇)
2024年信息资产和设备管理制度第一章绪论1.1背景随着信息技术的不断发展,企业和组织的信息资产和设备变得越来越重要。
信息资产包括:数据、文档、软件应用程序、硬件设备等;设备包括:服务器、网络设备、存储设备等。
有效地管理信息资产和设备对于保障信息安全、提高工作效率至关重要。
为了更好地保护信息资产和设备,制定一套科学合理的管理制度势在必行。
1.2目的本制度的目的是为了规范信息资产和设备的管理行为,明确责任与权限,规范操作流程,提高信息安全等级,保护信息资产和设备的完整性、可用性和可靠性,确保信息资产和设备能够按照业务需求稳定运行,防范各类威胁和风险。
第二章信息资产管理2.1 信息资产分类与登记2.1.1 信息资产按照机密程度进行分类,分为高、中、低三个级别,并根据实际需要进行细分。
2.1.2 所有信息资产必须进行登记,登记内容包括:资产名称、分类、责任人等信息。
2.1.3 高级别信息资产必须进行特殊登记,并按照特定的安全要求进行保护。
2.2 信息资产归口管理2.2.1 制定信息资产的归口管理机构,并明确责任人和权限。
2.2.2 归口管理机构负责制定信息资产管理的策略、标准和流程,并进行监督和检查。
2.3 信息资产的申请和审批制度2.3.1 任何人需要使用信息资产必须提出申请,并按照规定的流程进行审批。
2.3.2 审批人必须慎重考虑申请人的需求和信息资产的安全风险,做出合理的决策。
2.4 信息资产的备份和恢复2.4.1 所有信息资产必须定期进行备份,并确保备份数据的完整性和可用性。
2.4.2 针对不同级别的信息资产,制定不同的备份和恢复策略。
2.5 信息资产的处置2.5.1 信息资产使用寿命到期或者已经损坏的,必须进行处置,确保其中的信息不会被泄露。
2.5.2 处置信息资产的流程必须规范,并记录相关信息。
第三章设备管理3.1 设备采购管理3.1.1 设备采购必须符合法律法规和相关标准,采购过程必须透明公开。
公司信息资产安全管理制度
公司信息资产安全管理制度一、总则为有效防范信息安全风险,确保公司信息资产的安全、完整与可用,特制定本制度。
本制度适用于公司内所有涉及信息处理、存储及传输的部门与个人,旨在通过规范管理,提升公司整体的信息安全防护能力。
二、信息资产分类与评估公司应根据信息资产的重要性和敏感性进行分类,通常分为公开级、内部级、秘密级和机密级四个等级。
每个等级的信息资产应定期进行风险评估,包括识别潜在的威胁、漏洞以及可能造成的影响,并据此制定相应的保护措施。
三、物理安全管理物理安全是信息安全的基础。
公司应确保重要信息资产所在区域的物理安全,包括对数据中心、服务器室等关键区域实施访问控制、监控摄像以及防火、防水等灾害防护措施。
四、网络安全管理网络是信息传输的主要渠道,也是安全威胁频发的区域。
公司应部署防火墙、入侵检测系统、病毒防护软件等网络安全设施,并定期更新维护。
同时,对于远程访问、无线网络等特殊场景,应加强认证和加密措施。
五、数据安全管理数据是信息资产的核心。
公司应对敏感数据进行加密处理,并实施备份策略以防数据丢失。
对于数据的传输和共享,应采取严格的权限控制和审计跟踪,确保数据的安全使用。
六、应用系统安全应用系统是信息处理的平台。
公司应对所有应用系统进行安全设计,包括用户身份验证、权限分配、操作日志记录等功能。
对于第三方服务和应用,应进行安全审查和风险评估。
七、人员安全管理人是信息安全的关键因素。
公司应对员工进行安全意识教育和培训,明确各自的安全责任。
对于涉及敏感信息资产的工作人员,应进行背景审查,并签订保密协议。
八、应急响应与事故处理公司应建立应急响应机制,制定详细的安全事故响应流程。
一旦发生安全事件,能够迅速采取措施,减少损失,并对事件进行彻底调查,总结经验教训,防止类似事件再次发生。
九、监督与审计公司应定期对信息资产安全管理制度执行情况进行监督和审计。
通过内部审计或邀请第三方机构进行审计,确保各项安全措施得到有效执行。
信息资产和设备管理制度(三篇)
信息资产和设备管理制度是指为了保护和管理组织的信息资产和设备而制定的规章制度。
该制度的目的是确保信息资产和设备的安全、完整和可用性,以及防止信息资产和设备的滥用、丢失或损坏。
该制度通常包含以下内容:1. 机构信息资产的分类和标识:明确识别和分类不同类型的信息资产,为其分配适当的标识,以便进行管理和保护。
2. 信息资产和设备的归属和责任:确定信息资产和设备的所有者,并规定他们的责任和义务,包括确保资产和设备的安全和保密性。
3. 信息资产和设备的访问控制:制定适当的访问控制措施,确保只有经授权的用户才能访问和使用信息资产和设备。
4. 信息资产和设备的保护:包括物理安全措施(如锁定设备,限制访问)和技术安全措施(如防火墙,加密)以保护信息资产和设备免受未经授权的访问和攻击。
5. 信息资产和设备的备份和恢复:制定备份和恢复策略,以确保在发生故障或灾难时能够及时恢复信息资产和设备的正常运行。
6. 信息资产和设备的处置:制定信息资产和设备的处置政策,包括安全地销毁或转移信息资产和设备,以防止敏感信息的泄露。
7. 安全意识培训:组织对员工进行安全意识培训,提高他们对信息资产和设备管理的重要性的认识,以及如何遵守相关政策和程序。
通过建立和执行信息资产和设备管理制度,组织能够更好地保护其重要的信息和设备,并降低信息泄露和失误的风险。
信息资产和设备管理制度(二)1. 介绍信息资产和设备是组织内保留敏感和重要信息的关键资源。
为了保护这些资产和设备,制定和执行适当的管理制度是至关重要的。
该制度的目标是确保信息资产和设备的完整性、可用性和机密性。
2. 适用范围该制度适用于所有使用、管理和维护信息资产和设备的组织成员。
3. 责任和权限3.1 信息资产负责人- 负责制定和实施信息资产管理策略和程序- 定义信息资产的分类和重要性级别- 确保合适的控制措施被采取并得到适当的管理和维护- 协助发现和处理信息资产的安全事件3.2 设备管理员- 管理所有信息设备的购买、配置和维护- 确保设备的安全和可用性- 定期检查设备的安全漏洞并修复- 维护设备清单和更新记录3.3 信息使用者- 遵守信息资产和设备管理制度中的政策和程序- 妥善处理和保护信息资产和设备- 及时报告任何安全事件或问题4. 信息资产管理4.1 分类所有信息资产都应该根据其重要性级别进行分类。
信息化设备管理制度(4篇)
信息化设备管理制度是指为了科学、规范地管理机构内部的信息化设备而制定的一套制度和规章。
这个制度旨在确保信息化设备的正常使用,提高工作效率和数据安全性。
以下是一个可能包含的内容:1. 设备分类与命名:确定不同设备的分类,例如服务器、电脑、打印机等,并为每个设备命名、编码,以便管理和追踪。
2. 设备采购与入库:明确设备申请、采购、验收等流程,确保设备的质量和数量与实际需求相符。
3. 设备领用与归还:规定设备领用的流程和权限,记录设备的借用情况,设立归还的时间要求和程序。
4. 设备运维与维修:明确设备的日常维护和保养要求,确保设备的正常运行和延长使用寿命;制定设备故障报修的流程,及时维修故障设备。
5. 设备报废与处理:制定设备报废的标准和程序,如设备超过一定年限或无法修复,需报废并进行处理,确保设备的注销和退库。
6. 设备安全与保密:制定设备操作的安全规定,包括设备网络安全、防病毒、备份与恢复等措施,确保设备数据的安全和保密。
7. 设备使用培训与考核:规定设备的使用培训计划和要求,确保员工熟练操作设备,同时定期进行设备使用的考核。
8. 设备清查与盘点:制定设备清查和盘点的制度,定期进行设备清查和盘点工作,核对设备数量和状态。
9. 设备处罚与奖励:规定设备使用不当或不合规的处罚措施,并制定设备使用规范的奖励措施,激励员工遵守制度。
这些内容可以根据机构的实际情况进行调整和完善,形成一套适合自己机构的信息化设备管理制度。
信息化设备管理制度(2)是对组织中的信息化设备进行规范化管理的一系列制度和措施。
该制度旨在保障信息化设备的安全、稳定运行,防止信息泄露和滥用等风险,提高信息化设备的利用效率和管理水平。
信息化设备管理制度通常包括以下内容:1.设备申请和采购:规定信息化设备的申请、审批和采购流程,确保设备的合理购买和使用。
2.设备验收和入库:规定信息化设备的验收标准和流程,确保设备的质量和完整性。
3.设备使用和维护:规定设备的使用规范和维护流程,包括设备的开机和关机规定、操作规范、定期维护和保养等。
信息系统资产安全管理制度
信息系统资产安全管理制度一、引言随着信息化时代的到来,在公司日常运作中信息系统已变得越来越重要。
信息系统是公司的核心资产,因此信息系统资产的安全管理是建设健康可持续的公司最为重要的方面之一。
为了保障公司信息系统资产的安全,本文将制定一套信息系统资产安全管理制度。
二、制定背景及目的信息系统作为公司关键资产之一,是公司的重要支撑物,对其稳定运作至关重要。
信息系统资产的安全管理非常重要,必须加强保护以防止未经授权的访问、破坏或盗用。
为了保护公司信息系统资产的安全,制定一套信息系统资产安全管理制度。
三、管理原则1.安全优先:安全管理要以保障信息系统资产的保密性、完整性和可用性为首要原则。
2.风险管理:信息系统资产安全管理应该是风险管理的过程,为增加安全性的同时必须要考虑到风险成本。
3.遵纪守法:信息系统资产安全管理要遵守国家相关法律、法规、政策的规定,不得涉及到违反法律的行为。
4.分工合作:所有与信息系统资产安全相关的部门和人员随时应该密切配合、协作,以确保信息系统的安全。
四、制度内容1.信息系统资产安全管理流程1.1 安全策略制定和审定安全策略是规划和控制信息系统安全的基础,必须与上级领导审批并公布。
每年需要对现有安全策略进行评估和修订。
1.2 安全保障计划制定和实施制定相应安全保障措施,确保符合安全策略的要求。
信息资产管理员应与系统管理员、网络管理员等部门配合,制定相应计划并实施。
1.3 安全管理评估定期评估信息系统资产安全管理制度的有效性和实施情况。
并根据评估结果对制度进行修订完善。
2.信息系统资产安全管理职责2.1 部门职责公司各部门都有各自的职责,其职责内容如下:1.业务部门:按照操作和管理流程和指导文件的要求,及时上报或处理与其业务相关的安全事件。
2.IT部门:向业务部门提供安全需求评估、安全保障方案等咨询服务,并对用户的安全方面的问题进行及时的处理和解答。
3.安全部门:负责信息系统的保密性、完整性和可用性的保障工作,建立企业安全保障规章制度和内部管理制度,并对公司的重要操作过程进行监控。
信息资产管理制度模版(四篇)
信息资产管理制度模版信息资产管理制度模板(____字)第一章总则第一条为了有效管理和保护企业的信息资产,提高信息安全管理水平,确保信息资产的安全、完整、可靠、可用,维护企业的合法权益,制定本制度。
第二条本制度适用于本企业的所有信息系统、网络、设备、数据等相关资源,以及涉及到的所有工作人员。
第三条信息资产管理的目标:确保信息资产的保密性、完整性和可用性;防止信息资产的丧失、泄露、毁坏和篡改;提高信息安全的意识和水平;合理利用信息资源,提高工作效率和业务竞争力;建立规范的信息资产管理制度和流程。
第四条信息资产管理的原则:依法合规、分类分级、系统管理、风险管理、全员参与、持续改进。
第五条本制度的术语解释:1. 信息资产:指企业所拥有的各类信息资源,包括但不限于:设备、设施、网络、软件、数据、文档、知识产权、商业秘密等。
2. 信息资产管理:指对信息资产进行全面、系统、有效的管理和保护的过程。
3. 信息资产管理制度:指为实现信息资产安全管理目标,规范信息资产管理工作的一系列规章制度和流程文件。
第二章信息资产管理的组织和责任第六条信息资产管理应建立专门的管理组织机构,设立信息资产管理中心,负责组织、协调、监督和评估信息资产管理工作。
第七条信息资产管理中心应设置合适的岗位和人员,并明确各岗位的职责和权限。
第八条信息资产管理中心的主要职责包括:1. 制定、修订和实施信息资产管理制度和相关规定;2. 组织开展信息资产安全评估和风险评估工作;3. 组织开展信息安全培训和宣传工作;4. 组织开展信息资产的安全监控和应急响应工作;5. 组织开展信息资产的合规审查和内部审核工作;6. 与相关部门进行沟通协调,推进信息资产管理工作。
第九条各部门和单位应配合信息资产管理中心的工作,并按照相关制度和流程履行信息资产管理的职责。
第十条信息资产管理中心应定期向高层管理层报告信息资产管理的情况和问题,并提出改善和优化的建议。
第三章信息资产的分类和分级保护第十一条按照信息资产的重要性和敏感程度,将信息资产分为不同的分类和分级。
信息化规章制度
信息化规章制度
为了规范和管理公司的信息化工作,保障信息系统的安全稳定运行,特制定以下规章制度:
一、信息化设备管理。
1. 所有信息化设备必须经过公司指定的部门审核并登记,未经审核和登记的设备不得接入公司网络。
2. 信息化设备的维护和保养由专业人员负责,定期进行检查和维护,确保设备的正常运行。
3. 严禁私自擅自更改信息化设备的配置和设置,一经发现将受到严厉处罚。
二、信息系统安全管理。
1. 所有员工必须严格遵守公司的信息安全政策,不得泄露公司机密信息。
2. 禁止未经授权的人员访问公司的信息系统,未经授权的访问
行为将受到严厉处罚。
3. 定期对公司的信息系统进行安全检查和漏洞修补,确保系统
的安全稳定运行。
三、信息化数据管理。
1. 所有员工必须按照公司的规定对信息化数据进行备份和存储,确保数据的安全和可靠性。
2. 禁止私自删除或篡改公司的信息化数据,一经发现将受到严
厉处罚。
3. 对于重要的信息化数据,必须进行加密和权限控制,防止数
据泄露和损坏。
四、信息化使用规范。
1. 员工在使用公司的信息化设备和系统时,必须遵守公司的相
关规定,不得进行违法和违规的操作。
2. 禁止在公司的信息化设备和系统上进行个人非工作相关的活动,包括但不限于玩游戏、观看视频等。
3. 对于公司的信息化设备和系统,必须进行合理使用和节约用电,避免浪费资源。
以上规章制度,凡公司员工必须严格遵守,违反规定将受到相应的处罚。
同时,公司将定期对规章制度进行修订和完善,确保信息化工作的安全和顺利进行。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息资产和设备管理制度第一章范围及职责第一条本制度适用于信息资产的管理,包括:获取、分类、使用和处置以及安全设备的管理。
第二条本制度中的信息资产是指可以存储信息数据的信息载体,包括:硬件、软件、数据(电子数据)、文档(纸质文件)、人员、服务设施、其他。
第三条某某单位办公室(以下简称:办公室)主要负责信息资产的分类、汇总、使用与处置方法,以及安全设备的选型、检测、安装、登记、使用、维护和储存。
第四条计算机资产统计信息的范围包含但不限于:计算机主机名、IP地址、MAC地址、使用人/责任人、所属部门、物理位置、服务器的内外网IP对应等。
第二章信息资产的获取第五条软件、硬件设施、服务性设施等的获得主要以采购的方式获得,采购按照有关规定进行采购和验收。
第六条数据信息资产的获得来源主要为:外包供应商、市场信息、其他信息。
第三章信息资产的分类第七条各部门根据业务流程列出信息资产清单并将每项资产的资产类别、信息资产编号、资产现有编号、资产名称、所属部门(组别)、管理者、使用者、地点等相关信息记录在资产清单上。
第八条资产的分类原则和编号原则如下:1、硬件1)计算机设备:(台式机、笔记本)、服务器;2)存储设备:磁带机、磁盘整列、磁带、光盘、软盘、移动硬盘等;3)网络设备:路由器、交换机、网关、程控交换机等;4)传输线路:光纤、双绞线、电话线(布线)、电源线;5)安全设备:硬件防火墙、入侵检测、网络隔离设备(如网闸)、身份验证等;6)办公设备:打印机、复印机、扫描仪、传真机、碎纸机、写字白板、应急照明设备等;7)保障设备:动力保障设备(UPS、变电设备)、空调、保险柜、文件柜、门禁、消防设施等;8)其他设备;2、软件如:操作系统、系统软件(office/AutoCAD)、应用软件(生产软件)、网管软件、杀毒软件、财务软件、开发工具和资源库等;3、电子数据存在电子媒介的各种数据资料。
如:源代码、数据库数据、各种数据资料、系统文档、运行管理规程、计划、日周月报告、财务报告(电子版本)、用户手册、方案、电子设计图纸等;4、纸质文件纸质的各种文件。
如:传真、电报、合同、纸张图纸等;5、服务性设施如:供电、供水、保洁、门禁、消防设施等;6、人员如:各级领导、各级正式雇员、临时雇员等;7、其他。
第九条按照《涉及国家秘密的信息系统分级保护技术标准》和信息安全管理体系建设要求,按照信息资产的公开和敏感程度,将信息资产化分为不同的保护等级,并对不同等级的信息资产进行保护,确保信息安全。
各部门要将所有的移动介质和电子文件按照敏感性和重要程度分为不同的保护等级,保密级别与保密期限由持有人自行定义。
第十条识别各个流程的各类关键信息资产,最终办公室汇总,并每半年进行一次更新,确保重要信息资产的完备性(重要信息资产没有遗漏和缺失)和准确性(信息资产的保密级别和重要程度能够真实反映信息资产的状态)。
第十一条对信息资产进行编号,同时对重要信息资产进行标识:文档需有固定版本编号规则;硬件设备粘贴在设备明显位置处。
第四章信息资产的使用和处置(一)硬件资产的使用和处置第十二条硬件的使用处置包括购买/接收、使用(交接、维修、重用)、处置等有关内容。
第十三条购买新的硬件设备或者从其他部门接收转移的设备时,要核对设备清单,对相关设备进行测试验证,然后登记。
由资产管理员对硬件设备进行管理,明确设备管理职责。
第十四条硬件资产的保存1、机房选址要避免在地下室、一楼(水淹和渗水)和顶层(渗水和失火时火向上燃烧),同时考虑相邻楼层的活动(避免热源和渗水);2、处理敏感数据的信息处理设施放在适当安全的位置,以减少在设备在使用期间信息被窥视的风险,保护储存设施以防止未授权访问;3、设备的选址应采取控制措施以减小潜在的物理威胁的风险,例如偷窃、火灾、爆炸、烟雾、水(或供水故障)、温度、湿度、尘埃、振动、化学影响、电源干扰、通信干扰、电磁辐射和故意破坏;4、禁止在信息处理设施附近进食、喝饮料和抽烟;5、对专门保护的部件要予以隔离,以满足特殊安全要求;第十五条硬件资产的日常使用安全1、所有的硬件资产必须明确设备的使用人员/管理人员,明确职责;2、硬件资产的使用人(或管理人),在使用或管理硬件资产时,要注意硬件资产的安全性、机密性、完整性,防止信息载体的毁坏和信息的泄密,防止信息处理设施的滥用;对设备定期进行维护保养,发生毁坏,丢失等问题时能够及时处置;3、新硬件设备接入网络按照相关规定处理;4、在人员上岗时,可根据需要为上岗人员配备必要的办公设备,包括电脑(笔记本或台式机),电话机,其它办公用品;办公室根据该工作人员所处部门、工作性质为其设置相应的办公网访问权限;5、需要使用移动计算设备(包括笔记本、无线网卡、移动硬盘和U盘)的用户,应得到办公室负责人的同意后方可使用;6、对于无人职守的设备,要明确管理人员,加强物理安全控制。
第十六条硬件资产的转移安全1、当设备迁移时,必须先对设备中存储的重要信息进行备份;2、设备迁移完成后,必须检查设备是否损坏;3、设备迁移出本单位时,设备中禁止存放重要信息,以防止机密信息泄露或泄露的风险增加。
第十七条办公地点外使用任何信息处理设备必须通过管理者授权。
场外设备的保护要考虑下列内容:1、离开本单位的设备和介质(如现场的设备和介质),必须有人值守或委派负责人(或者公共场所放置的需要有人值守或监视系统);2、制造商保护设备用的说明书要始终加以遵守,例如,防止暴露于强电磁场内;3、根据风险的不同采取足够的安全保障措施,以保护离开办公室设备的安全。
第十八条硬件资产的处置和重用1、存储设备销毁前,必须确保所有存储的敏感数据或授权软件已经被移除或安全重写;2、服务器、主要网络设备的处置由办公室进行安全处置;3、台式机、打印机、传真机、扫描仪等IT设备的处置由办公室进行并做登记;4、如需报废时,应向主管部门提出报废申请,经批准后报废。
(二)软件资产的使用和处置第十九条软件资产的使用1、所有的软件资产必须设置专人管理,明确职责,避免软件资产的丢失,泄密;2、所有正版软件实体由办公室专人保管,在安装软件时要规定使用权限,防止非授权访问;3、按照《系统运行维护管理制度》中“备份与恢复管理”章节要求,对重要系统进行备份;4、当人员离职或岗位变动,需要回收有关的软件,必要时,由办公室技术人员对离职人员使用的软件进行卸载,删除。
第二十条软件资产的处置:对过时或确认无效的软件资产,定期进行清除。
(三)电子数据的使用和处置第二十一条电子数据的使用1、对所有电子数据进行分类/分级,标识未授权人员的访问限制,不同安全级别的数据应存储在不同的区域,按类按级传达,便于信息的安全管理;2、不同类型的电子文件按照统一规律存放在个人电脑或服务器中,便于整理和查阅以及工作交接时转移;3、所有电子文件保存在电脑或服务器中,并按照《备份和恢复管理制度》规定的备份频率定期进行备份;4、对于存于服务器上的电子数据的访问,根据服务器提供服务的不同与部门/职务的不同,设置不同的访问权限,避免非授权访问;5、对于内部公开级别的电子信息,其使用要控制在内部,禁止带出;6、对于秘密级别以上的电子文件的处理过程,必须保障数据的完整性、机密性和可用性;7、对于秘密级别以上的电子文件的使用,系统应进行审计;8、对于秘密级别以上的电子文件的传输,必须采取适当的安全措施加以保护,如加密传输、分散传输等;9、在整理电脑中的电子数据时,要小心操作,确认后再进行处理,避免由于误操作将有用的电子数据删除。
(四)纸质文档的使用和处置第二十二条纸质文档的使用1、所有的秘密级以上的纸质文件资料要(通过标签或其它方式)标识出资产的保密级别,分类存放,不同安全级别的纸质文件应按类按级传达,便于纸质文件的安全管理;2、对于比较重要的纸质文件(机密级别以上)必须保存在带锁的文件柜或保险柜中,钥匙由专人保管;3、对于纸质文件的保存期限依据实际要求制定和实施;4、对于比较重要的纸质文件的使用过程,必须注意信息的保密,确保信息的完整性和可用性;5、对于比较重要的纸质文件的传输,必须采取适当的安全措施加以保护,如专人递送、分散传输等。
第二十三条纸质文档的处置1、实体数据资料达到保存期限后,必须将其撕毁或者粉碎到读不出来为止,避免实体数据资料的泄密;2、对于重要纸质文件的销毁,如财务纸质文件,要求两人以上在场,防止信息的泄密。
(五)人员招调、在职、离职第二十四条所有人员的招调、在职、离职安全管理按照《用户管理制度》的要求进行实施。
(六)服务性资产的使用和处置第二十五条所有服务性资产要设置专人管理,定期维护,避免损坏、非授权使用或丢失。
涉及服务性的合同,相关管理部门在签署合同时,应审核涉及信息保密的相关条款。
第二十六条当服务性设施损坏,如果可以维修,由负责人联络相关人员进行维修,如果涉及到第三方,依据《用户管理制度》对第三方进行管理。
第二十七条当服务性设施损坏,不可维修,只能报废时,应联络相关管理部门提出报废申请。
第五章安全设备管理(一)设备的选型第二十八条严禁采购和使用未获得销售许可证的信息安全产品。
第二十九条应优先采用我国自主开发研制的信息安全技术和设备。
第三十条避免采用境外的密码设备。
第三十一条如需采用境外信息安全产品时,必须确保产品获得我国权威机构的认证测试和销售许可证。
第三十二条使用经国家密码管理部门批准和认可的国内密码技术及相关产品。
第三十三条终端物理隔离必须使用国家保密局认可的隔离卡或采用国家保密局认可的其他方式。
(二)设备检测第三十四条信息系统中的所有安全设备必须符合中华人民共和国国家标准《数据处理设备的安全》、《电动办公机器的安全》中规定的要求,其电磁辐射强度、可靠性及兼容性也必须符合安全管理等级要求。
(三)设备安装第三十五条设备符合系统选型要求并获得批准后,方可购置安装。
第三十六条凡购回的设备均须在测试环境下经过连续72小时以上的单机运行测试和联机48小时的应用系统兼容性运行测试。
第三十七条主机、服务器、网络设备、安全设备等上架运行前必须通过安全检测,禁止安装有默认操作系统的主机、服务器直接接入系统。
第三十八条通过上述测试后,设备进入试运行阶段,试运行时间的长短根据业务需要动态设定。
第三十九条通过试运行的设备才能接入生产系统,正式运行。
(四)设备登记第四十条对所有设备均应建立严格完整的购置、移交、使用、维护、维修和报废等记录,认真做好资产登记和管理工作,保证设备管理的正规化。
(五)设备使用管理第四十一条每台设备的使用均应指定专人负责并建立详细的运行日志。
第四十二条由责任人负责进行设备的日常清洗及定期保养维护,做好维护记录,保证设备处于最佳状态。
第四十三条保证设备在其适宜的使用环境下工作。