信息资产安全管理办法

XXXXX**

信息资产安全管理办法**

XXXXX**

2017年4月**

信息资产安全管理办法**

第一章 总则**

第一条 为规范XXXXX信息资产的分类、责任和保护措施，明确XXXXX硬件资产、软件资产和数据资产的信息安全管理工作，对信息资产实施适当的保护管理，特制定本办法。

第二条 信息资产作为XXXXX资产的组成部分之一，应根据“谁使用，谁负责；谁保管，谁负责”的原则进行信息安全保护。

第三条 本办法适用于XXXXX。

第二章 信息资产分类和标识**

第四条 本办法中的信息资产是指XXXXX 拥有 和 控制的 电子 信息 和数据，以及存储、传输和处理电子信息和数据的软件、硬件及相关电力、通讯等信息技术设备设施。

第五条 XXXXX各部门应建立和维护各自的信息资产清单，对于重要信息资产应当进行标识，根据如下方式进行信息资产分类：

(一) 硬件资产：包括服务器、台式计算机、笔记本计算、网络设备（路由器、交换机等）、安全硬件设备、通讯链路和电力供应等有形信息技术设备设施；

(二) 软件资产：包括操作系统、办公软件、数据库、中间件、应用系统、应用软件、开发工具等计算机程序；

(三) 数据资产：包括应用数据、配置数据、系统文件、管理数据等业务生成和运行相关的数据信息。

第六条 XXXXX信息资产根据其重要程度不同，分成重要信息资产和一般信息资产，各部门建立的信息资产清单应明确标识信息资产的重要程度，并在信息中心进行备案。

第七条 XXXXX所有的信息资产均应指定相应的管理部门，并由相应的部门责任人指定到个人，做到“责任落实到人”。

第八条 信息资产的使用单位负责各使用单位信息资产的正常使用、保管和维护。

第三章 硬件资产安全管理**

第九条 XXXXX信息中心应建立XXXXX统一的硬件资产管理台账，明确硬件资产使用责任人和使用范围，并定期进行资产清点，对硬件资产台账信息进行审核。

第十条 信息中心应加强信息系统的硬件资产管理，建立《XXXXX信息资产清单》（见附件一），明确硬件资产的基本属性和用途。

第十一条 XXXXX各有关部门应负责所使用的计算机硬件资产管理，建立本部门的信息资产清单，并报信息中心进行备案，以便有效对设备进行维护。

第十二条 硬件资产的信息安全管理包括购买、使用（交接、维修、重用）、处置和报废的信息资产全生命周期的安全管理。

第十三条 硬件资产在购买过程中应注重和加强设备资质的管理，确保所购买设备符合信息系统的应用需求和信息安全管理要求。

第十四条 硬件资产在使用过程中应确保硬件配置的完整性，不得私自更换硬件资产以及相关配件。

第十五条 应遵照XXXXX机房有关要求，加强对硬件资产的物理安全性管理。

第十六条 对于需要维修的硬件资产，由设备责任人提出申请，经信息中心主管领导批准后，把硬件资产交到维护单位进行维修。

第十七条 存储XXXXX信息的硬件资产在重用、维修和报废前，应确保所有存储的敏感数据或授权软件已经被移除或安全重写。

第十八条 硬件资产在重用、维修和报废前，应做好备份工作，确保XXXXX信息不外流，保持信息的完整性和可用性。

第十九条 对于需要报废的硬件资产，由使用部门提出申请，经信息中心主管领导批准，由使用部门把硬件资产交到XXXXX信息中心，经专家进行技术鉴定后，可办理资产注销及残值回收，使用部门不得擅自处理硬件资产。

第四章 软件资产安全管理**

第二十条 信息中心应建立XXXXX统一的软件资产管理台账，明确软件资产发放和使用范围，并定期清点软件的安装和使用情况。

第二十一条 信息中心应加强信息系统的软件资产管理，建立《XXXXX信息资产清单》（见附件一），明确软件资产的基本属性和用途。

第二十二条 XXXXX各部门应加强对于应用软件系统使用的用户管理，由XXXXX应用系统负责人进行统一管理和备案。

第二十三条 XXXXX应购买正版商业软件，在安装软件时要规定使用权限，防止非授权访问。

第二十四条 XXXXX应加强对于开发应用软件的代码管理，确保应用软件系统能够运行稳定，规范软件升级管理工作。

第二十五条 应用系统负责人应加强对于应用软件保存、标识、安装、卸载和升级的统一管理。

第二十六条 应根据业务系统的使用和访问关系确定信息资源的访问控制权限，根据“最小访问权限”的原则确定不同角色所应访问的数据资源。

第二十七条 对于需要维修的软件资产，软件资产使用人须和信息中心进行沟通后，由软件供货商进行维护、修改和升级。

第二十八条 对于需要删除和报废的软件资产，使用单位可根据实际情况取消对于软件的使用，信息系统的统一业务应用软件应经过信息中心的审核后统一取消和废除。

第五章 数据资产安全管理**

第二十九条 信息中心负责对于XXXXX信息系统数据资产的安全管理，确保XXXXX业务数据能够及时进行备份和安全存储。

第三十条 信息中心应指定专人负责信息系统数据的备份恢复工作，确保应用系统数据的可用性安全。

第三十一条 信息中心应对信息系统的信息资产进行统一的配置管理。

第三十二条 设备管理员负责各自设备的配置数据、系统文件和管理数据的备份和存储，确保设备中相关配置数据和管理数据的完整性和安全性。

第三十三条 数据资产应通过访问控制策略区分数据重要程度，并根据其重要程度分为受控和公开数据，禁止非授权的用户读取受控数据。

第三十四条 对于需要维修的数据资产，数据资产使用人需要及时和信息中心进行沟通，经信息中心确认后由维修单位进行数据修复和恢复。

第三十五条 对于需要报废处理的数据资产，数据资产使用人需要及时和信息中心进行沟，双方共同确认后方可进行信息消除和载体销毁处理，所采用的技术、设备和措施应符合相关标准和规定。

第六章 监督检查和奖惩**

第三十六条 XXXXX信息中心应每两年对XXXXX信息资产配置信息进行审核一次，确保信息资产安全属性和XXXXX总体安全策略相适应。

第三十七条 对于认真执行XXXXX信息安全策略的组织和人员，并取得了较好成绩，XXXXX信息安全领导小组应给予必要的鼓励和宣传。

第三十八条 对于违反XXXXX信息安全策略的组织、人员，根据对XXXXX造成业务损害程度，应由XXXXX信息安全领导小组对其进行教育、通告、罚款、开除等必要的惩罚。

第七章 附则**

第三十九条 本办法XXXXX信息中心制定，并负责解释和修订。

第四十条 本办法自发布之日起执行。

附件一**

XXXXX信息资产清单**

服务器资产清单**

重要程度界定：根据业务及信息系统的重要程度，以及信息资产在受到损害后对XXXXX的影响程度，判定信息资产的重要程度。

XXXXX信息资产清单**

网络设备和安全设备资产清单**

重要程度界定：根据业务及信息系统的重要程度，以及信息资产在受到损害后对XXXXX的影响程度，判定信息资产的重要程度。

XXXXX信息资产清单**

软件资产清单**

重要程度界定：根据业务及信息系统的重要程度，以及信息资产在受到损害后对XXXXX的影响程度，判定信息资产的重要程度，其中个人或局部的影响范围的为一般资产，例如个人终端使用的软件；具有一定网络和应用的影响范围的为重要资产，例如邮件系统。

XXXXX信息资产清单**

数据资产清单**

重要程度界定：根据业务及信息系统的重要程度，以及信息资产在受到损害后对XXXXX的影响程度，判定信息资产的重要程度。