《资产设备管理制度.docx》由会员分享,可在线阅读,更多相关《资产设备管理制度.docx(16页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、资产和设备治理制度资产和设备治理制度第一章范围及职责第一条 本制度适用于信息资产的治理,包括:猎取、分类、使用和处置以及安全设备的治理。其次条 本制度中的信息资产是指可以存储信息数据的信息载体,包括:硬件、软件、数据电子数据、文档纸质文件、人员、效劳设施、其他。第三条 信息中心主要负责信息资产的分类、汇总、使用与处置方法,以及安全设备的选型、检测、安装、登记、使用、维护和储存。第四条 计算机资产统计信息的范围包含但不限于:计算机主机名、IP 地址、MAC 地址、使用人/责任人、所属部门、物理位置、效劳器的内外网 IP 对应等。其次章信息资产的猎取第五条 软件、硬件设施、效劳性设施等的获得主要以
2、选购的方式获得,选购依据有关规定进展选购和验收。第六条 数据信息资产的获得来源主要为:外包供给商、市场信息、其他信息。第三章信息资产的分类第七条 各部门依据业务流程将每项资产的资产类别、信息资产编号、资产现有编号、资产名称、所属部门组别、治理者、使用者、地点等相关信息记录备案。第八条 资产的分类原则和编号原则如下: 1、硬件1) 计算机设备:(台式机、笔记本)、效劳器;2) 存储设备:磁带机、磁盘整列、磁带、光盘、软盘、移动硬盘等;3) 网络设备:路由器、交换机、网关、程控交换机等;4) 传输线路:光纤、双绞线、 线(布线)、电源线;5) 安全设备:硬件防火墙、入侵检测、网络隔离设备如网闸、身
3、份验证等;6) 办公设备:打印机、复印机、扫描仪、 机、碎纸机、写字白板、应急照明设备等;7) 保障设备:动力保障设备UPS、变电设备、空调、保险柜、文件柜、门禁、消防设施等;8) 其他设备;2、软件。如:操作系统、系统软件office/AutoCAD、应用软件生产软件、网管软件、杀毒软件、财务软件、开发工具和资源库等;3、存在电子媒介的各种数据资料。如:源代码、数据库数据、各种数据资料、系统文档、运行治理规程、打算、日周月报告、财务报告电子版本、用户手册、方案、电子设计图纸等;4、纸质的各种文件。如: 、电报、合同、纸张图纸等;5、效劳性设施。如:供电、供水、保洁、门禁、消防设施等;6、人员
4、。如:各级领导、各级正式雇员、临时雇员等;7、其他。第九条 依据涉及国家隐秘的信息系统分级保护技术标准和信息安全治理体系建设要求,依据信息资产的公开和敏感程度, 将信息资产化分为不同的保护等级,并对不同等级的信息资产进 行保护,确保信息安全。各部门要将全部的移动介质和电子文件 依据敏感性和重要程度分为不同的保护等级,保密级别与保密期 限由持有人自行定义。第十条 识别各个流程的各类关键信息资产,最终信息中心汇总,并每半年进展一次更,确保重要信息资产的完备性重要信息资产没有遗漏和缺失和准确性信息资产的保密级别和重要程度能够真实反映信息资产的状态。第十一条 对信息资产进展编号,同时对重要信息资产进展
5、标识:文档需有固定版本编号规章;硬件设备粘贴在设备明显位置处。第四章 信息资产的使用和处置第一节 硬件资产的使用和处置第十二条 硬件的使用处置包括购置/接收、使用交接、修理、重用、处置等有关内容。第十三条 购置的硬件设备或者从其他部门接收转移设备时,对相关设备进展测试验证。由资产治理员对硬件设备进展治理,明确设备治理职责。第十四条 硬件资产的保存1、机房选址要避开在地下室、一楼水淹和渗水和顶层渗水和失火时火向上燃烧,同时考虑相邻楼层的活动避开热源和渗水;2、处理敏感数据的信息处理设施放在适当安全的位置,以削减在设备在使用期间信息被窥视的风险,保护储存设施以防止未授权访问;3、设备的选址应实行掌
6、握措施以减小潜在的物理威逼的风险,例如偷窃、火灾、爆炸、烟雾、水或供水故障、温度、湿度、尘埃、振动、化学影响、电源干扰、通信干扰、电磁辐射和有意破坏;4、制止在信息处理设施四周进食、喝饮料和抽烟;5、对特地保护的部件要予以隔离,以满足特别安全要求; 第十五条 硬件资产的日常使用安全1、全部的硬件资产必需明确设备的使用人员/治理人员,明确职责;2、硬件资产的使用人或治理人,在使用或治理硬件资产时,要留意硬件资产的安全性、机密性、完整性,防止信息载体的毁坏和信息的泄密,防止信息处理设施的滥用;对设备定期进展维护保养,发生毁坏,丧失等问题时能够准时处置;3、硬件设备接入网络依据相关规定处理;4、在人
7、员上岗时,可依据需要为上岗人员配备必要的办公设备,包括电脑笔记本或台式机, 机,其它办公用品;信息中心依据该工作人员所处部门、工作性质为其设置相应的办公网访问权限;5、需要使用移动计算设备包括笔记本、无线网卡、移动硬盘和 U 盘的用户,应得到信息中心负责人的同意前方可使用;6、对于无人职守的设备,要明确治理人员,加强物理安全掌握。第十六条 硬件资产的转移安全1、当设备迁移时,必需先对设备中存储的重要信息进展备份;2、设备迁移完成后,必需检查设备是否损坏;3、设备迁移出本单位时,设备中制止存放重要信息,以防止机密信息泄露或泄露的风险增加。办公地点外使用任何信息处理设备必需通过治理者授权。场外设备
8、的保护要考虑以下内容:1、离开本单位的设备和介质如现场的设备和介质,必需有人值守或委派负责人(或者公共场所放置的需要有人值守或监视系统);2、制造商保护设备用的说明书要始终加以遵守,例如,防止暴露于强电磁场内;3、依据风险的不同实行足够的安全保障措施,以保护离开办公室设备的安全。第十七条 硬件资产的处置和重用1、存储设备销毁前,必需确保全部存储的敏感数据或授权软件已经被移除或安全重写;2、效劳器、主要网络设备的处置由信息中心进展安全处置;3、台式机、打印机、 机、扫描仪等 IT 设备的处置由信息中心并做登记;4、如需报废时,应向主管部门提出报废申请,经批准后报废。其次节 软件资产的使用和处置第
9、十八条 软件资产的使用1、全部的软件资产必需设置专人治理,明确职责,避开软件资产的丧失,泄密;2、全部正版软件实体由信息中心保管,在安装软件时要规定使用权限,防止非授权访问;3、依据系统运行维护治理制度中“备份与恢复治理” 章节要求,对重要系统进展备份;4、当人员离职或岗位变动,需要回收有关的软件,必要时, 由信息中心技术人员对离职人员使用的软件进展卸载,删除。第十九条 软件资产的处置:对过时或确认无效的软件资产, 定期进展去除。第三节 电子数据的使用和处置其次十条 电子数据的使用1、对全部电子数据进展分类/分级,标识未授权人员的访问限制,不同安全级别的数据应存储在不同的区域,按类按级传达,
10、便于信息的安全治理;2、不同类型的电子文件依据统一规律存放在个人电脑或效劳器中,便于整理和查阅以及工作交接时转移;3、全部电子文件保存在电脑或效劳器中,并依据备份和恢复治理制度规定的备份频率定期进展备份;4、对于存于效劳器上的电子数据的访问,依据效劳器供给效劳的不同与部门职务的不同,设置不同的访问权限,避开非授权访问;5、对于内部公开级别的电子信息,其使用要掌握在内部, 制止带出;6、对于隐秘级别以上的电子文件的处理过程,必需保障数据的完整性、机密性和可用性;7、对于隐秘级别以上的电子文件的使用,系统应进展审计;8、对于隐秘级别以上的电子文件的传输,必需实行适当的安全措施加以保护,如加密传输、
11、分散传输等;9、在整理电脑中的电子数据时,要留神操作,确认后再进行处理,避开由于误操作将有用的电子数据删除。第四节 纸质文档的使用和处置其次十一条 纸质文档的使用1、全部的隐秘级以上的纸质文件资料要通过标签或其它方式标识出资产的保密级别,分类存放,不同安全级别的纸质文件应按类按级传达,便于纸质文件的安全治理;2、对于比较重要的纸质文件机密级别以上必需保存在带锁的文件柜或保险柜中,钥匙由专人保管;3、对于纸质文件的保存期限依据实际要求制定和实施;4、对于比较重要的纸质文件的使用过程,必需留意信息的保密,确保信息的完整性和可用性;5、对于比较重要的纸质文件的传输,必需实行适当的安全措施加以保护,如
12、专人递送、分散传输等。其次十二条 纸质文档的处置1、实体数据资料到达保存期限后,必需将其撕毁或者粉碎到读不出来为止,避开实体数据资料的泄密;2、对于重要纸质文件的销毁,如财务纸质文件,要求两人以上在场,防止信息的泄密。第五节 人员招调、在职、离职其次十三条 全部人员的招调、在职、离职安全治理依据用户治理制度的要求进展实施。第六节 效劳性资产的使用和处置其次十四条 全部效劳性资产要设置专人治理,定期维护, 避开损坏、非授权使用或丧失。涉及效劳性的合同,相关治理部门在签署合同时,应审核涉及信息保密的相关条款。其次十五条 当效劳性设施损坏,假设可以修理,由负责人联络相关人员进展修理,假设涉及到第三方
13、,依据用户治理制度对第三方进展治理。其次十六条 当效劳性设施损坏,不行修理,只能报废时, 应联络相关治理部门提出报废申请。第五章 安全设备治理第一节 设备的选型其次十七条 严禁选购和使用未获得销售许可证的信息安全产品。其次十八条 应优先承受我国自主开发研制的信息安全技术和设备。其次十九条 避开承受境外的密码设备。第三十条 如需承受境外信息安全产品时,必需确保产品获得我国权威机构的认证测试和销售许可证。第三十一条 使用经国家密码治理部门批准和认可的国内密码技术及相关产品。第三十二条 终端物理隔离必需使用国家保密局认可的隔离卡或承受国家保密局认可的其他方式。其次节 设备检测第三十三条 信息系统中的
14、全部安全设备必需符合数据处理设备的安全、电动办公机器的安全中规定的要求,其电磁辐射强度、牢靠性及兼容性也必需符合安全治理等级要求。第三节 设备安装第三十四条 设备符合系统选型要求并获得批准后,方可购置安装。第三十五条 凡购回的设备均须在测试环境下经过连续 72小时以上的单机运行测试和联机 48 小时的应用系统兼容性运行测试。第三十六条 主机、效劳器、网络设备、安全设备等上架运行前必需通过安全检测,制止安装有默认操作系统的主机、效劳器直接接入系统。第三十七条 通过上述测试后,设备进入试运行阶段,试运行时间的长短依据业务需要动态设定。第三十八条 通过试运行的设备才能接入生产系统,正式运行。第四节
15、设备登记第三十九条 对全部设备均应建立严格完整的购置、移交、使用、维护、修理和报废等记录,认真做好资产登记和治理工作, 保证设备治理的正规化。第五节 设备使用治理第四十条 每台设备的使用均应指定专人负责并建立具体的运行日志。第四十一条 由责任人负责进展设备的日常清洗及定期保养维护,做好维护记录,保证设备处于最正确状态。第四十二条 保证设备在其适宜的使用环境下工作。第四十三条 一旦设备消灭故障,治理员照实填写故障报告, 通知有关人员处理。第六节 设备修理治理第四十四条 设备由专人负责修理,并建立满足正常运行最低要求的易损件的备件库。第四十五条 依据每台设备的使用状况及系统的牢靠性等级,制定预防性
16、修理打算。第四十六条 对系统进展修理时必需实行数据保护措施,安全设备修理时应有安全治理员在场。第四十七条 对设备进展修理时必需记录修理对象、故障缘由、排解方法、主要修理过程及修理有关状况等。第四十八条 对设备应规定折旧期,设备到了规定使用年限或因严峻故障不能恢复,由专业技术人员对设备进展鉴定和残值估价,并对设备状况进展具体登记,提出报告书和处理意见,由主管领导和上级主管部门批准前方能进展报废处理。第七节 设备储存治理第四十九条 设备储存环境应符合出厂标称要求。第五十条 建立具体的设备进出库、领用和报废登记。第五十一条 必需定期对储存设备进展清洁、核查及通电检测。第五十二条 安全产品及保密设备必需单独储存并有相应的保护措施。第六章 附则第五十三条 本制度由信息中心负责解释。第五十四条 本制度自公布之日起生效执行。资产和设备治理制度序号计算机名内外网 IP 地址MAC 地址房间号附件 1区内外网 PC 资产信息表序号效劳器名称描述计算机名内网 IP 地址公网 IP 地址附件 2区信息中心效劳器内外网 IP 对应表资产和设备治理制度附件 3安全产品清单序号产品名称生产厂商产品用途部署位置备注