2024年信息資產(chǎn)和設備管理制度（四篇）

第11頁共11頁2024年信息資產(chǎn)和設備管理制度紙質(zhì)文檔的使用與管理規(guī)定一、紙質(zhì)文檔的使用（一）所有達到____級及以上的紙質(zhì)文件資料，必須明確標注資產(chǎn)的保密級別（通過標簽或其他有效方式），并進行分類存放。不同安全級別的紙質(zhì)文件需按照其類別和級別進行傳達，以確保紙質(zhì)文件的安全管理得以有效實施。（二）對于重要性較高的紙質(zhì)文件（即____級別及以上），必須存放在配備鎖具的文件柜或保險柜中，且鑰匙需由專人負責保管，以增強文件的安全性。（三）紙質(zhì)文件的保存期限應依據(jù)實際業(yè)務需求制定并執(zhí)行，以確保文件信息的時效性和準確性。（四）在使用較為重要的紙質(zhì)文件時，必須嚴格遵守信息保密原則，確保文件信息的完整性和可用性不受損害。（五）對于重要紙質(zhì)文件的傳輸過程，應采取適當?shù)陌踩雷o措施，如安排專人遞送、實施分散傳輸策略等，以防止信息泄露。二、紙質(zhì)文檔的處置（一）當實體數(shù)據(jù)資料達到既定的保存期限后，必須進行徹底的銷毀處理（如撕毀或粉碎至無法讀取），以防止實體數(shù)據(jù)資料被非法獲取或利用。（二）對于重要紙質(zhì)文件（如財務紙質(zhì)文件）的銷毀過程，必須要求兩人以上同時在場監(jiān)督，以防止信息在銷毀過程中被竊取或篡改。三、人員招調(diào)、在職與離職管理（一）所有人員的招調(diào)、在職及離職安全管理活動，均需嚴格遵循《人員安全管理制度》的相關規(guī)定執(zhí)行。四、服務性資產(chǎn)的使用與處置（一）所有服務性資產(chǎn)應指定專人負責管理，并實施定期維護計劃，以降低損壞、非授權使用或丟失的風險。在簽署涉及服務性的合同時，相關管理部門需仔細審核并確保合同中包含有關信息保密的條款。（二）當服務性設施發(fā)生故障時，如可維修，則由負責人負責聯(lián)系相關技術人員進行維修；若涉及第三方服務，則需依據(jù)《人員安全管理制度》對第三方進行有效管理。（三）若服務性設施損壞至無法維修、只能報廢時，應及時向相關管理部門提出報廢申請并辦理相關手續(xù)。五、安全設備的選型與管理（一）設備選型原則：嚴禁采購和使用未經(jīng)銷售許可的信息安全產(chǎn)品；優(yōu)先采用我國自主研發(fā)的信息安全技術和設備；避免采用未經(jīng)國家權威機構認證的境外信息安全設備；如需采用境外信息安全產(chǎn)品，必須確保其已獲得我國權威機構的認證測試和銷售許可證；使用經(jīng)國家相關部門批準和認可的國內(nèi)信息安全技術及相關產(chǎn)品；終端物理隔離必須采用國家保密局認可的隔離卡或其他認可方式。（二）設備檢測與采購：信息系統(tǒng)中的所有安全設備均需符合國家標準《數(shù)據(jù)處理設備的安全》、《電動辦公機器的安全》中的相關規(guī)定；電磁輻射強度、可靠性及兼容性也需滿足安全管理等級要求；設備在符合選型要求并獲得批準后，方可進行采購；新購設備需在測試環(huán)境下進行連續(xù)一定時間的單機運行測試和聯(lián)機應用系統(tǒng)兼容性測試。（三）設備使用與管理：所有設備均需建立完整的購置、移交、使用、維護、維修和報廢記錄；每臺設備需指定專人負責并建立運行日志；設備應在適宜的環(huán)境下工作并定期保養(yǎng)；一旦出現(xiàn)故障需及時填寫故障報告并通知相關人員處理；設備維修需由專人負責并記錄維修情況；設備達到折舊期或無法修復時需進行鑒定和殘值估價并辦理報廢手續(xù)。（四）設備儲存：設備儲存環(huán)境需符合出廠標稱要求；需建立詳細的設備進出庫、領用和報廢登記制度；定期對儲存設備進行清潔、核查及通電檢測；安全產(chǎn)品及保密設備需單獨儲存并采取相應保護措施。六、附則（一）本標準由信息技術部負責解釋和修訂。2024年信息資產(chǎn)和設備管理制度（二）#紙質(zhì)文檔的使用與管理一、紙質(zhì)文檔的使用規(guī)范1.保密級別標識與分類存放：所有達到____級及以上的紙質(zhì)文件資料，必須明確標識其資產(chǎn)的保密級別（通過標簽或其他有效方式），并實行分類存放。不同安全級別的紙質(zhì)文件需按類別及級別進行傳達，以確保紙質(zhì)文件的安全管理。2.重要文件的安全保管：對于____級別以上的重要紙質(zhì)文件，必須存放于配備鎖具的文件柜或保險柜中，鑰匙由指定專人妥善保管，以防未經(jīng)授權訪問。3.保存期限的制定與實施：紙質(zhì)文件的保存期限應根據(jù)實際需求制定，并嚴格執(zhí)行，以確保信息的時效性與合規(guī)性。4.使用過程中的信息保密：在處理重要紙質(zhì)文件時，必須嚴格遵守信息保密原則，確保信息的完整性與可用性不受損害。5.安全傳輸措施：對于重要紙質(zhì)文件的傳輸，應采取適當?shù)陌踩胧鐚Ｈ诉f送、分散傳輸?shù)?，以防范信息泄露風險。二、紙質(zhì)文檔的處置規(guī)定1.到期資料的銷毀：實體數(shù)據(jù)資料達到保存期限后，必須進行徹底銷毀（如撕毀或粉碎至無法讀?。苑乐箤嶓w數(shù)據(jù)資料的非法留存與泄露。2.重要文件銷毀的監(jiān)管：對于重要紙質(zhì)文件（如財務文件）的銷毀過程，應確保至少有兩名人員在場監(jiān)督，以防止信息被不當處理或泄露。#人員招調(diào)、在職、離職管理第二十四條：所有人員的招調(diào)、在職、離職安全管理均需遵循《人員安全管理制度》的相關規(guī)定執(zhí)行。#服務性資產(chǎn)的使用與處置第二十五條：所有服務性資產(chǎn)應設立專人管理機制，實施定期維護，以防范損壞、非授權使用或丟失風險。涉及服務性合同的簽署時，相關管理部門需嚴格審核信息保密條款。第二十六條：當服務性設施發(fā)生故障時，若可維修，則由負責人聯(lián)系專業(yè)人員進行修復；若需第三方介入，則依據(jù)《人員安全管理制度》對第三方實施有效管理。第二十七條：對于無法修復、需報廢的服務性設施，應及時向相關管理部門提交報廢申請。#安全設備的選型與管理設備選型原則第二十八條至第三十三條：明確禁止采購未獲銷售許可證的信息安全產(chǎn)品，優(yōu)先選用我國自主研發(fā)的信息安全技術與設備；避免采用境外敏感設備；如需采用境外產(chǎn)品，必須確保其通過我國權威機構的認證測試與銷售許可；所有設備均需符合國家安全管理部門批準與認可的國內(nèi)技術標準及相關要求；終端物理隔離必須使用國家保密局認可的隔離卡或采取其他認可方式。設備檢測與測試第三十四條至第三十九條：規(guī)定信息系統(tǒng)中的安全設備必須符合國家標準中關于數(shù)據(jù)處理與電動辦公機器安全的要求，并通過嚴格的電磁輻射、可靠性及兼容性測試；新購設備需在測試環(huán)境下進行連續(xù)運行測試，通過安全檢測后方可接入生產(chǎn)系統(tǒng)；主機、服務器等核心設備在上架前必須通過嚴格的安全檢測，禁止帶有默認操作系統(tǒng)的設備直接接入系統(tǒng)。設備登記與管理第四十條至第四十四條：強調(diào)對所有設備建立完整的購置、移交、使用、維護、維修及報廢記錄，確保設備管理的正規(guī)化；指定專人負責每臺設備的日常管理與維護，確保設備處于最佳運行狀態(tài)。設備維修管理第四十五條至第四十九條：明確設備維修由專人負責，建立備件庫以應對常見故障；根據(jù)設備使用情況及系統(tǒng)可靠性等級制定預防性維修計劃；維修過程中采取數(shù)據(jù)保護措施，并記錄維修詳情；設備到達折舊期或無法修復時，需經(jīng)專業(yè)鑒定與上級批準后方可報廢。設備儲存管理第五十條至第五十三條：規(guī)定設備儲存環(huán)境需符合出廠要求；建立詳細的設備進出庫、領用及報廢登記制度；定期對儲存設備進行清潔、核查與通電檢測；安全產(chǎn)品及保密設備需單獨儲存并采取相應保護措施。#附則第五十四條至第五十五條：明確本標準由信息技術部負責解釋。2024年信息資產(chǎn)和設備管理制度（三）保密文件資料管理規(guī)定一、紙質(zhì)文件資料的保密管理1.秘密級及以上的紙質(zhì)文件資料，必須明確標識其保密級別（可通過標簽或其他方式），并實行分類存放。各類、各級文件應按其安全級別進行傳達，以確保紙質(zhì)文件的安全管理。2.對于機密級別以上的重要紙質(zhì)文件，必須存放在配備鎖的文件柜或保險柜中，鑰匙由專人負責保管，以加強安全控制。3.紙質(zhì)文件的保存期限應根據(jù)實際需求制定并嚴格執(zhí)行，確保文件的有效管理。4.在使用重要紙質(zhì)文件時，必須嚴格遵守保密規(guī)定，確保信息的保密性、完整性和可用性不受損害。5.對于重要紙質(zhì)文件的傳輸，應采取適當?shù)陌踩胧?，如專人遞送、分散傳輸?shù)龋苑乐剐畔⑿孤?。二、紙質(zhì)文檔的處置1.當實體數(shù)據(jù)資料達到保存期限后，必須采取撕毀或粉碎等不可恢復的方式進行處理，以防止數(shù)據(jù)泄密。2.對于重要紙質(zhì)文件（如財務文件）的銷毀，應確保兩人以上在場監(jiān)督，以進一步保障信息安全。三、人員招調(diào)、在職、離職管理1.所有關于人員招調(diào)、在職、離職的安全管理活動，均須按照《用戶管理制度》的要求嚴格實施。四、服務性資產(chǎn)的使用與處置1.所有服務性資產(chǎn)應設立專人管理，并進行定期維護，以防止損壞、非授權使用或丟失。2.涉及服務性合同的簽署，相關管理部門應嚴格審核保密條款，確保信息安全。3.當服務性設施損壞時，若可維修，則負責人應聯(lián)系相關人員進行修復；若涉及第三方，則需依據(jù)《用戶管理制度》對第三方進行管理。4.若服務性設施無法維修，只能報廢時，應聯(lián)系相關管理部門提出報廢申請，并按程序處理。五、安全設備管理（一）設備選型1.嚴禁采購和使用未經(jīng)銷售許可的信息安全產(chǎn)品。2.優(yōu)先選用我國自主開發(fā)的信息安全技術和設備。3.避免采用境外密碼設備，如確需使用，必須確保產(chǎn)品已通過我國權威機構的認證測試并獲得銷售許可。4.使用經(jīng)國家密碼管理部門批準和認可的國內(nèi)密碼技術及相關產(chǎn)品。5.終端物理隔離必須采用國家保密局認可的隔離卡或其他方式。（二）設備檢測1.信息系統(tǒng)中的所有安全設備必須符合國家相關標準，如《數(shù)據(jù)處理設備的安全》、《電動辦公機器的安全》等，同時電磁輻射強度、可靠性及兼容性也需符合安全管理等級要求。（三）設備安裝1.設備選型并獲得批準后，方可進行購置安裝。2.新購設備需在測試環(huán)境下進行連續(xù)運行測試和應用系統(tǒng)兼容性測試，確保設備性能穩(wěn)定。3.主機、服務器、網(wǎng)絡設備、安全設備等在上架前必須通過安全檢測，禁止安裝有默認操作系統(tǒng)的設備直接接入系統(tǒng)。4.設備通過測試后進入試運行階段，試運行時間根據(jù)業(yè)務需要動態(tài)調(diào)整。5.試運行通過的設備方可接入生產(chǎn)系統(tǒng)正式運行。（四）設備登記1.建立嚴格的設備購置、移交、使用、維護、維修和報廢記錄制度，確保設備管理的規(guī)范化和正規(guī)化。（五）設備使用管理1.指定專人負責每臺設備的使用，并建立詳細的運行日志。2.設備責任人負責日常清洗、定期保養(yǎng)維護，并做好維護記錄。3.確保設備在適宜的環(huán)境下工作，防止因環(huán)境因素導致設備故障。4.設備出現(xiàn)故障時，管理員應如實填寫故障報告并通知相關人員處理。（六）設備維修管理1.設立專人負責設備維修工作，并建立備件庫以滿足正常運行需求。2.根據(jù)設備使用情況和系統(tǒng)可靠性等級制定預防性維修計劃。3.維修時采取數(shù)據(jù)保護措施并確保有安全管理員在場監(jiān)督。4.記錄設備維修的詳細情況包括維修對象、故障原因、排除方法等。5.設備達到折舊期或嚴重故障無法修復時由專業(yè)技術人員鑒定并提出處理意見報請批準后進行報廢處理。（七）設備儲存管理1.設備儲存環(huán)境應符合出廠標稱要求以防止設備受損。2.建立詳細的設備進出庫、領用和報廢登記制度以確保設備管理的準確性。3.定期對儲存設備進行清潔、核查及通電檢測以維護設備性能穩(wěn)定。4.安全產(chǎn)品及保密設備應單獨儲存并采取相應保護措施以確保信息安全。六、附則1.本制度由某某單位負責解釋。2.本制度自發(fā)布之日起生效執(zhí)行。2024年信息資產(chǎn)和設備管理制度（四）1)職責信息中心：1.承擔數(shù)據(jù)資產(chǎn)安全管理情況的審查職責。2.負責本文件的編制、維護及管理工作。3.全面負責固定資產(chǎn)的管理流程，包括采購、記錄、變更、報廢等各個環(huán)節(jié)。4.執(zhí)行備品備件的出入庫管理任務。5.對有形資產(chǎn)實施分類、分級及標記管理。6.對備品備件進行細致分類管理。7.在有形資產(chǎn)發(fā)生變更、報廢或銷毀時，負責監(jiān)督并確保資產(chǎn)中信息的妥善處理。8.定期檢查臺帳、信息系統(tǒng)中與信息資產(chǎn)相關的記錄，并將檢查結果納入考核計劃中。各部門：1.遵循資產(chǎn)使用規(guī)則和限制，確保信息資產(chǎn)得到正確使用。2.在有形資產(chǎn)和備品備件發(fā)生變更、報廢或銷毀時，負責檢查并向信息中心報告介質(zhì)中可能存在的敏感信息。2)工作程序資產(chǎn)的分類分級：1.資產(chǎn)分類明確劃分為關鍵資產(chǎn)與非關鍵資產(chǎn)：關鍵資產(chǎn)：對業(yè)務連續(xù)性和系統(tǒng)可用性具有重大影響的資產(chǎn)（通常價格或價值較高）。非關鍵資產(chǎn)：對業(yè)務連續(xù)性和系統(tǒng)可用性影響較小的資產(chǎn)（通常價格或價值較低）。資產(chǎn)的登記與標記：1.信息中心負責固定資產(chǎn)的分類分級、登記工作，明確資產(chǎn)的類型、用途、位置、格式、規(guī)格、價值等具體信息。2.信息中心根據(jù)資產(chǎn)清單及設備標牌，對有形資產(chǎn)進行標記，并指定各部門資產(chǎn)責任人，由其負責所管資產(chǎn)的保護。3.各部門在資產(chǎn)新增、更新、調(diào)撥、報廢時，需向信息中心提出需求，經(jīng)信息安全領導小組審核并報主管領導批準后執(zhí)行。4.信息中心定期檢查有形資產(chǎn)的標記與使用情況，記錄資產(chǎn)丟失、標簽缺損等情況，并將其納入部門考核。5.各部門對本部門管理的數(shù)據(jù)資產(chǎn)進行歸類和統(tǒng)計，對電子文件采用統(tǒng)一電子標記進行標識。資產(chǎn)的使用與維護：1.信息中心制定信息資產(chǎn)使用規(guī)范說明，包括使用授權、管理方式、操作方法、移動管理等，并報信息安全領導小組備案。2.各部門工作人員（包括雇員、承包方人員和第三方人員）需明確信息資產(chǎn)使用限制條件，并對信息資產(chǎn)的使用和管理負責。3.各部門人員在使用移動介質(zhì)進行數(shù)據(jù)傳輸后，應及時刪除介質(zhì)上保留的數(shù)據(jù)信息；對于只讀介質(zhì)，由本部門信息安全專員負責保存。4.各部門信息安全專員應確保存儲介質(zhì)的貯存地點符合各項安全要求，介質(zhì)的存儲需符合生產(chǎn)商的存儲要求。5.各部門定期對本部門存儲介質(zhì)中的數(shù)據(jù)進行備份和恢復測試，并記錄測試結果，以防止因介質(zhì)老化導致的信息丟失。6.涉及國家秘密的信息通過移動介質(zhì)存儲時，各部門應參照國家相關規(guī)定執(zhí)行。7.信息安全領導小組定期檢查數(shù)據(jù)資產(chǎn)的安全管理情況，記錄發(fā)現(xiàn)的問題，并將其納入部門考