1、信息資產管理制度好收益（北京）金融信息服務有限公司信息資產管理制度第一章 總則第一條 為了明確好收益（北京）金融信息服務有限公司內各類信息資產的分類和標識，方便信息資產的有效管理。第二章 適用范圍第二條本制度適用于好收益（北京）金融信息服務有限公司所涉及的所有信息資產。第三條定義（一）本制度所涉及的信息包括各種存儲或者存在形式，包括但不限于電子信息、紙質數據文件、語音和圖像等。（二）本制度所稱信息是指以任何形式存在或傳播的對好收益（北京）金融信息服務有限公司具有價值的內容，包括電子信息、紙質數據文件、語音圖像等。信息安全關注的是信息的保密性、可用性和完整性。（三）本制度所稱信息資產是指任何對好

2、收益（北京）金融信息服務有限公司具有價值的信息的存在形式或者載體，包括計算機硬件、通信設施、 IT 環境、數據庫、軟件、文檔資料、信息服務和人員等，所有這些資產都需要妥善保護。第三章 職責權限第三條 好收益（北京）金融信息服務有限公司各部門負責人是本部門信息資產管理的第一責任人，負責本制度的貫徹落實，總裁辦是好收益（北京）金融信息服務有限公司內部各類信息的歸口管理部門。第四條 本制度定義以下相關角色， 履行相應的信息安全管理、 執行和審核職責。（一）責任人，信息資產的創建者，或者主要用戶所在組織、單位或部門的負責人。信息資產責任人對所屬信息資產負直接責任。其主要職責包括：1）理解和各種信息訪問

3、活動相關的安全風險；2）根據好收益（北京）金融信息服務有限公司信息密級劃分標準來確定所屬信息資產的級別；3） 根據好收益 （北京） 金融信息服務有限公司相關策略確定并檢查信息訪問權限；4）針對所屬信息資產提出恰當的保護措施。（二）保管者，受信息資產責任人委托，對信息資產進行日常的管理，維護已經建立的保護措施。資產保管者通常是好收益（北京）金融信息服務有限公司的信息中心及相關部門負責人 （例如系統管理員或各部門相關人員） 。 其主要職責包括：1）根據相關策略和信息資產責任人的要求，負責信息資產的維護操作和日常管理事務；2）負責具體設置信息訪問權限；3）負責所管理的信息資產的安全控制；4）部署恰當

4、的安全機制，進行備份和恢復操作；5）按照信息資產責任人的要求實施其他控制。（三）用戶，信息資產的使用者，除了好收益（北京）金融信息服務有限公司內部員工，也可能是因為業務需要而訪問好收益（北京）金融信息服務有限公司信息的客戶或第三方組織。其主要職責包括：1）向信息資產責任人申請信息訪問；2）按照好收益（北京）金融信息服務有限公司信息安全策略要求正當訪問信息，禁止非授權訪問；3）向相關組織報告隱患、故障或者違規事件。第四章 資產管理要求第五條 信息資產分類信息資產責任人應該指導進行相關資產的調查，資產調查以業務流程為線索，包括各類輸入、中間環節和輸出信息，所有這些信息資產都為業務流程的運轉提供支持

5、。信息資產可以分為以下幾大類：（一）數據文件，通常包括各種電子檔：業務數據、客戶數據、配置文件、記錄數據（日志、審計記錄） 、管理文件（策略、流程文件、操作手冊等） 、商務文件（合同、 協議等） 。 也包括以實物方式存在的資產： 各類電子數據的歸檔、 打印件、書面管理文件、業務報表、包含重要商業成果的文件，還有膠片等。（二）軟件資產，各種系統軟件、應用軟件（ OA業務軟件等）和工具軟件（開 發系統、網管軟件、安全軟件等），包括操作系統、數據庫應用程序、網絡軟件、 辦公應用系統、業務系統程序、軟件開發工具等，這些軟件資產負責處理、存儲 或傳輸各類信息。（三）實物資產，與業務相關的IT物理設備，包

6、括計算機（工作站和服務器等） 和網絡通信設備、磁介質（磁帶和磁盤等）、裝置、環境等，這些實物資產容納著 軟件和數據文件。（四）人員，承擔某項與業務活動相關責任的角色和職位。例如普通用戶、系統 管理員、網絡管理員、保安、清潔員等，這些人員與各類數據、軟件和實物資產 的操作直接相關。（五）服務，安保（例如監控、門禁、保安等），環境服務（例如清潔），基礎保 障（供水、供熱、供電），設備維護，通信服務（例如互聯網接入）。第六條 信息資產分級標準保密性、完整性和可用性是評價資產的三個安全屬性。風險評估中資產的價 值不是以資產的經濟價值來衡量，而是由資產在這三個安全屬性上的達成程度或 者其安全屬性未達成時

7、所造成的影響程度來決定的。安全屬性達成程度的不同將 使資產具有不同的價值，而資產面臨的威脅、存在的脆弱性、以及已采用的安全 措施都將對資產安全屬性的達成程度產生影響。（一）保密性賦值根據信息資產在保密性上的不同要求，將其分為五個不同的等級，分別對應 資產在保密性上應達成的不同程度或者保密性缺失時對整個組織的影響。下表提 供了一種保密性賦值的參考。表1信息資產保密賦值表賦值標識定義V很高V等級文獻為高度絕密級，其查閱人僅限公司董事會、高層 決策者及事件相關負責人；I V高I V等級文獻為絕密級，其查閱人僅限公司董事會、高層決 策者、高層管理人員及事件相關負責人；I I I中等I I I等級文獻為

8、機密級，其查閱人僅限公司董事會、高層決策者、高層管理人員、相關部門負責人及事件相關負責人；I I底I I等級文獻為機密級，其查閱人僅限公司董事會、高層決 策者、高層管理人員、所有部門負責人及事件相關負責人；I很低I等級文獻為秘密級，其查閱人為公司所有員工（二）完整性賦值根據信息資產在完整性上的不同要求，將其分為五個不同的等級，分別對應資產在完整性上缺失時對整個組織的影響。下表提供了一種完整性賦值的參考表2信息資產完整性賦值表賦值標識定義V很高完整性價值非常關鍵，未經授權的修改或破壞會對組織造成 重大的或無法接受的影響，對業務沖擊重大，并可能造成嚴 重的業務中斷，難以彌補I V高完整性價值較高，

9、未經授權的修改或破壞會對組織造成重大 影響，對業務沖擊嚴重，較難彌補I I I中等完整性價值中等，未經授權的修改或破壞會對組織造成影 響，對業務沖擊明顯，但可以彌補I I底完整性價值較低，未經授權的修改或破壞會對組織造成輕微 影響，對業務沖擊輕微，容易彌補I很低完整性價值非常低，未經授權的修改或破壞對組織造成的影 響可以忽略，對業務沖擊可以忽略（三）可用性賦值根據信息資產在可用性上的不同要求，將其分為五個不同的等級，分別對應資產在可用性上應達成的不同程度。下表提供了一種可用性賦值的參考表3 :信息資產可用性賦值表賦值標識定義V很高可用性價值非常高,合法使用者對信息及信息系統的可用度 達到年度

10、現上，或系統不允許中斷I V高可用性價值較高，合法使用者對信息及信息系統的可用度達到每天90%Z上，或系統允許中斷時間小于 10minI I I中等可用性價值中等，合法使用者對信息及信息系統的可用度在正常工作時間達到70姒上，或系統允許中斷時間小于30minI I底可用性價值較低，合法使用者對信息及信息系統的可用度在 正常工作時間達到25%Z上，或系統允許中斷時間小于60minI很低可用性價值可以忽略，合法使用者對信息及信息系統的可用 度在正常工作時間低于25%第五章信息披露管理第七條對外信息披露管理（一）責任部門對外信息披露的責任部門為總裁辦，總裁辦是公司的對外公告、啟事、宣傳 文稿等工作的

11、對口部門。（二）對外信息披露的流程1）信息的報送：各部門根據工作需要對外發布及傳送信息時，需提前通知 總裁辦，并將對外公布信息內容、信息披露的渠道等報送總裁辦審批；2）信息的審批：總裁辦對各部門對外公布信息內容和渠道進行審批，審批 通過后由總裁辦統一執行對外信息發布的工作（附表一）。重要對外信息的審批則 需上報董事長審批，審批通過后由總裁辦進行發布工作（附表二）。注：對于經常性或較為適于職能部門發布的信息，經總裁辦審批后，可由相應部門負責對外信息發布，發布 信息內容則必須在總裁辦留檔。3）發生費用的控制：對于因信息發布披露而產生的費用，各部門在年初時 需制訂相應的預算，在具體信息對外公布執行中

12、，財務部按照預算進行控制。對 于超出預算或其他特殊情況的費用，則需相應部門上報公司董事長進行審批，審 批通過后予以執行。4）對外披露信息的存檔：對外披露的信息由總裁辦統一存檔、保留。第六章電子數據的使用和處置第八條對所有電子數據進行分類/分級，標識未授權人員的訪問限制，不同安全級別的數據應存儲在不同的區域，按類按級傳達，便于信息的安全管理第九條不同類型的電子文件按照統一規律存放在個人電腦或服務器中，便于整理和查閱以及工作交接時轉移。第十條所有電子文件保存在電腦或服務器中，并按照 xxxxx 公司備份和恢復管理制度規定的備份頻率定期進行備份。第十一條對于存于服務器上的電子數據的訪問，根據服務器提

13、供服務的不同與部門職務的不同，設置不同的訪問權限，避免非授權訪問。第十二條對于內部公開級別的電子信息，其使用要控制在內部，禁止帶出。第十三條對于秘密級別以上的電子文件的處理過程，必須保障數據的完整性、機密性和可用性。第十四條對于秘密級別以上的電子文件的使用，系統應進行審計。第十五條對于秘密級別以上的電子文件的傳輸，必須采取適當的安全措施加以保護，如加密傳輸、分散傳輸等。第十六條在整理電腦中的電子數據時，要小心操作，確認后再進行處理，避免由于誤操作將有用的電子數據刪除。第七章紙質文檔的使用和處置第十七條所有的秘密級以上的紙質文件資料要（通過標簽或其它方式）標識出資產的保密級別，分類存放，不同安全級別的紙質文件應按類按級傳達，便于紙質文件的安全管理。第十八條