1、資產安全管理制度XXXX資產安全管理制度2017年12月目錄1 總則3 目的3 范圍32 規范性引用文件33 職責3 信息技術科3 其他各科室34 術語與定義3信息3 資產35 管理內容和方法4 資產清單4 資產管理4 信息資產的存放和使用5信息資產分類6信息的標識及處置7資產轉移8資產數據安全管理86 附則87 附表813第13頁共13 頁1 總則 目的為了規范XXXXX網絡與信息系統的信息資產管理，明確各種崗位的信息資產管理職責，方便在XXXXX內部推廣和執行信息資產的管理和使用要求，特制訂本制度。本細則描述了XXXXX信息技術科在信息資產管理方面的職責、管理內容和管理方法。 范圍本細則適

2、用于XXXXX信息技術科所有信息資產的管理。2 規范性引用文件GB/T 22081-2008/ISO/IEC 27002:2005信息技術 安全技術 信息安全管理實用規則3 職責信息技術科1、負責所有信息資產的管理工作。2、負責制作和維護所管轄系統的信息資產管理清單。3、負責審核各個科室的信息資產變更。4、定期對信息資產進行清查盤點。 其他各科室1、負責維護本科室的信息資產清單。2、負責審核本科室信息資產的變更管理。3、協助信息技術科進行信息資產清點工作。4 術語與定義信息對組織具有重要價值，可以通過媒體傳遞和存儲的一種資產。 資產本程序所稱的資產指是指XXXXX在生產、經營和管理過程中，所需

3、要的以及所產生的，用以支持（或指導、或影響）連州市人民法院生產、經營和管理的一切有用的數據和資料等非財務的無形資產，其范圍包括現在的和歷史的。5 管理內容和方法 資產清單 資產清單可幫助確保有效的資產保護，編制一份完整的資產清單是風險管理的一個重要的先決條件。連州市人民法院信息技術科應制定和維護所管轄的資產清單，清單中應包括如下與信息系統相關的資產：1、信息資產：數據庫和數據文件、合同和協議、系統文件、研究信息、用戶手冊、培訓材料、操作或支持程序、業務連續性計劃、應變安排 （fallbackarrangement） 、審核跟蹤記錄（audit trails） 、歸檔信息； 2、軟件資產：應用軟

4、件、系統軟件、開發工具和實用程序； 3、物理資產：計算機設備、通信設備、可移動介質和其他設備； 4、服務：計算和通信服務、公用設施，例如，供暖，照明，能源，空調；5、人員：與信息安全相關的重要人員，如信息系統管理崗位人員、應用集成崗位人員、局域網及終端管理崗位人員、數據管理崗位人員、資產管理崗位人員等。6、無形資產：如組織的聲譽和形象、商標、知識產權等。資產清單中應包括資產責任科室、責任人、重要程度、所處位置、安全分類、保存方式、使用方法等內容。 資產管理資產責任人XXXXX在資產管理過程中，應將一組資產指派給一個責任人，與信息處理設施有關的所有信息和資產應由組織的指定科室或人員承擔責任，資產

5、責任人應負責：1、確保與信息處理設施相關的信息和資產進行了適當的分類；2、確定并周期性評審訪問限制和分類，要考慮到可應用的訪問控制策略。新資產必須進行入庫登記接收，明確資產接收人、責任人、時間等信息；資產應明確其所有者、管理者及使用者三類角色，對于每一個資產必須有且僅有一個所有者角色，同時必須有且僅有一個管理者角色。任何對網絡與資產的變更、訪問應在獲得資產責任人的批準后進行。所有需要接入連州市人民法院信息網絡的設備，應經信息技術科審核、備案。隨機資料、軟件等應由使用者或資產責任人妥善保管，重要的專用驅動程序應有備份。連州市人民法院信息技術科應定期對資產進行清查盤點，確保資產帳物相符和完好無損。

6、資產的報廢應由使用科室提出書面申請，信息技術科根據資產的使用情況進行審核，提出資產報廢清單，按固定資產報廢程序辦理。 信息資產的存放和使用信息資產的存放應立足于管理和安全的考慮，為了便于保管、提取、查詢，信息資產應盡量以電子介質的形式存儲，因此，對于存儲在紙介質等其他非結構化的信息資產，如果技術上允許并且有必要的話，應及時進行適當的處理，轉換為結構化的電子信息，并以電子介質的形式存儲。資產具體存放形式參見（附件1）信息資產的存放形式表。 信息資產的存儲介質存放的地點要求如下：1、對于對外公開信息，存放地點沒有要求。2、對于對內公開信息，如果是結構化的電子信息，應存放在內部服務網絡中的文件服務器

7、等；如果是非結構化的其他信息，應存放在室內文件柜中，并有明顯的分類標識。3、對于秘密信息，如果是結構化的電子信息，應存放在有嚴格管理制度、具有足夠的安全防護措施的機房環境中的相關服務器和存儲設備上；如果是非結構化的其他信息，應存放在室內具有較強防盜竊能力的文件柜中，并造冊登記，分項存放。4、對于機密信息，如果是聯機存儲的結構化電子信息，應存放在有嚴格管理制度、具有高強度的安全防護措施的機房環境中的相關服務器和存儲設備上；如果是脫機存儲的結構化電子信息，以及非結構化的其他信息，應存放在具有嚴格保安措施的、專門的保管環境中（如機要室等），并造冊登記，分項存放。 信息資產的存儲介質使用控制要求如下：

8、1、對于對外公開信息，介質使用沒有限制要求，任何人在任何場合均可以使用。2、對于對內公開信息，對于存儲在電子介質上的信息，必須通過內部網絡，以注冊的合法身份，登錄訪問和下載使用；對于非結構化的其他信息，經介質保存科室同意，可以提取存儲信息的介質使用，使用完畢放回原處。3、對于秘密信息，對于存儲在電子介質上的信息，原則上要求聯機使用，信息只能通過應用系統專用界面使用，使用者必須具有足夠的使用權限；秘密信息的脫機提取或抄錄，必須有相關領導的書面批準意見，其提取或抄錄的相關細節必須記錄在案，使用者必須對其提取或抄錄秘密信息的安全保密負責；對于非結構化信息的使用，必須符合秘密級文件的相關使用規定，信息

9、的提取或抄錄必須有相關領導的書面批準意見，其相關細節必須記錄在案，使用者必須對其提取或抄錄秘密信息的安全保密負責。4、對于機密信息，對于存儲在電子介質上的信息，必須聯機使用，信息只能通過應用系統專用界面使用，使用者必須具有足夠的使用權限；機密信息絕對禁止的脫機提取，特殊信息的抄錄，必須有相關領導及保密人員的書面批準意見，抄錄的過程及內容必須有保密人員現場監督檢查，抄錄的相關細節必須記錄在案，使用者必須對其抄錄的機密信息的安全保密負責；對于非結構化信息的使用，必須符合機密級文件的相關使用規定，特殊信息的抄錄必須有相關領導及保密人員的書面批準意見，其相關細節必須記錄在案，使用者必須對其提取或抄錄秘

10、密信息的安全保密負責。信息資產分類按照信息資產管理的相關標準和信息資產的表現形式，信息資產包括：（1）單位的域名、網絡拓撲結構、網絡IP地址及分配規則、企業標準編碼。（2）單位投資開發的（或具有獨立知識產權的）程序軟件的源代碼、支持程序軟件、外購軟件的使用許可證記錄、系統平臺基礎數據等。（3）系統配置數據、系統授權信息、口令文件、密鑰及算法文件、系統說明文檔、用戶手冊等系統基礎數據。（4）各類系統的應用數據庫及數據文件、業務報表等系統業務數據。（5）各類系統的運行方案、運行記錄、變更記錄等系統運行數據以及應急計劃。（6）各類的規劃、方案與策略、業務流程、業務規范、操作規程等管理數據。（7）技術

11、圖紙、技術文檔、工程資料等項目數據。（8）其他紙介質的重要辦公文件（信件）、圖像、影像、錄音和照片等非結構化辦公資料。（9）單個員工擁有的專家技能和經驗等隱性數據。信息資產具有不同的敏感度和重要性，應從其機密性、完整性和可用性等屬性對其進行分級，反映不同的保護要求、優先級和程度。連州市人民法院信息資產按信息的敏感度分類為機密信息、秘密信息、對內公開信息、對外公開信息。信息資產安全分類見附件2信息資產安全分類表信息的標識及處置XXXXX的信息系統應在物理或邏輯標簽中標明其資產分級。應根據品牌型號、設備流水號、設備名稱、設備序列號、設備責任人、使用單位、資產編碼等制定資產標簽，并把標簽貼在相應的信

12、息資產上；應明確信息處于不同載體的標注方法。信息的密級必須被明確標注。根據存儲和輸出方式的不同，可以采用物理標簽、電子標記等方法。的客戶或第三方在制作連州市人民法院的信息資產標識時，應遵循連州市人民法院統一的計算機和服務器標識定義及保密法有關規定要求。的客戶或第三方在對連州市人民法院的信息資產標識時，應遵循連州市人民法院統一的標識定義。不同分級的信息在處置過程中應采取不同的控制和保護措施，對實物形式和電子形式信息資產的信息處置活動包括如下類型：1 、復制；2、 存儲；3 、通過郵寄、傳真或電子郵件等方式進行傳輸；4 、通過口頭對話方式進行傳播，包括電話、語音郵件、應答設備等；5 、銷毀。機密信

13、息的處置要得到連州市人民法院主管領導的批準，并報信息技術科備案審核。處置信息類資產信息時，須在連州市人民法院內部的專門處置場所，設置特殊的處置柜存放；含連州市人民法院機密信息的紙件不得重復使用，紙質文件要通過專門設備徹底粉碎；電子文件要使用專門的清除軟件安全清除；存儲介質需要可靠地擦除或物理上徹底銷毀。資產轉移在未經設備管理責任科室領導審批的情況下，不得讓信息設備離開辦公場所。對于有權允許移動信息設備，應設置信息設備移動的時間限制，明確對資產的轉移、外出等進行跟蹤管理，并在返還時進行一致性檢查，并對設備做移出記錄和送回記錄的管理。為了防止未授權的信息設備移動，進出時由信息技術科進行抽查，以檢測

14、未授權的信息設備進出。這樣的抽查應按照相關規章制度執行，并告知局所有員工此種抽查制度。資產數據安全管理1、應采取措施確保系統管理數據、鑒別信息和重要業務數據在傳輸過程中得到完整性檢驗與保護。2、應采取措施確保系統管理數據、鑒別信息和重要業務數據在傳輸過程中得到保密保護。3、應采取措施對關鍵數據得到及時備份，確保數據的可恢復性。4、應建立規范的資產銷毀流程，確保資產銷毀過程中信息的備份回收，并做好銷毀記錄（填寫資產銷毀記錄表，見附件3），確保信息的保密、防止信息泄露。6 附則1、本細則自批準發文之日起生效。2、本細則由連州市人民法院信息技術科負責解釋。7 附表附件1信息資產的存放形式表定義類別信

15、息資產名稱存儲方式存儲介質1單位的域名無無1網絡拓撲結構脫機電子介質1網絡IP地址及分配規則脫機電子介質1企業標準編碼脫機電子介質或紙介質2程序軟件的源代碼脫機電子介質2支持程序軟件脫機電子介質2外購軟件的使用許可證記錄脫機紙介質2系統平臺基礎數據聯機電子介質3系統配置數據脫機電子介質或紙介質3系統授權信息脫機電子介質或紙介質3口令文件脫機電子介質或紙介質3密鑰及算法文件脫機電子介質3系統說明文檔、用戶手冊脫機紙介質4各類系統的應用數據庫及數據文件、業務報表等聯機電子介質5各類系統的運行日志聯機電子介質或紙介質5客戶服務記錄聯機電子介質6企業各類規劃、方案與策略脫機電子介質或紙介質6的業務流程

16、、業務規范、操作規程脫機電子介質或紙介質7技術圖紙、技術文檔、工程資料聯機電子介質或紙介質8其他紙介質辦公文件（信件）、圖象、影象、錄音和照片等非結構化辦公資料脫機按實際需要選擇的各種介質9單個員工擁有的專家技能和經驗等無無附件2信息資產安全分類表定義類別信息資產名稱信息資產分類1單位的域名對外公開信息1網絡拓撲結構秘密信息1網絡IP地址及分配規則秘密信息1企業標準編碼對內公開信息2程序軟件的源代碼秘密信息2支持程序軟件對內公開信息2外購軟件的使用許可證對內公開信息2系統平臺基礎數據秘密信息3系統配置數據秘密信息3系統授權信息秘密信息3口令文件機密信息3密鑰及算法文件機密信息3系統說明文檔、用戶手冊對內公開信息4系統應用數據