四川工程职业技术学院
资产安全管理制度
目 录
1总则
1.1目的
规范四川工程职业技术学院信息资产的管理、使用和处置,防止其滥用和丢失,保护数据安全。
1.2范围
适用于四川工程职业技术学院信息资产的管理,包括:获得、分类分级、使用和处置。
1.3职责
国有资产管理处:主要负责信息资产的采购、入库、领用、为资产建立台账,
负责使用与处置方法,并监督各部门的执行情况。
各部门:按照相关规定,对信息资产进行有效使用和管理。
1.4术语和定义
信息资产:本文件中的信息资产是指可以存储信息数据的信息载体,包括:硬件、软件、数据(开发数据、用户数据)、文档(实体信息)、人员、服务设施、其他。
2管理细则
信息资产的生命周期可分为采购与生成、使用与更新、销毁与废弃三个阶段。
2.1信息资产的获取
软件、硬件设施、服务性设施等的获得主要以采购的方式获得,采购按照《产品采购管理制度》有关规定进行采购和验收。
数据信息资产的获得来源主要为:用户、供应商、财务信息、其他信息。
2.2信息资产的分类
2.2.1信息资产的分类
各科室根据业务流程列出信息资产清单并将每项资产的资产类别、信息资产编号、资产现有编号、资产名称、所属部门、管理者、使用者、地点等相关信息记录在资产清单上。资产的分类原则和编号原则如下:
分类原则:
计算机设备:(台式机、笔记本)、(WWW、SMTP、POP3、FTP、DNS)等服务器(含虚拟机);
存储设备:磁带机、磁盘整列、磁带、光盘、软盘、移动硬盘等;
网络设备:路由器、交换机、HUB、网关、程控交换机等;
传输线路:光纤、双绞线、电话线(布线)、电源线;
安全设备:硬件防火墙、入侵检测、网络隔离设备(如网闸)、负载均衡设备、身份验证、SOC、UTM等;
办公设备:打印机、复印机、扫描仪、传真机、碎纸机、写字白板、应急照明设备;
保障设备:动力保障设备(UPS、变电设备)、空调、保险柜、文件柜、门禁、消防设施等;
其他设备:生产设备(测量仪、SMT等);
如:操作系统、系统软件(office/AutoCAD)、应用软件、网管软件、杀毒软件、财务软件、开发工具和资源库等。
存在信息媒介的各种数据资料。如:源代码、用户信息、数据库数据、各种数据资料、系统文档、运行管理规程、计划、日周月报告、财务报告(电子版本)、用户手册、方案、设计图纸等。
纸质的各种文件。如:传真、电报、财务报告、发展计划、合同、纸张图纸等。
如:电源、空调、保险柜、文件柜、门禁、消防设施等。
如:四川工程职业技术学院各级领导、各级正式雇员、临时雇员等。
如:四川工程职业技术学院形象等。
对于四川工程职业技术学院信息资产,为了可唯一进行识别,定立以下编号规则:
|
| 说明:资产编号 = 资产分类标识+"-"+PN码(SN码)
|
|
|
|
|
|
|
|
序号
| 资产分类
| 标识
| 顺序号
|
-
| 硬件
| H
| 设备码
|
-
| 工作站电脑
|
| PN或SN码
|
-
| 激光打印机
|
| PN或SN码
|
-
| 针式、热敏打印机
|
| PN或SN码
|
-
| 网络防火墙
|
| PN或SN码
|
-
| 软件
| S
|
|
-
| 用户数据
| D
|
|
-
| 实体信息
| E
|
|
-
| 服务
| R
|
|
-
| 人员
| P
|
|
-
| 其他
| O
|
|
-
|
|
|
|
2.2.2信息资产的分级
按照信息资产的公开和敏感程度,以及信息资产对系统和组织的重要性,信息资产的分级原则有两个:
对于文档(含数据文档与纸质文档)、介质类的数据载体,按照承载信息本身的公开和敏感程度,该类信息资产拟划分为“机密”、“内部公开”、“外部公开”三级,针对不同级别的资产标识不同的保护等级。
对于其他物理设备,按照其对系统和组织的重要程度,该类信息资产拟划分为“关键资产”、“重要资产”、“普通资产”三级,针对不同级别的资产标识不同的防护等级。
信息资产分级划分具体方法:
关键资产:承载、处理或存储四川工程职业技术学院核心业务信息系统数据,一旦破坏,会对四川工程职业技术学院的主营业务造成冲击和损害。原则上承载处理业务信息系统数据的资产均应被标识为关键资产。
重要资产:对四川工程职业技术学院某一部门提供服务的信息系统所含资产、或属于业务信息系统的支撑系统的信息系统所含资产。
普通资产:除上述信息系统以外的信息系统包含资产均可划分为普通资产,如不直接承载、存储业务信息系统的打印机、打码机等。
机密:涉及四川工程职业技术学院明确规定需要保密的信息、业务信息系统数据、四川工程职业技术学院财务数据、人员工资数据、信息系统账号、用户数据的信息数据文档均应划分为机密。
内部公开:在四川工程职业技术学院内部公开,对外保密的信息,向外扩散有可能对四川工程职业技术学院的利益造成损害的数据文档。
外部公开:对社会公开的信息,公用的信息处理设备和系统资源等信息资产。
2.2.3信息资产的标识
2.2.3.1信息资产标注的原则
对不同安全类别的信息进行明确的标识,有助于内部相关人员依照有关信息安全规章制度进行具体操作和处理,从而最大限度地降低人为的误操作带来安全隐患的概率。
所有信息资产安全分类标识必须正确反映该信息的安全防护级别,信息安全工作小组对信息安全分类有最终决定权。
对所有的信息安全分类标识,由信息安全工作小组作定期更新维护。
电子格式的数据和文档采用电子方式进行分类标识。其他形式的资产采用贴标签的方式对信息进行分类标识。
2.2.3.2信息资产标注的方法
电子信息
电子格式的数据和文档采用电子方式进行分类标识。标识分为“机密、内部公开、外部公开”三个类别。
对于电子文档,应在文档的页眉、页脚、或封面开始部分的醒目处进行标识。
其他电子信息,如配置信息、备份数据等,如果可以采用电子方式进行标识,则采用电子方式进行标识。
对于技术手段上不能进行标识的电子信息,可以在文件名称上加上密级标识,或者采用对信息载体进行物理标签标识等其他方法。
如果文档是由已经标识好的电子文档打印出来的,则不需要再做任何标识。
物理资产
2.2.3.3信息资产标注的内容
信息资产分类标识必须包括并不仅限于下列信息:
简单描述或内部编号
安全类别/重要程度
资产管理员
2.2.4信息资产的识别与汇总
通过业务流程分析,识别各个流程的各类关键信息资产,最终技术部汇总《信息资产清单》,并每半年进行一次更新,确保重要信息资产的完备性(重要信息资产没有遗漏和缺失)和准确性(信息资产的保密级别和重要程度能够真实反映信息资产的状态)。
2.3信息资产的使用规范
2.3.1硬件资产的使用规范
所有的硬件资产必须明确设备的使用人员/管理人员,明确职责。
硬件资产的使用人(或管理人),在使用或管理硬件资产时,要注意硬件资产的安全性、机密性、完整性,防止信息载体的毁坏和信息的泄密,防止信息处理设施的滥用。
对设备定期进行维护保养,发生毁坏,丢失等问题时能够及时处置。
新硬件设备接入网络按照相关规定处理。
当设备迁移时,如果设备中存储有重要信息时候,需事先进行备份;
设备迁移完成后,需要检查设备是否损坏;
设备迁移出四川工程职业技术学院时,检查人员在检查时要格外注意,禁止设备中存放重要信息,以防止四川工程职业技术学院机密信息泄露或泄露的风险增加。
离开四川工程职业技术学院的设备和介质,如客户现场的设备和介质需要有人值守或委派负责人(或者公共场所放置的需要有人值守或监视系统)。
在旅行时便携式计算机(笔记本电脑)要作为手提行李携带,若可能宜伪装起来;
制造商保护设备用的说明书要始终加以遵守,例如,防止暴露于强电磁场内;
2.3.2软件资产的使用规范
所有的软件资产必须设置专人管理,明确职责,避免软件资产的丢失,泄密。
所有正版软件实体由技术部保管,在安装软件时要规定使用权限,防止非授权访问。
四川工程职业技术学院自己开发系统软件的源代码应进行备份。
对四川工程职业技术学院重要系统,如邮件系统,文件服务器系统进行备份。
当人员离职或岗位变动,需要回收有关的软件,必要时,由技术部人员对离职人员使用的软件进行卸载,删除。
2.3.3电子数据的使用规范
对所有电子数据进行分类/分级,标识未授权人员的访问限制,不同安全级别的数据应存储在不同的区域,按类按级传达,便于信息的安全管理。
不同类型的电子文件按照统一规律存放在个人电脑或服务器中,便于整理和查阅以及工作交接时转移。
所有电子文件保存在电脑或服务器中,并按照规定的备份频率定期进行备份。
对于存于服务器上的电子数据的访问,会根据服务器提供服务的不同与部门/职务的不同,设备不同的访问权限,减少非受权的访问.
对于机密级别的电子信息,要由专人管理,存放在受权限控制的路径下。
对于内部公开级别的电子信息,其使用要控制在四川工程职业技术学院内部,禁止带出四川工程职业技术学院。
2.3.4实体信息的使用规范
所有的机密级的实体信息资料要(通过标签或其它方式)标识出资产的保密级别,分类存放,不同安全级别的实体信息应按类按级传达,便于实体信息的安全管理。
对于比较重要的机密实体信息必要时保存在带锁的柜子或保险柜子中,柜子钥匙由专人保管。
对于实体信息的保存期限依据备份相关制度进行实施。
对于比较重要的实体信息的使用过程,应注意信息的保密,确保信息的完整性和可用性;
对于比较重要的实体信息的传输,应采取适当的安全措施加以保护,如专人递送、分散传输等。
2.4信息资产的发布
2.4.1责任部门
对外信息披露的责任部门为行政人事部。
2.4.2对外信息披露的流程
1)信息的报送:各部门根据工作需要对外发布及传送信息时,需提前通知信息安全工作小组,并将对外公布信息内容、信息披露的渠道等报送行政人事部审批;
2)信息的审批:行政人事部对各部门对外公布信息内容和渠道进行审批,审批通过后由行政人事部统一执行对外信息发布的工作。重要对外信息的审批则需上报总经理审批,审批通过后由行政人事部进行发布工作。
注:对于经常性或较为适于职能部门发布的信息,经行政人事部审批后,可由相应部门负责对外信息发布,发布信息内容则必须在行政人事部留档。
3)发生费用的控制:对于因信息发布披露而产生的费用,各部门在年初时需制订相应的预算,在具体信息对外公布执行中,财务部按照预算进行控制。对于超出预算或其他特殊情况的费用,则需相应部门上报公司总经理进行审批,审批通过后予以执行。
4)对外披露信息的存档:对外披露的信息由行政人事部统一存档、保留。
2.5用户数据的保护
2.5.1责任部门
由单位负责人、其他部门负责人、信息管理主要技术人员组成的信息数据安全小组,以充分保护用户的个人隐私、保障用户信息安全。
2.5.2小组职责
1、定期对相关人员进行网络信息安全培训并进行考核,使网站相关管理人员充分认识到网络安全的重要性,严格遵守相应规章制度。
2、尊重并保护用户的个人隐私,除了在与用户签署的隐私保护协议和网站服务条款以及其他公布的准则规定的情况下,未经用户授权不随意公布和泄露用户个人身份信息。
3、对用户的个人信息严格保密,并承诺未经用户授权,不得编辑或透露其个人信息及保存在本网站中的非公开内容,但下列情况除外:
①违反相关法律法规或本网站服务协议规定;
②按照主管部门的要求,有必要向相关法律部门提供备案的内容;
③因维护社会个体和公众的权利、财产或人身安全的需要;
④被侵害的第三人提出合法的权利主张;
⑤为维护用户及社会公共利益、本网站的合法权益的需要;
⑥事先获得用户的明确授权或其它符合需要公开的相关要求。
2.5.3用户数据所有权
本公司有责任保护用户数据,每个用户都要对其账号中的所有活动和事件承担全部责任。
1、用户应当严格遵守网站用户账号使用登记和操作权限管理制度,并对自己的用户账号、密码妥善保管,定期或不定期修改登录密码,严格保密,严禁向他人泄露。
2、用户同意若发现任何非法使用用户账号或安全漏洞的情况,有义务立即通告本网站。
3、如用户不慎泄露登陆账号和密码,应当及时与网站管理员联系,请求管理员及时锁定用户的操作权限,防止他人非法操作;在用户提供有效身份证明和有效凭据并审查核实后,重新设定密码恢复正常使用。
3附件
附1:信息系统资产清单
四川工程职业技术学院信息资产清单
资产编码
| 资产名称
| 资产类别
| 在用部门
| IP地址
| 重要程度
| 责任人
| 用途
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
附件2:信息系统资产转移单
信息系统资产转移单
