规范重庆 XX 中学信息资产的管理、使用和处置,防止其滥用和丢失,保护数据安全。适用于重庆 XX 中学信息资产的管理, 包括:获得、分类分级、使用和处置。

第一章 目的

第一条 规范重庆 XX 中学信息资产的管理、使用和处置,防止其滥用和丢失,保护数据安全。

第二章 范围

第二条 适用于重庆 XX 中学信息资产的管理, 包括:获得、分类分级、使用和处置。

第三章 职责

第三条 网络安全办公室:主要负责信息资产的采购、入库、领用、为资产建立台账,负责使用与处置方法,并监督各部门的执行情况。各部门:按照相关规定,对信息资产进行有效使用和管理。

第四章 管理细则

第四条 信息资产的生命周期可分为采购与生成、使用与更新、销毁与废弃三个阶段。

第五条 软件、硬件设施、服务性设施等的获得主要以采购的方式获得,采购按照《IT 产品采购管理制度》有关规定进行采购和验收。

第六条 数据信息资产的获得来源主要为:供应商、财务信息、其他信息。

第七条 各科室根据业务流程列出信息资产清单并将每项资产的资产类别、信息资产编号、资产现有编号、资产名称、所属部门、管理者、使用者、地点等相关信息记录在资产清单上。资产的分类原则和编号原则如下:

  1. 硬件
    1. 计算机设备:(台式机、笔记本)、(WWW、SMTP、POP3、FTP、DNS)等服务器(含虚拟机);
    2. 存储设备:磁带机、磁盘整列、磁带、光盘、软盘、移动硬盘等;
    3. 网络设备:路由器、交换机、HUB、网关、程控交换机等;
    4. 传输线路:光纤、双绞线、电话线(布线)、电源线;
    5. 安全设备:硬件防火墙、入侵检测、网络隔离设备(如网闸)、负载均衡设备、身份验证、SOC、UTM 等;
    6. 办公设备:打印机、复印机、扫描仪、传真机、碎纸机、写字白板、应急照明设备;
    7. 保障设备:动力保障设备(UPS、变电设备)、空 调、保险柜、文件柜、门禁、消防设施等;
    8. 其他设备:生产设备(测量仪、SMT 等);
  2. 软件:操作系统、系统软件(office/AutoCAD)、应用软件(医疗信息软件)、网管软件、杀毒软件、财务软件、开发工具和资源库等。
  3. 电子数据:存在电子媒介的各种数据资料。如:源代码、数据库数据、各种数据资料、系统文档、运行管理规程、计划、日周月报告、财务报告(电子版本)、用户手册、方案、电子设计图纸等。
  4. 实体信息:纸质的各种文件。如:传真、电报、财务报告、发展计划、合同、纸张图纸等。
  5. 服务性设施,如:电源、空调、保险柜、文件柜、门禁、消防设施等。
  6. 人员:重庆 XX 中学各级领导、各级正式雇员、临时雇员等。
  7. 其他:重庆 XX 中学形象等。

对于重庆 XX 中学信息资产,为了对唯一性进行识别,定立以下编号规则。说明:资产编号 = 资产分类标识+"-"+PN 码

信息资产编号规则
信息资产编号规则

第八条 信息资产的分级

  1. 按照信息资产的公开和敏感程度,以及信息资产对系统和组织的重要性,信息资产的分级原则有两个:
  2. 对于文档(含电子文档与纸质文档)、介质类的数据载体,按照承载信息本身的公开和敏感程度,该类信息资产拟划分为“工作秘密”、“内部公开”、“外部公开”三级,针对不同级别的资产标识不同的保护等级。
  3. 对于其他物理设备,按照其对系统和组织的重要程度, 该类信息资产拟划分为“关键资产”、“重要资产”、“普通资 产”三级,针对不同级别的资产标识不同的防护等级。

信息资产分级划分具体方法:

  1. 关键资产:承载、处理或存储重庆 XX 中学核心业务信息系统数据,一旦破坏,会对重庆 XX 中学的主营业务造成冲击和损害。原则上承载处理业务信息系统数据的资产均应被标识为关键资产。
  2. 重要资产:对重庆 XX 中学某一部门提供服务的信息系统所含资产、或属于业务信息系统的支撑系统的信息系统所含资产。
  3. 普通资产:除上述信息系统以外的信息系统包含资产均可划分为普通资产,如不直接承载、存储业务信息系统的打印机、打码机等。
  4. 工作秘密:涉及重庆 XX 中学明确规定需要保密的信息、业务信息系统数据、重庆 XX 中学财务数据、人员工资数据、信息系统账号等的信息数据文档均应划分为工作秘密。
  5. 内部公开:在重庆 XX 中学内部公开,对 外保密的信息,向外扩散有可能对重庆 XX 中学的 利益造成损害的数据文档。
  6. 外部公开:对社会公开的信息,公用的信息处理设备和系统资源等信息资产。

第九条 信息资产标注的原则

  1. 对不同安全类别的信息进行明确的标识,有助于内部相关人员依照有关信息安全规章制度进行具体操作和处理, 从而最大限度地降低人为的误操作带来安全隐患的概率。
  2. 所有信息资产安全分类标识必须正确反映该信息的 安全防护级别,信息安全工作小组对信息安全分类有最终决定权。
  3. 对所有的信息安全分类标识,由信息安全工作小组作定期更新维护。
  4. 电子格式的数据和文档采用电子方式进行分类标识。 其他形式的资产采用贴标签的方式对信息进行分类标识。

第十条 信息资产标注的方法

1、电子信息

  • –电子格式的数据和文档采用电子方式进行分类标识。 标识分为“工作秘密、内部公开、外部公开”三个类别。
  • –对于电子文档,应在文档的页眉、页脚、或封面开始部分的醒目处进行标识。
  • –其他电子信息,如配置信息、备份数据等,如果可以采用电子方式进行标识,则采用电子方式进行标识。
  • –对于技术手段上不能进行标识的电子信息,可以在文 件名称上加上密级标识,或者采用对信息载体进行物理标签标识等其他方法。
  • –如果文档是由已经标识好的电子文档打印出来的,则 不需要再做任何标识。

2、物理资产

  • –采用贴物理标签的方式对信息进行分类标识。第十一条 信息资产标注的内容

信息资产分类标识必须包括并不仅限于下列信息:

  1. 简单描述或内部编号
  2. 安全类别/重要程度
  3. 资产管理员

第十二条 信息资产的识别与汇总

通过业务流程分析,识别各个流程的各类关键信息资产, 最终信息中心汇总《信息资产清单》,并每半年进行一次更新, 确保重要信息资产的完备性(重要信息资产没有遗漏和缺失) 和准确性(信息资产的保密级别和重要程度能够真实反映信 息资产的状态)。

第十三条 硬件资产的使用规范

  1. 所有的硬件资产必须明确设备的使用人员/管理人员, 明确职责。
  2. 硬件资产的使用人(或管理人),在使用或管理硬件资产时,要注意硬件资产的安全性、机密性、完整性,防止信息载体的毁坏和信息的泄密,防止信息处理设施的滥用。
  3. 对设备定期进行维护保养,发生毁坏,丢失等问题时能够及时处置。
  4. 新硬件设备接入网络按照相关规定处理。
  5. 当设备迁移时,如果设备中存储有重要信息时候,需事先进行备份;
  6. 设备迁移完成后,需要检查设备是否损坏;
  7. 设备迁移出重庆 XX 中学时,检查人员在检查时要格外注意,禁止设备中存放重要信息,以防止重庆 XX 中学机密信息泄露或泄露的风险增加。
  8. 离开重庆 XX 中学的设备和介质,如客户现场的设备和介质需要有人值守或委派负责人(或者公共场所 放置的需要有人值守或监视系统)。
  9. 在旅行时便携式计算机(笔记本电脑)要作为手提行李携带,若可能宜伪装起来;
  10. 制造商保护设备用的说明书要始终加以遵守,例如, 防止暴露于强电磁场内。

第十四条 软件资产的使用规范

  1. 所有的软件资产必须设置专人管理,明确职责,避免软件资产的丢失,泄密。
  2. 所有正版软件实体由网络安全办公室保管,在安装软件时要规定使用权限,防止非授权访问。
  3. 重庆 XX 中学自己开发系统软件的源代码应进行备份。
  4. 对重庆 XX 中学重要系统,如邮件系统,文件服务器系统进行备份。
  5. 当人员离职或岗位变动,需要回收有关的软件,必要 时,由网络安全办公室人员对离职人员使用的软件进行卸载, 删除。
信息系统资产安全管理制度

第十五条 电子数据的使用规范

  1. 对所有电子数据进行分类/分级,标识未授权人员的 访问限制,不同安全级别的数据应存储在不同的区域,按类按级传达,便于信息的安全管理。
  2. 不同类型的电子文件按照统一规律存放在个人电脑 或服务器中,便于整理和查阅以及工作交接时转移。
  3. 所有电子文件保存在电脑或服务器中,并按照规定的备份频率定期进行备份。
  4. 对于存于服务器上的电子数据的访问,会根据服务器 提供服务的不同与部门/职务的不同,设备不同的访问权限, 减少非受权的访问。
  5. 对于工作秘密级别的电子信息,要由专人管理,存放在受权限控制的路径下。
  6. 对于内部公开级别的电子信息,其使用要控制在重庆 XX 中学内部,禁止带出重庆 XX 中学。

第十六条 实体信息的使用规范

  1. 所有的工作秘密级的实体信息资料要(通过标签或其它方式)标识出资产的保密级别,分类存放,不同安全级别的实体信息应按类按级传达,便于实体信息的安全管理。
  2. 对于比较重要的工作秘密实体信息必要时保存在带 锁的柜子或保险柜子中,柜子钥匙由专人保管。
  3. 对于实体信息的保存期限依据备份相关制度进行实 施。
  4. 对于比较重要的实体信息的使用过程,应注意信息的保密,确保信息的完整性和可用性;
  5. 对于比较重要的实体信息的传输,应采取适当的安全措施加以保护,如专人递送、分散传输等。
信息系统资产安全管理制度

相关文章

  • 双网隔离方案简单介绍(办公电脑双网隔离卡)

    双网隔离方案简单介绍(办公电脑双网隔离卡)

    在本方案中介绍使用的双网隔离卡只需增加一块硬盘,即可将一台普通计算机分成两台虚拟计算机,分别连接内部网或外部网,实现安全环境和不安全环境的绝对隔离,以保证内部机密信息的安全。同时通过桌面切换软件,在保存工作现场的同时快速的在内外网之间切换,既保障了内外网的物理隔离,又保证了用户工作的流畅性。 1 双网隔离系统总体方案 2 双网隔离系统实现目标 3 双网隔离系统实施要点 在本方案中介绍使用的双网隔离卡只需增加一块硬盘,即可将一台普通计算机分成两台虚拟计算机,分别连接内部网或外部网,实现安全环境和不…

  • 信息工程中保证工程质量的技术措施

    信息工程中保证工程质量的技术措施

    施工质量管理是施工组织设计重要的一环。本项目工程建设要上一个新台阶,必须大力加强质量意识的建设。质量不断改进和提高,是我公司经营管理工作中一个永恒的主题,也是工程项目建设永远不老的课题。 1 保证工程质量的技术措施 加强技术管理,严格执行各种施工安装规范标准和操作规程,加强工程通病的预控工作,抓紧实现一次合格制度,坚持分项、分部的工程安装质量评定工作,及时填写各项工程验收报表、记录,在施工中加强资料收集和管理工作及时总结经验。 强化全体施工人员的质量意识,配备有经验的工程技术人员和技师工长,坚持…

  • 网络信息系统变更管理程序

    网络信息系统变更管理程序

    为规范咱们单位的各信息系统需求变更操作,增强需求变更的可追溯性,控制需求变更风险, 特制定本规程。本规范适用于所有业务信息系统、网络系统的变更管理。 第一章 目的 第一条 为规范重庆 XX 中学各信息系统需求变更操作,增强需求变更的可追溯性,控制需求变更风险, 特制定本规程。 第二章 范围 第二条 本规范适用于重庆 XX 中学所有业务信息系统、网络系统的变更管理。 第三章 职责 第三条 各业务科室信息系统使用和维护人员按照本办法发起和进行各信息系统的变更,网络安全办公室系统管理员和网络管理员按照…

  • 网络安全应急预案模板、安全应急响应方案

    网络安全应急预案模板、安全应急响应方案

    为提高应对突发网络安全能力,维护网络安全和社会稳定,保障世博展览馆各项工作正常开展,特制定本预案。根据网络安全的发生原因、性质和机理,网络安全主要分为以下三类: 攻击类事件:指网络系统因计算机病毒感染、非法入侵等导致业务中断、系统宕机、网络瘫痪等情况。 故障类事件:指网络系统因计算机软硬件故障、人为误操作等导致业务中断、系统宕机、网络瘫痪等情况。 灾害类事件:指因爆炸、火灾、雷击、地震、台风等外力因素导致网络系统损毁,造成业务中断、系统宕机、网络瘫痪等情况。 那么针对以上三类网络安全事件,作为甲…

  • 系统备份与恢复管理制度

    系统备份与恢复管理制度

    本办法涉及的存储备份系统包括:存储设备、光纤交换机、磁带库、移动介质、备份软件;管理适用对象包括网络安全办公室相关运维人员。 第一章 目的 第一条 为规范重庆 XX 中学存储备份系统管理,加强存储备份工作的日常管理及考核水平,保障系统安全稳定运行,明确管理责任,特制定本办法。 第二章 范围 第二条 本办法涉及的存储备份系统包括:存储设备、光纤交换机、磁带库、移动介质、备份软件;管理适用对象包括网络安全办公室相关运维人员。 第三章 职责 第三条 数据库管理员:负责存储备份系统的管理,包括存储设备的…

  • 信息系统授权及审批管理

    信息系统授权及审批管理

    为规范重庆 XX 中学信息安全管理各环节的审批流程和审批责任人,特制订本规范。本管理制度适用于重庆 XX 中学信息系统相关的所有授权和审批事项,明确各相关管理环节授权和审批的部门和责任人。 第一章 目的 第一条 为规范重庆 XX 中学信息安全管理各环节的审批流程和审批责任人,特制订本规范。 第二章 范围 第二条 本管理制度适用于重庆 XX 中学信息系统相关的所有授权和审批事项,明确各相关管理环节授权和审批的部门和责任人。 第三章 职责 第三条 网络安全办公室负责制订该规范并报信息安全领导小组审批…

- 联 系 我 们 -

+86 186-2315-0440

在线咨询:点击这里给我发消息

电子邮箱:i@zzptech.com

工作时间:7*24h,全年无休

关注微信