第一篇:信息資產管理制度
信息資產管理制度
1)職責
信息中心
1.負責檢查數據資產的安全管理情況。
2.負責本文件的編制和管理;
3.負責固定資產的管理,包括固定資產的采購、記錄、變更、報廢等;
4.負責備品備件的出入庫管理;
5.負責對有形資產進行分類、分級和標記;
6.負責對備品備件進行分類;
7.在有形資產發(fā)生變更、報廢或銷毀時,負責檢查資產中信息的處理情況。
8.負責檢查臺帳、信息系統中信息資產相關記錄,并將記錄情況納入考核計劃中。
各部門
1.按資產的使用規(guī)則和限制,正確使用信息資產;
2.在有形資產和備品備件發(fā)生變更、報廢或銷毀時,負責檢查并向信息中心報告介質中敏感信息。
2)工作程序
資產的分類分級
1.資產分類分為關鍵資產和非關鍵資產:
? 關鍵資產:對業(yè)務連續(xù)性和系統可用性影響大的資產(價格或價值較高的資產)。
? 非關鍵資產:對業(yè)務連續(xù)性和系統可用性影響小的資產(價格或價值較低的資產)。
資產的登記與標記
1.信息中心對固定資產進行分類分級、登記,確定該資產的類型、用途、位置、格式、規(guī)格、價值等具體信息;
2.信息中心根據發(fā)放的資產清單及設備標牌,對有形資產進行粘貼標記,各部門指定資產責任人,由資產責任人對所負責的資產進行保護;
3.各部門在資產新增、更新、調撥、報廢時,向信息中心提出需求,由信
息安全領導小組審核,報主管領導批準后按照相關規(guī)定執(zhí)行;
4.信息中心定期檢查有形資產的標記與使用情況,對資產丟失,標簽缺損的情況進行記錄,并納入各部門考核;
5.各部門對本部門管理的數據資產進行歸類和統計,對電子文件采用統一
樣式的電子標記進行標識。
資產的使用與維護
1.信息中心信息資產使用規(guī)范說明,包括使用授權、管理方式、操作方法、移動管理等,報信息安全領導小組備案。
2.各部門工作人員,包括雇員、承包方人員和第三方人員應明確到他們使
用信息資產時的限制條件,應對信息資產的使用和管理負責。
3.各部門人員應確保在采用移動介質進行數據傳輸時,傳輸完畢應及時刪
除介質上保留的數據信息,對于只讀介質,由本部門信息安全專員進行保存;
4.各部門的存儲介質在長期存儲時,信息安全專員應確保本部門介質貯存
地點應符合防火、防水、防震、防潮、防霉、防鼠害、防蟲蛀、防靜電、防磁等方面的安全要求,介質的存儲要符合介質生產商對介質存儲的要求;
5.各部門定期對本部門存儲介質中的數據進行備份和恢復測試,并進行測
試記錄,防止由于介質老化而導致的重要信息丟失;
6.涉及國家秘密的信息通過移動介質進行存儲時,各部門應參照國家有關
規(guī)定執(zhí)行。
7.信息安全領導小組定期檢查數據資產的安全管理情況,發(fā)現問題進行記
錄,并納入各部門考核。
資產的移動管理
1.所有有形資產的移動必須經過資產責任部門的授權;
2.物理介質在物理地點之外運送時,為了防止未授權訪問、不當使用或被
毀壞,各部門應采取以下必要的措施:
? 物理介質的包裝應采取防篡改的包裝進行密封(即封口破壞后無法
恢復原狀,可以很容易發(fā)現未授權訪問的企圖),防止信息在送信的過程中泄漏或被修改。
? 含有敏感信息的物理介質必須由內部人員親自押運,不得交由第三
方公司單獨運送。
3.所有有形資產的移動必須登記;
資產的銷毀
1.各部門檢查并清空待報廢設備內的所有信息,交信息中心統一處理;
2.信息中心對報廢設備進行清點;
3.信息中心定期對報廢設備進行統一處理,處理前對設備的存儲信息進行
檢查;
4.各部門介質上存儲的信息的敏感程度,由信息中心采取適當的措施對已
報廢的介質進行處理:
? 包含敏感信息的介質,應按照國家要求,去專門地點刪除原有介質
上的數據信息或進行消磁處理;對于只讀介質,可采用粉碎等方式進行處理。
第二篇:信息資產管理制度
信息資產管理制度
1.總則
第一條 為了更好地維護和管理信息系統設備,提高辦公效率,降低管理成本,服務信息化建設,特制定本信息資產管理制度;
第二條 本制度所稱信息系統資產是指應用于信息系統的所有資產,包括軟件、計算機及其外設、網絡設備以及相應的配件、耗材、工具等;
第三條 本制度主要是明確本辦信息系統資產管理的權限和職責,共同維護和管理本辦的信息系統資產;
第四條 信息系統資產的管理包括采購審核、資產登記、維護與支持、報廢審核。
2.分類與標識
第五條 信息系統資產分為軟件、信息系統設備以及配件耗材三大類。信息系統設備包括服務、臺式電腦主機、便攜式電腦、顯示器、打印機、掃描儀、多功能一體機、網絡交換機、路由器、防火墻等;
第六條 信息系統設備必須編制并保存與信息系統相關的資產清單,其內容必須包括資產責任部門、資產重要程度、資產所處位置等相關內容,并在初次投入使用前必須由信息系統管理員統一登記。
3.添置更換
第七條 設備添置更換流程(1)由需求人員申請;(2)信息科進行技術鑒定;(3)科負責人簽字;
(4)信息科分析信息系統設備需求,形成設備采購方案,如需采購則依照政府采購標準進行統一采購。
4.領用和交還
第八條 設備由信息系統管理員統一發(fā)放,并登記領用人,并填寫《設備領用登記表》明確責任人;
第九條 信息系統資產的使用人或保管人即是該信息系統資產的責任人,負責信息系統資產的安全和一般性維護;
第十條 公用信息系統資產的責任人為科長,或科長指定的員工;
第十一條 科室人員在崗位異動或離職時,應向信息系統管理員交還領用的信息系統資產,如有遺失或損毀必須按本單位相關規(guī)定賠償。
5.管理與維護
第十二條
信息系統設備實行包干管理負責制。每臺設備都應有專人負責保管(包括說明書及有關附件),在未特別指定管理人員的設備由操作人員負責管理,并切實負起保管、維護責任。秘書行政科負責定期檢查信息系統設備使用情況,進行需求分析,制訂解決方案。
第十三條
在使用信息系統設備前,應掌握操作規(guī)程,閱讀有關手冊。第十四條
愛護信息系統設備,做好防塵、防水、防磁、防震等工作。請勿在計算機上運行與業(yè)務無關的程序,未經系統管理員允許不得隨意更改系統和網絡設置、變更網線、加裝設備。信息系統設備若出現故障,應及時向系統管理員反映,由系統管理員及時查明原因,組織維修。
第十五條
未經秘書行政科同意,任何人不得外借信息系統設備及其附件給其它單位和個人使用。
6.報廢
第十六條
如需報廢計算機及相關設備,由使用人員填寫申報表,經相關部門鑒定無二次利用價值時,轉由財務部門按相關規(guī)定辦理設備報廢手續(xù)。
第三篇:信息資產和設備管理制度
信息資產和設備管理制度
第一章 范圍及職責
第一條 本制度適用于信息資產的管理,包括:獲取、分類、使用和處置以及安全設備的管理。
第二條 本制度中的信息資產是指可以存儲信息數據的信息載體,包括:硬件、軟件、數據(電子數據)、文檔(紙質文件)、人員、服務設施、其他。
第三條 某某單位辦公室(以下簡稱:辦公室)主要負責信息資產的分類、匯總、使用與處置方法,以及安全設備的選型、檢測、安裝、登記、使用、維護和儲存。
第四條 計算機資產統計信息的范圍包含但不限于:計算機主機名、IP地址、MAC地址、使用人/責任人、所屬部門、物理位置、服務器的內外網IP對應等。
第二章 信息資產的獲取
第五條 軟件、硬件設施、服務性設施等的獲得主要以采購的方式獲得,采購按照有關規(guī)定進行采購和驗收。
第六條 數據信息資產的獲得來源主要為:外包供應商、市場信息、其他信息。
第三章 信息資產的分類
第七條 各部門根據業(yè)務流程列出信息資產清單并將每項資產的資產類別、信息資產編號、資產現有編號、資產名稱、所屬部門(組別)、管理者、使用者、地點等相關信息記錄在資產清單上。
第八條 資產的分類原則和編號原則如下:
1、硬件
1)計算機設備:(臺式機、筆記本)、服務器;2)存儲設備:磁帶機、磁盤整列、磁帶、光盤、軟盤、移動硬盤等;
3)網絡設備:路由器、交換機、網關、程控交換機等;
4)傳輸線路:光纖、雙絞線、電話線(布線)、電源線;
5)安全設備:硬件防火墻、入侵檢測、網絡隔離設備(如網閘)、身份驗證等;
6)辦公設備:打印機、復印機、掃描儀、傳真機、碎紙機、寫字白板、應急照明設備等;
7)保障設備:動力保障設備(UPS、變電設備)、空調、保險柜、文件柜、門禁、消防設施等; 8)其他設備;
2、軟件
如:操作系統、系統軟件(office/AutoCAD)、應用軟件(生產軟件)、網管軟件、殺毒軟件、財務軟件、開發(fā)工具和資源庫等;
3、電子數據
存在電子媒介的各種數據資料。如:源代碼、數據庫數據、各種數據資料、系統文檔、運行管理規(guī)程、計劃、日周月報告、財務報告(電子版本)、用戶手冊、方案、電子設計圖紙等;
4、紙質文件
紙質的各種文件。如:傳真、電報、合同、紙張圖紙等;
5、服務性設施
如:供電、供水、保潔、門禁、消防設施等;
6、人員
如:各級領導、各級正式雇員、臨時雇員等;
7、其他。
第九條 按照《涉及國家秘密的信息系統分級保護技術標準》和信息安全管理體系建設要求,按照信息資產的公開和敏感程度,將信息資產化分為不同的保護等級,并對不同等級的信息資產進行保護,確保信息安全。各部門要將所有的移動介質和電子文件按照敏感性和重要程度分為不同的保護等級,保密級別與保密期限由持有人自行定義。第十條 識別各個流程的各類關鍵信息資產,最終辦公室匯總,并每半年進行一次更新,確保重要信息資產的完備性(重要信息資產沒有遺漏和缺失)和準確性(信息資產的保密級別和重要程度能夠真實反映信息資產的狀態(tài))。
第十一條 對信息資產進行編號,同時對重要信息資產進行標識:文檔需有固定版本編號規(guī)則;硬件設備粘貼在設備明顯位置處。
第四章 信息資產的使用和處置
(一)硬件資產的使用和處置
第十二條 硬件的使用處置包括購買/接收、使用(交接、維修、重用)、處置等有關內容。
第十三條 購買新的硬件設備或者從其他部門接收轉移的設備時,要核對設備清單,對相關設備進行測試驗證,然后登記。由資產管理員對硬件設備進行管理,明確設備管理職責。
第十四條 硬件資產的保存
1、機房選址要避免在地下室、一樓(水淹和滲水)和頂層(滲水和失火時火向上燃燒),同時考慮相鄰樓層的活動(避免熱源和滲水);
2、處理敏感數據的信息處理設施放在適當安全的位置,以減少在設備在使用期間信息被窺視的風險,保護儲存設施以防止未授權訪問;
3、設備的選址應采取控制措施以減小潛在的物理威脅的風險,例如偷竊、火災、爆炸、煙霧、水(或供水故障)、溫度、濕度、塵埃、振動、化學影響、電源干擾、通信干擾、電磁輻射和故意破壞;
4、禁止在信息處理設施附近進食、喝飲料和抽煙;
5、對專門保護的部件要予以隔離,以滿足特殊安全要求;
第十五條 硬件資產的日常使用安全
1、所有的硬件資產必須明確設備的使用人員/管理人員,明確職責;
2、硬件資產的使用人(或管理人),在使用或管理硬件資產時,要注意硬件資產的安全性、機密性、完整性,防止信息載體的毀壞和信息的泄密,防止信息處理設施的濫用;
對設備定期進行維護保養(yǎng),發(fā)生毀壞,丟失等問題時能夠及時處置;
3、新硬件設備接入網絡按照相關規(guī)定處理;
4、在人員上崗時,可根據需要為上崗人員配備必要的辦公設備,包括電腦(筆記本或臺式機),電話機,其它辦公用品;辦公室根據該工作人員所處部門、工作性質為其設置相應的辦公網訪問權限;
5、需要使用移動計算設備(包括筆記本、無線網卡、移動硬盤和U盤)的用戶,應得到辦公室負責人的同意后方可使用;
6、對于無人職守的設備,要明確管理人員,加強物理安全控制。
第十六條 硬件資產的轉移安全
1、當設備遷移時,必須先對設備中存儲的重要信息進行備份;
2、設備遷移完成后,必須檢查設備是否損壞;
3、設備遷移出本單位時,設備中禁止存放重要信息,以防止機密信息泄露或泄露的風險增加。
第十七條 辦公地點外使用任何信息處理設備必須通過管理者授權。場外設備的保護要考慮下列內容:
1、離開本單位的設備和介質(如現場的設備和介質),必須有人值守或委派負責人(或者公共場所放置的需要有人值守或監(jiān)視系統);
2、制造商保護設備用的說明書要始終加以遵守,例如,防止暴露于強電磁場內;
3、根據風險的不同采取足夠的安全保障措施,以保護離開辦公室設備的安全。
第十八條 硬件資產的處置和重用
1、存儲設備銷毀前,必須確保所有存儲的敏感數據或授權軟件已經被移除或安全重寫;
2、服務器、主要網絡設備的處置由辦公室進行安全處置;
3、臺式機、打印機、傳真機、掃描儀等IT設備的處置由辦公室進行并做登記;
4、如需報廢時,應向主管部門提出報廢申請,經批準后報廢。
(二)軟件資產的使用和處置
第十九條 軟件資產的使用
1、所有的軟件資產必須設置專人管理,明確職責,避免軟件資產的丟失,泄密;
2、所有正版軟件實體由辦公室專人保管,在安裝軟件時要規(guī)定使用權限,防止非授權訪問;
3、按照《系統運行維護管理制度》中“備份與恢復管理”章節(jié)要求,對重要系統進行備份;
4、當人員離職或崗位變動,需要回收有關的軟件,必要時,由辦公室技術人員對離職人員使用的軟件進行卸載,刪除。
第二十條 軟件資產的處置:對過時或確認無效的軟件資產,定期進行清除。
(三)電子數據的使用和處置
第二十一條 電子數據的使用
1、對所有電子數據進行分類/分級,標識未授權人員的訪問限制,不同安全級別的數據應存儲在不同的區(qū)域,按類按級傳達,便于信息的安全管理;
2、不同類型的電子文件按照統一規(guī)律存放在個人電腦或服務器中,便于整理和查閱以及工作交接時轉移;
3、所有電子文件保存在電腦或服務器中,并按照《備份和恢復管理制度》規(guī)定的備份頻率定期進行備份;
4、對于存于服務器上的電子數據的訪問,根據服務器提供服務的不同與部門/職務的不同,設置不同的訪問權限,避免非授權訪問;
5、對于內部公開級別的電子信息,其使用要控制在內部,禁止帶出;
6、對于秘密級別以上的電子文件的處理過程,必須保障數據的完整性、機密性和可用性;
7、對于秘密級別以上的電子文件的使用,系統應進行審計;
8、對于秘密級別以上的電子文件的傳輸,必須采取適當的安全措施加以保護,如加密傳輸、分散傳輸等;
9、在整理電腦中的電子數據時,要小心操作,確認后再進行處理,避免由于誤操作將有用的電子數據刪除。
(四)紙質文檔的使用和處置
第二十二條 紙質文檔的使用
1、所有的秘密級以上的紙質文件資料要(通過標簽或其它方式)標識出資產的保密級別,分類存放,不同安全級別的紙質文件應按類按級傳達,便于紙質文件的安全管理;
2、對于比較重要的紙質文件(機密級別以上)必須保存在帶鎖的文件柜或保險柜中,鑰匙由專人保管;
3、對于紙質文件的保存期限依據實際要求制定和實施;
4、對于比較重要的紙質文件的使用過程,必須注意信息的保密,確保信息的完整性和可用性;
5、對于比較重要的紙質文件的傳輸,必須采取適當的安全措施加以保護,如專人遞送、分散傳輸等。
第二十三條 紙質文檔的處置
1、實體數據資料達到保存期限后,必須將其撕毀或者粉碎到讀不出來為止,避免實體數據資料的泄密;
2、對于重要紙質文件的銷毀,如財務紙質文件,要求兩人以上在場,防止信息的泄密。
(五)人員招調、在職、離職
第二十四條 所有人員的招調、在職、離職安全管理按照《用戶管理制度》的要求進行實施。
(六)服務性資產的使用和處置 第二十五條 所有服務性資產要設置專人管理,定期維護,避免損壞、非授權使用或丟失。涉及服務性的合同,相關管理部門在簽署合同時,應審核涉及信息保密的相關條款。
第二十六條 當服務性設施損壞,如果可以維修,由負責人聯絡相關人員進行維修,如果涉及到第三方,依據《用戶管理制度》對第三方進行管理。
第二十七條 當服務性設施損壞,不可維修,只能報廢時,應聯絡相關管理部門提出報廢申請。
第五章 安全設備管理
(一)設備的選型
第二十八條 嚴禁采購和使用未獲得銷售許可證的信息安全產品。
第二十九條 應優(yōu)先采用我國自主開發(fā)研制的信息安全技術和設備。
第三十條 避免采用境外的密碼設備。
第三十一條 如需采用境外信息安全產品時,必須確保產品獲得我國權威機構的認證測試和銷售許可證。
第三十二條 使用經國家密碼管理部門批準和認可的國內密碼技術及相關產品。第三十三條 終端物理隔離必須使用國家保密局認可的隔離卡或采用國家保密局認可的其他方式。
(二)設備檢測
第三十四條 信息系統中的所有安全設備必須符合中華人民共和國國家標準《數據處理設備的安全》、《電動辦公機器的安全》中規(guī)定的要求,其電磁輻射強度、可靠性及兼容性也必須符合安全管理等級要求。
(三)設備安裝
第三十五條 設備符合系統選型要求并獲得批準后,方可購置安裝。
第三十六條 凡購回的設備均須在測試環(huán)境下經過連續(xù)72小時以上的單機運行測試和聯機48小時的應用系統兼容性運行測試。
第三十七條 主機、服務器、網絡設備、安全設備等上架運行前必須通過安全檢測,禁止安裝有默認操作系統的主機、服務器直接接入系統。
第三十八條 通過上述測試后,設備進入試運行階段,試運行時間的長短根據業(yè)務需要動態(tài)設定。
第三十九條 通過試運行的設備才能接入生產系統,正式運行。
(四)設備登記
第四十條 對所有設備均應建立嚴格完整的購置、移交、使用、維護、維修和報廢等記錄,認真做好資產登記和管理工作,保證設備管理的正規(guī)化。
(五)設備使用管理
第四十一條 每臺設備的使用均應指定專人負責并建立詳細的運行日志。
第四十二條 由責任人負責進行設備的日常清洗及定期保養(yǎng)維護,做好維護記錄,保證設備處于最佳狀態(tài)。
第四十三條 保證設備在其適宜的使用環(huán)境下工作。第四十四條 一旦設備出現故障,管理員如實填寫故障報告,通知有關人員處理。
(六)設備維修管理
第四十五條 設備由專人負責維修,并建立滿足正常運行最低要求的易損件的備件庫。
第四十六條 根據每臺設備的使用情況及系統的可靠性等級,制定預防性維修計劃。
第四十七條 對系統進行維修時必須采取數據保護措施,安全設備維修時應有安全管理員在場。第四十八條 對設備進行維修時必須記錄維修對象、故障原因、排除方法、主要維修過程及維修有關情況等。
第四十九條 對設備應規(guī)定折舊期,設備到了規(guī)定使用年限或因嚴重故障不能恢復,由專業(yè)技術人員對設備進行鑒定和殘值估價,并對設備情況進行詳細登記,提出報告書和處理意見,由主管領導和上級主管部門批準后方能進行報廢處理。
(七)設備儲存管理
第五十條 設備儲存環(huán)境應符合出廠標稱要求。第五十一條 建立詳細的設備進出庫、領用和報廢登記。第五十二條 必須定期對儲存設備進行清潔、核查及通電檢測。
第五十三條 安全產品及保密設備必須單獨儲存并有相應的保護措施。
第六章 附則
第五十四條 本制度由某某單位負責解釋。第五十五條 本制度自發(fā)布之日起生效執(zhí)行。
第四篇:信息資產和設備管理制度
第一條
第二條
第三條
第四條
第五條
第六條
第七條
第八條
(一)1)2)信息資產和設備管理制度
第一章 范圍及職責
本制度適用于信息資產的管理,包括:獲取、分類、使用和處置以及安全設備的管理。
本制度中的信息資產是指可以存儲信息數據的信息載體,包括:硬件、軟件、數據(電子數據)、文檔(紙質文件)、人員、服務設施、其他。
信息技術部主要負責信息資產的分類、匯總、使用與處置方法,以及安全設備的選型、檢測、安裝、登記、使用、維護和儲存。
計算機資產統計信息的范圍包含但不限于:計算機主機名、IP地址、MAC地址、使用人/責任人、所屬部門、物理位置、服務器的內外網IP對應等。
第二章 信息資產的獲取
軟件、硬件設施、服務性設施等的獲得主要以采購的方式獲得,采購按照有關規(guī)定進行采購和驗收。
數據信息資產的獲得來源主要為:外包供應商、市場信息、其他信息。
第三章 信息資產的分類
各部門根據業(yè)務流程列出信息資產清單并將每項資產的資產類別、信息資產編號、資產現有編號、資產名稱、所屬部門(組別)、管理者、使用者、地點等相關信息記錄在資產清單上。
資產的分類原則和編號原則如下:
硬件 計算機設備:(臺式機、筆記本)、服務器;
存儲設備:磁帶機、磁盤整列、磁帶、光盤、軟盤、移動硬盤等; 3)4)5)
6)7)8)
(二)(三)
(四)(五)
(六)(七)第九條
第十條 網絡設備:路由器、交換機、網關、程控交換機等; 傳輸線路:光纖、雙絞線、電話線(布線)、電源線;
安全設備:硬件防火墻、入侵檢測、網絡隔離設備(如網閘)、身份驗證等;
辦公設備:打印機、復印機、掃描儀、傳真機、碎紙機、寫字白板、應急照明設備等;
保障設備:動力保障設備(UPS、變電設備)、空調、保險柜、文件柜、門禁、消防設施等;
其他設備。
軟件
如:操作系統、系統軟件(office/AutoCAD)、應用軟件(生產軟件)、網管軟件、殺毒軟件、財務軟件、開發(fā)工具和資源庫等;
電子數據
存在電子媒介的各種數據資料。如:源代碼、數據庫數據、各種數據資料、系統文檔、運行管理規(guī)程、計劃、日周月報告、財務報告(電子版本)、用戶手冊、方案、電子設計圖紙等;
紙質文件
紙質的各種文件。如:傳真、電報、合同、紙張圖紙等;
服務性設施
如:供電、供水、保潔、門禁、消防設施等;
人員
如:各級領導、各級正式雇員、臨時雇員等;
其他。按照《涉及國家秘密的信息系統分級保護技術標準》和信息安全管理體系建設要求,按照信息資產的公開和敏感程度,將信息資產化分為不同的保護等級,并對不同等級的信息資產進行保護,確保信息安全。各部門要將所有的移動介質和電子文件按照敏感性和重要程度分為不同的保護等級,保密級別與保密期限由持有人自行定義。
識別各個流程的各類關鍵信息資產,最終由信息技術部匯總,并每半年進行一次更新,確保重要信息資產的完備性(重要信息資產沒有遺漏和缺失)和準確性(信息資產的保密級別和重要程度能夠真實反映信息資產的狀態(tài))。
第十一條 對信息資產進行編號,同時對重要信息資產進行標識:文檔需有固定版本編號規(guī)則;硬件設備粘貼在設備明顯位置處。
第四章 信息資產的使用和處置
硬件資產的使用和處置
第十二條 硬件的使用處置包括購買/接收、使用(交接、維修、重用)、處置等有關內容。
第十三條 購買新的硬件設備或者從其他部門接收轉移的設備時,要核對設備清單,對相關設備進行測試驗證,然后登記。由資產管理員對硬件設備進行管理,明確設備管理職責。
第十四條 硬件資產的保存
(一)機房選址要避免在地下室、一樓(水淹和滲水)和頂層(滲水和失火時火向上燃燒),同時考慮相鄰樓層的活動(避免熱源和滲水);
(二)處理敏感數據的信息處理設施放在適當安全的位置;以減少在設備在使用期間信息被窺視的風險,保護儲存設施以防止未授權訪問;
(三)設備的選址應采取控制措施以減小潛在的物理威脅的風險,例如偷竊、火災、爆炸、煙霧、水(或供水故障)、溫度、濕度、塵埃、振動、化學影響、電源干擾、通信干擾、電磁輻射和故意破壞;
(四)禁止在信息處理設施附近進食、喝飲料和抽煙;
(五)對專門保護的部件要予以隔離,以滿足特殊安全要求。第十五條 硬件資產的日常使用安全
(一)所有的硬件資產必須明確設備的使用人員/管理人員,明確職責;
(二)硬件資產的使用人(或管理人),在使用或管理硬件資產時,要注意硬件資產的安全性、機密性、完整性,防止信息載體的毀壞和信息的泄密,防止信息處理設施的濫用;對設備定期進行維護保養(yǎng),發(fā)生毀壞,丟失等問題時能夠及時處置;
(三)新硬件設備接入網絡按照相關規(guī)定處理;
(四)在人員上崗時,可根據需要為上崗人員配備必要的辦公設備,包括電腦(筆記本或臺式機),電話機,其它辦公用品;信息技術部根據該工作人員所處部門、工作性質為其設置相應的辦公網訪問權限;
(五)需要使用移動計算設備(包括筆記本、無線網卡、移動硬盤和U盤)的用戶,應得到信息技術部負責人的同意后方可使用;
(六)對于無人職守的設備,要明確管理人員,加強物理安全控制。第十六條 硬件資產的轉移安全
(一)當設備遷移時,必須先對設備中存儲的重要信息進行備份;
(二)設備遷移完成后,必須檢查設備是否損壞;
(三)設備遷移出本單位時,設備中禁止存放重要信息,以防止機密信息泄露或泄露的風險增加。
第十七條 辦公地點外使用任何信息處理設備必須通過管理者授權。場外設備的保護要考慮下列內容:
(一)離開本單位的設備和介質(如現場的設備和介質),必須有人值守或委派負責人(或者公共場所放置的需要有人值守或監(jiān)視系統);
(二)制造商保護設備用的說明書要始終加以遵守,例如,防止暴露于強電磁場內;
(三)根據風險的不同采取足夠的安全保障措施,以保護離開辦公室設備的安全。
第十八條 硬件資產的處置和重用
(一)存儲設備銷毀前,必須確保所有存儲的敏感數據或授權軟件已經被移除或安全重寫;
(二)服務器、主要網絡設備的處置由信息技術部進行安全處置;
(三)臺式機、打印機、傳真機、掃描儀等IT設備的處置由信息技術部進行并做登記;
(四)如需報廢時,應向主管部門提出報廢申請,經批準后報廢。
軟件資產的使用和處置
第十九條 軟件資產的使用
(一)所有的軟件資產必須設置專人管理,明確職責,避免軟件資產的丟失,泄密;
(二)所有正版軟件實體由信息技術部專人保管,在安裝軟件時要規(guī)定使用權限,防止非授權訪問;
(三)按照《數據存儲備份管理制度》中要求,對重要系統進行備份;
(四)當人員離職或崗位變動,需要回收有關的軟件,必要時,由信息技術部技術人員對離職人員使用的軟件進行卸載,刪除。
第二十條 軟件資產的處置:對過時或確認無效的軟件資產,定期進行清除。
電子數據的使用和處置
第二十一條 電子數據的使用
(一)對所有電子數據進行分類/分級,標識未授權人員的訪問限制,不同安全級別的數據應存儲在不同的區(qū)域,按類按級傳達,便于信息的安全管理;
(二)不同類型的電子文件按照統一規(guī)律存放在個人電腦或服務器中,便于整理和查閱以及工作交接時轉移;
(三)所有電子文件保存在電腦或服務器中,并按照《數據存儲備份管理制度》規(guī)定的備份頻率定期進行備份;
(四)對于存于服務器上的電子數據的訪問,根據服務器提供服務的不同與部門/職務的不同,設置不同的訪問權限,避免非授權訪問;
(五)對于內部公開級別的電子信息,其使用要控制在內部,禁止帶出;
(六)對于秘密級別以上的電子文件的處理過程,必須保障數據的完整性、機密性和可用性;
(七)對于秘密級別以上的電子文件的使用,系統應進行審計;
(八)對于秘密級別以上的電子文件的傳輸,必須采取適當的安全措施加以保護,如加密傳輸、分散傳輸等;
(九)在整理電腦中的電子數據時,要小心操作,確認后再進行處理,避免由于誤操作將有用的電子數據刪除。
紙質文檔的使用和處置
第二十二條 紙質文檔的使用
(一)所有的秘密級以上的紙質文件資料要(通過標簽或其它方式)標識出資產的保密級別,分類存放,不同安全級別的紙質文件應按類按級傳達,便于紙質文件的安全管理;
(二)對于比較重要的紙質文件(機密級別以上)必須保存在帶鎖的文件柜或保險柜中,鑰匙由專人保管;
(三)對于紙質文件的保存期限依據實際要求制定和實施;
(四)對于比較重要的紙質文件的使用過程,必須注意信息的保密,確保信息的完整性和可用性;
(五)對于比較重要的紙質文件的傳輸,必須采取適當的安全措施加以保護,如專人遞送、分散傳輸等。
第二十三條 紙質文檔的處置
(一)實體數據資料達到保存期限后,必須將其撕毀或者粉碎到讀不出來為止,避免實體數據資料的泄密;
(二)對于重要紙質文件的銷毀,如財務紙質文件,要求兩人以上在場,防止信息的泄密。
人員招調、在職、離職
第二十四條 所有人員的招調、在職、離職安全管理按照《人員安全管理制度》的要求進行實施。
服務性資產的使用和處置
第二十五條 所有服務性資產要設置專人管理,定期維護,避免損壞、非授權使用或丟失。涉及服務性的合同,相關管理部門在簽署合同時,應審核涉及信息保密的相關條款。
第二十六條 當服務性設施損壞,如果可以維修,由負責人聯絡相關人員進行維修,如果涉及到第三方,依據《人員安全管理制度》對第三方進行管理。
第二十七條 當服務性設施損壞,不可維修,只能報廢時,應聯絡相關管理部門提出報廢申請。
第五章 安全設備的選型
設備的選型
第二十八條 第二十九條 嚴禁采購和使用未獲得銷售許可證的信息安全產品。應優(yōu)先采用我國自主開發(fā)研制的信息安全技術和設備。
第三十條
避免采用境外的密碼設備。第三十一條 如需采用境外信息安全產品時,必須確保產品獲得我國權威機構的認證測試和銷售許可證。
第三十二條 使用經國家密碼管理部門批準和認可的國內密碼技術及相關產品。
第三十三條 終端物理隔離必須使用國家保密局認可的隔離卡或采用國家保密局認可的其他方式。
設備檢測
第三十四條 信息系統中的所有安全設備必須符合中華人民共和國國家標準《數據處理設備的安全》、《電動辦公機器的安全》中規(guī)定的要求,其電磁輻射強度、可靠性及兼容性也必須符合安全管理等級要求。
設備安裝
第三十五條 第三十六條 設備符合系統選型要求并獲得批準后,方可購置安裝。凡購回的設備均須在測試環(huán)境下經過連續(xù)72小時以上的單機運行測試和聯機48小時的應用系統兼容性運行測試。
第三十七條 主機、服務器、網絡設備、安全設備等上架運行前必須通過安全檢測,禁止安裝有默認操作系統的主機、服務器直接接入系統。
第三十八條 通過上述測試后,設備進入試運行階段,試運行時間的長短根據業(yè)務需要動態(tài)設定。
第三十九條 通過試運行的設備才能接入生產系統,正式運行。
設備登記
第四十條 對所有設備均應建立嚴格完整的購置、移交、使用、維護、維修和報廢等記錄,認真做好資產登記和管理工作,保證設備管理的正規(guī)化。
設備使用管理 第四十一條 第四十二條 每臺設備的使用均應指定專人負責并建立詳細的運行日志。由責任人負責進行設備的日常清洗及定期保養(yǎng)維護,做好維護記
錄,保證設備處于最佳狀態(tài)。
第四十三條 第四十四條 保證設備在其適宜的使用環(huán)境下工作。
一旦設備出現故障,管理員如實填寫故障報告,通知有關人員處理。
設備維修管理
第四十五條 設備由專人負責維修,并建立滿足正常運行最低要求的易損件的備件庫。
第四十六條 根據每臺設備的使用情況及系統的可靠性等級,制定預防性維修計劃。
第四十七條 對系統進行維修時必須采取數據保護措施,安全設備維修時應有安全管理員在場。
第四十八條 對設備進行維修時必須記錄維修對象、故障原因、排除方法、主要維修過程及維修有關情況等。
第四十九條 對設備應規(guī)定折舊期,設備到了規(guī)定使用年限或因嚴重故障不能恢復,由專業(yè)技術人員對設備進行鑒定和殘值估價,并對設備情況進行詳細登記,提出報告書和處理意見,由主管領導和上級主管部門批準后方能進行報廢處理。
設備儲存管理
第五十條 設備儲存環(huán)境應符合出廠標稱要求。第五十一條 第五十二條 第五十三條 建立詳細的設備進出庫、領用和報廢登記。必須定期對儲存設備進行清潔、核查及通電檢測。安全產品及保密設備必須單獨儲存并有相應的保護措施。
第六章 附 則
第五十四條 第五十五條 本標準由信息技術部負責解釋。本標準自頒布之日起實行。
第五篇:資產管理制度
國有資產管理制度
為進一步規(guī)范和加強行政事業(yè)單位國有資產管理,確保國有資產的合理配置和有效利用,依據《行政單位國有資產管理暫行辦法》、《事業(yè)單位國有資產管理暫行辦法》、《關于修訂山東省行政事業(yè)單位國有資產產權登記辦法的通知》和《X市級行政事業(yè)單位國有資產管理暫行辦法》等有關規(guī)定,結合我單位實際,制定本制度。
一、國有資產管理的組織分工
國有資產管理實行“統一領導、歸口管理”,國家統一所有,單位占有、使用的管理體制。
行政事業(yè)單位負責對本單位占有、使用的國有資產實施具體管理。單位領導班子是決策機構,辦公室是管理和執(zhí)行機構,財務科是賬目管理機構,各業(yè)務科室是國有資產使用及日常維護管理機構,紀律監(jiān)察室和國資局是監(jiān)督機構。
單位領導班子根據行政事業(yè)單位國有資產管理的有關規(guī)定,制定本單位國有資產管理的具體辦法并組織實施;以及本單位國有資產配置、處置和對外投資、出租、出借和擔保等事項的審批。
辦公室全面負責本單位國有資產的購置、處置、資產實物的管理。各業(yè)務科室負責本科室的資產購置申請、領用、維護保管等日常管理,實行負責人負責制,各科室負責人全面負責本科室的國有資產管理工作,并指定專人負責國有資產管理。
財務科負責本單位資產的賬卡管理、清查登記、統計報告。通過國有資產明細賬、國有資產卡片進行會計核算,確保國有資產賬實相符、賬賬相符。
紀檢組是單位內部監(jiān)督機構,負責對本單位的國有資產實施監(jiān)督管理,各科室應接受其監(jiān)督、指導。
二、資產配置
部門預算編制前,各業(yè)務科室應當根據存量資產的質量、結構和分布情況,提出本科室下一擬購置資產的品目、數量,測算經費額度,報辦公室匯總,單位領導班子根據本單位資產配置標準和資產存量狀況進行審批。審批后由財務科編制部門預算上報財政部門。
因工作需要確需臨時增加資產配置的,應當提出資產購置計劃,報財政部門審核批準。
經批準的資產購置,屬于政府采購范圍的,應當依法實行政府采購。
資產購買后,辦公室對購置的資產進行驗收、登記,建立固定資產清冊,登記固定資產名稱、購買日期、使用部門等。各業(yè)務部門領用資產時需填寫《固定資產領用表》。
辦公室將購置發(fā)票、購置資產申請表、領用表及資產信息等報送財務科。
財務科及時進行賬務處理,并登錄山東省行政事業(yè)資產信息管理系統對資產進行登記,記錄事項包括固定資產名稱、編號、規(guī)格、型號、購入日期預計使用年限、預計殘值率、使用狀態(tài)、使用部門、負責人等。
財務科對本單位資產進行定期清查,做到賬賬、賬卡、賬實相符。
三、資產使用
國有資產的使用包括單位自用和出租、出借等方式。行政單位不得以任何形式用國有資產對外投資、擔保、舉辦經濟實體。
各業(yè)務科室實行負責人負責制,各科室負責人全面負責本科室的國有資產管理工作,包括資產購置申請、領用、維護保管等日常管理。資產使用人或使用部門發(fā)生變動時,填制《固定資產變動情況表》,經科室負責人簽字后報財務科。
行政事業(yè)單位利用國有資產出租、出借的,事業(yè)單位利用國有資產對外投資、擔保的,按照《X市級行政事業(yè)單位國有資產管理暫行辦法》執(zhí)行。
四、資產的處置
國有資產的處置包括劃轉、出售、出讓、置換、對外捐贈、報損、報廢以及貨幣性資產損失核銷等方式。嚴格按照《X市級行政事業(yè)單位國有資產管理暫行辦法》執(zhí)行。單位內部無償調撥國有資產,要由調出部門填寫《固定資產劃撥明細表》,由調出調入單位雙方簽章,經領導審批后,交財務科一份,雙方單位各存一份,據此辦理國有資產增減手續(xù)。
五、資產報損、報廢
國有資產的報損、報廢,屬于資產置換、報損的,由財政部門指定的評估機構評估確認。
國有資產由于自然損耗確實不能繼續(xù)使用,應由使用人提出報廢申請,填寫《行政事業(yè)單位資產處置審批表》,經主管部門審核同意后,上報財政局業(yè)務科室,經國資局審批后作報廢處理。同時登錄山東省行政事業(yè)資產信息管理系統,進行資產減少處理。
報廢的家電和電子產品,應當由財政部門指定的回收機構無償回收處理;其他資產,由財政部門指定的回收機構有償回收利用。
貨幣性資產損失核銷,由財政部門指定的財務審計機構審計確認。
六、國有資產收入
事業(yè)單位利用國有資產對外投資、擔保及行政事業(yè)單位國有資產對外出租、出借取得的收入,除扣除支付給中介機構的費用外,應當全額上繳財政。
上繳資金由財政部門按不超過30%的比例返還原單位,用于資產的修繕維護和事業(yè)發(fā)展,國家已有規(guī)定或單位有特殊情況的除外。
國有資產處置收入和殘值收入,扣除支付給中介機構的處置成本后,剩余資金應全額上繳財政。
七、產權登記
行政事業(yè)單位國有資產產權登記(以下簡稱產權登記),是指財政部門代表市政府對行政事業(yè)單位占有、使用國有資產情況進行登記,核發(fā)《產權登記證》,依法確認國有資產所有權和行政事業(yè)單位占有使用權的管理行為。
國有資產產權登記包括占有產權登記、變動產權登記、注銷產權登記。主要內容包括:
(一)單位名稱、住所、法人代表或負責人;
(二)單位性質、主管部門;
(三)單位資產總額、國有資產總額;
(四)主要資產價值和實物量情況;
(五)行政事業(yè)單位資產經營(有償使用)情況;
(六)其他需要登記的事項。
占有產權登記適用于新設立和已設立的行政事業(yè)單位。本單位資產年報、產權登記工作,嚴格按照R市國資局要求執(zhí)行。各單位于年末結賬后,登錄山東省行政事業(yè)資產管理信息系統,填報《山東省行政事業(yè)單位資產報表》、《行政事業(yè)單位國有資產產權登記表(占有登記)》。
變動產權登記,適用于發(fā)生分立、合并、隸屬關系改變、部分改制以及單位名稱、住所和法人代表或負責人等產權登記內容發(fā)生變化的行政事業(yè)單位。相關單位應在主管部門或審批機關批準后30日內,辦理變動登記手續(xù),填報《行政事業(yè)單位國有資產產權登記表(變動登記)》,并提交下列文件、證件及有關資料:
(一)變動產權登記的相關證明或批準文件的原件和復印件;
(二)原《產權登記證》;
(三)其他應提交文件、證件和資料的原件和復印件。
變動產權登記根據實際情況,經財政部門批準,可與產權登記年檢合并進行。
注銷產權登記,適用于因依法撤銷或者整體改制等原因被清算、注銷的行政事業(yè)單位。單位應在主管部門或審批機關批準后30日內,辦理注銷產權登記手續(xù),填報《行政事業(yè)單位國有資產產權登記表(注銷登記)》,并提交下列文件、證件及有關資料:
(一)批準撤銷、改制、隸屬關系改變等文件的原件和復印件;
(二)終止財務決算報告或法定中介機構審計報告原件;
(三)資產清查報告書和資產移交清冊原件;
(四)財政部門下達的資產評估項目核準或備案通知;
(五)財政部門有關資產處置的批復文件;
(六)原《產權登記證》;
(七)其他應提交文件、資料的原件和復印件。
產權登記實行年檢制度。行政事業(yè)單位應當于每年第一季度內辦理產權登記檢查。檢查根據實際情況采取財政部門普查、單位自查和財政部門抽查相結合的辦法實施。產權登記檢查的主要內容是:
(一)辦理產權登記情況;
(二)單位資產價值量、重要資產實物量及權屬的增減變化情況;
(三)單位資產處置情況;
(四)用于從事經營性活動的國有資產保值增值及收益管理情況;
(五)其他應檢查事項。
行政事業(yè)單位應在認真清查核實年末資產存量的基礎上,如實填報《行政事業(yè)單位國有資產產權登記檢查表》,并提交本單位的資產管理情況統計表、財務決算報表、國有資產增減變動審批文件及其他有關資料。
申辦產權登記的程序如下:
(一)單位按規(guī)定填寫相應的產權登記表,并向主管部門提交有關文件、證件及資料;
(二)主管部門審核并出具審核意見;
(三)報財政部門辦理產權登記手續(xù)。
《產權登記證》有效使用年限為五年。對于有效使用期已滿的,行政事業(yè)單位應持失效的《產權登記證》,到財政部門辦理換領手續(xù)。不按規(guī)定辦理年檢或年檢不合格的,其《產權登記證》不再具有法律效力。
行政事業(yè)單位應妥善保管《產權登記證》,任何單位和個人不得偽造、涂改、出租、出借。《產權登記證》遺失或者毀壞的,由單位及時在指定媒體公告或出具經主管部門認定的書面說明后,按照規(guī)定向財政部門申請補領。
八、產權糾紛處理
行政事業(yè)單位與其他國有單位之間發(fā)生國有資產產權糾紛的,由當事人協商解決。協商不能解決的,可以向市級或者共同上一級財政部門申請調解或者裁定,必要時報有管轄權的人民政府處理。
行政事業(yè)單位與非國有單位、組織或者個人之間發(fā)生產權糾紛的,由行政事業(yè)單位提出處理意見,并報經財政部門同意后,與對方當事人協商解決。協商不能解決的,可通過司法途徑解決。
九、資產評估
行政事業(yè)單位有下列情形之一的,應當對相關國有資產進行評估:
(一)取得沒有原始價格憑證的資產;
(二)合并、分立、清算、整體或者部分改制為企業(yè);
(三)資產拍賣、轉讓、置換;
(四)確定涉訟資產價值;
(五)整體或者部分資產租賃給非國有單位;
(六)事業(yè)單位以非貨幣性資產對外投資、合作開發(fā)和開辦經濟實體;
(七)依照國家有關規(guī)定需要進行資產評估的其他情形。
下列經濟事項,可以不進行資產評估:
(一)行政事業(yè)單位之間的合并、資產劃轉、置換;
(二)發(fā)生其他不影響國有資產權益的特殊資產的產權變動行為,經財政部門確認可以不進行資產評估的。
國有資產評估項目實行核準制和備案制。實行核準和備案制的項目、范圍、權限依據財政部門相關文件執(zhí)行。
行政事業(yè)單位國有資產評估工作,由財政部門選定的評估機構負責,行政事業(yè)單位應當如實提供有關情況和資料,不得以任何形式干預評估機構獨立執(zhí)業(yè)。
十、資產清查
國有資產清查工作由財務科統一組織。每年進行一次全面清查。并可根據工作需要進行不定期的重點清查。
資產清查工作的內容主要包括基本情況清查、賬務清理、財產清查、資產核實和完善制度等。
單位有下列情形之一的,應當進行資產清查:
(一)根據國家專項工作要求或者市政府實際工作需要,被納入統一組織的資產清查范圍的;
(二)機構合并、分立、撤銷、改制及隸屬關系發(fā)生改變的;
(三)遭受重大自然災害等不可抗力造成資產嚴重損失的;
(四)會計信息嚴重失真或者國有資產出現重大損失的;
(五)會計政策發(fā)生重大更改,涉及資產核算方法發(fā)生重要變化的;
(六)財政部門認為應當進行資產清查的其他情形。
十一、資產信息管理與報告
按照資產信息化管理的要求,及時將本單位管理的各類國有資產的基本信息錄入資產信息管理系統,及時更新維護,在此基礎上,做好國有資產統計、報告、分析工作,實現國有資產動態(tài)管理。
報送資產統計報告,應當做到真實、準確、及時、完整,并對國有資產占有、使用、變動、處置等情況做出文字分析說明。
十二、監(jiān)督檢查
財政部門、主管部門、單位及其工作人員,應當認真履行國有資產管理職責,依法維護國有資產的安全完整,提高國有資產使用效益。
國有資產監(jiān)督應當堅持單位內部監(jiān)督與財政監(jiān)督、審計監(jiān)督、社會監(jiān)督相結合,事前監(jiān)督與事中監(jiān)督、事后監(jiān)督相結合,日常監(jiān)督與專項檢查相結合。
點擊咨詢 