信息系统资产安全管理制度

规范重庆 XX 中学信息资产的管理、使用和处置，防止其滥用和丢失，保护数据安全。适用于重庆 XX 中学信息资产的管理， 包括：获得、分类分级、使用和处置。

第一章 目的

第一条 规范重庆 XX 中学信息资产的管理、使用和处置，防止其滥用和丢失，保护数据安全。

第二章 范围

第二条 适用于重庆 XX 中学信息资产的管理， 包括：获得、分类分级、使用和处置。

第三章 职责

第三条 网络安全办公室：主要负责信息资产的采购、入库、领用、为资产建立台账，负责使用与处置方法，并监督各部门的执行情况。各部门：按照相关规定，对信息资产进行有效使用和管理。

第四章 管理细则

第四条 信息资产的生命周期可分为采购与生成、使用与更新、销毁与废弃三个阶段。

第五条 软件、硬件设施、服务性设施等的获得主要以采购的方式获得，采购按照《IT 产品采购管理制度》有关规定进行采购和验收。

第六条 数据信息资产的获得来源主要为：供应商、财务信息、其他信息。

第七条 各科室根据业务流程列出信息资产清单并将每项资产的资产类别、信息资产编号、资产现有编号、资产名称、所属部门、管理者、使用者、地点等相关信息记录在资产清单上。资产的分类原则和编号原则如下：

1. 硬件
   1. 计算机设备：(台式机、笔记本)、（WWW、SMTP、POP3、FTP、DNS）等服务器（含虚拟机）；
   2. 存储设备：磁带机、磁盘整列、磁带、光盘、软盘、移动硬盘等；
   3. 网络设备：路由器、交换机、HUB、网关、程控交换机等；
   4. 传输线路：光纤、双绞线、电话线(布线)、电源线；
   5. 安全设备：硬件防火墙、入侵检测、网络隔离设备（如网闸）、负载均衡设备、身份验证、SOC、UTM 等；
   6. 办公设备：打印机、复印机、扫描仪、传真机、碎纸机、写字白板、应急照明设备；
   7. 保障设备：动力保障设备（UPS、变电设备）、空 调、保险柜、文件柜、门禁、消防设施等；
   8. 其他设备：生产设备(测量仪、SMT 等)；
2. 软件：操作系统、系统软件（office/AutoCAD）、应用软件（医疗信息软件）、网管软件、杀毒软件、财务软件、开发工具和资源库等。
3. 电子数据：存在电子媒介的各种数据资料。如：源代码、数据库数据、各种数据资料、系统文档、运行管理规程、计划、日周月报告、财务报告（电子版本）、用户手册、方案、电子设计图纸等。
4. 实体信息：纸质的各种文件。如：传真、电报、财务报告、发展计划、合同、纸张图纸等。
5. 服务性设施，如：电源、空调、保险柜、文件柜、门禁、消防设施等。
6. 人员：重庆 XX 中学各级领导、各级正式雇员、临时雇员等。
7. 其他：重庆 XX 中学形象等。

对于重庆 XX 中学信息资产，为了对唯一性进行识别，定立以下编号规则。说明：资产编号 = 资产分类标识+"-"+PN 码

第八条 信息资产的分级

1. 按照信息资产的公开和敏感程度，以及信息资产对系统和组织的重要性，信息资产的分级原则有两个：
2. 对于文档（含电子文档与纸质文档）、介质类的数据载体，按照承载信息本身的公开和敏感程度，该类信息资产拟划分为“工作秘密”、“内部公开”、“外部公开”三级，针对不同级别的资产标识不同的保护等级。
3. 对于其他物理设备，按照其对系统和组织的重要程度， 该类信息资产拟划分为“关键资产”、“重要资产”、“普通资 产”三级，针对不同级别的资产标识不同的防护等级。

信息资产分级划分具体方法：

1. 关键资产：承载、处理或存储重庆 XX 中学核心业务信息系统数据，一旦破坏，会对重庆 XX 中学的主营业务造成冲击和损害。原则上承载处理业务信息系统数据的资产均应被标识为关键资产。
2. 重要资产：对重庆 XX 中学某一部门提供服务的信息系统所含资产、或属于业务信息系统的支撑系统的信息系统所含资产。
3. 普通资产：除上述信息系统以外的信息系统包含资产均可划分为普通资产，如不直接承载、存储业务信息系统的打印机、打码机等。
4. 工作秘密：涉及重庆 XX 中学明确规定需要保密的信息、业务信息系统数据、重庆 XX 中学财务数据、人员工资数据、信息系统账号等的信息数据文档均应划分为工作秘密。
5. 内部公开：在重庆 XX 中学内部公开,对 外保密的信息,向外扩散有可能对重庆 XX 中学的 利益造成损害的数据文档。
6. 外部公开：对社会公开的信息，公用的信息处理设备和系统资源等信息资产。

第九条 信息资产标注的原则

1. 对不同安全类别的信息进行明确的标识，有助于内部相关人员依照有关信息安全规章制度进行具体操作和处理， 从而最大限度地降低人为的误操作带来安全隐患的概率。
2. 所有信息资产安全分类标识必须正确反映该信息的 安全防护级别，信息安全工作小组对信息安全分类有最终决定权。
3. 对所有的信息安全分类标识，由信息安全工作小组作定期更新维护。
4. 电子格式的数据和文档采用电子方式进行分类标识。 其他形式的资产采用贴标签的方式对信息进行分类标识。

第十条 信息资产标注的方法

1、电子信息

• –电子格式的数据和文档采用电子方式进行分类标识。 标识分为“工作秘密、内部公开、外部公开”三个类别。
• –对于电子文档，应在文档的页眉、页脚、或封面开始部分的醒目处进行标识。
• –其他电子信息，如配置信息、备份数据等，如果可以采用电子方式进行标识，则采用电子方式进行标识。
• –对于技术手段上不能进行标识的电子信息，可以在文 件名称上加上密级标识，或者采用对信息载体进行物理标签标识等其他方法。
• –如果文档是由已经标识好的电子文档打印出来的，则 不需要再做任何标识。

2、物理资产

• –采用贴物理标签的方式对信息进行分类标识。第十一条 信息资产标注的内容

信息资产分类标识必须包括并不仅限于下列信息：

1. 简单描述或内部编号
2. 安全类别/重要程度
3. 资产管理员

第十二条 信息资产的识别与汇总

通过业务流程分析，识别各个流程的各类关键信息资产， 最终信息中心汇总《信息资产清单》，并每半年进行一次更新， 确保重要信息资产的完备性（重要信息资产没有遗漏和缺失） 和准确性（信息资产的保密级别和重要程度能够真实反映信 息资产的状态）。

第十三条 硬件资产的使用规范

1. 所有的硬件资产必须明确设备的使用人员/管理人员， 明确职责。
2. 硬件资产的使用人（或管理人），在使用或管理硬件资产时，要注意硬件资产的安全性、机密性、完整性，防止信息载体的毁坏和信息的泄密，防止信息处理设施的滥用。
3. 对设备定期进行维护保养，发生毁坏，丢失等问题时能够及时处置。
4. 新硬件设备接入网络按照相关规定处理。
5. 当设备迁移时，如果设备中存储有重要信息时候，需事先进行备份；
6. 设备迁移完成后，需要检查设备是否损坏；
7. 设备迁移出重庆 XX 中学时，检查人员在检查时要格外注意，禁止设备中存放重要信息，以防止重庆 XX 中学机密信息泄露或泄露的风险增加。
8. 离开重庆 XX 中学的设备和介质,如客户现场的设备和介质需要有人值守或委派负责人(或者公共场所 放置的需要有人值守或监视系统)。
9. 在旅行时便携式计算机（笔记本电脑）要作为手提行李携带，若可能宜伪装起来；
10. 制造商保护设备用的说明书要始终加以遵守，例如， 防止暴露于强电磁场内。

第十四条 软件资产的使用规范

1. 所有的软件资产必须设置专人管理，明确职责，避免软件资产的丢失，泄密。
2. 所有正版软件实体由网络安全办公室保管，在安装软件时要规定使用权限，防止非授权访问。
3. 重庆 XX 中学自己开发系统软件的源代码应进行备份。
4. 对重庆 XX 中学重要系统，如邮件系统，文件服务器系统进行备份。
5. 当人员离职或岗位变动，需要回收有关的软件，必要 时，由网络安全办公室人员对离职人员使用的软件进行卸载， 删除。

第十五条 电子数据的使用规范

1. 对所有电子数据进行分类/分级，标识未授权人员的 访问限制，不同安全级别的数据应存储在不同的区域，按类按级传达，便于信息的安全管理。
2. 不同类型的电子文件按照统一规律存放在个人电脑 或服务器中，便于整理和查阅以及工作交接时转移。
3. 所有电子文件保存在电脑或服务器中，并按照规定的备份频率定期进行备份。
4. 对于存于服务器上的电子数据的访问，会根据服务器 提供服务的不同与部门／职务的不同，设备不同的访问权限， 减少非受权的访问。
5. 对于工作秘密级别的电子信息，要由专人管理，存放在受权限控制的路径下。
6. 对于内部公开级别的电子信息，其使用要控制在重庆 XX 中学内部，禁止带出重庆 XX 中学。

第十六条 实体信息的使用规范

1. 所有的工作秘密级的实体信息资料要（通过标签或其它方式）标识出资产的保密级别，分类存放，不同安全级别的实体信息应按类按级传达，便于实体信息的安全管理。
2. 对于比较重要的工作秘密实体信息必要时保存在带 锁的柜子或保险柜子中，柜子钥匙由专人保管。
3. 对于实体信息的保存期限依据备份相关制度进行实 施。
4. 对于比较重要的实体信息的使用过程，应注意信息的保密，确保信息的完整性和可用性；
5. 对于比较重要的实体信息的传输，应采取适当的安全措施加以保护，如专人递送、分散传输等。