资产安全管理制度.docxVIP

XXXX公司 资产安全管理制度 总则 目的 规范本公司信息资产的管理、使用和处置，防止其滥用和丢失，保护数据安全。 范围 适用于本公司信息资产的管理，包括：获得、分类分级、使用和处置。 职责 总务处：主要负责信息资产的采购、入库、领用、为资产建立台账。 信息中心：负责使用与处置方法，并监督各部门的执行情况。 各部门：按照相关规定，对信息资产进行有效使用和管理。 术语和定义 信息资产：本文件中的信息资产是指可以存储信息数据的信息载体，包括：硬件、软件、数据（电子数据）、文档（实体信息）、人员、服务设施、其他。 管理细则 信息资产的生命周期可分为采购与生成、使用与更新、销毁与废弃三个阶段。 信息资产的获取 软件、硬件设施、服务性设施等的获得主要以采购的方式获得，采购按照《IT产品采购管理制度》有关规定进行采购和验收。 数据信息资产的获得来源主要为：病患人员、供应商、财务信息、其他信息。 信息资产的分类 信息资产的分类 各科室根据业务流程列出信息资产清单并将每项资产的资产类别、信息资产编号、资产现有编号、资产名称、所属部门、管理者、使用者、地点等相关信息记录在资产清单上。资产的分类原则和编号原则如下： 分类原则： 硬件 计算机设备：(台式机、笔记本)、（WWW、SMTP、POP3、FTP、DNS）等服务器（含虚拟机）； 存储设备：磁带机、磁盘整列、磁带、光盘、软盘、移动硬盘等； 网络设备：路由器、交换机、HUB、网关、程控交换机等； 传输线路：光纤、双绞线、电话线(布线)、电源线； 安全设备：硬件防火墙、入侵检测、网络隔离设备（如网闸）、负载均衡设备、身份验证、SOC、UTM等； 办公设备：打印机、复印机、扫描仪、传真机、碎纸机、写字白板、应急照明设备； 保障设备：动力保障设备（UPS、变电设备）、空调、保险柜、文件柜、门禁、消防设施等； 其他设备：生产设备(测量仪、SMT等)； 软件 如：操作系统、系统软件（office/AutoCAD）、应用软件（医疗信息软件）、网管软件、杀毒软件、财务软件、开发工具和资源库等。 电子数据 存在电子媒介的各种数据资料。如：源代码、数据库数据、各种数据资料、系统文档、运行管理规程、计划、日周月报告、财务报告（电子版本）、用户手册、方案、电子设计图纸等。 实体信息 纸质的各种文件。如：传真、电报、财务报告、发展计划、合同、纸张图纸等。 服务性设施 如：电源、空调、保险柜、文件柜、门禁、消防设施等。 人员 如：各级领导、各级职工。 其他 如：公司形象、公司人员信息等。 对于本公司信息资产，为了可唯一进行识别，定立以下编号规则： 说明：资产编号 = 资产分类标识+-+PN码（SN码） 　 　 　 　 　 序号 资产分类 标识 顺序号 硬件 H 设备码 工作站电脑 DFWS-20129-A/B/C PN或SN码 激光打印机 DFLPT-20129-A/B/C PN或SN码 针式、热敏打印机 DFDPT-20129-A/B/C PN或SN码 耐用型全向条码扫描器 DFBC-20129-A/B/C PN或SN码 网络交换机 DFNTSW-20129- A/B/C/D/E/F PN或SN码 网络防火墙 DFNTFW-20129-A/B/C/D PN或SN码 网络设备配件 DFNTS-20129-FT01 PN或SN码 存储设备配件 DFSRS-20129-X403 PN或SN码 服务器设备配件 DFSVS-20129-HP[01-10]/DL[01-02] PN或SN码 客户端设备配件 DFPCS-20129-HD/MY/SD0[1-4] PN或SN码 软件 S 020001-029999 电子数据 D 030001-039999 实体信息 E 040001-049999 服务 R 050001-059999 人员 P 6位职工工号 其他 O 070001-079999 信息资产的分级 按照信息资产的公开和敏感程度，以及信息资产对系统和组织的重要性，信息资产的分级原则有两个： 对于文档（含电子文档与纸质文档）、介质类的数据载体，按照承载信息本身的公开和敏感程度，该类信息资产拟划分为“工作秘密”、“内部公开”、“外部公开”三级，针对不同级别的资产标识不同的保护等级。 对于其他物理设备，按照其对系统和组织的重要程度，该类信息资产拟划分为“关键资产”、“重要资产”、“普通资产”三级，针对不同级别的资产标识不同的防护等级。 信息资产分级划分具体方法： 关键资产：承载、处理或存储公司核心业务信息系统数据，一旦破坏，会对公司的主营业务造成冲击和损害。原则上承载处理业务信息系统数据的资产均应被标识为关键资产。 重要资产：对公司某一部门提供服务的信息系统所含资产、或属于业务信息系统的支撑系统的信息