核心资产安全管理制度.docVIP

xxx通信有限责任公司 核心资产安全管理制度 xxx通信有限责任公司 2004年1月 目录 目录 2 一、硬件安全管理 3 二、软件安全管理 6 三、数据安全管理 9 一、硬件安全管理 1．设备选型 业务系统设备的选型与采购由信息中心统一归口管理。 设备选型的原则是在满足工作需要的前提下，保证所选产品的先进性和实用性，避免过早被淘汰，但也不要搞超前消费而造成资金的浪费。 选用或购置涉密设备时应符合有关规定，确保这些设备的可靠性。 2．设备购置与安装 对大宗采购的设备要在国内和国际厂商间进行招标，并根据厂商的产品性能、质量、价格和售后服务等指标做出优化选择，实行集中采购。 下属机构购置的设备，都要填写购置申请表上报信息中心，经信息中心和其他相关部门审批后由信息中心负责购置。 新购置的网络设备及网络安全产品应经过安全检测和实际测试，测试合格后方能投入使用。 复杂的设备由厂商或集成商负责安装调试，保证设备的可靠运行。 关键的设备由信息技术人员经过培训进行安装。 3．设备登记与使用 建立设备登记档案，详细记录每台设备的名称、规格、配置、装载软件、单价、购入日期、供货商、存放地点、使用部门、耐用年限等参数，关键设备应建立维护档案。 设备应由网管人员登记网络拓扑图，所有带网卡的设备都应登记网卡号，严格限定相应的网络权限。 所有设备都应粘贴印有其设备编号、名称、类别、使用部门的标签，并填写一式两份的固定资产登记卡，一份交使用部门的行政秘书或各单位的管理部门保管，另一份留信息中心保管。 各部门及个人领用的设备应实行个人负责制，每台设备有专人负责管理和使用，不得随意转借，更不得交给无关人员使用。 各部门间设备的调拨由调入部门填写设备调入申请单，由调入部门、调出部门及相关部门负责人签字同意后方可进行调拨。 对于不再需要或长期闲置的设备，各部门应及时归还给资产管理部门，以充分发挥设备的使用价值。 4．设备维护 遵守定期维护检查制度，对关键设备的维护与维修要建立详细的维护档案，凡因疏于保养而造成的设备损坏或工作延误将追究当事人的责任。 建立设备管理维护记录，实行维护记录制度。对故障发生的时间、表现、采取的解决措施、结果及软硬件的升级情况等进行详细记录，并由系统管理员予以签字，以便今后解决故障。 建立相关电子设备的维护和维修手册，详细记录各厂商的联系电话、服务热线等信息。 设备自然使用损坏后，当事人需填写故障维修申请单报信息中心，由信息中心指派专人检查损坏情况后进行维修，对无法当时维修好的设备联系厂商或维修单位进行修理。 非信息中心指定维护人员不得私自拆卸电子设备、不得维修设备或更换零件，凡因此而造成的设备损坏或配件丢失由当事人负责赔偿。 系统设备的扩容和升级应由信息中心考察必要性和可行性，经领导批准后，统一安排购买配件和实施升级。任何人不得自行联系设备升级。 5．设备报废 长期闲置或不再使用的设备可向信息中心提出调拨或报废申请，由信息中心根据设备的完好率、使用年限等因数决定进行调拨或报废。 对各部门内确无使用价值的设备的报废申请，由信息中心核准后报领导批准，并由财务部备案。 由于使用人员重大责任事故而造成的部门内的设备报废，必须追究当事人的责任，经领导批准后，再作报废处理，并由财务部备案。 各分支机构大额设备(单件购买价超过五万)的调拨和报废工作原则上采用各单位提申请，信息中心审核批准的方式。 设备报废依据财务管理办法和有关规定执行，对报废设备上保存的存贮介质要进行清除，防止泄密。 二、软件安全管理 1．软件的选型 应用软件在开发或购买之前应正式立项，成立由技术人员、业务人员和管理人员共同组成的项目小组并建立软件质量保证体系。 选用的软件必须是正版软件。 2．软件安全检测审查 软件在正式使用之前应进行必要的安全功能检测，保证业务能正常安全可靠的运行。不得建立无关的用户，测试用户在完成测试后必须加以限制或删除。 应用软件在正式投入使用前必须经过内部评审，确认系统功能、测试结果和试运行结果均满足设计要求，技术文档齐全，并经分管领导批准。 重要的业务应用系统应具有如下安全特性： 自动记录全部操作过程； 关键数据不得以明码存放； 无法绕过应用界面直接查看或操作数据库； 系统管理与业务操作权限严格分开； 防止异常中断后非法进入系统； 提供超时键盘锁定功能； 业务数据在通信网络上以加密方式传输； 应存储一年以上完整的系统运行记录； 提供系统运行状态监控模块； 提供数据接口，满足稽核、审计及技术监控的要求； 其它有助于控制业务操作风险的功能特性。 系统软件应具备如下安全功能： 身份验证功能，防止非法用户随意进入系统； 访问控制功能，防止系统中出现越权访问； 故障恢复功能，能够自动或在人工干预下从故障状态恢复到正常状态而不致造成系统混