公司信息系统资产安全管理制度.docx

公司信息系统资产安全管理制度 总则 为加强和规范AA省BB单位（公司）信息系统资产（包括设备和介质等）的安全管理，对信息系统资产使用、传输、存储及维护等方面的管理做出规定，规范信息系统资产管理和使用的行为，特制定本制度。 本制度适用于AA省BB单位（公司）信息系统资产的管理和使用。 信息系统资产包括以下内容： （一）信息资产：包括应用数据、系统数据、安全数据等数据库和数据文档、系统文件、用户手册、培训资料、操作和支持程序、备用系统安排、存档信息等； （二）软件资产：包括应用软件、系统软件、开发工具和实用程序等； （三）有形资产：包括计算机设备(处理器、监视器等)、通信设备(路由器、传真机等)、磁介质(磁带、移动存储介质、光盘等)、其他技术装备(电源，空调设备)、家具和机房等； （四）应用业务相关资产：包括由信息系统控制的或与信息系统密切相关的应用业务的各类资产，由于信息系统或信息的泄露或破坏，这些资产会受到相应的损坏； （五）服务：包括计算和通信服务，通用设备如供暖、照明、供电和空调等。 信息系统资产使用 信息系统资产采购后交付使用部门的资产管理员，资产管理员对资产按照规则命名和标识，使用人要在本部门《资产清单》上进行领用登记，然后由资产管理员交付资产给使用人。 信息系统资产的使用人、责任人是其资产的第一责任人，要按照产品手册、操作规程、管理制度等要求正确的使用设备或介质资产，防止其被盗、遗失、被未授权修改以及信息的非法泄漏。 信息系统资产的传输、存储、维护或销毁参照介质管理中相关内容执行。 信息系统资产基本信息发生变化时，使用人/责任人需要到本部门资产管理员处进行相关的信息变更。 信息系统资产传输 含有敏感工作信息的信息系统资产在传输过程中必须亲自交给接受方。 通过外部运输人员传输的信息系统资产需要接受者签字等措施，以保证传送安全到达。 需要有日志记录含有敏感工作信息的信息系统资产的传输过程（多少、在哪里、接收者姓名、地址等）。 含有敏感工作信息的信息系统资产不能在旅游时携带，除非经过管理部门审批同意。 信息系统资产存储 信息资产领取使用后，按照信息资产明细账和信息资产登记卡片，明确信息资产的使用人员和存放地点，使用人员是信息资产保管的责任人，负责固定资产在使用过程中的安全和完整。 贵重的、精密程度较高的信息系统资产应指定专人保管。 信息系统资产维护 信息系统资产日常维护包括巡检与监控、备份与恢复、停机检修。 巡检与监控人员对应用系统、网络系统和机房的运行状况进行监控，定期检查系统日志，填写机房巡检日志，及时报告、处理发生的异常事件，并定期汇总上报数据管理中心。 备份与恢复人员按方案进行系统备份，并在系统环境发生重大变化时对系统和数据及时进行恢复。 资产维护人员制定详细停机检修方案，报信息化管理处审批后，在网上发布停机公告，电话通知重点用户，确认对用户无重大影响后，按方案停机检修，尽量安排在节假日期间。 信息系统资产需外出维修的，必须由使用人员提出申请，部门负责人签字确认，经信息化管理处审核方可，如设备未出保修期，由资产管理部门向信息化管理处提供产品保修证书，所有产品保修证书统一由资产管理部门编号保管。 各部门人员均不得擅自拆装信息系统资产设备，如有故障，不得私自拆修，须及时通知信息化管理处，由技术人员进行检查维修。 所有信息系统资产使用人员应爱护资产设备，自觉进行日常清理保洁及相关简单的维护。 信息系统资产报废 信息资产正常报废时，填报《信息系统资产报废申请表》（ REF _Ref269457362 \r \h 0），办理相关手续。 （一）信息资产报废单位填写《信息系统资产报废申报表》一式三份，由本单位负责人批准。 （二）单位批准后，经办人员携带报废申请表及信息系统资产实物到信息化管理处进行核实鉴定。 （三）经核实后，信息资产管理部门将报废信息资产回收（自收自支事业单位除外），并在《信息系统资产报废申报表》上级资产管理部门意见处签字。 （四）信息化管理处签字后，报主管领导审批，办理报废审批。 （六）《信息系统资产报废申请表》经主管领导审批后，一份作为单位固定资产管理部门核销固定资产台账依据，一份作为单位财务部门核销固定资产账和固定资产卡片依据，一份作为信息化管理处回收依据。 AA省BB单位（公司）在信息系统资产损毁或丢失时，分清责任后进行处理，并办理相关手续。 （一）使用部门或个人发生信息系统资产损毁或丢失时，应及时报本部门信息系统资产专管人员，由专管人员确认后，查明原因，报单位领导审批。 （二）经领导批准后，单位填写《信息系统资产报废申请表》一式三份，按信息系统资产报废的手续办理。 （三）单位查清责任原因后，责任人写出检查并按信息系统资产实际价值的10%做出赔偿，另有规定