银行信息科技资产管理制度.docxVIP

PAGE PAGE 1 银行信息科技资产管理制度 第一章范围及职责 第一条 本制度适用于信息资产的管理，包括：获取、分类、使用和处置以及安全设备的管理。 第二条 本制度中的信息资产是指可以存储信息数据的信息载体， 包括：硬件、软件、数据（电子数据） 、文档（纸质文件）、人员、服务设施、其他。 第三条 计算机资产统计信息的范围包含但不限于：计算机主机名、 IP 地址、 MAC地址、使用人 / 责任人、所属部门、物理位置、服务器的内外网 IP 对应等。 第二章信息资产的获取 第四条 软件、硬件设施、服务性设施等的获得主要以采购的方式获得，采购按照有关规定进行采购和验收。 第五条数据信息资产的获得来源主要为：外包供应商、市场信息、其他信息。 第三章信息资产的分类 第六条 各部门根据业务流程列出信息资产清单并将每项资产的资 产类别、信息资产编号、 资产现有编号、 资产名称、所属部门（组别）、管理者、使用者、地点等相关信息记录在资产清单上。 第七条 资产的分类原则和编号原则如下： 一、硬件 1、计算机设备： ( 台式机、笔记本 ) 、服务器 ; 2、存储设备：磁带机、磁盘整列、磁带、光盘、软盘、移动硬盘等； 3、网络设备：路由器、交换机、网关、程控交换机等； 4、传输线路：光纤、双绞线、电话线 ( 布线) 、电源线； 5、安全设备：硬件防火墙、入侵检测、身份验证等； 6、办公设备：打印机、复印机、扫描仪、传真机等； 7、保障设备：动力保障设备（ UPS、变电设备）、空调、保险柜、文件柜、门禁、消防设施等； 8、其他设备； 二、软件 如：操作系统、系统软件、应用软件（生产软件） 、网管软件、杀毒软件、开发工具等； 三、电子数据 存在电子媒介的各种数据资料。如：源代码、数据库数据、各种数据资料、系统文档、、用户手册、方案、电子设计图纸等； 四、纸质文件 纸质的各种文件。如：合同、纸张图纸等； 五、服务性设施 如：供电、供水、保洁、门禁、消防设施等； 六 人员 如：各级领导、各级正式员工、临时员工等； 七、其他。 第八条 按照《涉及国家秘密的信息系统分级保护技术标准》和信 息安全管理体系建设要求， 将信息资产化分为不同的保护等级， 并对不同等级的信息资产进行保护，确保信息安全。 第九条对信息资产进行编号，同时对重要信息资产进行标识： 第四章信息资产的使用和处置 （一）硬件资产的使用和处置 第十条 购买新的硬件设备或者从其他部门接收转移的设备时，要核对设备清单，对相关设备进行测试验证，然后登记。由资产管理员对硬件设备进行管理，明确设备管理职责。 第十二条硬件资产的保存 一、机房选址要避免在地下室、一楼和顶层，同时考虑相邻楼层的活动； 二、处理敏感数据的信息处理设施放在适当安全的位置，以减少在设备在使用期间信息被窥视的风险； 三、设备的选址应采取控制措施以减小潜在的物理威胁的风险，例 如偷窃、火灾、爆炸、烟雾、水（或供水故障） 、温度、湿度、尘埃、振动、化学影响、电源干扰、通信干扰、电磁辐射和故意破坏； 四、对专门保护的部件要予以隔离，以满足特殊安全要求； 第十三条硬件资产的日常使用安全 一、所有的硬件资产必须明确设备的使用人员 / 管理人员，明确职责； 二、硬件资产的使用人（或管理人） ，在使用或管理硬件资产时， 要注意硬件资产的安全性、机密性、完整性，防止信息载体的毁坏和信息的泄密，防止信息处理设施的滥用； 对设备定期进行维护保养， 发生毁坏， 丢失等问题时能够及时处置； 三、新硬件设备接入网络按照相关规定处理； 四、在人员上岗时，可根据需要为上岗人员配备必要的办公设备， 包括电脑（笔记本或台式机） ，电话机，其它办公用品； 五、需要使用移动计算设备（包括笔记本、无线网卡、移动硬盘和 U盘）的人员，应得到负责人的同意后方可使用； 六、对于无人职守的设备，要明确管理人员，加强物理安全控制。第十四条硬件资产的转移安全 一、当设备迁移时，必须先对设备中存储的重要信息进行备份； 二、设备迁移完成后，必须检查设备是否损坏； 三、设备迁移出本单位时，设备中禁止存放重要信息，以防止机密信息泄露或泄露的风险增加。 第十五条办公地点外使用任何信息处理设备必须通过管理者授权。场外设备的保护内容： 一、离开本单位的设备和介质（如现场的设备和介质） ，必须有人值守或委派负责人 ( 或者公共场所放置的需要有人值守或监视系统 ) ； 二、制造商保护设备用的说明书要始终加以遵守，例如，防止暴露 于强电磁场内； 三、根据风险的不同采取足够的安全保障措施，以保护离开办公室设备的安全。 第十六条硬件资产的处置和重用 一、存储设备销毁前，必须确保所有存储的敏感数据或授权软件已经被移除或安全重写； 二、如需报废时，应向主管部门提出报废申请，经批准后报废。 （二）软件资产的使