第一章 总则

第一条 本制度适用于资产的管理，包括：获取、分类、使用和处置以及设备的管理。

第二条 本制度中的资产是指可以存储数据的载体，包括：硬件、软件、文档（纸质文件）、人员、其他。

第三条 技术部主要负责资产的分类、汇总、使用与处置方法，以及设备的选型、检测、安装、登记、使用、维护和储存。

第四条 计算机资产统计的范围包含但不限于：计算机主机名、IP地址、MAC地址、使用人/责任人、所属部门、物理位置、服务器的内外网IP对应等。

第二章 资产的获取

第五条 软件、硬件设施、服务性设施等的获得主要以采购的方式获得，采购按照有关规定进行采购和验收。

第六条 数据资产的获得来源主要为：外包供应商、市场、其他。

第三章 资产的分类

第七条 各部门根据业务流程列出资产清单并将每项资产的资产类别、资产编号、资产名称、所属部门、管理者、使用者相关记录在资产清单上。

第八条 资产的分类原则和编号原则如下：

1、硬件

计算机设备：PC机、服务器;

网络设备：路由器

传输线路：光纤、双绞线、电话线(布线)、电源线；

安全设备：硬件防火墙、入侵检测、网络隔离设备（如网闸）、身份验证等；

保障设备：动力保障设备（UPS、变电设备）、空调、保险柜、文件柜、消防设施等；

其他设备；

2、软件

如：操作系统、系统软件（office/AutoCAD）、应用软件（生产软件）、网管软件、杀毒软件、财务软件、开发工具和资源库等；

3、电子数据

存在电子媒介的各种数据资料。如：源代码、数据库数据、各种数据资料、系统文档、日周月报告、财务报告（电子版本）、用户手册等；

4、服务性设施

如：供电、供水、保洁、消防设施等；

5、人员

如：部门领导、部门人员等；

6、其他。

第九条 按照信息中心管理体系建设要求，按照资产的公开和敏感程度，将资产化分为不同的保护等级，并对不同等级的资产进行保护，确保安全。各部门要将所有的移动介质和电子文件按照敏感性和重要程度分为不同的保护等级，保密级别与保密期限由持有人自行定义。

第十条 识别各个流程的各类关键资产，最终技术部汇总，并每半年进行一次更新，确保重要资产的完备性（重要资产没有遗漏和缺失）和准确性（资产的保密级别和重要程度能够真实反映资产的状态）。

第十一条 对资产进行编号，同时对重要资产进行标识：文档需有固定版本编号规则；硬件设备粘贴在设备明显位置处。

第四章 资产的使用和处置

第十二条 硬件资产的使用和处置：硬件的使用处置包括购买/接收、使用（交接、维修、重用）、处置等有关内容。

第十三条 购买新的硬件设备或者从其他部门接收转移的设备时，要核对设备清单，对相关设备进行测试验证，然后登记。由资产管理员对硬件设备进行管理，明确设备管理职责。

第十四条 硬件资产的保存

1、机房选址要避免在地下室、一楼（水淹和渗水）和顶层（渗水和失火时火向上燃烧），同时考虑相邻楼层的活动（避免热源和渗水）；

2、处理敏感数据的处理设施放在适当安全的位置，以减少在设备在使用期间被窥视的风险，保护储存设施以防止未授权访问；

3、设备的选址应采取控制措施以减小潜在的物理威胁的风险，例如偷窃、火灾、爆炸、烟雾、水（或供水故障）、温度、湿度、尘埃、振动、化学影响、电源干扰、通信干扰、电磁辐射和故意破坏；

4、禁止在处理设施附近进食、喝饮料和抽烟；

5、对专门保护的部件要予以隔离，以满足特殊安全要求；

第十五条 硬件资产的日常使用安全

1、所有的硬件资产必须明确设备的使用人员/管理人员，明确职责；

2、硬件资产的使用人（或管理人），在使用或管理硬件资产时，要注意硬件资产的安全性、机密性、完整性，防止载体的毁坏和的泄密，防止处理设施的滥用；

对设备定期进行维护保养，发生毁坏，丢失等问题时能够及时处置；

3、新硬件设备接入网络按照相关规定处理；

4、在人员上岗时，可根据需要为上岗人员配备必要的办公设备，包括电脑（笔记本或台式机），电话机，其它办公用品；技术部门根据该工作人员所处部门、工作性质为其设置相应的办公网访问权限；

5、需要使用移动计算设备（包括笔记本、无线网卡、移动硬盘和U盘）的用户，应得到技术部门负责人的同意后方可使用；

6、对于无人职守的设备，要明确管理人员，加强物理安全控制。

第十六条 硬件资产的转移安全

1、当设备迁移时，必须先对设备中存储的重要进行备份；

2、设备迁移完成后，必须检查设备是否损坏；

3、设备迁移出本单位时，设备中禁止存放重要，以防止机密泄露或泄露的风险增加。

第十七条 办公地点外使用任何处理设备必须通过管理者授权。场外设备的保护要考虑下列内容： 

1、离开本单位的设备和介质（如现场的设备和介质），必须有人值守或委派负责人(或者公共场所放置的需要有人值守或监视系统)；

2、制造商保护设备用的说明书要始终加以遵守，例如，防止暴露于强电磁场内；

3、根据风险的不同采取足够的安全保障措施，以保护离开技术部门设备的安全。 

第十八条 硬件资产的处置和重用

1、存储设备销毁前，必须确保所有存储的敏感数据或授权软件已经被移除或安全重写；

2、服务器、主要网络设备的处置由技术部门进行安全处置；

3、台式机、打印机、传真机、扫描仪等IT设备的处置由技术部门进行并做登记；

4、如需报废时，应向主管部门提出报废申请，经批准后报废。

第十九条 软件资产的使用

1、所有的软件资产必须设置专人管理，明确职责，避免软件资产的丢失，泄密；

2、所有正版软件实体由技术部门专人保管，在安装软件时要规定使用权限，防止非授权访问；

3、按照《系统运行维护管理制度》中“备份与恢复管理”章节要求，对重要系统进行备份；

4、当人员离职或岗位变动，需要回收有关的软件，必要时，由技术部门技术人员对离职人员使用的软件进行卸载，删除。

第二十条 软件资产的处置：对过时或确认无效的软件资产，定期进行清除。

第二十一条 电子数据的使用

1、对所有电子数据进行分类/分级，标识未授权人员的访问限制，不同安全级别的数据应存储在不同的区域，按类按级传达，便于的安全管理；

2、不同类型的电子文件按照统一规律存放在个人电脑或服务器中，便于整理和查阅以及工作交接时转移；

3、所有电子文件保存在电脑或服务器中，并按照《备份和恢复管理制度》规定的备份频率定期进行备份；

4、对于存于服务器上的电子数据的访问，根据服务器提供服务的不同与部门／职务的不同，设置不同的访问权限，避免非授权访问；

5、对于内部公开级别的电子，其使用要控制在内部，禁止带出；

6、在整理电脑中的电子数据时，要小心操作，确认后再进行处理，避免由于误操作将有用的电子数据删除。

第二十二条 纸质文档的使用

1、所有的秘密级以上的纸质文件资料要（通过标签或其它方式）标识出资产的保密级别，分类存放，不同安全级别的纸质文件应按类按级传达，便于纸质文件的安全管理；

2、对于比较重要的纸质文件须保存在带锁的文件柜或保险柜中，钥匙由专人保管；

3、对于纸质文件的保存期限依据实际要求制定和实施；

4、对于比较重要的纸质文件的使用过程，必须注意的保密，确保的完整性和可用性；

5、对于比较重要的纸质文件的传输，必须采取适当的安全措施加以保护，如专人递送、分散传输等。

第二十三条 纸质文档的处置

1、实体数据资料达到保存期限后，必须将其撕毁或者粉碎到读不出来为止，避免实体数据资料的泄密；

2、对于重要纸质文件的销毁，如财务纸质文件，要求两人以上在场，防止的泄密。

第二十四条 所有人员的招调、在职、离职安全管理按照《用户管理制度》的要求进行实施。

第二十五条 所有服务性资产要设置专人管理，定期维护，避免损坏、非授权使用或丢失。涉及服务性的合同，相关管理部门在签署合同时，应审核涉及保密的相关条款。

第二十六条 当服务性设施损坏，如果可以维修，由负责人联络相关人员进行维修，如果涉及到第三方，依据《用户管理制度》对第三方进行管理。

第二十七条 当服务性设施损坏，不可维修，只能报废时，应联络相关管理部门提出报废申请。

网络信息资产和设备管理制度

网络信息管理制度