网络信息资产和设备管理制度
发布时间:2024-01-05 作者: 浏览:69
一、范围及职责
本制度适用于信息中心资产的管理,包括:获取、分类、使用和处置以及安全设备的管理。
本制度中的信息中心资产是指可以存储信息数据的信息载体,包括:硬件、软件、数据(电子数据)、文档 (纸质文件)、人员、服务设施、其他。
信息中心主要负责信息资产的分类、汇总、使用与处置方法,以及安全设备的选型、检测、安装、登记、使用、维护和储存。
计算机资产统计信息的范围包含但不限于:计算机主机名、IP地址、MAC地址、使用人/责任人、所属部门、物理位置、服务器的内外网IP对应等。
二、信息资产的获取
软件、硬件设施、服务性设施等的获得主要以采购的方式获得,釆购按照有关规定进行釆购和验收。
数据信息资产的获得来源主要为:外包供应商、市场信息、其他信息。
三、信息资产的分类
信息中心根据业务流程列出信息资产清单并将每项资产的资产类别、信息资产编号、资产现有编号、资产名称、所属部门、责任人、地点等相关信息记录在资产清单上。
资产的分类原则和编号原则如下:
(一)硬件
① 计算机设备:(台式机、笔记本)、服务器;
② 存储设备:磁盘阵列、移动硬盘、U盘等;
③ 网络设备:路由器、交换机、网关等;
④ 传输线路:光纤、双绞线、电话线(布线)、电源线;
⑤ 安全设备:硬件防火墙、入侵检测、网络隔离设备〔如网闸〕、身份验证等;
⑥ 办公设备:打印机、复印机、扫描仪、传真机、 碎纸机、一体机、应急照明设备等;
⑦ 保障设备:动力保障设备(UPS、变电设备)、空调、保险柜、文件柜、门禁、消防设施等;
⑧ 其他设备;
(二)软件
如:操作系统、系统软件(office/AutoCAD)、应用软件(生产软件)、网管软件、杀毒软件、开发工具和资源库等。
(三)电子数据
存在电子媒介的各种数据资料。如:源代码、数据库数据、各种数据资料、系统文档、运行管理规程、计划、日周月报告、用户手册、方案、电子设计图纸等。
(四)纸质文件
纸质的各种文件。如:传真、电报、合同、纸张图纸等。
(五)服务性设施
如:供电、供水、保洁、门禁、消防设施等。
(六)人员
各部门工作人员
(七)其他。
识别各个流程的各类关键信息资产,最终汇总,并每半年进行一次更新,确保重要信息资产的完备性(重要信息资产没有遗漏和缺失)和准确性。
对信息资产进行编号,同时对重要信息资产进行标识:文档需有固定版本编号规则;硬件设备粘贴在设备明显位置处。
四、信息资产的使用和处置
(一)硬件资产的使用和处置
硬件的使用处置包括购买、接收、使用(交接、维修、重用)、处置等有关内容。
购买新的硬件设备或者从其他部门接收转移的设备时,要核对设备清单,对相关设备进行测试验证, 然后登记。由资产管理员对硬件设备进行管理,明确设备管理职责。
硬件资产的保存:
① 处理敏感数据的信息处理设施放在适当安全的位置, 以减少在设备使用期间信息被窥视的风险,保护储存设施以防止未授权访问;
② 设备的选址应釆取控制措施以减小潜在的物理威胁的风险,例如偷窃、火灾、爆炸、烟雾、水(或供水故障)、温度、湿度、尘埃、振动、化学影响、电源干扰、通信干扰、电磁辐射和故意破坏;
③ 禁止在信息处理设施附近进食、喝饮料和抽烟;
④ 对专门保护的部件要予以隔离,以满足特殊安全要求;
(二)硬件资产的日常使用安全
① 所有的硬件资产必须明确设备的使用人员(或管理人),明确职责;
② 硬件资产的使用人(或管理人),在使用或管理硬件资产时,要注意硬件资产的安全性、机密性、完整性,防止信息载体的毁坏,防止信息处理设施的滥用;对设备定期进行维护保养,发生毁坏,丟失等问题时能够及时处置;
③ 新硬件设备接入网络按照相关规定处理;
④ 在人员上岗时,可根据需要为上岗人员配备必要的办公设备,包括电脑(笔记本或台式机),电话机,其它办公用品;信息安全技术组根据该工作人员所处部门、工作性质为其设置相应的访问权限;
⑤ 需要使用移动计算设备(包括笔记本、无线网卡、移动硬盘和U盘)的用户,应得到信息安全管理办公室的同意后方可使用;
⑥ 对于无人职守的设备,要明确管理人员,加强物理安全控制。
(三)硬件资产的转移安全
① 当设备迁移时,必须先对设备中存储的重要信息进行备份;
② 设备迁移完成后,必须检查设备是否损坏;
③ 设备迁移出本单位时,设备中禁止存放重要信息, 以防止机密信息泄露或泄露的风险增加。
办公地点外使用任何信息处理设备必须通过管理者授权。场外设备的保护要考虑下列内容:
① 离开本单位的设备和介质〔如现场的设备和介质〕,必须有人值守或委派负责人或者公共场所放置的需要有人值守或监视系统;
② 制造商保护设备用的说明书要始终加以遵守,例如:防止暴露于强电磁场内;
③ 根据风险的不同釆取足够的安全保障措施,以保护离开办公室设备的安全。
(四)硬件资产的处置和重用
① 存储设备销毁前,必须确保所有存储的敏感数据或授权软件已经被移除或安全重写;
② 服务器、主要网络设备的处置由信息安全技术组进行安全处置;
③ 台式机、打印机、传真机、扫描仪等设备的处置由信息管理中心进行并做登记;
④ 如需报废时,应向信息安全管理办公室提出报废申请,经批准后报废。
五、软件资产的使用和处置
软件资产的使用:
① 所有的软件资产必须设置专人管理,明确职责,避免软件资产的丟失,泄密;
② 所有正版软件实体由信息中心保管,在安装软件时要规定使用权限,防止非授权访问;
③ 按照备份与恢复管理要求,对重要系统进行备份;
④ 当人员离职或岗位变动,需要回收有关的软件,必要时,由信息中心技术组对离职人员使用的软件进行卸载删除。
软件资产的处置:对过时或确认无效的软件资产,定期进行清除。
六、电子数据的使用和处置
电子数据的使用:
① 对所有电子数据进行分类/分级,标识未授权人员的访问限制,不同安全级别的数据应存储在不同的区域,按类按级传达,便于信息的安全管理;
② 不同类型的电子文件按照统一规律存放在个人电脑或服务器中,便于整理和查阅以及工作交接时转移;
③ 所有电子文件保存在电脑或服务器中,并按照规定的备份频率定期进行备份;
④ 对于存于服务器上的电子数据的访问,根据服务器提供服务的不同与部门/职务的不同,设置不同的访问权限, 避免非授权访问;
⑤ 对于内部公开级别的电子信息,其使用要控制在内部,禁止带出;
⑥ 在整理电脑中的电子数据时,要小心操作,确认后再进行处理,避免由于误操作将有用的电子数据删除。
七、纸质文档的使用和处置
(一)纸质文档的使用
① 对于纸质文件的保存期限依据实际要求制定和实施;
② 对于比较重要的纸质文件的使用过程,必须注意信息的保密,确保信息的完整性和可用性;
③ 对于比较重要的纸质文件的传输,必须釆取适当的 安全措施加以保护,如专人递送、分散传输等。
(二)纸质文档的处置
① 实体数据资料达到保存期限后,必须将其撕毁或者粉碎到读不出来为止,避免实体数据资料的泄密;
② 对于重要纸质文件的销毁,要求两人以上在场,防止信息的泄密。
八、人员招调、在职、离职
所有人员的招调、在职、离职管理按照要求进行实施。
九、服务性资产的使用和处置
所有服务性资产要设置专人管理,定期维护,避免损坏、非授权使用或丟失。
当服务性设施损坏,如果可以维修,由信息中心安全技术组联络相关人员进行维修。
当服务性设施损坏,不可维修,只能报废时,应上报信息中心管理办公室提出报废申请。
十、安全设备管理
(一)设备的选型
严禁釆购和使用未获得销售许可证的信息安全产品。
应优先釆用我国自主开发研制的信息安全技术和设备。
如需釆用境外信息安全产品时,必须确保产品获得我国权威机构的认证测试和销售许可证。
(二)设备检测
信息系统中的所有安全设备必须符合中华人民共和国国家标准《数据处理设备的安全》、《电动办公机器的安全》中规定的要求,其电磁辐射强度、可靠性及兼容性也必须符合安全管理等级要求。
(三)设备安装
设备符合系统选型要求并获得批准后,方可购置安装。
凡购回的设备均须在测试环境下经过连续72小时以上的单机运行测试和联机48小时的应用系统兼容性运行测试。
主机、服务器、网络设备、安全设备等上架运行前必须通过安全检测,禁止安装有默认操作系统的主机、服务器直接接入系统。
通过上述测试后,设备进入试运行阶段,试运行时间的长短根据业务需要动态设定。
通过试运行的设备才能接入生产系统,正式运行。
(四)设备登记
对所有设备均应建立严格完整的购置、移交、使用、维护、维修和报废等记录,认真做好资产登记和管理工作,保证设备管理的正规化。
(五)设备使用管理
每台设备的使用均应指定专人负责并建立详细的运行日志。
由责任人负责进行设备的日常清洗及定期保养维护,做好维护记录,保证设备处于******状态。
保证设备在其适宜的使用环境下工作。
一旦设备出现故障,管理员如实填写故障报告,通知有关人员处理。
十一、设备维修管理
设备由专人负责维修,并建立满足正常运行最低要求的易损件的备件库。
根据每台设备的使用情况及系统的可靠性等级,制定预防性维修计划。
对系统进行维修时必须釆取数据保护措施,安全设备维修时应有安全管理员在场。
对设备进行维修时必须记录维修对象、故障原因、排除方法、主要维修过程及维修有关情况等。
对设备应规定折旧期,设备到了规定使用年限或因严重故障不能恢复,由专业技术人员对设备进行鉴定和残值估价,并对设备情况进行详细登记,提出报告书和处理意见,由信息中心批准后方能进行报废处理。
十二、设备储存管理
设备储存环境应符合出厂标要求。
建立详细的设备进出库、领用和报废登记。
必须定期对储存设备进行清洁、核查及通电检测。
安全产品及保密设备必须单独储存并有相应的保护措施。
COPY RIGHT 2016-2017 版权所有:厦门安防科技职业学院 闽ICP备14013652号
院办:0592-2291666 招办:0592-7762777 传真:0592--7762779 地址 :福建省厦门市翔安区翔安南路3000号