信息资产控制规范[模板]

信息资产控制规范
1.目的
为加强对本公司信息资产的管理，保障信息资产安全，制定本流程。

2.概述
本公司的信息资产可分为以下七类资产：
硬件类资产：包括网络设备、服务器、主机、传输线路/设备、空调、打印/复印机、传真机、碎纸机、投影仪等等。

软件类资产：包括应用软件、操作系统、数据库、开发工具和实用程序等软件。

信息类资产：包括配置信息、帐户权限信息、口令信息、系统各类文档、源代码和安装包等。

人员类资产：包括内部人员和外部人员。

环境设施类资产：如保险柜、文件柜、空调、UPS等。

外购服务类资产：包括供电、通讯、保洁、快递服务、IT服务、网站托管等。

无形类资产：包括声誉和形象、业务和技术经验等。

4. 内容
4.1.角色/职责
4.2.信息资产管理内容 4.2.1.机密性分类方法
➢
制定信息资产机密性分类方法是为了帮助本公司员工和全体外部人员判断哪些信息资产属于敏感信息资产，以便更好地加以保护。

➢
全体员工应当熟悉本规定所确定的信息资产分类及标识办法，及敏感信息管理指南。

员工可以根据分类定义标准和管理指南来保护信息资产，另一方面也可以采用通用最佳实践的办法来保护组织的敏感信息。

➢
信息资产的机密性进行分类如下：
➢
本公司鼓励员工在一定的程度上使用常识性的办法来保护本公司敏感信息资产，如果员工不知道某种特定信息的机密性程度，默认情况下至少按“内部公开”的保护办法来对待。

4.3.信息资产的使用管理
4.3.1.硬件类和环境设施类资产的使用
4.3.1.1.硬件类和环境设施类资产的接收和发出按本公司固定资产管理方面的控制程序执行；供应商送货到本公司后，
接收人员对货物的品牌、型号、数量、包装和送货单据等核对无误后，在送单据上签收确认；领用时，发放人员要对领用情况进行登记，并由领用人员签字。

4.3.1.2.接收到新的信息资产后，接收人员对信息资产机密性进行标识。

4.3.1.3.信息资产发生变化时，要及时更新《信息资产登记表》。

4.3.1.4.新增的硬件设备在经过必要的安装、配置和性能调优后，才能并入公司的网络系统。

4.3.1.
5.报废硬件设备必须要填写《设备报废申请单》，经过部门经理批准后方可报废。

4.4.软件类资产的使用
4.4.1.在公司范围使用符合本公司安全性要求的软件，系统软件按需要及时进行补丁更新。

4.4.2.在本公司网络内使用的电脑，只能安装本公司授权的软件。

4.4.3.本公司采取必要的措施防范病毒、木马和流氓软件等恶意程序。

4.4.4.采购软件类资产，要选择软件系统商，进行软件测试，必要时要进行源代码审查，以确保采购软件安全。

4.4.
5.软件系统时，要确保在软件系统需求中包含足够的安全需求，在软件系统和测试中这些要求能够得到满足，防范
开发的软件中留有后门或恶意代码。

4.4.6.禁止在本公司办公电脑上安装未经本公司许可的软件和程序，终端原则上只安装满足其业务要求的最小范围的软
件。

4.4.7.所有贮存软件的介质应当妥善保存，并登记入册。

4.4.8.信息类资产的用管理。

4.5.“公司机密”类信息的使用
“公司机密”类信息是极其敏感的信息，对本公司来说，在没有相应授权的前提下，严格禁止本公司内部员工和外部人员对“公司机密”类信息的访问，一旦发现有对“公司机密”类信息的非授权使用或授权的滥用情况，必须立即作为安全事故向信息安全管理小组汇报。

“公司机密”类信息传递到外网时，要设置8位以上的强口令。

4.6 “公司机密”类信息的使用
“公司机密”类信息是较敏感的信息，本公司的内部员工和外部人员在使用“公司秘密”类信息时，应当特别谨
慎以防止信息资产的丢失、被盗和敏感信息的泄露。

一切人员都应按照“知所必须”的原则，获得完成其工作职责所必须的最小范围的“公司秘密”信息。

禁止在公共场合讨论该类信息，“公司秘密”类信息限制打印或复制，多余的份数应粉碎或安全删除；必要时，“公司秘密”类信息分发时，要建立详细传阅清单。

4.7 “内部公开”类信息的使用仅限于本公司内部员工使用，一般避免向外扩散，外部人员要使用“内部公开”类信息，
需要得到必要的授权。

4.8. 其它类信息资产的使用
4.8.1.人员类资产的使用管理依照《公司人员信息安全管理规定》、《保密项目的人力资源控制流程》执行。

4.8.2.外购服务类资产的使用要防止资源的浪费和节约能源，如占用网络带宽进行与工作无关的下载，下班后不关电
脑、照明、空调等的电源等等
4.8.3.无形资产对本公司而言非常重要，要维护好这些无形资产，可以通过以下方面体现：
商标保护
商誉维护
庆典活动组织
企业文化活动
企业形象设计
办公礼仪
参与各类社会活动的专业性和权威性
客户服务水平的提升;
紧急事件的圆满处理;
其它方面。

4.9.资产的保密期限
4.9.1.硬件类、软件类信息资产的保密期限为“五年”。

4.9.2.信息类资产的保密期限原则性规定为：“公司机密”和“公司保密”类至少为五年，“内部公开”类至少为三年。

国家有明确规定的依国家相关规定，如会计档案的保存期限；各机构对于管理档案等资料的保密期限另有规定的，依相关规定，但保密期限不得少于原则性规定期限。

4.9.3.在保密期限内的信息类资产，当客观环境发生变化或因商业目的，不再需要继续保持较高密级或不需要再保密时，
经公司管理层或授权的部门书面批准（纸质或电子文档均可）后，可以提前解密，解密后，密级为"外部公开"；但国家有明确规定不能提前解密的按国家相关规定办理。

信息类资产的保密期限开始时间，如有特别注明生效时间的，为注明的生效时间；如无特别注明，需要批准的文档的生效时间为最后批准人的批准时间，不需要批准的文档生效时间为文档编写人的编写完成时间。

5. 支持文件
6. 相关文件
7. 记录的保存
8. 文件拟制/修订记录。