信息资产及分级管理程序

信息资产分类分级流程下载温馨提示:该文档是我店铺精心编制而成，希望大家下载以后，能够帮助大家解决实际的问题。

文档下载后可定制随意修改，请根据实际需要进行相应的调整和使用，谢谢!并且，本店铺为大家提供各种各样类型的实用资料，如教育随笔、日记赏析、句子摘抄、古诗大全、经典美文、话题作文、工作总结、词语解析、文案摘录、其他资料等等，如想了解不同资料格式和写法，敬请关注!Download tips: This document is carefully compiled by theeditor. I hope that after you download them,they can help yousolve practical problems. The document can be customized andmodified after downloading,please adjust and use it according toactual needs, thank you!In addition, our shop provides you with various types ofpractical materials,such as educational essays, diaryappreciation,sentence excerpts,ancient poems,classic articles,topic composition,work summary,word parsing,copy excerpts,other materials and so on,want to know different data formats andwriting methods,please pay attention!信息资产分类分级流程是对组织内的信息资产进行分类和分级的过程，以便更好地管理和保护这些资产。

XXXXXX软件有限公司人性化科技提升业绩信息资产分类分级管理程序目录1.目的和范围 (2)2.引用文件 (2)3.职责和权限 (3)4.信息资产的分类分级 (3)4.1信息资产的分类 (3)4.2信息资产的分级管理 (4)4.3信息资产分类指导 (5)5.信息分级标识 (5)5.1分级标识编号 (5)5.2公司绝密、机密信息定义 (6)5.3各密级知晓范围 (6)5.4分级标识编号可作为分级标识使用 (7)6.公司秘密信息使用管理 (8)6.1涉密信息的保管 (8)6.2涉密信息的访问限制 (9)6.3涉密信息的使用 (10)6.4涉密信息发送 (12)6.5涉密信息的废弃处置 (13)7.保密原则 (14)1.目的和范围为降低公司重要资产因遗失、损坏、篡改、外泄等事件带来的潜在风险，这些风险将对公司的信誉、经营活动、经济利益等造成较大或重大损失，需要规范信息资产保护方法和管理要求，特制订本管理制度。

本规定适用于本公司信息资产的安全管理，适用对象为本公司员工和所有外来人员。

特殊岗位或特殊人员，另有规定的从其规定。

公司信息资产是指一切关系公司安全和利益，在保护期内只限一定范围内人员知悉、操作、维护的事物、文档、项目、数据等资源。

2.引用文件1)下列文件中的条款通过本规定的引用而成为本规定的条款。

凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励各部门研究是否可使用这些文件的最新版本。

凡是不注日期的引用文件，其最新版本适用于本标准。

2)GB/T 22080-2016/ISO/IEC 27001:2013 信息技术-安全技术-信息安全管理体系要求3)GB/T 22081-2016/ISO/IEC 27002:2013 信息技术-安全技术-信息安全管理实施细则4)《备份管理规定》5)《访问控制程序》6)《文件控制程序》3.职责和权限本管理规定作为全公司范围信息类资产的最低管理要求，各部门或各项目组，均可以根据客户要求，添加补充策略，并在本部门、本项目组内实施，与本规定一起，作为信息安全管理的工作指南。

信息资产识别、分类和管理的相关技术和流程第一章总则第一条本规定适用于全公司信息资产的管理。

第二条本规定是为加强对本公司信息资产的管理，保障信息资产安全，防止信息资产损毁、误用和非授权访问，确保信息资产的保密性、完整性和可用性，特制订本规定。

第三条本规定适用于本公司针对信息资产进行分级分类保护以及相应的管理活动。

第二章组织与职责第四条系统管理员：负责对本公司信息化资产的日常管理。

第五条信息办安全员：负责对本公司信息资产的分级分类以及相应的安全管理和监督。

第三章管理规定第一节信息资产分类第六条所有信息资产都应指定资产责任人，并由资产责任人负责进行相关资产的识别、统计、分类、分级和实施相应的保护措施，需从安全责任划分资产所有者（即资产责任人）、维护者以及使用者，并填写《信息资产登记表》。

第七条信息资产按形式不同可以分为五类：数据和文档资产、软件资产、实物资产、人员资产和服务资产。

其中数据和文档资产主要包括业务数据和记录、各类管理制度、管理文档、办公文档以及外来的数据文件等。

具体如下：（一）数据和文档资产：通常包括各种电子档：业务数据、客户数据、配置文件、记录数据（日志、审计记录）、管理文件（策略、流程文件、操作手册等）、商务文件（合同、协议等）以及外来数据文件等。

也包括以实物方式存在的资产：各类电子数据的归档、打印件、书面管理文件、业务报表、包含重要商业成果的文件，还有胶片等。

（二）软件资产：各种系统软件、应用软件和工具软件，包括操作系统、数据库应用程序、网络软件、业务系统程序等，这些软件资产负责处理、存储或传输各类信息。

（三）实物资产：与业务相关的IT物理设备，包括计算机（工作站和服务器等）和网络通信设备、磁盘、装置、环境等，这些实物资产容纳着软件和数据文件。

（四）人员资产：承担某项与业务活动相关责任的角色和职位。

例如普通用户、系统管理员、信息办安全员等，这些人员与各类数据、软件和实物资产的操作直接相关。

信息系统安全分级管理1目的为有效保护 xxx内信息中心的信息资产，有效管理、使用、传递、存储及处理各类信息，通过适当的分类方法将信息划分为不同的保护等级,明确保护要求,确保其受到适当级别的保护,保证信息的安全，特制定本管理程序。

2职责信息中心为本院信息分类及管理工作的管理部门，负责：1)制定信息分类管理办法及措施；2)对各类关键信息进行备案；3)负责牵头查处相关部门的失、泄、窃密事件。

3管理规范3.1信息的分类根据信息在本单位信息化管理中的重要程度,考虑信息在机密性,完整性和可用性的综合影响,将信息划分为:关键信息、重要信息及一般信息。

3.1.1关键信息：为本院关键信息，如果遭受破坏或泄露会使导致关键信息系统故障或难以恢复，造成本院经济利益、公众信誉受到重大损害。

3.1.2重要信息：为本院重要信息，如果遭受破坏或泄露会导致重要业务系统故障或难以恢复，造成日常工作遭受损害、干扰和影响，本院经济利益、公众信誉受到一定损害。

3.1.3一般信息：为本院一般信息，如果遭受破坏或泄露不会使日常工作遭受损害，但不宜向外部公开的信息。

3.1.4信息载体是指记载有信息或数据的纸类、电磁类及其它媒体（软盘、硬盘、光盘、磁带等）。

信息的分类、必须按分类的定义和划分要求，对信息进行分类、标识及管理。

3.2信息的标识3.2.1信息在确定级别后，应做好标识。

3.2.2我院信息化管理部门仅对关键、重要信息进行标识。

3.2.3信息系统数据类、信息系统配置类信息的标识在所在系统设备的资产识别表中体现。

3.2.4文档类信息的标注方法为：关键信息用“G”、重要信息用“Z”标识，字体使用仿宋、三号黑体。

3.2.5文档类信息的标注位置应在封面、眉头或首页的右上角进行分类标注，或者标注在包装的明显处。

3.3信息的保管3.3.1关键信息1)纸制的重要信息必须落实专人保管并存放于上锁的箱或柜中，有条件的应存放于保险柜中；2)电子（以软盘、光盘、U盘，移动硬盘等媒介存储）的关键信息应设置访问权限，有条件的考虑加密存储，并视同纸制档案进行管理；3)存储在服务器中的关键信息，必须落实相应的保密安全措施、访问权限控制措施，未采取安全保密措施的不得与互联网连接，特权帐号口令必须分段管理及双因素认证。

第一章总则第一条为加强我单位信息资产安全管理，确保信息安全，依据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》等相关法律法规，结合我单位实际情况，制定本制度。

第二条本制度适用于我单位所有信息资产，包括但不限于信息系统、网络设备、存储设备、移动存储设备、数据等。

第三条信息资产安全管理工作应遵循以下原则：1. 预防为主，防治结合；2. 安全责任到人，明确分工；3. 技术与管理相结合；4. 依法依规，持续改进。

第二章信息资产分类与分级第四条信息资产根据其重要性、敏感性、影响范围等因素进行分类和分级。

第五条信息资产分类：1. 核心资产：涉及国家安全、公共利益、重大社会影响的资产；2. 重要资产：涉及单位关键业务、重要职能的资产；3. 一般资产：除核心资产和重要资产外的其他资产。

第六条信息资产分级：1. 特级：对国家安全、公共利益、重大社会影响具有特别重要性的资产；2. 一级：对国家安全、公共利益、重大社会影响具有重要性的资产；3. 二级：对国家安全、公共利益、重大社会影响有一定重要性的资产；4. 三级：对国家安全、公共利益、重大社会影响影响较小的资产。

第三章信息资产安全管理制度第七条信息资产安全管理制度包括：1. 信息资产安全管理制度体系；2. 信息资产安全风险评估与控制；3. 信息资产安全防护措施；4. 信息资产安全事件处理；5. 信息资产安全教育与培训；6. 信息资产安全监督检查。

第八条信息资产安全管理制度体系：1. 制定信息资产安全管理制度；2. 明确信息资产安全管理组织架构及职责；3. 建立信息资产安全管理制度评审、修订机制。

第九条信息资产安全风险评估与控制：1. 定期开展信息资产安全风险评估；2. 根据风险评估结果，制定相应的安全防护措施；3. 对重要信息资产实施重点监控。

第十条信息资产安全防护措施：1. 物理安全防护：确保信息资产物理安全，防止信息资产丢失、损坏、被窃取；2. 网络安全防护：加强网络安全防护，防止网络攻击、入侵、病毒感染；3. 数据安全防护：对重要数据实施加密、备份等措施，防止数据泄露、篡改；4. 信息系统安全防护：定期对信息系统进行安全检查、漏洞修复，确保信息系统安全稳定运行。

资产管理程序1目的为规范资产的识别和分级、标识和处理、以及生命周期管理,并对组织资产、交付服务的资产实现保护，特制定本规定。

2范围2.1本规定适用于组织资产、交付服务的资产管理，包括但不只限于资产识别及使用授权管理、信息分类和标记管理、资产分配和归还管理、信息介质使用处理及介质传递管理。

2.2本规定适用于信息安全管理体系范围内资产的所有者、管理者和使用者。

3术语1.1资产指对组织具有价值的信息或资源，是安全策略保护的对象，资产的类型有基本资产和支持性资产。

3.2基本资产包括信息、业务过程或活动。

4.3支持性资产包括软件、硬件、网络、场所、人员和组织。

5.4资产责任人是指使用资产并对该资产负有管理责任的人或实体。

4组织和职责4.1资产使用部门的职责如下：4.1.1识别本部门所有的全部资产；4.1.2对本部门的资产进行风险评估；4. 1.3选择并实施保护本部门资产的控制措施；5. 1.4指定资产责任人；4. 1.5制定本部门的资产使用规划。

4.2信息安全管理部门的职责如下：4. 2.1制定资产分类、编码、标识规范；4. 2.2制定资产风险评估方法和接受标准；4. 2.3指导各部门执行资产管理和风险评估；6. 2.4定期开展内部资产安全检查和评审。

4.3运维服务部门的职责如下：负责对用于交付服务的资产进行管理，确保满足服务要求，以及相关策略、标准、法律法规和合同要求的义务以及这些义务如何在SMS和服务中得到履行。

5资产使用管理5.1应识别所有资产及其属性，形成资产管理文件。

5.2资产的识别应遵从如下原则：7.2.1相互独立原则：识别出的资产应没有概念上的重合；5.2.2颗粒适度原则：指所识别资产的颗粒度既能满足进行各项管理工作的要求，又符合相互独立原则；5.2.3完全穷尽原则：应识别信息安全管理体系范围内的所有资产。

5.3资产分类包括基本资产和支持性资产构成：5.3.1基本资产包括：信息、业务过程或活动；5.3.2支持性资产包括软件、硬件、网络、场所、人员和组织。

附录24信息资产安全管理制度目录1、目标 (3)2、资产分类 (3)3、信息资产使用控制 (3)信息资产管理1、目标为加强对医院信息资产的管理，保障信息资产安全，防止信息资产损毁、误用和非授权访问，确保信息资产的保密性、完整性和可用性，特制订本制度。

本规定适用于信息科及其他相关部门针对信息资产进行分级分类保护以及相应的管理活动。

2、资产分类所有信息资产都应指定资产责任人，并由资产责任人负责进行相关资产的识别、统计、分类、分级和实施相应的保护措施，需从安全责任划分资产所有者（或所有部门）、维护者以及使用者。

根据信息资产的CIA，将资产的重要程度为：重要、一般、非重要；对于新资产，资产负责人需根据资产CIA对每个资产进行分类。

3、信息资产使用控制一、实物资产的使用1. 实物资产的接收和发出●实物资产的接收和发出按固定资产管理方面的管理规定执行；●接收到新的信息资产后，由部门信息安全管理员对信息资产重要程度进行标识；2. 新增的硬件和与IT相关的环境设施在经过必要的安装、配置和性能调优后，才能并入医院的网络系统。

3. 需要对主干网络、主机、网络设备、安全设备和 UPS等重要环境设施的性能和运行状况进行日常监控和维护。

4. 控制的所有硬件类资产都应按照《办公区域安全管理制度》进行保护，机房内的设备要按照《机房安全管理制度》的规定进行保护。

5. 未经批准，资产不得随意移动位置或带出医院的物理安全区域。

二、软件类资产的使用1. 医院办公计算机不得使用未经批准的软件，系统软件应根据需要及时进行补丁更新；2. 计算机采取必要的措施防范病毒、木马和流氓软件等恶意程序；3. 采购软件类资产，要选择软件开发商，进行软件测试，必要时要进行原代码审查，以确保采购软件安全；4. 所有存储软件的介质应当妥善保存。

三、信息类资产的使用1. 信息资产的保密管理●对重要信息资产实施严格的安全与保密管理，防止系统数据的非法生成、变更、泄露、丢失与破坏；●一般及以上信息资产不得泄露，禁止外传；●重要信息资产的处理过程中，被批准使用数据人员以外的其它人员不应进入机房工作；处理结束后，应清除不能带走的本作业数据；妥善处理打印结果，任何记有重要信息的废弃物在处理前应进行粉碎；●各业务数据仅用于明确规定的目的，未经批准不得它用；●无正当理由和有关批准手续，不得查阅重要信息资产资料；经正式批件查阅数据时必须登记，并由查阅人签字；●重要信息资产不得以明码形式存储和传输；2. 信息类资产的访问控制管理●对信息资产的备份、恢复、转出、转入的权限都应严加控制。

信息资产管理制度1)职责信息中心1.负责检查数据资产的安全管理情况。

2.负责本文件的编制和管理；3.负责固定资产的管理，包括固定资产的采购、记录、变更、报废等；4.负责备品备件的出入库管理；5.负责对有形资产进行分类、分级和标记；6.负责对备品备件进行分类；7.在有形资产发生变更、报废或销毁时，负责检查资产中信息的处理情况。

8.负责检查台帐、信息系统中信息资产相关记录，并将记录情况纳入考核计划中。

各部门1.按资产的使用规则和限制，正确使用信息资产；2.在有形资产和备品备件发生变更、报废或销毁时，负责检查并向信息中心报告介质中____。

2)工作程序资产的分类分级1.资产分类分为关键资产和非关键资产：Ø关键资产。

对业务连续性和系统可用性影响大的资产(价格或价值较高的资产)。

Ø非关键资产。

对业务连续性和系统可用性影响小的资产(价格或价值较低的资产)。

资产的登记与标记1.信息中心对固定资产进行分类分级、登记，确定该资产的类型、用途、位置、格式、规格、价值等具体信息；2.信息中心根据发放的资产清单及设备标牌，对有形资产进行粘贴标记，各部门指定资产责任人，由资产责任人对所负责的资产进行保护；3.各部门在资产新增、更新、调拨、报废时，向信息中心提出需求，由信息安全领导小组审核，报主管领导批准后按照相关规定执行；4.信息中心定期检查有形资产的标记与使用情况，对资产丢失，标签缺损的情况进行记录，并纳入各部门考核；5.各部门对本部门管理的数据资产进行归类和统计，对电子文件采用统一样式的电子标记进行标识。

资产的使用与维护1.信息中心信息资产使用规范说明，包括使用授权、管理方式、操作方法、移动管理等，报信息安全领导小组备案。

2.各部门工作人员，包括雇员、承包方人员和第三方人员应明确到他们使用信息资产时的限制条件，应对信息资产的使用和管理负责。

3.各部门人员应确保在采用移动介质进行数据传输时，传输完毕应及时删除介质上保留的数据信息，对于只读介质，由本部门信息安全专员进行保存；4.各部门的存储介质在长期存储时，信息安全专员应确保本部门介质贮存地点应符合防火、防水、防震、防潮、防霉、防鼠害、防虫蛀、防静电、防磁等方面的安全要求，介质的存储要符合介质生产商对介质存储的要求；5.各部门定期对本部门存储介质中的数据进行备份和恢复测试，并进行测试记录，防止由于介质老化而导致的重要信息丢失；6.涉及国家____的信息通过移动介质进行存储时，各部门应参照国家有关规定执行。

信息资产管理制度随着信息化建设的不断推进，信息资产已成为企业不可或缺的重要组成部分。

为切实保障企业信息资产安全，提高信息化建设水平，建立完善的信息资产管理制度，已成为企业的迫切需求。

本文将介绍一份信息资产管理制度，以便企业借鉴参考。

一、制度目的本制度的目的是为了规范信息资产管理，提高信息安全保障水平，保护企业信息财产，确保企业信息系统的稳定和安全运行，促进企业健康有序发展。

二、制度适用范围本制度适用于企业的各类信息资产管理工作，除法律法规和政策法规有要求的特殊情况外，适用于全体员工、咨询顾问、承包商、合作伙伴等涉及信息资产管理工作的人员。

三、制度实施机构企业信息化部门负责本制度的执行，并每年开展信息资产管理体系的内部审核，督促全员落实。

同时，企业也可根据实际情况组建其他机构或部门，参与制度的执行和实施。

四、信息资产分类和分级1、信息资产的分类及分级根据不同的性质和用途，将公司信息资产分为内部资产和外部资产两类，分别采用机密、普通和开放3种级别进行分类。

2、信息资产的等级评定公司内部资产根据管理部门的建议和信息安全等级保护要求，由信息化部门评定，并根据机密程度、安全级别等因素，将其划分为不同的等级。

公司外部资产则由双方协商确定。

3、信息资产调整公司在进行信息资产管理的过程中，可能会存在信息资产的变动。

对于变更后的信息资产，需按照管理部门的建议，对原有等级进行调整。

五、信息资产的保护1、知识产权保护企业信息中包含了许多知识产权，如技术、文档、软件等，需对其进行保护。

信息化部门应制定专门的管理规范，遵守知识产权相关法律法规，保护企业知识产权。

2、常规保护措施需要对企业信息资产进行常规保护，包括信息备份、防火墙、杀毒软件、信息审计等，以确保信息的安全性和完整性。

3、入侵检测与攻击防范企业应定期对网络进行检测和分析，发现异常信息及时进行处理。

同时，应强化网络防范措施，加强网络的管理。

4、信息安全教育企业应加强对员工的信息安全意识教育，提升员工的安全意识。

25信息资产安全管理制度_管理流程制度信息资产安全管理制度是指为了保证企业的信息资产安全，规范信息资产管理行为而制定的一系列管理制度和流程。

下面将围绕信息资产安全管理制度的制定、实施、监督和改进等方面进行阐述。

一、信息资产安全管理制度的制定1.确定制度制定的目标和原则：明确信息资产安全管理制度的制定目标，如保护信息资产的机密性、完整性和可用性，防止信息泄露和被未经授权的访问。

制定原则包括合法性、合规性、综合性和可行性等。

2.制定信息资产分类及分级保护制度：根据信息的重要性和敏感程度，将信息资产划分为不同的等级，确定不同等级的保护措施。

3.制定信息资产安全责任制度：明确各级管理人员和员工在信息资产安全管理中的职责和权限，落实各级责任。

4.制定信息资产安全管理流程：明确信息资产的生命周期，包括信息采集、存储、传输和销毁等各环节的安全管理要求，确保信息资产在整个生命周期内的安全可控。

5.制定信息资产安全培训制度：培训员工关于信息资产安全的基本知识和操作规程，提高员工的信息安全意识和技能。

二、信息资产安全管理制度的实施1.落实制度责任：明确各级管理人员和员工的信息资产安全管理职责，并加强考核和监督，确保制度的落实。

2.定期进行安全评估和风险评估：通过对信息系统和信息资产的安全性进行评估和风险评估，及时发现和解决潜在的安全问题。

3.建立信息资产管理档案：对信息资产进行登记、备案和管理，包括信息资产的基本属性、责任人和使用情况等信息。

4.强化对外部威胁的防范：建立防火墙、入侵检测和反病毒等安全措施，防止外部恶意攻击和未经授权的访问。

5.建立信息资产备份和恢复机制：定期进行信息资产备份，确保备份的安全性和可用性，并建立信息恢复机制，以应对信息丢失和系统故障等突发情况。

三、信息资产安全管理制度的监督1.建立信息资产安全监督机制：成立信息资产安全管理委员会，由相关部门负责人和信息安全专家组成，对信息资产安全管理制度的实施进行监督。

XXX信息安全有限公司运行时信息资产安全分级管理制度文件编号：一、运行时可导致信息资产安全风险的因素分类及责任部门1、一级风险：直接导致服务器运行中断，介质损坏，信息资产大范围损坏的风险，造成严重经济损失。

由系统服务部承担安全管理责任。

主要原因有：•设备断电•存储介质故障∙感染病毒2、二级风险：直接导致信息资产被非法拷贝传播，信息系统停止运行等重大故障，造成较大的经济损失。

由系统服务部和各使用部门和研发部门共同承担安全管理责任。

主要原因有：•软件、系统、平台、数据库管理员密码泄露，非法登录，运行数据被修改。

•程序入侵•系统运行配置文件非法拷贝传播，使安全管控配置数据外泄。

•代码BUG和溢出漏洞•外部攻击3、三级风险：导致系统运行结果数据错误或业务数据被非法复制传播，造成一定的经济损失。

由系统维护部承担安全管理责任。

主要原因有：•业务管理员误操作•系统管理员误操作•操作人员帐号口令被窃。

二、各部门管理职责：1、系统服务部：1）须保证服务器配置了防火墙，只允许信息系统运行的最小资源开放。

2）须保证网络通畅、高效，有良好的系统运行环境。

3）对一级风险：a.房保证电源可靠性，双回供电或服务器增加UPS不间断电源。

b.执行变更管理流程前，对运行数据进行安全备份。

c.安装有效的防病毒软件，每周一次更新病毒库，在有严重病毒传播警告时，及时更新病毒库。

4）对二级风险：a.内部和外部网路及软硬件的弱点扫描至少每季度进行一次，在网络发生重大变更后，在应用程序和软件发布前、安装、升级后也需执行一次扫描检查。

b.网站应采取有效的数据保护、防钓鱼攻击等方面的安全防控措施，定期开展计算机病毒木马查杀、漏洞扫描、渗透性测试等。

c.须保证系统管理员密码符合《访问控制程序》中口令使用规定。

须保证系统管理员密码安全可靠保存。

d.每天须监控网络流量数据，发现流量异常，即刻查明原因。

按《信息安全事件管理程序》的要求执行相关事件处理流程。

第一章总则第一条为加强医院信息资产的管理，确保信息资产的安全、完整和有效利用，提高医院信息化管理水平，特制定本制度。

第二条本制度适用于医院所有信息资产，包括电子数据、纸质文件、软件、硬件等。

第三条医院信息资产管理制度遵循以下原则：（一）统一管理：医院信息资产实行统一管理，明确责任，确保信息资产的安全、完整和有效利用。

（二）分级管理：根据信息资产的重要性和敏感程度，实行分级管理，确保关键信息资产的安全。

（三）保密原则：严格执行国家有关保密法规，对涉及国家秘密、患者隐私等敏感信息，采取保密措施。

（四）安全可靠：加强信息资产的安全防护，确保信息资产不受到非法侵入、篡改、泄露等危害。

第二章组织与管理第四条医院设立信息资产管理委员会，负责医院信息资产管理的总体规划和决策。

第五条信息资产管理委员会下设信息资产管理部门，负责信息资产的日常管理工作。

第六条信息资产管理部门职责：（一）制定信息资产管理制度，组织实施并监督执行。

（二）对信息资产进行分类、登记、统计、归档、销毁等工作。

（三）组织开展信息资产的安全检查、风险评估和整改工作。

（四）对信息资产的购置、使用、维护、报废等环节进行监督管理。

（五）组织信息资产管理的培训和宣传教育工作。

第三章信息资产分类与编码第七条医院信息资产分为以下类别：（一）电子数据：包括患者病历、检查检验报告、财务数据、行政办公数据等。

（二）纸质文件：包括病历、处方、合同、会议记录等。

（三）软件：包括操作系统、应用软件、数据库等。

（四）硬件：包括计算机、服务器、网络设备等。

第八条医院信息资产实行统一编码，编码规则由信息资产管理部门制定。

第四章信息资产安全与保密第九条医院信息资产安全工作遵循以下要求：（一）加强网络安全防护，防止网络攻击、病毒感染等安全风险。

（二）加强数据备份和恢复，确保信息资产不因自然灾害、人为因素等原因造成损失。

（三）对重要信息资产实施物理隔离，防止非法访问。

第十条医院信息资产保密工作遵循以下要求：（一）严格执行国家保密法规，对涉及国家秘密、患者隐私等敏感信息，采取保密措施。

1目的本程序规定了本公司所采用的信息安全风险评估方法。

通过识别信息资产、风险等级评估，认知本公司的信息安全风险，在考虑控制成本与风险平衡的前提下选择合适控制目标和控制方式将信息安全风险控制在可接受的水平，保持本公司业务持续性发展，以满足本公司信息安全管理方针的要求。

2范围本程序适用于本公司信息安全管理体系（ISMS）范围内信息安全风险评估以及信息技术服务管理体系范围内的服务项目中的信息安全风险评估。

3术语和定义引用ISO27001:2013标准中的术语和定义。

4职责4.1成立风险评估小组信息安全管理委员会负责牵头成立风险评估小组。

4.2 策划与实施风险评估小组当体系、组织、业务、技术、环境等影响企业的重大事项发生变更、重大事故事件发生后，负责编制信息安全风险评估计划，确认评估结果，形成《信息安全风险评估报告》。

4.3 信息资产识别与风险评估活动各部门负责本部门使用或管理的信息资产的识别，并负责本部门所涉及的信息资产的具体安全控制工作。

4.3.1 各部门负责人负责本部门的信息资产识别。

4.3.2 综合部负责汇总、校对全公司的信息资产。

4.3.3 综合部负责风险评估的策划。

信息安全管理委员会负责进行第一次评估与再评估。

5程序5.1 风险评估前准备5.1.1 成立风险评估小组信息安全管理小组牵头成立风险评估小组，小组成员应包含信息安全重要责任部门的成员。

5.1.2 制定计划风险评估小组制定《信息安全风险评估计划》,下发各部门。

5.2 资产赋值5.2.1 部门赋值各部门风险评估小组成员识别本部门资产，并进行资产赋值。

5.2.2 赋值计算资产赋值的过程是对资产在保密性、完整性、可用性和法律法规合同上的达成程度进行分析，并在此基础上得出综合结果的过程。

5.2.3 保密性(C)赋值根据资产在保密性上的不同要求，将其分为五个不同的等级，分别对应资产在保密性上的应达成的不同程度或者保密性缺失时对整个组织的影响。

保密性分类赋值方法5.2.4 完整性(I)赋值根据资产在完整性上的不同要求，将其分为五个不同的等级，分别对应资产在完整性上的达成的不同程度或者完整性缺失时对整个组织的影响。

信息资产分级管理（完整资料）新疆汇和银行信息资产分级管理1. 信息资产分类鉴别为达到及维护组织资产的保护，应明确识别所有资产，并制作与维持所有重要资产的清单，与信息处理设施相关的所有信息及资产由信息科技管理小组指定管理者。

与信息处理设施相关的信息与资产。

计算机管理中心和会计核心算中心具体负责做好信息资产定期更新与维护信息资产清单，由信息科技管理小组统一控管，确保信息资产列表完整性。

信息资产依其性质不同，分为5类：人员、硬件、软件、电子数据、书面文件依序如下：人员：系指业务主管、承办人员、委外厂商、契约人员等。

硬件：系指网络设备、主机设备、通讯设备、环境设备等相关硬件设施。

例如：服务器主机、个人计算机、不断电设备等。

软件：系指自行开发或委外开发之应用系统程序、外购之软件包等。

例如：应用系统、操作系统、软件包、工具程序等。

电子数据：系指以电子形式存在之信息数据。

例如：网络设定数据、备份文件等。

书面文件：系指以纸本形式存在之文书数据、报表等相关信息。

例如：合同、规范、系统文件、用户手册、训练教材等。

所有资产经由资产分类，制成「信息资产列表」。

2. 信息资产价值鉴别为信息依其对组织的价值、法律要求、敏感性及重要性加以分类，价值鉴别准则依信息资产分类分别针对机密性、可用性、完整性，其评估标准如下：表1 人员类评估标准表2 硬件类评估标准表3 软件类评估标准表4 电子数据、书面文件类评估标准各资产价值为资产之机密性、完整性及可用性评估值取最大值；如以下式子：资产价值 = 机密性评估值 + 完整性评估值 + 可用性评估值。

各资产依资产价值数值分级；详如资产价值等级表表5 资产价值等级表3. 信息资产标示与处理依照组织所采用的分类法，发展与实作一套适当的信息标示与处置程序。

资产标示必须明确。

资产标示含资产风险等级并以颜色卷标区分。

硬件类资产标示依其价值等级并以颜色卷标区分。

高资产价值：指该资产价值最高，贴红色卷标。

信息资产管理制度随着信息技术的发展和普及，信息资产管理在企业管理中日益重要。

信息资产管理制度是为了保护企业的信息资产，确保其完整性、可靠性和可用性而建立的一套规章制度和管理流程。

信息资产管理制度涵盖了信息分类和分级、信息安全控制、风险评估和防护措施以及违规处罚等内容。

首先，信息资产管理制度要求对企业的信息进行分类和分级。

不同的信息具有不同的重要性和保密性，需要根据其价值确定相应的保护措施。

通常，可以将信息分为公开信息、内部信息和秘密信息三个级别。

公开信息是指可以对外公开的信息，一般不需要特别的安全控制。

内部信息是指仅限内部人员获取的信息，需要控制其外泄。

秘密信息是指对企业具有重要商业价值的信息，需要进行更加严格的保护措施。

通过对信息资产的分类和分级，企业可以更好地制定相应的安全措施，确保信息和数据的安全性。

其次，信息资产管理制度要求建立信息安全控制措施。

信息安全控制措施包括技术措施和管理措施两个方面。

技术措施是指采用各种技术手段对信息进行保护，包括网络安全、数据加密、访问控制等。

管理措施是指通过制定相应的规章制度和管理流程，对信息进行有效管理和监控。

例如，制定密码安全策略，规定密码长度和复杂度要求；建立访问控制机制，限制不同人员对不同信息的访问权限；定期对系统进行漏洞扫描和安全演练等。

通过科学合理的信息安全控制措施，企业能够有效降低信息泄露和安全风险。

进一步，信息资产管理制度要求进行风险评估和防护措施。

风险评估是指对企业信息资产存在的安全威胁和潜在风险进行全面评估和分析，并制定相应的防护措施。

风险评估应该综合考虑技术、管理和人为因素，量化和评估各种可能的风险，以便选择适当的防护措施。

防护措施可以包括物理安全措施、应急响应机制、员工培训等。

通过风险评估和防护措施，企业可以及时发现和应对存在的安全风险，保障信息资产的安全和可靠性。

最后，信息资产管理制度要求建立违规处罚制度。

信息资产管理制度明确了各种违规行为的定义和相应的处罚措施。