信息资产的分类和标识管理办法

XXXXXX软件有限公司人性化科技提升业绩信息资产分类分级管理程序目录1.目的和范围 (2)2.引用文件 (2)3.职责和权限 (3)4.信息资产的分类分级 (3)4.1信息资产的分类 (3)4.2信息资产的分级管理 (4)4.3信息资产分类指导 (5)5.信息分级标识 (5)5.1分级标识编号 (5)5.2公司绝密、机密信息定义 (6)5.3各密级知晓范围 (6)5.4分级标识编号可作为分级标识使用 (7)6.公司秘密信息使用管理 (8)6.1涉密信息的保管 (8)6.2涉密信息的访问限制 (9)6.3涉密信息的使用 (10)6.4涉密信息发送 (12)6.5涉密信息的废弃处置 (13)7.保密原则 (14)1.目的和范围为降低公司重要资产因遗失、损坏、篡改、外泄等事件带来的潜在风险，这些风险将对公司的信誉、经营活动、经济利益等造成较大或重大损失，需要规范信息资产保护方法和管理要求，特制订本管理制度。

本规定适用于本公司信息资产的安全管理，适用对象为本公司员工和所有外来人员。

特殊岗位或特殊人员，另有规定的从其规定。

公司信息资产是指一切关系公司安全和利益，在保护期内只限一定范围内人员知悉、操作、维护的事物、文档、项目、数据等资源。

2.引用文件1)下列文件中的条款通过本规定的引用而成为本规定的条款。

凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励各部门研究是否可使用这些文件的最新版本。

凡是不注日期的引用文件，其最新版本适用于本标准。

2)GB/T 22080-2016/ISO/IEC 27001:2013 信息技术-安全技术-信息安全管理体系要求3)GB/T 22081-2016/ISO/IEC 27002:2013 信息技术-安全技术-信息安全管理实施细则4)《备份管理规定》5)《访问控制程序》6)《文件控制程序》3.职责和权限本管理规定作为全公司范围信息类资产的最低管理要求，各部门或各项目组，均可以根据客户要求，添加补充策略，并在本部门、本项目组内实施，与本规定一起，作为信息安全管理的工作指南。

公司信息资产安全管理制度一、总则为有效防范信息安全风险，确保公司信息资产的安全、完整与可用，特制定本制度。

本制度适用于公司内所有涉及信息处理、存储及传输的部门与个人，旨在通过规范管理，提升公司整体的信息安全防护能力。

二、信息资产分类与评估公司应根据信息资产的重要性和敏感性进行分类，通常分为公开级、内部级、秘密级和机密级四个等级。

每个等级的信息资产应定期进行风险评估，包括识别潜在的威胁、漏洞以及可能造成的影响，并据此制定相应的保护措施。

三、物理安全管理物理安全是信息安全的基础。

公司应确保重要信息资产所在区域的物理安全，包括对数据中心、服务器室等关键区域实施访问控制、监控摄像以及防火、防水等灾害防护措施。

四、网络安全管理网络是信息传输的主要渠道，也是安全威胁频发的区域。

公司应部署防火墙、入侵检测系统、病毒防护软件等网络安全设施，并定期更新维护。

同时，对于远程访问、无线网络等特殊场景，应加强认证和加密措施。

五、数据安全管理数据是信息资产的核心。

公司应对敏感数据进行加密处理，并实施备份策略以防数据丢失。

对于数据的传输和共享，应采取严格的权限控制和审计跟踪，确保数据的安全使用。

六、应用系统安全应用系统是信息处理的平台。

公司应对所有应用系统进行安全设计，包括用户身份验证、权限分配、操作日志记录等功能。

对于第三方服务和应用，应进行安全审查和风险评估。

七、人员安全管理人是信息安全的关键因素。

公司应对员工进行安全意识教育和培训，明确各自的安全责任。

对于涉及敏感信息资产的工作人员，应进行背景审查，并签订保密协议。

八、应急响应与事故处理公司应建立应急响应机制，制定详细的安全事故响应流程。

一旦发生安全事件，能够迅速采取措施，减少损失，并对事件进行彻底调查，总结经验教训，防止类似事件再次发生。

九、监督与审计公司应定期对信息资产安全管理制度执行情况进行监督和审计。

通过内部审计或邀请第三方机构进行审计，确保各项安全措施得到有效执行。

精心整理信息资产管理办法第一章总则第一条目的：本管理办法旨在对XX银行（以下简称我行）内部重要的信息资产进行分类分级，以便对信息的分发和流转进行恰当的控制，确保信息资产的保密性、完整性和可用性能够实现。

第六条全体员工理解并遵守本管理办法定义的内容。

第七条本管理办法定义以下相关角色，履行相应的信息安全管理、执行和审核职责。

（一）责任人，信息资产的创建者，或者主要用户所在组织、单位或部门的负责人。

信息资产责任人对所属信息资产负直接责任。

其主要职责包括：1、理解和各种信息访问活动相关的安全风险；2、根据我行信息密级划分标准来确定所属信息资产的级别；3、根据我行相关策略确定并检查信息访问权限；4、针对所属信息资产提出恰当的保护措施。

（二）保管者，受信息资产责任人委托，对信息资产进行日常的管理，维护已经建立的保护措施。

资产保管者通常是我行的IT部门或者代表（例如系统管理员）。

第八条信息资产分类信息资产责任人应该指导进行相关资产的调查，资产调查以业务流程为线索，包括各类输入、中间环节和输出信息，所有这些信息资产都为业务流程的运转提供支持。

信息资产可以分为以下几大类。

（一）数据文件，通常包括各种电子档：业务数据、客户数据、配置文件、记录数据（日志、审计记录）、管理文件（策略、流程文件、操作手册等）、商务文件（合同、协议等）。

也包括以实物方式存在的资产：各类电子数据的归档、打印件、书面管理文件、业务报表、包含重要商业成果的文件，还有胶片等。

（二）软件资产，各种系统软件、应用软件（OA、业务软件等）和工具软件（开不是以资产的经济价值来衡量，而是由资产在这三个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的。

安全属性达成程度的不同将使资产具有不同的价值，而资产面临的威胁、存在的脆弱性、以及已采用的安全措施都将对资产安全属性的达成程度产生影响。

（一）保密性赋值根据资产在保密性上的不同要求，将其分为五个不同的等级，分别对应资产在保密性上应达成的不同程度或者保密性缺失时对整个组织的影响。

XXXXX信息资产管理规定版权说明本文件中包含的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属XXXXX所有。

未经许可任何人不得将此文件中的任何部分以任何形式进行复制，储存和传播。

版本记录目录第一章总则 (4)第二章信息产品及设备采购 (4)第三章信息产品及设备入库及领用 (5)第四章信息资产分类和标识 (6)第五章信息资产的日常使用与维护 (6)第六章信息资产报废 (9)第七章附则 (9)第八章附件 (10)附件一采购申请 (10)附件二到货验收单 (11)附件三设备领用单 (12)附件四设备接收单 (13)附件五信息资产分类表 (14)附件六信息资产分级标准图 (15)附件七信息资产日常使用与保护图 (16)附件八设备报废申请 (19)第一章总则第一条为有利于XXXXX信息资产的采购、分类、识别、维护和使用，加强信息资产的安全管理，特制订本规定。

第二条本规定适用于XXXXX信息资产的管理。

第三条XXXXX系统运行部是本部门信息资产的管理部门。

第二章信息产品及设备采购第四条信息产品及设备需求部门制定产品需求的技术参数，采购过程参照《公司采购管理办法》相关规定，属于集中采购的提交《采购申请》（详见附件一）到集采中心；属于零星采购的将《采购申请》提交到系统运行部相关负责人处，审批后成立招标小组，由专人负责产品招标。

第五条招标小组依据信息产品及设备选购原则完成招标并确定服务商。

第六条信息产品及设备的选型选购，应符合以下要求：1.设备选购过程坚持公开、公平、公正的原则；2.符合清算所业务应用需求，适应业务发展需要；3.符合国家相关管理规定、清算所技术标准、安全标准和设备配备定额标准，与现有清算所设备兼容，著名品牌、质量好、价格和使用成本合理，售后服务良好，优先考虑选购国家政策扶持采购的产品；安全产品应符合国家有关规定，密码技术产品应符合国家密码主管部门的要求。

4.符合专款专用、勤俭节约、追踪问效等财务、审计管理要求。

信息资产管理制度名称第一章总则第一条为了规范和管理单位所拥有的信息资产，提高信息资产的保密性、完整性和可用性，保护信息资产的安全性，保障信息资产在使用、管理过程中的合法性和透明度，制定本制度。

第二条本制度适用于本单位所有拥有的信息资产管理工作，包括信息系统、网络设备、存储设备、数据库等。

第三条信息资产是指与本单位业务活动相关的信息资源，包括但不限于机密文件、个人信息、财务数据等。

第四条信息资产管理是指对信息资产进行识别、分类、评估、监控、保护和维护的活动。

第五条所有使用、管理信息资产的相关人员都应当遵守本制度的规定，认真履行信息资产管理的责任。

第二章信息资产管理的组织架构第六条本单位应当设立信息资产管理部门，负责全面统一管理信息资产的工作。

第七条信息资产管理部门的主要职责包括：（一）制定信息资产管理规定，明确信息资产管理的标准和流程；（二）对信息资产进行识别和分类，建立信息资产清单；（三）评估信息资产的风险，制定相应的保护措施；（四）监控信息资产的使用情况，及时发现并处理安全事件；（五）定期对信息资产进行安全审计和评估，确保信息资产安全的持续性。

第八条信息资产管理部门应当建立健全的信息安全管理制度，明确信息资产管理的责任与义务，规范信息资产的使用和管理行为。

第九条信息资产管理部门应当配备专业技术人员，进行相关培训和考核，提高信息资产管理的专业水平和技术能力。

第十条信息资产管理部门与其他部门之间应当建立密切的联系和协作机制，共同维护信息资产的安全和稳定。

第三章信息资产管理的基本原则第十一条信息资产管理应当以风险管理为导向，根据信息资产的价值和风险程度，采取相应的管理措施。

第十二条信息资产管理应当遵循合法合规原则，依法保护信息资产的合法权益，确保信息资产的合法性和透明度。

第十三条信息资产管理应当遵循科学、规范、保密、可追溯的原则，保证信息资产的完整性和保密性。

第十四条信息资产管理应当遵循持续改进的原则，根据信息资产的实际情况，定期进行风险评估和安全检查，不断改进和完善管理措施。

XXXX有限公司信息资产安全管理规定第一章总则第一条为规范XXXX有限公司信息科技资产的采购、分类、识别、维护和使用流程，加强信息资产的安全管理，根据《信息安全技术信息系统安全等级保护基本要求》（GB/T22239-2008），结合XXXX有限公司实际，制定本规定。

第二条本规定适用于XXXX有限公司信息资产的管理。

第三条信息化管理部门是XXXX有限公司信息科技资产的管理部门。

第二章信息产品及设备采购第四条信息产品及设备需求部门制定产品需求的技术参数，采购过程参照XXXX有限公司产品采购相关规定，提交《采购申请》（详见附件一）到采购中心，由专人负责产品招标。

第五条招标小组依据信息产品及设备选购原则完成招标并确定服务商。

信息产品及设备的选型选购，应符合以下要求：第六条设备选购过程坚持公开、公平、公正的原则；第七条符合XXXX有限公司业务应用需求，适应业务发展需要；(一)符合国家及监管机构相关管理规定、XXXX有限公司技术标准、安全标准和设备配备定额标准，与现有XXXX有限公司设备兼容，著名品牌、质量好、价格和使用成本合理，售后服务良好，优先考虑选购国家政策扶持采购的产品；安全产品应符合国家有关规定，密码技术产品应符合国家密码主管部门的要求。

(二)符合专款专用、勤俭节约、追踪问效等财务、审计管理要求。

第八条信息产品及设备到货后，信息化管理部门相关技术人员配合需求部门完成到货验收并填写《到货验收单》（详见附件二）。

第九条所有设备到货后均需进行严格检测，凡购置的设备均应在测试环境下经过连续72小时以上的单机运行测试和联机48小时的应用系统兼容性运行测试。

严禁将未经测试验收或验收不合格的设备上线。

第三章信息产品及设备入库及领用第十条到货验收完成后，信息化管理部门资产管理人员将设备编码、用标签打印机打印贴签、入库登记，并更新库房资产清单。

第十一条信息产品或设备需求部门首先填写《设备领用单》（详见附件三），经本部门负责人批准后，提交到资产管理人员审批。

资产标识管理办法1.引言资产标识管理办法旨在规范公司内部资产标识的管理流程，确保资产标识的准确性和一致性。

本管理办法适用于公司的所有资产标识。

2.资产标识定义资产标识是指公司为了识别和区分不同的资产而采用的标识符号。

包括但不限于：资产编号：用于唯一标识一个资产。

资产标签：在资产上黏贴的标签，包含资产信息和编号。

3.资产标识管理流程3.1 资产标识申请资产管理部门负责接收和审核资产标识申请。

员工申请资产标识时，需填写资产标识申请表，包括资产信息、申请理由等。

3.2 资产标识分发资产管理部门根据审核结果，将已批准的资产标识分发给申请人。

分发时需记录资产标识的发放日期和接收人。

3.3 资产标识使用申请人在使用资产时，需将资产标识正确粘贴或固定在资产上，并妥善保管。

3.4 资产标识更新当资产信息有变动或资产标识损坏时，申请人需及时更新资产标识。

更新资产标识时，需填写资产标识更新申请表，并提交给资产管理部门审核。

3.5 资产标识注销当资产报废或转移时，申请人需向资产管理部门申请注销资产标识。

资产管理部门审核后，将注销的资产标识从资产标识系统中删除。

4.资产标识管理责任4.1 资产管理部门责任负责制定和管理资产标识管理办法。

负责审核资产标识申请和更新申请。

负责分发和注销资产标识。

定期进行资产标识管理的检查和评估。

4.2 员工责任遵守资产标识管理办法。

确保资产标识的准确性和一致性。

及时更新资产标识。

妥善保管和使用资产标识。

5.结论通过制定和执行资产标识管理办法，可以提高资产管理的效率和准确性，降低资产丢失和误用的风险。

1 目的规范信息化资产的管理2 范围公司所有信息化资产3 信息化资产的分类有形信息化资产，无形信息化资产,各类资产附件3。

1 有形信息化资产：语音交换设备、信息网络设备、信息安全设备、UPS集中供电系统、服务器、监控系统、卫星电视接收系统、公共广播系统、PC、笔记本电脑、投影设备、数码影相设备、信息化管理各类工具、测试仪表、各类信息系统附件配件及耗材、其他各类办公自动化设备；3。

2 无形信息化资产：ERP系统、套料与PDM系统、网络服务器操作系统软件、OA系统、文档处理系统、矢量图形设计软件、3D图形设计软件、其他各类软件。

4 信息化资产的购置:4.1 随信息化项目引进因信息化项目需要，需引进信息化资产的，按照信息化项目设计方案在和有关项目服务（供应)商确认有关技术要求及须购置的信息化资产清单，作为项目合同的附件，根据项目合同要求投入信息化资产，由信息化管理组组织信息化资产的验收。

4.2 按需直接购置因管理或生产需要，需直接购置信息化资产的，由申请人填写“采购申请单"交申请人所在部门部长确认后,提交信息化管理组审核，如资产价值超过2000元或低于2000元的数码影象设备等须报公司总经理批准后通知信息化管理组采购，资产价值少于2000元的耗材、配件一般由信息化管理组直接下单采购。

5 信息化资产的标识与入库：购入或随项目引进的信息化资产在投入使用前须验收入库，验收时由信息化管理员核对所购（引进）资产是否与项目合同或采购申请一致，并进行外观、性能测试，经验收确认合格后方可入库,信息化管理员须及时将信息化资产登记信息化资产台帐,价值超过2000元或低于2000元的数码影相设备等须进行信息化资产标识，一般信息化资产在显目位置标识设备编号，重要信息化资产须标明编号、投入时间、资产名称等信息。

软件资产一般在安装原盘封面进行标识。

配件与耗材一般不作标识.6 信息化资产的使用与保管：6.1 由项目引进的信息化资产在验收后由信息化管理组保管，信息化管理组落实内部保管责任人；按需直接购置的信息化资产验收入库后，由信息化管理组负责各类信息化资产的配置及交付使用，电脑设备的配置按《电脑设备软、硬件配置管理办法》、各类电脑设备(PC与笔记本电脑）的使用人须与公司签订“台式电脑保管协议”或“笔记本电脑借用合同"，信息化管理组据此登记台式电脑与笔记本电脑台帐,其他信息化资产在领用时登记“信息化资产领用登记表"并予签字确认.6。

信息资产的分类和标识管理办法1 总则1.1 为加强信息资产的管理，掌握信息资产状态，明确信息资产的使用方法、保存方式，提高信息资产的利用率，特制订本办法。

1.2 本办法适用于信息系统的信息资产的管理。

2 定义2.1 信息资产是指在生产、经营和管理过程中，所需要的以及所产生的支持（或指导、影响）生产、经营和管理一切有用的数据和资料等非财务的无形资产，具体包括：2.1.1 域名、网络拓扑结构、网络IP 地址及分配规则、标准。

2.1.2 投资开发的（或具有独立知识产权的）程序软件的源代码、信息系统软件、外购软件的使用许可证、系统平台、基础数据等。

2.1.3 系统配置数据、系统授权信息、口令文件、密钥及算法文件、系统说明文档、用户手册等系统基础数据。

2.1.4 各类专业系统的数据库、数据文件、业务报表等系统业务数据。

2.1.5 各类专业系统的运行记录、变更记录等系统运行数据以及应急计划。

2.1.6 各类专业的规划、方案与策略、业务流程、业务规范、操作规程等管理数据。

2.1.7 技术图纸、技术文档、工程资料等项目数据。

2.1.8 其他纸介质的重要办公文件（信件）、图象、影象、录音和照片等非结构化资料。

2.2 信息资产的密级。

根据信息的敏感度不同，信息资产的密级分为机密信息、秘密信息、对内公开信息、对外公开信息，各信息资产密级见附件1。

2.3 信息资产的存放形式。

根椐信息的存储介质不同，信息资产的存放形式分为电子介质、纸介质以及其他介质，各信息资产存放形式见附件2。

3 信息资产访问控制权限信息资产的访问控制权限见附件3。

4 信息资产数据保护信息资产的数据保护要求见附件4。

5 信息资产管理与使用5.1 信息资产的存放应立足于管理和安全考虑，尽量以电子介质的形式存储。

5.2 信息资产存放地点要求5.2.1 对外公开信息的存放地点没有要求。

5.2.2 对内公开的电子信息存放在内部网络中的文件服务器，非电子信息存放在室内文件柜中，并有明显的分类标识。

信息资产管理制度文件编号：编制：审核：批准：版本：V1.0发布日期：第一章：总则第一条对信息系统资产实施适当的分类与分级，建立资产的清单并加以维护，使用信息资产受到有效的保护。

第二条使用范围：适用于XX单位信息资产的管理。

第三条职责：由XX单位信息管理部门负责此规定的制定、执行。

第二章：资产分类第四条资产表现形式分类：XX单位信息资产分为五大类，包括：1、信息资产：数据、数据文件、合同和协议、系统文档、研究信息、用户手册、培训教材、各类规章制度和操作规程、归档信息、业务信息等。

2、软件资产：操作系统、数据库管理系统、业务系统、办公软件和源程序等。

3、硬件资产：网络设备（交换机、路由器、防火墙、入侵检测系统等）、计算机设备（服务器、个人办公终端设备）、存储设备、传输线路、保障设备（UPS、机房空调、门禁等）、打印机等。

4、服务：计算和通信服务、公用设施，例如：供暖、照明、能源、空调等。

5、无形资产，如组织的声誉和形象。

注释：个人办公终端设备、服务和无形资产不在本管理制度范围之内。

第三章：资产标识第五条硬件资产标识：硬件资产中属于固定资产的由综合办公室统一进行标识，使用股份公司固定资产标签。

不属于固定资产的不用标识。

第六条软件资产标识1、软件资产有原件（盘）由使用人负责保管并自行标识；2、软件资产为电子档案的，不用标识，证书、序列号等标志信息由使用人负责保管；3、信息系统管理软件的文档（安装软件、安装手册、操作手册、维护手册、开发文档等）由设备技术部安排专人管理，自行标识。

第四章：信息资产管理第七条信息资产采购管理：1、硬件资产采购：由信息系统使用部门提出申请，设备技术部提供参数、性能要求，按采购管理规定执行。

2、软件资产采购：信息系统所需操作系统、应用软件、数据库、安全软件、工具软件等的采购必须由所需部门提出申请，对所需软件的用途、型号等进行说明，由设备技术部提供技术参数要求，按XX单位采购管理规定执行。