河南水利与环境职业学院信息资产分类及安全管理规定
第一章. 总 则
第一条. 本规定是为加强对学校信息资产的管理,保障信息资产安全,防止信息资产损毁、误用和非授权访问,确保信息资产的保密性、完整性和可用性,特制订本规定。
第二条. 本规定适用于信息化管理办公室针对信息资产进行分级分类保护以及相应的管理活动。
第三条. 信息化管理办公室负责对IT资产的日常管理。
第二章. 管理规定
第一节. 信息资产分类
第四条. 所有信息资产都应指定资产责任人,并由资产责任人负责进行相关资产的识别、统计、分类、分级和实施相应的保护措施,需从安全责任划分资产所有者(即资产责任人)、维护者以及使用者。
第五条. 信息资产按形式不同可以分为五类:数据和文档资产、软件资产、实物资产、人员资产和服务资产。其中数据和文档资产主要包括业务数据和记录、各类管理制度、管理文档、办公文档以及外来的数据文件等。具体如下:
(一)数据和文档资产:通常包括各种电子档:业务数据、客户数据、配置文件、记录数据(日志、审计记录)、管理文件(策略、流程文件、操作手册等)、商务文件(合同、协议等)以及外来数据文件等。也包括以实物方式存在的资产:各类电子数据的归档、打印件、书面管理文件、业务报表、包含重要商业成果的文件,还有胶片等。
(二)软件资产:各种系统软件、应用软件(OA、业务软件等)和工具软件(网管软件、安全软件等),包括操作系统、数据可应用程序、网络软件、办公应用系统、业务应用系统等,这些软件资产负责处理、存储或传输各类信息。
(三)实物资产:与业务相关的 IT 物理设备,包括计算机(工作站和服务器等)和网络通信设备、磁介质(磁带和磁盘等)、装置、环境等,这些实物资产容纳着软件和数据文件。
(四)人员资产:承担某项与业务活动相关责任的角色和职位。例如普通用户、系统管理员、网络管理员、有合同约束的保安、清洁员等,这些人员与各类数据、软件和实物资产的操作直接相关。
(五)服务资产:安保(例如监控、门禁、保安等),环境服务(例如清洁),基础保障(供水、供热、供电),设备维护,通信服务(例如互联网接入)。
信息资产分级,根据各类信息资产在保密性、完整性和可用性三个方面所表现出的不同的重要程度,划分为三个级别,从高到低分别为:阶段性保密、内部使用、和公开:
(一)阶段性保密:单位在特定时间段内的一般性秘密,如果泄露会使单位的安全和利益收到损害,对业务冲击明显,但可以弥补。
(二)内部使用:仅能在单位内部或在单位内某一部门内公开的信息,向外扩散有可能对单位的利益造成轻微损害,对业务冲击轻微,容易弥补。
(三)公开:可对社会公开的信息,公用的信息处理设备和系统资源等,对业务冲击可以忽略。
第二节. 信息资产的敏感性标识
第六条. 电子信息的敏感性标识
(一)电子文档应该在文档的封面上标识其敏感性级别;
(二)电子文档所有者或管理者负责添加敏感性级别,部门信息安全管理员负责指导;
(三)电子文档敏感性级别分为“阶段性保密”、“内部使用”和“公开”三种。
第七条. 存储了阶段性保密级信息的移动介质或备份介质(如U盘、移动硬盘、磁带、光盘等),在条件允许的情况下,应采用盖章或张贴敏感性标识不干贴等方式进行标识。
第八条. 针对硬件设备、环境设施等实物资产,原则上不进行敏感性标识,仅标识相应设备的基本序列等信息,所属密级应记录在相应文档。
第三节. 信息资产的使用
第九条. 严禁员工在未经允许的情况下,利用任何手段将涉密文件及内容制作成电子形式在办公自动化系统内或以其他方式进行传输。
第十条. 阶段性保密级信息的使用应受到严格控制,文件的接收人应按信息的使用目的、使用范围进行正确使用,未经许可不得向他人公开和传播。
第十一条. 阶段性保密级,如无特别规定,原则上应在使用后及时进行回收、归档及保存或者实施废弃。废弃阶段性保密级文件时,纸类媒体可用粉碎的方法,其它媒体可用初始化或破坏媒体的方法处理。
第四节. 信息资产的保密期限
第十二条. 信息类资产的保密期限规定为:“阶段性保密”为特定的时间段,“内部使用”类至少为一年。国家有明确规定的依国家相关规定。
第十三条. 在保密期限内的信息类资产,当客观环境发生变化,不再需要保密时,经授权或书面批准(纸质或电子文档均可)后,可以提前解密,解密后,密级为“公开使用”;但国家有明确规定不能提前解密的按国家相关规定办理。
第十四条. 信息类资产的保密期限开始时间,如有特别注明生效时间的,为注明的生效时间;如无特别注明,需要批准的文档的生效时间为最后批准人的批准时间,不需要批准的文档生效时间为文档编写人的编写完成时间。
第三章. 附 则
第十五条. 本管理办法由河南水利与环境职业学院信息化管理办公室负责解释和修改。
第十六条. 本管理办法自公布之日起施行。
