|
文件名稱
|
上(superior)海大(big)學信息資産分類及安全管理規定
|
版本:1.0
|
|
修訂曆史
|
|
版次
|
修訂内容
|
修訂人(people)
|
日期
|
|
1.0
|
新版發行
|
朱文浩
|
2017年11月15日
|
| |
|
|
|
| |
|
|
|
| |
|
|
|
| |
|
|
|
| |
|
|
|
| |
|
|
|
| |
|
|
|
| |
|
|
|
|
制作(do)簽核
|
|
拟定人(people)
|
日期
|
審核人(people)
|
日期
|
| |
|
|
|
上(superior)海大(big)學信息資産分類及安全管理規定
第一(one)章總則
第一(one)條本規定适用(use)于(At)上(superior)海大(big)學。
第二條本規定是(yes)爲(for)加強對本校信息資産的(of)管理,保障信息資産安全,防止信息資産損毀、誤用(use)和(and)非授權訪問,确保信息資産的(of)保密性、完整性和(and)可用(use)性,特制訂本規定。
第三條本規定适用(use)于(At)本校針對信息資産進行分級分類保護以(by)及相應的(of)管理活動。
第二章組織與職責
第四條系統管理員:負責對本IT資産的(of)日常管理。
第五條信息辦安全員:負責對本校信息資産的(of)分級分類以(by)及相應的(of)安全管理和(and)監督。
第三章管理規定
第一(one)節信息資産分類
第六條所有信息資産都應指定資産責任人(people),并由資産責任人(people)負責進行相關資産的(of)識别、統計、分類、分級和(and)實施相應的(of)保護措施,需從安全責任劃分資産所有者(即資産責任人(people))、維護者以(by)及使用(use)者,并填寫《信息資産登記表》。
第七條信息資産按形式不(No)同可以(by)分爲(for)五類:數據和(and)文檔資産、軟件資産、實物資産、人(people)員資産和(and)服務資産。其中數據和(and)文檔資産主要(want)包括業務數據和(and)記錄、各類管理制度、管理文檔、辦公文檔以(by)及外來(Come)的(of)數據文件等。具體如下:
(一(one))數據和(and)文檔資産:通常包括各種電子檔:業務數據、客戶數據、配置文件、記錄數據(日志、審計記錄)、管理文件(策略、流程文件、操作(do)手冊等)、商務文件(合同、協議等)以(by)及外來(Come)數據文件等。也包括以(by)實物方式存在(exist)的(of)資産:各類電子數據的(of)歸檔、打印件、書面管理文件、業務報表、包含重要(want)商業成果的(of)文件,還有膠片等。
(二)軟件資産:各種系統軟件、應用(use)軟件和(and)工具軟件,包括操作(do)系統、數據庫應用(use)程序、網絡軟件、業務系統程序等,這(this)些軟件資産負責處理、存儲或傳輸各類信息。
(三)實物資産:與業務相關的(of)IT物理設備,包括計算機(工作(do)站和(and)服務器等)和(and)網絡通信設備、磁盤、裝置、環境等,這(this)些實物資産容納着軟件和(and)數據文件。
(四)人(people)員資産:承擔某項與業務活動相關責任的(of)角色和(and)職位。例如普通用(use)戶、系統管理員、信息辦安全員等,這(this)些人(people)員與各類數據、軟件和(and)實物資産的(of)操作(do)直接相關。
(五)服務資産:安保(例如監控、門禁、保安等),環境服務(例如清潔),基礎保障(供水、供熱、供電),設備維護,通信服務(例如互聯網接入)。
第八條信息資産分級,根據各類信息資産在(exist)保密性C、完整性I和(and)可用(use)性A三個(indivual)方面所表現出(out)的(of)不(No)同的(of)重要(want)程度,劃分爲(for)三個(indivual)級别。從保密性角度,從高到(arrive)低分别爲(for):重要(want)敏感信息、一(one)般敏感信息和(and)公開:
(一(one))重要(want)敏感信息
(1)保密性:包含本校的(of)重要(want)秘密,其洩露會使本校的(of)安全和(and)利益受到(arrive)嚴重損害。
(2)完整性:完整性價值較高,未經授權的(of)修改或破壞會對本校造成重大(big)影響,對業務沖擊嚴重,較難彌補。
(3)可用(use)性:可用(use)性價值較高,合法使用(use)者對信息及信息系統的(of)可用(use)度達到(arrive)每天90%以(by)上(superior),或系統允許中斷時(hour)間小于(At)10分鍾。
(二)一(one)般敏感信息
(1)保密性:本校的(of)一(one)般性秘密,其洩露會使本校的(of)安全和(and)利益受到(arrive)損害。
(2)完整性:完整性價值中等,未經授權的(of)修改或破壞會對本校造成影響,對業務沖擊明顯,但可以(by)彌補。
(3)可用(use)性:可用(use)性價值中等,合法使用(use)者對信息及信息系統的(of)可用(use)度在(exist)正常工作(do)時(hour)間達到(arrive)70%以(by)上(superior),或系統允許中斷時(hour)間小于(At)30分鍾。
(三)公開
(1)保密性:可對社會公開的(of)信息,公用(use)的(of)信息處理設備和(and)系統資源等。
(2)完整性:完整性價值非常低,未經授權的(of)修改或破壞會對本校造成的(of)影響可以(by)忽略,對業務沖擊可以(by)忽略。
(3)可用(use)性:可用(use)性價值可以(by)忽略,合法使用(use)者對信息及信息系統的(of)可用(use)度在(exist)正常工作(do)時(hour)間低于(At)25%。
第二節信息資産的(of)敏感性标識
第十條紙質文檔的(of)敏感性标識
(一(one))紙質文檔的(of)敏感性标識采用(use)首頁标識方式;
(二)信息辦安全員對敏感紙質文檔進行分級和(and)标識;
(三)标識應放置在(exist)紙質文檔醒目處。
第十一(one)條電子信息的(of)敏感性标識
(一(one))電子文檔的(of)敏感性級不(No)應直接在(exist)文件模闆中注明;
(二)信息辦安全員負責在(exist)文檔中添加敏感性級别;
(三)電子文檔應該在(exist)文檔的(of)封面上(superior)标識其敏感性級别;
(五)電子表格模版應該在(exist)表格的(of)頁眉内标識其敏感性級别;
(六)存儲了(Got it)重要(want)敏感信息的(of)移動介質或備份介質(如優盤、移動存儲卡、磁盤、磁帶、光盤等),在(exist)條件允許的(of)情況下,應采用(use)蓋章或張貼敏感性标識不(No)幹貼等方式進行标識。
第十二條軟件類資産在(exist)條件允許的(of)情況下,應該在(exist)關鍵界面上(superior)添加敏感性标識電子标簽。
第十三條針對硬件設備、環境設施等實物資産,原則上(superior)不(No)進行敏感性标識,僅标識相應設備的(of)基本序列等信息,所屬密級應記錄在(exist)相應文檔。
第三節信息資産的(of)使用(use)
第十四條實物資産的(of)使用(use)
(一(one))資産的(of)接收和(and)發出(out)
(1)接收到(arrive)新的(of)信息資産後,由信息辦安全員對信息資産敏感性進行标識。
(2)信息資産發生(born)變化時(hour)(新增、删除、變更),信息辦安全員應及時(hour)更新《資産使用(use)登記表》。
(二)新增的(of)硬件和(and)與IT相關的(of)環境設施在(exist)經過必要(want)的(of)安裝、配置和(and)性能調優後,才能并入本校的(of)網絡系統。
(三)需要(want)對網絡、主機、網絡設備、安全設備等重要(want)環境設施的(of)性能和(and)運行狀況進行日常監控和(and)維護。
(四)機房内的(of)設備要(want)按照《機房安全管理制度》的(of)規定進行保護。
第十五條軟件類資産的(of)使用(use)
(一(one))在(exist)本校範圍内不(No)得使用(use)未經批準的(of)軟件,系統軟件應根據需要(want)及時(hour)進行補丁更新。
(二)本校采取必要(want)的(of)措施防範病毒、木馬和(and)流氓軟件等惡意程序。
(三)采購軟件類資産,要(want)選擇軟件開發商,進行軟件測試,必要(want)時(hour)要(want)進行源代碼審查,以(by)确保采購軟件安全。
(四)所有貯存軟件的(of)介質應當妥善保存,并登記入冊。
第十六條服務資産的(of)使用(use)要(want)防止資源的(of)浪費和(and)節約能源,如占用(use)網絡帶寬進行與工作(do)無關的(of)下載,下班後不(No)關電腦、照明、空調等的(of)電源。
第十七條嚴禁師生(born)在(exist)未經允許的(of)情況下,利用(use)任何手段将敏感信息在(exist)學校以(by)外的(of)場所進行傳輸和(and)使用(use)。
第十八條所有敏感信息的(of)使用(use)應受到(arrive)嚴格控制,文件的(of)接收人(people)應按信息的(of)使用(use)目的(of)、使用(use)範圍進行正确使用(use),未經許可不(No)得向他(he)人(people)公開和(and)傳播。
第十九條敏感信息如無特别規定,原則上(superior)應在(exist)使用(use)後及時(hour)進行回收、歸檔及保存或者實施廢棄。廢棄含敏感信息的(of)文件時(hour),紙類媒體可用(use)粉碎的(of)方法,其它媒體可用(use)初始化或破壞媒體的(of)方法處理。
第二十條應定期對信息資産進行風險評估,如果信息資産CIA各屬性值發生(born)變化。應按照新的(of)屬性值進行對應的(of)處理和(and)保護。
第四節資産的(of)保密期限
第二十一(one)條實物類、軟件類信息資産的(of)保密期限爲(for)"五年"。
第二十二條信息類資産的(of)保密期限原則性規定爲(for):"重要(want)敏感信息至少爲(for)五年,一(one)般敏感信息至少爲(for)三年。國(country)家有明确規定的(of)依國(country)家相關規定,如會計檔案的(of)保存期限;
第二十三條在(exist)保密期限内的(of)信息類資産,當客觀環境發生(born)變化或因商業目的(of),不(No)再需要(want)繼續保持較高密級或不(No)需要(want)再保密時(hour),經授權或書面批準(紙質或電子文檔均可)後,可以(by)提前解密,解密後,密級爲(for)"公開使用(use)";但國(country)家有明确規定不(No)能提前解密的(of)按國(country)家相關規定辦理。
第二十四條信息類資産的(of)保密期限開始時(hour)間,如有特别注明生(born)效時(hour)間的(of),爲(for)注明的(of)生(born)效時(hour)間;如無特别注明,需要(want)批準的(of)文檔的(of)生(born)效時(hour)間爲(for)最後批準人(people)的(of)批準時(hour)間,不(No)需要(want)批準的(of)文檔生(born)效時(hour)間爲(for)文檔編寫人(people)的(of)編寫完成時(hour)間。
第四章附則
第二十五條本規定自下發之日起實施。