|
文件名称
|
上海大学信息资产分类及安全管理规定
|
版本:1.0
|
|
修订历史
|
|
版次
|
修订内容
|
修订人
|
日期
|
|
1.0
|
新版发行
|
朱文浩
|
2017年11月15日
|
| |
|
|
|
| |
|
|
|
| |
|
|
|
| |
|
|
|
| |
|
|
|
| |
|
|
|
| |
|
|
|
| |
|
|
|
|
制作签核
|
|
拟定人
|
日期
|
审核人
|
日期
|
| |
|
|
|
上海大学信息资产分类及安全管理规定
第一章总则
第一条本规定适用于上海大学。
第二条本规定是为加强对本校信息资产的管理,保障信息资产安全,防止信息资产损毁、误用和非授权访问,确保信息资产的保密性、完整性和可用性,特制订本规定。
第三条本规定适用于本校针对信息资产进行分级分类保护以及相应的管理活动。
第二章组织与职责
第四条系统管理员:负责对本IT资产的日常管理。
第五条信息办安全员:负责对本校信息资产的分级分类以及相应的安全管理和监督。
第三章管理规定
第一节信息资产分类
第六条所有信息资产都应指定资产责任人,并由资产责任人负责进行相关资产的识别、统计、分类、分级和实施相应的保护措施,需从安全责任划分资产所有者(即资产责任人)、维护者以及使用者,并填写《信息资产登记表》。
第七条信息资产按形式不同可以分为五类:数据和文档资产、软件资产、实物资产、人员资产和服务资产。其中数据和文档资产主要包括业务数据和记录、各类管理制度、管理文档、办公文档以及外来的数据文件等。具体如下:
(一)数据和文档资产:通常包括各种电子档:业务数据、客户数据、配置文件、记录数据(日志、审计记录)、管理文件(策略、流程文件、操作手册等)、商务文件(合同、协议等)以及外来数据文件等。也包括以实物方式存在的资产:各类电子数据的归档、打印件、书面管理文件、业务报表、包含重要商业成果的文件,还有胶片等。
(二)软件资产:各种系统软件、应用软件和工具软件,包括操作系统、数据库应用程序、网络软件、业务系统程序等,这些软件资产负责处理、存储或传输各类信息。
(三)实物资产:与业务相关的IT物理设备,包括计算机(工作站和服务器等)和网络通信设备、磁盘、装置、环境等,这些实物资产容纳着软件和数据文件。
(四)人员资产:承担某项与业务活动相关责任的角色和职位。例如普通用户、系统管理员、信息办安全员等,这些人员与各类数据、软件和实物资产的操作直接相关。
(五)服务资产:安保(例如监控、门禁、保安等),环境服务(例如清洁),基础保障(供水、供热、供电),设备维护,通信服务(例如互联网接入)。
第八条信息资产分级,根据各类信息资产在保密性C、完整性I和可用性A三个方面所表现出的不同的重要程度,划分为三个级别。从保密性角度,从高到低分别为:重要敏感信息、一般敏感信息和公开:
(一)重要敏感信息
(1)保密性:包含本校的重要秘密,其泄露会使本校的安全和利益受到严重损害。
(2)完整性:完整性价值较高,未经授权的修改或破坏会对本校造成重大影响,对业务冲击严重,较难弥补。
(3)可用性:可用性价值较高,合法使用者对信息及信息系统的可用度达到每天90%以上,或系统允许中断时间小于10分钟。
(二)一般敏感信息
(1)保密性:本校的一般性秘密,其泄露会使本校的安全和利益受到损害。
(2)完整性:完整性价值中等,未经授权的修改或破坏会对本校造成影响,对业务冲击明显,但可以弥补。
(3)可用性:可用性价值中等,合法使用者对信息及信息系统的可用度在正常工作时间达到70%以上,或系统允许中断时间小于30分钟。
(三)公开
(1)保密性:可对社会公开的信息,公用的信息处理设备和系统资源等。
(2)完整性:完整性价值非常低,未经授权的修改或破坏会对本校造成的影响可以忽略,对业务冲击可以忽略。
(3)可用性:可用性价值可以忽略,合法使用者对信息及信息系统的可用度在正常工作时间低于25%。
第二节信息资产的敏感性标识
第十条纸质文档的敏感性标识
(一)纸质文档的敏感性标识采用首页标识方式;
(二)信息办安全员对敏感纸质文档进行分级和标识;
(三)标识应放置在纸质文档醒目处。
第十一条电子信息的敏感性标识
(一)电子文档的敏感性级不应直接在文件模板中注明;
(二)信息办安全员负责在文档中添加敏感性级别;
(三)电子文档应该在文档的封面上标识其敏感性级别;
(五)电子表格模版应该在表格的页眉内标识其敏感性级别;
(六)存储了重要敏感信息的移动介质或备份介质(如优盘、移动存储卡、磁盘、磁带、光盘等),在条件允许的情况下,应采用盖章或张贴敏感性标识不干贴等方式进行标识。
第十二条软件类资产在条件允许的情况下,应该在关键界面上添加敏感性标识电子标签。
第十三条针对硬件设备、环境设施等实物资产,原则上不进行敏感性标识,仅标识相应设备的基本序列等信息,所属密级应记录在相应文档。
第三节信息资产的使用
第十四条实物资产的使用
(一)资产的接收和发出
(1)接收到新的信息资产后,由信息办安全员对信息资产敏感性进行标识。
(2)信息资产发生变化时(新增、删除、变更),信息办安全员应及时更新《资产使用登记表》。
(二)新增的硬件和与IT相关的环境设施在经过必要的安装、配置和性能调优后,才能并入本校的网络系统。
(三)需要对网络、主机、网络设备、安全设备等重要环境设施的性能和运行状况进行日常监控和维护。
(四)机房内的设备要按照《机房安全管理制度》的规定进行保护。
第十五条软件类资产的使用
(一)在本校范围内不得使用未经批准的软件,系统软件应根据需要及时进行补丁更新。
(二)本校采取必要的措施防范病毒、木马和流氓软件等恶意程序。
(三)采购软件类资产,要选择软件开发商,进行软件测试,必要时要进行源代码审查,以确保采购软件安全。
(四)所有贮存软件的介质应当妥善保存,并登记入册。
第十六条服务资产的使用要防止资源的浪费和节约能源,如占用网络带宽进行与工作无关的下载,下班后不关电脑、照明、空调等的电源。
第十七条严禁师生在未经允许的情况下,利用任何手段将敏感信息在学校以外的场所进行传输和使用。
第十八条所有敏感信息的使用应受到严格控制,文件的接收人应按信息的使用目的、使用范围进行正确使用,未经许可不得向他人公开和传播。
第十九条敏感信息如无特别规定,原则上应在使用后及时进行回收、归档及保存或者实施废弃。废弃含敏感信息的文件时,纸类媒体可用粉碎的方法,其它媒体可用初始化或破坏媒体的方法处理。
第二十条应定期对信息资产进行风险评估,如果信息资产CIA各属性值发生变化。应按照新的属性值进行对应的处理和保护。
第四节资产的保密期限
第二十一条实物类、软件类信息资产的保密期限为"五年"。
第二十二条信息类资产的保密期限原则性规定为:"重要敏感信息至少为五年,一般敏感信息至少为三年。国家有明确规定的依国家相关规定,如会计档案的保存期限;
第二十三条在保密期限内的信息类资产,当客观环境发生变化或因商业目的,不再需要继续保持较高密级或不需要再保密时,经授权或书面批准(纸质或电子文档均可)后,可以提前解密,解密后,密级为"公开使用";但国家有明确规定不能提前解密的按国家相关规定办理。
第二十四条信息类资产的保密期限开始时间,如有特别注明生效时间的,为注明的生效时间;如无特别注明,需要批准的文档的生效时间为最后批准人的批准时间,不需要批准的文档生效时间为文档编写人的编写完成时间。
第四章附则
第二十五条本规定自下发之日起实施。