意昂3体育平台信息資產分類及安全管理規定

第一章總則

第一條本規定適用於意昂3体育平台📂🙇。

第二條本規定是為加強對本校信息資產的管理，保障信息資產安全，防止信息資產損毀、誤用和非授權訪問🛀🏻，確保信息資產的保密性🙅🏽‍♂️、完整性和可用性，特製訂本規定。

第三條本規定適用於本校針對信息資產進行分級分類保護以及相應的管理活動。

第二章組織與職責

第四條系統管理員：負責對本IT資產的日常管理👩🏿‍🚀。

第五條信息辦安全員🏃‍♂️：負責對本校信息資產的分級分類以及相應的安全管理和監督。

第三章管理規定

第一節信息資產分類

第六條所有信息資產都應指定資產責任人，並由資產責任人負責進行相關資產的識別、統計、分類、分級和實施相應的保護措施，需從安全責任劃分資產所有者（即資產責任人）、維護者以及使用者，並填寫《信息資產登記表》。

第七條信息資產按形式不同可以分為五類：數據和文檔資產、軟件資產、實物資產、人員資產和服務資產。其中數據和文檔資產主要包括業務數據和記錄👴🏽、各類管理製度🕳、管理文檔🙏🏼、辦公文檔以及外來的數據文件等。具體如下🙎‍♀️：

（一）數據和文檔資產：通常包括各種電子檔：業務數據🙋🏼‍♂️、客戶數據🌐、配置文件、記錄數據（日誌、審計記錄）、管理文件（策略、流程文件🥐🩷、操作手冊等）、商務文件（合同、協議等）以及外來數據文件等。也包括以實物方式存在的資產：各類電子數據的歸檔🍂、打印件、書面管理文件👵、業務報表、包含重要商業成果的文件，還有膠片等👩🏿‍🦱。

（二）軟件資產✋🏻：各種系統軟件、應用軟件和工具軟件，包括操作系統🏋🏽、數據庫應用程序👰🏿、網絡軟件、業務系統程序等🧑‍🔧，這些軟件資產負責處理、存儲或傳輸各類信息🔘。

（三）實物資產：與業務相關的IT物理設備，包括計算機（工作站和服務器等）和網絡通信設備👃🏽🌗、磁盤🈷️🚣🏽‍♀️、裝置、環境等，這些實物資產容納著軟件和數據文件。

（四）人員資產：承擔某項與業務活動相關責任的角色和職位🤹🏽‍♀️🤹🏽。例如普通用戶🍨、系統管理員☝🏽、信息辦安全員等，這些人員與各類數據🈴、軟件和實物資產的操作直接相關。

（五）服務資產🙋🏻：安保（例如監控🍕、門禁🎣、保安等），環境服務（例如清潔）💂🏿➝，基礎保障（供水、供熱🧝🏼‍♂️、供電），設備維護🫅🏿，通信服務（例如互聯網接入）🙋🏻‍♀️。

第八條信息資產分級，根據各類信息資產在保密性C、完整性I和可用性A三個方面所表現出的不同的重要程度▪️，劃分為三個級別。從保密性角度🧨，從高到低分別為：重要敏感信息📿、一般敏感信息和公開:

（一）重要敏感信息

(1)保密性：包含本校的重要秘密💣，其泄露會使本校的安全和利益受到嚴重損害。

(2)完整性：完整性價值較高⚉，未經授權的修改或破壞會對本校造成重大影響🎿，對業務沖擊嚴重，較難彌補。

(3)可用性：可用性價值較高，合法使用者對信息及信息系統的可用度達到每天90%以上，或系統允許中斷時間小於10分鐘。

（二）一般敏感信息

(1)保密性：本校的一般性秘密，其泄露會使本校的安全和利益受到損害🫥。

(2)完整性：完整性價值中等🧎‍➡️，未經授權的修改或破壞會對本校造成影響，對業務沖擊明顯，但可以彌補。

(3)可用性：可用性價值中等，合法使用者對信息及信息系統的可用度在正常工作時間達到70%以上🆖，或系統允許中斷時間小於30分鐘。

（三）公開

(1)保密性👩🏻‍🏭：可對社會公開的信息🦹🏿，公用的信息處理設備和系統資源等。

(2)完整性🛗：完整性價值非常低，未經授權的修改或破壞會對本校造成的影響可以忽略🙊，對業務沖擊可以忽略🔥🧜🏽。

(3)可用性🧑🏿‍💼😶：可用性價值可以忽略🙇🏼‍♂️，合法使用者對信息及信息系統的可用度在正常工作時間低於25%🫅🏼。

第二節信息資產的敏感性標識

第十條紙質文檔的敏感性標識

（一）紙質文檔的敏感性標識采用意昂3体育標識方式🏄🏼👨‍🦲；

（二）信息辦安全員對敏感紙質文檔進行分級和標識；

（三）標識應放置在紙質文檔醒目處。

第十一條電子信息的敏感性標識

（一）電子文檔的敏感性級不應直接在文件模板中註明👦🏼；

（二）信息辦安全員負責在文檔中添加敏感性級別；

（三）電子文檔應該在文檔的封面上標識其敏感性級別；

（五）電子表格模版應該在表格的頁眉內標識其敏感性級別🔍👱🏻‍♀️；

（六）存儲了重要敏感信息的移動介質或備份介質（如優盤、移動存儲卡、磁盤、磁帶、光盤等），在條件允許的情況下💧，應采用蓋章或張貼敏感性標識不幹貼等方式進行標識。

第十二條軟件類資產在條件允許的情況下，應該在關鍵界面上添加敏感性標識電子標簽🏄🏼。

第十三條針對硬件設備、環境設施等實物資產，原則上不進行敏感性標識，僅標識相應設備的基本序列等信息，所屬密級應記錄在相應文檔。

第三節信息資產的使用

第十四條實物資產的使用

（一）資產的接收和發出

(1)接收到新的信息資產後👨🏽‍💻，由信息辦安全員對信息資產敏感性進行標識。

(2)信息資產發生變化時（新增💆🏽‍♀️、刪除🤶🏿、變更），信息辦安全員應及時更新《資產使用登記表》。

（二）新增的硬件和與IT相關的環境設施在經過必要的安裝、配置和性能調優後🦸‍♀️，才能並入本校的網絡系統🙋🏿‍♀️。

（三）需要對網絡📪、主機🪓、網絡設備👱🏻🙅、安全設備等重要環境設施的性能和運行狀況進行日常監控和維護。

（四）機房內的設備要按照《機房安全管理製度》的規定進行保護。

第十五條軟件類資產的使用

（一）在本校範圍內不得使用未經批準的軟件，系統軟件應根據需要及時進行補丁更新。

（二）本校采取必要的措施防範病毒、木馬和流氓軟件等惡意程序🏊🏽‍♂️。

（三）采購軟件類資產，要選擇軟件開發商，進行軟件測試🐲，必要時要進行源代碼審查，以確保采購軟件安全。

（四）所有貯存軟件的介質應當妥善保存🤽👨‍⚕️，並登記入冊🙆🏻‍♂️。

第十六條服務資產的使用要防止資源的浪費和節約能源，如占用網絡帶寬進行與工作無關的下載🐠，下班後不關電腦、照明、空調等的電源🧞‍♀️。

第十七條嚴禁師生在未經允許的情況下，利用任何手段將敏感信息在學校以外的場所進行傳輸和使用🩶。

第十八條所有敏感信息的使用應受到嚴格控製，文件的接收人應按信息的使用目的、使用範圍進行正確使用，未經許可不得向他人公開和傳播🐮。

第十九條敏感信息如無特別規定🤹🏽‍♂️，原則上應在使用後及時進行回收、歸檔及保存或者實施廢棄🧑🏼‍🔧。廢棄含敏感信息的文件時，紙類媒體可用粉碎的方法💡，其它媒體可用初始化或破壞媒體的方法處理。

第二十條應定期對信息資產進行風險評估，如果信息資產CIA各屬性值發生變化。應按照新的屬性值進行對應的處理和保護👮🏿‍♀️🧛🏿‍♀️。

第四節資產的保密期限

第二十一條實物類、軟件類信息資產的保密期限為"五年"。

第二十二條信息類資產的保密期限原則性規定為🤘🏽："重要敏感信息至少為五年，一般敏感信息至少為三年。國家有明確規定的依國家相關規定，如會計檔案的保存期限；

第二十三條在保密期限內的信息類資產，當客觀環境發生變化或因商業目的🙎🏼‍♂️，不再需要繼續保持較高密級或不需要再保密時📃，經授權或書面批準（紙質或電子文檔均可）後，可以提前解密👩🏻‍🦯‍➡️，解密後🕜，密級為"公開使用"；但國家有明確規定不能提前解密的按國家相關規定辦理🧑🏽‍🌾。

第二十四條信息類資產的保密期限開始時間，如有特別註明生效時間的，為註明的生效時間✌🏼；如無特別註明🦠👩🏻‍🦰，需要批準的文檔的生效時間為最後批準人的批準時間，不需要批準的文檔生效時間為文檔編寫人的編寫完成時間。

第四章附則

第二十五條本規定自下發之日起實施。