信息资产安全管理规定
总则
为规范科技发展部信息资产的分类分级管理，维护信息资产清单、明确信息资产管理责任以及对信息资产进行标识，确保信息资产得到适当的保护，特制定本规定。
本规定适用于科技发展部职责范围内的所有信息资产以及信息资产管理的相关活动。
组织与职责
科技发展部风险管理组负责组织各部门对信息资产进行识别、分类、分级、标识和定期评审，建立并维护科技发展部整体信息资产清单，监督各部门在信息资产安全管理方面的工作。
各部门安全组负责监督和检查本部门在信息资产安全管理方面的工作。
各部门负责对职责范围内的信息资产进行识别，建立并维护本部门的信息资产清单，对信息资产进行分类、分级和标识；部门负责人作为本部门信息资产的第一责任人，负责对本部门信息资产的管理提出要求，落实部门内员工对资产的管理要求，每年对照信息资产清单组织一次对本部门信息资产的核查以及对本部门信息资产管理活动的自查。
部门负责人作为本部门信息资产的第一责任人，负责落实本部门内信息资产的直接责任人，信息资产的直接责任人负责对信息资产的生成、传递、使用和销毁进行管理。
全体员工作为各类信息资产的日常使用者，必须遵守本规定的要求，保护工作中所涉及的一切信息资产。
信息资产分类标准
信息资产按其形式的不同分为五大类：数据资产、实物资产、软件资产、人员资产和服务资产（资产分类见附件二）。
数据资产：包括电子和实物两种形式的生产数据、配置文件、记录、管理文件和商务文件以及外来数据和文档等；
实物资产：包括用于支撑IT服务的核心生产设备以及具有辅助功能的基础环境设施和办公设备等；
软件资产：包括生产和办公所需的操作系统、数据库、中间件、应用软件和工具软件等；
人员资产：承担特定岗位相关责任的人员；
服务资产：包括支撑生产和办公的基础性服务、网络服务、设备维保服务、技术支持服务等。
信息资产分级标准
根据信息资产在保密性、完整性和可用性（CIA属性）三个方面所表现出的重要程度，将信息资产的CIA属性分别划分为5个级别，从高到低依次赋值为5到1；信息资产价值由信息资产的CIA属性综合计算得到（计算公式详见附件三）。
保密性。人员资产的保密性级别按照人员最高能够访问或存取的其他信息资产级别来定义；其他信息资产的保密性级别按照其泄露后对科技发展部的影响程度来定义（保密性分级标准详见附件四）。
完整性。人员资产的完整性级别按照人员未正确执行其职务内容时对科技发展部正常运作的影响程度来定义；其他信息资产的完整性级别按照信息资产未经授权的修改对科技发展部造成的影响程度来定义（完整性分级标准详见附件五）。
可用性。人员资产的可用性级别按照要维持科技发展部正常运作能够容忍该人员突然缺席的时间长短来定义；其他信息资产可用性级别按照合法使用者对其可用度的要求高低来定义（可用性分级标准详见附件六）。
信息资产的保护
各部门应对信息资产进行规范的命名。
各部门应对信息资产进行分类、分级、标识和记录，形成信息资产清单；清单应包括信息资产的类型、名称、位置、CIA属性、责任人等基本信息；信息资产清单应每年进行一次审核和更新。
各部门应根据信息资产的保密性级别对信息资产进行必要的标识（标识规则详见附件七）。
全体员工必须遵守科技发展部信息资产的安全管理策略，基于信息资产在保密性、完整性和可用性的不同要求，采取必要的管理和技术手段，对信息资产进行保护（保护策略详见附件七）。
全体员工应在适当的区域内进行数据资产的流转（流转区域控制策略详见附件八）。
员工一旦发现违反信息资产保护策略以及数据和文档流转区域控制策略的情况，必须立即通知本部门负责人及科技发展部，提醒采取补救措施。
科技发展部风险管理组应每年组织各部门进行一次信息资产的评审，根据业务变化对信息资产的CIA属性进行调整，确保其保持最新；当CIA属性发生变化后，必须按照新