企业信息资产管理制度与检查单

企业信息资产管理制度与检查单一、制度适用范围与核心目标本制度适用于各类企业内部信息资产的全生命周期管理，覆盖数据、文档、系统、设备、介质等各类信息资产形态，旨在规范信息资产的识别、分类、存储、使用、传递、备份及销毁等环节，保证信息资产的安全性、完整性与可用性，降低信息泄露、丢失或损坏风险，同时满足法律法规及企业内部合规管理要求。核心目标包括：建立统一的信息资产台账、明确管理责任、规范操作流程、强化风险管控，为企业业务连续性提供支撑。二、信息资产管理全流程操作步骤（一）制度制定与职责分工成立专项小组：由企业分管领导（副总）牵头，IT部门、法务部、行政部、业务部门负责人组成信息资产管理专项小组，明确各部门职责：IT部门：负责信息资产的技术防护（如系统安全、存储加密、访问控制）及技术支持；法务部：负责信息资产分类分级标准制定及合规性审核；行政部：负责纸质文档、存储介质等物理资产的登记与管理；业务部门：负责本部门信息资产的梳理、申报及日常使用维护。制定分类分级标准：参考《信息安全技术信息安全分类分级指南》（GB/T22240-2020），结合企业实际，将信息资产分为“机密”“内部”“公开”三级，明确各级资产的标识、管理要求及访问权限。发布制度文件：经专项小组审核、总经理（总）审批后，正式发布《企业信息资产管理制度》，并组织全员培训。（二）信息资产识别与登记资产梳理：各部门对本部门产生、使用、存储的信息资产进行全面梳理，填写《信息资产梳理清单》，内容包括：资产名称、类型（数据/文档/系统/设备/介质）、所属部门、责任人、存储位置（物理/逻辑）、密级、使用状态（在用/闲置/报废）、创建日期等。资产编码：IT部门对梳理后的信息资产赋予唯一编码（如“ZC-部门代码-年份-序号”），保证每项资产可追溯。台账建立：IT部门基于梳理清单及编码，建立《企业信息资产总台账》，动态更新资产变动情况（新增、变更、报废）。（三）信息资产日常管理存储管理：机密级数据：须存储在加密服务器或专用加密设备中，禁止在本地终端或普通U盘存储；内部级数据：存储在指定共享服务器或部门内部系统，访问需通过权限审批；公开级数据：可存储在公共文件服务器，但需避免涉密信息混存。访问控制：遵循“最小权限”原则，员工仅可访问职责所需的信息资产；敏感系统访问需采用“账号+密码+动态验证码”多因素认证；员工离职或岗位变动时，IT部门须及时注销或调整其访问权限。使用与传递：禁止通过个人邮箱、即时通讯工具传递机密级信息，须通过企业加密邮件或安全传输系统；纸质机密文档须使用专用文件柜存放，借阅需经部门负责人（经理）审批并登记。（四）定期检查与风险评估检查周期：季度自查：各部门对照《信息资产安全检查单》开展自查，提交自查报告；半年度抽查：专项小组组织跨部门联合检查，抽查比例不低于30%；年度全面检查：覆盖所有信息资产，形成年度评估报告。检查内容：包括资产台账准确性、存储环境安全性、访问权限合规性、备份有效性、销毁流程规范性等（详见第三部分检查单）。风险处置：对检查中发觉的问题（如台账缺失、权限过宽、备份失效），下发《信息资产整改通知书》，明确整改责任人、措施及时限（一般不超过15个工作日），并跟踪整改闭环。（五）信息资产变更与销毁资产变更：信息资产发生以下变动时，责任人须及时提交《信息资产变更申请表》，经部门负责人审批后，由IT部门更新台账：资产所属部门、责任人变更；存储位置、系统配置调整；密级变更（如内部升级为机密，需重新评估风险）。资产销毁：过期、废弃或不再使用的信息资产，由责任部门提出销毁申请，经IT部门（技术评估）、法务部（合规性审核）审批后实施；机密级数据销毁：采用专业数据销毁软件（如多次覆写）或物理销毁（如粉碎硬盘）；纸质机密文档销毁：使用碎纸机粉碎，并由行政部监督执行，形成《销毁记录表》存档。三、企业信息资产安全检查单模板检查项目检查内容检查方法检查结果整改措施责任人完成时限资产台账管理1.资产总台账是否完整，包含所有类型信息资产；2.台账信息（责任人、存储位置、密级）是否与实际一致。1.抽查IT部门资产总台账；2.核对台账与各部门提交的资产清单。合格/不合格1.补充缺失资产信息；2.修正不一致项，更新台账。*专员自查后3个工作日存储安全管理1.机密级数据是否存储在加密设备/服务器；2.敏感存储介质（如U盘、移动硬盘）是否专人专管。1.检查服务器加密配置；2.核对介质借用登记记录。合格/不合格1.对未加密存储数据进行加密迁移；2.规范介质管理流程，落实专人负责。*主管抽查后5个工作日访问权限控制1.员工访问权限是否符合“最小权限”原则；2.离职人员权限是否已注销。1.抽查系统用户权限列表与岗位职责匹配度；2.核对近3个月离职人员权限注销记录。合格/不合格1.收回多余权限，调整至最小范围；2.立即注销离职人员权限，排查遗留风险。*工程师发觉问题后立即整改数据备份与恢复1.机密/内部级数据是否定期备份（每日全备+增量备份）；2.备份数据是否异地存放，备份有效性是否验证。1.检查备份系统日志；2.模拟恢复测试备份数据。合格/不合格1.启用自动备份策略，保证备份频率达标；2.每月开展备份恢复测试，留存记录。*运维发觉问题后7个工作日资产销毁管理1.报废资产是否经审批流程；2.机密级数据/文档销毁是否符合规范（如粉碎、覆写）。1.核对销毁申请表与审批记录；2.检查销毁过程记录表及监督人员签字。合格/不合格1.补充完善销毁审批流程；2.规范销毁操作，全程留痕。*行政发觉问题后10个工作日四、制度执行关键要点（一）动态更新与持续优化每年年底由专项小组组织评估制度适用性，结合业务发展、法律法规变化（如《数据安全法》《个人信息保护法》更新）及检查发觉问题，修订制度内容，保证管理要求与时俱进。（二）全员培训与意识提升新员工入职时须接受信息资产管理培训（含制度要求、操作规范、违规案例），在职员工每年至少开展1次复训，培训记录存档备查。（三）责任落实与追溯机制明确各部门负责人为本部门信息资产管理第一责任人，将信息资产安全纳入部门绩效考核；对因管理不当导致信息泄露、丢失的，按《企业奖惩管理制度》追究相关人员责任。（四）记录留存与合规审计所有管理记录（资产台账、审批表、检查报告、销毁记录等）保存期限不少于3年，保证审计可追溯；专项小组每年配合外部审计机构开展信息资