审计厅信息资产管理制度

PAGE审计厅信息资产管理制度一、总则（一）目的为加强审计厅信息资产的管理，确保信息资产的安全、完整和有效利用，保障审计工作的顺利开展，依据国家相关法律法规和行业标准，制定本制度。（二）适用范围本制度适用于审计厅机关及所属各单位（以下统称“本厅”）所拥有和使用的各类信息资产，包括但不限于计算机设备、网络设备、存储设备、软件系统、数据资源、文档资料等。（三）基本原则1.安全保密原则：确保信息资产的安全性和保密性，防止信息泄露、篡改和丢失。2.规范管理原则：遵循国家法律法规和行业标准，建立健全信息资产管理制度，规范信息资产的采购、使用、维护、处置等流程。3.权责明确原则：明确信息资产各管理环节的责任主体，确保信息资产管理工作的有效落实。4.有效利用原则：充分发挥信息资产的作用，提高审计工作效率和质量，促进信息资源的共享和整合。二、信息资产管理职责（一）信息资产主管部门本厅设立信息资产主管部门，负责统筹协调信息资产管理工作。其主要职责包括：1.制定和完善信息资产管理制度、标准和规范。2.组织开展信息资产清查、评估和登记工作。3.审核信息资产采购、使用、维护、处置等计划和申请。4.监督检查信息资产管理制度的执行情况，协调解决信息资产管理中的重大问题。（二）信息资产使用部门信息资产使用部门负责本部门信息资产的日常管理和使用，其主要职责包括：1.配合信息资产主管部门做好信息资产清查、评估和登记工作。2.提出本部门信息资产采购、使用、维护、处置等计划和申请。3.负责本部门信息资产的安全保管、正确使用和日常维护，确保信息资产的正常运行。4.对本部门信息资产的使用情况进行自查自纠，及时发现和报告信息资产安全隐患。（三）信息资产管理人员信息资产管理人员分为系统管理员、网络管理员、数据管理员等，负责信息资产的具体技术管理和维护工作。其主要职责包括：1.按照信息资产管理制度和操作规范，进行信息资产的配置、维护和管理。2.及时处理信息资产的故障和问题，保障信息资产的正常运行。3.协助做好信息资产的安全防护工作，定期进行安全检查和风险评估。4.负责信息资产相关技术文档的整理和归档。（四）信息资产安全管理机构本厅设立信息资产安全管理机构，由厅领导担任组长，相关部门负责人为成员。其主要职责包括：1.研究制定信息资产安全管理策略和规划。2.审议信息资产安全管理制度、标准和规范。3.协调解决信息资产安全管理中的重大问题，决策信息资产安全管理工作中的重要事项。4.监督检查信息资产安全管理制度的执行情况，组织开展信息资产安全检查和评估工作。三、信息资产采购与配置（一）采购计划1.信息资产使用部门根据工作需要和实际情况，每年定期编制信息资产采购计划，明确采购的信息资产种类、数量、规格、预算等内容。2.采购计划应报信息资产主管部门审核，经厅领导批准后实施。（二）采购流程1.信息资产采购应遵循公开、公平、公正的原则，按照国家相关法律法规和政府采购规定进行。2.采购部门应根据批准的采购计划，组织实施采购活动，选择具有良好信誉和资质的供应商。3.采购合同应明确信息资产的规格、数量、价格、质量标准、售后服务等条款，确保采购的信息资产符合要求。4.采购部门应及时组织对采购的信息资产进行验收，验收合格后方可交付使用部门。（三）配置管理1.信息资产主管部门负责对新采购的信息资产进行统一编号和登记，建立信息资产台账。2.信息资产使用部门应根据信息资产主管部门的安排，及时将新配置的信息资产纳入本部门的管理范围，并做好相关记录。3.信息资产管理人员应按照信息资产的配置要求，进行合理的安装、调试和配置，确保信息资产的正常运行。四、信息资产使用与维护（一）使用管理1.信息资产使用部门应建立健全信息资产使用管理制度，明确信息资产的使用权限和操作规程。2.信息资产使用人员应严格按照操作规程使用信息资产，不得擅自更改信息资产的配置和设置。3.信息资产使用人员应妥善保管信息资产，防止丢失、损坏和被盗。如发现信息资产丢失、损坏或被盗，应及时报告信息资产主管部门，并采取相应的措施。（二）维护管理1.信息资产管理人员应定期对信息资产进行维护和保养，确保信息资产的性能和可靠性。2.信息资产维护工作应按照维护计划和操作规程进行，包括硬件设备的巡检、软件系统的更新、数据的备份等。3.信息资产维护人员应及时处理信息资产的故障和问题，记录故障发生的时间、现象、原因和处理结果等信息。4.对于重要信息资产，应建立应急响应机制，制定应急预案，确保在发生故障或突发事件时能够及时恢复，减少损失。（三）数据管理1.本厅应建立健全数据管理制度，加强对数据资源的管理和保护。2.数据管理员负责数据的收集、整理、存储、备份和恢复等工作，确保数据的准确性、完整性和安全性。3.数据使用人员应严格遵守数据使用规定，不得擅自修改、删除或泄露数据。4.定期对数据进行备份，备份数据应存储在安全可靠的介质上，并异地存放。同时，应定期对备份数据进行检查和恢复测试，确保备份数据的可用性。五、信息资产安全管理（一）安全策略1.本厅应制定信息资产安全策略，明确信息资产安全管理的目标、原则和措施。2.信息资产安全策略应涵盖网络安全、系统安全、数据安全、物理安全等方面，确保信息资产在各个环节的安全性。（二）安全防护措施1.建立网络安全防护体系，包括防火墙、入侵检测系统、防病毒软件等，防止外部网络攻击和恶意软件入侵。2.加强系统安全管理，设置用户权限，定期进行系统漏洞扫描和修复，防止内部人员非法访问和操作信息资产。3.强化数据安全保护，对重要数据进行加密存储和传输，设置数据访问权限，防止数据泄露和篡改。4.做好物理安全防护，对信息资产存放场所进行安全监控，设置门禁系统，防止未经授权人员进入。（三）安全审计与监控1.建立信息资产安全审计机制，对信息资产的操作和访问进行审计记录，以便及时发现和处理安全事件。2.定期开展信息资产安全监控工作，实时监测信息资产的运行状态和安全状况，及时发现并预警安全风险。3.对安全审计和监控发现的问题，应及时进行分析和处理，采取相应的措施进行整改，确保信息资产的安全。（四）安全培训与教育1.定期组织信息资产安全培训和教育活动，提高全体人员的安全意识和技能。2.培训内容应包括信息资产安全法律法规、安全管理制度、安全操作规范、安全防范知识等。3.新入职人员应接受信息资产安全基础知识培训，经考试合格后方可上岗操作信息资产。六、信息资产处置（一）处置计划1.信息资产使用部门应根据信息资产的使用状况和实际需求，定期编制信息资产处置计划，明确处置的信息资产种类、数量、处置方式等内容。2.处置计划应报信息资产主管部门审核，经厅领导批准后实施。（二）处置方式1.报废：对于已损坏无法修复、超过使用年限或技术落后不再适用的信息资产，经鉴定后予以报废处理。2.转让：对于仍有使用价值的信息资产，可以按照相关规定进行转让。转让应遵循公开、公平、公正的原则，确保信息资产的合理利用。3.捐赠：对于符合条件的信息资产，可以捐赠给相关单位或机构。捐赠应办理相关手续，确保信息资产的合法转移。（三）处置流程1.信息资产使用部门应填写信息资产处置申请表，详细说明处置的信息资产情况和处置理由。2.信息资产主管部门对处置申请表进行审核，组织相关人员对拟处置的信息资产进行鉴定和评估。3.根据审核和评估结果，按照批准的处置方式进行处置。对于报废的信息资产，应进行登记造册，并妥善处理；对于转让或捐赠的信息资产，应办理相关手续，确保信息资产的所有权转移。4.信息资产处置完成后，信息资产主管部门应及时更新信息资产台账，确保信息资产数据的准确性。七、监督与检查（一）监督机制1.本厅建立信息资产监督机制，定期对信息资产管理制度的执行情况进行监督检查。2.信息资产主管部门负责组织实施信息资产监督检查工作，对发现的问题及时提出整改意见，并跟踪整改落实情况。（二）检查内容1.信息资产采购、使用、维护、处置等环节的合规性。2.信息资产安全管理制度的执行情况，包括安全防护措施的落实、安全审计与监控工作的开展等。3.信息资产使用人员的操作规范和安全意识。（三）检查方式1.定期检查：信息资产主管部门每年定期组织对信息资产进行全面检查，检查内容包括信息资产的数量、状态、使用情