信息資產(chǎn)存儲(chǔ)管理辦法一、總則（一）目的為了加強(qiáng)公司信息資產(chǎn)的存儲(chǔ)管理，確保信息資產(chǎn)的安全性、完整性和可用性，保障公司業(yè)務(wù)的正常運(yùn)行，依據(jù)國(guó)家相關(guān)法律法規(guī)和行業(yè)標(biāo)準(zhǔn)，制定本辦法。（二）適用范圍本辦法適用于公司內(nèi)所有涉及信息資產(chǎn)存儲(chǔ)管理的部門、人員和信息系統(tǒng)。（三）定義1.信息資產(chǎn)：指公司擁有或控制的、能夠?yàn)楣編斫?jīng)濟(jì)利益或具有潛在價(jià)值的各類信息資源，包括但不限于文件、數(shù)據(jù)、數(shù)據(jù)庫(kù)、軟件、系統(tǒng)、網(wǎng)絡(luò)設(shè)備等。2.存儲(chǔ)介質(zhì)：指用于存儲(chǔ)信息資產(chǎn)的物理設(shè)備，如硬盤、磁帶、光盤、U盤等。3.存儲(chǔ)環(huán)境：指存放存儲(chǔ)介質(zhì)的物理空間，包括機(jī)房、倉(cāng)庫(kù)、辦公室等，應(yīng)具備適宜的溫度、濕度、防火、防盜、防潮、防蟲等條件。（四）管理原則1.安全性原則：確保信息資產(chǎn)在存儲(chǔ)過程中的保密性、完整性和可用性，防止信息泄露、篡改和丟失。2.合規(guī)性原則：嚴(yán)格遵守國(guó)家相關(guān)法律法規(guī)和行業(yè)標(biāo)準(zhǔn)，確保信息資產(chǎn)存儲(chǔ)管理活動(dòng)合法合規(guī)。3.分類分級(jí)原則：根據(jù)信息資產(chǎn)的重要性、敏感性和使用頻率等因素，進(jìn)行分類分級(jí)管理，采取相應(yīng)的存儲(chǔ)策略和保護(hù)措施。4.可審計(jì)性原則：建立健全信息資產(chǎn)存儲(chǔ)管理審計(jì)機(jī)制，對(duì)信息資產(chǎn)的存儲(chǔ)、訪問、使用等操作進(jìn)行記錄和審計(jì)，以便及時(shí)發(fā)現(xiàn)和處理異常情況。二、信息資產(chǎn)分類分級(jí)（一）分類標(biāo)準(zhǔn)1.按信息資產(chǎn)的性質(zhì)分類文件類：包括公司的各類文檔、報(bào)告、合同、協(xié)議等。數(shù)據(jù)類：指公司業(yè)務(wù)運(yùn)營(yíng)過程中產(chǎn)生的各種數(shù)據(jù)，如客戶信息、財(cái)務(wù)數(shù)據(jù)、銷售數(shù)據(jù)等。軟件類：公司自主開發(fā)或使用的各類軟件系統(tǒng)、應(yīng)用程序等。系統(tǒng)類：包括服務(wù)器、網(wǎng)絡(luò)設(shè)備、存儲(chǔ)設(shè)備等構(gòu)成的信息系統(tǒng)。其他類：如商標(biāo)、專利、域名等具有知識(shí)產(chǎn)權(quán)性質(zhì)的信息資產(chǎn)。2.按信息資產(chǎn)的來源分類內(nèi)部信息資產(chǎn)：由公司內(nèi)部各部門自行創(chuàng)建、收集、整理和使用的信息資產(chǎn)。外部信息資產(chǎn)：從公司外部獲取的信息資產(chǎn)，如合作伙伴提供的數(shù)據(jù)、行業(yè)報(bào)告等。（二）分級(jí)標(biāo)準(zhǔn)1.根據(jù)信息資產(chǎn)的重要性分級(jí)一級(jí)信息資產(chǎn)：對(duì)公司的核心業(yè)務(wù)、關(guān)鍵決策、財(cái)務(wù)狀況等具有重大影響的信息資產(chǎn)，如公司的核心業(yè)務(wù)系統(tǒng)數(shù)據(jù)、財(cái)務(wù)報(bào)表等。二級(jí)信息資產(chǎn)：對(duì)公司的重要業(yè)務(wù)流程、運(yùn)營(yíng)管理等有較大影響的信息資產(chǎn)，如重要客戶信息、銷售數(shù)據(jù)等。三級(jí)信息資產(chǎn)：對(duì)公司的一般性業(yè)務(wù)活動(dòng)有一定影響的信息資產(chǎn)，如日常辦公文件、普通業(yè)務(wù)數(shù)據(jù)等。四級(jí)信息資產(chǎn)：對(duì)公司業(yè)務(wù)影響較小的信息資產(chǎn)，如宣傳資料、一般性通知等。2.根據(jù)信息資產(chǎn)的敏感性分級(jí)敏感信息資產(chǎn)：涉及公司商業(yè)秘密、客戶隱私、國(guó)家機(jī)密等敏感信息的資產(chǎn)，如客戶身份證號(hào)碼、公司核心技術(shù)資料等。非敏感信息資產(chǎn)：不涉及敏感信息的資產(chǎn)，如公開的行業(yè)新聞、一般性的業(yè)務(wù)文檔等。（三）分類分級(jí)流程1.信息資產(chǎn)識(shí)別：各部門對(duì)本部門所擁有的信息資產(chǎn)進(jìn)行全面梳理和識(shí)別，填寫《信息資產(chǎn)登記表》，詳細(xì)記錄信息資產(chǎn)的名稱、性質(zhì)、來源、重要性、敏感性等信息。2.分類分級(jí)初審：各部門負(fù)責(zé)人對(duì)本部門提交的《信息資產(chǎn)登記表》進(jìn)行初審，根據(jù)分類分級(jí)標(biāo)準(zhǔn)確定信息資產(chǎn)的類別和級(jí)別，并簽字確認(rèn)。3.分類分級(jí)審核：公司信息資產(chǎn)存儲(chǔ)管理部門對(duì)各部門提交的《信息資產(chǎn)登記表》進(jìn)行審核，如有異議，與相關(guān)部門溝通協(xié)商，最終確定信息資產(chǎn)的分類分級(jí)結(jié)果。4.分類分級(jí)備案：審核通過的信息資產(chǎn)分類分級(jí)結(jié)果在公司信息資產(chǎn)存儲(chǔ)管理部門進(jìn)行備案，并建立信息資產(chǎn)分類分級(jí)清單，作為后續(xù)管理的依據(jù)。三、存儲(chǔ)介質(zhì)管理（一）存儲(chǔ)介質(zhì)選型1.根據(jù)信息資產(chǎn)的類型、存儲(chǔ)容量、訪問頻率、保存期限等因素，選擇合適的存儲(chǔ)介質(zhì)。2.對(duì)于重要的、長(zhǎng)期保存的信息資產(chǎn)，優(yōu)先選擇可靠性高、耐久性強(qiáng)的存儲(chǔ)介質(zhì)，如磁帶庫(kù)、磁盤陣列等。3.對(duì)于臨時(shí)性、短期使用的信息資產(chǎn)，可以選擇U盤、移動(dòng)硬盤等便攜式存儲(chǔ)介質(zhì)。（二）存儲(chǔ)介質(zhì)使用1.存儲(chǔ)介質(zhì)在使用前應(yīng)進(jìn)行格式化和初始化，確保其干凈、無病毒、無損壞。2.存儲(chǔ)介質(zhì)應(yīng)按照分類分級(jí)原則進(jìn)行標(biāo)識(shí)，標(biāo)明信息資產(chǎn)的名稱、類別、級(jí)別、存儲(chǔ)日期等信息，便于識(shí)別和管理。3.存儲(chǔ)介質(zhì)的使用應(yīng)遵循相關(guān)操作規(guī)程，避免因誤操作導(dǎo)致信息資產(chǎn)丟失或損壞。4.存儲(chǔ)介質(zhì)在使用過程中應(yīng)定期進(jìn)行檢查和維護(hù)，如清潔、殺毒、數(shù)據(jù)備份等，確保其性能良好。（三）存儲(chǔ)介質(zhì)存儲(chǔ)1.存儲(chǔ)介質(zhì)應(yīng)存放在適宜的存儲(chǔ)環(huán)境中，確保其安全可靠。2.不同類別的存儲(chǔ)介質(zhì)應(yīng)分開存放，避免相互干擾和損壞。3.對(duì)于敏感信息資產(chǎn)的存儲(chǔ)介質(zhì)，應(yīng)采取加密、物理隔離等措施，確保信息的安全性。4.存儲(chǔ)介質(zhì)應(yīng)建立庫(kù)存清單，詳細(xì)記錄存儲(chǔ)介質(zhì)的名稱、規(guī)格、數(shù)量、存儲(chǔ)位置等信息，并定期進(jìn)行盤點(diǎn)核對(duì)，確保賬實(shí)相符。（四）存儲(chǔ)介質(zhì)報(bào)廢1.存儲(chǔ)介質(zhì)達(dá)到使用期限或因損壞、丟失等原因無法繼續(xù)使用時(shí)，應(yīng)及時(shí)進(jìn)行報(bào)廢處理。2.存儲(chǔ)介質(zhì)報(bào)廢前，應(yīng)進(jìn)行數(shù)據(jù)清除和銷毀，確保信息資產(chǎn)的保密性。3.存儲(chǔ)介質(zhì)的報(bào)廢處理應(yīng)填寫《存儲(chǔ)介質(zhì)報(bào)廢申請(qǐng)表》，經(jīng)相關(guān)部門審批后，按照規(guī)定的程序進(jìn)行銷毀。4.存儲(chǔ)介質(zhì)的銷毀方式可根據(jù)其類型和敏感程度選擇物理銷毀（如粉碎、焚燒等）或數(shù)據(jù)擦除等方式，確保信息資產(chǎn)無法恢復(fù)。四、存儲(chǔ)環(huán)境管理（一）機(jī)房管理1.機(jī)房應(yīng)具備完善的安全設(shè)施，如門禁系統(tǒng)、監(jiān)控系統(tǒng)、消防系統(tǒng)等，確保機(jī)房的安全性。2.機(jī)房應(yīng)保持適宜的溫度、濕度和潔凈度，定期進(jìn)行環(huán)境監(jiān)測(cè)和維護(hù)，確保設(shè)備正常運(yùn)行。3.機(jī)房?jī)?nèi)的設(shè)備應(yīng)合理布局，便于操作和維護(hù)，并定期進(jìn)行巡檢，及時(shí)發(fā)現(xiàn)和處理設(shè)備故障。4.機(jī)房應(yīng)建立嚴(yán)格的人員出入管理制度，未經(jīng)授權(quán)人員不得進(jìn)入機(jī)房。（二）倉(cāng)庫(kù)管理1.倉(cāng)庫(kù)應(yīng)保持干燥、通風(fēng)、整潔，具備防火、防盜、防潮、防蟲等條件。2.倉(cāng)庫(kù)內(nèi)的存儲(chǔ)介質(zhì)應(yīng)分類存放，標(biāo)識(shí)清晰，便于查找和管理。3.倉(cāng)庫(kù)應(yīng)建立庫(kù)存管理制度，定期進(jìn)行盤點(diǎn)核對(duì)，確保存儲(chǔ)介質(zhì)的數(shù)量和質(zhì)量。4.倉(cāng)庫(kù)應(yīng)配備必要的消防器材和安全設(shè)備，確保倉(cāng)庫(kù)的安全性。（三）辦公室管理1.辦公室應(yīng)保持整潔、有序，不得隨意堆放存儲(chǔ)介質(zhì)和雜物。2.辦公室內(nèi)的存儲(chǔ)介質(zhì)應(yīng)妥善保管，避免丟失或損壞。3.對(duì)于重要的信息資產(chǎn)，應(yīng)采取加密、備份等措施，確保信息的安全性。4.辦公室應(yīng)定期進(jìn)行清潔和消毒，保持良好的工作環(huán)境。五、信息資產(chǎn)存儲(chǔ)操作規(guī)范（一）數(shù)據(jù)備份1.建立完善的數(shù)據(jù)備份制度，定期對(duì)重要信息資產(chǎn)進(jìn)行備份。2.數(shù)據(jù)備份應(yīng)采用多種方式，如全量備份、增量備份、差異備份等，確保數(shù)據(jù)的完整性和可恢復(fù)性。3.備份數(shù)據(jù)應(yīng)存儲(chǔ)在與原數(shù)據(jù)不同的存儲(chǔ)介質(zhì)和存儲(chǔ)位置，并定期進(jìn)行異地存儲(chǔ)，以防止因自然災(zāi)害、人為破壞等原因?qū)е聰?shù)據(jù)丟失。4.定期對(duì)備份數(shù)據(jù)進(jìn)行恢復(fù)測(cè)試，確保備份數(shù)據(jù)的可用性。（二）數(shù)據(jù)存儲(chǔ)1.信息資產(chǎn)應(yīng)按照分類分級(jí)原則進(jìn)行存儲(chǔ)，不同類別的信息資產(chǎn)應(yīng)存儲(chǔ)在不同的存儲(chǔ)設(shè)備或存儲(chǔ)區(qū)域。2.對(duì)于敏感信息資產(chǎn)，應(yīng)采取加密存儲(chǔ)等措施，確保信息的保密性。3.信息資產(chǎn)的存儲(chǔ)應(yīng)建立索引和目錄，便于查找和訪問。4.定期對(duì)存儲(chǔ)的信息資產(chǎn)進(jìn)行清理和歸檔，刪除過期或無用的信息資產(chǎn)，釋放存儲(chǔ)空間。（三）數(shù)據(jù)訪問1.建立嚴(yán)格的數(shù)據(jù)訪問權(quán)限管理制度，根據(jù)用戶的工作職責(zé)和業(yè)務(wù)需求，授予相應(yīng)的訪問權(quán)限。2.用戶應(yīng)使用合法的賬號(hào)和密碼進(jìn)行數(shù)據(jù)訪問，不得擅自轉(zhuǎn)借或共享賬號(hào)。3.數(shù)據(jù)訪問應(yīng)遵循最小化原則，只授予用戶完成其工作所需的最少數(shù)據(jù)訪問權(quán)限。4.對(duì)數(shù)據(jù)訪問操作進(jìn)行記錄和審計(jì)，以便及時(shí)發(fā)現(xiàn)和處理異常訪問行為。（四）數(shù)據(jù)遷移1.當(dāng)存儲(chǔ)設(shè)備出現(xiàn)故障、性能下降或需要升級(jí)等情況時(shí)，應(yīng)及時(shí)進(jìn)行數(shù)據(jù)遷移。2.數(shù)據(jù)遷移前應(yīng)進(jìn)行充分的測(cè)試和評(píng)估，確保遷移過程中數(shù)據(jù)的安全性和完整性。3.數(shù)據(jù)遷移完成后，應(yīng)對(duì)遷移后的數(shù)據(jù)進(jìn)行驗(yàn)證和測(cè)試，確保數(shù)據(jù)能夠正常訪問和使用。4.對(duì)數(shù)據(jù)遷移過程進(jìn)行記錄和歸檔，以便后續(xù)查詢和追溯。六、信息資產(chǎn)存儲(chǔ)安全管理（一）安全策略制定1.根據(jù)公司的業(yè)務(wù)需求和信息資產(chǎn)的特點(diǎn)，制定完善的信息資產(chǎn)存儲(chǔ)安全策略，明確安全目標(biāo)、安全措施和安全責(zé)任。2.安全策略應(yīng)包括訪問控制策略、數(shù)據(jù)加密策略、備份恢復(fù)策略、安全審計(jì)策略等，確保信息資產(chǎn)在存儲(chǔ)過程中的安全性。3.定期對(duì)安全策略進(jìn)行評(píng)估和更新，確保其有效性和適應(yīng)性。（二）安全技術(shù)措施1.采用先進(jìn)的安全技術(shù)手段，如防火墻、入侵檢測(cè)系統(tǒng)、防病毒軟件等，對(duì)信息資產(chǎn)存儲(chǔ)環(huán)境進(jìn)行防護(hù)，防止外部攻擊和惡意軟件入侵。2.對(duì)存儲(chǔ)介質(zhì)進(jìn)行加密處理，確保信息在存儲(chǔ)過程中的保密性。3.建立安全審計(jì)系統(tǒng)，對(duì)信息資產(chǎn)的存儲(chǔ)、訪問、使用等操作進(jìn)行實(shí)時(shí)監(jiān)測(cè)和審計(jì)，及時(shí)發(fā)現(xiàn)和處理安全事件。4.定期進(jìn)行安全漏洞掃描和修復(fù)，確保信息資產(chǎn)存儲(chǔ)系統(tǒng)的安全性。（三）人員安全管理1.加強(qiáng)對(duì)涉及信息資產(chǎn)存儲(chǔ)管理人員的安全培訓(xùn)，提高其安全意識(shí)和操作技能。2.與相關(guān)人員簽訂保密協(xié)議，明確其在信息資產(chǎn)存儲(chǔ)管理中的安全責(zé)任和義務(wù)。3.對(duì)人員的訪問權(quán)限進(jìn)行定期審查和調(diào)整，確保其權(quán)限與工作職責(zé)相符。4.建立人員離職交接制度，確保離職人員及時(shí)歸還所使用的信息資產(chǎn)和存儲(chǔ)介質(zhì)，并進(jìn)行相關(guān)的權(quán)限清理。（四）應(yīng)急處理1.制定信息資產(chǎn)存儲(chǔ)安全應(yīng)急預(yù)案，明確應(yīng)急處理流程和責(zé)任分工。2.定期對(duì)應(yīng)急預(yù)案進(jìn)行演練，提高應(yīng)急處理能力。3.當(dāng)發(fā)生信息資產(chǎn)存儲(chǔ)安全事件時(shí)，應(yīng)立即啟動(dòng)應(yīng)急預(yù)案，采取相應(yīng)的措施進(jìn)行處理，如數(shù)據(jù)恢復(fù)、系統(tǒng)修復(fù)、事件調(diào)查等，并及時(shí)向上級(jí)報(bào)告。4.對(duì)信息資產(chǎn)存儲(chǔ)安全事件進(jìn)行總結(jié)和分析，采取措施防止類似事件再次發(fā)生。七、監(jiān)督與檢查（一）監(jiān)督機(jī)制1.公司信息資產(chǎn)存儲(chǔ)管理部門負(fù)責(zé)對(duì)信息資產(chǎn)存儲(chǔ)管理工作進(jìn)行日常監(jiān)督和檢查，確保各項(xiàng)管理措施得到有效執(zhí)行。2.定期對(duì)信息資產(chǎn)存儲(chǔ)管理情況進(jìn)行內(nèi)部審計(jì)，發(fā)現(xiàn)問題及時(shí)整改。3.接受公司內(nèi)部其他部門和員工的監(jiān)督，對(duì)提出的意見和建議及時(shí)進(jìn)行處理和反饋。（二）檢查內(nèi)容1.信息資產(chǎn)的分類分級(jí)情況是否準(zhǔn)確、合理。2.存儲(chǔ)介質(zhì)的選型、使用、存儲(chǔ)和報(bào)廢等管理情況是否符合規(guī)定。3.存儲(chǔ)環(huán)境的管理情況是否滿足要求。4.信息資產(chǎn)存儲(chǔ)操作規(guī)范的執(zhí)行情況，如數(shù)據(jù)備份、存儲(chǔ)、訪問、遷移等操作是否合規(guī)。5.信息資產(chǎn)存儲(chǔ)安全管理措施的落實(shí)情況，如安全策略制定、安全技術(shù)措施實(shí)施、人員安全管理、應(yīng)急處理等方面是否到位。（三）檢查結(jié)果處理1.對(duì)于檢查中發(fā)現(xiàn)的問題，應(yīng)及時(shí)下達(dá)整改通知書，要求責(zé)任部門限期整改。2.責(zé)任部門應(yīng)制定詳細(xì)的整改計(jì)劃，明確整改措