企業(yè)信息資產(chǎn)管理制度與檢查單一、制度適用范圍與核心目標本制度適用于各類企業(yè)內(nèi)部信息資產(chǎn)的全生命周期管理，覆蓋數(shù)據(jù)、文檔、系統(tǒng)、設備、介質(zhì)等各類信息資產(chǎn)形態(tài)，旨在規(guī)范信息資產(chǎn)的識別、分類、存儲、使用、傳遞、備份及銷毀等環(huán)節(jié)，保證信息資產(chǎn)的安全性、完整性與可用性，降低信息泄露、丟失或損壞風險，同時滿足法律法規(guī)及企業(yè)內(nèi)部合規(guī)管理要求。核心目標包括：建立統(tǒng)一的信息資產(chǎn)臺賬、明確管理責任、規(guī)范操作流程、強化風險管控，為企業(yè)業(yè)務連續(xù)性提供支撐。二、信息資產(chǎn)管理全流程操作步驟（一）制度制定與職責分工成立專項小組：由企業(yè)分管領導（副總）牽頭，IT部門、法務部、行政部、業(yè)務部門負責人組成信息資產(chǎn)管理專項小組，明確各部門職責：IT部門：負責信息資產(chǎn)的技術防護（如系統(tǒng)安全、存儲加密、訪問控制）及技術支持；法務部：負責信息資產(chǎn)分類分級標準制定及合規(guī)性審核；行政部：負責紙質(zhì)文檔、存儲介質(zhì)等物理資產(chǎn)的登記與管理；業(yè)務部門：負責本部門信息資產(chǎn)的梳理、申報及日常使用維護。制定分類分級標準：參考《信息安全技術信息安全分類分級指南》（GB/T22240-2020），結合企業(yè)實際，將信息資產(chǎn)分為“機密”“內(nèi)部”“公開”三級，明確各級資產(chǎn)的標識、管理要求及訪問權限。發(fā)布制度文件：經(jīng)專項小組審核、總經(jīng)理（總）審批后，正式發(fā)布《企業(yè)信息資產(chǎn)管理制度》，并組織全員培訓。（二）信息資產(chǎn)識別與登記資產(chǎn)梳理：各部門對本部門產(chǎn)生、使用、存儲的信息資產(chǎn)進行全面梳理，填寫《信息資產(chǎn)梳理清單》，內(nèi)容包括：資產(chǎn)名稱、類型（數(shù)據(jù)/文檔/系統(tǒng)/設備/介質(zhì)）、所屬部門、責任人、存儲位置（物理/邏輯）、密級、使用狀態(tài)（在用/閑置/報廢）、創(chuàng)建日期等。資產(chǎn)編碼：IT部門對梳理后的信息資產(chǎn)賦予唯一編碼（如“ZC-部門代碼-年份-序號”），保證每項資產(chǎn)可追溯。臺賬建立：IT部門基于梳理清單及編碼，建立《企業(yè)信息資產(chǎn)總臺賬》，動態(tài)更新資產(chǎn)變動情況（新增、變更、報廢）。（三）信息資產(chǎn)日常管理存儲管理：機密級數(shù)據(jù)：須存儲在加密服務器或專用加密設備中，禁止在本地終端或普通U盤存儲；內(nèi)部級數(shù)據(jù)：存儲在指定共享服務器或部門內(nèi)部系統(tǒng)，訪問需通過權限審批；公開級數(shù)據(jù)：可存儲在公共文件服務器，但需避免涉密信息混存。訪問控制：遵循“最小權限”原則，員工僅可訪問職責所需的信息資產(chǎn)；敏感系統(tǒng)訪問需采用“賬號+密碼+動態(tài)驗證碼”多因素認證；員工離職或崗位變動時，IT部門須及時注銷或調(diào)整其訪問權限。使用與傳遞：禁止通過個人郵箱、即時通訊工具傳遞機密級信息，須通過企業(yè)加密郵件或安全傳輸系統(tǒng)；紙質(zhì)機密文檔須使用專用文件柜存放，借閱需經(jīng)部門負責人（經(jīng)理）審批并登記。（四）定期檢查與風險評估檢查周期：季度自查：各部門對照《信息資產(chǎn)安全檢查單》開展自查，提交自查報告；半年度抽查：專項小組組織跨部門聯(lián)合檢查，抽查比例不低于30%；年度全面檢查：覆蓋所有信息資產(chǎn)，形成年度評估報告。檢查內(nèi)容：包括資產(chǎn)臺賬準確性、存儲環(huán)境安全性、訪問權限合規(guī)性、備份有效性、銷毀流程規(guī)范性等（詳見第三部分檢查單）。風險處置：對檢查中發(fā)覺的問題（如臺賬缺失、權限過寬、備份失效），下發(fā)《信息資產(chǎn)整改通知書》，明確整改責任人、措施及時限（一般不超過15個工作日），并跟蹤整改閉環(huán)。（五）信息資產(chǎn)變更與銷毀資產(chǎn)變更：信息資產(chǎn)發(fā)生以下變動時，責任人須及時提交《信息資產(chǎn)變更申請表》，經(jīng)部門負責人審批后，由IT部門更新臺賬：資產(chǎn)所屬部門、責任人變更；存儲位置、系統(tǒng)配置調(diào)整；密級變更（如內(nèi)部升級為機密，需重新評估風險）。資產(chǎn)銷毀：過期、廢棄或不再使用的信息資產(chǎn)，由責任部門提出銷毀申請，經(jīng)IT部門（技術評估）、法務部（合規(guī)性審核）審批后實施；機密級數(shù)據(jù)銷毀：采用專業(yè)數(shù)據(jù)銷毀軟件（如多次覆寫）或物理銷毀（如粉碎硬盤）；紙質(zhì)機密文檔銷毀：使用碎紙機粉碎，并由行政部監(jiān)督執(zhí)行，形成《銷毀記錄表》存檔。三、企業(yè)信息資產(chǎn)安全檢查單模板檢查項目檢查內(nèi)容檢查方法檢查結果整改措施責任人完成時限資產(chǎn)臺賬管理1.資產(chǎn)總臺賬是否完整，包含所有類型信息資產(chǎn)；2.臺賬信息（責任人、存儲位置、密級）是否與實際一致。1.抽查IT部門資產(chǎn)總臺賬；2.核對臺賬與各部門提交的資產(chǎn)清單。合格/不合格1.補充缺失資產(chǎn)信息；2.修正不一致項，更新臺賬。*專員自查后3個工作日存儲安全管理1.機密級數(shù)據(jù)是否存儲在加密設備/服務器；2.敏感存儲介質(zhì)（如U盤、移動硬盤）是否專人專管。1.檢查服務器加密配置；2.核對介質(zhì)借用登記記錄。合格/不合格1.對未加密存儲數(shù)據(jù)進行加密遷移；2.規(guī)范介質(zhì)管理流程，落實專人負責。*主管抽查后5個工作日訪問權限控制1.員工訪問權限是否符合“最小權限”原則；2.離職人員權限是否已注銷。1.抽查系統(tǒng)用戶權限列表與崗位職責匹配度；2.核對近3個月離職人員權限注銷記錄。合格/不合格1.收回多余權限，調(diào)整至最小范圍；2.立即注銷離職人員權限，排查遺留風險。*工程師發(fā)覺問題后立即整改數(shù)據(jù)備份與恢復1.機密/內(nèi)部級數(shù)據(jù)是否定期備份（每日全備+增量備份）；2.備份數(shù)據(jù)是否異地存放，備份有效性是否驗證。1.檢查備份系統(tǒng)日志；2.模擬恢復測試備份數(shù)據(jù)。合格/不合格1.啟用自動備份策略，保證備份頻率達標；2.每月開展備份恢復測試，留存記錄。*運維發(fā)覺問題后7個工作日資產(chǎn)銷毀管理1.報廢資產(chǎn)是否經(jīng)審批流程；2.機密級數(shù)據(jù)/文檔銷毀是否符合規(guī)范（如粉碎、覆寫）。1.核對銷毀申請表與審批記錄；2.檢查銷毀過程記錄表及監(jiān)督人員簽字。合格/不合格1.補充完善銷毀審批流程；2.規(guī)范銷毀操作，全程留痕。*行政發(fā)覺問題后10個工作日四、制度執(zhí)行關鍵要點（一）動態(tài)更新與持續(xù)優(yōu)化每年年底由專項小組組織評估制度適用性，結合業(yè)務發(fā)展、法律法規(guī)變化（如《數(shù)據(jù)安全法》《個人信息保護法》更新）及檢查發(fā)覺問題，修訂制度內(nèi)容，保證管理要求與時俱進。（二）全員培訓與意識提升新員工入職時須接受信息資產(chǎn)管理培訓（含制度要求、操作規(guī)范、違規(guī)案例），在職員工每年至少開展1次復訓，培訓記錄存檔備查。（三）責任落實與追溯機制明確各部門負責人為本部門信息資產(chǎn)管理第一責任人，將信息資產(chǎn)安全納入部門績效考核；對因管理不當導致信息泄露、丟失的，按《企業(yè)獎懲管理制度》追究相關人員責任。（四）記錄留存與合規(guī)審計所有管理記錄（資產(chǎn)臺賬、審批表、檢查報告、銷毀記錄等）保存期限不少于3年，保證審計可追溯；專項小組每年配合外部審計機構開展信息資