企業(yè)信息資產(chǎn)管理制度與檢查單一、制度適用范圍與核心目標(biāo)本制度適用于各類企業(yè)內(nèi)部信息資產(chǎn)的全生命周期管理，覆蓋數(shù)據(jù)、文檔、系統(tǒng)、設(shè)備、介質(zhì)等各類信息資產(chǎn)形態(tài)，旨在規(guī)范信息資產(chǎn)的識別、分類、存儲、使用、傳遞、備份及銷毀等環(huán)節(jié)，保證信息資產(chǎn)的安全性、完整性與可用性，降低信息泄露、丟失或損壞風(fēng)險，同時滿足法律法規(guī)及企業(yè)內(nèi)部合規(guī)管理要求。核心目標(biāo)包括：建立統(tǒng)一的信息資產(chǎn)臺賬、明確管理責(zé)任、規(guī)范操作流程、強(qiáng)化風(fēng)險管控，為企業(yè)業(yè)務(wù)連續(xù)性提供支撐。二、信息資產(chǎn)管理全流程操作步驟（一）制度制定與職責(zé)分工成立專項小組：由企業(yè)分管領(lǐng)導(dǎo)（副總）牽頭，IT部門、法務(wù)部、行政部、業(yè)務(wù)部門負(fù)責(zé)人組成信息資產(chǎn)管理專項小組，明確各部門職責(zé)：IT部門：負(fù)責(zé)信息資產(chǎn)的技術(shù)防護(hù)（如系統(tǒng)安全、存儲加密、訪問控制）及技術(shù)支持；法務(wù)部：負(fù)責(zé)信息資產(chǎn)分類分級標(biāo)準(zhǔn)制定及合規(guī)性審核；行政部：負(fù)責(zé)紙質(zhì)文檔、存儲介質(zhì)等物理資產(chǎn)的登記與管理；業(yè)務(wù)部門：負(fù)責(zé)本部門信息資產(chǎn)的梳理、申報及日常使用維護(hù)。制定分類分級標(biāo)準(zhǔn)：參考《信息安全技術(shù)信息安全分類分級指南》（GB/T22240-2020），結(jié)合企業(yè)實際，將信息資產(chǎn)分為“機(jī)密”“內(nèi)部”“公開”三級，明確各級資產(chǎn)的標(biāo)識、管理要求及訪問權(quán)限。發(fā)布制度文件：經(jīng)專項小組審核、總經(jīng)理（總）審批后，正式發(fā)布《企業(yè)信息資產(chǎn)管理制度》，并組織全員培訓(xùn)。（二）信息資產(chǎn)識別與登記資產(chǎn)梳理：各部門對本部門產(chǎn)生、使用、存儲的信息資產(chǎn)進(jìn)行全面梳理，填寫《信息資產(chǎn)梳理清單》，內(nèi)容包括：資產(chǎn)名稱、類型（數(shù)據(jù)/文檔/系統(tǒng)/設(shè)備/介質(zhì)）、所屬部門、責(zé)任人、存儲位置（物理/邏輯）、密級、使用狀態(tài)（在用/閑置/報廢）、創(chuàng)建日期等。資產(chǎn)編碼：IT部門對梳理后的信息資產(chǎn)賦予唯一編碼（如“ZC-部門代碼-年份-序號”），保證每項資產(chǎn)可追溯。臺賬建立：IT部門基于梳理清單及編碼，建立《企業(yè)信息資產(chǎn)總臺賬》，動態(tài)更新資產(chǎn)變動情況（新增、變更、報廢）。（三）信息資產(chǎn)日常管理存儲管理：機(jī)密級數(shù)據(jù)：須存儲在加密服務(wù)器或?qū)Ｓ眉用茉O(shè)備中，禁止在本地終端或普通U盤存儲；內(nèi)部級數(shù)據(jù)：存儲在指定共享服務(wù)器或部門內(nèi)部系統(tǒng)，訪問需通過權(quán)限審批；公開級數(shù)據(jù)：可存儲在公共文件服務(wù)器，但需避免涉密信息混存。訪問控制：遵循“最小權(quán)限”原則，員工僅可訪問職責(zé)所需的信息資產(chǎn)；敏感系統(tǒng)訪問需采用“賬號+密碼+動態(tài)驗證碼”多因素認(rèn)證；員工離職或崗位變動時，IT部門須及時注銷或調(diào)整其訪問權(quán)限。使用與傳遞：禁止通過個人郵箱、即時通訊工具傳遞機(jī)密級信息，須通過企業(yè)加密郵件或安全傳輸系統(tǒng)；紙質(zhì)機(jī)密文檔須使用專用文件柜存放，借閱需經(jīng)部門負(fù)責(zé)人（經(jīng)理）審批并登記。（四）定期檢查與風(fēng)險評估檢查周期：季度自查：各部門對照《信息資產(chǎn)安全檢查單》開展自查，提交自查報告；半年度抽查：專項小組組織跨部門聯(lián)合檢查，抽查比例不低于30%；年度全面檢查：覆蓋所有信息資產(chǎn)，形成年度評估報告。檢查內(nèi)容：包括資產(chǎn)臺賬準(zhǔn)確性、存儲環(huán)境安全性、訪問權(quán)限合規(guī)性、備份有效性、銷毀流程規(guī)范性等（詳見第三部分檢查單）。風(fēng)險處置：對檢查中發(fā)覺的問題（如臺賬缺失、權(quán)限過寬、備份失效），下發(fā)《信息資產(chǎn)整改通知書》，明確整改責(zé)任人、措施及時限（一般不超過15個工作日），并跟蹤整改閉環(huán)。（五）信息資產(chǎn)變更與銷毀資產(chǎn)變更：信息資產(chǎn)發(fā)生以下變動時，責(zé)任人須及時提交《信息資產(chǎn)變更申請表》，經(jīng)部門負(fù)責(zé)人審批后，由IT部門更新臺賬：資產(chǎn)所屬部門、責(zé)任人變更；存儲位置、系統(tǒng)配置調(diào)整；密級變更（如內(nèi)部升級為機(jī)密，需重新評估風(fēng)險）。資產(chǎn)銷毀：過期、廢棄或不再使用的信息資產(chǎn)，由責(zé)任部門提出銷毀申請，經(jīng)IT部門（技術(shù)評估）、法務(wù)部（合規(guī)性審核）審批后實施；機(jī)密級數(shù)據(jù)銷毀：采用專業(yè)數(shù)據(jù)銷毀軟件（如多次覆寫）或物理銷毀（如粉碎硬盤）；紙質(zhì)機(jī)密文檔銷毀：使用碎紙機(jī)粉碎，并由行政部監(jiān)督執(zhí)行，形成《銷毀記錄表》存檔。三、企業(yè)信息資產(chǎn)安全檢查單模板檢查項目檢查內(nèi)容檢查方法檢查結(jié)果整改措施責(zé)任人完成時限資產(chǎn)臺賬管理1.資產(chǎn)總臺賬是否完整，包含所有類型信息資產(chǎn)；2.臺賬信息（責(zé)任人、存儲位置、密級）是否與實際一致。1.抽查IT部門資產(chǎn)總臺賬；2.核對臺賬與各部門提交的資產(chǎn)清單。合格/不合格1.補(bǔ)充缺失資產(chǎn)信息；2.修正不一致項，更新臺賬。*專員自查后3個工作日存儲安全管理1.機(jī)密級數(shù)據(jù)是否存儲在加密設(shè)備/服務(wù)器；2.敏感存儲介質(zhì)（如U盤、移動硬盤）是否專人專管。1.檢查服務(wù)器加密配置；2.核對介質(zhì)借用登記記錄。合格/不合格1.對未加密存儲數(shù)據(jù)進(jìn)行加密遷移；2.規(guī)范介質(zhì)管理流程，落實專人負(fù)責(zé)。*主管抽查后5個工作日訪問權(quán)限控制1.員工訪問權(quán)限是否符合“最小權(quán)限”原則；2.離職人員權(quán)限是否已注銷。1.抽查系統(tǒng)用戶權(quán)限列表與崗位職責(zé)匹配度；2.核對近3個月離職人員權(quán)限注銷記錄。合格/不合格1.收回多余權(quán)限，調(diào)整至最小范圍；2.立即注銷離職人員權(quán)限，排查遺留風(fēng)險。*工程師發(fā)覺問題后立即整改數(shù)據(jù)備份與恢復(fù)1.機(jī)密/內(nèi)部級數(shù)據(jù)是否定期備份（每日全備+增量備份）；2.備份數(shù)據(jù)是否異地存放，備份有效性是否驗證。1.檢查備份系統(tǒng)日志；2.模擬恢復(fù)測試備份數(shù)據(jù)。合格/不合格1.啟用自動備份策略，保證備份頻率達(dá)標(biāo)；2.每月開展備份恢復(fù)測試，留存記錄。*運(yùn)維發(fā)覺問題后7個工作日資產(chǎn)銷毀管理1.報廢資產(chǎn)是否經(jīng)審批流程；2.機(jī)密級數(shù)據(jù)/文檔銷毀是否符合規(guī)范（如粉碎、覆寫）。1.核對銷毀申請表與審批記錄；2.檢查銷毀過程記錄表及監(jiān)督人員簽字。合格/不合格1.補(bǔ)充完善銷毀審批流程；2.規(guī)范銷毀操作，全程留痕。*行政發(fā)覺問題后10個工作日四、制度執(zhí)行關(guān)鍵要點（一）動態(tài)更新與持續(xù)優(yōu)化每年年底由專項小組組織評估制度適用性，結(jié)合業(yè)務(wù)發(fā)展、法律法規(guī)變化（如《數(shù)據(jù)安全法》《個人信息保護(hù)法》更新）及檢查發(fā)覺問題，修訂制度內(nèi)容，保證管理要求與時俱進(jìn)。（二）全員培訓(xùn)與意識提升新員工入職時須接受信息資產(chǎn)管理培訓(xùn)（含制度要求、操作規(guī)范、違規(guī)案例），在職員工每年至少開展1次復(fù)訓(xùn)，培訓(xùn)記錄存檔備查。（三）責(zé)任落實與追溯機(jī)制明確各部門負(fù)責(zé)人為本部門信息資產(chǎn)管理第一責(zé)任人，將信息資產(chǎn)安全納入部門績效考核；對因管理不當(dāng)導(dǎo)致信息泄露、丟失的，按《企業(yè)獎懲管理制度》追究相關(guān)人員責(zé)任。（四）記錄留存與合規(guī)審計所有管理記錄（資產(chǎn)臺賬、審批表、檢查報告、銷毀記錄等）保存期限不少于3年，保證審計可追溯；專項小組每年配合外部審計機(jī)構(gòu)開展信息資