第一章 总 则

第一条 为数字化发展中心信息资产进行分级分类、鉴定和标识提供参考标准，防止信息资产被损毁、误用和非授权访问，保障信息资产的保密性、完整性和可用性，结合工作实际，制定本细则。

第二章 适用范围

第二条 本细则阐述了信息资产管理过程中的信息安全规范性要求，适用于数字化发展中心信息系统相关的信息资产（不涉及为国家秘密和商业秘密相关信息资产）的安全管理，在开展风险评估、安全检查等活动过程中可依据本细则对信息资产进行分级分类。

第三章 角色与职责

第三条 信息安全管理部门

数字化发展中心为信息安全管理部门，受学校网络安全领导小组领导，日常工作由相关人员保密办承担。

第四条 全体人员

遵守数字化发展中心信息资产相关安全管理要求，基于信息资产在保密性、完整性和可用性的不同要求，采取必要的管理和技术手段，对信息资产进行保护。

第四章 信息资产分类识别

（一）所有信息资产都应指定资产责任人，并由资产责任人负责进行相关资产的识别、统计、分类、分级，以便相关人员采取相应的保护措施。

（二）信息资产按形式不同可以分为六类，包括数据资产、实物资产、软件资产、人员资产、服务资产和其他，详细记录信息资产分类表。

（三）数据资产包括电子和实物两种形式的生产数据、配置文件、记录、管理文件和商务文件以及外来数据和文档等；

（四）实物资产包括各种与业务相关的IT物理设备或使用的硬件设施，用于安装已识别的软件、存放有已识别的数据资产或对数字化发展中心业务有支持作用；

（五）软件资产包括操作系统、数据库、中间件、应用软件和工具软件等；

（六）人员资产是指承担特定岗位相关责任的人员；

（七）服务资产包括各种以购买方式获取的，或者需要支持部门特别提供的、能够对其他已识别资产的操作起支持作用（即对业务有支持作用）的服务。

（八）应定期（不少于1次/年）对各类资产进行识别和更新，结合信息资产列表，进行分类和统计，并确认资产负责人，形成完整的信息资产识别表，记录信息资产识别表。

（九）涉及数字化发展中心保密相关信息资产的管理需严格遵照国家和相关部门的管理规定执行，本规定不适用。

第五章 信息资产分级赋值

（一）对已识别的资产，结合业务影响性分析结果，根据其在保密性（C）、完整性（I）和可用性（A）方面的重要程度，对资产进行赋值，并记录信息资产分级赋值标准表。

（二）按照公式MAX（C，I，A）计算各资产综合价值，MAX为取最大值函数，C、I、A为各项属性值。

（三）在信息资产生命周期不同阶段，信息资产保密性（C）、完整性（I）、可用性（A）属性值会因各种原因发生变化，应定期（不少于1次/年）根据现有资产变化情况，对资产赋值表进行复查更新。

第六章 信息资产处理和保护

（一）信息资产应根据其分类进行标识，包含在工作中产生的文件资料、图表、照片、录音带、磁盘、光盘、硬盘及电子介质（磁盘，备用磁带、CD、DVD、U盘等），电子介质可通过在介质表面粘标签的方式被标记，其他资产可通过在文本中添加状态进行标识。

（二）对于敏感信息资产及关键信息资产（丢失、泄漏及遭受破坏后可能对数字化发展中心成严重影响的资产），应标识其状态为受控（即为保密），并确保其传输可控，且不允许更改。

（三）信息资产在其他地点的传输应考虑传输渠道、传输方式、传输人，以确保信息资产异地传输的安全性。对于数据、电子文件等信息资产应尽量考虑通过数字化发展中心内网渠道进行传输，数字化发展中心敏感信息应避免通过外网邮箱进行传输，针对实物等资产在传输过程应确保有专人负责，保障其安全传输。

（四）数字化发展中心全体员工必须遵守数字化发展中心信息资产的安全管理策略，基于信息资产在保密性、完整性和可用性的不同要求，采取必要的管理和技术手段，对信息资产进行保护。

（五）员工一旦发现违反信息资产保护策略的情况，必须立即通知本部门负责人及数字化发展中心领导，提醒采取补救措施。

第七章 附则

第五条 本规定自发布之日起执行，条文由数字化发展中心负责解释。