信息资产分类分级管理制度

XXXXXX信息安全内部公开1内部公开113页信息资产分类分级治理程序目 录\l“_TOC_250006“目的和范围 1\l“_TOC_250005“引用文件 1\l“_TOC_250004“职责和权限 2\l“_TOC_250003“信息资产的分类分级 2信息资产的分类 2信息资产的分级治理 3信息资产分类指导 4\l“_TOC_250002“信息分级标识 4分级标识编号 4公司绝密、机密信息定义 5各密级知晓范围 5分级标识编号可作为分级标识使用 5\l“_TOC_250001“公司隐秘信息使用治理 6涉密信息的保管 6涉密信息的访问限制 7涉密信息的使用 8涉密信息发送 9涉密信息的废弃处置 10\l“_TOC_250000“保密原则 1目的和范围信息资产保护方法和治理要求，特制订本治理制度。来人员。特别岗位或特别人员，另有规定的从其规定。员知悉、操作、维护的事物、文档、工程、数据等资源。引用文件以下文件中的条款通过本规定的引用而成为本规定的条款。但凡注日期〔不包括订正的内容〕或均不XXXXXX信息安全内部公开内部公开1013页但凡不注日期的引用文件，其最版本适用于本标准。2) GB/T22080-2023/ISO/IEC27001:2023 信息技术-安全技术-信息安全治理体系要求3) GB/T22081-2023/ISO/IEC27002:2023 信息技术-安全技术-信息安全治理实施细则《备份治理规定》《访问把握程序》《文件把握程序》职责和权限本治理规定作为全公司范围信息类资产的最低治理要求，各部门或各工程规定一起，作为信息安全治理的工作指南。织，总体负责信息资产的安全。信息安全治理工作小组：负责具体的协调组织实施及解释答疑等工作。限保证本部门信息资产的安全。各信息的全部者：负责各信息资产的标识、分发和传递的把握；规定，并切实贯彻到日常工作中。信息资产的分类分级信息资产的分类资产、无形资产、文档资产、环境资产、第三方效劳资产等。区分标准如下：硬件资产：日常工作、公司运作或系统运行所依靠的可见电子设备、设施和工具。主要包括：办公类用品，如桌椅、纸张等。储、打印机等。网络设备，如网络交换机等。3类的设备设施，如饮水机等。软件资产：依靠电子计算设备运行的非硬件资产。如：操作系统、杀毒软件、源代码、组件、程序、业务系统或平台等。数据资产：计算机软件运行时依靠的原始数据、配置数据，运行时产生号密码、业务运行数据、号码资源等。人员资产：公司正常运营所依靠的人力资源。外包效劳资产：公司作为第三方为客户方供给的效劳业务。如我公司为EMGL业务。无形资产：特指本公司的专利信息资产。文档资产：以纸质或电子文件形式存在的文档资料。物理环境资产：指公司办公场所和为特别治理的业务或设备供给的效劳场所和设施。第三方效劳资产：指第三方为公司供给的效劳支持。如：电信运营商为400号码接入效劳业务、阿里云效劳。信息资产的分级治理信息资产的分级治理制度引用如下文件：硬件资产分级治理制度软件资产分级治理制度数据资产分级治理制度人员资产分级治理制度外包效劳资产分级治理制度无形资产分级治理制度文档资产分级治理制度环境资产分级治理制度第三方效劳资产分级治理制度信息资产分类指导登记全部信息资产，并确定其分级和治理责任人。信息分级标识分级标识编号硬件资产〔H-hard〕：H1、H2. 分别代表一级硬件资产，二级硬件资产 等。软件资产(S-soft)：S1S2............等。数据资产(D-data)：D1D2............等。人员资产(P-person)：P1、P2. 分别代表一级人员资产、二级人员资产 等。外包效劳资产(T-team)：T1、T2. 分别代表一级外包效劳资产、二级外包效劳资产 等。无形资产(N-noneNN2............等。文档资产(F-file)：F1、F2......分别代表一级文档资产、二级文档资产......等。环境资产(E-environmen)：E1、E2. 分别代表一级环境资产、二级环境资产 等。第三方效劳资产(TS-thirdservice)：TS1、TS2. 分别代表一级第三方效劳资产、二级第三方效劳资产 等。公司绝密、机密信息定义标记为一级和二级的文档及敏感类的信息称为公司机密信息，三类信息为隐秘层负责治理和保密义务。各密级知晓范围对其他任何人都需要保密。把握核心公司绝密的关键岗位人员的变更、离职须经总经理同意。公司机密级：部门经理级及以上的治理人员以及与公司机密内容有直接员需要保密。公司隐秘级：部门骨干治理人员以及与公司隐秘内容有直接关系的工作信息，但未授权不得对公司以外人员泄露公司的内部公开信息。公开：公司外面全部人员，允许知晓由公司内的授权人员宣布可公开的信息。可公开的文档必需转成PDF文档后，或使用其他方法变成只读不行修改的文档后再行公布。分级标识编号可作为分级标识使用公司固定资产硬件设备必需标记分级标识编号。作为电子文件时必需在文件的第一页的显著位置标识分级。“公司“绝密”标识。使用信封等封装时，还需要在封装上标记“绝密”标识及分级标识。对于模板文档，其标识的分级是指填写内容后的分级，而非空白时的分级。假设使用光盘/磁带/软盘等介质，需要直接在介质外表上标识分级。〔例如：工程开发成果物〕，必需有分级标识。标识。公司隐秘信息使用治理涉密信息的保管公司绝密、公司机密信息：应当保管在一般人员无法任凭进入的有安全电子文档必需有牢靠的备份机制；除非特别批准公司绝密信息不应保管在个人用计算机上。纸质文件以及电子存储介质〔/U盘/光盘/软盘等〕应当保存在加锁的文件柜或保险柜内。桌式书架或书柜内；在携带至办公室以外的地方时，应将资料存放在随身携带的锁闭的箱包或手提箱内。其它涉密信息：也应当保存在安全的工作区域内。电子文档也必需有牢靠式书架柜内，以防被非公司人员意外看到或获得。技术成果个人保存。工作成果物：〔工作成果物指需要向客户或上级或组织提交〕应当准时保存到指定场所。电子文档应当保存到公〔除非被批准，不得保存〕，并做好清楚标示，从而保证他们的可用性。员制度进展治理；客户信息在公司日常业务〔包括营销等相关活动〕中接触到客户的信息以及客户供给的信息同样应当作为公司的涉密信息实施治理和把握。重“公司隐秘”密级来对待。〔事先备份等〕，不得在其它任何场合使用或透露相关信息。涉密信息的访问限制日常工作中需使用含公司绝密、公司机密性数据的设备，或需处理公司保密协议》；本公司委外开发或加工的外包合同/协议中须包含所涉及信息资产的保密条款，必要时，须与相关人员签署保密协议；涉密信息的访问范围应限制在满足需要的最小限度。VLAN内，存放“公司绝密”信息的个人用计算机应当安装防火墙，保证其他机器无法主动访问，通过网络共享名目不允许存放“公司绝密”信息；存放涉密“”及以上信息未经授权，严禁以任何方式向公司以外人员泄露。“公司绝密”信息由公司领导、信息安全主管部门和相关应用部门协商确〔一般是总裁办治理〕具体“公司机密”和“公司隐秘”问权限，由他们或托付牢靠相关人员进展访问权限的具体把握措施。中所具体规定的各项把握策略。涉密信息的使用不得使用任何手段主动猎取与工作职责无关的涉密信息。者许可，制止复制、复印“公司机密”以上级别信息。因工作需要将涉密信息复制到非相关设备或公用设备中时，必需在使用使用完毕后，依据涉密信息废弃处置方法处置。涉密信息的使用必需严格限制在工作必需的物理和人员范围内，除非工密信息的纸质文档带出公司。“公司绝密”信息的使用必要时可以通过签名登记的方式加以把握。处理。不在有非相关人员在场的状况下谈论/使用涉密信息。包括：和客户接触PDF格式，并需要留意涉密信息的保护。不能在公共场所或者放开办公室、没有良好隔音的会议室谈论公司绝密信息。使用纸质文件是，要留意：“公司机密”以上级别信息的纸件不得重复使用，含其它涉密信息的纸件文件也不得跨工程使用；下班后应清理桌面，将含有重要涉密信息的纸质文件放入文件柜；打印“公司绝密”信息时，尽量使用非公用打印机；“公司绝密”信息时，尽量在人少时段；应当马上收取，再通知或送达收件人。对于涉密的技术文件的发放和回收，参考《文件把握程序》。计算机数据安全治理：态；人员因故离开座位时，必需退出系统或使用屏幕密码保护，防止账号被备并将桌面整理干净，避开保密信息失窃或系统被侵入；保管好全部的数据存储设备，并作适当标识；送；公司绝密或公司机密性数据，不得存放于无账号权限、密码限定的信息系统中。涉密信息发送“内部公开”信息未经许可，严禁发送给公司以外人员；“公司隐秘”，“公司机密”“公司绝密”只发给治理者授权的收件人。涉密信息传送后，必需通过e-Mail/MSN/等手段，获得对方确实认或主动向对方确认。“公司绝量直接交给收件人，假设放置在收件人坐席上必需将传送的反面朝上，并且事后要和收件人确认。“公司绝密”信息必需使用加密手段，而且密码不得同时发送；在可能的条件下，鼓舞全部涉密信息都承受加密手段传送。“公司绝密”信息除非特别需要必需使用公司的网络效劳传送；全部MSN/QQ/Skype/公用FTP/网络存储空间等手段来进展传送。必需利用最的防病毒库对收发的文件进展病毒检查。利用进展涉密信息传送时，不得托付非相关人员代为传送；传送时必需始终等待在侧；传送完毕后马上回收；不特别必要，不利用方系，保证不经过其他人手。利用快递/邮寄手段进展涉密信息传送时：对传送的信息必需加以封装；不特别必要，“公司绝密”信息的传送不利用快递/邮寄手段进展，而应尽“公司绝密”信息时，应事先和对方联系；在确认收到时，还必需确认封装没有损坏；非收件人不得任凭拆阅。涉密信息的废弃处置过期或作废的涉密文件需要废弃处置处理时，首先需得到批准。“公司绝密”信息的废弃处置要得到公司总经理书面批准，并指定可解除部门，相关工作组的负责人的批准，并指定人员实施。的记录。和“公司隐秘”信息，进展处理时，纸质文件要通过特地设备彻底粉碎；电子档案必需承受行政部许可使用的专用销毁文件的计算机磁盘工具予以消退，必需保存销毁文件的记录。客户方面特别提出要求时，依据客户要求的方法实施。粉碎处理；电子文档需要准时整理和去除。对一级硬件信息资产进展专人监视物理破坏。保密原则全部公司员工都有义务和责任保守公司公司隐秘。严格遵守公司关于保密方面的各项政策和制度规定；副本、打印机色带和图表；不在公司以外公共场合及同亲友及家人谈论公司的业务状况及保密信息；在向非公司员工发表演讲、宣传时不得援引保密信息；未经资料来源处授权，不得复制或复印任何公司保密数据资料；未经必要的审批手续，不得将公司保密数据资料从公司带出；不得使用规定以外的其它方式，用电子手段传送或调用保密数据材料；论文发表前，要经过部门领导和信息安全工作小组审核；员工必需具有保密意识，必需做到不该问确实定不问，不该说确实定不不准串岗。“知所必需”的原则，获得完成其工量安全的方式在最小范围内使用。依据工作需要知晓相关的公司公司隐秘。公司鼓舞员工在确定的程度上使用常识性的方法来保护公司涉密信息，“公司隐秘”的密级来对待。保密，尤其是器件供给商，与竞争