信息资产及分级管理程序

1.目的对公司信息资产进行登记和分类，明确各类信息资产保护级别与保护要求，从而达到保护公司信息资产目的。.适用范围本规范适用于公司所有信息资产分级管理。.职责1信息资产责任部门：提出信息资产创建需求的部门。2信息资产责任人：信息资产责任部门的负责人；识别信息资产在业务系统使用中的主要风险；确定信息资产的价值和密级；明确保护信息资产的控制措施；用户申请或取消访问信息资产权限审批。3信息资产保管人：负责对信息设备进行实物管理和日常维护的人员；保管信息资产日常管理和实际操作维护；处理信息资产责任人的日常管理要求；识别信息资产使用中各个环境的风险；向责任人建议有利于保护信息的新技术和措施；维护信息访问设备或系统的可靠性；落实安全控制措施。4用户：使用信息资产对应的业务系统的公司员工或客户员工：向信息资产责任部门提出访问信息系统的访问申请；使用过程中应遵守信息保密相关要求；遵守信息资产责任人或信息资产保管人实施的控制；把信息的错误或异常报告给信息资产责任人和信息资产保管人；发现漏洞和违规情况及时向信息安全管理部门报告。.工作程序.1信息资产分类定义类别描述数据文件包括：所有的业务数据、配置文件、日志数据、管理文档（操作手册、业务指导书）、商务档案（合同、协议等）等，除此之外，还包括书面文档、归档文件、录像、录音等。软件系统软件、应用软件（如:金蝶财务软件等）、工具软件（系统管理工具、安全软件）、系统开发工具等。实物物理设备、例如计算机、网络设备、磁带等人员内部用户、系统管理员、网络管理员、保安、清洁工、第三方人员等服务物业服务（环境巡查等）、环境保洁（清扫等）、基本保障（供水，供电等）、设备维护、技术支持、网络通讯等4.2信息资产保密价值定义级别价值描述极5包含组织最重要的秘密，关系未来发展的前途命运，对组织根本利益有着高决定性影响，如果泄漏会造成灾难性的损害。非常4包含组织的重要秘密，其泄露会使组织的安全和利益遭受严重损害。高高3包含组织的一般性秘密，其泄露会使组织的安全和利益受到损害。中2包含仅能在组织内部或在组织某一部门内部公开的信息，向外扩散有可能对组织的利益造成损害。低1包含可对社会公开的信息，公用的信息处理设备和系统资源等。.3信息资产密级分类信息资产密级分类仅针对信息资产分类中的：数据文件、软件、实物类信息资产做密级分类。信息资产密级分类包括：公司绝密、公司机密、内部公开、外部公开。密级描述范例公司绝密指直接影响公司权益和利益的重要资料，是最重要的公司秘密，泄露会使公司的权益和利益遭受特别严重的损害。商业绝密：尚未公布的公司发展经营计划，经营策略；对外重大投资计划、投标前方案及重大合同，重要股权变更与会议纪要、重要信函，客户合同和协议、客户名单和资料等。技术绝密：尚未公开公司专利设计、保密技术方案等重要技术资料。公司开发的专用软件、计算机软件、数据库等。管理绝密：尚未公开的各种审计报告、财务报表和分析报告、政府关系档案、产品采购底价和限价、重大人事信息、网络安全资料、重要会议决议和会议纪要、重要信函等。公司机密重要的公司资料，泄露会使公司权益和利益遭受到较严重的损害。商业机密：供应商合同、协议或基本信息资料卡、供应商清单、产品价格构成明细、成本明细、销售策略与内部会议纪要与业务往来信函等。技术机密：产品项目计划书、项目数据、技术方案、图纸、BOM、承认书、试产报告、工程变更、测试报告及相关的图片、图表、函电、内部会议纪要等。管理机密：员工人事档案、尚未公布的升降职人事决定及内部会议纪要、员工薪酬、员工考评结果等。内部公开在公司内部需要使用。非授权的披露或破坏不会给公司带来明显危害。已经公布管理制度、体系一二三阶文件和记录、工作流程、员工通讯录、一般性人事或行政等其它部门发布决定、决议、通告、通知等。外部公开已经对外发布的信息。非授权的披露不会给公司带来影响。产品广告、已公开的专利证书，体系证书等公开的推广信息4.4密级标注4.4.1信息责任人为信息标注一个合适的密级。信息的接收者或使用者要根据标注的密级进行使用和保护;4.4.2文档类信息资产应在文档中标注文件密级；4.4.3数据类信息资产应在存储或承载数据的实物资产上整体标记；4.4.4实物类信息资产密级根据承载的数据密级定义；4.4.5如果是多种信息放在一起，在整体上要标注这些信息中最高的密级；4.4.6对于历史文件的机密等级标识可以通过归档到特定文件夹或在文件柜中做相应标记；密级的标注：如果标注，要把“公司绝密”、“公司机密”、“内部公开”字样标注在明显可见的位置；4.5处理和保护5.1所有用户必须根据信息的密级执行相关的信息保护要求（具体要求请见下面的信息分类保护快速参考表）。信息责任人可以采取额外的控制措施保护信息和限制对信息的访问；5.2故意或无意地泄漏敏感信息造成损失的应按照相关人事管理制度进行处理；5.3信息资产的保管人应定期对资产密级标示作业和更新，负责人对此作业进行监督。.6信息分类保护可参考下表:公司绝密公司机密内部公开外部公开保管纸质文件存放于带锁文件柜中并注意物理安全电子文件放入公共盘需要对文件进行加密纸质文件存放于带锁文件柜中并注意物理安全电子文件放入公共盘需要对文件进行适当控制访问保护纸质文件存放于带锁文件柜中并注意物理安全电子文件放入公共盘防止让非授权的人员使用纸质文件放入文件夹中电子文件妥善放入公共盘中发放由专人以纸质文件发放，电子文件需要对文件进行加密由专人以纸质文件发放，电子文件需要对文件进行适当控制访问保护纸质、邮件、共享文件、内网等方式发放邮件、共享文件、内网等方式发放访问审批使用申请必须经过公司负责人审批，说明使用目的和方式使用申请必须经过资产责任部门负责人审批，说明使用目的和方式仅限于公司内部人员访问使用。做好信息资产访问权限工作不限制于访问权限i己录申请和审批必须做记录申请和审批必须做记录根据实际情况可以不做记录要求不做记录销毁电子数据要彻底清除，纸质文档要切成碎片或烧毁可采取其他可靠彻底的销毁方式电子数据要彻底清除，纸质文档要切成碎片或烧毁可采取其他可