信息安全等级保护制度-信息分类分级管理制度

信息分类分级管理制度第一章总则第一条为切实加强XXXX有限公司（以下简称“公司”）的信息安全工作，防范和杜绝各种泄密事件的发生，保护和合理利用公司秘密，确保公司信息披露的公平、公正，保障公司及其他利益相关者的合法权益不受侵犯，根据有关法律、法规并结合公司实际，制定本管理办法。第二条保密信息是指不为公众所知悉，关系公司利益，具有实用性并经公司采取保密措施保护的技术信息、经营信息、客户信息和管理信息等，在一定时间内只限一定范围人员知悉的信息。第三条公司各部门以及全体职员都有保守公司秘密的义务，都应做好信息保密工作。第四条信息保密工作，实行积极防范、突出重点、既确保秘密又便于工作，并充分履行信息披露义务的方针。第二章保密信息范围和密级确定第五条保密信息包括但不限于以下事项和行为：（一）涉及公司经营管理、运作和决策，或对公司利益有重大影响，一旦泄密将给公司带来损失或失去潜在收益的信息；（二）包括以书面和电子等方式存在的各种信息；（三）其他与公司相关的需要保密的信息。第六条保密信息的密级分为“1级”、“2级”、“3级”三个等级。（一）3级是最重要的公司秘密，泄露会使公司的利益遭受特别严重的损害，主要包括：公司的发展规划、经营战略、客户信息资料及相关内容、交易系统信息数据、商务谈判内容及载体，正式合同和协议文书、未开标的投标文件、未公开的重大投资决策、尚未确定的公司重要人事调整及安排等，以及按《档案法》规定属于绝密级别的各种档案；（二）2级是重要的公司秘密，泄露会使公司利益遭受到严重的损害，如、财务报表、统计资料、重要会议记录、公司经营情况等，以及按《档案法》规定属于机密级别的各种档案；（三）1级是一般的公司秘密，泄露会使公司的利益遭受损害，如公司人事档案、合同、协议、薪金制度，人力资源对管理人员的考评材料等，以及按《档案法》规定属于秘密级别的各种档案。定级方法所有信息用户，都应该遵守公司策略，基于信息密级来进行恰当的使用和处理。下表列出了对不同级别信息的相关处理规定。信息资产责任人可以在此基础上提出附加的控制要求，以便更好地控制访问，保护信息。3级2级1级内部公开电子介质标注要求在文件封面及内部都应该标注在明显处标注在明显处标注无标注要求硬拷贝标注要求如果是活页则每一页都需标注；如果是一体的则只需在封面封底或首页标注；其他介质表面标注在明显处标注在明显处标注无标注要求授权需得到责任人和公司管理层批准需得到相关责任人及部门领导批准需得到责任人批准无特别要求访问只能被得到授权的公司极少数核心人员访问，需签署特别保密协议只能被公司内部或外部得到明确授权的人员访问，访问者应该签署保密协议可以被公司内部或外部因为业务需要的人员访问，访问者应该签署保密协议任何公司员工或因为业务需要的人员都可以访问存储电子类的应该加密存储在安全的计算机系统内；硬拷贝应该锁在安全的保险柜内；禁止以其他形式存储或显示电子类的应该妥善保存在设有安全控制的计算机系统内（建议进行信息加密）；硬拷贝应该妥善保管，严禁摆放在桌面；使用白板展示后应立即擦除电子类的应该妥善保管，可以进行加密；纸质不应放在桌面以恰当方式保存，避免被非授权人员看到；存储有信息的介质避免丢失复制得到相关责任人及公司管理层批准；需要登记须经相关责任人批准，并让专人操作或监督实施，需要登记经相关责任人批准内部复制无限制打印禁止打印（或在授权情况下专人负责打印，不得打印到无人值守机）须经相关责任人许可，打印件标注密级并妥善管理，不得打印到无人值守机经相关责任人许可，打印件标注密级并妥善管理无限制，打印件标注密级邮件禁止邮件直接发送，经授权后做电子签名和加密控制，经安全的途径发送，保留记录须经相关责任人许可，邮件发送应做加密控制，保留记录经相关责任人许可无限制传真禁止传真须经相关责任人许可后专人负责传真经相关责任人许可无限制快递经授权后采取妥善的保护措施，由专人快递经授权后，由签署了特定安全协议的专门的快递公司快递经授权后，由签署了特定安全协议的专门的快递公司快递无限制内部分发经相关责任人和公司管理层批准后，密封分发，或以允许的电子分发形式进行安全的分发经相关责任人批准后，密封分发，或以允许的电子分发形式进行安全的分发经授权后，以内部邮件形式发放，或直接进行硬拷贝分发无限制对外分发经相关责任人和公司管理层批准后分发，需要签署特定得保密协议，需要进行登记经相关责任人批准后分发，需签署保密协议，需要进行登记经授权后，以邮件或者快递方式分发，建议签署保密协议经授权后，以允许的分发方式分发处理碎纸机；彻底销毁介质；电子记录定期消除；进行检查确认碎纸机；彻底销毁介质；电子记录定期消除；进行检查确认保存件标明作废；电子记录定期消除；介质销毁电子记录定期消除，介质销毁记录跟踪直接责任人应有收件人、复制者、保存者、浏览者、销毁者的日志记录跟踪文件复制、保存、浏览、销毁过程，应有记录无要求不建议跟踪第八条属于公司秘密的载体（如图纸、资料、录音、录象、软盘、光盘、硬盘等），应当依据本制度第六条、第七条的规定进行相应标注。保密期限届满，自行解密或经批准，提前解密。第三章主要涉密部门、人员范围及授权管理第九条公司主要涉密部门包括：总裁室、总裁办、技术部、运营部、清算、行政部、人力资源部、企划部、财务中心、信息中心、战略规划中心等部门。第十条公司主要涉密人员包括：（一）公司董事、监事、中高级管理人员；（二）列入主要涉密部门的全体员工；（三）负责保密事项制作、保管的人员；（四）公司主要涉密部门根据需要临时或专门指定的部门或岗位人员；（五）公司临时聘用的接触涉密工作的外部工作人员，如法律顾问、财务顾问等。公司可根据保密信息的具体情况，要求涉密人员签署保密协议。第十一条各部门负责人为本部门的保密工作负责人，信息中心为公司保密工作管理部门，负责监督和检查各部门的保密工作；组织解决密级不明确或者有争议的事项并负责组织处理公司的泄密事件。第十二条保密工作授权管理：（一）三级事项（含载体），由绝密事项生成部门指定专人负责做好标识，妥善保管，并建好记录、台帐，定期统一移交信息中心档案室管理。绝密事项的发放、传阅均需经相关公司领导批准，并应限制在一定时间内返还保管。绝密事项允许知悉的范围是公司董事、监事、中高级管理人员、绝密事项形成的相关人员，及董事、监事、高级管理人员认为需要让其知悉的对象；（二）二级事项（含载体），由机密事项生成部门指定专人负责做好标识，妥善保管，并建好记录、台帐，定期统一移交信息中心档案室管理。机密事项的发放，传阅需经相关公司领导或其授权的部门经理批准，并应限制在一定时间内返还保管。机密事项允许知悉的范围是公司董事、监事、高级管理人员、机密事项形成的相关人员，及董事、监事、高级管理人员、机密事项形成的负责人认为需要让其知悉的对象；（三）一级事项（含载体），由秘密事项生成部门指定专人负责做好标识，妥善保管，并建好记录、台帐，定期统一移交信息中心档案室管理。机密事项的发放，传阅需经部门经理或部门经理以上领导批准，并应限制在一定时间内返还保管。秘密事项允许知悉的范围是公司董事、监事、高级管理人员、秘密事项形成的相关人员，及董事、监事、高级管理人员、秘密事项形成的负责人认为需要让其知悉的对象。第四章保密管理第十三条员工在公司任职期间的工作成果归公司所有，并按照保密协定及本制度进行管理第十三条传阅保密材料由机要人员统一掌握，划定传阅范围，不得自行扩大，不得让无关人员查看，控制传阅文件的交接，以防丢失。第十四条不得擅自翻印、复印、传抄秘密文件、资料；不得在公共场所谈论秘密事项，不得在私人通讯中涉及秘密内容。保密材料复印件应视同原件管理，复印过程的废页应及时销毁。第十五条保密材料严格按照批准的份数打印，不得擅自多印多留，草稿视同原件一样管理，打印过程形成的废页、废件应及时销毁。第十六条传递保密材料要有保密措施，传递应专送，不得办理无关事项，密件不得携入不利于保密的场所。第十七条做好通讯中的保密工作，不在无保密措施的电话、传真机上传递保密材料。第十八条做好公司重要会议的保密工作，会址应选择有利于保密的地方，严格控制无关人员进入，严禁滥发会议文件，会后检查有无遗漏材料。第十九条做好办公自动化中的保密工作，对保密材料加设浏览和下载权限。第五章泄密的处理第二十条泄密是指下列行为之一：（一）使公司秘密被不应知悉者知悉的；（二）使公司秘密超过了限定的接触范围，而不能证明未被不应知悉者知悉的。第二十一条公司发生或者发现泄密事件，应当在知悉泄密事件后及时报告部门领导处。第二十二条发生泄密事件的部门，应根据情况及时采取补救措施，最大限度减少泄密造成的损失。处置泄密事件，应做到如下几点：（一）任何部门和个人应积极配合有关部门查明事发原因；（二）应对责任人进行处理，以增强保密意识；（三）采取纠正和预防措施，防止类似泄密事件的再次发生。第六章信息资产管理的生命周期第二十三条信息资产管理的生命周期包括：信息资产的创建、使用、维护及处置四个阶段。（一）创建在这一阶段的信息资产既包括新创建的信息资产，开启一个新的项目，还包括购买的信息资产及变更后的信息资产。并按照以下步骤来完成信息资产的创建。步骤描述责任人识别信息资产所有者信息资产所有者应该是在现存的资产管理策略中定义的，假如在现存的策略中没有定义的话，信息资产所有者一般被指派为部门/项目经理，识别方法与步骤，请参见本文档的第3章节。信息资产所有者识别安全需求资产本身面临的风险和弱点；客户指定的安全需求；企业内部的制度、目标、需求；相关的法律、法规信息资产所有者验收安全代表应该协助信息资产所有者进行验收，以保证信息资产的安全需求得到满足，并将保管人和使用者的安全需求应该传达者信息资产所有者。根据与第三方签订的合同或设备验收清单来进行验收。信息资产所有者对资产进行收集、分类，更新资产清单信息资产被验收后，安全代表应该帮助信息资产所有者进行分类，并对资产清单进行更新。分类方法请参见本文档的第4章节。信息资产所有者风险评估安全代表应该协助信息资产所有者识别、分析及评估新的信息资产所面临的风险，并参考《风险评估指南》进行评估。信息资产所有者风险处理风险评估之后，安全代表应该帮助信息资产所有者选择正确的控制措施来保护信息资产，并且使其满足业务安全需求。相关文档请参考《风险管理过程》。信息资产所有者培训信息资产所有者应该就选择的控制措施对资产的保管者和使用者进行培训，确保资产保管者和使用者正确实施所选择的控制措施。相关培训方式与内容，请参见《信息安全培训管理过程》。信息资产所有者（二）使用类型描述责任人纸质/电子数据所有的纸质或电子数据都应该有一个保管人，其职责是在工作职责范围内使用该信息，并避免泄露给他人，或进行工作职责范围之外的修改。当员工离职或转岗时，纸质或电子数据应当被收回，并且清除原电脑或复制的信息。信息资产所有者软件所有的应用或软件都应该有一个保管人，其职责是避免软件资产因丢失而泄露；所有的软件版权和介质应该由IT资源管理人员来保管，防止未授权使用。当员工离职或转岗时，软件版权将会被收回；如有必要，可卸载或删除其使用的软件资源。信息资产所有者硬件所有的硬件资产必须有清晰职责的保管人和使用者；当硬件资产被使用和管理时，硬件资产所有者和保管者应该防止硬件被破坏，防止存储在硬件中的信息被泄露或误用；无人值守的设备也应该要设置一个保管人，并应该强制实施适宜的安全控制措施。信息资产所有者信息资产在使用、处理、传输过程中，应该按照信息资产的等级来实施保护。（三）维护信息资产所有者应该对信息资产或资产清单进行定期维护。步骤描述责任人检查安全需求根据业务安全需求、客户需求、法律法规需求、合同需求及环境变更，信息资产所有者有责任对资产的安全需求和采取的控制措施进行至少每年一次的检查和回顾；当有关键信息资产进行变更时，信息资产所有者也应该对其安全需求进行回顾。信息资产所有者重新评估安全风险对于识别的主要风险，信息资产所有者应该要至少每年一次重新信息资产的风险。请参见《风险评估指南》信息资产所有者检查访问控制清单信息资产所有者应该至少每个月检查一次绝密信息的访问控制清单，每两个月检查一次机密信息的访问控制清单，以确保仅被授权的用户可访问信息资产。请参照《访问控制清单》来进行检查信息资产所有者人员异动当有员工离职、转岗时，信息资产所有者应该检查实施的安全控制措施；当有新员工入职时，信息资产所有者应负责对其进行信息安全培训。信息资产所有者信息资产变更当信息资产变更或初始分类变更时，信息资产所有者应该更新资产清单，根据现实环境对资产价值进行重新评定，对于信息资产的价值评定请参考本文档的第4章节，而后对更新的资产进行风险评估，对于信息资产的风险评估请参考《风险评估指南》进行评估。信息资产所有者（四）处置当信息资产超过其生命周期时，信息资产应该被销毁或重用。步骤描述责任人信息资产的保留信息资产应该在一定的周期内予以保留。假如信息资产未达到保留期限，信息资产是不能被销毁的；否则，信息资产应该被销毁；信息资产的保留期限请参考《文件及记录管理规定》。信息资产所有者