ISO270012013信息資產(chǎn)分類分級管理制度

1、【信息資產(chǎn)分類分級管理程序】F4-B-總經(jīng)辦-010-V1.0信息資產(chǎn)分類分級管理程序目 錄1. 目的和范圍 22. 引用文件23. 職責和權限34. 信息資產(chǎn)的分類分級 34.1信息資產(chǎn)的分類 34.2信息資產(chǎn)的分級管理 44.3信息資產(chǎn)分類指導 55. 信息分級標識 55.1分級標識編號55.2公司絕密、機密信息定義 65.3各密級知曉范圍 65.4分級標識編號可作為分級標識使用 76. 公司秘密信息使用管理 86.1 涉密信息的保管 86.2涉密信息的訪問限制 96.3涉密信息的使用 106.4涉密信息發(fā)送126.5涉密信息的廢棄處置 137. 保密原則141. 目的和范圍為降低公司重要

2、資產(chǎn)因遺失、損壞、篡改、外泄等事件帶來的潛在風險，這 些風險將對公司的信譽、經(jīng)營活動、經(jīng)濟利益等造成較大或重大損失，需要規(guī)范信息資產(chǎn)保護方法和管理要求，特制訂本管理制度。本規(guī)定適用于本公司信息資產(chǎn)的安全管理，適用對象為本公司員工和所有外 來人員。特殊崗位或特殊人員，另有規(guī)定的從其規(guī)定。公司信息資產(chǎn)是指一切關系公司安全和利益， 在保護期內(nèi)只限一定范圍內(nèi)人 員知悉、操作、維護的事物、文檔、項目、數(shù)據(jù)等資源。2. 引用文件1）下列文件中的條款通過本規(guī)定的引用而成為本規(guī)定的條款。凡是注日期 的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不 適用于本標準，然而，鼓勵各部門研究是否可使用這些

3、文件的最新版本。 凡是不注日期的引用文件，其最新版本適用于本標準。2）GB/T 22080-2016/ISO/IEC 27001:2013信息技術-安全技術-信息安全管理體系要求3）GB/T 22081-2016/ISO/IEC 27002:2013信息技術-安全技術-信息安全管理實施細則4）備份管理規(guī)定5）訪問控制程序6）文件控制程序3. 職責和權限本管理規(guī)定作為全公司范圍信息類資產(chǎn)的最低管理要求，各部門或各項目組，均可以根據(jù)客戶要求，添加補充策略，并在本部門、本項目組內(nèi)實施，與本 規(guī)定一起，作為信息安全管理的工作指南。1）信息安全管理領導人組：是本公司信息資產(chǎn)安全管理工作的最高領導組 織，

4、總體負責信息資產(chǎn)的安全。2）信息安全管理工作小組：負責具體的協(xié)調(diào)組織實施及解釋答疑等工作。3）各部門經(jīng)理：作為本部門信息資產(chǎn)安全管理的最高責任者，有責任和權 限保證本部門信息資產(chǎn)的安全。4）各信息的所有者：負責各信息資產(chǎn)的標識、分發(fā)和傳遞的控制；5）員工：應當熟悉本管理規(guī)定的內(nèi)容，包括信息資產(chǎn)標識辦法和使用管理 規(guī)定，并切實貫徹到日常工作中。4. 信息資產(chǎn)的分類分級4.1信息資產(chǎn)的分類公司信息資產(chǎn)分為：硬件資產(chǎn)、軟件資產(chǎn)、數(shù)據(jù)資產(chǎn)、人員資產(chǎn)、外包服務 資產(chǎn)、無形資產(chǎn)、文檔資產(chǎn)、環(huán)境資產(chǎn)、第三方服務資產(chǎn)等。區(qū)分標準如下：1）硬件資產(chǎn)：日常工作、公司運作或系統(tǒng)運行所依賴的可見電子設備、設 施和工具。主要包括：辦