ZD1信息資產(chǎn)管理制度

1、金現(xiàn)代信息產(chǎn)業(yè)股份有限公司信息資產(chǎn)管理制度文件編號：ITSMS-JXD-ZD-01-161108編制：胡翠梅日期：2016-11-08審核：魯效停日期：2016-11-08批準：周建朋日期：2016-11-08文件密級：秘密2016年11月08日頒布2016 年11月08日實施金現(xiàn)代信息產(chǎn)業(yè)股份有限公司發(fā)布修訂歷史日期描述修改人審核人批準人2016-11-08新建胡翠梅魯效停周建朋信息資產(chǎn)管理制度1目的保持對公司信息資產(chǎn)的適當保護，并確保信息資產(chǎn)受到適當級別的保護，從而確保滿足公 司信息資產(chǎn)安全的要求。2. 適用范圍適用于公司信息資產(chǎn)管理工作的管理。3. 職責3.1 人資企劃部是信息資產(chǎn)保密工

2、作的歸口管理部門，負責信息資產(chǎn)保密控制的整理、標識、 利用、保管、更改以和監(jiān)督集中銷毀的監(jiān)銷監(jiān)督職能3.2 各部門負責相關(guān)保密資料的傳閱、收集、整理職能，并按規(guī)定期限移交人資企劃部，填寫 好記錄。3.3 各部門負責保持對組織資產(chǎn)的適當保護，責任由指定的信息資產(chǎn)負責人承擔。4. 管理要求4.1 信息資產(chǎn)的識別4.1.1 各部門應列出信息資產(chǎn)清單并將每項資產(chǎn)的名稱、型號、所處位置、資產(chǎn)負責人、保密 程度等相關(guān)信息記錄在資產(chǎn)清單上。一旦發(fā)生變化，各部門應和時更新信息資產(chǎn)清單。4.1.2 資產(chǎn)的賦值不在于確定資產(chǎn)的絕對價值，而在于確定資產(chǎn)的相對價值，按照相關(guān)程序進 行評價。4.2 密級的分類信息的密級

3、分為 5 類：國家秘密事項、企業(yè)絕密事項、企業(yè)機密事項、企業(yè)秘密事項和公 開事項。信息分類定義：a. “國家秘密事項”：中華人民共和國保守國家秘密法中指定的秘密事項，公司業(yè)務活 動中涉和國家秘密事項（機密級）和（秘密級）；b. “企業(yè)絕密事項”：指具有最高敏感性的信息。包括一個組織馬上要實施的兼并策略或 者投資策略，重要的設計和計劃。如果將機密信息丟失或者公之于眾， 將會嚴重損害組織利益 僅供公司內(nèi)部總裁級別以上使用，必須嚴格限制其發(fā)布，并且始終處于保護之中，應采用加密 方式傳遞，其安全保護級別為最高。c. “企業(yè)機密事項”：公司關(guān)鍵的信息，不可對外公開，必須經(jīng)過批準同意后才能被公開 或者被內(nèi)

4、部共享，若泄露或被篡改會對本公司的生產(chǎn)經(jīng)營造成損害；這類信息包括業(yè)務計劃、 財務信息、銀行信息、律師和會計等客戶的敏感信息。d. “企業(yè)秘密事項”：為了日常的業(yè)務能順利進行而向公司員工公開、但不可向公司以外 人員隨意公開的事項組織的工作規(guī)程、項目計劃、設計和規(guī)格說明、內(nèi)部備忘錄、內(nèi)部項目報 告等它的泄露將造成組織和管理的不便，但是并不會造成經(jīng)濟損失或者信譽的損害。僅供公司 內(nèi)部主管級別以上使用，通常只限于授權(quán)人員使用，未經(jīng)授權(quán)不能復制，帶出公司。d. “普通事項”：秘密事項以外，僅用來傳遞信息、昭示承諾或?qū)ν庑麄魉婧偷氖马棧?經(jīng)同意后可以公開使用，其安全級別為最低。4.3 涉密文件、資料的標

5、識、制發(fā)4.3.1 本公司產(chǎn)生的企業(yè)絕密、企業(yè)機密、企業(yè)秘密信息，其資產(chǎn)的賦值不在于確定資產(chǎn)的絕 對價值，而在于確定資產(chǎn)的相對價值，按照 4.2 條款進行評價。4.3.2 各部門對產(chǎn)生的信息確定密級和保密期限，并做好密級標識。對于絕密信息和機密以和 秘密信息資產(chǎn)，如果是文檔，應在文件上注明密級；如果是軟件，應在文件名中注明密級，如 果是物體，需要在表面粘貼或者書寫密級標識。普通密級可以不做標記。對重要數(shù)據(jù)，資產(chǎn)負 責人應定期備份。所有的秘密信息和機密信息數(shù)據(jù)的打印報告、屏幕顯示、記錄媒介和復印件 都要清楚標明密級，以便使授權(quán)的接收者注意。4.3.3 凡需到印制的密級文件、資料，須由人資企劃部負

6、責，并嚴格控制印刷份數(shù)。如果外部 印制，應與指定的印刷廠簽署包括保密內(nèi)容的協(xié)議。4.3.4 凡在公司內(nèi)打印的密級公文、資料，須列出詳細的分發(fā)清單，擬稿人親自送給人資企劃 部。4.3.5 有密級的公文、資料必須嚴格按分發(fā)對象分發(fā)，不得多印。4.3.6 發(fā)放有密級的文件必須記錄在保密文件分發(fā)記錄表上登記備查。4.3.7 絕密的文件不得在辦公網(wǎng)絡中流轉(zhuǎn)、辦理。其他密級文件需在系統(tǒng)中流轉(zhuǎn)和辦理時，應 設定權(quán)限。4.4 涉密文件、資料的接收、流轉(zhuǎn)、保管借閱、歸檔和銷毀4.4.1 涉密文件接收應登記記錄，傳閱完畢后應盡快送。4.4.2 外出開會帶回的涉密文件、資料應在當天或次日交還部門。凡涉密文件、資料，

7、個人 不得帶到家里和公共場所。4.4.3 涉密文件材料需落實專人、專柜保管，文件應和時存放文件柜不可隨手擺放。4.4.4 因工作需要借閱涉密文件材料的，需填寫借閱使用登記表。借閱人應妥善保管涉密文 件，用后和時歸還。4.4.5 上級或其他單位制定的標有密級的文件、資料等一般不準復制。如確需復制，必須經(jīng) 批準，并做好使用過程中的保密與用后的統(tǒng)一回收工作。4.4.6 涉密應按照文件控制程序的要求建立并保存內(nèi)部信息、秘密信息、機密信息傳送、 接收和查閱記文件錄。4.4.7 文件、資料的保管期限按檔案保管期限的規(guī)定執(zhí)行，電子光盤保管按信息處理設施 管理制度中介質(zhì)管理要求執(zhí)行。4.4.8 對超越保管期限

8、、沒有保存價值的文件材料應按照文件控制程序規(guī)定，到規(guī)定地 點進行集中銷毀。4.5 辦公自動化和計算機信息系統(tǒng)的保密規(guī)定4.5.1 嚴禁在無保密措施的有線、無線通信和計算機網(wǎng)絡中傳遞國家和企業(yè)秘密。進行涉密內(nèi) 容的活動，嚴禁使用無線話筒；同一信息的傳遞，嚴禁明密混用。4.5.3 涉密計算機設備的安裝、調(diào)試、檢修，應由技術(shù)部專業(yè)技術(shù)人員負責；使用人員和未 經(jīng)批準人員不得隨意拆卸和檢修。涉密計算機檢修前，應徹底清除設備中的涉密信息或拆除所 有涉密存儲介質(zhì)，并派專人陪同、監(jiān)督。4.5.4 計算機信息系統(tǒng)實行安全等級保護。計算機應用人員應使用合法的用戶名稱、密碼或 口令，密碼或口令不得泄露他人。任何個人

9、不得擅自修改網(wǎng)絡資源配置、網(wǎng)絡權(quán)限和網(wǎng)絡安全 等級。4.5.5 秘密信息應由各職能部門管理， 以紙質(zhì)/電子文檔形式存在于公司內(nèi)部。在網(wǎng)絡中供內(nèi)部 職工使用的文檔，應避免以WOR文檔形式發(fā)布，宜以PDF形式在管理信息網(wǎng)中，并設定訪問 權(quán)限，供企業(yè)內(nèi)部職工查詢。4.5.6 涉和敏感信息的計算機設備實施大修、升級、停用或報廢前，由使用部門對包含儲存媒 體的設備的所有項目進行檢查并清除，由技術(shù)部確認，確保在處置之前所有敏感數(shù)據(jù)和許可軟 件都被清除或者覆蓋掉。4.5.7 對外送的敏感信息，由本部門領導審核后，由技術(shù)部同意后方可外送，技術(shù)部負責進行 登記。4.5.8 對不經(jīng)流程外送的敏感信息，由人資企劃部

10、做出處理決定，按照員工手冊規(guī)定進行考核。4.6 會議保密規(guī)定4.6.1 凡牽涉秘密的會議，人資企劃部根據(jù)需要，嚴格確定出席、列席會議人員。4.6.2 任何參會人員不得向外泄露會議內(nèi)容。4.6.3 重要秘密內(nèi)容，不印文件，也不作記錄。4.6.4 不得私自印發(fā)負責講話記錄。4.6.5 會議文件要劃定密級，統(tǒng)一編號，按照規(guī)定的范圍印發(fā)和傳達。會議結(jié)束時，對文件、 資料進行清點，應收回的要全部收回。4.7 宣傳報道的保密規(guī)定4.7.1 在宣傳報道中有可能涉和到本公司的某些機密時，應對報道內(nèi)容進行適當處理，或請 示領導確定報道范圍。4.7.2 在接待任務中，遇到需要保密的問題時，應主動和時向總經(jīng)理請示，

11、防止以參觀為名 竊取情報的事情發(fā)生。4.8 通信保密規(guī)定4.8.1 嚴禁用普通郵政、明碼電報、普通傳真、普通電話、無線對講機等非保密通訊設備傳 遞國家秘密事項。各部門需發(fā)送密級文件的，統(tǒng)一由人資企劃部辦理。4.8.2 特別情況下，必須用電話通知時，在用語上要加以注意。一般秘密內(nèi)容如果發(fā)傳真， 應當加密。4.8.3 明確使用無線話筒的范圍和場合，嚴禁內(nèi)部會議使用無線話筒錄音，或以無線話筒代 替擴音設備傳達秘密事項。4.9 其它規(guī)定4.9.1 管理人員不得詢問、觀看與本職工作無關(guān)的保密事項的文件材料。4.9.2 各部門應對工作人員，特別是新參加工作的人員進行保密教育。4.10 信息資產(chǎn)檢查 各部門

12、要指定責任人每年對信息資產(chǎn)進行清查盤點， 以確保信息安全設施與信息資產(chǎn)清單 相符和完好無損。5. 相關(guān)文件文件控制程序信息處理設施管理制度6. 相關(guān)記錄6.1 ITSMS-JXD-JL-060資產(chǎn)清單（見信息安全風險評估控制程序）6.2 ITSMS-JXD-JL-002文件發(fā)放/回收登記表（見文件控制程序）6.3 ITSMS-JXD-JL-003文件作廢（銷毀）申請表（見文件控制程序）6.4 ITSMS-JXD-JL-076信息資產(chǎn)分類制度6.5 ITSMS-JXD-JL-077 信息資產(chǎn)訪問（使用）權(quán)限申請表 （在操作平臺中）6.6 ITSMS-JXD-JL-078信息發(fā)送（接收）記錄6.7

13、 ITSMS-JXD-JL-079資產(chǎn)評估準則信息資產(chǎn)分類制度分類包括內(nèi)容電子數(shù)據(jù)各種數(shù)據(jù)資料：數(shù)據(jù)庫數(shù)據(jù)、電子文檔（作業(yè)標準書、圖紙、計劃、報告等）文檔資產(chǎn)紙質(zhì)的各種文件（作業(yè)標準書、圖紙、合同、傳真、財務報告、訂單、證書等）軟件資產(chǎn)應用軟件：辦公軟件、數(shù)據(jù)庫軟件、各類工具軟件，開發(fā)軟件系統(tǒng)軟件：操作系統(tǒng)、硬件驅(qū)動程序硬件資產(chǎn)網(wǎng)絡設備：路由器、交換機計算機設備：服務器、臺式計算機、便攜計算機存儲設備：光盤、軟盤、 U盤、移動硬盤傳輸線路：雙絞線保障設備：UPS電源、變電設備、空調(diào)、保險柜、文件柜、門禁、消防設施等安全設備：防火墻其它設備：打印機、復印機、掃描儀、傳真機等人員資產(chǎn)掌握重要信息和

14、核心業(yè)務的人員，包括各級管理人員、安全人員、網(wǎng)絡管理員、系統(tǒng)管理員、業(yè)務操作人員、第三方人員、臨時雇傭人員等服務類資產(chǎn)信息服務：對外依賴該系統(tǒng)開展的各類服務 網(wǎng)絡服務：各種網(wǎng)絡設備、設施提供的網(wǎng)絡連接服務 辦公服務：為提高效率而開發(fā)的管理信息系統(tǒng)，包括各種內(nèi)部配置管理、文件流轉(zhuǎn)管理 位置：外部環(huán)境，房屋，基本區(qū)域，電話線，配電箱，供水其它企業(yè)形象、客戶關(guān)系等ITSMS-JXD-JL-077信息資產(chǎn)訪問（使用）權(quán)限申請表申請人、t申請資產(chǎn)申請說明：批準人意見：批準人：日期：ITSMS-JXD-JL-077信息資產(chǎn)訪問（使用）權(quán)限申請表申請人、t申請資產(chǎn)申請說明：批準人意見：批準人：日期：信息發(fā)送

15、（接收）記錄ITSMS-JXD-JL-078密級、t發(fā)送人內(nèi)容：接收人時間ITSMS-JXD-JL-078信息發(fā)送（接收）記錄K 咅人 送 發(fā)人 收 接間 時錄 記K 咅人 送 發(fā)人 收 接間 時保密性評估準則準則電子數(shù)據(jù)文檔資產(chǎn)軟件資產(chǎn)硬件資產(chǎn)人員資產(chǎn)服務類資產(chǎn)按信息 的訪問 權(quán)限等 級或信 息的存 儲、傳 輸和處 理設施 /人員 涉和信 息的訪 問權(quán)限 等級來 評估資 產(chǎn)保密 性的要 求等級獲取權(quán)限賦值獲取、存儲、傳輸和處理信息的權(quán)限賦值獲取、存儲、傳輸和處理信息的權(quán)限賦值使用和處理 信息的權(quán)限賦值崗位獲取、接 觸信息的權(quán)限賦值獲取、存儲、傳輸和處理信息的權(quán)限賦值對公司和外部都是公開 的1

16、同左1同左1同左1同左1同左1對公司內(nèi)部所有員工是 公開的2同左2同左2同左2同左2同左2只限于公司被授權(quán)的部 門3同左3同左3同左3同左3同左3只限于公司中層管理人 員以上或部門少數(shù)關(guān)鍵 人員4同左4同左4同左4同左4同左4只限于公司高層管理人 員或公司少數(shù)關(guān)鍵人員5同左5同左5同左5同左5同左5完整性評估準則準則電子數(shù)據(jù)文檔資產(chǎn)軟件資產(chǎn)硬件資產(chǎn)人員資產(chǎn)服務類資產(chǎn)按資產(chǎn) 的準確 性或完 整性受 損，而造 成組織 的業(yè)務 持續(xù)或 形象聲 譽受影 響的嚴 重程度 來評估影響程度賦值影響程度賦值影響程度賦值影響程度賦值崗位范圍賦值影響程度賦值未經(jīng)授權(quán)的修改或破壞對組織造成的 影響可以忽略，對業(yè)務沖

17、擊可以忽略1同左1同左1同左1實習員工夕卜聘臨時工1同左1未經(jīng)授權(quán)的修改或破壞會對組織造成 輕微影響，可以忍受，對業(yè)務沖擊輕微， 容易彌補2同左2同左2同左2一般員工2同左2未經(jīng)授權(quán)的修改或破壞會對組織造成 影響，對業(yè)務沖擊明顯，但可以彌補3同左3同左3同左3技術(shù)、管理、財務等方面的 骨干人員3同左3未經(jīng)授權(quán)的修改或破壞會對組織造成 重大影響，對業(yè)務沖擊嚴重，比較難以 彌補4同左4同左4同左4中層管理人員4同左4未經(jīng)授權(quán)的修改或破壞會對組織造成 重大的或無法接受的影響，對業(yè)務沖擊 重大，并可能造成嚴重的業(yè)務中斷，難以彌補5同左5同左5同左5高層管理人員5同左5可用性評估準則準則電子數(shù)據(jù)文檔資產(chǎn)軟件資產(chǎn)硬件資產(chǎn)人員資產(chǎn)服務類資產(chǎn)按資產(chǎn) 使用或 允許中 斷的時 間次數(shù) 來評估數(shù)據(jù)存儲、傳輸和處理設施在一個工 作日內(nèi)允許中斷的次數(shù)或時間比例賦值使用頻次要求賦值使用頻次要 求賦值每次中斷允許時間賦值允許離崗時間賦值每次中斷允許時間賦值16次以上或全部工作時間中斷1