ZD信息資產(chǎn)管理制度

1、金現(xiàn)代信息產(chǎn)業(yè)股份有限公司信息資產(chǎn)管理制度文件編號(hào)：ITSMS-JXD-ZD-01-161108編制：胡翠梅日期：2016-11-08審核：魯效停日期：2016-11-08批準(zhǔn)：周建朋日期：2016-11-08受控狀態(tài)：受控文件密級(jí)：秘密2016年11月08日頒布2016年11月08日實(shí)施金現(xiàn)代信息產(chǎn)業(yè)股份有限公司發(fā)布修訂歷史日期描述修改人審核人批準(zhǔn)人2016-11-08新建胡翠梅魯效停周建朋信息資產(chǎn)管理制度1目的保持對(duì)公司信息資產(chǎn)的適當(dāng)保護(hù)，并確保信息資產(chǎn)受到適當(dāng)級(jí)別的保護(hù)，從而確保滿足公 司信息資產(chǎn)安全的要求。2. 適用范圍適用于公司信息資產(chǎn)管理工作的管理。3. 職責(zé)人資企劃部是信息資產(chǎn)保

2、密工作的歸口管理部門， 負(fù)責(zé)信息資產(chǎn)保密控制的整理、 標(biāo)識(shí)、利用、 保管、更改以及監(jiān)督集中銷毀的監(jiān)銷監(jiān)督職能各部門負(fù)責(zé)相關(guān)保密資料的傳閱、收集、整理職能，并按規(guī)定期限移交人資企劃部，填寫好記 錄。各部門負(fù)責(zé)保持對(duì)組織資產(chǎn)的適當(dāng)保護(hù)，責(zé)任由指定的信息資產(chǎn)負(fù)責(zé)人承擔(dān)。4. 管理要求信息資產(chǎn)的識(shí)別4.1.1各部門應(yīng)列出信息資產(chǎn)清單并將每項(xiàng)資產(chǎn)的名稱、型號(hào)、所處位置、資產(chǎn)負(fù)責(zé)人、保密程 度等相關(guān)信息記錄在資產(chǎn)清單上。一旦發(fā)生變化，各部門應(yīng)及時(shí)更新信息資產(chǎn)清單。4.1.2資產(chǎn)的賦值不在于確定資產(chǎn)的絕對(duì)價(jià)值， 而在于確定資產(chǎn)的相對(duì)價(jià)值， 按照相關(guān)程序進(jìn)行 評(píng)價(jià)。密級(jí)的分類信息的密級(jí)分為 5 類：國(guó)家秘密事

3、項(xiàng)、企業(yè)絕密事項(xiàng)、企業(yè)機(jī)密事項(xiàng)、企業(yè)秘密事項(xiàng)和公 開事項(xiàng)。信息分類定義：a. “國(guó)家秘密事項(xiàng)”：中華人民共和國(guó)保守國(guó)家秘密法中指定的秘密事項(xiàng)，公司業(yè)務(wù)活 動(dòng)中涉及國(guó)家秘密事項(xiàng)（機(jī)密級(jí)）和（秘密級(jí)）；b“企業(yè)絕密事項(xiàng)”：指具有最高敏感性的信息。包括一個(gè)組織馬上要實(shí)施的兼并策略或者投資策略，重要的設(shè)計(jì)和計(jì)劃。如果將機(jī)密信息丟失或者公之于眾，將會(huì)嚴(yán)重?fù)p害組織利益。 僅供公司內(nèi)部總裁級(jí)別以上使用，必須嚴(yán)格限制其發(fā)布，并且始終處于保護(hù)之中，應(yīng)采用加密 方式傳遞，其安全保護(hù)級(jí)別為最高。C. “企業(yè)機(jī)密事項(xiàng)”：公司關(guān)鍵的信息，不可對(duì)外公開，必須經(jīng)過批準(zhǔn)同意后才能被公開或 者被內(nèi)部共享，若泄露或被篡改會(huì)對(duì)本公

4、司的生產(chǎn)經(jīng)營(yíng)造成損害；這類信息包括業(yè)務(wù)計(jì)劃、財(cái) 務(wù)信息、銀行信息、律師和會(huì)計(jì)等客戶的敏感信息。d. “企業(yè)秘密事項(xiàng)”：為了日常的業(yè)務(wù)能順利進(jìn)行而向公司員工公開、但不可向公司以外人 員隨意公開的事項(xiàng)組織的工作規(guī)程、項(xiàng)目計(jì)劃、設(shè)計(jì)和規(guī)格說明、內(nèi)部備忘錄、內(nèi)部項(xiàng)目報(bào)告 等它的泄露將造成組織和管理的不便，但是并不會(huì)造成經(jīng)濟(jì)損失或者信譽(yù)的損害。僅供公司內(nèi) 部主管級(jí)別以上使用，通常只限于授權(quán)人員使用，未經(jīng)授權(quán)不能復(fù)制，帶出公司。d. “普通事項(xiàng)”：秘密事項(xiàng)以外，僅用來傳遞信息、昭示承諾或?qū)ν庑麄魉婕暗氖马?xiàng)，經(jīng) 同意后可以公開使用，其安全級(jí)別為最低。涉密文件、資料的標(biāo)識(shí)、制發(fā)4.3.1本公司產(chǎn)生的企業(yè)絕密

5、、企業(yè)機(jī)密、企業(yè)秘密信息，其資產(chǎn)的賦值不在于確定資產(chǎn)的絕對(duì) 價(jià)值，而在于確定資產(chǎn)的相對(duì)價(jià)值，按照條款進(jìn)行評(píng)價(jià)。4.3.2各部門對(duì)產(chǎn)生的信息確定密級(jí)和保密期限， 并做好密級(jí)標(biāo)識(shí)。 對(duì)于絕密信息和機(jī)密以及秘 密信息資產(chǎn)，如果是文檔，應(yīng)在文件上注明密級(jí)；如果是軟件，應(yīng)在文件名中注明密級(jí)，如果 是物體，需要在表面粘貼或者書寫密級(jí)標(biāo)識(shí)。普通密級(jí)可以不做標(biāo)記。對(duì)重要數(shù)據(jù)，資產(chǎn)負(fù)責(zé) 人應(yīng)定期備份。所有的秘密信息和機(jī)密信息數(shù)據(jù)的打印報(bào)告、屏幕顯示、記錄媒介和復(fù)印件都 要清楚標(biāo)明密級(jí)，以便使授權(quán)的接收者注意。4.3.3 凡需到印制的密級(jí)文件、 資料，須由人資企劃部負(fù)責(zé)， 并嚴(yán)格控制印刷份數(shù)。 如果外部印 制，應(yīng)

6、與指定的印刷廠簽署包括保密內(nèi)容的協(xié)議。4.3.4凡在公司內(nèi)打印的密級(jí)公文、 資料，須列出詳細(xì)的分發(fā)清單，擬稿人親自送給人資企劃部。4.3.5 有密級(jí)的公文、資料必須嚴(yán)格按分發(fā)對(duì)象分發(fā)，不得多印。4.3.6 發(fā)放有密級(jí)的文件必須記錄在保密文件分發(fā)記錄表上登記備查。4.3.7 絕密的文件不得在辦公網(wǎng)絡(luò)中流轉(zhuǎn)、 辦理。其他密級(jí)文件需在系統(tǒng)中流轉(zhuǎn)和辦理時(shí)， 應(yīng)設(shè)定權(quán)限涉密文件、資料的接收、流轉(zhuǎn)、保管借閱、歸檔和銷毀4.4.1 涉密文件接收應(yīng)登記記錄，傳閱完畢后應(yīng)盡快送。4.4.2 外出開會(huì)帶回的涉密文件、資料應(yīng)在當(dāng)天或次日交還部門。凡涉密文件、資料，個(gè)人不 得帶到家里和公共場(chǎng)所。4.4.3 涉密文件材

7、料需落實(shí)專人、專柜保管，文件應(yīng)及時(shí)存放文件柜不可隨手?jǐn)[放。4.4.4 因工作需要借閱涉密文件材料的， 需填寫借閱使用登記表。借閱人應(yīng)妥善保管涉密文件， 用后及時(shí)歸還。4.4.5 上級(jí)或其他單位制定的標(biāo)有密級(jí)的文件、資料等一般不準(zhǔn)復(fù)制。如確需復(fù)制，必須經(jīng)批 準(zhǔn)，并做好使用過程中的保密與用后的統(tǒng)一回收工作。4.4.6 涉密應(yīng)按照文件控制程序的要求建立并保存內(nèi)部信息、秘密信息、機(jī)密信息傳送、 接收和查閱記文件錄。4.4.7 文件、資料的保管期限按檔案保管期限的規(guī)定執(zhí)行，電子光盤保管按信息處理設(shè)施管 理制度中介質(zhì)管理要求執(zhí)行。4.4.8 對(duì)超越保管期限、沒有保存價(jià)值的文件材料應(yīng)按照文件控制程序規(guī)定，到

8、規(guī)定地點(diǎn) 進(jìn)行集中銷毀。辦公自動(dòng)化和計(jì)算機(jī)信息系統(tǒng)的保密規(guī)定4.5.1 嚴(yán)禁在無保密措施的有線、無線通信及計(jì)算機(jī)網(wǎng)絡(luò)中傳遞國(guó)家和企業(yè)秘密。 進(jìn)行涉密內(nèi)容 的活動(dòng)，嚴(yán)禁使用無線話筒；同一信息的傳遞，嚴(yán)禁明密混用。4.5.3 涉密計(jì)算機(jī)設(shè)備的安裝、調(diào)試、檢修，應(yīng)由技術(shù)部專業(yè)技術(shù)人員負(fù)責(zé)；使用人員和未經(jīng) 批準(zhǔn)人員不得隨意拆卸和檢修。涉密計(jì)算機(jī)檢修前，應(yīng)徹底清除設(shè)備中的涉密信息或拆除所有 涉密存儲(chǔ)介質(zhì)，并派專人陪同、監(jiān)督。4.5.4 計(jì)算機(jī)信息系統(tǒng)實(shí)行安全等級(jí)保護(hù)。計(jì)算機(jī)應(yīng)用人員應(yīng)使用合法的用戶名稱、密碼或口 令，密碼或口令不得泄露他人。任何個(gè)人不得擅自修改網(wǎng)絡(luò)資源配置、網(wǎng)絡(luò)權(quán)限和網(wǎng)絡(luò)安全等 級(jí)。4.

9、5.5秘密信息應(yīng)由各職能部門管理，以紙質(zhì) / 電子文檔形式存在于公司內(nèi)部。在網(wǎng)絡(luò)中供內(nèi)部 職工使用的文檔，應(yīng)避免以 WORD 文檔形式發(fā)布，宜以 PDF 形式在管理信息網(wǎng)中，并設(shè)定訪 問權(quán)限，供企業(yè)內(nèi)部職工查詢。4.5.6涉及敏感信息的計(jì)算機(jī)設(shè)備實(shí)施大修、升級(jí)、停用或報(bào)廢前，由使用部門對(duì)包含儲(chǔ)存媒體 的設(shè)備的所有項(xiàng)目進(jìn)行檢查并清除，由技術(shù)部確認(rèn)，確保在處置之前所有敏感數(shù)據(jù)和許可軟件 都被清除或者覆蓋掉。4.5.7 對(duì)外送的敏感信息，由本部門領(lǐng)導(dǎo)審核后，由技術(shù)部同意后方可外送， 技術(shù)部負(fù)責(zé)進(jìn)行登 記。4.5.8 對(duì)不經(jīng)流程外送的敏感信息，由人資企劃部做出處理決定，按照員工手冊(cè)規(guī)定進(jìn)行考核。 會(huì)議

10、保密規(guī)定4.6.1 凡牽涉秘密的會(huì)議，人資企劃部根據(jù)需要，嚴(yán)格確定出席、列席會(huì)議人員。4.6.2 任何參會(huì)人員不得向外泄露會(huì)議內(nèi)容。4.6.3 重要秘密內(nèi)容，不印文件，也不作記錄。4.6.4 不得私自印發(fā)負(fù)責(zé)講話記錄。4.6.5 會(huì)議文件要?jiǎng)澏芗?jí)，統(tǒng)一編號(hào)，按照規(guī)定的范圍印發(fā)和傳達(dá)。會(huì)議結(jié)束時(shí)，對(duì)文件、 資料進(jìn)行清點(diǎn)，應(yīng)收回的要全部收回。宣傳報(bào)道的保密規(guī)定4.7.1 在宣傳報(bào)道中有可能涉及到本公司的某些機(jī)密時(shí)，應(yīng)對(duì)報(bào)道內(nèi)容進(jìn)行適當(dāng)處理，或請(qǐng)示 領(lǐng)導(dǎo)確定報(bào)道范圍。4.7.2 在接待任務(wù)中，遇到需要保密的問題時(shí)，應(yīng)主動(dòng)及時(shí)向總經(jīng)理請(qǐng)示，防止以參觀為名竊 取情報(bào)的事情發(fā)生。通信保密規(guī)定4.8.1

11、嚴(yán)禁用普通郵政、明碼電報(bào)、普通傳真、普通電話、無線對(duì)講機(jī)等非保密通訊設(shè)備傳遞 國(guó)家秘密事項(xiàng)。各部門需發(fā)送密級(jí)文件的，統(tǒng)一由人資企劃部辦理。4.8.2 特別情況下，必須用電話通知時(shí)，在用語上要加以注意。一般秘密內(nèi)容如果發(fā)傳真，應(yīng) 當(dāng)加密。4.8.3 明確使用無線話筒的范圍和場(chǎng)合，嚴(yán)禁內(nèi)部會(huì)議使用無線話筒錄音，或以無線話筒代替 擴(kuò)音設(shè)備傳達(dá)秘密事項(xiàng)。其它規(guī)定4.9.1 管理人員不得詢問、觀看與本職工作無關(guān)的保密事項(xiàng)的文件材料。4.9.2 各部門應(yīng)對(duì)工作人員，特別是新參加工作的人員進(jìn)行保密教育。信息資產(chǎn)檢查各部門要指定責(zé)任人每年對(duì)信息資產(chǎn)進(jìn)行清查盤點(diǎn)， 以確保信息安全設(shè)施與信息資產(chǎn)清單 相符和完好無

12、損。5. 相關(guān)文件文件控制程序信息處理設(shè)施管理制度6. 相關(guān)記錄ITSMS-JXD-JL-06資產(chǎn)清單（見信息安全風(fēng)險(xiǎn)評(píng)估控制程序）ITSMS-JXD-JL-002 文件發(fā)放/回收登記表 （見文件控制程序）ITSMS-JXD-JL-003 文件作廢（銷毀）申請(qǐng)表 （見文件控制程序）ITSMS-JXD-JL-076 信息資產(chǎn)分類制度ITSMS-JXD-JL-077 信息資產(chǎn)訪問（使用）權(quán)限申請(qǐng)表 （在操作平臺(tái)中）ITSMS-JXD-JL-078 信息發(fā)送（接收）記錄ITSMS-JXD-JL-079 資產(chǎn)評(píng)估準(zhǔn)則信息資產(chǎn)分類制度分類包括內(nèi)容電子數(shù)據(jù)各種數(shù)據(jù)資料：數(shù)據(jù)庫數(shù)據(jù)、電子文檔（作業(yè)標(biāo)準(zhǔn)書、圖

13、紙、計(jì)劃、報(bào)告等）文檔資產(chǎn)紙質(zhì)的各種文件（作業(yè)標(biāo)準(zhǔn)書、圖紙、合同、傳真、財(cái)務(wù)報(bào)告、訂單、證書等）軟件資產(chǎn)應(yīng)用軟件：辦公軟件、數(shù)據(jù)庫軟件、各類工具軟件，開發(fā)軟件系統(tǒng)軟件：操作系統(tǒng)、硬件驅(qū)動(dòng)程序硬件資產(chǎn)網(wǎng)絡(luò)設(shè)備：路由器、交換機(jī)計(jì)算機(jī)設(shè)備：服務(wù)器、臺(tái)式計(jì)算機(jī)、便攜計(jì)算機(jī)存儲(chǔ)設(shè)備：光盤、軟盤、U盤、移動(dòng)硬盤傳輸線路：雙絞線保障設(shè)備：UPS電源、變電設(shè)備、空調(diào)、保險(xiǎn)柜、文件柜、門禁、消防設(shè)施等安全設(shè)備：防火墻其它設(shè)備：打印機(jī)、復(fù)印機(jī)、掃描儀、傳真機(jī)等人員資產(chǎn)掌握重要信息和核心業(yè)務(wù)的人員，包括各級(jí)管理人員、安全人員、網(wǎng)絡(luò)管理員、 系統(tǒng)管理員、業(yè)務(wù)操作人員、第三方人員、臨時(shí)雇傭人員等服務(wù)類資產(chǎn)信息服務(wù)：對(duì)外

14、依賴該系統(tǒng)開展的各類服務(wù)網(wǎng)絡(luò)服務(wù)：各種網(wǎng)絡(luò)設(shè)備、設(shè)施提供的網(wǎng)絡(luò)連接服務(wù)辦公服務(wù)：為提高效率而開發(fā)的管理信息系統(tǒng)，包括各種內(nèi)部配置管理、文件流轉(zhuǎn)管理位置：外部環(huán)境，房屋，基本區(qū)域，電話線，配電箱，供水其它企業(yè)形象、客戶關(guān)系等信息資產(chǎn)訪問（使用）權(quán)限申請(qǐng)表信息資產(chǎn)訪問（使用）權(quán)限申請(qǐng)表申請(qǐng)人部門申請(qǐng)資產(chǎn)申請(qǐng)說明：批準(zhǔn)人意見：批準(zhǔn)人：日期：ITSMS-JXD-JL-078信息發(fā)送（接收）記錄密級(jí)部門發(fā)送人內(nèi)容：接收人時(shí)間ITSMS-JXD-JL-078信息發(fā)送（接收）記錄密級(jí)部門發(fā)送人內(nèi)容：接收人時(shí)間ITSMS-JXD-JL-078信息發(fā)送（接收）記錄密級(jí)部門發(fā)送人內(nèi)容：接收人時(shí)間保密性評(píng)估準(zhǔn)則準(zhǔn)則

15、電子數(shù)據(jù)文檔資產(chǎn)軟件資產(chǎn)硬件資產(chǎn)人員資產(chǎn)服務(wù)類資產(chǎn)按信 息的 訪問 權(quán)限 等級(jí) 或信 息的 存儲(chǔ)、 傳輸 及處 理設(shè)獲取權(quán)限賦值獲取、存儲(chǔ)、傳輸及處理信息的權(quán)限賦值獲取、存儲(chǔ)、傳輸及處理信息的權(quán)限賦值使用及處理信息的權(quán)限賦值崗位獲取、接觸信息的權(quán)限賦值獲取、存儲(chǔ)、傳輸及處理信息的權(quán)限賦值對(duì)公司及外部都是公開的1同左1同左1同左1同左1同左1對(duì)公司內(nèi)部所有員工是公開的2同左2同左2同左2同左2同左2只限于公司被授權(quán)的部門3同左3同左3同左3同左3同左3施/人 員涉 及信 息的 訪問 權(quán)限 等級(jí) 來評(píng) 估資 產(chǎn)保 密性 的要 求等 級(jí)只限于公司中層 管理人員以上或 部門少數(shù)關(guān)鍵人 員4同左4同左4

16、同左4同左4同左4只限于公司咼層管理人員或公司少數(shù)關(guān)鍵人員5同左5同左5同左5同左5同左5完整性評(píng)估準(zhǔn)則準(zhǔn)則電子數(shù)據(jù)文檔資產(chǎn)軟件資產(chǎn)硬件資產(chǎn)人員資產(chǎn)服務(wù)類資產(chǎn)按資 產(chǎn)的 準(zhǔn)確 性或 完整 性受 損，而 造成 組織 的業(yè) 務(wù)持 續(xù)或影響程度賦值影響程度賦值影響程度賦值影響程度賦值崗位范圍賦值影響程度賦值未經(jīng)授權(quán)的修改或破壞對(duì)組織造成的影響可以忽略，對(duì)業(yè)務(wù)沖擊可以忽略1同左1同左1同左1實(shí)習(xí)員工外聘臨時(shí)工1同左1未經(jīng)授權(quán)的修改或破壞會(huì) 對(duì)組織造成輕微影響，可以 忍受，對(duì)業(yè)務(wù)沖擊輕微，容 易彌補(bǔ)2同左2同左2同左2一般員工2同左2未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)組織造成影響，對(duì)業(yè)務(wù)沖3同左3同左3同左3技術(shù)

17、、管理、財(cái)務(wù)等方3同左3形象 聲譽(yù) 受影 響的 嚴(yán)重 程度 來評(píng) 估擊明顯，但可以彌補(bǔ)面的骨干人員未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)組織造成重大影響，對(duì)業(yè)務(wù)沖擊嚴(yán)重，比較難以彌補(bǔ)4同左4同左4同左4中層管理人員4同左4未經(jīng)授權(quán)的修改或破壞會(huì) 對(duì)組織造成重大的或無法 接受的影響，對(duì)業(yè)務(wù)沖擊重 大，并可能造成嚴(yán)重的業(yè)務(wù) 中斷，難以彌補(bǔ)5同左5同左5同左5高層管理人員5同左5可用性評(píng)估準(zhǔn)則準(zhǔn)則電子數(shù)據(jù)文檔資產(chǎn)軟件資產(chǎn)硬件資產(chǎn)人員資產(chǎn)服務(wù)類資產(chǎn)按資 產(chǎn)使 用或 允許 中斷 的時(shí) 間次 數(shù)來 評(píng)估數(shù)據(jù)存儲(chǔ)、傳輸及處理設(shè)施在一個(gè)工作日內(nèi)允許中斷的次數(shù)或時(shí)間比例賦值使用頻次要求賦值使用頻次要求賦值每次中斷允許時(shí)間賦值允許離崗時(shí)間賦值每次中斷允許時(shí)間賦值16次以上或全部工作時(shí)間中斷1