信息資產(chǎn)分類分級管理制度

XXX信息安全有限公司信息資產(chǎn)分類分級管理程序文件編號：.目的和范圍為降低公司重要資產(chǎn)因遺失、損壞、篡改、外泄等事件帶來的潛在風(fēng)險，這些風(fēng)險將對公司的信譽、經(jīng)營活動、經(jīng)濟利益等造成較大或重大損失，需要規(guī)范信息資產(chǎn)保護方法和管理要求，特制訂本管理制度。本規(guī)定適用于本公司信息資產(chǎn)的安全管理，適用對象為本公司員工和所有外來人員。特殊崗位或特殊人員，另有規(guī)定的從其規(guī)定。公司信息資產(chǎn)是指一切關(guān)系公司安全和利益，在保護期內(nèi)只限一定范圍內(nèi)人員知悉、操作、維護的事物、文檔、項目、數(shù)據(jù)等資源。.引用文件1）下列文件中的條款通過本規(guī)定的引用而成為本規(guī)定的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標準，然而，鼓勵各部門研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標準。GB/T22080-2016/IS0/IEC27001:2013信息技術(shù)-安全技術(shù)-信息安全管理體系要求GB/T22081-2016/ISO/IEC27002:2013信息技術(shù)-安全技術(shù)-信息安全管理實施細則4）《備份管理規(guī)定》5）《訪問控制程序》）《文件控制程序》.職責(zé)和權(quán)限本管理規(guī)定作為全公司范圍信息類資產(chǎn)的最低管理要求，各部門或各項目組，均可以根據(jù)客戶要求，添加補充策略，并在本部門、本項目組內(nèi)實施，與本規(guī)定一起，作為信息安全管理的工作指南。1）信息安全管理領(lǐng)導(dǎo)人組：是本公司信息資產(chǎn)安全管理工作的最高領(lǐng)導(dǎo)組織，總體負責(zé)信息資產(chǎn)的安全。2）信息安全管理工作小組：負責(zé)具體的協(xié)調(diào)組織實施及解釋答疑等工作。3）各部門經(jīng)理：作為本部門信息資產(chǎn)安全管理的最高責(zé)任者，有責(zé)任和權(quán)限保證本部門信息資產(chǎn)的安全。4）各信息的所有者：負責(zé)各信息資產(chǎn)的標識、分發(fā)和傳遞的控制；5）員工：應(yīng)當熟悉本管理規(guī)定的內(nèi)容，包括信息資產(chǎn)標識辦法和使用管理規(guī)定，并切實貫徹到日常工作中。.信息資產(chǎn)的分類分級信息資產(chǎn)的分類公司信息資產(chǎn)分為：硬件資產(chǎn)、軟件資產(chǎn)、數(shù)據(jù)資產(chǎn)、人員資產(chǎn)、外包服務(wù)資產(chǎn)、無形資產(chǎn)、文檔資產(chǎn)、環(huán)境資產(chǎn)、第三方服務(wù)資產(chǎn)等。區(qū)分標準如下：1）硬件資產(chǎn)：日常工作、公司運作或系統(tǒng)運行所依賴的可見電子設(shè)備、設(shè)施和工具。主要包括：辦公類用品，如桌椅、紙張等。計算機及配件、輔助設(shè)備類，如服務(wù)器、臺式機、筆記本電腦、移動存儲、打印機等。網(wǎng)絡(luò)設(shè)備，如網(wǎng)絡(luò)交換機等。其他設(shè)備，不屬于上述3類的設(shè)備設(shè)施，如飲水機等。2）軟件資產(chǎn)：依賴電子計算設(shè)備運行的非硬件資產(chǎn)。如：操作系統(tǒng)、殺毒軟件、源代碼、組件、程序、業(yè)務(wù)系統(tǒng)或平臺等。3）數(shù)據(jù)資產(chǎn)：計算機軟件運行時依賴的原始數(shù)據(jù)、配置數(shù)據(jù)，運行時產(chǎn)生的動態(tài)數(shù)據(jù)、結(jié)果數(shù)據(jù)以及能夠給公司經(jīng)濟效益、信息安全帶來潛在影響的所有數(shù)據(jù)，這些數(shù)據(jù)如遺失、非法復(fù)制傳播、損壞等從經(jīng)濟或安全上可能給公司造成損害。如客戶信息數(shù)據(jù)、系統(tǒng)配置數(shù)據(jù)、系統(tǒng)登錄帳號密碼、業(yè)務(wù)運行數(shù)據(jù)、電話號碼資源等。4）人員資產(chǎn)：公司正常運營所依賴的人力資源。5）外包服務(wù)資產(chǎn)：公司作為第三方為客戶方提供的服務(wù)業(yè)務(wù)。如我公司為廣發(fā)提供的EMGL業(yè)務(wù)。6）無形資產(chǎn)：特指本公司的專利信息資產(chǎn)。7）文檔資產(chǎn)：以紙質(zhì)或電子文件形式存在的文檔資料。8）物理環(huán)境資產(chǎn)：指公司辦公場所和為特殊管理的業(yè)務(wù)或設(shè)備提供的服務(wù)場所和設(shè)施。9）第三方服務(wù)資產(chǎn)：指第三方為公司提供的服務(wù)支持。如：電信運營商為我公司提供的400號碼接入服務(wù)業(yè)務(wù)、阿里云服務(wù)。.2信息資產(chǎn)的分級管理信息資產(chǎn)的分級管理制度引用如下文件：1）硬件資產(chǎn)分級管理制度2）軟件資產(chǎn)分級管理制度3）數(shù)據(jù)資產(chǎn)分級管理制度4）人員資產(chǎn)分級管理制度5）外包服務(wù)資產(chǎn)分級管理制度6）無形資產(chǎn)分級管理制度7）文檔資產(chǎn)分級管理制度8）環(huán)境資產(chǎn)分級管理制度9）第三方服務(wù)資產(chǎn)分級管理制度.3信息資產(chǎn)分類指導(dǎo)公司各部門依據(jù)分類定義和示例，對部門《資產(chǎn)識別表》中的各類資產(chǎn)進行分級，并報請本部門經(jīng)理審核確認。公司一級、公司二級信息資產(chǎn)需要報信息安全管理工作小組匯總、審核后，請公司總經(jīng)理確認審批?！顿Y產(chǎn)識別表》需詳細登記所有信息資產(chǎn)，并確定其分級和管理責(zé)任人。5.信息分級標識分級標識編號1）硬件資產(chǎn)（H?hard）：H1、H2……分別代表一級硬件資產(chǎn)，二級硬件資產(chǎn)……等。2）軟件資產(chǎn)（S?soft）：S1、S2……分別代表一級軟件資產(chǎn)、二級軟件資產(chǎn)……等。3）數(shù)據(jù)資產(chǎn)（D?data）：D1、D2……分別代表一級數(shù)據(jù)資產(chǎn)、二級數(shù)據(jù)資產(chǎn)……等。4）人員資產(chǎn)（P?person）：P1、P2……分別代表一級人員資產(chǎn)、二級人員資產(chǎn)……等。5）外包服務(wù)資產(chǎn)（『team）：T1、T2……分別代表一級外包服務(wù)資產(chǎn)、二級外包服務(wù)資產(chǎn)……等。6）無形資產(chǎn)（N-none）：N1、N2……分別代表一級無形資產(chǎn)、二級無形資產(chǎn)……等。7）文檔資產(chǎn)（F?file）：F1、F2……分別代表一級文檔資產(chǎn)、二級文檔資產(chǎn)……等。8）環(huán)境資產(chǎn)（E?environmen）：E1、E2……分別代表一級環(huán)境資產(chǎn)、二級環(huán)境資產(chǎn)……等。9）第三方服務(wù)資產(chǎn)（TS?thirdservice）：TS1、TS2……分別代表一級第三方服務(wù)資產(chǎn)、二級第三方服務(wù)資產(chǎn)……等。公司絕密、機密信息定義標記為一級和二級的文檔及敏感類的信息稱為公司機密信息，三類信息為秘密信息，四類為可內(nèi)部公開的信息，五類為可公開的信息。絕密信息，除文檔資產(chǎn)外，不包含在其他信息資產(chǎn)的分級定義序列中，絕密信息一般由公司最高管理層負責(zé)管理和保密義務(wù)。各密級知曉范圍1）公司絕密級：高層管理級人員及與公司絕密內(nèi)容有直接關(guān)系的工作人員，對其他任何人都需要保密。掌握核心公司絕密的關(guān)鍵崗位人員的變更、離職須經(jīng)總經(jīng)理同意。2）公司機密級：部門經(jīng)理級及以上的管理人員以及與公司機密內(nèi)容有直接關(guān)系的工作人員，允許知曉與本工作相關(guān)的公司機密事項，對非相關(guān)人員需要保密。3）公司秘密級：部門骨干管理人員以及與公司秘密內(nèi)容有直接關(guān)系的工作人員，允許知曉與本工作相關(guān)的公司秘密事項，但對其他部門應(yīng)保密。4）內(nèi)部公開：公司內(nèi)部所有人員，允許知曉在公司內(nèi)部范圍內(nèi)屬于公開的信息，但未授權(quán)不得對公司以外人員泄露公司的內(nèi)部公開信息。5）公開：公司外面所有人員，允許知曉由公司內(nèi)的授權(quán)人員宣布可公開的信息?？晒_的文檔必須轉(zhuǎn)成PDF文檔后，或使用其他方法變成只讀不可修改的文檔后再行發(fā)布。分級標識編號可作為分級標識使用1）公司固定資產(chǎn)硬件設(shè)備必須標記分級標識編號。2）作為電子文件時必須在文件的第一頁的顯著位置標識分級。3）對于紙質(zhì)文檔，使用公司統(tǒng)一刻制的分級標識圖章進行標識，對于“公司絕密”文檔在需要時，通過騎縫章或每頁敲章的方式進行，絕密”標識。使用信封等封裝時，還需要在封裝上標記“絕密”標識及分級標識。對于模板文檔，其標識的分級是指填寫內(nèi)容后的分級，而非空白時的分級。4）如果使用光盤/磁帶/軟盤等介質(zhì)，需要直接在介質(zhì)表面上標識分級。5）需要提交給客戶的信息資產(chǎn)（例如：項目開發(fā)成果物），必須有分級標識。6）對于應(yīng)用系統(tǒng)中的顯示畫面、數(shù)據(jù)表單或打印輸出等內(nèi)容，必須有分級標識。6.公司秘密信息使用管理涉密信息的保管）公司絕密、公司機密信息：應(yīng)該保管在一般人員無法隨便進入的有安全保障的房間，比如：總裁辦公室、各部門主管辦公室、財務(wù)室、機房等。電子文檔必須有可靠的備份機制；除非特別批準公司絕密信息不應(yīng)保管在個人用計算機上。紙質(zhì)文件以及電子存儲介質(zhì)（例如：移動硬盤/U盤/光盤/軟盤等）應(yīng)該保存在加鎖的文件柜或保險柜內(nèi)。在不使用或處于目光所及范圍之外時，應(yīng)將資料存放在鎖閉的檔案柜、桌式書架或書柜內(nèi)；在攜帶至辦公室以外的地方時，應(yīng)將資料存放在隨身攜帶的鎖閉的箱包或手提箱內(nèi)。2）其它涉密信息：也應(yīng)該保存在安全的工作區(qū)域內(nèi)。電子文檔也必須有可靠的備份機制。紙質(zhì)文檔以及電子存儲介質(zhì)應(yīng)存放于書柜、檔案柜或桌式書架柜內(nèi)，以防被非公司人員意外看到或獲得。a）技術(shù)成果技術(shù)轉(zhuǎn)讓、技術(shù)入股、技術(shù)引進等途徑獲取公司秘密的過程中，根據(jù)合同或協(xié)議中規(guī)定提供的公司秘密，承辦人應(yīng)采取保密措施，保證不泄漏公司秘密。獲取的公司秘密應(yīng)及時移交財務(wù)部歸檔，不得個人保存。b）工作成果物：每個人的工作成果物（工作成果物指需要向客戶或上級或組織提交的工作的結(jié)果）應(yīng)該及時保存到指定場所。電子文檔應(yīng)該保存到公用機器上的指定位置，從而得到可靠的備份和訪問控制，對于紙質(zhì)文檔和電子介質(zhì)應(yīng)該保存到指定文件柜內(nèi)（除非被批準，不得保存在個人文件柜內(nèi)），并做好清晰標示，從而保證他們的可用性。員工在公司任職期間的工作成果歸公司所有，并按《保密協(xié)議》及本制度進行管理；c）客戶信息在公司日常業(yè)務(wù)（包括營銷等相關(guān)活動）中接觸到客戶的信息以及客戶提供的信息同樣應(yīng)該作為公司的涉密信息實施管理和控制。重要信息應(yīng)該被指定為公司絕密，其余都按照“公司秘密”密級來對待。特別是客戶真實數(shù)據(jù)，屬于“公司機密”，除非得到客戶明確授權(quán)，不得使用；使用時必須按照嚴格的流程和管理規(guī)定（事先備份等），不得在其它任何場合使用或透露相關(guān)信息。涉密信息的訪問限制1）日常工作中需使用含公司絕密、公司機密性數(shù)據(jù)的設(shè)備，或需處理公司絕密、公司機密性數(shù)據(jù)的員工，須根據(jù)公司相關(guān)要求簽訂《知識產(chǎn)權(quán)及保密協(xié)議》；2）本公司委外開發(fā)或加工的外包合同/協(xié)議中須包含所涉及信息資產(chǎn)的保密條款，必要時，須與相關(guān)人員簽署保密協(xié)議；3）涉密信息的訪問范圍應(yīng)限制在滿足需要的最小限度。4）公司絕密信息應(yīng)該存放在非相關(guān)部門員工無法訪問的獨立的VLAN內(nèi)，存放“公司絕密”信息的個人用計算機應(yīng)該安裝防火墻，保證其他機器無法主動訪問，通過網(wǎng)絡(luò)共享目錄不允許存放“公司絕密”信息；存放涉密信息的計算機的用戶密碼必須得到嚴格控制和有效管理；“內(nèi)部公開’及以上信息未經(jīng)授權(quán)，嚴禁以任何方式向公司以外人員泄露?！肮窘^密”信息由公司領(lǐng)導(dǎo)、信息安全主管部門和相關(guān)應(yīng)用部門協(xié)商確定訪問權(quán)限，由信息安全主管部門委托人員（一般是總裁辦管理）具體控制?！肮緳C密”和“公司秘密”信息由各部門，各項目組的負責(zé)人確定訪問權(quán)限，由他們或委托可靠相關(guān)人員進行訪問權(quán)限的具體控制措施。6）為了保證涉密信息安全，全體員工必須嚴格遵守《訪問控制管理程序》中所具體規(guī)定的各項控制策略。涉密信息的使用）不得使用任何手段主動獲取與工作職責(zé)無關(guān)的涉密信息。）不得以任何工作需要以外的目的復(fù)制、復(fù)印、摘抄涉密信息，未經(jīng)管理者許可，禁止復(fù)制、復(fù)印“公司機密”以上級別信息。）因工作需要將涉密信息復(fù)制到非相關(guān)設(shè)備或公用設(shè)備中時、必須在使用完畢后，立即刪除作業(yè)遺留的涉密信息。因工作需要復(fù)印的涉密信息，使用完畢后，按照涉密信息廢棄處置方法處置。）涉密信息的使用必須嚴格限制在工作必須的物理和人員范圍內(nèi)，除非工作需要并得到批準，不得把存放涉密信息的設(shè)備和存儲介質(zhì)以及含有涉密信息的紙質(zhì)文檔帶出公司?！肮窘^密”信息的使用必要時可以通過簽名登記的方式加以控制。）因工作需要，需要對敏感的涉密信息共享時，必須對涉密信息進行加密處理。）不在有非相關(guān)人員在場的情況下談?wù)?使用涉密信息。包括：和客戶接觸時避免涉密信息的泄露,制作提供給客戶的資料文件時原則上使用PDF格式，并需要注意涉密信息的保護。不能在公共場所或者敞開辦公室、沒有良好隔音的會議室談?wù)摴窘^密信息。）使用紙質(zhì)文件是，要注意：“公司機密”以上級別信息的紙件不得重復(fù)使用，含其它涉密信息的紙件文件也不得跨項目使用；下班后應(yīng)清理桌面，將含有重要涉密信息的紙質(zhì)文件放入文件柜；發(fā)出打印命令后，及時去取打印文件，保證打印機處無遺留紙質(zhì)文件。打印“公司絕密”信息時，盡量使用非公用打印機；復(fù)印完畢后注意檢查，保證復(fù)印機處無遺留紙質(zhì)文件。復(fù)印“公司絕密”信息時，盡量在人少時段;傳真完畢后注意檢查，保證傳真機處無遺留紙質(zhì)文件。對于外來的傳真，應(yīng)該馬上收取，再通知或送達收件人。對于涉密的技術(shù)文件的發(fā)放和回收，參考《文件控制程序》。8）計算機數(shù)據(jù)安全管理：在從事涉及保密信息的工作時，不得離開計算機，使之處于無人照看狀態(tài)；人員因故離開座位時，必須退出系統(tǒng)或使用屏幕密碼保護，防止賬號被盜用或數(shù)據(jù)被竊取。下班或因公外出離開辦公室前，必須關(guān)閉計算機設(shè)備并將桌面收拾干凈，避免保密信息失竊或系統(tǒng)被侵入；保管好所有的數(shù)據(jù)存儲設(shè)備，并作適當標識；公司絕密或公司機密性數(shù)據(jù)如需通過電子郵件傳送，應(yīng)經(jīng)加密處理后傳送；公司絕密或公司機密性數(shù)據(jù)，不得存放于無賬號權(quán)限、密碼限定的信息系統(tǒng)中。涉密信息發(fā)送1）任何涉密信息的發(fā)送，都必須保證收件人的合法性；“內(nèi)部公開”信息未經(jīng)許可，嚴禁發(fā)送給公司以外人員；“公司秘密”，“公司機密”“公司絕密”只發(fā)給管理者授權(quán)的收件人。2）涉密信息傳送后，必須通過e-Mail/MSN/電話等手段，獲得對方的確認或主動向?qū)Ψ酱_認。3）在公司內(nèi)部傳送紙質(zhì)數(shù)據(jù)時，委托他人傳送時，必須加以封裝；“公司絕密”信息傳送時必須保證直接交給收件人本人；其他涉密信息傳送時，盡量直接交給收件人，如果放置在收件人坐席上必須將傳送的背面朝上，并且事后要和收件人確認。4）利用電子手段傳送數(shù)據(jù)時，“公司絕密”信息必須使用加密手段，而且密碼不得同時發(fā)送；在可能的條件下，鼓勵所有涉密信息都采用加密手段傳送「公司絕密”信息除非特別需要必須使用公司的網(wǎng)絡(luò)服務(wù)傳送;所有涉密信息都應(yīng)該盡量避免使用公司外部電子信箱以及MSN/QQ/Skype/公用FTP/網(wǎng)絡(luò)存儲空間等手段來進行傳送。必須利用最新的防病毒庫對收發(fā)的文件進行病毒檢查。5）利用傳真進行涉密信息傳送時，不得委托非相關(guān)人員代為傳送；傳送時必須始終等待在側(cè)；傳送完畢后立刻回收；不特別必要，不利用傳真方式進行“公司絕密”信息的傳送；收發(fā)“公司絕密”信息時，應(yīng)事先和對方聯(lián)系，保證傳真不經(jīng)過其他人手。6）利用快遞/郵寄手段進行涉密信息傳送時：對傳送的信息必須加以封裝；不特別必要，“公司絕密”信息的傳送不利用快遞/郵寄手段進行，而應(yīng)盡量利用公司內(nèi)部人員以專程的形式來進行傳送工作；傳送“公司絕密”信息時，應(yīng)事先和對方聯(lián)系；在確認收到時丁還必須確認封裝沒有損壞；非收件人不得隨便拆閱。涉密信息的廢棄處置1）過期或作廢的涉密文件需要廢棄處置處理時，首先需得到批準。2）“公司絕密”信息的廢棄處置要得到公司總經(jīng)理書面批準，并指定可解除該信息人員實施或全程監(jiān)督實施。其它涉密信息的廢棄處置要得到相關(guān)部門，相關(guān)工作組的負責(zé)人的批準，并指定人員實施。3）公司絕密數(shù)據(jù)必須退回資料來源處，或者在經(jīng)資料來源處授權(quán)情況下，將其存放在安全的文件貯存處或加以銷毀；電子檔案必須采用總裁辦許可使用的專用銷毀文件的計算機磁盤工具予以消除，必須保留銷毀文件的記錄。4）“公司機密”和“公司秘密”信息，進行處理時，紙質(zhì)文件要通過專門設(shè)備徹底粉碎；電子檔案必須采用行政部許可使用的專用銷毀文件的計算機磁盤工具予以消除，必須保留銷毀文件的記錄。5）客戶方面特別提出要求時，按照客戶要求的方法實施。6）個人工作中使用的紙質(zhì)文檔不得隨意丟棄或作其它用途，廢棄后要及時粉碎處理；電子文檔需要及時整理和清除。7）對一級硬件信息資產(chǎn)進行專人監(jiān)督物理破壞。7.保密原則1）所有公司員工都有義務(wù)和責(zé)任保守公司公司秘密。嚴格遵守公司關(guān)于保密方面的各項政策和制度規(guī)定；保護并按照規(guī)定的方式處理包含公司保密信息的各種記錄、草稿、文本副本、打印機色帶和圖表；不在公司以外公共場合及同親友及家人談?wù)摴镜臉I(yè)務(wù)情況及保密信息；在向非公司員工發(fā)表演講、宣傳時不得援引保密信息、；未經(jīng)資料來源處授權(quán)，不得復(fù)制或復(fù)印任何公司保密數(shù)據(jù)資料；未經(jīng)必要的審批手續(xù)，不得將公司保密數(shù)據(jù)資料從公司帶出；不得使用規(guī)定以外的其它方式，用電子手段傳送或調(diào)用保密數(shù)據(jù)材料；論文發(fā)表前，要經(jīng)過部門領(lǐng)導(dǎo)和信息安全工作小組審核；2）員工必須具有保密意識，必須做到不該問的絕對不問，不該說的