2023文件密級控制程序

密級控制程序編號：ISMS-狀態(tài)：受控編寫：200X年XX月XX日審核：200X年XX月XX日同意：200X年XX月XX日公布版次：第A/0版200X年XX月XX日生效日期200X年XX月XX日分發(fā)：各部門（或XXX）接受部門：

變更記錄變更日期版本變更闡明編寫審核同意-XX-XXA/0初始版本XXXXXXXXX密級控制程序1范圍為更好地管理客戶（合作方）和我司在服務、技術(shù)、經(jīng)營等活動中產(chǎn)生的各類信息，防止因不恰當使用或泄漏,使我司蒙受經(jīng)濟損失或法律糾紛，特制定本管理規(guī)程。本原則規(guī)定了信息密級劃分、標注及處理控制目的和控制方式。2規(guī)范性引用文獻下列文獻中的條款通過本原則的引用而成為本原則的條款。但凡注日期的引用文獻，其隨即所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不合用于本原則，然而，鼓勵各部門研究與否可使用這些文獻的最新版本。但凡不注日期的引用文獻，其最新版本合用于本原則。《GB/T22080-idtISO/IEC27001:信息技術(shù)-安全技術(shù)-信息安全管理體系規(guī)定》《GB/T22081-idtISO/IEC27002:信息技術(shù)-安全技術(shù)-信息安全管理實行細則》3術(shù)語和定義IGB/T22080-idtISO/IEC27001:《信息技術(shù)-安全技術(shù)-信息安全管理體系規(guī)定》和GB/T22081-idtISO/IEC27002:《信息技術(shù)-安全技術(shù)-信息安全管理實行細則》規(guī)定的術(shù)語合用于本原則。4職責和權(quán)限4.1XX部XX部負責信息密級劃分、標注及處理控制。4.2各部門各部門負責本部門使用或管理的信息密級劃分、標注及處理控制。5活動描述5.1密級的分類信息的密級分為3類：企業(yè)秘密事項（秘密）、內(nèi)部信息事項（受控）和公開事項。信息分類定義：a)“秘密”：《中華人民共和國保守國家秘密法》中指定的秘密事項；或不可對外公開、若泄露或被篡改會對我司的平常經(jīng)營導致嚴重損害，或者由于業(yè)務上的需要僅限有關(guān)人員懂得的事項；介質(zhì)包括但不限于：紙類、電磁類及其他媒體（紙張、軟盤、硬盤、光盤、磁帶、膠片）。b)“受控”：不可對外公開、若泄露或被篡改會對我司的平常經(jīng)營導致?lián)p害，或者由于業(yè)務上的需要僅限有關(guān)人員懂得的事項；或是指為了平常的業(yè)務能順利進行而向企業(yè)員工公開、但不可向企業(yè)以外人員隨意公開的事項。c)“公開”：秘密事項以外，僅用來傳遞信息、昭示承諾或?qū)ν庑麄魉暗氖马棥?．涉密、受控文獻、資料的標識、制發(fā)的管理6.1管理職責企業(yè)秘密管理的最高責任者為企業(yè)執(zhí)行總經(jīng)理，各部門的管理責任者為本部門經(jīng)理。全體員工都負有遵守保密承諾、保守企業(yè)秘密的義務。6.2企業(yè)秘密的指令6.2.1“秘密”按《中華人民共和國保守國家秘密法》的有關(guān)規(guī)定執(zhí)行。企業(yè)秘密事項由經(jīng)營管理機構(gòu)指定，企業(yè)秘密及敏感信息事項由產(chǎn)生該事項的部門經(jīng)理級以上（含副經(jīng)理）人員指定。指定秘密事項時，應參照附錄1的示例，并充足考慮該事項的性質(zhì)及重要程度等原因。6.2.2員工對自己編寫的信息需判斷與否為企業(yè)秘密及管理分類（秘密、受控）時，可隨時問詢經(jīng)理級以上領(lǐng)導。后者對前者的祈求應及時予以明確的處理。無法判明時，可請示更高一級領(lǐng)導。6.2.3編寫的文獻一旦被指定為秘密、受控文獻，則負責人應按本規(guī)定的規(guī)定對編寫中和編寫后的無用稿件進行處置。6.3秘密、受控文獻的表達措施由編寫部門在文獻封面標明“秘密”，受控文獻，由編寫部門在文獻封面標明“受控”，顏色無規(guī)定。注:1)采用電磁等媒體記錄的秘密、受控文獻，應在其包裝盒上明顯的位置用標簽標明秘密、受控管理分類，使用的印章措施同上。2)由XX部負責發(fā)行管理的技術(shù)關(guān)聯(lián)規(guī)程/集中管理規(guī)格書等，除尤其指定外均屬受控文獻。XX部使用的圖紙，不便于標明文獻類型，其默認為受控文獻印刷發(fā)行。6.4送付部門和使用目的、范圍的指定6.4.1發(fā)送秘密文獻時，制定者應根據(jù)文獻內(nèi)容指定接受部門和接受人。6.4.2為了防止接受人因不清晰使用范圍而泄密，可在附件中指明使用目的和使用范圍。若從文獻標題和送付部門一覽中能使接受者明確使用目的和范圍，可省略上述指定。6.5秘密文獻的發(fā)放管理6.5.1各部門在發(fā)放秘密文獻前，應作好發(fā)行臺帳登記。臺帳的內(nèi)容應包括：發(fā)行年月日、標題、送付部門及份數(shù)、解除/變更年月日、回收/廢棄年月日等。該管理臺帳同秘密文獻同樣保管。6.5.2企業(yè)內(nèi)發(fā)送的秘密文獻，盡量親自交給接受人，或裝入信封并標明“親展”6.5.3發(fā)往企業(yè)以外的秘密文獻，原則上雙方應簽訂具有保密條款的協(xié)議并經(jīng)部門經(jīng)理以上的同意后方可提供。特殊狀況（無保密條款協(xié)議但又必需提供）需事先準備好保密協(xié)議書，經(jīng)部門經(jīng)理以上同意并規(guī)定對方在接受時簽收。注:1)運用網(wǎng)絡傳送秘密文獻時，應事先與接受人獲得聯(lián)絡，并根據(jù)實際狀況決定與否加載壓縮/解壓縮密碼。2)運用FAX傳送的秘密文獻時，應事先與接受人聯(lián)絡，并以書面或口頭的方式提醒對方“注意保密，嚴禁復印”。6.6企業(yè)秘密的使用6.6.1秘密文獻的接受人應按秘密文獻的使用目的、使用范圍對的使用秘密文獻。6.6.2秘密文獻的保管人員和秘密事項的實際操作人員未經(jīng)指定者許可不得私自將秘密內(nèi)容向其他人員公開。6.6.3采用網(wǎng)絡傳送的秘密文獻需轉(zhuǎn)發(fā)他人時，同樣按6.5項注1的規(guī)定處理。轉(zhuǎn)發(fā)時必須附上文獻名稱或標題，并在正文中注明“秘密文獻”。6.6.4秘密文獻原則上嚴禁復印。因業(yè)務必需時應限制在最小程度，并且在使用后按8.2項措施及時廢棄。6.6.5未經(jīng)同意嚴禁將秘密文獻帶出企業(yè)使用。如工作必須，應通過部門經(jīng)理以上領(lǐng)導的同意。6.7秘密文獻的保管6.7.1秘密文獻應保留在能上鎖的柜子中，管理責任者或指定的擔當人員負責該鑰匙的保管及文獻保管臺帳登記。臺帳內(nèi)容為：接受年月日、份數(shù)、標題、發(fā)行部門、解除/變更年月日、回收/廢棄年月日等。該管理臺帳同秘密文獻同樣保管。接受的敏感信息文獻，不必登記上述臺帳。但應寄存在企業(yè)以外人員未經(jīng)許可不能隨便進入的場所。6.7.2保留在計算機系統(tǒng)內(nèi)的秘密事項應采用合適的防護和備份措施，防止被無關(guān)人員查看、誤操作等。7.企業(yè)秘密、受控指令的解除或變更7.1解除或變更的條件秘密事項因?qū)ν夤_刊登而成為眾所周知的信息時，企業(yè)秘密的指令將自動解除。伴隨時間的推移，某些秘密、受控事項的內(nèi)容已過時的狀況下。7.2解除或變更的措施解除或變更企業(yè)秘密、受控指定期，由原編寫部門的指定者書面告知原接受者。編寫部門及接受部門，在秘密、受控文獻保管登記臺帳上用紅色筆劃掉該行內(nèi)容，并記錄解除或變更日期。在原秘密、受控文獻上劃去秘密印章并加蓋解除/變更印章（記入日期）。解除/變更后的文獻，按對應的管理辨別保管和使用。為使解除/變更能及時進行，文獻接受方在理解到7.1的條件出現(xiàn)時,應告知原編寫方。8回收/廢棄8.1秘密文獻，如無尤其指定，原則上應在使用后及時回收歸檔保留或廢棄。受控文獻，原則上應在使用后及時銷毀廢棄。8.2廢棄秘密文獻時，媒體可用粉碎的措施，其他媒體可用初始化或破壞媒體的措施處理。廢棄時應同步在臺帳上用紅色筆劃掉該行內(nèi)容并記錄廢棄日期。8.3秘密文獻改版發(fā)送時，應同步回收舊版或告知接受方廢棄舊版。9事故的處理9.1發(fā)現(xiàn)遺失秘密文獻時，應及時向部門指定者匯報并與原發(fā)行部門聯(lián)絡。9.2發(fā)現(xiàn)企業(yè)秘密泄漏、有泄漏征兆或管理上存在重大隱患時，發(fā)現(xiàn)者應迅速向本部門經(jīng)理匯報。9.3拾到遺失的秘密文獻時，應迅速交給遺失者。關(guān)系者不明時，交給本部門經(jīng)理。9.4發(fā)生以上狀況時,對應部門應迅速調(diào)查原因，采用合適的糾正和再發(fā)防止措施，并將處置成果以書面的方式告知有關(guān)部門。詳細規(guī)定見ISMS—《糾正防止措施控制程序》。10教育10.1為了使員工能充足理解并徹底貫徹執(zhí)行企業(yè)本管理規(guī)定，應對新入員工及調(diào)職來的人員進行保守企業(yè)秘密教育。教育時應作好教育記錄。記錄內(nèi)容應包括：日期、地點、講師名、受教育者名、教育內(nèi)容等。教育記錄應妥善保留。保留期為該員工離開企業(yè)后1年。10.2掌握企業(yè)重要經(jīng)營信息、關(guān)鍵技術(shù)的從業(yè)人員離、退職時，本部門管理者應對其進行面談，重申保守企業(yè)秘密的規(guī)定，防止將我司企業(yè)秘密帶出或不合法使用。11離/退職后的保密義務按《信息安全人員考察審批與保密管理程序》和勞動協(xié)議的約定執(zhí)行。12其他12.1外來人員參觀，應嚴格按企業(yè)有關(guān)規(guī)定辦理手續(xù)，或按照申請的時間和路線參觀。結(jié)束后，由接待責任部門負責送出。12.2因業(yè)務需要來企業(yè)的外來人員，原則上應使用企業(yè)的接待室洽談業(yè)務。需進入辦公室時，應征得經(jīng)理以上管理者的同意。13記錄記錄名稱保留部門保留期限附錄1：秘密、受控示例項目秘密事項秘密事項子類受控信息事項1.經(jīng)營規(guī)劃戰(zhàn)略決策董事會資料中長期規(guī)劃經(jīng)營計劃2.組織狀況組織變更方案組織機構(gòu)圖組織變更告知電話簿4.人事制度人事方案錄取計劃離職資料人事待遇資料培訓資料人事變動告知培訓計劃福利勞保計劃5.信息安全制度安全手冊程序文獻作業(yè)指導書表格記錄6.財務信息預決算（各類投資預決算）財務業(yè)績匯報中期財務狀況資金計劃生產(chǎn)成本財務數(shù)據(jù)的處理措施(成本計算措施和系統(tǒng),審計檢查等經(jīng)營分析系統(tǒng),減稅的措施、規(guī)程)7.業(yè)務信息市場調(diào)查匯報(市場動向,顧客需求,其他企業(yè)動向及對這些情報的分析措施和成果.)商談的內(nèi)容,協(xié)議/協(xié)議營銷計劃(通過促銷等手段強化營銷能力、營銷區(qū)域及選定上市期)營業(yè)戰(zhàn)略(有關(guān)和其他企業(yè)合作銷售、銷售途徑確實定及變更,對代理商的政策等情報)商品和服務的價格(成本價、批發(fā)價、成交價以及設定價格的措施和基準)供應商信息（多種材料、設備等生產(chǎn)中必需資材的供應商狀況)客戶信息(客戶名單、供應商名單)退貨和投訴處理(退貨的品名、數(shù)量、原因及對投訴的處理措施)廣告宣傳情報(廣告創(chuàng)意、措施）、報價8.技術(shù)信息研究成果(我司或者和其他單位合作研究開發(fā)的技術(shù)成果)保管的顧客信息(顧客數(shù)據(jù)/有關(guān)的資料/試驗數(shù)據(jù))開發(fā)計劃書技術(shù)合作的有關(guān)內(nèi)容（協(xié)作方，協(xié)作內(nèi)容，協(xié)作時間等）技術(shù)備忘錄新產(chǎn)品開發(fā)的體制、組織（新品開發(fā)人員的構(gòu)成,業(yè)務分派，技術(shù)人員的配置等）教育資料9．服務信息保管信息的工藝流程、檢查措施和原則操作措施（本企業(yè)特有的過程、工藝、規(guī)格等）設備投資計劃（包括擬在既有領(lǐng)域或新領(lǐng)域中投資的計劃）多種服務設備的配置（針對產(chǎn)品的最佳配置、特殊配置）特種機器的