16信息資產(chǎn)分類及安全管理規(guī)定

信息資產(chǎn)分類及安全管理規(guī)定第一章.總則第一條.本規(guī)定是為加強(qiáng)對信息中心信息資產(chǎn)的管理，保障信息資產(chǎn)安全，防止信息資產(chǎn)損毀、誤用和非授權(quán)訪問，確保信息資產(chǎn)的保密性、完整性和可用性，特制訂本規(guī)定。第二條.本規(guī)定適用于信息中心針對信息資產(chǎn)進(jìn)行分級分類保護(hù)以及相應(yīng)的管理活動。第三條.信息中心負(fù)責(zé)對IT資產(chǎn)的日常管理。第二章.管理規(guī)定第一節(jié).信息資產(chǎn)分類第四條.所有信息資產(chǎn)都應(yīng)指定資產(chǎn)責(zé)任人，并由資產(chǎn)責(zé)任人負(fù)責(zé)進(jìn)行相關(guān)資產(chǎn)的識別、統(tǒng)計、分類、分級和實施相應(yīng)的保護(hù)措施，需從安全責(zé)任劃分資產(chǎn)所有者（即資產(chǎn)責(zé)任人）、維護(hù)者以及使用者。第五條.信息資產(chǎn)按形式不同可以分為五類：數(shù)據(jù)和文檔資產(chǎn)、軟件資產(chǎn)、實物資產(chǎn)、人員資產(chǎn)和服務(wù)資產(chǎn)。其中數(shù)據(jù)和文檔資產(chǎn)主要包括業(yè)務(wù)數(shù)據(jù)和記錄、各類管理制度、管理文檔、辦公文檔以及外來的數(shù)據(jù)文件等。具體如下：（一）數(shù)據(jù)和文檔資產(chǎn)：通常包括各種電子檔：業(yè)務(wù)數(shù)據(jù)、客戶數(shù)據(jù)、配置文件、記錄數(shù)據(jù)（日志、審計記錄）、管理文件（策略、流程文件、操作手冊等）、商務(wù)文件（合同、協(xié)議等）以及外來數(shù)據(jù)文件等。也包括以實物方式存在的資產(chǎn)：各類電子數(shù)據(jù)的歸檔、打印件、書面管理文件、業(yè)務(wù)報表、包含重要商業(yè)成果的文件，還有膠片等。（二）軟件資產(chǎn)：各種系統(tǒng)軟件、應(yīng)用軟件（OA、業(yè)務(wù)軟件等）和工具軟件（網(wǎng)管軟件、安全軟件等），包括操作系統(tǒng)、數(shù)據(jù)可應(yīng)用程序、網(wǎng)絡(luò)軟件、辦公應(yīng)用系統(tǒng)、業(yè)務(wù)應(yīng)用系統(tǒng)等，這些軟件資產(chǎn)負(fù)責(zé)處理、存儲或傳輸各類信息。（三）實物資產(chǎn)：與業(yè)務(wù)相關(guān)的IT物理設(shè)備，包括計算機(jī)（工作站和服務(wù)器等）和網(wǎng)絡(luò)通信設(shè)備、磁介質(zhì)（磁帶和磁盤等）、裝置、環(huán)境等，這些實物資產(chǎn)容納著軟件和數(shù)據(jù)文件。（四）人員資產(chǎn)：承擔(dān)某項與業(yè)務(wù)活動相關(guān)責(zé)任的角色和職位。例如普通用戶、系統(tǒng)管理員、網(wǎng)絡(luò)管理員、有合同約束的保安、清潔員等，這些人員與各類數(shù)據(jù)、軟件和實物資產(chǎn)的操作直接相關(guān)。（五）服務(wù)資產(chǎn)：安保（例如監(jiān)控、門禁、保安等），環(huán)境服務(wù)（例如清潔），基礎(chǔ)保障（供水、供熱、供電），設(shè)備維護(hù)，通信服務(wù)（例如互聯(lián)網(wǎng)接入）。第六條.信息資產(chǎn)分級，根據(jù)各類信息資產(chǎn)在保密性、完整性和可用性三個方面所表現(xiàn)出的不同的重要程度，劃分為五個級別，從高到低分別為：核心商密、重要商密、一般商密、內(nèi)部使用和公開:（一）核心商密：組織最重要的秘密，如果泄露會造成災(zāi)難性的損害，對業(yè)務(wù)沖擊重大，并可能造成嚴(yán)重的業(yè)務(wù)中斷。（二）重要商密：組織的重要秘密，如果泄露會使組織的安全和利益收到嚴(yán)重?fù)p害，對業(yè)務(wù)沖擊嚴(yán)重，較難彌補(bǔ)。（三）一般商密：組織的一般性秘密，如果泄露會使組織的安全和利益收到損害，對業(yè)務(wù)沖擊明顯，但可以彌補(bǔ)。（四）內(nèi)部使用：僅能在組織內(nèi)部或在組織內(nèi)某一部門內(nèi)公開的信息，向外擴(kuò)散有可能對組織的利益造成輕微損害，對業(yè)務(wù)沖擊輕微，容易彌補(bǔ)。（五）公開：可對社會公開的信息，公用的信息處理設(shè)備和系統(tǒng)資源等，對業(yè)務(wù)沖擊可以忽略。第二節(jié).信息資產(chǎn)的敏感性標(biāo)識第七條.紙質(zhì)文檔的敏感性標(biāo)識（一）紙質(zhì)文檔的敏感性標(biāo)識采用印章方式；（二）紙質(zhì)文檔所有者或管理者負(fù)責(zé)對該文檔蓋章，部門信息安全管理員負(fù)責(zé)指導(dǎo)；（三）印章分為“核心商密”、“重要商密”、“一般商密”、“內(nèi)部使用”和“公開”五種；（四）每個部門至少配備“核心商密”、“重要商密”、“一般商密”和“公開”四個印章各一個；印章由部門信息安全管理員保管。第八條.電子信息的敏感性標(biāo)識（一）電子文檔應(yīng)該在文檔的封面上標(biāo)識其敏感性級別；（二）電子文檔所有者或管理者負(fù)責(zé)添加敏感性級別，部門信息安全管理員負(fù)責(zé)指導(dǎo)；（三）電子文檔敏感性級別分為“核心商密”、“重要商密”、“一般商密”、“內(nèi)部使用”和“公開”五種。第九條.存儲了商密級以上信息的移動介質(zhì)或備份介質(zhì)（如U盤、移動硬盤、磁帶、光盤等），在條件允許的情況下，應(yīng)采用蓋章或張貼敏感性標(biāo)識不干貼等方式進(jìn)行標(biāo)識。第十條.針對硬件設(shè)備、環(huán)境設(shè)施等實物資產(chǎn)，原則上不進(jìn)行敏感性標(biāo)識，僅標(biāo)識相應(yīng)設(shè)備的基本序列等信息，所屬密級應(yīng)記錄在相應(yīng)文檔。第三節(jié).信息資產(chǎn)的使用第十一條.嚴(yán)禁員工在未經(jīng)允許的情況下，利用任何手段將涉密文件及內(nèi)容制作成電子形式在辦公自動化系統(tǒng)內(nèi)或以其他方式進(jìn)行傳輸。第十二條.商密級以上信息的使用應(yīng)受到嚴(yán)格控制，文件的接收人應(yīng)按信息的使用目的、使用范圍進(jìn)行正確使用，未經(jīng)許可不得向他人公開和傳播。第十三條.商密級以上，如無特別規(guī)定，原則上應(yīng)在使用后及時進(jìn)行回收、歸檔及保存或者實施廢棄。廢棄商密級以上文件時，紙類媒體可用粉碎的方法，其它媒體可用初始化或破壞媒體的方法處理。第四節(jié).信息資產(chǎn)的保密期限第十四條.信息類資產(chǎn)的保密期限原則性規(guī)定為：“核心商密”、“重要商密”和“一般商密”類至少為五年，“內(nèi)部使用”類至少為三年。國家有明確規(guī)定的依國家相關(guān)規(guī)定，如會計檔案的保存期限。第十五條.在保密期限內(nèi)的信息類資產(chǎn)，當(dāng)客觀環(huán)境發(fā)生變化或因商業(yè)目的，不再需要繼續(xù)保持較高密級或不需要再保密時，經(jīng)授權(quán)或書面批準(zhǔn)（紙質(zhì)或電子文檔均可）后，可以提前解密，解密后，密級為“公開使用”；但國家有明確規(guī)定不能提前解密的按國家相關(guān)規(guī)定辦理。第十六條.信息類資產(chǎn)的保密期限開始時間，如有特別注明生效時間的，為注明的