公司信息分類、標(biāo)識、發(fā)布、使用管理制度

1、信息資產(chǎn)管理制度我吹過你吹過的晚風(fēng).那我們算不算相擁.我吹過你吹過的晚風(fēng).定否看到冋樣風(fēng)壊我吹過你吹過的晚風(fēng).那我們算不算相擁.我吹過你吹過的晩風(fēng).是否看到冋樣風(fēng)景好收益（北京）金融信息效勞信息資產(chǎn)管理制度第一章總那么第一條 為了明確好收益（北京）金融信息效勞內(nèi)各類信息資產(chǎn)的分類和標(biāo)識， 方便信息資產(chǎn)的有效管理。第二章適用范圍第二條 本制度適用于好收益（北京）金融信息效勞所涉及的所有信息資產(chǎn)。 第三條定義（一）本制度所涉及的信息包括各種存儲或者存在形式，包括但不限于電子信息、 紙質(zhì)數(shù)據(jù)文件、語音和圖像等。（二）本制度所稱信息是指以任何形式存在或傳播的對好收益（北京）金融信息 效勞具有價(jià)值的內(nèi)容

2、，包括電子信息、紙質(zhì)數(shù)據(jù)文件、語音圖像等。信息平安關(guān) 注的是信息的保密性、可用性和完整性。（三）本制度所稱信息資產(chǎn)是指任何對好收益（北京）金融信息效勞具有價(jià)值的 信息的存在形式或者載體，包括計(jì)算機(jī)硬件、通信設(shè)施、IT環(huán)境、數(shù)據(jù)庫、軟件、 文檔資料、信息效勞和人員等，所有這些資產(chǎn)都需要妥善保護(hù)。第三章職責(zé)權(quán)限第三條 好收益（北京）金融信息效勞各部門負(fù)責(zé)人是本部門信息資產(chǎn)管理的第 一責(zé)任人，負(fù)責(zé)本制度的貫徹落實(shí)，總裁辦是好收益（北京）金融信息效勞內(nèi)部 各類信息的歸口管理部門。第四條本制度定義以下相關(guān)角色，履行相應(yīng)的信息平安管理、執(zhí)行和審核職責(zé)。（一）責(zé)任人，信息資產(chǎn)的創(chuàng)立者，或者主要用戶所在組織、

3、單位或部門的負(fù)責(zé) 人。信息資產(chǎn)責(zé)任人對所屬信息資產(chǎn)負(fù)直接責(zé)任。其主要職責(zé)包括：1）理解和各種信息訪問活動相關(guān)的平安風(fēng)險(xiǎn)；2）根據(jù)好收益（北京）金融信息效勞信息密級劃分標(biāo)準(zhǔn)來確定所屬信息資產(chǎn)的級 別；3）根據(jù)好收益（北京）金融信息效勞相關(guān)策略確定并檢查信息訪問權(quán)限；4）針對所屬信息資產(chǎn)提出恰當(dāng)?shù)谋Ｗo(hù)措施。（二）保管者，受信息資產(chǎn)責(zé)任人委托，對信息資產(chǎn)進(jìn)行日常的管理，維護(hù)已經(jīng) 建立的保護(hù)措施。資產(chǎn)保管者通常是好收益（北京）金融信息效勞的信息中心及 相關(guān)部門負(fù)責(zé)人（例如系統(tǒng)管理員或各部門相關(guān)人員）。其主要職責(zé)包括：1）根據(jù)相關(guān)策略和信息資產(chǎn)責(zé)任人的要求，負(fù)責(zé)信息資產(chǎn)的維護(hù)操作和日常管理 事務(wù)；2）負(fù)

4、責(zé)具體設(shè)置信息訪問權(quán)限；3）負(fù)責(zé)所管理的信息資產(chǎn)的平安控制；4）部署恰當(dāng)?shù)钠桨矙C(jī)制，進(jìn)行備份和恢復(fù)操作；5）按照信息資產(chǎn)責(zé)任人的要求實(shí)施其他控制。（三）用戶，信息資產(chǎn)的使用者，除了好收益（北京）金融信息效勞內(nèi)部員工， 也可能是因?yàn)闃I(yè)務(wù)需要而訪問好收益（北京）金融信息效勞信息的客戶或第三方 組織。其主要職責(zé)包括：1）向信息資產(chǎn)責(zé)任人申請信息訪問；2）按照好收益（北京）金融信息效勞信息平安策略要求正當(dāng)訪問信息，禁止非授 權(quán)訪問；3）向相關(guān)組織報(bào)告隱患、故障或者違規(guī)事件。第四章資產(chǎn)管理要求第五條信息資產(chǎn)分類信息資產(chǎn)責(zé)任人應(yīng)該指導(dǎo)進(jìn)行相關(guān)資產(chǎn)的調(diào)查，資產(chǎn)調(diào)查以業(yè)務(wù)流程為線索, 包括各類輸入、中間環(huán)節(jié)和

5、輸出信息，所有這些信息資產(chǎn)都為業(yè)務(wù)流程的運(yùn)轉(zhuǎn)提 供支持。信息資產(chǎn)可以分為以下兒大類：（-）數(shù)據(jù)文件，通常包括各種電子檔：業(yè)務(wù)數(shù)據(jù)、客戶數(shù)據(jù)、配置文件、記錄 數(shù)據(jù)（日志、審計(jì)記錄）、管理文件（策略、流程文件、操作手冊等）、商務(wù)文件（合同、協(xié)議等）。也包括以實(shí)物方式存在的資產(chǎn)：各類電子數(shù)據(jù)的歸檔、打印件、 書面管理文件、業(yè)務(wù)報(bào)表、包含重要商業(yè)成果的文件，還有膠片等。（二）軟件資產(chǎn)，各種系統(tǒng)軟件、應(yīng)用軟件（OA、業(yè)務(wù)軟件等）和工具軟件（開 發(fā)系統(tǒng)、網(wǎng)管軟件、平安軟件等），包括操作系統(tǒng)、數(shù)據(jù)庫應(yīng)用程序、網(wǎng)絡(luò)軟件、 辦公應(yīng)用系統(tǒng)、業(yè)務(wù)系統(tǒng)程序、軟件開發(fā)工具等，這些軟件資產(chǎn)負(fù)責(zé)處理、存儲 或傳輸各類信息。

6、（三）實(shí)物資產(chǎn)，與業(yè)務(wù)相關(guān)的IT物理設(shè)備，包括計(jì)算機(jī)（工作站和效勞器等） 和網(wǎng)絡(luò)通信設(shè)備、磁介質(zhì)（磁帶和磁盤等）、裝置、環(huán)境等，這些實(shí)物資產(chǎn)容納著 軟件和數(shù)據(jù)文件。（四）人員，承當(dāng)某項(xiàng)與業(yè)務(wù)活動相關(guān)責(zé)任的角色和職位。例如普通用戶、系統(tǒng) 管理員、網(wǎng)絡(luò)管理員、保安、清潔員等，這些人員與各類數(shù)據(jù)、軟件和實(shí)物資產(chǎn) 的操作直接相關(guān)。（五）效勞，安保（例如監(jiān)控、門禁、保安等），環(huán)境效勞（例如清潔），根底保 障（供水、供熱、供電），設(shè)備維護(hù)，通信效勞（例如互聯(lián)網(wǎng)接入）。第六條信息資產(chǎn)分級標(biāo)準(zhǔn)保密性、完整性和可用性是評價(jià)資產(chǎn)的三個平安屬性。風(fēng)險(xiǎn)評估中資產(chǎn)的價(jià) 值不是以資產(chǎn)的經(jīng)濟(jì)價(jià)值來衡量，而是III資產(chǎn)在這三

7、個平安屬性上的達(dá)成程度或 者其平安屬性未達(dá)成時所造成的影響程度來決定的。平安屬性達(dá)成程度的不同將 使資產(chǎn)具有不同的價(jià)值，而資產(chǎn)面臨的威脅、存在的脆弱性、以及已采用的平安 措施都將對資產(chǎn)平安屬性的達(dá)成程度產(chǎn)生影響。（一）保密性賦值根據(jù)信息資產(chǎn)在保密性上的不同要求，將其分為五個不同的等級，分別對應(yīng) 資產(chǎn)在保密性上應(yīng)達(dá)成的不同程度或者保密性缺失時對整個組織的影響。下表提 供了一種保密性賦值的參考。表1信息資產(chǎn)保密賦值表賦值標(biāo)識定義V很高V等級文獻(xiàn)為高度絕密級，其查閱人僅限公司董事會、高層 決策者及事件相關(guān)負(fù)責(zé)人；I V一 咼I V等級文獻(xiàn)為絕密級，其查閱人僅限公司董事會、高層決 策者、高層管理人員及

8、事件相關(guān)負(fù)責(zé)人；I I I中等I I I等級文獻(xiàn)為機(jī)密級，其查閱人僅限公司董事會、高層 決策者、高層管理人員、相關(guān)部門負(fù)責(zé)人及事件相關(guān)負(fù)責(zé)人：I I底I I等級文獻(xiàn)為機(jī)密級，其查閱人僅限公司董事會、高層決策者、高層管理人員、所有部門負(fù)責(zé)人及事件相關(guān)負(fù)責(zé)人；I很低I等級文獻(xiàn)為秘密級，其查閱人為公司所有員工（二）完整性賦值根據(jù)信息資產(chǎn)在完整性上的不同要求，將其分為五個不同的等級，分別對應(yīng) 資產(chǎn)在完整性上缺失時對整個組織的影響。下表提供了一種完整性賦值的參考。表2信息資產(chǎn)完整性賦值表賦值標(biāo)識定義V很高完整性價(jià)值非常關(guān)鍵，未經(jīng)授權(quán)的修改或破壞會對組織造成 重大的或無法接受的影響，對業(yè)務(wù)沖擊重大，并可能

9、造成嚴(yán) 重的業(yè)務(wù)中斷，難以彌補(bǔ)I V咼完整性價(jià)值較高，未經(jīng)授權(quán)的修改或破壞會對組織造成重大 影響，對業(yè)務(wù)沖擊嚴(yán)重，較難彌補(bǔ)I I I中等完整性價(jià)值中等，未經(jīng)授權(quán)的修改或破壞會對組織造成影 響，對業(yè)務(wù)沖擊明顯，但可以彌補(bǔ)I I底完整性價(jià)值較低，未經(jīng)授權(quán)的修改或破壞會對組織造成輕微 影響，對業(yè)務(wù)沖擊輕微，容易彌補(bǔ)I很低完整性價(jià)值非常低，未經(jīng)授權(quán)的修改或破壞對組織造成的影響可以忽略，對業(yè)務(wù)沖擊可以忽略（三）可用性賦值根據(jù)信息資產(chǎn)在可用性上的不同要求，將其分為五個不同的等級，分別對應(yīng)資產(chǎn)在可用性上應(yīng)達(dá)成的不同程度。下表提供了一種可用性賦值的參考。表3：信息資產(chǎn)可用性賦值表賦值標(biāo)識定義V很高可用性價(jià)值非

10、常高，合法使用者對信息及信息系統(tǒng)的可用度 到達(dá)年度99.9%以上，或系統(tǒng)不允許中斷I V一 咼可用性價(jià)值較高，合法使用者對信息及信息系統(tǒng)的可用度到達(dá)每天90%以上，或系統(tǒng)允許中斷時間小于lOminI I I中等可用性價(jià)值中等，合法使用者對信息及信息系統(tǒng)的可用度在正常工作時間到達(dá)70%以上，或系統(tǒng)允許中斷時間小于30minI I底可用性價(jià)值較低，合法使用者對信息及信息系統(tǒng)的可用度在 正常工作時間到達(dá)25%以上，或系統(tǒng)允許中斷時間小于60minI很低可用性價(jià)值可以忽略，合法使用者對信息及信息系統(tǒng)的可用 度在正常工作時間低于25%第五章信息披露管理第七條對外信息披露管理（-）責(zé)任部門對外信息披露的責(zé)

11、任部門為總裁辦，總裁辦是公司的對外公告、啟事、宣傳 文稿等工作的對口部門。（二）對外信息披露的流程1）信息的報(bào)送：各部門根據(jù)工作需要對外發(fā)布及傳送信息時，需提前通知 總裁辦，并將對外公布信息內(nèi)容、信息披露的渠道等報(bào)送總裁辦審批；2）信息的審批：總裁辦對各部門對外公布信息內(nèi)容和渠道進(jìn)行審批，審批 通過后曲總裁辦統(tǒng)一執(zhí)行對外信息發(fā)布的工作（附表一）。重要對外信息的審批那 么需上報(bào)董事長審批，審批通過后山總裁辦進(jìn)行發(fā)布工作附表.二）。注：對于經(jīng)常性或較為適于職能部門發(fā)布的信息，經(jīng)總裁辦審批后，可由相應(yīng)部門負(fù)責(zé)對外信息發(fā)布，發(fā)布 信息內(nèi)容那么必須在總裁辦留檔.3）發(fā)生費(fèi)用的控制：對于因信息發(fā)布披露而產(chǎn)

12、生的費(fèi)用，各部門在年初時 需制訂相應(yīng)的預(yù)算，在具體信息對外公布執(zhí)行中，財(cái)務(wù)部按照預(yù)算進(jìn)行控制。對 于超出預(yù)算或其他特殊情況的費(fèi)用，那么需相應(yīng)部門上報(bào)公司董事長進(jìn)行審批， 審批通過后予以執(zhí)行。4）對外披露信息的存檔：對外披露的信息曲總裁辦統(tǒng)一存檔、保存。第六章電子數(shù)據(jù)的使用和處置第八條對所有電子數(shù)據(jù)進(jìn)行分類/分級，標(biāo)識未授權(quán)人員的訪問限制，不同平安級別的數(shù)據(jù)應(yīng)存儲在不同的區(qū)域，按類按級傳達(dá)，便于信息的平安管理。第九條不同類型的電子文件按照統(tǒng)一規(guī)律存放在個人電腦或效勞器中，便于整理和查閱以及工作交接時轉(zhuǎn)移。第十條所有電子文件保存在電腦或效勞器中，并按照?xxxxx公司備份和恢復(fù)管理制度?規(guī)定的備份

13、頻率定期進(jìn)行備份。第十一條對于存于效勞器上的電子數(shù)據(jù)的訪問，根據(jù)效勞器提供效勞的不同與部門/職務(wù)的不同，設(shè)置不同的訪問權(quán)限，防止非授權(quán)訪問。第十二條對于內(nèi)部公開級別的電子信息，其使用要控制在內(nèi)部，禁止帶出。第十三條對于秘密級別以上的電子文件的處理過程，必須保障數(shù)據(jù)的完整性、機(jī)密性和可用性。第十四條對于秘密級別以上的電子文件的使用，系統(tǒng)應(yīng)進(jìn)行審計(jì)。第十五條對于秘密級別以上的電子文件的傳輸，必須采取適當(dāng)?shù)钠桨泊胧┘右员Ｗo(hù)，如加密傳輸、分散傳輸?shù)?。第十六條在整理電腦中的電子數(shù)據(jù)時，要小心操作，確認(rèn)后再進(jìn)行處理，防止由于誤操作將有用的電子數(shù)據(jù)刪除。第七章紙質(zhì)文檔的使用和處置第十七條 所有的秘密級以上的紙質(zhì)文件資料要通過標(biāo)簽或其它方式）標(biāo)識 出資產(chǎn)的保密級別，分類存放，不同平安級別的紙質(zhì)文件應(yīng)按類按級傳達(dá)，便于 紙質(zhì)文件的平安管理。第十八