ZD1信息資產(chǎn)管理制度

1、金現(xiàn)代信息產(chǎn)業(yè)股份有限公司信息資產(chǎn)管理制度文件編號：ITSMS-JXD-ZD-01-161108編制：胡翠梅日期：2016-11-08審核：魯效停日期：2016-11-08批準(zhǔn)：周建朋日期：2016-11-08文件密級：秘密2016年11月08日頒布2016 年11月08日實(shí)施金現(xiàn)代信息產(chǎn)業(yè)股份有限公司發(fā)布修訂歷史日期描述修改人審核人批準(zhǔn)人2016-11-08新建胡翠梅魯效停周建朋信息資產(chǎn)管理制度1目的保持對公司信息資產(chǎn)的適當(dāng)保護(hù)，并確保信息資產(chǎn)受到適當(dāng)級別的保護(hù)，從而確保滿足公 司信息資產(chǎn)安全的要求。2. 適用范圍適用于公司信息資產(chǎn)管理工作的管理。3. 職責(zé)3.1 人資企劃部是信息資產(chǎn)保密工

2、作的歸口管理部門，負(fù)責(zé)信息資產(chǎn)保密控制的整理、標(biāo)識、 利用、保管、更改以和監(jiān)督集中銷毀的監(jiān)銷監(jiān)督職能3.2 各部門負(fù)責(zé)相關(guān)保密資料的傳閱、收集、整理職能，并按規(guī)定期限移交人資企劃部，填寫 好記錄。3.3 各部門負(fù)責(zé)保持對組織資產(chǎn)的適當(dāng)保護(hù)，責(zé)任由指定的信息資產(chǎn)負(fù)責(zé)人承擔(dān)。4. 管理要求4.1 信息資產(chǎn)的識別4.1.1 各部門應(yīng)列出信息資產(chǎn)清單并將每項(xiàng)資產(chǎn)的名稱、型號、所處位置、資產(chǎn)負(fù)責(zé)人、保密 程度等相關(guān)信息記錄在資產(chǎn)清單上。一旦發(fā)生變化，各部門應(yīng)和時(shí)更新信息資產(chǎn)清單。4.1.2 資產(chǎn)的賦值不在于確定資產(chǎn)的絕對價(jià)值，而在于確定資產(chǎn)的相對價(jià)值，按照相關(guān)程序進(jìn) 行評價(jià)。4.2 密級的分類信息的密級

3、分為 5 類：國家秘密事項(xiàng)、企業(yè)絕密事項(xiàng)、企業(yè)機(jī)密事項(xiàng)、企業(yè)秘密事項(xiàng)和公 開事項(xiàng)。信息分類定義：a. “國家秘密事項(xiàng)”：中華人民共和國保守國家秘密法中指定的秘密事項(xiàng)，公司業(yè)務(wù)活 動中涉和國家秘密事項(xiàng)（機(jī)密級）和（秘密級）；b. “企業(yè)絕密事項(xiàng)”：指具有最高敏感性的信息。包括一個(gè)組織馬上要實(shí)施的兼并策略或 者投資策略，重要的設(shè)計(jì)和計(jì)劃。如果將機(jī)密信息丟失或者公之于眾， 將會嚴(yán)重?fù)p害組織利益 僅供公司內(nèi)部總裁級別以上使用，必須嚴(yán)格限制其發(fā)布，并且始終處于保護(hù)之中，應(yīng)采用加密 方式傳遞，其安全保護(hù)級別為最高。c. “企業(yè)機(jī)密事項(xiàng)”：公司關(guān)鍵的信息，不可對外公開，必須經(jīng)過批準(zhǔn)同意后才能被公開 或者被內(nèi)

4、部共享，若泄露或被篡改會對本公司的生產(chǎn)經(jīng)營造成損害；這類信息包括業(yè)務(wù)計(jì)劃、 財(cái)務(wù)信息、銀行信息、律師和會計(jì)等客戶的敏感信息。d. “企業(yè)秘密事項(xiàng)”：為了日常的業(yè)務(wù)能順利進(jìn)行而向公司員工公開、但不可向公司以外 人員隨意公開的事項(xiàng)組織的工作規(guī)程、項(xiàng)目計(jì)劃、設(shè)計(jì)和規(guī)格說明、內(nèi)部備忘錄、內(nèi)部項(xiàng)目報(bào) 告等它的泄露將造成組織和管理的不便，但是并不會造成經(jīng)濟(jì)損失或者信譽(yù)的損害。僅供公司 內(nèi)部主管級別以上使用，通常只限于授權(quán)人員使用，未經(jīng)授權(quán)不能復(fù)制，帶出公司。d. “普通事項(xiàng)”：秘密事項(xiàng)以外，僅用來傳遞信息、昭示承諾或?qū)ν庑麄魉婧偷氖马?xiàng)， 經(jīng)同意后可以公開使用，其安全級別為最低。4.3 涉密文件、資料的標(biāo)

5、識、制發(fā)4.3.1 本公司產(chǎn)生的企業(yè)絕密、企業(yè)機(jī)密、企業(yè)秘密信息，其資產(chǎn)的賦值不在于確定資產(chǎn)的絕 對價(jià)值，而在于確定資產(chǎn)的相對價(jià)值，按照 4.2 條款進(jìn)行評價(jià)。4.3.2 各部門對產(chǎn)生的信息確定密級和保密期限，并做好密級標(biāo)識。對于絕密信息和機(jī)密以和 秘密信息資產(chǎn)，如果是文檔，應(yīng)在文件上注明密級；如果是軟件，應(yīng)在文件名中注明密級，如 果是物體，需要在表面粘貼或者書寫密級標(biāo)識。普通密級可以不做標(biāo)記。對重要數(shù)據(jù)，資產(chǎn)負(fù) 責(zé)人應(yīng)定期備份。所有的秘密信息和機(jī)密信息數(shù)據(jù)的打印報(bào)告、屏幕顯示、記錄媒介和復(fù)印件 都要清楚標(biāo)明密級，以便使授權(quán)的接收者注意。4.3.3 凡需到印制的密級文件、資料，須由人資企劃部負(fù)

6、責(zé)，并嚴(yán)格控制印刷份數(shù)。如果外部 印制，應(yīng)與指定的印刷廠簽署包括保密內(nèi)容的協(xié)議。4.3.4 凡在公司內(nèi)打印的密級公文、資料，須列出詳細(xì)的分發(fā)清單，擬稿人親自送給人資企劃 部。4.3.5 有密級的公文、資料必須嚴(yán)格按分發(fā)對象分發(fā)，不得多印。4.3.6 發(fā)放有密級的文件必須記錄在保密文件分發(fā)記錄表上登記備查。4.3.7 絕密的文件不得在辦公網(wǎng)絡(luò)中流轉(zhuǎn)、辦理。其他密級文件需在系統(tǒng)中流轉(zhuǎn)和辦理時(shí)，應(yīng) 設(shè)定權(quán)限。4.4 涉密文件、資料的接收、流轉(zhuǎn)、保管借閱、歸檔和銷毀4.4.1 涉密文件接收應(yīng)登記記錄，傳閱完畢后應(yīng)盡快送。4.4.2 外出開會帶回的涉密文件、資料應(yīng)在當(dāng)天或次日交還部門。凡涉密文件、資料，

7、個(gè)人 不得帶到家里和公共場所。4.4.3 涉密文件材料需落實(shí)專人、專柜保管，文件應(yīng)和時(shí)存放文件柜不可隨手?jǐn)[放。4.4.4 因工作需要借閱涉密文件材料的，需填寫借閱使用登記表。借閱人應(yīng)妥善保管涉密文 件，用后和時(shí)歸還。4.4.5 上級或其他單位制定的標(biāo)有密級的文件、資料等一般不準(zhǔn)復(fù)制。如確需復(fù)制，必須經(jīng) 批準(zhǔn)，并做好使用過程中的保密與用后的統(tǒng)一回收工作。4.4.6 涉密應(yīng)按照文件控制程序的要求建立并保存內(nèi)部信息、秘密信息、機(jī)密信息傳送、 接收和查閱記文件錄。4.4.7 文件、資料的保管期限按檔案保管期限的規(guī)定執(zhí)行，電子光盤保管按信息處理設(shè)施 管理制度中介質(zhì)管理要求執(zhí)行。4.4.8 對超越保管期限

8、、沒有保存價(jià)值的文件材料應(yīng)按照文件控制程序規(guī)定，到規(guī)定地 點(diǎn)進(jìn)行集中銷毀。4.5 辦公自動化和計(jì)算機(jī)信息系統(tǒng)的保密規(guī)定4.5.1 嚴(yán)禁在無保密措施的有線、無線通信和計(jì)算機(jī)網(wǎng)絡(luò)中傳遞國家和企業(yè)秘密。進(jìn)行涉密內(nèi) 容的活動，嚴(yán)禁使用無線話筒；同一信息的傳遞，嚴(yán)禁明密混用。4.5.3 涉密計(jì)算機(jī)設(shè)備的安裝、調(diào)試、檢修，應(yīng)由技術(shù)部專業(yè)技術(shù)人員負(fù)責(zé)；使用人員和未 經(jīng)批準(zhǔn)人員不得隨意拆卸和檢修。涉密計(jì)算機(jī)檢修前，應(yīng)徹底清除設(shè)備中的涉密信息或拆除所 有涉密存儲介質(zhì)，并派專人陪同、監(jiān)督。4.5.4 計(jì)算機(jī)信息系統(tǒng)實(shí)行安全等級保護(hù)。計(jì)算機(jī)應(yīng)用人員應(yīng)使用合法的用戶名稱、密碼或 口令，密碼或口令不得泄露他人。任何個(gè)人

9、不得擅自修改網(wǎng)絡(luò)資源配置、網(wǎng)絡(luò)權(quán)限和網(wǎng)絡(luò)安全 等級。4.5.5 秘密信息應(yīng)由各職能部門管理， 以紙質(zhì)/電子文檔形式存在于公司內(nèi)部。在網(wǎng)絡(luò)中供內(nèi)部 職工使用的文檔，應(yīng)避免以WOR文檔形式發(fā)布，宜以PDF形式在管理信息網(wǎng)中，并設(shè)定訪問 權(quán)限，供企業(yè)內(nèi)部職工查詢。4.5.6 涉和敏感信息的計(jì)算機(jī)設(shè)備實(shí)施大修、升級、停用或報(bào)廢前，由使用部門對包含儲存媒 體的設(shè)備的所有項(xiàng)目進(jìn)行檢查并清除，由技術(shù)部確認(rèn)，確保在處置之前所有敏感數(shù)據(jù)和許可軟 件都被清除或者覆蓋掉。4.5.7 對外送的敏感信息，由本部門領(lǐng)導(dǎo)審核后，由技術(shù)部同意后方可外送，技術(shù)部負(fù)責(zé)進(jìn)行 登記。4.5.8 對不經(jīng)流程外送的敏感信息，由人資企劃部

10、做出處理決定，按照員工手冊規(guī)定進(jìn)行考核。4.6 會議保密規(guī)定4.6.1 凡牽涉秘密的會議，人資企劃部根據(jù)需要，嚴(yán)格確定出席、列席會議人員。4.6.2 任何參會人員不得向外泄露會議內(nèi)容。4.6.3 重要秘密內(nèi)容，不印文件，也不作記錄。4.6.4 不得私自印發(fā)負(fù)責(zé)講話記錄。4.6.5 會議文件要劃定密級，統(tǒng)一編號，按照規(guī)定的范圍印發(fā)和傳達(dá)。會議結(jié)束時(shí)，對文件、 資料進(jìn)行清點(diǎn)，應(yīng)收回的要全部收回。4.7 宣傳報(bào)道的保密規(guī)定4.7.1 在宣傳報(bào)道中有可能涉和到本公司的某些機(jī)密時(shí)，應(yīng)對報(bào)道內(nèi)容進(jìn)行適當(dāng)處理，或請 示領(lǐng)導(dǎo)確定報(bào)道范圍。4.7.2 在接待任務(wù)中，遇到需要保密的問題時(shí)，應(yīng)主動和時(shí)向總經(jīng)理請示，

11、防止以參觀為名 竊取情報(bào)的事情發(fā)生。4.8 通信保密規(guī)定4.8.1 嚴(yán)禁用普通郵政、明碼電報(bào)、普通傳真、普通電話、無線對講機(jī)等非保密通訊設(shè)備傳 遞國家秘密事項(xiàng)。各部門需發(fā)送密級文件的，統(tǒng)一由人資企劃部辦理。4.8.2 特別情況下，必須用電話通知時(shí)，在用語上要加以注意。一般秘密內(nèi)容如果發(fā)傳真， 應(yīng)當(dāng)加密。4.8.3 明確使用無線話筒的范圍和場合，嚴(yán)禁內(nèi)部會議使用無線話筒錄音，或以無線話筒代 替擴(kuò)音設(shè)備傳達(dá)秘密事項(xiàng)。4.9 其它規(guī)定4.9.1 管理人員不得詢問、觀看與本職工作無關(guān)的保密事項(xiàng)的文件材料。4.9.2 各部門應(yīng)對工作人員，特別是新參加工作的人員進(jìn)行保密教育。4.10 信息資產(chǎn)檢查 各部門

12、要指定責(zé)任人每年對信息資產(chǎn)進(jìn)行清查盤點(diǎn)， 以確保信息安全設(shè)施與信息資產(chǎn)清單 相符和完好無損。5. 相關(guān)文件文件控制程序信息處理設(shè)施管理制度6. 相關(guān)記錄6.1 ITSMS-JXD-JL-060資產(chǎn)清單（見信息安全風(fēng)險(xiǎn)評估控制程序）6.2 ITSMS-JXD-JL-002文件發(fā)放/回收登記表（見文件控制程序）6.3 ITSMS-JXD-JL-003文件作廢（銷毀）申請表（見文件控制程序）6.4 ITSMS-JXD-JL-076信息資產(chǎn)分類制度6.5 ITSMS-JXD-JL-077 信息資產(chǎn)訪問（使用）權(quán)限申請表 （在操作平臺中）6.6 ITSMS-JXD-JL-078信息發(fā)送（接收）記錄6.7

13、 ITSMS-JXD-JL-079資產(chǎn)評估準(zhǔn)則信息資產(chǎn)分類制度分類包括內(nèi)容電子數(shù)據(jù)各種數(shù)據(jù)資料：數(shù)據(jù)庫數(shù)據(jù)、電子文檔（作業(yè)標(biāo)準(zhǔn)書、圖紙、計(jì)劃、報(bào)告等）文檔資產(chǎn)紙質(zhì)的各種文件（作業(yè)標(biāo)準(zhǔn)書、圖紙、合同、傳真、財(cái)務(wù)報(bào)告、訂單、證書等）軟件資產(chǎn)應(yīng)用軟件：辦公軟件、數(shù)據(jù)庫軟件、各類工具軟件，開發(fā)軟件系統(tǒng)軟件：操作系統(tǒng)、硬件驅(qū)動程序硬件資產(chǎn)網(wǎng)絡(luò)設(shè)備：路由器、交換機(jī)計(jì)算機(jī)設(shè)備：服務(wù)器、臺式計(jì)算機(jī)、便攜計(jì)算機(jī)存儲設(shè)備：光盤、軟盤、 U盤、移動硬盤傳輸線路：雙絞線保障設(shè)備：UPS電源、變電設(shè)備、空調(diào)、保險(xiǎn)柜、文件柜、門禁、消防設(shè)施等安全設(shè)備：防火墻其它設(shè)備：打印機(jī)、復(fù)印機(jī)、掃描儀、傳真機(jī)等人員資產(chǎn)掌握重要信息和

14、核心業(yè)務(wù)的人員，包括各級管理人員、安全人員、網(wǎng)絡(luò)管理員、系統(tǒng)管理員、業(yè)務(wù)操作人員、第三方人員、臨時(shí)雇傭人員等服務(wù)類資產(chǎn)信息服務(wù)：對外依賴該系統(tǒng)開展的各類服務(wù) 網(wǎng)絡(luò)服務(wù)：各種網(wǎng)絡(luò)設(shè)備、設(shè)施提供的網(wǎng)絡(luò)連接服務(wù) 辦公服務(wù)：為提高效率而開發(fā)的管理信息系統(tǒng)，包括各種內(nèi)部配置管理、文件流轉(zhuǎn)管理 位置：外部環(huán)境，房屋，基本區(qū)域，電話線，配電箱，供水其它企業(yè)形象、客戶關(guān)系等ITSMS-JXD-JL-077信息資產(chǎn)訪問（使用）權(quán)限申請表申請人、t申請資產(chǎn)申請說明：批準(zhǔn)人意見：批準(zhǔn)人：日期：ITSMS-JXD-JL-077信息資產(chǎn)訪問（使用）權(quán)限申請表申請人、t申請資產(chǎn)申請說明：批準(zhǔn)人意見：批準(zhǔn)人：日期：信息發(fā)送

15、（接收）記錄ITSMS-JXD-JL-078密級、t發(fā)送人內(nèi)容：接收人時(shí)間ITSMS-JXD-JL-078信息發(fā)送（接收）記錄K 咅人 送 發(fā)人 收 接間 時(shí)錄 記K 咅人 送 發(fā)人 收 接間 時(shí)保密性評估準(zhǔn)則準(zhǔn)則電子數(shù)據(jù)文檔資產(chǎn)軟件資產(chǎn)硬件資產(chǎn)人員資產(chǎn)服務(wù)類資產(chǎn)按信息 的訪問 權(quán)限等 級或信 息的存 儲、傳 輸和處 理設(shè)施 /人員 涉和信 息的訪 問權(quán)限 等級來 評估資 產(chǎn)保密 性的要 求等級獲取權(quán)限賦值獲取、存儲、傳輸和處理信息的權(quán)限賦值獲取、存儲、傳輸和處理信息的權(quán)限賦值使用和處理 信息的權(quán)限賦值崗位獲取、接 觸信息的權(quán)限賦值獲取、存儲、傳輸和處理信息的權(quán)限賦值對公司和外部都是公開 的1

16、同左1同左1同左1同左1同左1對公司內(nèi)部所有員工是 公開的2同左2同左2同左2同左2同左2只限于公司被授權(quán)的部 門3同左3同左3同左3同左3同左3只限于公司中層管理人 員以上或部門少數(shù)關(guān)鍵 人員4同左4同左4同左4同左4同左4只限于公司高層管理人 員或公司少數(shù)關(guān)鍵人員5同左5同左5同左5同左5同左5完整性評估準(zhǔn)則準(zhǔn)則電子數(shù)據(jù)文檔資產(chǎn)軟件資產(chǎn)硬件資產(chǎn)人員資產(chǎn)服務(wù)類資產(chǎn)按資產(chǎn) 的準(zhǔn)確 性或完 整性受 損，而造 成組織 的業(yè)務(wù) 持續(xù)或 形象聲 譽(yù)受影 響的嚴(yán) 重程度 來評估影響程度賦值影響程度賦值影響程度賦值影響程度賦值崗位范圍賦值影響程度賦值未經(jīng)授權(quán)的修改或破壞對組織造成的 影響可以忽略，對業(yè)務(wù)沖

17、擊可以忽略1同左1同左1同左1實(shí)習(xí)員工夕卜聘臨時(shí)工1同左1未經(jīng)授權(quán)的修改或破壞會對組織造成 輕微影響，可以忍受，對業(yè)務(wù)沖擊輕微， 容易彌補(bǔ)2同左2同左2同左2一般員工2同左2未經(jīng)授權(quán)的修改或破壞會對組織造成 影響，對業(yè)務(wù)沖擊明顯，但可以彌補(bǔ)3同左3同左3同左3技術(shù)、管理、財(cái)務(wù)等方面的 骨干人員3同左3未經(jīng)授權(quán)的修改或破壞會對組織造成 重大影響，對業(yè)務(wù)沖擊嚴(yán)重，比較難以 彌補(bǔ)4同左4同左4同左4中層管理人員4同左4未經(jīng)授權(quán)的修改或破壞會對組織造成 重大的或無法接受的影響，對業(yè)務(wù)沖擊 重大，并可能造成嚴(yán)重的業(yè)務(wù)中斷，難以彌補(bǔ)5同左5同左5同左5高層管理人員5同左5可用性評估準(zhǔn)則準(zhǔn)則電子數(shù)據(jù)文檔資產(chǎn)軟件資產(chǎn)硬件資產(chǎn)人員資產(chǎn)服務(wù)類資產(chǎn)按資產(chǎn) 使用或 允許中 斷的時(shí) 間次數(shù) 來評估數(shù)據(jù)存儲、傳輸和處理設(shè)施在一個(gè)工 作日內(nèi)允許中斷的次數(shù)或時(shí)間比例賦值使用頻次要求賦值使用頻次要 求賦值每次中斷允許時(shí)間賦值允許離崗時(shí)間賦值每次中斷允許時(shí)間賦值16次以上或全部工作時(shí)間中斷1