公司信息分類(lèi)標(biāo)識(shí)發(fā)布使用管理制度_第1頁(yè)
公司信息分類(lèi)標(biāo)識(shí)發(fā)布使用管理制度_第2頁(yè)
公司信息分類(lèi)標(biāo)識(shí)發(fā)布使用管理制度_第3頁(yè)
公司信息分類(lèi)標(biāo)識(shí)發(fā)布使用管理制度_第4頁(yè)
公司信息分類(lèi)標(biāo)識(shí)發(fā)布使用管理制度_第5頁(yè)
已閱讀5頁(yè),還剩5頁(yè)未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶(hù)提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

V:1.0管理制度精選整理公司信息分類(lèi)標(biāo)識(shí)發(fā)布使用管理制度2020-4-1信息資產(chǎn)管理制度好收益(北京)金融信息服務(wù)有限公司信息資產(chǎn)管理制度第_章總則第一條為了明確好收益(北京)金融信息服務(wù)有限公司內(nèi)各類(lèi)信息資產(chǎn)的分類(lèi)和標(biāo)識(shí),方便信息資產(chǎn)的有效管理。第二章適用范圍第二條本制度適用于好收益(北京)金融信息服務(wù)有限公司所涉及的所有信息資產(chǎn)。第三條定義(一)本制度所涉及的信息包括各種存儲(chǔ)或者存在形式,包括但不限于電子信息、紙質(zhì)數(shù)據(jù)文件、語(yǔ)音和圖像等。(二)本制度所稱(chēng)信息是指以任何形式存在或傳播的對(duì)好收益(北京)金融信息服務(wù)有限公司具有價(jià)值的內(nèi)容,包括電子信息、紙質(zhì)數(shù)據(jù)文件、語(yǔ)音圖像等。信息安全關(guān)注的是信息的保密性、可用性和完整性。(三)本制度所稱(chēng)信息資產(chǎn)是指任何對(duì)好收益(北京)金融信息服務(wù)有限公司具有價(jià)值的信息的存在形式或者載體,包括計(jì)算機(jī)硬件、通信設(shè)施、IT環(huán)境、數(shù)據(jù)庫(kù)、軟件、文檔資料、信息服務(wù)和人員等,所有這些資產(chǎn)都需要妥善保護(hù)。第三章職責(zé)權(quán)限第三條好收益(北京)金融信息服務(wù)有限公司各部門(mén)負(fù)責(zé)人是本部門(mén)信息資產(chǎn)管理的第一責(zé)任人,負(fù)責(zé)本制度的貫徹落實(shí),總裁辦是好收益(北京)金融信息服務(wù)有限公司內(nèi)部各類(lèi)信息的歸口管理部門(mén)。第四條本制度定義以下相關(guān)角色,履行相應(yīng)的信息安全管理、執(zhí)行和審核職責(zé)。(一)責(zé)任人,信息資產(chǎn)的創(chuàng)建者,或者主要用戶(hù)所在組織、單位或部門(mén)的負(fù)責(zé)人。信息資產(chǎn)責(zé)任人對(duì)所屬信息資產(chǎn)負(fù)直接責(zé)任。其主要職責(zé)包括:1)理解和各種信息訪問(wèn)活動(dòng)相關(guān)的安全風(fēng)險(xiǎn);2)根據(jù)好收益(北京)金融信息服務(wù)有限公司信息密級(jí)劃分標(biāo)準(zhǔn)來(lái)確定所屬信息資產(chǎn)的級(jí)別;3)根據(jù)好收益(北京)金融信息服務(wù)有限公司相關(guān)策略確定并檢查信息訪問(wèn)權(quán)限;4)針對(duì)所屬信息資產(chǎn)提出恰當(dāng)?shù)谋Wo(hù)措施。(二)保管者,受信息資產(chǎn)責(zé)任人委托,對(duì)信息資產(chǎn)進(jìn)行日常的管理,維護(hù)已經(jīng)建立的保護(hù)措施。資產(chǎn)保管者通常是好收益(北京)金融信息服務(wù)有限公司的信息中心及相關(guān)部門(mén)負(fù)責(zé)人(例如系統(tǒng)管理員或各部門(mén)相關(guān)人員)。其主要職責(zé)包括:1)根據(jù)相關(guān)策略和信息資產(chǎn)責(zé)任人的要求,負(fù)責(zé)信息資產(chǎn)的維護(hù)操作和日常管理事務(wù);2)負(fù)責(zé)具體設(shè)置信息訪問(wèn)權(quán)限;3)負(fù)責(zé)所管理的信息資產(chǎn)的安全控制;4)部署恰當(dāng)?shù)陌踩珯C(jī)制,進(jìn)行備份和恢復(fù)操作;5)按照信息資產(chǎn)責(zé)任人的要求實(shí)施其他控制(三)用戶(hù),信息資產(chǎn)的使用者,除了好收益(北京)金融信息服務(wù)有限公司內(nèi)部員工,也可能是因?yàn)闃I(yè)務(wù)需要而訪問(wèn)好收益(北京)金融信息服務(wù)有限公司信息的客戶(hù)或第三方組織。其主要職責(zé)包括:1)向信息資產(chǎn)責(zé)任人申請(qǐng)信息訪問(wèn);2)按照好收益(北京)金融信息服務(wù)有限公司信息安全策略要求正當(dāng)訪問(wèn)信息,禁止非授權(quán)訪問(wèn);3)向相關(guān)組織報(bào)告隱患、故障或者違規(guī)事件。第四章資產(chǎn)管理要求第五條信息資產(chǎn)分類(lèi)信息資產(chǎn)責(zé)任人應(yīng)該指導(dǎo)進(jìn)行相關(guān)資產(chǎn)的調(diào)查,資產(chǎn)調(diào)查以業(yè)務(wù)流程為線索,包括各類(lèi)輸入、中間環(huán)節(jié)和輸出信息,所有這些信息資產(chǎn)都為業(yè)務(wù)流程的運(yùn)轉(zhuǎn)提供支持。信息資產(chǎn)可以分為以下幾大類(lèi):(一)數(shù)據(jù)文件,通常包括各種電子檔:業(yè)務(wù)數(shù)據(jù)、客戶(hù)數(shù)據(jù)、配置文件、記錄數(shù)據(jù)(日志、審計(jì)記錄)、管理文件(策略、流程文件、操作手冊(cè)等)、商務(wù)文件(合同、協(xié)議等)。也包括以實(shí)物方式存在的資產(chǎn):各類(lèi)電子數(shù)據(jù)的歸檔、打印件、書(shū)面管理文件、業(yè)務(wù)報(bào)表、包含重要商業(yè)成果的文件,還有膠片等。(二)軟件資產(chǎn),各種系統(tǒng)軟件、應(yīng)用軟件(0A、業(yè)務(wù)軟件等)和工具軟件(開(kāi)發(fā)系統(tǒng)、網(wǎng)管軟件、安全軟件等),包括操作系統(tǒng)、數(shù)據(jù)庫(kù)應(yīng)用程序、網(wǎng)絡(luò)軟件、辦公應(yīng)用系統(tǒng)、業(yè)務(wù)系統(tǒng)程序、軟件開(kāi)發(fā)工具等,這些軟件資產(chǎn)負(fù)責(zé)處理、存儲(chǔ)或傳輸各類(lèi)信息。(三)實(shí)物資產(chǎn),與業(yè)務(wù)相關(guān)的IT物理設(shè)備,包括計(jì)算機(jī)(工作站和服務(wù)器等)和網(wǎng)絡(luò)通信設(shè)備、磁介質(zhì)(磁帶和磁盤(pán)等)、裝置、環(huán)境等,這些實(shí)物資產(chǎn)容納著軟件和數(shù)據(jù)文件(四)人員,承擔(dān)某項(xiàng)與業(yè)務(wù)活動(dòng)相關(guān)責(zé)任的角色和職位。例如普通用戶(hù)、系統(tǒng)管理員、網(wǎng)絡(luò)管理員、保安、清潔員等,這些人員與各類(lèi)數(shù)據(jù)、軟件和實(shí)物資產(chǎn)的操作直接相關(guān)。(五)服務(wù),安保(例如監(jiān)控、門(mén)禁、保安等),環(huán)境服務(wù)(例如清潔),基礎(chǔ)保障(供水、供熱、供電),設(shè)備維護(hù),通信服務(wù)(例如互聯(lián)網(wǎng)接入)。第六條信息資產(chǎn)分級(jí)標(biāo)準(zhǔn)保密性、完整性和可用性是評(píng)價(jià)資產(chǎn)的三個(gè)安全屬性。風(fēng)險(xiǎn)評(píng)估中資產(chǎn)的價(jià)值不是以資產(chǎn)的經(jīng)濟(jì)價(jià)值來(lái)衡量,而是由資產(chǎn)在這三個(gè)安全屬性上的達(dá)成程度或者其安全屬性未達(dá)成時(shí)所造成的影響程度來(lái)決定的。安全屬性達(dá)成程度的不同將使資產(chǎn)具有不同的價(jià)值,而資產(chǎn)面臨的威脅、存在的脆弱性、以及已采用的安全措施都將對(duì)資產(chǎn)安全屬性的達(dá)成呈度產(chǎn)生影響。(一)保密性賦值根據(jù)信息資產(chǎn)在保密性上的不同要求,將其分為五個(gè)不同的等級(jí),分別對(duì)應(yīng)資產(chǎn)在保密性上應(yīng)達(dá)成的不同程度或者保密性缺失時(shí)對(duì)整個(gè)組織的影響。下表提供了一種保密性賦值的表1信息資產(chǎn)保密賦值表賦值標(biāo)識(shí)定義V彳艮高V等級(jí)文獻(xiàn)為周度絕密級(jí),其查閱人僅限公司董事會(huì)、局層決策者及事件相關(guān)負(fù)責(zé)人;IV高IV等級(jí)文獻(xiàn)為絕密級(jí),其查閱人僅限公司董事會(huì)、周層決策者、局層管理人員及事件相關(guān)負(fù)責(zé)人;III中等III等級(jí)文獻(xiàn)為機(jī)密級(jí),其查閱人僅限公司董事會(huì)、周層

決策者、周層管理人員、相關(guān)部門(mén)負(fù)責(zé)人及事件相關(guān)負(fù)責(zé)人;II底II等級(jí)文獻(xiàn)為機(jī)密級(jí),其查閱人僅限公司董事會(huì)、局層決策者、高層管理人員、所有部門(mén)負(fù)責(zé)人及事件相關(guān)負(fù)責(zé)人;I很低I等級(jí)文獻(xiàn)為秘密級(jí),具查閱人為公司所有員工(二)完整性賦值根據(jù)信息資產(chǎn)在完整性上的不同要求,將其分為五個(gè)不同的等級(jí),分別對(duì)應(yīng)資產(chǎn)在完整性上缺失時(shí)對(duì)整個(gè)組織的影響。下表提供了一種完整性賦值的參考表2信息資產(chǎn)完整性賦值表賦值標(biāo)識(shí)定義V彳艮高完整性?xún)r(jià)值非常關(guān)鍵,未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)組織造成重大的或無(wú)法接受的影響,對(duì)業(yè)務(wù)沖擊重大,并可能造成嚴(yán)重的業(yè)務(wù)中斷,難以彌補(bǔ)IV高完整性?xún)r(jià)值較高,未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)組織造成重大影響,對(duì)業(yè)務(wù)沖擊嚴(yán)重,較難彌補(bǔ)III中等完整性?xún)r(jià)值中等,未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)組織造成影響,對(duì)業(yè)務(wù)沖擊明顯,但可以彌補(bǔ)II底完整性?xún)r(jià)值較低,未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)組織造成輕微影響,對(duì)業(yè)務(wù)沖擊輕微,容易彌補(bǔ)很低完整性?xún)r(jià)值非常低,未經(jīng)授權(quán)的修改或破壞對(duì)組織造成的影響可以忽略,對(duì)業(yè)務(wù)沖擊可以忽略

很低(三)可用性賦值根據(jù)信息資產(chǎn)在可用性上的不同要求,將其分為五個(gè)不同的等級(jí),分別對(duì)應(yīng)資產(chǎn)在可用性上應(yīng)達(dá)成的不同程度。下表提供了一種可用性賦值的參考表3:信息資產(chǎn)可用性賦值表賦值標(biāo)識(shí)定義V彳艮高可用性?xún)r(jià)值非常高,合法使用者對(duì)信息及信息系統(tǒng)的可用度達(dá)到年度%以上,或系統(tǒng)不允許中斷IV高可用性?xún)r(jià)值較高,合法使用者對(duì)信息及信息系統(tǒng)的可用度達(dá)到每天90%以上,或系統(tǒng)允許中斷時(shí)間小于10minIII中等可用性?xún)r(jià)值中等,合法使用者對(duì)信息及信息系統(tǒng)的可用度在正常工作時(shí)間達(dá)到70%以上,或系統(tǒng)允許中斷時(shí)間小于30minII底可用性?xún)r(jià)值較低,合法使用者對(duì)信息及信息系統(tǒng)的可用度在正常工作時(shí)間達(dá)到25%以上,或系統(tǒng)允許中斷時(shí)間小于60minI很低可用性?xún)r(jià)值可以忽略,合法使用者對(duì)信息及信息系統(tǒng)的可用度在正常工作時(shí)間低于25%第五章信息披露管理第七條對(duì)外信息披露管理(一)責(zé)任部門(mén)對(duì)夕隔息披露的責(zé)任部門(mén)為總裁辦,總裁辦是公司的對(duì)外公告、啟事、宣傳文稿等工作的對(duì)口部門(mén)。(二)對(duì)外信息披露的流程1)信息的報(bào)送:各部門(mén)根據(jù)工作需要對(duì)外發(fā)布及傳送信息時(shí),需提前通知總裁辦,并將對(duì)外公布信息內(nèi)容、信息披露的渠道等報(bào)送總裁辦審批;2)信息的審批:總裁辦對(duì)各部門(mén)對(duì)外公布信息內(nèi)容和渠道進(jìn)行審批,審批通過(guò)后由總裁辦統(tǒng)一執(zhí)行對(duì)外信息發(fā)布的工作(附表一)。重要對(duì)外信息的審批則需上報(bào)董事長(zhǎng)審批,審批通過(guò)后由總裁辦進(jìn)行發(fā)布工作(附表二)。注:對(duì)于經(jīng)常性或較為適于職能部門(mén)發(fā)布的信息,經(jīng)總裁辦審批后,可由相應(yīng)部門(mén)負(fù)責(zé)對(duì)外信息發(fā)布,發(fā)布信息內(nèi)容則必須在總裁辦留檔。3)發(fā)生費(fèi)用的控制:對(duì)于因信息發(fā)布披露而產(chǎn)生的費(fèi)用,各部門(mén)在年初時(shí)需制訂相應(yīng)的預(yù)算,在具體信息對(duì)外公布執(zhí)行中,財(cái)務(wù)部按照預(yù)算進(jìn)行控制。對(duì)于超出預(yù)算或其他特殊情況的費(fèi)用,則需相應(yīng)部門(mén)上報(bào)公司董事長(zhǎng)進(jìn)行審批,審批通過(guò)后予以執(zhí)行。4)對(duì)外披露信息的存檔:對(duì)外披露的信息由總裁辦統(tǒng)一存檔、保留。第六章電子數(shù)據(jù)的使用和處置第八條對(duì)所有電子數(shù)據(jù)進(jìn)行分類(lèi)/分級(jí),標(biāo)識(shí)未授權(quán)人員的訪問(wèn)限制,不同安全級(jí)別的數(shù)據(jù)應(yīng)存儲(chǔ)在不同的區(qū)域,按類(lèi)按級(jí)傳達(dá),便于信息的安全管理。第九條不同類(lèi)型的電子文件按照統(tǒng)一規(guī)律存放在個(gè)人電腦或服務(wù)器中,便于整理和查閱以及工作交接時(shí)轉(zhuǎn)移。第十條所有電子文件保存在電腦或服務(wù)器中,并按照《XXXXX公司備份和恢復(fù)管理制度》規(guī)定的備份頻率定期進(jìn)行備份第十一條對(duì)于存于服務(wù)器上的電子數(shù)據(jù)的訪問(wèn),根據(jù)服務(wù)器提供服務(wù)的不同與部門(mén)/職務(wù)的不同,設(shè)置不同的訪問(wèn)權(quán)限,避免非授權(quán)訪問(wèn)。第十二條對(duì)于內(nèi)部公開(kāi)級(jí)別的電子信息,其使用要控制在內(nèi)部,禁止帶出。第十三條對(duì)于秘密級(jí)別以上的電子文件的處理過(guò)程,必須保障數(shù)據(jù)的完整性、機(jī)密性和可用性。第十四條對(duì)于秘密級(jí)別以上的電子文件的使用,系統(tǒng)應(yīng)進(jìn)行審計(jì)。第十五條對(duì)于秘密級(jí)別以上的電子文件的傳輸,必須米取適當(dāng)?shù)陌踩胧┘右员Wo(hù),如加密傳輸、分散傳輸?shù)?。第十六條在整理電腦中的電子數(shù)據(jù)時(shí),要小心操作,確認(rèn)后再進(jìn)行處理,避免由于誤操作將有用的電子數(shù)據(jù)刪除。第七章紙質(zhì)文檔的使用和處置第十七條所有的秘密級(jí)以上的紙質(zhì)文件資料要(通過(guò)標(biāo)簽或其它方式)標(biāo)識(shí)出資產(chǎn)的保密級(jí)別,分類(lèi)存放,不同安全級(jí)別的紙質(zhì)文件應(yīng)按類(lèi)按級(jí)傳達(dá),便于紙質(zhì)文件的安全

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶(hù)所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶(hù)上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶(hù)上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶(hù)因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論