文件密級(jí)控制程序

密級(jí)控制程序編號(hào)：ISMS-狀態(tài)：受控編寫：200X年XX月XX日審核：200X年XX月XX日同意：200X年XX月XX日公布版次：第A/0版200X年XX月XX日生效日期200X年XX月XX日分發(fā)：各部門（或XXX）接受部門：

變更記錄變更日期版本變更闡明編寫審核同意-XX-XXA/0初始版本XXXXXXXXX密級(jí)控制程序1范疇為更加好地管理客戶（合作方）和我司在服務(wù)、技術(shù)、經(jīng)營等活動(dòng)中產(chǎn)生的各類信息，避免因不恰當(dāng)使用或泄漏,使我司蒙受經(jīng)濟(jì)損失或法律糾紛，特制訂本管理規(guī)程。本原則規(guī)定了信息密級(jí)劃分、標(biāo)注及解決控制目的和控制方式。2規(guī)范性引用文獻(xiàn)下列文獻(xiàn)中的條款通過本原則的引用而成為本原則的條款。但凡注日期的引用文獻(xiàn)，其隨即全部的修改單（不涉及勘誤的內(nèi)容）或修訂版均不合用于本原則，然而，激勵(lì)各部門研究與否可使用這些文獻(xiàn)的最新版本。但凡不注日期的引用文獻(xiàn)，其最新版本合用于本原則?！禛B/T22080-idtISO/IEC27001:信息技術(shù)-安全技術(shù)-信息安全管理體系規(guī)定》《GB/T22081-idtISO/IEC27002:信息技術(shù)-安全技術(shù)-信息安全管理實(shí)施細(xì)則》3術(shù)語和定義IGB/T22080-idtISO/IEC27001:《信息技術(shù)-安全技術(shù)-信息安全管理體系規(guī)定》和GB/T22081-idtISO/IEC27002:《信息技術(shù)-安全技術(shù)-信息安全管理實(shí)施細(xì)則》規(guī)定的術(shù)語合用于本原則。4職責(zé)和權(quán)限4.1XX部XX部負(fù)責(zé)信息密級(jí)劃分、標(biāo)注及解決控制。4.2各部門各部門負(fù)責(zé)本部門使用或管理的信息密級(jí)劃分、標(biāo)注及解決控制。5活動(dòng)描述5.1密級(jí)的分類信息的密級(jí)分為3類：公司秘密事項(xiàng)（秘密）、內(nèi)部信息事項(xiàng)（受控）和公開事項(xiàng)。信息分類定義：a)“秘密”：《中華人民共和國保守國家秘密法》中指定的秘密事項(xiàng)；或不可對(duì)外公開、若泄露或被篡改會(huì)對(duì)我司的日常經(jīng)營造成嚴(yán)重?fù)p害，或者由于業(yè)務(wù)上的需要僅限有關(guān)人員懂得的事項(xiàng)；介質(zhì)涉及但不限于：紙類、電磁類及其它媒體（紙張、軟盤、硬盤、光盤、磁帶、膠片）。b)“受控”：不可對(duì)外公開、若泄露或被篡改會(huì)對(duì)我司的日常經(jīng)營造成損害，或者由于業(yè)務(wù)上的需要僅限有關(guān)人員懂得的事項(xiàng)；或是指為了日常的業(yè)務(wù)能順利進(jìn)行而向公司員工公開、但不可向公司以外人員隨意公開的事項(xiàng)。c)“公開”：秘密事項(xiàng)以外，僅用來傳遞信息、昭示承諾或?qū)ν庑麄魉婕暗氖马?xiàng)。6．涉密、受控文獻(xiàn)、資料的標(biāo)記、制發(fā)的管理6.1管理職責(zé)公司秘密管理的最高責(zé)任者為公司執(zhí)行總經(jīng)理，各部門的管理責(zé)任者為本部門經(jīng)理。全體員工都負(fù)有恪守保密承諾、保守公司秘密的義務(wù)。6.2公司秘密的指令6.2.1“秘密”按《中華人民共和國保守國家秘密法》的有關(guān)規(guī)定執(zhí)行。公司秘密事項(xiàng)由經(jīng)營管理機(jī)構(gòu)指定，公司秘密及敏感信息事項(xiàng)由產(chǎn)生該事項(xiàng)的部門經(jīng)理級(jí)以上（含副經(jīng)理）人員指定。指定秘密事項(xiàng)時(shí)，應(yīng)參考附錄1的示例，并充足考慮該事項(xiàng)的性質(zhì)及重要程度等因素。6.2.2員工對(duì)自己編寫的信息需判斷與否為公司秘密及管理分類（秘密、受控）時(shí)，可隨時(shí)詢問經(jīng)理級(jí)以上領(lǐng)導(dǎo)。后者對(duì)前者的請(qǐng)求應(yīng)及時(shí)予以明確的解決。無法判明時(shí)，可請(qǐng)示更高一級(jí)領(lǐng)導(dǎo)。6.2.3編寫的文獻(xiàn)一旦被指定為秘密、受控文獻(xiàn)，則負(fù)責(zé)人應(yīng)按本規(guī)定的規(guī)定對(duì)編寫中和編寫后的無用稿件進(jìn)行處置。6.3秘密、受控文獻(xiàn)的表達(dá)辦法由編寫部門在文獻(xiàn)封面標(biāo)明“秘密”，受控文獻(xiàn)，由編寫部門在文獻(xiàn)封面標(biāo)明“受控”，顏色無規(guī)定。注:1)采用電磁等媒體統(tǒng)計(jì)的秘密、受控文獻(xiàn)，應(yīng)在其包裝盒上明顯的位置用標(biāo)簽標(biāo)明秘密、受控管理分類，使用的印章辦法同上。2)由XX部負(fù)責(zé)發(fā)行管理的技術(shù)關(guān)聯(lián)規(guī)程/集中管理規(guī)格書等，除特別指定外均屬受控文獻(xiàn)。XX部使用的圖紙，不便于標(biāo)明文獻(xiàn)類型，其默認(rèn)為受控文獻(xiàn)印刷發(fā)行。6.4送付部門和使用目的、范疇的指定6.4.1發(fā)送秘密文獻(xiàn)時(shí)，制訂者應(yīng)根據(jù)文獻(xiàn)內(nèi)容指定接受部門和接受人。6.4.2為了避免接受人因不清晰使用范疇而泄密，可在附件中指明使用目的和使用范疇。若從文獻(xiàn)標(biāo)題和送付部門一覽中能使接受者明確使用目的和范疇，可省略上述指定。6.5秘密文獻(xiàn)的發(fā)放管理6.5.1各部門在發(fā)放秘密文獻(xiàn)前，應(yīng)作好發(fā)行臺(tái)帳登記。臺(tái)帳的內(nèi)容應(yīng)涉及：發(fā)行年月日、標(biāo)題、送付部門及份數(shù)、解除/變更年月日、回收/廢棄年月日等。該管理臺(tái)帳同秘密文獻(xiàn)同樣保管。6.5.2公司內(nèi)發(fā)送的秘密文獻(xiàn)，盡量親自交給接受人，或裝入信封并標(biāo)明“親展”6.5.3發(fā)往公司以外的秘密文獻(xiàn)，原則上雙方應(yīng)訂立含有保密條款的合同并經(jīng)部門經(jīng)理以上的同意后方可提供。特殊狀況（無保密條款合同但又必需提供）需事先準(zhǔn)備好保密合同書，經(jīng)部門經(jīng)理以上同意并規(guī)定對(duì)方在接受時(shí)簽收。注:1)運(yùn)用網(wǎng)絡(luò)傳送秘密文獻(xiàn)時(shí)，應(yīng)事先與接受人獲得聯(lián)系，并根據(jù)實(shí)際狀況決定與否加載壓縮/解壓縮密碼。2)運(yùn)用FAX傳送的秘密文獻(xiàn)時(shí)，應(yīng)事先與接受人聯(lián)系，并以書面或口頭的方式提示對(duì)方“注意保密，嚴(yán)禁復(fù)印”。6.6公司秘密的使用6.6.1秘密文獻(xiàn)的接受人應(yīng)按秘密文獻(xiàn)的使用目的、使用范疇對(duì)的使用秘密文獻(xiàn)。6.6.2秘密文獻(xiàn)的保管人員和秘密事項(xiàng)的實(shí)際操作人員未經(jīng)指定者許可不得私自將秘密內(nèi)容向其它人員公開。6.6.3采用網(wǎng)絡(luò)傳送的秘密文獻(xiàn)需轉(zhuǎn)發(fā)別人時(shí)，同樣按6.5項(xiàng)注1的規(guī)定解決。轉(zhuǎn)發(fā)時(shí)必須附上文獻(xiàn)名稱或標(biāo)題，并在正文中注明“秘密文獻(xiàn)”。6.6.4秘密文獻(xiàn)原則上嚴(yán)禁復(fù)印。因業(yè)務(wù)必需時(shí)應(yīng)限制在最小程度，并且在使用后按8.2項(xiàng)辦法及時(shí)廢棄。6.6.5未經(jīng)同意嚴(yán)禁將秘密文獻(xiàn)帶出公司使用。如工作必須，應(yīng)通過部門經(jīng)理以上領(lǐng)導(dǎo)的同意。6.7秘密文獻(xiàn)的保管6.7.1秘密文獻(xiàn)應(yīng)保存在能上鎖的柜子中，管理責(zé)任者或指定的擔(dān)當(dāng)人員負(fù)責(zé)該鑰匙的保管及文獻(xiàn)保管臺(tái)帳登記。臺(tái)帳內(nèi)容為：接受年月日、份數(shù)、標(biāo)題、發(fā)行部門、解除/變更年月日、回收/廢棄年月日等。該管理臺(tái)帳同秘密文獻(xiàn)同樣保管。接受的敏感信息文獻(xiàn)，不必登記上述臺(tái)帳。但應(yīng)寄存在公司以外人員未經(jīng)許可不能隨便進(jìn)入的場(chǎng)合。6.7.2保存在計(jì)算機(jī)系統(tǒng)內(nèi)的秘密事項(xiàng)應(yīng)采用適宜的防護(hù)和備份方法，避免被無關(guān)人員查看、誤操作等。7.公司秘密、受控指令的解除或變更7.1解除或變更的條件秘密事項(xiàng)因?qū)ν夤_發(fā)表而成為眾所周知的信息時(shí)，公司秘密的指令將自動(dòng)解除。隨著時(shí)間的推移，某些秘密、受控事項(xiàng)的內(nèi)容已過時(shí)的狀況下。7.2解除或變更的辦法解除或變更公司秘密、受控指定時(shí)，由原編寫部門的指定者書面告知原接受者。編寫部門及接受部門，在秘密、受控文獻(xiàn)保管登記臺(tái)帳上用紅色筆劃掉該行內(nèi)容，并統(tǒng)計(jì)解除或變更日期。在原秘密、受控文獻(xiàn)上劃去秘密印章并加蓋解除/變更印章（記入日期）。解除/變更后的文獻(xiàn)，按對(duì)應(yīng)的管理分辨保管和使用。為使解除/變更能及時(shí)進(jìn)行，文獻(xiàn)接受方在理解到7.1的條件出現(xiàn)時(shí),應(yīng)告知原編寫方。8回收/廢棄8.1秘密文獻(xiàn)，如無特別指定，原則上應(yīng)在使用后及時(shí)回收歸檔保存或廢棄。受控文獻(xiàn)，原則上應(yīng)在使用后及時(shí)銷毀廢棄。8.2廢棄秘密文獻(xiàn)時(shí)，媒體可用粉碎的辦法，其它媒體可用初始化或破壞媒體的辦法解決。廢棄時(shí)應(yīng)同時(shí)在臺(tái)帳上用紅色筆劃掉該行內(nèi)容并統(tǒng)計(jì)廢棄日期。8.3秘密文獻(xiàn)改版發(fā)送時(shí)，應(yīng)同時(shí)回收舊版或告知接受方廢棄舊版。9事故的解決9.1發(fā)現(xiàn)遺失秘密文獻(xiàn)時(shí)，應(yīng)及時(shí)向部門指定者報(bào)告并與原發(fā)行部門聯(lián)系。9.2發(fā)現(xiàn)公司秘密泄漏、有泄漏征兆或管理上存在重大隱患時(shí)，發(fā)現(xiàn)者應(yīng)快速向本部門經(jīng)理報(bào)告。9.3拾到遺失的秘密文獻(xiàn)時(shí)，應(yīng)快速交給遺失者。關(guān)系者不明時(shí)，交給本部門經(jīng)理。9.4發(fā)生以上狀況時(shí),對(duì)應(yīng)部門應(yīng)快速調(diào)查因素，采用適宜的糾正和再發(fā)避免方法，并將處置成果以書面的方式告知有關(guān)部門。具體規(guī)定見ISMS—《糾正防止方法控制程序》。10教育10.1為了使員工能充足理解并徹底貫徹執(zhí)行公司本管理規(guī)定，應(yīng)對(duì)新入員工及調(diào)職來的人員進(jìn)行保守公司秘密教育。教育時(shí)應(yīng)作好教育統(tǒng)計(jì)。統(tǒng)計(jì)內(nèi)容應(yīng)涉及：日期、地點(diǎn)、講師名、受教育者名、教育內(nèi)容等。教育統(tǒng)計(jì)應(yīng)妥善保存。保存期為該員工離開公司后1年。10.2掌握公司重要經(jīng)營信息、核心技術(shù)的從業(yè)人員離、退職時(shí)，本部門管理者應(yīng)對(duì)其進(jìn)行面談，重申保守公司秘密的規(guī)定，避免將我司公司秘密帶出或不正當(dāng)使用。11離/退職后的保密義務(wù)按《信息安全人員考察審批與保密管理程序》和勞動(dòng)合同的商定執(zhí)行。12其它12.1外來人員參觀，應(yīng)嚴(yán)格按公司有關(guān)規(guī)定辦理手續(xù)，或按照申請(qǐng)的時(shí)間和路線參觀。結(jié)束后，由接待責(zé)任部門負(fù)責(zé)送出。12.2因業(yè)務(wù)需要來公司的外來人員，原則上應(yīng)使用公司的接待室洽談業(yè)務(wù)。需進(jìn)入辦公室時(shí)，應(yīng)征得經(jīng)理以上管理者的同意。13統(tǒng)計(jì)統(tǒng)計(jì)名稱保存部門保存期限附錄1：秘密、受控示例項(xiàng)目秘密事項(xiàng)秘密事項(xiàng)子類受控信息事項(xiàng)1.經(jīng)營規(guī)劃戰(zhàn)略決策董事會(huì)資料中長久規(guī)劃經(jīng)營計(jì)劃2.組織狀況組織變更方案組織機(jī)構(gòu)圖組織變更告知電話簿4.人事制度人事方案錄用計(jì)劃離職資料人事待遇資料培訓(xùn)資料人事變動(dòng)告知培訓(xùn)計(jì)劃福利勞保計(jì)劃5.信息安全制度安全手冊(cè)程序文獻(xiàn)作業(yè)指導(dǎo)書表格統(tǒng)計(jì)6.財(cái)務(wù)信息預(yù)決算（各類投資預(yù)決算）財(cái)務(wù)業(yè)績報(bào)告中期財(cái)務(wù)狀況資金計(jì)劃生產(chǎn)成本財(cái)務(wù)數(shù)據(jù)的解決辦法(成本計(jì)算辦法和系統(tǒng),審計(jì)檢查等經(jīng)營分析系統(tǒng),減稅的辦法、規(guī)程)7.業(yè)務(wù)信息市場(chǎng)調(diào)查報(bào)告(市場(chǎng)動(dòng)向,顧客需求,其它公司動(dòng)向及對(duì)這些情報(bào)的分析辦法和成果.)商談的內(nèi)容,合同/合同營銷計(jì)劃(通過促銷等手段強(qiáng)化營銷能力、營銷區(qū)域及選定上市期)營業(yè)戰(zhàn)略(有關(guān)和其它公司合作銷售、銷售途徑的擬定及變更,對(duì)代理商的政策等情報(bào))商品和服務(wù)的價(jià)格(成本價(jià)、批發(fā)價(jià)、成交價(jià)以及設(shè)定價(jià)格的辦法和基準(zhǔn))供應(yīng)商信息（多個(gè)材料、設(shè)備等生產(chǎn)中必需資材的供應(yīng)商狀況)客戶信息(客戶名單、供應(yīng)商名單)退貨和投訴解決(退貨的品名、數(shù)量、因素及對(duì)投訴的解決辦法)廣告宣傳情報(bào)(廣告創(chuàng)意、辦法）、報(bào)價(jià)8.技術(shù)信息研究成果(我司或者和其它單位合作研究開發(fā)的技術(shù)成果)保管的顧客信息(顧客數(shù)據(jù)/有關(guān)的資料/實(shí)驗(yàn)數(shù)據(jù))開發(fā)計(jì)劃書技術(shù)合作的有關(guān)內(nèi)容（協(xié)作方，協(xié)作內(nèi)容，協(xié)作時(shí)間等）技術(shù)備忘錄新產(chǎn)品開發(fā)的體制、組織（新品開發(fā)人員的構(gòu)成,業(yè)務(wù)分派，技術(shù)人員的配備等）教育資料9．服務(wù)信息保管信息的工藝流程、檢查辦法和原則操作辦法（本公司特有的過程、工藝、規(guī)格等）設(shè)備投資計(jì)劃（涉及擬在現(xiàn)有領(lǐng)域或新領(lǐng)域中投資的計(jì)劃）多個(gè)服務(wù)設(shè)備的配備（針對(duì)產(chǎn)品的最佳配備、特殊配備）特種機(jī)器的