16信息資產分類及安全管理規(guī)定

信息資產分類及安全管理規(guī)定第一章.總則第一條.本規(guī)定是為加強對信息中心信息資產的管理，保障信息資產安全，防止信息資產損毀、誤用和非授權訪問，確保信息資產的保密性、完整性和可用性，特制訂本規(guī)定。第二條.本規(guī)定適用于信息中心針對信息資產進行分級分類保護以及相應的管理活動。第三條.信息中心負責對IT資產的日常管理。第二章.管理規(guī)定第一節(jié).信息資產分類第四條.所有信息資產都應指定資產責任人，并由資產責任人負責進行相關資產的識別、統(tǒng)計、分類、分級和實施相應的保護措施，需從安全責任劃分資產所有者（即資產責任人）、維護者以及使用者。第五條.信息資產按形式不同可以分為五類：數(shù)據(jù)和文檔資產、軟件資產、實物資產、人員資產和服務資產。其中數(shù)據(jù)和文檔資產主要包括業(yè)務數(shù)據(jù)和記錄、各類管理制度、管理文檔、辦公文檔以及外來的數(shù)據(jù)文件等。具體如下：（一）數(shù)據(jù)和文檔資產：通常包括各種電子檔：業(yè)務數(shù)據(jù)、客戶數(shù)據(jù)、配置文件、記錄數(shù)據(jù)（日志、審計記錄）、管理文件（策略、流程文件、操作手冊等）、商務文件（合同、協(xié)議等）以及外來數(shù)據(jù)文件等。也包括以實物方式存在的資產：各類電子數(shù)據(jù)的歸檔、打印件、書面管理文件、業(yè)務報表、包含重要商業(yè)成果的文件，還有膠片等。（二）軟件資產：各種系統(tǒng)軟件、應用軟件（OA、業(yè)務軟件等）和工具軟件（網(wǎng)管軟件、安全軟件等），包括操作系統(tǒng)、數(shù)據(jù)可應用程序、網(wǎng)絡軟件、辦公應用系統(tǒng)、業(yè)務應用系統(tǒng)等，這些軟件資產負責處理、存儲或傳輸各類信息。（三）實物資產：與業(yè)務相關的IT物理設備，包括計算機（工作站和服務器等）和網(wǎng)絡通信設備、磁介質（磁帶和磁盤等）、裝置、環(huán)境等，這些實物資產容納著軟件和數(shù)據(jù)文件。（四）人員資產：承擔某項與業(yè)務活動相關責任的角色和職位。例如普通用戶、系統(tǒng)管理員、網(wǎng)絡管理員、有合同約束的保安、清潔員等，這些人員與各類數(shù)據(jù)、軟件和實物資產的操作直接相關。（五）服務資產：安保（例如監(jiān)控、門禁、保安等），環(huán)境服務（例如清潔），基礎保障（供水、供熱、供電），設備維護，通信服務（例如互聯(lián)網(wǎng)接入）。第六條.信息資產分級，根據(jù)各類信息資產在保密性、完整性和可用性三個方面所表現(xiàn)出的不同的重要程度，劃分為五個級別，從高到低分別為：核心商密、重要商密、一般商密、內部使用和公開:（一）核心商密：組織最重要的秘密，如果泄露會造成災難性的損害，對業(yè)務沖擊重大，并可能造成嚴重的業(yè)務中斷。（二）重要商密：組織的重要秘密，如果泄露會使組織的安全和利益收到嚴重損害，對業(yè)務沖擊嚴重，較難彌補。（三）一般商密：組織的一般性秘密，如果泄露會使組織的安全和利益收到損害，對業(yè)務沖擊明顯，但可以彌補。（四）內部使用：僅能在組織內部或在組織內某一部門內公開的信息，向外擴散有可能對組織的利益造成輕微損害，對業(yè)務沖擊輕微，容易彌補。（五）公開：可對社會公開的信息，公用的信息處理設備和系統(tǒng)資源等，對業(yè)務沖擊可以忽略。第二節(jié).信息資產的敏感性標識第七條.紙質文檔的敏感性標識（一）紙質文檔的敏感性標識采用印章方式；（二）紙質文檔所有者或管理者負責對該文檔蓋章，部門信息安全管理員負責指導；（三）印章分為“核心商密”、“重要商密”、“一般商密”、“內部使用”和“公開”五種；（四）每個部門至少配備“核心商密”、“重要商密”、“一般商密”和“公開”四個印章各一個；印章由部門信息安全管理員保管。第八條.電子信息的敏感性標識（一）電子文檔應該在文檔的封面上標識其敏感性級別；（二）電子文檔所有者或管理者負責添加敏感性級別，部門信息安全管理員負責指導；（三）電子文檔敏感性級別分為“核心商密”、“重要商密”、“一般商密”、“內部使用”和“公開”五種。第九條.存儲了商密級以上信息的移動介質或備份介質（如U盤、移動硬盤、磁帶、光盤等），在條件允許的情況下，應采用蓋章或張貼敏感性標識不干貼等方式進行標識。第十條.針對硬件設備、環(huán)境設施等實物資產，原則上不進行敏感性標識，僅標識相應設備的基本序列等信息，所屬密級應記錄在相應文檔。第三節(jié).信息資產的使用第十一條.嚴禁員工在未經允許的情況下，利用任何手段將涉密文件及內容制作成電子形式在辦公自動化系統(tǒng)內或以其他方式進行傳輸。第十二條.商密級以上信息的使用應受到嚴格控制，文件的接收人應按信息的使用目的、使用范圍進行正確使用，未經許可不得向他人公開和傳播。第十三條.商密級以上，如無特別規(guī)定，原則上應在使用后及時進行回收、歸檔及保存或者實施廢棄。廢棄商密級以上文件時，紙類媒體可用粉碎的方法，其它媒體可用初始化或破壞媒體的方法處理。第四節(jié).信息資產的保密期限第十四條.信息類資產的保密期限原則性規(guī)定為：“核心商密”、“重要商密”和“一般商密”類至少為五年，“內部使用”類至少為三年。國家有明確規(guī)定的依國家相關規(guī)定，如會計檔案的保存期限。第十五條.在保密期限內的信息類資產，當客觀環(huán)境發(fā)生變化或因商業(yè)目的，不再需要繼續(xù)保持較高密級或不需要再保密時，經授權或書面批準（紙質或電子文檔均可）后，可以提前解密，解密后，密級為“公開使用”；但國家有明確規(guī)定不能提前解密的按國家相關規(guī)定辦理。第十六條.信息類資產的保密期限開始時間，如有特別注明生效時間的，為注明的