信息安全等級保護制度-信息分類分級管理制度

信息分類分級管理制度第一章總則第一條為切實加強XXXX有限公司（以下簡稱“公司”）的信息安全工作，防范和杜絕各種泄密事件的發(fā)生，保護和合理利用公司秘密，確保公司信息披露的公平、公正，保障公司及其他利益相關(guān)者的合法權(quán)益不受侵犯，根據(jù)有關(guān)法律、法規(guī)并結(jié)合公司實際，制定本管理辦法。第二條保密信息是指不為公眾所知悉，關(guān)系公司利益，具有實用性并經(jīng)公司采取保密措施保護的技術(shù)信息、經(jīng)營信息、客戶信息和管理信息等，在一定時間內(nèi)只限一定范圍人員知悉的信息。第三條公司各部門以及全體職員都有保守公司秘密的義務(wù)，都應(yīng)做好信息保密工作。第四條信息保密工作，實行積極防范、突出重點、既確保秘密又便于工作，并充分履行信息披露義務(wù)的方針。第二章保密信息范圍和密級確定第五條保密信息包括但不限于以下事項和行為：（一）涉及公司經(jīng)營管理、運作和決策，或?qū)纠嬗兄卮笥绊?，一旦泄密將給公司帶來損失或失去潛在收益的信息；（二）包括以書面和電子等方式存在的各種信息；（三）其他與公司相關(guān)的需要保密的信息。第六條保密信息的密級分為“1級”、“2級”、“3級”三個等級。（一）3級是最重要的公司秘密，泄露會使公司的利益遭受特別嚴重的損害，主要包括：公司的發(fā)展規(guī)劃、經(jīng)營戰(zhàn)略、客戶信息資料及相關(guān)內(nèi)容、交易系統(tǒng)信息數(shù)據(jù)、商務(wù)談判內(nèi)容及載體，正式合同和協(xié)議文書、未開標的投標文件、未公開的重大投資決策、尚未確定的公司重要人事調(diào)整及安排等，以及按《檔案法》規(guī)定屬于絕密級別的各種檔案；（二）2級是重要的公司秘密，泄露會使公司利益遭受到嚴重的損害，如、財務(wù)報表、統(tǒng)計資料、重要會議記錄、公司經(jīng)營情況等，以及按《檔案法》規(guī)定屬于機密級別的各種檔案；（三）1級是一般的公司秘密，泄露會使公司的利益遭受損害，如公司人事檔案、合同、協(xié)議、薪金制度，人力資源對管理人員的考評材料等，以及按《檔案法》規(guī)定屬于秘密級別的各種檔案。定級方法所有信息用戶，都應(yīng)該遵守公司策略，基于信息密級來進行恰當?shù)氖褂煤吞幚?。下表列出了對不同級別信息的相關(guān)處理規(guī)定。信息資產(chǎn)責任人可以在此基礎(chǔ)上提出附加的控制要求，以便更好地控制訪問，保護信息。3級2級1級內(nèi)部公開電子介質(zhì)標注要求在文件封面及內(nèi)部都應(yīng)該標注在明顯處標注在明顯處標注無標注要求硬拷貝標注要求如果是活頁則每一頁都需標注；如果是一體的則只需在封面封底或首頁標注；其他介質(zhì)表面標注在明顯處標注在明顯處標注無標注要求授權(quán)需得到責任人和公司管理層批準需得到相關(guān)責任人及部門領(lǐng)導(dǎo)批準需得到責任人批準無特別要求訪問只能被得到授權(quán)的公司極少數(shù)核心人員訪問，需簽署特別保密協(xié)議只能被公司內(nèi)部或外部得到明確授權(quán)的人員訪問，訪問者應(yīng)該簽署保密協(xié)議可以被公司內(nèi)部或外部因為業(yè)務(wù)需要的人員訪問，訪問者應(yīng)該簽署保密協(xié)議任何公司員工或因為業(yè)務(wù)需要的人員都可以訪問存儲電子類的應(yīng)該加密存儲在安全的計算機系統(tǒng)內(nèi)；硬拷貝應(yīng)該鎖在安全的保險柜內(nèi)；禁止以其他形式存儲或顯示電子類的應(yīng)該妥善保存在設(shè)有安全控制的計算機系統(tǒng)內(nèi)（建議進行信息加密）；硬拷貝應(yīng)該妥善保管，嚴禁擺放在桌面；使用白板展示后應(yīng)立即擦除電子類的應(yīng)該妥善保管，可以進行加密；紙質(zhì)不應(yīng)放在桌面以恰當方式保存，避免被非授權(quán)人員看到；存儲有信息的介質(zhì)避免丟失復(fù)制得到相關(guān)責任人及公司管理層批準；需要登記須經(jīng)相關(guān)責任人批準，并讓專人操作或監(jiān)督實施，需要登記經(jīng)相關(guān)責任人批準內(nèi)部復(fù)制無限制打印禁止打?。ɑ蛟谑跈?quán)情況下專人負責打印，不得打印到無人值守機）須經(jīng)相關(guān)責任人許可，打印件標注密級并妥善管理，不得打印到無人值守機經(jīng)相關(guān)責任人許可，打印件標注密級并妥善管理無限制，打印件標注密級郵件禁止郵件直接發(fā)送，經(jīng)授權(quán)后做電子簽名和加密控制，經(jīng)安全的途徑發(fā)送，保留記錄須經(jīng)相關(guān)責任人許可，郵件發(fā)送應(yīng)做加密控制，保留記錄經(jīng)相關(guān)責任人許可無限制傳真禁止傳真須經(jīng)相關(guān)責任人許可后專人負責傳真經(jīng)相關(guān)責任人許可無限制快遞經(jīng)授權(quán)后采取妥善的保護措施，由專人快遞經(jīng)授權(quán)后，由簽署了特定安全協(xié)議的專門的快遞公司快遞經(jīng)授權(quán)后，由簽署了特定安全協(xié)議的專門的快遞公司快遞無限制內(nèi)部分發(fā)經(jīng)相關(guān)責任人和公司管理層批準后，密封分發(fā)，或以允許的電子分發(fā)形式進行安全的分發(fā)經(jīng)相關(guān)責任人批準后，密封分發(fā)，或以允許的電子分發(fā)形式進行安全的分發(fā)經(jīng)授權(quán)后，以內(nèi)部郵件形式發(fā)放，或直接進行硬拷貝分發(fā)無限制對外分發(fā)經(jīng)相關(guān)責任人和公司管理層批準后分發(fā)，需要簽署特定得保密協(xié)議，需要進行登記經(jīng)相關(guān)責任人批準后分發(fā)，需簽署保密協(xié)議，需要進行登記經(jīng)授權(quán)后，以郵件或者快遞方式分發(fā)，建議簽署保密協(xié)議經(jīng)授權(quán)后，以允許的分發(fā)方式分發(fā)處理碎紙機；徹底銷毀介質(zhì)；電子記錄定期消除；進行檢查確認碎紙機；徹底銷毀介質(zhì)；電子記錄定期消除；進行檢查確認保存件標明作廢；電子記錄定期消除；介質(zhì)銷毀電子記錄定期消除，介質(zhì)銷毀記錄跟蹤直接責任人應(yīng)有收件人、復(fù)制者、保存者、瀏覽者、銷毀者的日志記錄跟蹤文件復(fù)制、保存、瀏覽、銷毀過程，應(yīng)有記錄無要求不建議跟蹤第八條屬于公司秘密的載體（如圖紙、資料、錄音、錄象、軟盤、光盤、硬盤等），應(yīng)當依據(jù)本制度第六條、第七條的規(guī)定進行相應(yīng)標注。保密期限屆滿，自行解密或經(jīng)批準，提前解密。第三章主要涉密部門、人員范圍及授權(quán)管理第九條公司主要涉密部門包括：總裁室、總裁辦、技術(shù)部、運營部、清算、行政部、人力資源部、企劃部、財務(wù)中心、信息中心、戰(zhàn)略規(guī)劃中心等部門。第十條公司主要涉密人員包括：（一）公司董事、監(jiān)事、中高級管理人員；（二）列入主要涉密部門的全體員工；（三）負責保密事項制作、保管的人員；（四）公司主要涉密部門根據(jù)需要臨時或?qū)ｉT指定的部門或崗位人員；（五）公司臨時聘用的接觸涉密工作的外部工作人員，如法律顧問、財務(wù)顧問等。公司可根據(jù)保密信息的具體情況，要求涉密人員簽署保密協(xié)議。第十一條各部門負責人為本部門的保密工作負責人，信息中心為公司保密工作管理部門，負責監(jiān)督和檢查各部門的保密工作；組織解決密級不明確或者有爭議的事項并負責組織處理公司的泄密事件。第十二條保密工作授權(quán)管理：（一）三級事項（含載體），由絕密事項生成部門指定專人負責做好標識，妥善保管，并建好記錄、臺帳，定期統(tǒng)一移交信息中心檔案室管理。絕密事項的發(fā)放、傳閱均需經(jīng)相關(guān)公司領(lǐng)導(dǎo)批準，并應(yīng)限制在一定時間內(nèi)返還保管。絕密事項允許知悉的范圍是公司董事、監(jiān)事、中高級管理人員、絕密事項形成的相關(guān)人員，及董事、監(jiān)事、高級管理人員認為需要讓其知悉的對象；（二）二級事項（含載體），由機密事項生成部門指定專人負責做好標識，妥善保管，并建好記錄、臺帳，定期統(tǒng)一移交信息中心檔案室管理。機密事項的發(fā)放，傳閱需經(jīng)相關(guān)公司領(lǐng)導(dǎo)或其授權(quán)的部門經(jīng)理批準，并應(yīng)限制在一定時間內(nèi)返還保管。機密事項允許知悉的范圍是公司董事、監(jiān)事、高級管理人員、機密事項形成的相關(guān)人員，及董事、監(jiān)事、高級管理人員、機密事項形成的負責人認為需要讓其知悉的對象；（三）一級事項（含載體），由秘密事項生成部門指定專人負責做好標識，妥善保管，并建好記錄、臺帳，定期統(tǒng)一移交信息中心檔案室管理。機密事項的發(fā)放，傳閱需經(jīng)部門經(jīng)理或部門經(jīng)理以上領(lǐng)導(dǎo)批準，并應(yīng)限制在一定時間內(nèi)返還保管。秘密事項允許知悉的范圍是公司董事、監(jiān)事、高級管理人員、秘密事項形成的相關(guān)人員，及董事、監(jiān)事、高級管理人員、秘密事項形成的負責人認為需要讓其知悉的對象。第四章保密管理第十三條員工在公司任職期間的工作成果歸公司所有，并按照保密協(xié)定及本制度進行管理第十三條傳閱保密材料由機要人員統(tǒng)一掌握，劃定傳閱范圍，不得自行擴大，不得讓無關(guān)人員查看，控制傳閱文件的交接，以防丟失。第十四條不得擅自翻印、復(fù)印、傳抄秘密文件、資料；不得在公共場所談?wù)撁孛苁马?，不得在私人通訊中涉及秘密?nèi)容。保密材料復(fù)印件應(yīng)視同原件管理，復(fù)印過程的廢頁應(yīng)及時銷毀。第十五條保密材料嚴格按照批準的份數(shù)打印，不得擅自多印多留，草稿視同原件一樣管理，打印過程形成的廢頁、廢件應(yīng)及時銷毀。第十六條傳遞保密材料要有保密措施，傳遞應(yīng)專送，不得辦理無關(guān)事項，密件不得攜入不利于保密的場所。第十七條做好通訊中的保密工作，不在無保密措施的電話、傳真機上傳遞保密材料。第十八條做好公司重要會議的保密工作，會址應(yīng)選擇有利于保密的地方，嚴格控制無關(guān)人員進入，嚴禁濫發(fā)會議文件，會后檢查有無遺漏材料。第十九條做好辦公自動化中的保密工作，對保密材料加設(shè)瀏覽和下載權(quán)限。第五章泄密的處理第二十條泄密是指下列行為之一：（一）使公司秘密被不應(yīng)知悉者知悉的；（二）使公司秘密超過了限定的接觸范圍，而不能證明未被不應(yīng)知悉者知悉的。第二十一條公司發(fā)生或者發(fā)現(xiàn)泄密事件，應(yīng)當在知悉泄密事件后及時報告部門領(lǐng)導(dǎo)處。第二十二條發(fā)生泄密事件的部門，應(yīng)根據(jù)情況及時采取補救措施，最大限度減少泄密造成的損失。處置泄密事件，應(yīng)做到如下幾點：（一）任何部門和個人應(yīng)積極配合有關(guān)部門查明事發(fā)原因；（二）應(yīng)對責任人進行處理，以增強保密意識；（三）采取糾正和預(yù)防措施，防止類似泄密事件的再次發(fā)生。第六章信息資產(chǎn)管理的生命周期第二十三條信息資產(chǎn)管理的生命周期包括：信息資產(chǎn)的創(chuàng)建、使用、維護及處置四個階段。（一）創(chuàng)建在這一階段的信息資產(chǎn)既包括新創(chuàng)建的信息資產(chǎn)，開啟一個新的項目，還包括購買的信息資產(chǎn)及變更后的信息資產(chǎn)。并按照以下步驟來完成信息資產(chǎn)的創(chuàng)建。步驟描述責任人識別信息資產(chǎn)所有者信息資產(chǎn)所有者應(yīng)該是在現(xiàn)存的資產(chǎn)管理策略中定義的，假如在現(xiàn)存的策略中沒有定義的話，信息資產(chǎn)所有者一般被指派為部門/項目經(jīng)理，識別方法與步驟，請參見本文檔的第3章節(jié)。信息資產(chǎn)所有者識別安全需求資產(chǎn)本身面臨的風險和弱點；客戶指定的安全需求；企業(yè)內(nèi)部的制度、目標、需求；相關(guān)的法律、法規(guī)信息資產(chǎn)所有者驗收安全代表應(yīng)該協(xié)助信息資產(chǎn)所有者進行驗收，以保證信息資產(chǎn)的安全需求得到滿足，并將保管人和使用者的安全需求應(yīng)該傳達者信息資產(chǎn)所有者。根據(jù)與第三方簽訂的合同或設(shè)備驗收清單來進行驗收。信息資產(chǎn)所有者對資產(chǎn)進行收集、分類，更新資產(chǎn)清單信息資產(chǎn)被驗收后，安全代表應(yīng)該幫助信息資產(chǎn)所有者進行分類，并對資產(chǎn)清單進行更新。分類方法請參見本文檔的第4章節(jié)。信息資產(chǎn)所有者風險評估安全代表應(yīng)該協(xié)助信息資產(chǎn)所有者識別、分析及評估新的信息資產(chǎn)所面臨的風險，并參考《風險評估指南》進行評估。信息資產(chǎn)所有者風險處理風險評估之后，安全代表應(yīng)該幫助信息資產(chǎn)所有者選擇正確的控制措施來保護信息資產(chǎn)，并且使其滿足業(yè)務(wù)安全需求。相關(guān)文檔請參考《風險管理過程》。信息資產(chǎn)所有者培訓(xùn)信息資產(chǎn)所有者應(yīng)該就選擇的控制措施對資產(chǎn)的保管者和使用者進行培訓(xùn)，確保資產(chǎn)保管者和使用者正確實施所選擇的控制措施。相關(guān)培訓(xùn)方式與內(nèi)容，請參見《信息安全培訓(xùn)管理過程》。信息資產(chǎn)所有者（二）使用類型描述責任人紙質(zhì)/電子數(shù)據(jù)所有的紙質(zhì)或電子數(shù)據(jù)都應(yīng)該有一個保管人，其職責是在工作職責范圍內(nèi)使用該信息，并避免泄露給他人，或進行工作職責范圍之外的修改。當員工離職或轉(zhuǎn)崗時，紙質(zhì)或電子數(shù)據(jù)應(yīng)當被收回，并且清除原電腦或復(fù)制的信息。信息資產(chǎn)所有者軟件所有的應(yīng)用或軟件都應(yīng)該有一個保管人，其職責是避免軟件資產(chǎn)因丟失而泄露；所有的軟件版權(quán)和介質(zhì)應(yīng)該由IT資源管理人員來保管，防止未授權(quán)使用。當員工離職或轉(zhuǎn)崗時，軟件版權(quán)將會被收回；如有必要，可卸載或刪除其使用的軟件資源。信息資產(chǎn)所有者硬件所有的硬件資產(chǎn)必須有清晰職責的保管人和使用者；當硬件資產(chǎn)被使用和管理時，硬件資產(chǎn)所有者和保管者應(yīng)該防止硬件被破壞，防止存儲在硬件中的信息被泄露或誤用；無人值守的設(shè)備也應(yīng)該要設(shè)置一個保管人，并應(yīng)該強制實施適宜的安全控制措施。信息資產(chǎn)所有者信息資產(chǎn)在使用、處理、傳輸過程中，應(yīng)該按照信息資產(chǎn)的等級來實施保護。（三）維護信息資產(chǎn)所有者應(yīng)該對信息資產(chǎn)或資產(chǎn)清單進行定期維護。步驟描述責任人檢查安全需求根據(jù)業(yè)務(wù)安全需求、客戶需求、法律法規(guī)需求、合同需求及環(huán)境變更，信息資產(chǎn)所有者有責任對資產(chǎn)的安全需求和采取的控制措施進行至少每年一次的檢查和回顧；當有關(guān)鍵信息資產(chǎn)進行變更時，信息資產(chǎn)所有者也應(yīng)該對其安全需求進行回顧。信息資產(chǎn)所有者重新評估安全風險對于識別的主要風險，信息資產(chǎn)所有者應(yīng)該要至少每年一次重新信息資產(chǎn)的風險。請參見《風險評估指南》信息資產(chǎn)所有者檢查訪問控制清單信息資產(chǎn)所有者應(yīng)該至少每個月檢查一次絕密信息的訪問控制清單，每兩個月檢查一次機密信息的訪問控制清單，以確保僅被授權(quán)的用戶可訪問信息資產(chǎn)。請參照《訪問控制清單》來進行檢查信息資產(chǎn)所有者人員異動當有員工離職、轉(zhuǎn)崗時，信息資產(chǎn)所有者應(yīng)該檢查實施的安全控制措施；當有新員工入職時，信息資產(chǎn)所有者應(yīng)負責對其進行信息安全培訓(xùn)。信息資產(chǎn)所有者信息資產(chǎn)變更當信息資產(chǎn)變更或初始分類變更時，信息資產(chǎn)所有者應(yīng)該更新資產(chǎn)清單，根據(jù)現(xiàn)實環(huán)境對資產(chǎn)價值進行重新評定，對于信息資產(chǎn)的價值評定請參考本文檔的第4章節(jié)，而后對更新的資產(chǎn)進行風險評估，對于信息資產(chǎn)的風險評估請參考《風險評估指南》進行評估。信息資產(chǎn)所有者（四）處置當信息資產(chǎn)超過其生命周期時，信息資產(chǎn)應(yīng)該被銷毀或重用。步驟描述責任人信息資產(chǎn)的保留信息資產(chǎn)應(yīng)該在一定的周期內(nèi)予以保留。假如信息資產(chǎn)未達到保留期限，信息資產(chǎn)是不能被銷毀的；否則，信息資產(chǎn)應(yīng)該被銷毀；信息資產(chǎn)的保留期限請參考《文件及記錄管理規(guī)定》。信息資產(chǎn)所有者