信息资产分类分级管理制度.docx
《信息资产分类分级管理制度.docx》由会员分享,可在线阅读,更多相关《信息资产分类分级管理制度.docx(9页珍藏版)》请在课桌文档上搜索。
1、XXX信息安全有限公司信息资产分类分级管理程序文件编号:1 .目的和范围为降低公司重要资产因遗失、损坏、篡改、外泄等事件带来的潜在风险,这些风险将对公司的信誉、经营活动、经济利益等造成较大或重大损失,需要规范信息资产保护方法和管理要求,特制订本管理制度。本规定适用于本公司信息资产的安全管理,适用对象为本公司员工和所有外来人员。特殊岗位或特殊人员,另有规定的从其规定。公司信息资产是指一切关系公司安全和利益,在保护期内只限一定范围内人员知悉、操作、维护的事物、文档、项目、数据等资源。2 .引用文件1)下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注日期的引用文件,其随后所有的修改单(不包
2、括勘误的内容)或修订版均不适用于本标准,然而,鼓励各部门研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。2) GB/T22080-2016/IS0/IEC27001:2013信息技术-安全技术信息安全管理体系要求3) GB/T22081-2016/ISO/IEC27002:2013信息技术-安全技术-信息安全管理实施细则4)备份管理规定5)访问控制程序1 )文件控制程序3 .职责和权限本管理规定作为全公司范围信息类资产的最低管理要求,各部门或各项目组,均可以根据客户要求,添加补充策略,并在本部门、本项目组内实施,与本规定一起,作为信息安全管理的工作指南。1)信
3、息安全管理领导人组:是本公司信息资产安全管理工作的最高领导组织,总体负责信息资产的安全。2)信息安全管理工作小组:负责具体的协调组织实施及解释答疑等工作。3)各部门经理:作为本部门信息资产安全管理的最高责任者,有责任和权限保证本部门信息资产的安全。4)各信息的所有者:负责各信息资产的标识、分发和传递的控制;5)员工:应当熟悉本管理规定的内容,包括信息资产标识办法和使用管理规定,并切实贯彻到日常工作中。4 .信息资产的分类分级4.1 信息资产的分类公司信息资产分为:硬件资产、软件资产、数据资产、人员资产、外包服务资产、无形资产、文档资产、环境资产、第三方服务资产等。区分标准如下:1)硬件资产:日
4、常工作、公司运作或系统运行所依赖的可见电子设备、设施和工具。主要包括:办公类用品,如桌椅、纸张等。计算机及配件、辅助设备类,如服务器、台式机、笔记本电脑、移动存储、打印机等。网络设备,如网络交换机等。其他设备,不属于上述3类的设备设施,如饮水机等。2)软件资产:依赖电子计算设备运行的非硬件资产。如:操作系统、杀毒软件、源代码、组件、程序、业务系统或平台等。3)数据资产:计算机软件运行时依赖的原始数据、配置数据,运行时产生的动态数据、结果数据以及能够给公司经济效益、信息安全带来潜在影响的所有数据,这些数据如遗失、非法复制传播、损坏等从经济或安全上可能给公司造成损害。如客户信息数据、系统配置数据、
5、系统登录帐号密码、业务运行数据、电话号码资源等。4)人员资产:公司正常运营所依赖的人力资源。5)外包服务资产:公司作为第三方为客户方提供的服务业务。如我公司为广发提供的EMG1.业务。6)无形资产:特指本公司的专利信息资产。7)文档资产:以纸质或电子文件形式存在的文档资料。8)物理环境资产:指公司办公场所和为特殊管理的业务或设备提供的服务场所和设施。9)第三方服务资产:指第三方为公司提供的服务支持。如:电信运营商为我公司提供的400号码接入服务业务、阿里云服务。4.2 信息资产的分级管理信息资产的分级管理制度引用如下文件:1)硬件资产分级管理制度2)软件资产分级管理制度3)数据资产分级管理制度
6、4)人员资产分级管理制度5)外包服务资产分级管理制度6)无形资产分级管理制度7)文档资产分级管理制度8)环境资产分级管理制度9)第三方服务资产分级管理制度4.3 信息资产分类指导公司各部门依据分类定义和示例,对部门资产识别表中的各类资产进行分级,并报请本部门经理审核确认。公司一级、公司二级信息资产需要报信息安全管理工作小组汇总、审核后,请公司总经理确认审批。资产识别表需详细登记所有信息资产,并确定其分级和管理责任人。5 .信息分级标识5.1 分级标识编号1)硬件资产(Hhard):HKH2分别代表一级硬件资产,二级硬件资产.等。2)软件资产(S-SOft):SKS2分别代表一级软件资产、二级软
7、件资产等。3)数据资产(Ddata):D1、D2分别代表一级数据资产、二级数据资产等。4)人员资产(Pperson):P1、P2分别代表一级人员资产、二级人员资产等。5)外包服务资产(team):T1、T2分别代表一级外包服务资产、二级外包服务资产等。6)无形资产(Nnone):N1、N2.分别代表一级无形资产、二级无形资产.等。7)文档资产(Ffi1.e):F1、F2分别代表一级文档资产、二级文档资产等。8)环境资产(EenVironmen):EKE2分别代表一级环境资产、二级环境资产等。9)第三方服务资产(TS-thirdservice):TS1TS2分别代表一级第三方服务资产、二级第三方
8、服务资产等。5.2 公司绝密、机密信息定义标记为一级和二级的文档及敏感类的信息称为公司机密信息,三类信息为秘密信息,四类为可内部公开的信息,五类为可公开的信息。绝密信息,除文档资产外,不包含在其他信息资产的分级定义序列中,绝密信息一般由公司最高管理层负责管理和保密义务。5.3 各密级知晓范围1)公司绝密级:高层管理级人员及与公司绝密内容有直接关系的工作人员,对其他任何人都需要保密。掌握核心公司绝密的关键岗位人员的变更、离职须经总经理同意。2)公司机密级:部门经理级及以上的管理人员以及与公司机密内容有直接关系的工作人员,允许知晓与本工作相关的公司机密事项,对非相关人员需要保密。3)公司秘密级:部
9、门骨干管理人员以及与公司秘密内容有直接关系的工作人员,允许知晓与本工作相关的公司秘密事项,但对其他部门应保密。4)内部公开:公司内部所有人员,允许知晓在公司内部范围内属于公开的信息,但未授权不得对公司以外人员泄露公司的内部公开信息。5)公开:公司外面所有人员,允许知晓由公司内的授权人员宣布可公开的信息。可公开的文档必须转成PDF文档后,或使用其他方法变成只读不可修改的文档后再行发布。5.4 分级标识编号可作为分级标识使用1)公司固定资产硬件设备必须标记分级标识编号。2)作为电子文件时必须在文件的第一页的显著位置标识分级。3)对于纸质文档,使用公司统一刻制的分级标识图章进行标识,对于“公司绝密”
10、文档在需要时,通过骑缝章或每页敲章的方式进行“绝密”标识。使用信封等封装时,还需要在封装上标记“绝密”标识及分级标识。对于模板文档,其标识的分级是指填写内容后的分级,而非空白时的分级。4)如果使用光盘/磁带/软盘等介质,需要直接在介质表面上标识分级。5)需要提交给客户的信息资产(例如:项目开发成果物),必须有分级标识。6)对于应用系统中的显示画面、数据表单或打印输出等内容,必须有分级标识。6 .公司秘密信息使用管理6.1 涉密信息的保管1)公司绝密、公司机密信息:应该保管在一般人员无法随便进入的有安全保障的房间,比如:总裁办公室、各部门主管办公室、财务室、机房等。电子文档必须有可靠的备份机制;
11、除非特别批准公司绝密信息不应保管在个人用计算机上。纸质文件以及电子存储介质(例如:移动硬盘/U盘/光盘/软盘等)应该保存在加锁的文件柜或保险柜内。 在不使用或处于目光所及范围之外时,应将资料存放在锁闭的档案柜、桌式书架或书柜内; 在携带至办公室以外的地方时,应将资料存放在随身携带的锁闭的箱包或手提箱内。2)其它涉密信息:也应该保存在安全的工作区域内。电子文档也必须有可靠的备份机制。纸质文档以及电子存储介质应存放于书柜、档案柜或桌式书架柜内,以防被非公司人员意外看到或获得。a)技术成果 技术转让、技术入股、技术引进等途径获取公司秘密的过程中,根据合同或协议中规定提供的公司秘密,承办人应采取保密措
12、施,保证不泄漏公司秘密。获取的公司秘密应及时移交财务部归档,不得个人保存。b)工作成果物: 每个人的工作成果物(工作成果物指需要向客户或上级或组织提交的工作的结果)应该及时保存到指定场所。电子文档应该保存到公用机器上的指定位置,从而得到可靠的备份和访问控制,对于纸质文档和电子介质应该保存到指定文件柜内(除非被批准,不得保存在个人文件柜内),并做好清晰标示,从而保证他们的可用性。员工在公司任职期间的工作成果归公司所有,并按保密协议及本制度进行管理;c)客户信息 在公司日常业务(包括营销等相关活动)中接触到客户的信息以及客户提供的信息同样应该作为公司的涉密信息实施管理和控制。重要信息应该被指定为公
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息 资产 分类 分级 管理制度
链接地址:https://www.desk33.com/p-119964.html