XXX信息安全有限公司信息資產分類分級管理程序文件編號：.目的和范圍為降低公司重要資產因遺失、損壞、篡改、外泄等事件帶來的潛在風險，這些風險將對公司的信譽、經營活動、經濟利益等造成較大或重大損失，需要規(guī)范信息資產保護方法和管理要求，特制訂本管理制度。本規(guī)定適用于本公司信息資產的安全管理，適用對象為本公司員工和所有外來人員。特殊崗位或特殊人員，另有規(guī)定的從其規(guī)定。公司信息資產是指一切關系公司安全和利益，在保護期內只限一定范圍內人員知悉、操作、維護的事物、文檔、項目、數據等資源。.引用文件1）下列文件中的條款通過本規(guī)定的引用而成為本規(guī)定的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內容）或修訂版均不適用于本標準，然而，鼓勵各部門研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標準。GB/T22080-2016/IS0/IEC27001:2013信息技術-安全技術-信息安全管理體系要求GB/T22081-2016/ISO/IEC27002:2013信息技術-安全技術-信息安全管理實施細則4）《備份管理規(guī)定》5）《訪問控制程序》）《文件控制程序》.職責和權限本管理規(guī)定作為全公司范圍信息類資產的最低管理要求，各部門或各項目組，均可以根據客戶要求，添加補充策略，并在本部門、本項目組內實施，與本規(guī)定一起，作為信息安全管理的工作指南。1）信息安全管理領導人組：是本公司信息資產安全管理工作的最高領導組織，總體負責信息資產的安全。2）信息安全管理工作小組：負責具體的協(xié)調組織實施及解釋答疑等工作。3）各部門經理：作為本部門信息資產安全管理的最高責任者，有責任和權限保證本部門信息資產的安全。4）各信息的所有者：負責各信息資產的標識、分發(fā)和傳遞的控制；5）員工：應當熟悉本管理規(guī)定的內容，包括信息資產標識辦法和使用管理規(guī)定，并切實貫徹到日常工作中。.信息資產的分類分級信息資產的分類公司信息資產分為：硬件資產、軟件資產、數據資產、人員資產、外包服務資產、無形資產、文檔資產、環(huán)境資產、第三方服務資產等。區(qū)分標準如下：1）硬件資產：日常工作、公司運作或系統(tǒng)運行所依賴的可見電子設備、設施和工具。主要包括：辦公類用品，如桌椅、紙張等。計算機及配件、輔助設備類，如服務器、臺式機、筆記本電腦、移動存儲、打印機等。網絡設備，如網絡交換機等。其他設備，不屬于上述3類的設備設施，如飲水機等。2）軟件資產：依賴電子計算設備運行的非硬件資產。如：操作系統(tǒng)、殺毒軟件、源代碼、組件、程序、業(yè)務系統(tǒng)或平臺等。3）數據資產：計算機軟件運行時依賴的原始數據、配置數據，運行時產生的動態(tài)數據、結果數據以及能夠給公司經濟效益、信息安全帶來潛在影響的所有數據，這些數據如遺失、非法復制傳播、損壞等從經濟或安全上可能給公司造成損害。如客戶信息數據、系統(tǒng)配置數據、系統(tǒng)登錄帳號密碼、業(yè)務運行數據、電話號碼資源等。4）人員資產：公司正常運營所依賴的人力資源。5）外包服務資產：公司作為第三方為客戶方提供的服務業(yè)務。如我公司為廣發(fā)提供的EMGL業(yè)務。6）無形資產：特指本公司的專利信息資產。7）文檔資產：以紙質或電子文件形式存在的文檔資料。8）物理環(huán)境資產：指公司辦公場所和為特殊管理的業(yè)務或設備提供的服務場所和設施。9）第三方服務資產：指第三方為公司提供的服務支持。如：電信運營商為我公司提供的400號碼接入服務業(yè)務、阿里云服務。.2信息資產的分級管理信息資產的分級管理制度引用如下文件：1）硬件資產分級管理制度2）軟件資產分級管理制度3）數據資產分級管理制度4）人員資產分級管理制度5）外包服務資產分級管理制度6）無形資產分級管理制度7）文檔資產分級管理制度8）環(huán)境資產分級管理制度9）第三方服務資產分級管理制度.3信息資產分類指導公司各部門依據分類定義和示例，對部門《資產識別表》中的各類資產進行分級，并報請本部門經理審核確認。公司一級、公司二級信息資產需要報信息安全管理工作小組匯總、審核后，請公司總經理確認審批?！顿Y產識別表》需詳細登記所有信息資產，并確定其分級和管理責任人。5.信息分級標識分級標識編號1）硬件資產（H?hard）：H1、H2……分別代表一級硬件資產，二級硬件資產……等。2）軟件資產（S?soft）：S1、S2……分別代表一級軟件資產、二級軟件資產……等。3）數據資產（D?data）：D1、D2……分別代表一級數據資產、二級數據資產……等。4）人員資產（P?person）：P1、P2……分別代表一級人員資產、二級人員資產……等。5）外包服務資產（『team）：T1、T2……分別代表一級外包服務資產、二級外包服務資產……等。6）無形資產（N-none）：N1、N2……分別代表一級無形資產、二級無形資產……等。7）文檔資產（F?file）：F1、F2……分別代表一級文檔資產、二級文檔資產……等。8）環(huán)境資產（E?environmen）：E1、E2……分別代表一級環(huán)境資產、二級環(huán)境資產……等。9）第三方服務資產（TS?thirdservice）：TS1、TS2……分別代表一級第三方服務資產、二級第三方服務資產……等。公司絕密、機密信息定義標記為一級和二級的文檔及敏感類的信息稱為公司機密信息，三類信息為秘密信息，四類為可內部公開的信息，五類為可公開的信息。絕密信息，除文檔資產外，不包含在其他信息資產的分級定義序列中，絕密信息一般由公司最高管理層負責管理和保密義務。各密級知曉范圍1）公司絕密級：高層管理級人員及與公司絕密內容有直接關系的工作人員，對其他任何人都需要保密。掌握核心公司絕密的關鍵崗位人員的變更、離職須經總經理同意。2）公司機密級：部門經理級及以上的管理人員以及與公司機密內容有直接關系的工作人員，允許知曉與本工作相關的公司機密事項，對非相關人員需要保密。3）公司秘密級：部門骨干管理人員以及與公司秘密內容有直接關系的工作人員，允許知曉與本工作相關的公司秘密事項，但對其他部門應保密。4）內部公開：公司內部所有人員，允許知曉在公司內部范圍內屬于公開的信息，但未授權不得對公司以外人員泄露公司的內部公開信息。5）公開：公司外面所有人員，允許知曉由公司內的授權人員宣布可公開的信息。可公開的文檔必須轉成PDF文檔后，或使用其他方法變成只讀不可修改的文檔后再行發(fā)布。分級標識編號可作為分級標識使用1）公司固定資產硬件設備必須標記分級標識編號。2）作為電子文件時必須在文件的第一頁的顯著位置標識分級。3）對于紙質文檔，使用公司統(tǒng)一刻制的分級標識圖章進行標識，對于“公司絕密”文檔在需要時，通過騎縫章或每頁敲章的方式進行，絕密”標識。使用信封等封裝時，還需要在封裝上標記“絕密”標識及分級標識。對于模板文檔，其標識的分級是指填寫內容后的分級，而非空白時的分級。4）如果使用光盤/磁帶/軟盤等介質，需要直接在介質表面上標識分級。5）需要提交給客戶的信息資產（例如：項目開發(fā)成果物），必須有分級標識。6）對于應用系統(tǒng)中的顯示畫面、數據表單或打印輸出等內容，必須有分級標識。6.公司秘密信息使用管理涉密信息的保管）公司絕密、公司機密信息：應該保管在一般人員無法隨便進入的有安全保障的房間，比如：總裁辦公室、各部門主管辦公室、財務室、機房等。電子文檔必須有可靠的備份機制；除非特別批準公司絕密信息不應保管在個人用計算機上。紙質文件以及電子存儲介質（例如：移動硬盤/U盤/光盤/軟盤等）應該保存在加鎖的文件柜或保險柜內。在不使用或處于目光所及范圍之外時，應將資料存放在鎖閉的檔案柜、桌式書架或書柜內；在攜帶至辦公室以外的地方時，應將資料存放在隨身攜帶的鎖閉的箱包或手提箱內。2）其它涉密信息：也應該保存在安全的工作區(qū)域內。電子文檔也必須有可靠的備份機制。紙質文檔以及電子存儲介質應存放于書柜、檔案柜或桌式書架柜內，以防被非公司人員意外看到或獲得。a）技術成果技術轉讓、技術入股、技術引進等途徑獲取公司秘密的過程中，根據合同或協(xié)議中規(guī)定提供的公司秘密，承辦人應采取保密措施，保證不泄漏公司秘密。獲取的公司秘密應及時移交財務部歸檔，不得個人保存。b）工作成果物：每個人的工作成果物（工作成果物指需要向客戶或上級或組織提交的工作的結果）應該及時保存到指定場所。電子文檔應該保存到公用機器上的指定位置，從而得到可靠的備份和訪問控制，對于紙質文檔和電子介質應該保存到指定文件柜內（除非被批準，不得保存在個人文件柜內），并做好清晰標示，從而保證他們的可用性。員工在公司任職期間的工作成果歸公司所有，并按《保密協(xié)議》及本制度進行管理；c）客戶信息在公司日常業(yè)務（包括營銷等相關活動）中接觸到客戶的信息以及客戶提供的信息同樣應該作為公司的涉密信息實施管理和控制。重要信息應該被指定為公司絕密，其余都按照“公司秘密”密級來對待。特別是客戶真實數據，屬于“公司機密”，除非得到客戶明確授權，不得使用；使用時必須按照嚴格的流程和管理規(guī)定（事先備份等），不得在其它任何場合使用或透露相關信息。涉密信息的訪問限制1）日常工作中需使用含公司絕密、公司機密性數據的設備，或需處理公司絕密、公司機密性數據的員工，須根據公司相關要求簽訂《知識產權及保密協(xié)議》；2）本公司委外開發(fā)或加工的外包合同/協(xié)議中須包含所涉及信息資產的保密條款，必要時，須與相關人員簽署保密協(xié)議；3）涉密信息的訪問范圍應限制在滿足需要的最小限度。4）公司絕密信息應該存放在非相關部門員工無法訪問的獨立的VLAN內，存放“公司絕密”信息的個人用計算機應該安裝防火墻，保證其他機器無法主動訪問，通過網絡共享目錄不允許存放“公司絕密”信息；存放涉密信息的計算機的用戶密碼必須得到嚴格控制和有效管理；“內部公開’及以上信息未經授權，嚴禁以任何方式向公司以外人員泄露。“公司絕密”信息由公司領導、信息安全主管部門和相關應用部門協(xié)商確定訪問權限，由信息安全主管部門委托人員（一般是總裁辦管理）具體控制。“公司機密”和“公司秘密”信息由各部門，各項目組的負責人確定訪問權限，由他們或委托可靠相關人員進行訪問權限的具體控制措施。6）為了保證涉密信息安全，全體員工必須嚴格遵守《訪問控制管理程序》中所具體規(guī)定的各項控制策略。涉密信息的使用）不得使用任何手段主動獲取與工作職責無關的涉密信息。）不得以任何工作需要以外的目的復制、復印、摘抄涉密信息，未經管理者許可，禁止復制、復印“公司機密”以上級別信息。）因工作需要將涉密信息復制到非相關設備或公用設備中時、必須在使用完畢后，立即刪除作業(yè)遺留的涉密信息。因工作需要復印的涉密信息，使用完畢后，按照涉密信息廢棄處置方法處置。）涉密信息的使用必須嚴格限制在工作必須的物理和人員范圍內，除非工作需要并得到批準，不得把存放涉密信息的設備和存儲介質以及含有涉密信息的紙質文檔帶出公司。“公司絕密”信息的使用必要時可以通過簽名登記的方式加以控制。）因工作需要，需要對敏感的涉密信息共享時，必須對涉密信息進行加密處理。）不在有非相關人員在場的情況下談論/使用涉密信息。包括：和客戶接觸時避免涉密信息的泄露,制作提供給客戶的資料文件時原則上使用PDF格式，并需要注意涉密信息的保護。不能在公共場所或者敞開辦公室、沒有良好隔音的會議室談論公司絕密信息。）使用紙質文件是，要注意：“公司機密”以上級別信息的紙件不得重復使用，含其它涉密信息的紙件文件也不得跨項目使用；下班后應清理桌面，將含有重要涉密信息的紙質文件放入文件柜；發(fā)出打印命令后，及時去取打印文件，保證打印機處無遺留紙質文件。打印“公司絕密”信息時，盡量使用非公用打印機；復印完畢后注意檢查，保證復印機處無遺留紙質文件。復印“公司絕密”信息時，盡量在人少時段;傳真完畢后注意檢查，保證傳真機處無遺留紙質文件。對于外來的傳真，應該馬上收取，再通知或送達收件人。對于涉密的技術文件的發(fā)放和回收，參考《文件控制程序》。8）計算機數據安全管理：在從事涉及保密信息的工作時，不得離開計算機，使之處于無人照看狀態(tài)；人員因故離開座位時，必須退出系統(tǒng)或使用屏幕密碼保護，防止賬號被盜用或數據被竊取。下班或因公外出離開辦公室前，必須關閉計算機設備并將桌面收拾干凈，避免保密信息失竊或系統(tǒng)被侵入；保管好所有的數據存儲設備，并作適當標識；公司絕密或公司機密性數據如需通過電子郵件傳送，應經加密處理后傳送；公司絕密或公司機密性數據，不得存放于無賬號權限、密碼限定的信息系統(tǒng)中。涉密信息發(fā)送1）任何涉密信息的發(fā)送，都必須保證收件人的合法性；“內部公開”信息未經許可，嚴禁發(fā)送給公司以外人員；“公司秘密”，“公司機密”“公司絕密”只發(fā)給管理者授權的收件人。2）涉密信息傳送后，必須通過e-Mail/MSN/電話等手段，獲得對方的確認或主動向對方確認。3）在公司內部傳送紙質數據時，委托他人傳送時，必須加以封裝；“公司絕密”信息傳送時必須保證直接交給收件人本人；其他涉密信息傳送時，盡量直接交給收件人，如果放置在收件人坐席上必須將傳送的背面朝上，并且事后要和收件人確認。4）利用電子手段傳送數據時，“公司絕密”信息必須使用加密手段，而且密碼不得同時發(fā)送；在可能的條件下，鼓勵所有涉密信息都采用加密手段傳送「公司絕密”信息除非特別需要必須使用公司的網絡服務傳送;所有涉密信息都應該盡量避免使用公司外部電子信箱以及MSN/QQ/Skype/公用FTP/網絡存儲空間等手段來進行傳送。必須利用最新的防病毒庫對收發(fā)的文件進行病毒檢查。5）利用傳真進行涉密信息傳送時，不得委托非相關人員代為傳送；傳送時必須始終等待在側；傳送完畢后立刻回收；不特別必要，不利用傳真方式進行“公司絕密”信息的傳送；收發(fā)“公司絕密”信息時，應事先和對方聯(lián)系，保證傳真不經過其他人手。6）利用快遞/郵寄手段進行涉密信息傳送時：對傳送的信息必須加以封裝；不特別必要，“公司絕密”信息的傳送不利用快遞/郵寄手段進行，而應盡量利用公司內部人員以專程的形式來進行傳送工作；傳送“公司絕密”信息時，應事先和對方聯(lián)系；在確認收到時丁還必須確認封裝沒有損壞；非收件人不得隨便拆閱。涉密信息的廢棄處置1）過期或作廢的涉密文件需要廢棄處置處理時，首先需得到批準。2）“公司絕密”信息的廢棄處置要得到公司總經理書面批準，并指定可解除該信息人員實施或全程監(jiān)督實施。其它涉密信息的廢棄處置要得到相關部門，相關工作組的負責人的批準，并指定人員實施。3）公司絕密數據必須退回資料來源處，或者在經資料來源處授權情況下，將其存放在安全的文件貯存處或加以銷毀；電子檔案必須采用總裁辦許可使用的專用銷毀文件的計算機磁盤工具予以消除，必須保留銷毀文件的記錄。4）“公司機密”和“公司秘密”信息，進行處理時，紙質文件要通過專門設備徹底粉碎；電子檔案必須采用行政部許可使用的專用銷毀文件的計算機磁盤工具予以消除，必須保留銷毀文件的記錄。5）客戶方面特別提出要求時，按照客戶要求的方法實施。6）個人工作中使用的紙質文檔不得隨意丟棄或作其它用途，廢棄后要及時粉碎處理；電子文檔需要及時整理和清除。7）對一級硬件信息資產進行專人監(jiān)督物理破壞。7.保密原則1）所有公司員工都有義務和責任保守公司公司秘密。嚴格遵守公司關于保密方面的各項政策和制度規(guī)定；保護并按照規(guī)定的方式處理包含公司保密信息的各種記錄、草稿、文本副本、打印機色帶和圖表；不在公司以外公共場合及同親友及家人談論公司的業(yè)務情況及保密信息；在向非公司員工發(fā)表演講、宣傳時不得援引保密信息、；未經資料來源處授權，不得復制或復印任何公司保密數據資料；未經必要的審批手續(xù)，不得將公司保密數據資料從公司帶出；不得使用規(guī)定以外的其它方式，用電子手段傳送或調用保密數據材料；論文發(fā)表前，要經過部門領導和信息安全工作小組審核；2）員工必須具有保密意識，必須做到不該問的絕對不問，不該說的