密級控制程序編號：ISMS-狀態(tài)：受控編寫：200X年XX月XX日審核：200X年XX月XX日同意：200X年XX月XX日公布版次：第A/0版200X年XX月XX日生效日期200X年XX月XX日分發(fā)：各部門（或XXX）接受部門：

變更記錄變更日期版本變更闡明編寫審核同意-XX-XXA/0初始版本XXXXXXXXX密級控制程序1范圍為更好地管理客戶（合作方）和我司在服務(wù)、技術(shù)、經(jīng)營等活動中產(chǎn)生的各類信息，防止因不恰當(dāng)使用或泄漏,使我司蒙受經(jīng)濟(jì)損失或法律糾紛，特制定本管理規(guī)程。本原則規(guī)定了信息密級劃分、標(biāo)注及處理控制目的和控制方式。2規(guī)范性引用文獻(xiàn)下列文獻(xiàn)中的條款通過本原則的引用而成為本原則的條款。但凡注日期的引用文獻(xiàn)，其隨即所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不合用于本原則，然而，鼓勵各部門研究與否可使用這些文獻(xiàn)的最新版本。但凡不注日期的引用文獻(xiàn)，其最新版本合用于本原則?！禛B/T22080-idtISO/IEC27001:信息技術(shù)-安全技術(shù)-信息安全管理體系規(guī)定》《GB/T22081-idtISO/IEC27002:信息技術(shù)-安全技術(shù)-信息安全管理實行細(xì)則》3術(shù)語和定義IGB/T22080-idtISO/IEC27001:《信息技術(shù)-安全技術(shù)-信息安全管理體系規(guī)定》和GB/T22081-idtISO/IEC27002:《信息技術(shù)-安全技術(shù)-信息安全管理實行細(xì)則》規(guī)定的術(shù)語合用于本原則。4職責(zé)和權(quán)限4.1XX部XX部負(fù)責(zé)信息密級劃分、標(biāo)注及處理控制。4.2各部門各部門負(fù)責(zé)本部門使用或管理的信息密級劃分、標(biāo)注及處理控制。5活動描述5.1密級的分類信息的密級分為3類：企業(yè)秘密事項（秘密）、內(nèi)部信息事項（受控）和公開事項。信息分類定義：a)“秘密”：《中華人民共和國保守國家秘密法》中指定的秘密事項；或不可對外公開、若泄露或被篡改會對我司的平常經(jīng)營導(dǎo)致嚴(yán)重?fù)p害，或者由于業(yè)務(wù)上的需要僅限有關(guān)人員懂得的事項；介質(zhì)包括但不限于：紙類、電磁類及其他媒體（紙張、軟盤、硬盤、光盤、磁帶、膠片）。b)“受控”：不可對外公開、若泄露或被篡改會對我司的平常經(jīng)營導(dǎo)致?lián)p害，或者由于業(yè)務(wù)上的需要僅限有關(guān)人員懂得的事項；或是指為了平常的業(yè)務(wù)能順利進(jìn)行而向企業(yè)員工公開、但不可向企業(yè)以外人員隨意公開的事項。c)“公開”：秘密事項以外，僅用來傳遞信息、昭示承諾或?qū)ν庑麄魉暗氖马棥?．涉密、受控文獻(xiàn)、資料的標(biāo)識、制發(fā)的管理6.1管理職責(zé)企業(yè)秘密管理的最高責(zé)任者為企業(yè)執(zhí)行總經(jīng)理，各部門的管理責(zé)任者為本部門經(jīng)理。全體員工都負(fù)有遵守保密承諾、保守企業(yè)秘密的義務(wù)。6.2企業(yè)秘密的指令6.2.1“秘密”按《中華人民共和國保守國家秘密法》的有關(guān)規(guī)定執(zhí)行。企業(yè)秘密事項由經(jīng)營管理機構(gòu)指定，企業(yè)秘密及敏感信息事項由產(chǎn)生該事項的部門經(jīng)理級以上（含副經(jīng)理）人員指定。指定秘密事項時，應(yīng)參照附錄1的示例，并充足考慮該事項的性質(zhì)及重要程度等原因。6.2.2員工對自己編寫的信息需判斷與否為企業(yè)秘密及管理分類（秘密、受控）時，可隨時問詢經(jīng)理級以上領(lǐng)導(dǎo)。后者對前者的祈求應(yīng)及時予以明確的處理。無法判明時，可請示更高一級領(lǐng)導(dǎo)。6.2.3編寫的文獻(xiàn)一旦被指定為秘密、受控文獻(xiàn)，則負(fù)責(zé)人應(yīng)按本規(guī)定的規(guī)定對編寫中和編寫后的無用稿件進(jìn)行處置。6.3秘密、受控文獻(xiàn)的表達(dá)措施由編寫部門在文獻(xiàn)封面標(biāo)明“秘密”，受控文獻(xiàn)，由編寫部門在文獻(xiàn)封面標(biāo)明“受控”，顏色無規(guī)定。注:1)采用電磁等媒體記錄的秘密、受控文獻(xiàn)，應(yīng)在其包裝盒上明顯的位置用標(biāo)簽標(biāo)明秘密、受控管理分類，使用的印章措施同上。2)由XX部負(fù)責(zé)發(fā)行管理的技術(shù)關(guān)聯(lián)規(guī)程/集中管理規(guī)格書等，除尤其指定外均屬受控文獻(xiàn)。XX部使用的圖紙，不便于標(biāo)明文獻(xiàn)類型，其默認(rèn)為受控文獻(xiàn)印刷發(fā)行。6.4送付部門和使用目的、范圍的指定6.4.1發(fā)送秘密文獻(xiàn)時，制定者應(yīng)根據(jù)文獻(xiàn)內(nèi)容指定接受部門和接受人。6.4.2為了防止接受人因不清晰使用范圍而泄密，可在附件中指明使用目的和使用范圍。若從文獻(xiàn)標(biāo)題和送付部門一覽中能使接受者明確使用目的和范圍，可省略上述指定。6.5秘密文獻(xiàn)的發(fā)放管理6.5.1各部門在發(fā)放秘密文獻(xiàn)前，應(yīng)作好發(fā)行臺帳登記。臺帳的內(nèi)容應(yīng)包括：發(fā)行年月日、標(biāo)題、送付部門及份數(shù)、解除/變更年月日、回收/廢棄年月日等。該管理臺帳同秘密文獻(xiàn)同樣保管。6.5.2企業(yè)內(nèi)發(fā)送的秘密文獻(xiàn)，盡量親自交給接受人，或裝入信封并標(biāo)明“親展”6.5.3發(fā)往企業(yè)以外的秘密文獻(xiàn)，原則上雙方應(yīng)簽訂具有保密條款的協(xié)議并經(jīng)部門經(jīng)理以上的同意后方可提供。特殊狀況（無保密條款協(xié)議但又必需提供）需事先準(zhǔn)備好保密協(xié)議書，經(jīng)部門經(jīng)理以上同意并規(guī)定對方在接受時簽收。注:1)運用網(wǎng)絡(luò)傳送秘密文獻(xiàn)時，應(yīng)事先與接受人獲得聯(lián)絡(luò)，并根據(jù)實際狀況決定與否加載壓縮/解壓縮密碼。2)運用FAX傳送的秘密文獻(xiàn)時，應(yīng)事先與接受人聯(lián)絡(luò)，并以書面或口頭的方式提醒對方“注意保密，嚴(yán)禁復(fù)印”。6.6企業(yè)秘密的使用6.6.1秘密文獻(xiàn)的接受人應(yīng)按秘密文獻(xiàn)的使用目的、使用范圍對的使用秘密文獻(xiàn)。6.6.2秘密文獻(xiàn)的保管人員和秘密事項的實際操作人員未經(jīng)指定者許可不得私自將秘密內(nèi)容向其他人員公開。6.6.3采用網(wǎng)絡(luò)傳送的秘密文獻(xiàn)需轉(zhuǎn)發(fā)他人時，同樣按6.5項注1的規(guī)定處理。轉(zhuǎn)發(fā)時必須附上文獻(xiàn)名稱或標(biāo)題，并在正文中注明“秘密文獻(xiàn)”。6.6.4秘密文獻(xiàn)原則上嚴(yán)禁復(fù)印。因業(yè)務(wù)必需時應(yīng)限制在最小程度，并且在使用后按8.2項措施及時廢棄。6.6.5未經(jīng)同意嚴(yán)禁將秘密文獻(xiàn)帶出企業(yè)使用。如工作必須，應(yīng)通過部門經(jīng)理以上領(lǐng)導(dǎo)的同意。6.7秘密文獻(xiàn)的保管6.7.1秘密文獻(xiàn)應(yīng)保留在能上鎖的柜子中，管理責(zé)任者或指定的擔(dān)當(dāng)人員負(fù)責(zé)該鑰匙的保管及文獻(xiàn)保管臺帳登記。臺帳內(nèi)容為：接受年月日、份數(shù)、標(biāo)題、發(fā)行部門、解除/變更年月日、回收/廢棄年月日等。該管理臺帳同秘密文獻(xiàn)同樣保管。接受的敏感信息文獻(xiàn)，不必登記上述臺帳。但應(yīng)寄存在企業(yè)以外人員未經(jīng)許可不能隨便進(jìn)入的場所。6.7.2保留在計算機系統(tǒng)內(nèi)的秘密事項應(yīng)采用合適的防護(hù)和備份措施，防止被無關(guān)人員查看、誤操作等。7.企業(yè)秘密、受控指令的解除或變更7.1解除或變更的條件秘密事項因?qū)ν夤_刊登而成為眾所周知的信息時，企業(yè)秘密的指令將自動解除。伴隨時間的推移，某些秘密、受控事項的內(nèi)容已過時的狀況下。7.2解除或變更的措施解除或變更企業(yè)秘密、受控指定期，由原編寫部門的指定者書面告知原接受者。編寫部門及接受部門，在秘密、受控文獻(xiàn)保管登記臺帳上用紅色筆劃掉該行內(nèi)容，并記錄解除或變更日期。在原秘密、受控文獻(xiàn)上劃去秘密印章并加蓋解除/變更印章（記入日期）。解除/變更后的文獻(xiàn)，按對應(yīng)的管理辨別保管和使用。為使解除/變更能及時進(jìn)行，文獻(xiàn)接受方在理解到7.1的條件出現(xiàn)時,應(yīng)告知原編寫方。8回收/廢棄8.1秘密文獻(xiàn)，如無尤其指定，原則上應(yīng)在使用后及時回收歸檔保留或廢棄。受控文獻(xiàn)，原則上應(yīng)在使用后及時銷毀廢棄。8.2廢棄秘密文獻(xiàn)時，媒體可用粉碎的措施，其他媒體可用初始化或破壞媒體的措施處理。廢棄時應(yīng)同步在臺帳上用紅色筆劃掉該行內(nèi)容并記錄廢棄日期。8.3秘密文獻(xiàn)改版發(fā)送時，應(yīng)同步回收舊版或告知接受方廢棄舊版。9事故的處理9.1發(fā)現(xiàn)遺失秘密文獻(xiàn)時，應(yīng)及時向部門指定者匯報并與原發(fā)行部門聯(lián)絡(luò)。9.2發(fā)現(xiàn)企業(yè)秘密泄漏、有泄漏征兆或管理上存在重大隱患時，發(fā)現(xiàn)者應(yīng)迅速向本部門經(jīng)理匯報。9.3拾到遺失的秘密文獻(xiàn)時，應(yīng)迅速交給遺失者。關(guān)系者不明時，交給本部門經(jīng)理。9.4發(fā)生以上狀況時,對應(yīng)部門應(yīng)迅速調(diào)查原因，采用合適的糾正和再發(fā)防止措施，并將處置成果以書面的方式告知有關(guān)部門。詳細(xì)規(guī)定見ISMS—《糾正防止措施控制程序》。10教育10.1為了使員工能充足理解并徹底貫徹執(zhí)行企業(yè)本管理規(guī)定，應(yīng)對新入員工及調(diào)職來的人員進(jìn)行保守企業(yè)秘密教育。教育時應(yīng)作好教育記錄。記錄內(nèi)容應(yīng)包括：日期、地點、講師名、受教育者名、教育內(nèi)容等。教育記錄應(yīng)妥善保留。保留期為該員工離開企業(yè)后1年。10.2掌握企業(yè)重要經(jīng)營信息、關(guān)鍵技術(shù)的從業(yè)人員離、退職時，本部門管理者應(yīng)對其進(jìn)行面談，重申保守企業(yè)秘密的規(guī)定，防止將我司企業(yè)秘密帶出或不合法使用。11離/退職后的保密義務(wù)按《信息安全人員考察審批與保密管理程序》和勞動協(xié)議的約定執(zhí)行。12其他12.1外來人員參觀，應(yīng)嚴(yán)格按企業(yè)有關(guān)規(guī)定辦理手續(xù)，或按照申請的時間和路線參觀。結(jié)束后，由接待責(zé)任部門負(fù)責(zé)送出。12.2因業(yè)務(wù)需要來企業(yè)的外來人員，原則上應(yīng)使用企業(yè)的接待室洽談業(yè)務(wù)。需進(jìn)入辦公室時，應(yīng)征得經(jīng)理以上管理者的同意。13記錄記錄名稱保留部門保留期限附錄1：秘密、受控示例項目秘密事項秘密事項子類受控信息事項1.經(jīng)營規(guī)劃戰(zhàn)略決策董事會資料中長期規(guī)劃經(jīng)營計劃2.組織狀況組織變更方案組織機構(gòu)圖組織變更告知電話簿4.人事制度人事方案錄取計劃離職資料人事待遇資料培訓(xùn)資料人事變動告知培訓(xùn)計劃福利勞保計劃5.信息安全制度安全手冊程序文獻(xiàn)作業(yè)指導(dǎo)書表格記錄6.財務(wù)信息預(yù)決算（各類投資預(yù)決算）財務(wù)業(yè)績匯報中期財務(wù)狀況資金計劃生產(chǎn)成本財務(wù)數(shù)據(jù)的處理措施(成本計算措施和系統(tǒng),審計檢查等經(jīng)營分析系統(tǒng),減稅的措施、規(guī)程)7.業(yè)務(wù)信息市場調(diào)查匯報(市場動向,顧客需求,其他企業(yè)動向及對這些情報的分析措施和成果.)商談的內(nèi)容,協(xié)議/協(xié)議營銷計劃(通過促銷等手段強化營銷能力、營銷區(qū)域及選定上市期)營業(yè)戰(zhàn)略(有關(guān)和其他企業(yè)合作銷售、銷售途徑確實定及變更,對代理商的政策等情報)商品和服務(wù)的價格(成本價、批發(fā)價、成交價以及設(shè)定價格的措施和基準(zhǔn))供應(yīng)商信息（多種材料、設(shè)備等生產(chǎn)中必需資材的供應(yīng)商狀況)客戶信息(客戶名單、供應(yīng)商名單)退貨和投訴處理(退貨的品名、數(shù)量、原因及對投訴的處理措施)廣告宣傳情報(廣告創(chuàng)意、措施）、報價8.技術(shù)信息研究成果(我司或者和其他單位合作研究開發(fā)的技術(shù)成果)保管的顧客信息(顧客數(shù)據(jù)/有關(guān)的資料/試驗數(shù)據(jù))開發(fā)計劃書技術(shù)合作的有關(guān)內(nèi)容（協(xié)作方，協(xié)作內(nèi)容，協(xié)作時間等）技術(shù)備忘錄新產(chǎn)品開發(fā)的體制、組織（新品開發(fā)人員的構(gòu)成,業(yè)務(wù)分派，技術(shù)人員的配置等）教育資料9．服務(wù)信息保管信息的工藝流程、檢查措施和原則操作措施（本企業(yè)特有的過程、工藝、規(guī)格等）設(shè)備投資計劃（包括擬在既有領(lǐng)域或新領(lǐng)域中投資的計劃）多種服務(wù)設(shè)備的配置（針對產(chǎn)品的最佳配置、特殊配置）特種機器的