第2頁共3頁信息安全保密管理制度目的為了加強(qiáng)對(duì)公司各類文件、數(shù)據(jù)的保密管理，保護(hù)公司秘密，維護(hù)公司利益，特制定本制度。信息資產(chǎn)的定義信息資產(chǎn)是指在生產(chǎn)、經(jīng)營(yíng)和管理過程中，所需要的以及所產(chǎn)生的支持（或指導(dǎo)、影響）生產(chǎn)、經(jīng)營(yíng)和管理一切有用的數(shù)據(jù)和資料等無形資產(chǎn)，具體包括：各類規(guī)劃、商業(yè)計(jì)劃、方案與策略等管理數(shù)據(jù)；公司各類財(cái)務(wù)報(bào)表、憑據(jù)等財(cái)務(wù)數(shù)據(jù)；產(chǎn)品設(shè)計(jì)資料、技術(shù)圖紙、技術(shù)文檔、工程資料等技術(shù)資料和數(shù)據(jù)；投資開發(fā)的（或具有獨(dú)立知識(shí)產(chǎn)權(quán)的）程序軟件的設(shè)計(jì)文檔、源代碼、支持程序軟件、外購軟件的使用許可證記錄、系統(tǒng)平臺(tái)基礎(chǔ)數(shù)據(jù)等；各類專業(yè)系統(tǒng)的應(yīng)用數(shù)據(jù)庫及數(shù)據(jù)文件、業(yè)務(wù)報(bào)表等系統(tǒng)業(yè)務(wù)數(shù)據(jù)；各類專業(yè)系統(tǒng)的運(yùn)行方案、運(yùn)行記錄、變更記錄等系統(tǒng)運(yùn)行數(shù)據(jù)以及應(yīng)急計(jì)劃；其他紙介質(zhì)的重要辦公文件（信件）、圖象、影象、錄音和照片等非結(jié)構(gòu)化辦公資料；系統(tǒng)配置數(shù)據(jù)、系統(tǒng)授權(quán)信息、口令文件、密鑰及算法文件、系統(tǒng)說明文檔、用戶手冊(cè)等系統(tǒng)基礎(chǔ)數(shù)據(jù)；各類業(yè)務(wù)流程、操作規(guī)程、操作指導(dǎo)、模板等管理文件；域名、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)IP地址及分配規(guī)則、企業(yè)標(biāo)準(zhǔn)編碼；信息資產(chǎn)保密等級(jí)3.1信息資產(chǎn)保密等級(jí)（簡(jiǎn)稱密級(jí)）分為：絕密、機(jī)密、秘密、公開四種。3.1.1絕密：公司最重要的秘密，泄露會(huì)使公司的權(quán)益和利益遭受特別嚴(yán)重的損失。僅限于公司內(nèi)部個(gè)別人知悉；3.1.2機(jī)密：公司重要的秘密，泄露會(huì)使公司權(quán)益和利益遭受嚴(yán)重的損失。僅限于文件處理過程相關(guān)人員知悉；3.1.3秘密：公司一般的秘密，泄露會(huì)使公司權(quán)益和利益遭受一定的損失。僅限于公司內(nèi)部特定范圍員工知悉；3.1.4公開：分為內(nèi)部公開，對(duì)外公開。不會(huì)令公司權(quán)益和利益遭受損失的各類文件資料。3.2公司常用信息資產(chǎn)密級(jí)下表列舉了日常工作中常見的信息資產(chǎn)及其密級(jí)，并指定了每類信息資產(chǎn)的Owner。信息資產(chǎn)Owner作為信息的所有者，對(duì)信息資產(chǎn)的安全負(fù)責(zé)，具體職責(zé)包括核準(zhǔn)信息密級(jí)，批準(zhǔn)信息的訪問權(quán)限申請(qǐng)，批準(zhǔn)信息的降級(jí)或解密。經(jīng)營(yíng)管理類涉及公司戰(zhàn)略、財(cái)務(wù)及重大決策的絕密類文檔Owner為公司總裁；機(jī)密文檔Owner為董事會(huì)秘書/財(cái)務(wù)部經(jīng)理/總裁辦主任；秘密級(jí)文檔的Owner為財(cái)務(wù)部經(jīng)理/部門經(jīng)理；市場(chǎng)銷售類市場(chǎng)規(guī)劃為絕密文檔，Owner為IPMT主任；客戶清單、重大項(xiàng)目機(jī)會(huì)、投標(biāo)方案、報(bào)價(jià)、項(xiàng)目成本等機(jī)密文檔的Owner為事業(yè)部總經(jīng)理；秘密級(jí)文檔的Owner為相關(guān)部門經(jīng)理或項(xiàng)目經(jīng)理；產(chǎn)品研發(fā)類產(chǎn)品規(guī)劃、技術(shù)預(yù)研規(guī)劃為絕密文檔，Owner為研發(fā)副總裁；產(chǎn)品需求、規(guī)格、設(shè)計(jì)圖紙、設(shè)計(jì)文檔、源代碼、BOM清單等機(jī)密文檔Owner為產(chǎn)品線總監(jiān)；秘密文檔Owner為相關(guān)部門經(jīng)理或產(chǎn)品經(jīng)理；供應(yīng)鏈類采購策略、采購渠道等絕密信息Owner為分管供應(yīng)鏈副總裁；生產(chǎn)圖紙、采購合同、供應(yīng)商清單、采購價(jià)格等機(jī)密信息Owner為供應(yīng)鏈部經(jīng)理；秘密文檔Owner為供應(yīng)鏈部經(jīng)理；人力資源類薪酬體系、薪酬結(jié)構(gòu)和帶寬等機(jī)密信息Owner為人力資源部經(jīng)理；員工檔案、人力資源制度等秘密信息Onwer為人力資源部經(jīng)理；信息資產(chǎn)管理要求信息密級(jí)的確定4.1.1公司文件資料密級(jí)由作者定義，由信息資產(chǎn)Owner核準(zhǔn)；4.1.2須在文件醒目位置標(biāo)注密級(jí)等級(jí)，標(biāo)注方式包括但不限于添加頁眉，頁腳，水印等；信息的保存與訪問權(quán)限控制4.2.1信息資產(chǎn)的存放介質(zhì)包括電子介質(zhì)、紙介質(zhì)以及其他介質(zhì)，本規(guī)定適用于所有介質(zhì)存放的信息；4.2.2公司紙質(zhì)保密文件應(yīng)由信息Owner指定專人負(fù)責(zé)管理，并嚴(yán)格根據(jù)授權(quán)范圍控制查閱人員；4.2.3電子介質(zhì)文件應(yīng)存放在現(xiàn)有系統(tǒng)中（包括但不限于FTP、OA、ERP等），系統(tǒng)管理員對(duì)電子文件的安全性負(fù)責(zé)。系統(tǒng)管理員須對(duì)系統(tǒng)目錄、模塊的訪問權(quán)限進(jìn)行控制，保證對(duì)應(yīng)文件查閱人員權(quán)限正確；4.3.4文件訪問權(quán)限范圍由信息資產(chǎn)Owner根據(jù)流程上下游工作涉及的角色確定，應(yīng)遵循“最小授權(quán)”原則，即權(quán)限剛好滿足流程中角色的工作需要；4.3.5信息系統(tǒng)賬號(hào)創(chuàng)建后，使用人需要更改初始密碼并定期修改密碼，個(gè)人賬號(hào)不得轉(zhuǎn)借他人使用；信息的傳遞、分發(fā)和使用要求4.3.1紙質(zhì)保密文件借出需要登記編號(hào)及加蓋保密章，文件管理人員需要記錄借閱情況。借閱人在借閱過程中不得對(duì)文件進(jìn)行復(fù)印，留存，并須在指定時(shí)間內(nèi)歸還借閱的文件。4.3.2電子介質(zhì)文件只能通過對(duì)應(yīng)的IT系統(tǒng)進(jìn)行查閱，且使用者要有對(duì)應(yīng)的權(quán)限。需要對(duì)秘密或以上文件進(jìn)行查閱的人員需要有信息資產(chǎn)Owner的批準(zhǔn)，由信息部門開放權(quán)限后方可對(duì)文件進(jìn)行查閱。使用人需要對(duì)文件的安全性負(fù)責(zé),文件不得復(fù)制、傳遞給無關(guān)人員；4.3.3發(fā)送保密文件須采用點(diǎn)對(duì)點(diǎn)方式，不應(yīng)通過即時(shí)通訊軟件（包括但不限于企業(yè)微信、263、微信、釘釘?shù)龋┤喊l(fā)保密文件。通過郵件發(fā)送保密文件時(shí)應(yīng)嚴(yán)格控制發(fā)送范圍，確保收件人都具備文件查看權(quán)限；4.3.4每一位員工只能查閱與本人工作有關(guān)的文件，不得私自收集、保存與自己工作無關(guān)的保密文件；4.3.5對(duì)于外部單位的文件，同樣要實(shí)行資產(chǎn)管理制度。有保密協(xié)議須嚴(yán)格遵照協(xié)議要求執(zhí)行，無保密協(xié)議的由項(xiàng)目負(fù)責(zé)人確定其密級(jí)和查閱人員。項(xiàng)目負(fù)責(zé)人需要對(duì)外部文件安全性負(fù)責(zé)；信息的解密、降級(jí)處理4.4.1文件密級(jí)可能因?yàn)闀r(shí)間或其他因素發(fā)生變化，包括降低密級(jí)，或由保密文件變?yōu)楣_文件；4.4.2公司文件密級(jí)解密或降低密級(jí)等級(jí)時(shí)，需要經(jīng)過相應(yīng)信息資產(chǎn)Owner批準(zhǔn)后方可執(zhí)行；4.4.3對(duì)內(nèi)或?qū)ν鉁贤ㄐ枰褂玫奖Ｃ芪募r(shí)，使用者需要針對(duì)使用場(chǎng)合隱去敏感信息，保證保密信息不外泄；獎(jiǎng)懲機(jī)制懲罰機(jī)制5.1.1無意泄露公司秘密但尚未造成嚴(yán)重后果或經(jīng)濟(jì)損失的，或無意泄露公司秘密但及時(shí)采取補(bǔ)救措施的，可予以通報(bào)批評(píng)、警告處罰；5.1.2因過失泄露公司秘密，并給公司造成經(jīng)濟(jì)損失的，可視情節(jié)嚴(yán)重程度予以罰款、考評(píng)降級(jí)、降薪等處罰；5.1.3故意違反本保密制度規(guī)定，通過竊取、刺探、收買等違規(guī)行為獲取公司秘密的，可視情節(jié)嚴(yán)重程度予以降職、辭退處理，并根據(jù)保密協(xié)議賠償公司經(jīng)濟(jì)損失；5.1.4