信息分類分級管理制度第一章總則第一條為切實加強XXXX有限公司（以下簡稱“公司”）的信息安全工作，防范和杜絕各種泄密事件的發(fā)生，保護和合理利用公司秘密，確保公司信息披露的公平、公正，保障公司及其他利益相關者的合法權益不受侵犯，根據有關法律、法規(guī)并結合公司實際，制定本管理辦法。第二條保密信息是指不為公眾所知悉，關系公司利益，具有實用性并經公司采取保密措施保護的技術信息、經營信息、客戶信息和管理信息等，在一定時間內只限一定范圍人員知悉的信息。第三條公司各部門以及全體職員都有保守公司秘密的義務，都應做好信息保密工作。第四條信息保密工作，實行積極防范、突出重點、既確保秘密又便于工作，并充分履行信息披露義務的方針。第二章保密信息范圍和密級確定第五條保密信息包括但不限于以下事項和行為：（一）涉及公司經營管理、運作和決策，或對公司利益有重大影響，一旦泄密將給公司帶來損失或失去潛在收益的信息；（二）包括以書面和電子等方式存在的各種信息；（三）其他與公司相關的需要保密的信息。第六條保密信息的密級分為“1級”、“2級”、“3級”三個等級。（一）3級是最重要的公司秘密，泄露會使公司的利益遭受特別嚴重的損害，主要包括：公司的發(fā)展規(guī)劃、經營戰(zhàn)略、客戶信息資料及相關內容、交易系統信息數據、商務談判內容及載體，正式合同和協議文書、未開標的投標文件、未公開的重大投資決策、尚未確定的公司重要人事調整及安排等，以及按《檔案法》規(guī)定屬于絕密級別的各種檔案；（二）2級是重要的公司秘密，泄露會使公司利益遭受到嚴重的損害，如、財務報表、統計資料、重要會議記錄、公司經營情況等，以及按《檔案法》規(guī)定屬于機密級別的各種檔案；（三）1級是一般的公司秘密，泄露會使公司的利益遭受損害，如公司人事檔案、合同、協議、薪金制度，人力資源對管理人員的考評材料等，以及按《檔案法》規(guī)定屬于秘密級別的各種檔案。定級方法所有信息用戶，都應該遵守公司策略，基于信息密級來進行恰當的使用和處理。下表列出了對不同級別信息的相關處理規(guī)定。信息資產責任人可以在此基礎上提出附加的控制要求，以便更好地控制訪問，保護信息。3級2級1級內部公開電子介質標注要求在文件封面及內部都應該標注在明顯處標注在明顯處標注無標注要求硬拷貝標注要求如果是活頁則每一頁都需標注；如果是一體的則只需在封面封底或首頁標注；其他介質表面標注在明顯處標注在明顯處標注無標注要求授權需得到責任人和公司管理層批準需得到相關責任人及部門領導批準需得到責任人批準無特別要求訪問只能被得到授權的公司極少數核心人員訪問，需簽署特別保密協議只能被公司內部或外部得到明確授權的人員訪問，訪問者應該簽署保密協議可以被公司內部或外部因為業(yè)務需要的人員訪問，訪問者應該簽署保密協議任何公司員工或因為業(yè)務需要的人員都可以訪問存儲電子類的應該加密存儲在安全的計算機系統內；硬拷貝應該鎖在安全的保險柜內；禁止以其他形式存儲或顯示電子類的應該妥善保存在設有安全控制的計算機系統內（建議進行信息加密）；硬拷貝應該妥善保管，嚴禁擺放在桌面；使用白板展示后應立即擦除電子類的應該妥善保管，可以進行加密；紙質不應放在桌面以恰當方式保存，避免被非授權人員看到；存儲有信息的介質避免丟失復制得到相關責任人及公司管理層批準；需要登記須經相關責任人批準，并讓專人操作或監(jiān)督實施，需要登記經相關責任人批準內部復制無限制打印禁止打?。ɑ蛟谑跈嗲闆r下專人負責打印，不得打印到無人值守機）須經相關責任人許可，打印件標注密級并妥善管理，不得打印到無人值守機經相關責任人許可，打印件標注密級并妥善管理無限制，打印件標注密級郵件禁止郵件直接發(fā)送，經授權后做電子簽名和加密控制，經安全的途徑發(fā)送，保留記錄須經相關責任人許可，郵件發(fā)送應做加密控制，保留記錄經相關責任人許可無限制傳真禁止傳真須經相關責任人許可后專人負責傳真經相關責任人許可無限制快遞經授權后采取妥善的保護措施，由專人快遞經授權后，由簽署了特定安全協議的專門的快遞公司快遞經授權后，由簽署了特定安全協議的專門的快遞公司快遞無限制內部分發(fā)經相關責任人和公司管理層批準后，密封分發(fā)，或以允許的電子分發(fā)形式進行安全的分發(fā)經相關責任人批準后，密封分發(fā)，或以允許的電子分發(fā)形式進行安全的分發(fā)經授權后，以內部郵件形式發(fā)放，或直接進行硬拷貝分發(fā)無限制對外分發(fā)經相關責任人和公司管理層批準后分發(fā)，需要簽署特定得保密協議，需要進行登記經相關責任人批準后分發(fā)，需簽署保密協議，需要進行登記經授權后，以郵件或者快遞方式分發(fā)，建議簽署保密協議經授權后，以允許的分發(fā)方式分發(fā)處理碎紙機；徹底銷毀介質；電子記錄定期消除；進行檢查確認碎紙機；徹底銷毀介質；電子記錄定期消除；進行檢查確認保存件標明作廢；電子記錄定期消除；介質銷毀電子記錄定期消除，介質銷毀記錄跟蹤直接責任人應有收件人、復制者、保存者、瀏覽者、銷毀者的日志記錄跟蹤文件復制、保存、瀏覽、銷毀過程，應有記錄無要求不建議跟蹤第八條屬于公司秘密的載體（如圖紙、資料、錄音、錄象、軟盤、光盤、硬盤等），應當依據本制度第六條、第七條的規(guī)定進行相應標注。保密期限屆滿，自行解密或經批準，提前解密。第三章主要涉密部門、人員范圍及授權管理第九條公司主要涉密部門包括：總裁室、總裁辦、技術部、運營部、清算、行政部、人力資源部、企劃部、財務中心、信息中心、戰(zhàn)略規(guī)劃中心等部門。第十條公司主要涉密人員包括：（一）公司董事、監(jiān)事、中高級管理人員；（二）列入主要涉密部門的全體員工；（三）負責保密事項制作、保管的人員；（四）公司主要涉密部門根據需要臨時或專門指定的部門或崗位人員；（五）公司臨時聘用的接觸涉密工作的外部工作人員，如法律顧問、財務顧問等。公司可根據保密信息的具體情況，要求涉密人員簽署保密協議。第十一條各部門負責人為本部門的保密工作負責人，信息中心為公司保密工作管理部門，負責監(jiān)督和檢查各部門的保密工作；組織解決密級不明確或者有爭議的事項并負責組織處理公司的泄密事件。第十二條保密工作授權管理：（一）三級事項（含載體），由絕密事項生成部門指定專人負責做好標識，妥善保管，并建好記錄、臺帳，定期統一移交信息中心檔案室管理。絕密事項的發(fā)放、傳閱均需經相關公司領導批準，并應限制在一定時間內返還保管。絕密事項允許知悉的范圍是公司董事、監(jiān)事、中高級管理人員、絕密事項形成的相關人員，及董事、監(jiān)事、高級管理人員認為需要讓其知悉的對象；（二）二級事項（含載體），由機密事項生成部門指定專人負責做好標識，妥善保管，并建好記錄、臺帳，定期統一移交信息中心檔案室管理。機密事項的發(fā)放，傳閱需經相關公司領導或其授權的部門經理批準，并應限制在一定時間內返還保管。機密事項允許知悉的范圍是公司董事、監(jiān)事、高級管理人員、機密事項形成的相關人員，及董事、監(jiān)事、高級管理人員、機密事項形成的負責人認為需要讓其知悉的對象；（三）一級事項（含載體），由秘密事項生成部門指定專人負責做好標識，妥善保管，并建好記錄、臺帳，定期統一移交信息中心檔案室管理。機密事項的發(fā)放，傳閱需經部門經理或部門經理以上領導批準，并應限制在一定時間內返還保管。秘密事項允許知悉的范圍是公司董事、監(jiān)事、高級管理人員、秘密事項形成的相關人員，及董事、監(jiān)事、高級管理人員、秘密事項形成的負責人認為需要讓其知悉的對象。第四章保密管理第十三條員工在公司任職期間的工作成果歸公司所有，并按照保密協定及本制度進行管理第十三條傳閱保密材料由機要人員統一掌握，劃定傳閱范圍，不得自行擴大，不得讓無關人員查看，控制傳閱文件的交接，以防丟失。第十四條不得擅自翻印、復印、傳抄秘密文件、資料；不得在公共場所談論秘密事項，不得在私人通訊中涉及秘密內容。保密材料復印件應視同原件管理，復印過程的廢頁應及時銷毀。第十五條保密材料嚴格按照批準的份數打印，不得擅自多印多留，草稿視同原件一樣管理，打印過程形成的廢頁、廢件應及時銷毀。第十六條傳遞保密材料要有保密措施，傳遞應專送，不得辦理無關事項，密件不得攜入不利于保密的場所。第十七條做好通訊中的保密工作，不在無保密措施的電話、傳真機上傳遞保密材料。第十八條做好公司重要會議的保密工作，會址應選擇有利于保密的地方，嚴格控制無關人員進入，嚴禁濫發(fā)會議文件，會后檢查有無遺漏材料。第十九條做好辦公自動化中的保密工作，對保密材料加設瀏覽和下載權限。第五章泄密的處理第二十條泄密是指下列行為之一：（一）使公司秘密被不應知悉者知悉的；（二）使公司秘密超過了限定的接觸范圍，而不能證明未被不應知悉者知悉的。第二十一條公司發(fā)生或者發(fā)現泄密事件，應當在知悉泄密事件后及時報告部門領導處。第二十二條發(fā)生泄密事件的部門，應根據情況及時采取補救措施，最大限度減少泄密造成的損失。處置泄密事件，應做到如下幾點：（一）任何部門和個人應積極配合有關部門查明事發(fā)原因；（二）應對責任人進行處理，以增強保密意識；（三）采取糾正和預防措施，防止類似泄密事件的再次發(fā)生。第六章信息資產管理的生命周期第二十三條信息資產管理的生命周期包括：信息資產的創(chuàng)建、使用、維護及處置四個階段。（一）創(chuàng)建在這一階段的信息資產既包括新創(chuàng)建的信息資產，開啟一個新的項目，還包括購買的信息資產及變更后的信息資產。并按照以下步驟來完成信息資產的創(chuàng)建。步驟描述責任人識別信息資產所有者信息資產所有者應該是在現存的資產管理策略中定義的，假如在現存的策略中沒有定義的話，信息資產所有者一般被指派為部門/項目經理，識別方法與步驟，請參見本文檔的第3章節(jié)。信息資產所有者識別安全需求資產本身面臨的風險和弱點；客戶指定的安全需求；企業(yè)內部的制度、目標、需求；相關的法律、法規(guī)信息資產所有者驗收安全代表應該協助信息資產所有者進行驗收，以保證信息資產的安全需求得到滿足，并將保管人和使用者的安全需求應該傳達者信息資產所有者。根據與第三方簽訂的合同或設備驗收清單來進行驗收。信息資產所有者對資產進行收集、分類，更新資產清單信息資產被驗收后，安全代表應該幫助信息資產所有者進行分類，并對資產清單進行更新。分類方法請參見本文檔的第4章節(jié)。信息資產所有者風險評估安全代表應該協助信息資產所有者識別、分析及評估新的信息資產所面臨的風險，并參考《風險評估指南》進行評估。信息資產所有者風險處理風險評估之后，安全代表應該幫助信息資產所有者選擇正確的控制措施來保護信息資產，并且使其滿足業(yè)務安全需求。相關文檔請參考《風險管理過程》。信息資產所有者培訓信息資產所有者應該就選擇的控制措施對資產的保管者和使用者進行培訓，確保資產保管者和使用者正確實施所選擇的控制措施。相關培訓方式與內容，請參見《信息安全培訓管理過程》。信息資產所有者（二）使用類型描述責任人紙質/電子數據所有的紙質或電子數據都應該有一個保管人，其職責是在工作職責范圍內使用該信息，并避免泄露給他人，或進行工作職責范圍之外的修改。當員工離職或轉崗時，紙質或電子數據應當被收回，并且清除原電腦或復制的信息。信息資產所有者軟件所有的應用或軟件都應該有一個保管人，其職責是避免軟件資產因丟失而泄露；所有的軟件版權和介質應該由IT資源管理人員來保管，防止未授權使用。當員工離職或轉崗時，軟件版權將會被收回；如有必要，可卸載或刪除其使用的軟件資源。信息資產所有者硬件所有的硬件資產必須有清晰職責的保管人和使用者；當硬件資產被使用和管理時，硬件資產所有者和保管者應該防止硬件被破壞，防止存儲在硬件中的信息被泄露或誤用；無人值守的設備也應該要設置一個保管人，并應該強制實施適宜的安全控制措施。信息資產所有者信息資產在使用、處理、傳輸過程中，應該按照信息資產的等級來實施保護。（三）維護信息資產所有者應該對信息資產或資產清單進行定期維護。步驟描述責任人檢查安全需求根據業(yè)務安全需求、客戶需求、法律法規(guī)需求、合同需求及環(huán)境變更，信息資產所有者有責任對資產的安全需求和采取的控制措施進行至少每年一次的檢查和回顧；當有關鍵信息資產進行變更時，信息資產所有者也應該對其安全需求進行回顧。信息資產所有者重新評估安全風險對于識別的主要風險，信息資產所有者應該要至少每年一次重新信息資產的風險。請參見《風險評估指南》信息資產所有者檢查訪問控制清單信息資產所有者應該至少每個月檢查一次絕密信息的訪問控制清單，每兩個月檢查一次機密信息的訪問控制清單，以確保僅被授權的用戶可訪問信息資產。請參照《訪問控制清單》來進行檢查信息資產所有者人員異動當有員工離職、轉崗時，信息資產所有者應該檢查實施的安全控制措施；當有新員工入職時，信息資產所有者應負責對其進行信息安全培訓。信息資產所有者信息資產變更當信息資產變更或初始分類變更時，信息資產所有者應該更新資產清單，根據現實環(huán)境對資產價值進行重新評定，對于信息資產的價值評定請參考本文檔的第4章節(jié)，而后對更新的資產進行風險評估，對于信息資產的風險評估請參考《風險評估指南》進行評估。信息資產所有者（四）處置當信息資產超過其生命周期時，信息資產應該被銷毀或重用。步驟描述責任人信息資產的保留信息資產應該在一定的周期內予以保留。假如信息資產未達到保留期限，信息資產是不能被銷毀的；否則，信息資產應該被銷毀；信息資產的保留期限請參考《文件及記錄管理規(guī)定》。信息資產所有者