金现代信息产业股份有限公司信息资产管理制度文件编号:ITSMS-JXD-ZD-01-161108编制:胡翠梅日期:2016-11-08审核:鲁效停日期:2016-11-08批准:周建朋日期:2016-11-08受控状态:受控文件密级:秘密2016年11月08日颁布2016年11月08日实施金现代信息产业股份有限公司发布修订历史日期描述修改人审核人批准人2016-11-08新建胡翠梅鲁效停周建朋信息资产管理制度1信息资产管理制度1目的保持对公司信息资产的适当保护,并确保信息资产受到适当级别的保护,从而确保满足公司信息资产安全的要求。2.适用范围适用于公司信息资产管理工作的管理。3.职责3.1人资企划部是信息资产保密工作的归口管理部门,负责信息资产保密控制的整理、标识、利用、保管、更改以及监督集中销毁的监销监督职能3.2各部门负责相关保密资料的传阅、收集、整理职能,并按规定期限移交人资企划部,填写好记录。3.3各部门负责保持对组织资产的适当保护,责任由指定的信息资产负责人承担。4.管理要求4.1信息资产的识别4.1.1各部门应列出信息资产清单并将每项资产的名称、型号、所处位置、资产负责人、保密程度等相关信息记录在资产清单上。一旦发生变化,各部门应及时更新信息资产清单。4.1.2资产的赋值不在于确定资产的绝对价值,而在于确定资产的相对价值,按照相关程序进行评价。4.2密级的分类信息的密级分为5类:国家秘密事项、企业绝密事项、企业机密事项、企业秘密事项和公开事项。信息分类定义:a.“国家秘密事项”:《中华人民共和国保守国家秘密法》中指定的秘密事项,公司业务活动中涉及国家秘密事项(机密级)和(秘密级);b.“企业绝密事项”:指具有最高敏感性的信息。包括一个组织马上要实施的兼并策略或者投资策略,重要的设计和计划。如果将机密信息丢失或者公之于众,将会严重损害组织利益。仅供公司内部总裁级别以上使用,必须严格限制其发布,并且始终处于保护之中,应采用加密方式传递,其安全保护级别为最高。c.“企业机密事项”:公司关键的信息,不可对外公开,必须经过批准同意后才能被公开或者被内部共享,若泄露或被篡改会对本公司的生产经营造成损害;这类信息包括业务计划、财务信息、银行信息、律师和会计等客户的敏感信息。d.“企业秘密事项”:为了日常的业务能顺利进行而向公司员工公开、但不可向公司以外信息资产管理制度2人员随意公开的事项组织的工作规程、项目计划、设计和规格说明、内部备忘录、内部项目报告等它的泄露将造成组织和管理的不便,但是并不会造成经济损失或者信誉的损害。仅供公司内部主管级别以上使用,通常只限于授权人员使用,未经授权不能复制,带出公司。d.“普通事项”:秘密事项以外,仅用来传递信息、昭示承诺或对外宣传所涉及的事项,经同意后可以公开使用,其安全级别为最低。4.3涉密文件、资料的标识、制发4.3.1本公司产生的企业绝密、企业机密、企业秘密信息,其资产的赋值不在于确定资产的绝对价值,而在于确定资产的相对价值,按照4.2条款进行评价。4.3.2各部门对产生的信息确定密级和保密期限,并做好密级标识。对于绝密信息和机密以及秘密信息资产,如果是文档,应在文件上注明密级;如果是软件,应在文件名中注明密级,如果是物体,需要在表面粘贴或者书写密级标识。普通密级可以不做标记。对重要数据,资产负责人应定期备份。所有的秘密信息和机密信息数据的打印报告、屏幕显示、记录媒介和复印件都要清楚标明密级,以便使授权的接收者注意。4.3.3凡需到印制的密级文件、资料,须由人资企划部负责,并严格控制印刷份数。如果外部印制,应与指定的印刷厂签署包括保密内容的协议。4.3.4凡在公司内打印的密级公文、资料,须列出详细的分发清单,拟稿人亲自送给人资企划部。4.3.5有密级的公文、资料必须严格按分发对象分发,不得多印。4.3.6发放有密级的文件必须记录在保密文件分发记录表上登记备查。4.3.7绝密的文件不得在办公网络中流转、办理。其他密级文件需在系统中流转和办理时,应设定权限。4.4涉密文件、资料的接收、流转、保管借阅、归档和销毁4.4.1涉密文件接收应登记记录,传阅完毕后应尽快送。4.4.2外出开会带回的涉密文件、资料应在当天或次日交还部门。凡涉密文件、资料,个人不得带到家里和公共场所。4.4.3涉密文件材料需落实专人、专柜保管,文件应及时存放文件柜不可随手摆放。4.4.4因工作需要借阅涉密文件材料的,需填写借阅使用登记表。借阅人应妥善保管涉密文件,用后及时归还。4.4.5上级或其他单位制定的标有密级的文件、资料等一般不准复制。如确需复制,必须经批准,并做好使用过程中的保密与用后的统一回收工作。4.4.6涉密应按照《文件控制程序》的要求建立并保存内部信息、秘密信息、机密信息传送、信息资产管理制度3接收和查阅记文件录。4.4.7文件、资料的保管期限按档案保管期限的规定执行,电子光盘保管按《信息处理设施管理制度》中介质管理要求执行。4.4.8对超越保管期限、没有保存价值的文件材料应按照《文件控制程序》规定,到规定地点进行集中销毁。4.5办公自动化和计算机信息系统的保密规定4.5.1严禁在无保密措施的有线、无线通信及计算机网络中传递国家和企业秘密。进行涉密内容的活动,严禁使用无线话筒;同一信息的传递,严禁明密混用。4.5.3涉密计算机设备的安装、调试、检修,应由技术部专业技术人员负责;使用人员和未经批准人员不得随意拆卸和检修。涉密计算机检修前,应彻底清除设备中的涉密信息或拆除所有涉密存储介质,并派专人陪同、监督。4.5.4计算机信息系统实行安全等级保护。计算机应用人员应使用合法的用户名称、密码或口令,密码或口令不得泄露他人。任何个人不得擅自修改网络资源配置、网络权限和网络安全等级。4.5.5秘密信息应由各职能部门管理,以纸质/电子文档形式存在于公司内部。在网络中供内部职工使用的文档,应避免以WORD文档形式发布,宜以PDF形式在管理信息网中,并设定访问权限,供企业内部职工查询。4.5.6涉及敏感信息的计算机设备实施大修、升级、停用或报废前,由使用部门对包含储存媒体的设备的所有项目进行检查并清除,由技术部确认,确保在处置之前所有敏感数据和许可软件都被清除或者覆盖掉。4.5.7对外送的敏感信息,由本部门领导审核后,由技术部同意后方可外送,技术部负责进行登记。4.5.8对不经流程外送的敏感信息,由人资企划部做出处理决定,按照员工手册规定进行考核。4.6会议保密规定4.6.1凡牵涉秘密的会议,人资企划部根据需要,严格确定出席、列席会议人员。4.6.2任何参会人员不得向外泄露会议内容。4.6.3重要秘密内容,不印文件,也不作记录。4.6.4不得私自印发负责讲话记录。4.6.5会议文件要划定密级,统一编号,按照规定的范围印发和传达。会议结束时,对文件、资料进行清点,应收回的要全部收回。4.7宣传报道的保密规定信息资产管理制度44.7.1在宣传报道中有可能涉及到本公司的某些机密时,应对报道内容进行适当处理,或请示领导确定报道范围。4.7.2在接待任务中,遇到需要保密的问题时,应主动及时向总经理请示,防止以参观为名窃取情报的事情发生。4.8通信保密规定4.8.1严禁用普通邮政、明码电报、普通传真、普通电话、无线对讲机等非保密通讯设备传递国家秘密事项。各部门需发送密级文件的,统一由人资企划部办理。4.8.2特别情况下,必须用电话通知时,在用语上要加以注意。一般秘密内容如果发传真,应当加密。4.8.3明确使用无线话筒的范围和场合,严禁内部会议使用无线话筒录音,或以无线话筒代替扩音设备传达秘密事项。4.9其它规定4.9.1管理人员不得询问、观看与本职工作无关的保密事项的文件材料。4.9.2各部门应对工作人员,特别是新参加工作的人员进行保密教育。4.10信息资产检查各部门要指定责任人每年对信息资产进行清查盘点,以确保信息安全设施与信息资产清单相符和完好无损。5.相关文件《文件控制程序》《信息处理设施管理制度》6.相关记录6.1ITSMS-JXD-JL-060《资产清单》(见信息安全风险评估控制程序)6.2ITSMS-JXD-JL-002《文件发放/回收登记表》(见文件控制程序)6.3ITSMS-JXD-JL-003《文件作废(销毁)申请表》(见文件控制程序)6.4ITSMS-JXD-JL-076《信息资产分类制度》6.5ITSMS-JXD-JL-077《信息资产访问(使用)权限申请表》(在操作平台中)6.6ITSMS-JXD-JL-078《信息发送(接收)记录》6.7ITSMS-JXD-JL-079《资产评估准则》信息资产管理制度5信息资产分类制度分类包括内容电子数据各种数据资料:数据库数据、电子文档(作业标准书、图纸、计划、报告等)文档资产纸质的各种文件(作业标准书、图纸、合同、传真、财务报告、订单、证书等)软件资产应用软件:办公软件、数据库软件、各类工具软件,开发软件系统软件:操作系统、硬件驱动程序硬件资产网络设备:路由器、交换机计算机设备:服务器、台式计算机、便携计算机存储设备:光盘、软盘、U盘、移动硬盘传输线路:双绞线保障设备:UPS电源、变电设备、空调、保险柜、文件柜、门禁、消防设施等安全设备:防火墙其它设备:打印机、复印机、扫描仪、传真机等人员资产掌握重要信息和核心业务的人员,包括各级管理人员、安全人员、网络管理员、系统管理员、业务操作人员、第三方人员、临时雇佣人员等服务类资产信息服务:对外依赖该系统开展的各类服务网络服务:各种网络设备、设施提供的网络连接服务办公服务:为提高效率而开发的管理信息系统,包括各种内部配置管理、文件流转管理位置:外部环境,房屋,基本区域,电话线,配电箱,供水其它企业形象、客户关系等信息资产管理制度6ITSMS-JXD-JL-077信息资产访问(使用)权限申请表申请人部门申请资产申请说明:批准人意见:批准人:日期:ITSMS-JXD-JL-077信息资产访问(使用)权限申请表申请人部门申请资产申请说明:批准人意见:批准人:日期:信息资产管理制度7ITSMS-JXD-JL-078信息发送(接收)记录密级部门发送人内容:接收人时间ITSMS-JXD-JL-078信息发送(接收)记录密级部门发送人内容:接收人时间ITSMS-JXD-JL-078信息发送(接收)记录密级部门发送人内容:接收人时间保密性评估准则准则电子数据文档资产软件资产硬件资产人员资产服务类资产按信息的访问权限等级或信息的存储、传输及处理设施/人员涉及信息的访问权限等级来评估资产保密性的要求等级获取权限赋值获取、存储、传输及处理信息的权限赋值获取、存储、传输及处理信息的权限赋值使用及处理信息的权限赋值岗位获取、接触信息的权限赋值获取、存储、传输及处理信息的权限赋值对公司及外部都是公开的1同左1同左1同左1同左1同左1对公司内部所有员工是公开的2同左2同左2同左2同左2同左2只限于公司被授权的部门3同左3同左3同左3同左3同左3只限于公司中层管理人员以上或部门少数关键人员4同左4同左4同左4同左4同左4只限于公司高层管理人员或公司少数关键人员5同左5同左5同左5同左5同左5信息资产管理制度1完整性评估准则准则电子数据文档资产软件资产硬件资产人员资产服务类资产按资产的准确性或完整性受损,而造成组织的业务持续或形象声誉受影响的严重程度来评估影响程度赋值影响程度赋值影响程度赋值影响程度赋值岗位范围赋值影响程度赋值未经授权的修改或破坏对组织造成的影响可以忽略,对业务冲击可以忽略1同左1同左1同左1实习员工\外聘临时工1同左1未经授权的修改或破坏会对组织造成轻微影响,可以忍受,对业务冲击轻微,容易弥补2同左2同左2同左2一般员工2同左2未经授权的修改或破坏会对组织造成影响,对业务冲击明显,但可以弥补3同左3同左3同左3技术、管理、财务等方面的骨干人员3同左3未经授权的修改或破坏会对组织造成重大影响,对业务冲击严重,比较难以弥补4同左4同左4同左4中层管理人员4同左4未经授权的修改或破坏会对组织造成重大的或无法接受的影响,对业务冲击重大