ZD1信息资产管理制度.docx
- 文档编号:24207557
- 上传时间:2023-05-25
- 格式:DOCX
- 页数:18
- 大小:23.52KB
ZD1信息资产管理制度.docx
《ZD1信息资产管理制度.docx》由会员分享,可在线阅读,更多相关《ZD1信息资产管理制度.docx(18页珍藏版)》请在冰豆网上搜索。
ZD1信息资产管理制度
金现代信息产业股份有限公司
信息资产管理制度
文件编号:
ITSMS-JXD-ZD-01-161108
编制:
胡翠梅日期:
2016-11-08
审核:
鲁效停日期:
2016-11-08
批准:
周建朋日期:
2016-11-08
受控状态:
受控文件密级:
秘密
2016年11月08日颁布2016年11月08日实施
金现代信息产业股份有限公司发布
修订历史
日期
描述
修改人
审核人
批准人
2016-11-08
新建
胡翠梅
鲁效停
周建朋
信息资产管理制度
1目的
保持对公司信息资产的适当保护,并确保信息资产受到适当级别的保护,从而确保满足公司信息资产安全的要求。
2.适用范围
适用于公司信息资产管理工作的管理。
3.职责
3.1人资企划部是信息资产保密工作的归口管理部门,负责信息资产保密控制的整理、标识、利用、保管、更改以及监督集中销毁的监销监督职能
3.2各部门负责相关保密资料的传阅、收集、整理职能,并按规定期限移交人资企划部,填写好记录。
3.3各部门负责保持对组织资产的适当保护,责任由指定的信息资产负责人承担。
4.管理要求
4.1信息资产的识别
4.1.1各部门应列出信息资产清单并将每项资产的名称、型号、所处位置、资产负责人、保密程度等相关信息记录在资产清单上。
一旦发生变化,各部门应及时更新信息资产清单。
4.1.2资产的赋值不在于确定资产的绝对价值,而在于确定资产的相对价值,按照相关程序进行评价。
4.2密级的分类
信息的密级分为5类:
国家秘密事项、企业绝密事项、企业机密事项、企业秘密事项和公开事项。
信息分类定义:
a.“国家秘密事项”:
《中华人民共和国保守国家秘密法》中指定的秘密事项,公司业务活动中涉及国家秘密事项(机密级)和(秘密级);
b.“企业绝密事项”:
指具有最高敏感性的信息。
包括一个组织马上要实施的兼并策略或者投资策略,重要的设计和计划。
如果将机密信息丢失或者公之于众,将会严重损害组织利益。
仅供公司内部总裁级别以上使用,必须严格限制其发布,并且始终处于保护之中,应采用加密方式传递,其安全保护级别为最高。
c.“企业机密事项”:
公司关键的信息,不可对外公开,必须经过批准同意后才能被公开或者被内部共享,若泄露或被篡改会对本公司的生产经营造成损害;这类信息包括业务计划、财务信息、银行信息、律师和会计等客户的敏感信息。
d.“企业秘密事项”:
为了日常的业务能顺利进行而向公司员工公开、但不可向公司以外人员随意公开的事项组织的工作规程、项目计划、设计和规格说明、内部备忘录、内部项目报告等它的泄露将造成组织和管理的不便,但是并不会造成经济损失或者信誉的损害。
仅供公司内部主管级别以上使用,通常只限于授权人员使用,XX不能复制,带出公司。
d.“普通事项”:
秘密事项以外,仅用来传递信息、昭示承诺或对外宣传所涉及的事项,经同意后可以公开使用,其安全级别为最低。
4.3涉密文件、资料的标识、制发
4.3.1本公司产生的企业绝密、企业机密、企业秘密信息,其资产的赋值不在于确定资产的绝对价值,而在于确定资产的相对价值,按照4.2条款进行评价。
4.3.2各部门对产生的信息确定密级和保密期限,并做好密级标识。
对于绝密信息和机密以及秘密信息资产,如果是文档,应在文件上注明密级;如果是软件,应在文件名中注明密级,如果是物体,需要在表面粘贴或者书写密级标识。
普通密级可以不做标记。
对重要数据,资产负责人应定期备份。
所有的秘密信息和机密信息数据的打印报告、屏幕显示、记录媒介和复印件都要清楚标明密级,以便使授权的接收者注意。
4.3.3凡需到印制的密级文件、资料,须由人资企划部负责,并严格控制印刷份数。
如果外部印制,应与指定的印刷厂签署包括保密内容的协议。
4.3.4凡在公司内打印的密级公文、资料,须列出详细的分发清单,拟稿人亲自送给人资企划部。
4.3.5有密级的公文、资料必须严格按分发对象分发,不得多印。
4.3.6发放有密级的文件必须记录在保密文件分发记录表上登记备查。
4.3.7绝密的文件不得在办公网络中流转、办理。
其他密级文件需在系统中流转和办理时,应设定权限。
4.4涉密文件、资料的接收、流转、保管借阅、归档和销毁
4.4.1涉密文件接收应登记记录,传阅完毕后应尽快送。
4.4.2外出开会带回的涉密文件、资料应在当天或次日交还部门。
凡涉密文件、资料,个人不得带到家里和公共场所。
4.4.3涉密文件材料需落实专人、专柜保管,文件应及时存放文件柜不可随手摆放。
4.4.4因工作需要借阅涉密文件材料的,需填写借阅使用登记表。
借阅人应妥善保管涉密文件,用后及时归还。
4.4.5上级或其他单位制定的标有密级的文件、资料等一般不准复制。
如确需复制,必须经批准,并做好使用过程中的保密与用后的统一回收工作。
4.4.6涉密应按照《文件控制程序》的要求建立并保存内部信息、秘密信息、机密信息传送、接收和查阅记文件录。
4.4.7文件、资料的保管期限按档案保管期限的规定执行,电子光盘保管按《信息处理设施管理制度》中介质管理要求执行。
4.4.8对超越保管期限、没有保存价值的文件材料应按照《文件控制程序》规定,到规定地点进行集中销毁。
4.5办公自动化和计算机信息系统的保密规定
4.5.1严禁在无保密措施的有线、无线通信及计算机网络中传递国家和企业秘密。
进行涉密内容的活动,严禁使用无线话筒;同一信息的传递,严禁明密混用。
4.5.3涉密计算机设备的安装、调试、检修,应由技术部专业技术人员负责;使用人员和未经批准人员不得随意拆卸和检修。
涉密计算机检修前,应彻底清除设备中的涉密信息或拆除所有涉密存储介质,并派专人陪同、监督。
4.5.4计算机信息系统实行安全等级保护。
计算机应用人员应使用合法的用户名称、密码或口令,密码或口令不得泄露他人。
任何个人不得擅自修改网络资源配置、网络权限和网络安全等级。
4.5.5秘密信息应由各职能部门管理,以纸质/电子文档形式存在于公司内部。
在网络中供内部职工使用的文档,应避免以WORD文档形式发布,宜以PDF形式在管理信息网中,并设定访问权限,供企业内部职工查询。
4.5.6涉及敏感信息的计算机设备实施大修、升级、停用或报废前,由使用部门对包含储存媒体的设备的所有项目进行检查并清除,由技术部确认,确保在处置之前所有敏感数据和许可软件都被清除或者覆盖掉。
4.5.7对外送的敏感信息,由本部门领导审核后,由技术部同意后方可外送,技术部负责进行登记。
4.5.8对不经流程外送的敏感信息,由人资企划部做出处理决定,按照员工手册规定进行考核。
4.6会议保密规定
4.6.1凡牵涉秘密的会议,人资企划部根据需要,严格确定出席、列席会议人员。
4.6.2任何参会人员不得向外泄露会议内容。
4.6.3重要秘密内容,不印文件,也不作记录。
4.6.4不得私自印发负责讲话记录。
4.6.5会议文件要划定密级,统一编号,按照规定的范围印发和传达。
会议结束时,对文件、资料进行清点,应收回的要全部收回。
4.7宣传报道的保密规定
4.7.1 在宣传报道中有可能涉及到本公司的某些机密时,应对报道内容进行适当处理,或请示领导确定报道范围。
4.7.2 在接待任务中,遇到需要保密的问题时,应主动及时向总经理请示,防止以参观为名窃取情报的事情发生。
4.8通信保密规定
4.8.1 严禁用普通邮政、明码电报、普通传真、普通电话、无线对讲机等非保密通讯设备传递国家秘密事项。
各部门需发送密级文件的,统一由人资企划部办理。
4.8.2 特别情况下,必须用电话通知时,在用语上要加以注意。
一般秘密内容如果发传真,应当加密。
4.8.3 明确使用无线话筒的范围和场合,严禁内部会议使用无线话筒录音,或以无线话筒代替扩音设备传达秘密事项。
4.9其它规定
4.9.1管理人员不得询问、观看与本职工作无关的保密事项的文件材料。
4.9.2各部门应对工作人员,特别是新参加工作的人员进行保密教育。
4.10信息资产检查
各部门要指定责任人每年对信息资产进行清查盘点,以确保信息安全设施与信息资产清单相符和完好无损。
5.相关文件
《文件控制程序》
《信息处理设施管理制度》
6.相关记录
6.1ITSMS-JXD-JL-060《资产清单》(见信息安全风险评估控制程序)
6.2ITSMS-JXD-JL-002《文件发放/回收登记表》(见文件控制程序)
6.3ITSMS-JXD-JL-003《文件作废(销毁)申请表》(见文件控制程序)
6.4ITSMS-JXD-JL-076《信息资产分类制度》
6.5ITSMS-JXD-JL-077《信息资产访问(使用)权限申请表》(在操作平台中)
6.6ITSMS-JXD-JL-078《信息发送(接收)记录》
6.7ITSMS-JXD-JL-079《资产评估准则》
信息资产分类制度
分类
包括内容
电子数据
各种数据资料:
数据库数据、电子文档(作业标准书、图纸、计划、报告等)
文档资产
纸质的各种文件(作业标准书、图纸、合同、传真、财务报告、订单、证书等)
软件资产
应用软件:
办公软件、数据库软件、各类工具软件,开发软件系统软件:
操作系统、硬件驱动程序
硬件资产
网络设备:
路由器、交换机计算机设备:
服务器、台式计算机、便携计算机存储设备:
光盘、软盘、U盘、移动硬盘传输线路:
双绞线保障设备:
UPS电源、变电设备、空调、保险柜、文件柜、门禁、消防设施等安全设备:
防火墙其它设备:
打印机、复印机、扫描仪、传真机等
人员资产
掌握重要信息和核心业务的人员,包括各级管理人员、安全人员、网络管理员、系统管理员、业务操作人员、第三方人员、临时雇佣人员等
服务类资产
信息服务:
对外依赖该系统开展的各类服务网络服务:
各种网络设备、设施提供的网络连接服务办公服务:
为提高效率而开发的管理信息系统,包括各种内部配置管理、文件流转管理
位置:
外部环境,房屋,基本区域,电话线,配电箱,供水
其它
企业形象、客户关系等
ITSMS-JXD-JL-077
信息资产访问(使用)权限申请表
申请人
部门
申请资产
申请说明:
批准人意见:
批准人:
日期:
ITSMS-JXD-JL-077
信息资产访问(使用)权限申请表
申请人
部门
申请资产
申请说明:
批准人意见:
批准人:
日期:
ITSMS-JXD-JL-078
信息发送(接收)记录
密级
部门
发送人
内容:
接收人
时间
ITSMS-JXD-JL-078
信息发送(接收)记录
密级
部门
发送人
内容:
接收人
时间
ITSMS-JXD-JL-078
信息发送(接收)记录
密级
部门
发送人
内容:
接收人
时间
保密性评估准则
准则
电子数据
文档资产
软件资产
硬件资产
人员资产
服务类资产
按信息的访问权限等级或信息的存储、传输及处理设施/人员涉及信息的访问权限等级来评估资产保密性的要求等级
获取权限
赋值
获取、存储、传输及处理信息的权限
赋值
获取、存储、传输及处理信息的权限
赋值
使用及处理信息的权限
赋值
岗位获取、接触信息的权限
赋值
获取、存储、传输及处理信息的权限
赋值
对公司及外部都是公开的
1
同左
1
同左
1
同左
1
同左
1
同左
1
对公司内部所有员工是公开的
2
同左
2
同左
2
同左
2
同左
2
同左
2
只限于公司被授权的部门
3
同左
3
同左
3
同左
3
同左
3
同左
3
只限于公司中层管理人员以上或部门少数关键人员
4
同左
4
同左
4
同左
4
同左
4
同左
4
只限于公司高层管理人员或公司少数关键人员
5
同左
5
同左
5
同左
5
同左
5
同左
5
完整性评估准则
准则
电子数据
文档资产
软件资产
硬件资产
人员资产
服务类资产
按资产的准确性或完整性受损,而造成组织的业务持续或形象声誉受影响的严重程度来评估
影响程度
赋值
影响程度
赋值
影响程度
赋值
影响程度
赋值
岗位范围
赋值
影响程度
赋值
XX的修改或破坏对组织造成的影响可以忽略,对业务冲击可以忽略
1
同左
1
同左
1
同左
1
实习员工\外聘临时工
1
同左
1
XX的修改或破坏会对组织造成轻微影响,可以忍受,对业务冲击轻微,容易弥补
2
同左
2
同左
2
同左
2
一般员工
2
同左
2
XX的修改或破坏会对组织造成影响,对业务冲击明显,但可以弥补
3
同左
3
同左
3
同左
3
技术、管理、财务等方面的骨干人员
3
同左
3
XX的修改或破坏会对组织造成重大影响,对业务冲击严重,比较难以弥补
4
同左
4
同左
4
同左
4
中层管理人员
4
同左
4
XX的修改或破坏会对组织造成重大的或无法接受的影响,对业务冲击重大,并可能造成严重的业务中断,难以弥补
5
同左
5
同左
5
同左
5
高层管理人员
5
同左
5
可用性评估准则
准则
电子数据
文档资产
软件资产
硬件资产
人员资产
服务类资产
按资产使用或允许中断的时间次数来评估
数据存储、传输及处理设施在一个工作日内允许中断的次数或时间比例
赋值
使用频次要求
赋值
使用频次要求
赋值
每次中断允许时间
赋值
允许离岗时间
赋值
每次中断允许时间
赋值
16次以上或全部工作时间中断
1
每年都要使用至少1次
1
每年都要使用至少1次
1
3天以上
1
10个工作日及以上
1
3天以上
1
9-15次或1/2工作时间中断
2
每个季度都要使用至少1次
2
每个季度都要使用至少1次
2
1-3天
2
6-9工作日
2
1-3天
2
3-8次或1/4工作时间中断
3
每个月都要使用至少1次
3
每个月都要使用至少1次
3
12小时-1天
3
3-5个工作日
3
12小时-1天
3
1-2次或1/8工作时间中断
4
每周都要使用至少1次
4
每周都要使用至少1次
4
3小时-12小时
4
2个工作日
4
3小时-12小时
4
不允许
5
每天都要使用至少1次
5
每天都要使用至少1次
5
0-3小时
5
1个工作日
5
0-3小时
5
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- ZD1 信息 资产 管理制度