ISO27001-2013重要信息资产清单

合集下载

ISO27001重要资产威胁识别表汇编

重要资产威胁识别表
（ISO27001-2013）
表1-1：重要硬件资产威胁识别表
重要资产威胁识别表－－硬件资产
资产名称资产描述威胁类部门
台式机网关/SVN服务器
Bugzilla/FTP/Web服务
器
Trac服务器操作失误
滥用权限
系统漏洞攻击
设备硬件故障
社会工程威胁
维护错误
未授权访问系统资源物理访问失控
电磁干扰
系统负载过载
机架式服务器Mail服务器操作失误
滥用权限
系统漏洞攻击
设备硬件故障
社会工程威胁
维护错误
未授权访问系统资源
物理访问失控
电磁干扰
系统负载过载
笔记本电脑木马后门攻击
设备硬件故障
网络病毒传播
未授权访问系统资源
社会工程威胁
台式机木马后门攻击
设备硬件故障
网络病毒传播
未授权访问系统资源
社会工程威胁
表1-2 重要应用系统资产威胁识别表
重要资产威胁识别表－－应用系统
序号资产名称威胁类部门1 SVN业务系统篡改用户或业务数据信息
控制和破坏用户或业务数据
滥用权限泄漏秘密信息
数据篡改
探测窃密
未授权访问
未授权访问系统资源
用户或业务数据的窃取
2 Iptables防火墙
系统操作失误
访问控制策略管理不当维护错误
未授权访问资源
原发抵赖
表1-3 重要文档和数据资产威胁识别表
重要资产威胁识别表－－文档和数据
序号资产名称威胁类部门1 DVB-J项目开发资料滥用权限开发部。

ISO27001：2013信息资产分类分级管理制度

XXXXXX软件有限公司人性化科技提升业绩信息资产分类分级管理程序目录1.目的和范围 (2)2.引用文件 (2)3.职责和权限 (3)4.信息资产的分类分级 (3)4.1信息资产的分类 (3)4.2信息资产的分级管理 (4)4.3信息资产分类指导 (5)5.信息分级标识 (5)5.1分级标识编号 (5)5.2公司绝密、机密信息定义 (6)5.3各密级知晓范围 (6)5.4分级标识编号可作为分级标识使用 (7)6.公司秘密信息使用管理 (8)6.1涉密信息的保管 (8)6.2涉密信息的访问限制 (9)6.3涉密信息的使用 (10)6.4涉密信息发送 (12)6.5涉密信息的废弃处置 (13)7.保密原则 (14)1.目的和范围为降低公司重要资产因遗失、损坏、篡改、外泄等事件带来的潜在风险，这些风险将对公司的信誉、经营活动、经济利益等造成较大或重大损失，需要规范信息资产保护方法和管理要求，特制订本管理制度。

本规定适用于本公司信息资产的安全管理，适用对象为本公司员工和所有外来人员。

特殊岗位或特殊人员，另有规定的从其规定。

公司信息资产是指一切关系公司安全和利益，在保护期内只限一定范围内人员知悉、操作、维护的事物、文档、项目、数据等资源。

2.引用文件1)下列文件中的条款通过本规定的引用而成为本规定的条款。

凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励各部门研究是否可使用这些文件的最新版本。

凡是不注日期的引用文件，其最新版本适用于本标准。

2)GB/T 22080-2016/ISO/IEC 27001:2013 信息技术-安全技术-信息安全管理体系要求3)GB/T 22081-2016/ISO/IEC 27002:2013 信息技术-安全技术-信息安全管理实施细则4)《备份管理规定》5)《访问控制程序》6)《文件控制程序》3.职责和权限本管理规定作为全公司范围信息类资产的最低管理要求，各部门或各项目组，均可以根据客户要求，添加补充策略，并在本部门、本项目组内实施，与本规定一起，作为信息安全管理的工作指南。

ISO27001文件-(信息资产管理规定)

信息资产管理规定（版本号：V1.1）更改控制页目录1目的 (2)2范围 (2)3术语定义 (2)4职责 (2)4.1管理者代表 ............................................................................ 错误!未定义书签。

4.2信息安全经理 (2)4.3各部门 (2)5内容 (3)5.1角色和责任 ............................................................................ 错误!未定义书签。

5.2信息资产类型 (3)5.3信息资产分级标准 (4)5.3.1信息资产密级确定方式 (5)5.3.2信息资产密级标注规定 (6)5.4信息资产处理和保护 (6)6相关文件 (8)7相关记录 (8)1目的本规定旨在对XXX内部重要的信息资产进行分类分级，对不同级别的信息资产提出恰当的处理原则，以便对信息的分发和流转进行恰当的控制，确保信息资产的保密性、完整性和可用性。

2范围本规定适用于整个xxx公司。

本规定所涉及的信息包括各种存储或者存在形式，包括但不限于电子信息、纸质数据文件、语音和图像等。

3术语定义责任人（Owner）：信息资产的创建者，或者主要用户所在组织、单位或部门的负责人。

信息资产责任人对所属信息资产负直接责任。

保管者（Custodian）：受信息资产责任人委托，对信息资产进行日常的管理。

用户（User）：信息资产的使用者，除了公司内部员工，也可能是因为业务需要而访问公司信息的客户或第三方组织。

4职责4.1信息安全经理负责确定信息资产的分类标准；负责制定信息资产的赋值规则；组织并指导各部门正确识别信息资产。

4.2各部门5内容5.1信息资产分类及维护信息资产责任人应该指导进行相关资产的调查，资产调查以业务流程为线索，包括各类输入、中间环节和输出信息，所有这些信息资产都为业务流程的运转提供支持。

ISO27001：2013信息资产识别表

编号
D1
N
none
数据资产
重要敏感数据：非敏感重要数据配置数据，防火墙数据公司内部非敏感数据及第三方非敏感数据普通数据
数据资产范围资产
据
F
file
据仅限业务人员访问，传加密保存在服务器上仅限业务相关业务人落地，仅可保存在服 T2 如果发生安全事故，会对公司运营活动造成较大影响，并对公司造成较大的经济损失仅限业务人访问，传播过程不落地，加密保存在服务器上 P2 采购人员：采购部信息监管者：运营部信息管理者：源代码管理人员、各信息系统管理人员开发人员：平台开发部，云计算与移动互联网开发部，应用创新部、大数据开发部、云呼叫业务开发部仅限人力资源管理人员访问和总监访问，其个人信息存放在保仅限业务相关业务人员访问，可通过移动介质传播，可保存在任何介质中 T3 因其他可能的原因，使服务中断，不会直接对公司运营和经济造成影响的第三方服务仅限业务人访问，可使用移动介质拷贝传播，使用完后立即删除移动介质上 P3 P4 P5 公司内部可自由传播、访问、拷贝、保存在任何介质中
人力资源相关人员：人力资源部项目人员、金点部、战营办公固定资产管理人相关第三方：最终客户部、客增部、服务运营委员：行政部、来自外单位的专业服员会其他相关人员：业务务机构流程部、市场部、总裁办仅限人力资源管理人员和主管访问，其个人信息由人力资源部保管仅限人力资源管理人员和主管访问，其个人信息由人力资源部由相关主管人员访问，其个人信息由相关主管人员保存。
D T
-
data team person
资产范围软件资产
非脚本源代码

ISO27001-2013信息资产风险评估表

员工能力有限
工作中断
离职或突发事件
部门：市场部
部门：市场部
现有控制措施
1、员工有保密协议； 2、责任分割；对数据进行备份服务采购加强访问加密、备份定期保养维护系统定期升级专人专管防病毒
保密培训、签员工保密协议实行员工年度培训计划责任分离、招聘新人
措施评价
控制措施有效
控制措施有控制措施有控制措施有控制措施有控制措施有控制措施有控制措施有
信息资产风险评估表
资产类别资产名称重要等级
威胁列表
脆弱性列表
数据
客户信息销售合同
硬件ቤተ መጻሕፍቲ ባይዱ办公电脑
人员市场人员
员工泄密
员工保密意识差
4 人员误操作或有意篡改文件易修改
云服务出现问题
云服务商问题
遗失或失窃
意外事件
硬件故障
老化
3
系统故障偷盗丢失
系统漏洞易携带
病毒攻击
网络
员工泄密
员工意志薄弱
3
工作瓶颈
措施有效措施有效措施有效
威胁发生的频率
脆弱性严重程度
风险度值
风险级别
2
1
6
2
2
1
6
2
2
1
6
2
2
1
6
2
2
1
6
2
3
1
9
2
2
1
6
2
2
1
6
2
2
1
6
2
2
1
6
2
2
1
6
2

信息安全管理标准(iso27001)资产分类方法

ISO27001信息安全管理标准是全球范围内被广泛认可的信息安全标准之一，它为组织提供了建立、实施、维护和持续改进信息安全管理体系的框架和方法。

资产分类是ISO27001标准中一个重要的环节，它有助于组织识别和管理信息资产，确保其安全性和完整性。

1. 什么是资产分类资产分类是指将组织内的信息资产按照一定的标准和原则进行划分和归类，以便更好地管理和保护这些资产。

在ISO27001标准中，对资产进行分类有助于组织确定其价值、优先级和安全要求，从而合理分配资源和采取措施来保护这些资产。

2. 资产分类的方法在ISO27001标准中，资产分类的方法通常包括以下几个步骤：- 需要识别和确定组织内的所有信息资产，包括数据、设备、软件等，无论其形式和存储方式。

- 根据信息资产的重要性、机密性、完整性和可用性等特征，对这些资产进行分类和分级。

通常可以采用“机密性、完整性和可用性(CIA)”三个维度进行分类，也可以根据具体情况结合其他因素进行综合分类。

- 根据不同级别的信息资产，制定相应的安全措施和管理规定。

对于高级别的资产，可能需要采取更严格的加密、访问控制、备份等措施，而对于低级别的资产，则可以适当降低安全要求和成本。

- 需要建立完善的资产管理制度和流程，包括对资产进行标识、登记、审查和更新，以确保资产分类的持续有效和准确性。

3. 个人观点和理解从我个人的观点来看，资产分类对于信息安全管理至关重要。

通过对信息资产进行科学合理的分类，组织可以更好地了解其拥有的资源和风险，有针对性地制定和实施安全措施，提高信息资产的保护水平。

资产分类也有助于优化资源配置和管理成本，避免对所有资产一刀切的安全策略，提高安全管理的效率和灵活性。

总结回顾在ISO27001信息安全管理标准中，资产分类是一个重要的环节，它有助于组织识别和管理信息资产，确保其安全性和完整性。

通过合理的资产分类方法，组织可以更好地了解自身的信息资产，有针对性地制定安全措施，并提高信息资产的保护水平。

ISO27001：2013个人电脑和存储设备分类分级管理规定

XXXXXX软件有限公司人性化科技提升业绩个人电脑和存储设备分类分级管理规定目录目标 (2)适用范围 (2)一、设备分类 (2)二、设备分级 (2)1、笔记本电脑分类 (3)2、设备分级 (3)3、人个电脑和存储设备管理规定 (4)4、个人电脑的运行配置的更新 (5)6、数据保密和安全管理 (6)7、日常管理 (6)8、领取流程 (7)9、维护、维修与赔偿 (7)10、归还 (8)11、注意事项 (9)目标个人电脑和存储设备目前已经成为员工办公的主要设备，需要对这些设备进行分级，根据不同权限，规范各类设备的使用，以提高公司对这些设备使用的信息安全管理水平。

适用范围本规定适用于所有员工。

一、设备分类个人电脑和存储设备在硬件管理大类里同属于三级硬件包括台式机、笔记本、手机、移动存储等办公终端或存储设备，标记为H3（见《硬件资产分级管理制度》），按照其上存储的或操作的信息重要性和安全级别的不同，可以划分了一至五级，标记为M1~M5（当设备没有存放或操作任何信息资产时，标记为M5)。

为了便于识别不同设备的风险，将上述设备分为以下细类并给予相应的标记。

1、台式机和固定存储：指不可移动的个人电脑和存储设备。

标记为FX（固定）。

2、移动机：指笔记本、手机移动设备。

标记为MP（移动个人）。

3、可读写的移动存储：指所有可读写的移动存储，包括优盘、移动硬盘、可读写的光盘等。

标记为MW（移动可写）4、只读移动存储：一旦写入即不可擦除的移动设备，如只读光盘等。

标记为MR（移动只读）。

5、其他硬件设备：除H3类硬件设备外，其他固定设备包括服务器、网络交换机(H1、H2、H4)等，标记缺省为FX(即可以不作标记)。

二、设备分级1、笔记本电脑分类1) 自备笔记本电脑为了方便员工高效工作，公司允许员工自备笔记本电脑办公。

2) 公司配备笔记本电脑对于符合以下条件的员工可以向公司提出申请配备笔记本电脑：●经理级别以上管理人员。

●经常需要在公司办公地点以外使用电脑的员工。

ISO27001：2013文档资产分级管理制度

XXXXXX软件有限公司人性化科技提升业绩文档资产分级管理制度目录一、文档资产分级及责任部门 (2)二、管理部门职责： (4)三、文档资产使用监管单位： (5)四、管理制度 (5)文档资产分级管理制度一、文档资产分级及责任部门1、一级：公司绝密级文件，是指公司最高涉密信息，与公司生存、经营、人事有重大利益关系，凡该信息泄漏后，足以严重损害本公司利益、影响本公司发展生存，使竞争对手因而取得领先地位，相对降低本公司竞争力的文件。

标记为F1。

由总经办承担安全管理责任。

主要包括：●未发布的经营战略、规划、计划；●其它应列为公司绝密级的资料。

2、二级：公司机密级文件，是指与本公司的生存、经营、人事有重要利益关系，凡该信息泄漏后，足以严重损害本公司各事业群体利益或有利于内外部竞争对手的，对公司信息安全造成重大的损害，需要严格保护的文件。

标记为F2。

由各相关部门承担安全管理责任。

主要包括：●公司薪酬制度及数据,人力资源对员工的绩效考核材料；●财务专用印签、帐号，保险柜密码文件，财务预/决算报告及各类财务统计报表；●公司对外项目投标的标书及标底方案；●系统管理员口令、设备开机或访问密码文件；●客户真实数据文件；●其它应列为公司机密级的资料。

3、三级：公司秘密文件，是指与本公司生存、经营、人事有较大利益关系，凡该信息泄漏后，足以严重损害本公司利益或有利于竞争对手的，会对公司安全造成较高的损害，需要以安全的方式加以保护的文件。

标记为F3。

由各相关部门承担安全管理责任。

主要包括：●员工个人信息、档案、数据等；●各类合同、协议、合作计划书等；●供应商及客户档案等；●市场广告企划、营销企划方案；●产品研发及项目实施文档、成果资料等；●项目管理文档资料；●包括客户的重要数据文件；●部门访问口令文件；●备份数据；●网络、设备等基础配置信息、数据等文件；●准备或已经申请国家、部、省、市级科技成果、专利的文件；●在同行业中处于领先地位的核心技术、替代技术、未公布的专利技术文件；●其它应列为公司秘密级的资料。

ISMS-27001-2013信息技术安全技术信息安全管理体系要求标准解读

• 本标准还规定了为适应组织需要而定制的信息安全风险评估和处置的要求。 • 本标准规定的要求是通用的，适用于各种类型、规模和特性的组织。 • 组织声称符合本标准时，对于第4 章到第10 章的要求不能删减。
PART 03
标准正文
标准正文
4.组织环境
4.1 理解组织及其环境
• 组织应确定与其意图相关的并影响其实现信息安全管理体系预期结果的能力的外部和内部事项。
•1）应用信息安全风险评估过程来识别信息安全管理体系范围内的信息丧失保密性、完整性和可用性有关的风险；（CIA） •2）识别风险责任人。（资产归属）
6.1 应对风险和机会的措施
• 6.1.2 信息安全风险评估 • d) 分析信息安全风险：
• 1) 评估6.1.2.c) 1) 中所识别的风险发生后将导致的潜在影响；（资产脆弱性被威胁利用后的严重性）
标准正文
5.领导
5.1 领导和承诺
• 最高管理者应通过以下活动，证实对信息安全管理体系的领导和承诺：
• a) 确保建立了信息安全策略和信息安全目标，并与组织战略方向一致； • b) 确保将信息安全管理体系要求整合到组织的业务过程中； • c) 确保信息安全管理体系所需资源可用； • d) 沟通有效的信息安全管理及符合信息安全管理体系要求的重要性； • e) 确保信息安全管理体系达到预期结果； • f)指导并支持相关人员为信息安全管理体系的有效性做出贡献； • g) 促进持续改进； • h) 支持其他相关管理角色在其职责范围内展现他们的领导力。
完整性准确和完备的特性。
术语
文件化信息组织需要控制和维护的信息及其载体。
术语
外部环境
组织寻求实现其目标的外部环境。注外部环境可以包括如下方面：文化、社会、政治、法律、法规、金融、技术、经济、自然和竞争环境，无论是国际的、国家的、地区的或地方的；影响组织目标的关键驱动力和趋势；与外部利益相关方的关系及其认知和价值观。

ISO27001：2013内审检查表(含附属各个部门EXCEL表)

陪同人员
核查记录有信息安全风险评估报告，记录了风险评估的时间、人员、资产数量、风险数量、优先级等。有信息安全风险评处置计划，记录了风险评估的时间、人员、资产数量、风险数量、优先级等。公司在信息安全管理职责明细表里明确了信息安全职责。公司设立信息安全管理者代表，全面负责ISMS的建立、实施与保持工作。有《信息安全资产清单》和《重要信息资产清单》，信息资产包括数据、软件、硬件、服务、文档、设施、人员、相关方。有《信息资产清单》、《重要信息资产清单》都定义了责任部门或责任人。有用户访问权审查记录。所有计算机用户在使用口令时应遵循以下原则：所有活动帐号都必须有口令保护，所有系统初始默认口令必须更改,用户定期变更口令等。公司安全区域分类：特别安全区域、一般区域，本部门为特别安全区域。公司规定：公司人员上下班出入刷卡，外来人员必须进行外来人员登记后等待接待，若需进入公司办公区域，由接待人员陪同方可进入。
文件编号：CDTY-RPZ-17
被审核部门市场部审核成员
版本号：A
审核日期 2015/12/2
8.2/8.3/A6.1.1/A8.1.1/A8.1.2/A9.2.5/A9.4.3/A11.1 审核主题 .1/A11.1.2/A11.2.9/A12.3.1/A12.4.4/A12.6.2/A16.1 .2/A16.1.3/A18.1.1/A18.1.2/A18.1.3/A18.1.4 核查核查事项要素/条款 8.2 信息安全风险评估 8.3 信息安全风险处置 A.6.1.1 信息安全角色和职责
符合项 √ √ √
观察项
不符合项
A.8.1.1
资产清单
√
A.8.1.2 A.9.2.5 A.9.4.3
资产责任主体用户访问权限的复查口令管理系统

【完整内容】ISO27001-2013信息安全管理体系信息安全风险评估表

3
99
1
增强员工法律、安全意识培训
3
2
66
1
3
2
66
4
1
YES
51
需求分析书
需求分析书
项目管理部
12
4
3
3
2
设备故障
4
缺乏定期更换计划
5
240
3
环境控制
4
3
144
2
2
1
24
4
1
YES
52
需求分析书
需求分析书
项目管理部
12
4
3
3
2
软件本身存在的漏洞
4
缺乏定期更换计划
4
192
2
设置自动更新补丁服务。
4
3
软件研发中心
12
4
3
3
2
遭盗用
3
被不法分子利用
4
144
2
专人保管设置权限
加强安全教育
3
3
108
2
1
3
36
4
1
YES
18
程序源代码
一般办公
软件研发中心
20
5
5
5
5
设备故障
4
缺乏定期更换计划
5
400
4
环境控制
4
3
240
3
2
1
40
4
1
YES
19
程序源代码
一般办公
软件研发中心
20
5
5
5
5
软件本身存在的漏洞
4
缺乏定期更换计划

重要信息资产识别清单

密级：敏感
保密性(C) 完整性
(I)
5
5
4
4
2
2
2
2
2
2
2
2
2
2
2
2
2
2
2
2
4
4
4
4
4
4
4
4
5
5
5
5
4
4
4
4
2
2
3
3
3
3
3
3
3
3
3
3
3
3
5
5
5
5
4
4
资产重要性
重要性级
可用性法律与法规资产重要性别
(A) 符合性(L)
值
5
5
20
5
是否重要资产
是
4
3
16
5
是
2
3
11
3
是
2
3
2
Hale Waihona Puke 3113是
11
3
是
2
财务部
彭华
4
4
4
2
身份验证
公司人事章
人事行政部
涂代贵
3
3
3
3
其他
文件柜
人事行政部
涂代贵
3
3
2
2
业务数据
财务ERP模块数据
财务部
莫辉
4
4
4
1
业务数据
市场ERP模块数据
市场部
莫辉
5
5
5
5
业务数据
生产MES模块数据

ISO27001：2013信息安全管理手册和程序文件

编写委员会信息安全管理手册GLSC2020第A/0版编写：审核：批准：受控状态：XXX网络科技有限公司发布时间：2020年9月1日实施时间：2020年9月1日01目录02修订页03颁布令为提高我公司的信息安全管理水平,保障公司和客户信息安全，依据GB/T 2 2080-2016/ISO/IEC 27001:2013《信息技术安全技术信息安全管理体系要求》结合本公司实际，特制定信息安全管理手册（以下简称“管理手册”）A/0版。

《管理手册》阐述了公司信息安全管理，并对公司管理体系提出了具体要求，引用了文件化程序，是公司管理体系的法规性文件，它是指导公司建立并实施管理体系的纲领和行动准则，也是公司对所有社会、客户的承诺。

《管理手册》是由公司管理者代表负责组织编写，经公司总经理审核批准实施。

《管理手册》A/0版于2020年9月1日发布，并自颁布日起实施。

本公司全体员工务必认真学习,并严格贯彻执行，确保公司信息安全管理体系运行有效，实现信息安全管理目标，促使公司信息安全管理工作得到持续改进和不断发展。

在贯彻《管理手册》中，如发现问题，请及时反馈，以利于进一步修改完善。

授权综合部为本《管理手册》A/0版的管理部门。

XXX网络科技有限公司总经理：2020年9月1日04任命书为了贯彻执行GB/T 22080-2016/ISO/IEC 27001:2013《信息技术安全技术信息安全管理体系要求》，加强对管理体系运作的领导，特任命gary为本公司的信息安全管理者代表。

除履行原有职责外，还具有以下的职责和权限如下：（1）确保信息安全管理体系的建立、实施、保持和更新；进行资产识别和风险评估。

（2）向最高管理者报告管理体系的有效性和适宜性，并作为评审依据用于体系的改进；（3）负责与信息安全管理体系有关的协调和联络工作；（4）负责确保管理手册的宣传贯彻工作；（5）负责管理体系运行及持续改进活动的日常督导；（6）负责加强对员工的思想教育和业务、技术培训，提高员工信息安全风险意识；（7）主持公司内部审核活动，任命内部审核人员；（8）代表公司就公司管理体系有关事宜与外部进行联络。

2021年最新ISO27001-2013管理评审全套资料9页

IS027001-2013管理评审计划管理评审目的/范围：目的：通过信息安全管理体系评审，检查各部门执行体系的情况，验证适宜性、充分性、有效性。

范围：适用于评审组织的ISMS,包括信息安全方针和信息安全目标的评审。

IS027001-2013管理评审输入报告汇总拟定参与人：行政部、研发部、管代、总经理拟定时间：2017年10月15日拟定地点：公司会议室管理层：1安全方针和目标是正在实现过程中，考虑到刚刚实行体系暂不作调整。

过去3个月中所取得的业绩比较良好，目标经考核基本能实现；2管理人员和监督人员过去3个月中管理与监督的状况基本达到预期要求；3管理体系运行受控a.最高管理者带动员工对满足顾客和法律法规要求的重要性具有明确的认识，能履行其承诺，管理职责明确，重视并参与对信息安全管理体系的建立、保持和推动持续改进活动。

员工能准确答出公司信息安全方针和目标，体现了全员参与。

但个别职能部门信息安全活动和人员中有责任不到位的情况。

b.建立的信息安全方针和信息安全目标适合于组织的特点，在组织内得到沟通和理解,信息安全目标基本有可测量性；但部分信息安全分目标的适宜性需进一步修改，并应对测算方法作进一步改善。

行政部：1、员工培训教育在本年度进行了5次培训，培训结果基本满意。

2、需要不断提高员工的信息安全意识。

3、畅通顾客意见的渠道，加强收集顾客意见，增强重点项目、重点客户的意见反馈。

4、物理防范措施受条件所限只能满足最低要求，控制还算得当，未出现严重违反公司相关制度情况。

5、内外部员工的保密协议已经签署完毕，第三方的保密合同正在落实完善过程中。

6、体系组织结构合理，能覆盖全公司各个部门，岗位职责明确，相关书面材料尚在进一步调整过程。

研发部：1尽快完成支持业务可持续性设备的科学演练，在演练过程中需要考虑信息安全。

2加强人员对纠正预防措施处理意见的学习，提高本公司纠正预防能力3风险评估报告、可接受风险等级、报告中提出的薄弱点或威胁得到减缓和消除现状均能接受。

ISO27001：2013数据资产分级管理制度

XXXXXX软件有限公司人性化科技提升业绩数据资产分级管理制度目录一、数据资产等级分类及责任部门 (2)二、管理部门职责： (4)三、数据资产使用监管单位： (6)数据资产分级管理制度一、数据资产等级分类及责任部门1、一级：重要敏感数据，包括公司数据资产，主要用于公司直接营收的数据，如提交给客户的客探结果数据，泄露会造成直接经济损失。

公司核心数据，经过加工的数据，有全方面的数据信息，需要严格管理，如客户肖像库，信息库，客户方提供的需要通过业务外包平台操作的数据，泄露后对公司可能造成全面损失。

这些数据被非法复制传播后，可造成经济上的重大损失和引发重大安全事故及涉诉事件。

由所涉及到的部门人员：服务部、如涉及财务数据由财务部共同承担安全管理责任。

标记为D1。

主要包括：●业务结果数据●客户信息数据●系统或网络安全控制配置数据，防火墙数据●业务帐号安全配置数据●业务运行配置数据●敏感客户业务原始数据●录音记录数据●财务帐目数据●其他敏感信息数据2、二级：非敏感重要数据，包括公司系统数据，由各种公司系统产生出的原始数据，限制范围使用，泄露对公司有可能造成某方面损失。

如启通宝系统通话记录，客探系统记录，被非法复制传播或丢失、损坏后，可造成一定的经济损失或引发客户投诉事件。

由所涉及到的部门人员：服务部承担安全管理责任。

标记为D2。

主要包括：●业务过程数据●启通宝通话记录●客探系统数据●系统运行日志数据●其他重要数据3、三级：公司内部非敏感数据及第三方非敏感数据，不对外公开，但公开对公司无损失的信息，如话术列表、在项目施工中或开发测试中涉及到的客户方提供的测试数据或业务数据。

由所涉及到的部门人员：服务部、测试部，销售部，研发部共同承担安全管理责任。

标记为D3。

主要包括：●员工通讯录●话述信息数据●系统测试业务数据●项目施工测试数据●项目施工过程数据●销售业绩数据●其他非敏感数据4、四级：普通数据，除上述数据以外的其他数据，包括公司可公开数据，可对外发布的各类信息，所有部门均可公开使用，如电话号段记录，城市区号记录。