信息资产密级管理规范

信息安全保密制度信息安全保密制度是指根据国家法律法规，以及企业自身情况和需求，为确保企业信息资产安全，防止信息泄露和滥用，制定的一系列规章制度和措施。

信息安全保密制度的建立和执行是企业信息安全工作的基础，也是企业保护核心竞争力的重要手段。

一、保密制度的意义1.确保信息资产的安全性和完整性，防止信息的泄露和滥用。

2.保护企业的商业秘密，维护核心竞争力。

3.遵守法律法规，规避潜在法律风险。

4.提高员工对信息安全的意识，减少信息安全事件的发生。

5.保障企业的声誉和信誉，提高市场竞争力。

二、保密制度的内容1.信息分类及密级管理根据信息的重要程度和敏感程度，对信息进行分类，并设置相应的密级。

详细规定各个密级的保密要求和措施。

2.岗位责任和权限管理明确各岗位在信息安全保密工作中的职责和权限，确保信息的安全管理和控制。

3.信息资产的保护措施包括物理安全措施、网络安全措施和系统安全措施等方面的规定，确保信息资产的安全性和完整性。

4.权限管理和访问控制规定各级员工的权限管理和访问控制机制，确保合法使用和访问信息。

5.密码管理对密码的设置、保管、使用和更改等方面作出规定，确保密码的安全性。

6.传输和存储保护明确传输和存储信息时的安全保护要求和方法，防止信息泄露和损坏。

7.网络安全管理规定网络安全设备的配置和使用，以及网络安全事件的处理流程和责任追究制度。

8.外部人员的管理规范外部人员在企业内部的访问和使用权限，加强外部人员的管理和监控。

9.信息安全意识培训组织定期的信息安全知识培训，提高员工对信息安全的认知和防范意识。

10.信息安全事件管理与应急预案建立信息安全事件管理制度和相应的应急预案，确保在信息安全事件发生时能够及时有效地应对和处理。

三、保密制度的执行1.制度宣传和培训对保密制度进行广泛宣传，让全体员工了解制度内容和意义，并组织定期的培训，提高员工的执行力和遵守度。

2.监督与检查建立信息安全责任人和监督机构，对保密制度的执行情况进行监督和检查，发现问题及时进行整改。

公司信息保密制度范本第一条目的为保守公司秘密，维护公司权益，特制订本制度。

第二条范围适用于本公司秘密信息的管理。

第三条权责本制度由办公室负责解释。

第四条定义公司秘密是指关系到公司权利和利益，依照特定程序确定，在一定时间内只限一定范围的人员知悉的事项。

第五条管理要求1、原则⑴公司员工都有保守公司秘密的义务。

⑵公司保密工作，实行既确保秘密又便利工作的方针。

⑶对保守、保护公司秘密以及改进保密技术、措施等方面成绩显著的部门或员工实行奖励。

2、保密范围和密级规定⑴公司秘密包括下列秘密事项：①公司重大决策中的秘密事项；②公司尚未付诸实施的经营战略、经营方向、经营规划、经营项目及经营决策；③公司内部掌握的合同、协议、意见书及可行性报告、主要会议记录、纪要；④公司财务预决算报告及各类财务报表、统计报表。

⑤公司所掌握的尚未进入市场或尚未公开的各类信息；⑥公司的技术资料；⑦公司员工人事档案，工资性、劳务性收入及资料；⑧其他公司确保应当保密的其他事项。

注。

一般性决议、决定、通知、通告、行政管理资料等内部文件不属于保密范围。

(2)公司秘密的密级划分①公司秘密的密级分为。

“绝密”“机密”“秘密”三级。

②绝密是最重要的公司秘密，泄露会使公司的权益和利益遭受特别严重的损害；机密是重要的公司秘密，泄露会使公司权益和利益遭受严重损害；秘密是一般的公司秘密，泄露会使公司的权益和利益遭受损失。

(3)公司密级的确定①公司经营发展中，直接影响公司权益和利益的重要决策文件资料为绝密级；②公司发展规划、财务报表、统计资料、重要会议记录、公司经营情况为机密级；③公司人事档案、合同、公司的技术资料；④属于公司秘密的文件、资料，应当依据本制度的规定标明密级，并确定保密期限，保密期限届满，自行解密。

3、保密措施(1)口头信息保密规定①不要在公司内部或外部谈论有关单位的保密信息，包括对其他工作人员、客户、朋友或亲属。

②在没有确认对方身份和是否被授权获得信息之前，不要通过电话、手机给出保密信息；③只向来访者提供非保密信息，若超出范围，需经主管领导批准；④遵照会议的要求传达会议信息。

信息资产的分类和标识管理办法
1 总则
1.1为加强信息资产的管理，掌握信息资产状态，明确信息资产的使用方法、保存方式，提高信息资产的利用率，特制订本办法。

1.2本办法适用于信息系统的信息资产的管理。

2 定义
2.1信息资产是指在生产、经营和管理过程中，所需要的以及所产生的支持（或指导、影响）生产、经营和管理一切有用的数据和资料等非财务的无形资产，具体包括：
2.2信息资产的密级。

根据信息的敏感度不同，信息资产的密级分为机密信息、秘密信息、对内公开信息、对外公开信息，各信息资产密级见附件1。

2.3信息资产的存放形式。

根椐信息的存储介质不同，信息资产的存放形式分为电子介质、纸介质以及其他介质，各信息资产存放形式见附件2。

3 信息资产访问控制权限
信息资产的访问控制权限见附件3。

4 信息资产数据保护
信息资产的数据保护要求见附件4。

5 信息资产管理与使用
5.1信息资产的存放应立足于管理和安全考虑，尽量以电子介质的形式存储。

5.2信息资产存放地点要求
5.3信息资产存储介质使用控制要求
6 附则
6.1本办法由信xi中心负责解释。

6.2本办法自发布之日起试行。

附件1
信息资产密级
信息资产存放形式
信息资产访问控制权限
附件4
信息资产数据保护要求。

精心整理信息资产管理办法第一章总则第一条目的：本管理办法旨在对XX银行（以下简称我行）内部重要的信息资产进行分类分级，以便对信息的分发和流转进行恰当的控制，确保信息资产的保密性、完整性和可用性能够实现。

第六条全体员工理解并遵守本管理办法定义的内容。

第七条本管理办法定义以下相关角色，履行相应的信息安全管理、执行和审核职责。

（一）责任人，信息资产的创建者，或者主要用户所在组织、单位或部门的负责人。

信息资产责任人对所属信息资产负直接责任。

其主要职责包括：1、理解和各种信息访问活动相关的安全风险；2、根据我行信息密级划分标准来确定所属信息资产的级别；3、根据我行相关策略确定并检查信息访问权限；4、针对所属信息资产提出恰当的保护措施。

（二）保管者，受信息资产责任人委托，对信息资产进行日常的管理，维护已经建立的保护措施。

资产保管者通常是我行的IT部门或者代表（例如系统管理员）。

第八条信息资产分类信息资产责任人应该指导进行相关资产的调查，资产调查以业务流程为线索，包括各类输入、中间环节和输出信息，所有这些信息资产都为业务流程的运转提供支持。

信息资产可以分为以下几大类。

（一）数据文件，通常包括各种电子档：业务数据、客户数据、配置文件、记录数据（日志、审计记录）、管理文件（策略、流程文件、操作手册等）、商务文件（合同、协议等）。

也包括以实物方式存在的资产：各类电子数据的归档、打印件、书面管理文件、业务报表、包含重要商业成果的文件，还有胶片等。

（二）软件资产，各种系统软件、应用软件（OA、业务软件等）和工具软件（开不是以资产的经济价值来衡量，而是由资产在这三个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的。

安全属性达成程度的不同将使资产具有不同的价值，而资产面临的威胁、存在的脆弱性、以及已采用的安全措施都将对资产安全属性的达成程度产生影响。

（一）保密性赋值根据资产在保密性上的不同要求，将其分为五个不同的等级，分别对应资产在保密性上应达成的不同程度或者保密性缺失时对整个组织的影响。

信息系统、信息设备和保密设施设备管理制度1.信息系统、信息设备和保密设施设备管理总则1为了加强公司涉密计算机信息系统、信息设备的保密管理,防止和杜绝失泄密事件的发生,确保国家秘密安全,根据中华人民共和国保守国家秘密法、保密工作概论、保密法规等国家有关规定,结合公司实际,特制定本制度.2公司涉密计算机信息系统为单机涉密计算机信息系统,保密管理实行“控制源头、归口管理、逐级负责、确保安全”的原则.3本规定适用于使用公司涉密计算机信息系统的部门和个人.4本制度所称涉密计算机是指公司所属各部门按照本规定明确的程序,经过申报、登记、审定,并在公司保密办公室备案的计算机.信息系统是由计算机及其配套设备、设施构成,按照一定的应用目标和规则存储、处理、传输信息的系统或网络.信息设备是指计算机及其存储介质、打印机、传真机、复印机、扫描仪、照相机、摄像机等具有信息存储和处理功能的设备.2.责任分工1公司技术部经理负责涉密信息系统、信息设备的保密安全管理工作.涉密信息系统、信息设备的使用部门指定专人负责本部门计算机信息系统安全保密管理,对本部门涉密信息系统的安全保密负主要责任.2公司保密办公室负责公司涉密信息系统、信息设备安全保密工作的指导、协调、监督、检查以及对失泄密事件的查处.3公司保密办公室设密钥管理员负责公司涉密信息系统、信息设备内部密码密钥的生成、分配和保密管理工作.4公司各涉密部门需设系统管理员、安全保密员,按有关保密规定和要求负责公司涉密计算机的管理及其设备的日常维护和维修工作,具体落实有关涉密计算机、信息设备的安全保密管理规定和措施.3.涉密计算机的确定及变更1公司涉密计算机实行申报登记制度.凡涉及国家秘密的单位拟用于处理国家秘密信息的计算机、涉密信息系统必须经过申报、登记、审定,并在公司保密办公室备案.凡未进行申报登记的计算机均属非涉密计算机,非涉密计算机及其信息系统严禁存储、处理、发布、传递国家秘密信息.2申报登记涉密计算机,由计算机的主要使用人填写涉密计算机审批表,经所在部门审核,并由部门保密主管领导签署意见后,报公司保密工作领导小组审定.3公司保密办公室依据有关法规及标准,对各部门申报计算机的性能状况、环境状况、管理措施等进行审核.对符合各项标准要求的,确定为公司涉密计算机,并核发全公司统一编制的涉密计算机编号.4经审核对不符合国家和上级保密主管部门规定的性能配置、放置环境、管理措施等保密要求,不能确保国家秘密信息安全的计算机,不能确定为涉密计算机.公司保密工作领导小组要提出改进意见,并将涉密计算机审批表退回申报部门.5涉密计算机的密级,按照处理国家秘密信息的最高密级确定.经确定的涉密计算机变更为非涉密计算机或变更密级,由使用人填写涉密计算机变更审批表,按照涉密计算机申报登记程序,报公司保密办公室.6公司保密办公室对申请变更为非涉密计算机进行检查,收回硬盘,到具有处理资质的单位进行集中销毁,确认计算机内不包含任何形式的国家秘密信息后,批准变更,并注销涉密计算机编号.4.管理制度公司涉密信息系统、信息设备的保密管理遵循“业务谁主管、保密谁负责”、“谁使用、谁负责”的原则,明确制度、分清职责、分级管理、逐级落实.各部门主管领导负责本部门涉密计算机的保密管理工作,并负有领导责任.同时,要指定人员具体负责涉密计算机的保密管理工作.公司保密办公室对全公司涉密计算机的保密工作进行指导、协调、监督和检查.并负责培训涉密计算机安全保密管理人员,查处相关泄密案件.涉密信息系统的规划、建设、使用应当符合国家有关保密规定.涉密信息系统应当按照国家保密规定和标准,制定分级保护方案,采取身份鉴别、访问控制、安全审计、边界安全防护、信息流转控制等安全保密防护措施.涉密信息设备应当符合国家保密标准,有密级、编号、责任人标识,并建立管理台账.涉密计算机、移动存储介质应当按照存储、处理信息的最高密级进行管理与防护.1涉密计算机的管理制度：a涉密计算机要专机专用.每台涉密计算机均须确定专人使用并负责日常管理,并明确使用人员及使用手续；并在计算机主机及显示器正面左上角位置粘贴标签,注明其编号,使用人姓名,密级等主要信息.在使用,管理,维护等方面要严格区别于非涉密计算机,禁止混用.b公司涉密计算机根据需处理的涉密信息的涉密等级分别按机密级或秘密级进行管理,其登陆识别技术必须采用以下三种方式之一：生理特征识别如指纹识别；数字证书机制；密码口令.密码口令长度不得少于十个字符,定期更换,采用大小写英文字母、数字和特殊字符等两者以上的组合.密码钥应与计算机分离,妥善保管.c长时间离开终端时,客户端计算机应退出工作状态或关机.下班后必须关机.涉密计算机待机时间超过15分钟后,计算机应具备屏幕保护措施,在恢复使用时应有身份识别屏保机制.d涉密计算机要按照国家保密局发布的BMZ1一2000涉及国家秘密的计算机信息系统保密技术要求规定,设置密码,处理秘密级信息,口令长度不得少于8个字符,更换周期不得长于一个月,处理机密级信息,口令长度不得少于10个字符,更换周期不得长于一周;处理绝密级信息采用一次性口令或生理特征等强身份鉴别措施,口令长度不得少于12个字符,采用大小写英文字母、数字和字符中两者以上的组合.e涉密计算机内存储的国家秘密信息输出时,接受输出信息的载体均要按照相关涉密载体的保密管理规定进行管理.f禁止超越计算机、移动存储介质的涉密等级存储、处理涉密信息.g禁止在涉密计算机和非涉密计算机之间交叉使用移动存储介质.h禁止在涉密计算机与非涉密计算机之间共用打印机、扫描仪等信息设备.i在涉密计算机信息系统中产生、存储、传递、复制备份、归档的涉密信息必须按相应密级的文件进行管理.严格控制客户终端下载、复制、打印涉密信息.因工作需要打印机、传真机输出的涉密信息含过程涉密文件应按同等密级文件管理.j涉密计算机在使用中发现已被病毒感染,应立即停止使用,并通知技术部.同时对感染病毒的计算机、存储介质进行隔离和杀毒处理,及时升级病毒和恶意代码样本库,定期进行病毒和恶意代码查杀.k涉密计算机及移动存储介质携带外出时应填写涉密计算机及存储介质携带外出审批表,履行审批手续,审批通过后方可带出并做相应的登记.带出前后,均应当进行保密检查,并填写相应的表格.l涉密计算机的维修应在公司内部进行,并由本部门兼职保密员现场监督,严禁维修人员读取或复制涉密信息,确需送外维修的,须拆除涉密信息存储部件.涉密存储介指的数据恢复应当到国家保密行政管理部门批准的单位进行.m涉密计算机的报废,要首先办理涉密计算机的变更手续,经批准变更后方可办理报废手续.并应送到保密办公室指定的销毁同机构.n加强涉密室的管理,减少无关人员进入.要按照公司安全保卫的有关规定,采取严格的防盗措施,防止涉密计算机丢失.电磁辐射泄漏超标的涉密计算机,必须安装电磁干扰器.o任何部门和个人发现涉密计算机所处理的国家秘密信息泄露,应及时采取补救措施,并报告公司保密办公室.2涉密信息系统的管理制度：a禁止涉密信息设备接入互联网及其他公共信息网络.b禁止涉密信息设备接入内部非涉密信息系统.c禁止使用非涉密信息设备和个人设备存储、处理涉密信息.d公司任何部门和个人未经本部门领导审批,不得在电子公告板、聊天室等发布、谈论涉密信息.e不得随意更改终端软件、系统软件设置和硬件连接与配置.在使用中,发现系统出现异常,应及时向技术部报告,严禁擅自进行更改.f公司采购的安全保密产品应当选用经过国家保密行政管理部门授权机构检测、符合国家保密标准要求的产品,计算机病毒防护产品应当选用公安机关批准的国产产品,密码产品应当选用国家密码管理部门批准的产品.g司涉密信息系统按“专网专机、专机专用”的原则配备计算机,严禁配置调制解调器、无线网卡等网络外联设备.涉密计算机及办公自动化设备应当拆除具有无线联网功能的硬件模块,禁止使用具有无线互联功能或配备无线键盘、无线鼠标等无线外围装置的信息设备处理国家秘密.h涉密计算机及与之相连的打印机等设备使用时必须使用统一配置的红黑隔离保护插座供电.i公司技术部负责公司涉密计算机信息系统设备的日常管理和维护工作,维修工作由保密办公室监督进行；涉密信息设备改作非涉密信息设备使用或淘汰处理时,应当将涉密信息存储部件拆除.j公司各部门要将涉密信息系统、信息设备保密管理工作纳入公司涉密人员补贴考核发放的主要内容之一.k公司涉密人员公司内调动、退休、调离或因借调、返聘期满等原因离开公司的,除按涉密人员管理制度办理相应手续外,所在部门应及时填写涉密计算机变更审批表,经部门领导同意后,由本部门涉密计算机负责人对其使用的涉密计算机进行非密化处理,并报公司保密办公室备案.l发现有恶意攻击、黑客侵袭、病毒危害、网上窃密及破坏、电磁攻击以及其他重大破坏活动或预兆时,应立即报告保密办等有关部门,及时采取相应的应急措施.3涉密通信及办公自动化设备的管理制度：a严禁在无保密措施的有线、无线通讯中涉及国家秘密事项,严禁通过无任何保密措施的通信设备传递国家秘密信息.b各涉密部门在安装办公电话时,严禁使用无绳、子母电话机.公司各部门领导要高度重视使用手机的保密管理,提高防范意识,严格执行手机使用保密管理规定试行中办发200529号和本制度.c公司禁止使用普通手机谈论、传递涉密项目开发情况、生产试验情况及公司内部工作或商业秘密,禁止将手机带入谈论涉及国家秘密事项的场所.d召开涉密会议时,必须使用会议保密机手机信号屏蔽器.机密级以上的涉密会议严禁带手机.e通信设备管理人员在聘用前应进行严格审查,并由单位保密责任人定期进行保密教育.内部通信网络的构成、线路路由、保密措施等,不得向无关人员泄露.f来公司参观访问、讲学、交流的境外人员因特殊情况需要使用公司的电话机、传真机等通信设备时,须由负责接待的部门派人陪同.必要时应告知保密办公室采取相应的管理措施.g不得将手机等移动终端作为涉密信息设备使用或与涉密信息设备及载体连接.h涉密人员严禁在申请手机号码、注册手机邮箱或开通其他功能室填写单位名称和地址等信息,不得在手机中存储核心涉密人员的工作单位、职务等敏感信息,不得启用手机的远程数据同步功能.i核心涉密人员、重要涉密人员使用的手机应经过必要的安全检查,尽可能配备和使用专用手机,不得使用未经入网许可的手机和开通位置服务、连接互联网等功能的手机.j核心涉密人员、重要涉密人员的手机出现故障或发现异常情况时应立即报告,并在指定地点维修.无法恢复使用的手机应按涉密器材销毁.k涉密办公室用的计算机及办公室自动化设备打印机、刻录机的采购,按照公司正常采购流程办理,在做固定资产之前到保密办公室进行登记；已购置的计算机及办公室自动化设备要作为涉密用的,在变更之前到保密办公室进行登记.l涉密计算机及办公室自动化设备由保密工作领导小组确认专人使用,机器明确标识使用人姓名并登记入册.使用人发生变化时,应报保密工作领导小组审核,审核通过后进行变更.m公司各部门管理使用的普通传真机严禁传送涉密文件、资料等秘密载体.n复印机指定专人操作和管理,建立岗位保密责任制,复印机、打印机实行严格审批制度,严禁擅自复印、打印内部信息文件及涉密文件.o复印、打印的内部信息文件、涉密文件、资料必须按照公司国家秘密载体保密管理制度,按照秘密级由项目负责人审批,经保密办公室备案,机密级由保密办公室主任负责审批的原则.经保密办公室主任备案或审批后,到公司涉密室指定机器打印,从而实现归口管理.严禁复印绝密级文件、资料.p复印机密级、秘密级文件、资料,填写涉密文件资料复印审批单,经公司保密办公室主任审核,批准,方可执行.涉密文件资料的制发部门或单位已经明确告知制发的文件、资料不得复印的,严禁复印.复印涉密文件、图纸资料等,须即送即印.公司指定复印机的复印人应填写涉密文件资料复印登记表对复印日期、原件收发文号、原件名称、密级、复印件份数、页数等严格编号、登记,将复制原件和复印件交原件管理部门,履行签收手续.q打印申请人应认真填写涉密文件资料打印审批单、涉密文件资料打印登记表,填写打印日期、文件编号、文件名称、密级、打印用途、打印件份数等,并且进行登记.r办公自动化设备及介质维修时,填写涉密办公自动化维修、销毁审批单,涉密介质维修、销毁审批单写明维修及销毁原因,由保密办负责人、保密工作领导小组、公司负责人审核前后,方可进行.维修时,需要先拆除存储部件并由授权人员全程陪同.需要拿到外部修理的,需要授权人员全程跟随,并做好相关登记.报废的办公自动化设备及介质应送到保密办公室指定的销毁机构.5.奖惩制度对在公司涉密计算机信息系统保密管理工作中做出显着成绩的部门和个人,按照保密工作考核与奖惩制度给予奖励.对违反本规定或发生失泄密事件的直接责任者,按照保密工作考核与奖惩制度有关规定给予通报批评或行政处分,直至开除公职,同时给予经济处罚；触犯国家法律的,依法追究有关人员的法律责任.。

信息资产分类及安全管理规定第一章.总则第一条.本规定是为加强对信息中心信息资产的管理，保障信息资产安全，防止信息资产损毁、误用和非授权访问，确保信息资产的保密性、完整性和可用性，特制订本规定。

第二条.本规定适用于信息中心针对信息资产进行分级分类保护以及相应的管理活动。

第三条.信息中心负责对IT资产的日常管理。

第二章.管理规定第一节.信息资产分类第四条.所有信息资产都应指定资产责任人，并由资产责任人负责进行相关资产的识别、统计、分类、分级和实施相应的保护措施，需从安全责任划分资产所有者（即资产责任人）、维护者以及使用者。

第五条.信息资产按形式不同可以分为五类：数据和文档资产、软件资产、实物资产、人员资产和服务资产。

其中数据和文档资产主要包括业务数据和记录、各类管理制度、管理文档、办公文档以及外来的数据文件等。

具体如下：（一）数据和文档资产：通常包括各种电子档：业务数据、客户数据、配置文件、记录数据（日志、审计记录）、管理文件（策略、流程文件、操作手册等）、商务文件（合同、协议等）以及外来数据文件等。

也包括以实物方式存在的资产：各类电子数据的归档、打印件、书面管理文件、业务报表、包含重要商业成果的文件，还有胶片等。

（二）软件资产：各种系统软件、应用软件（OA、业务软件等）和工具软件（网管软件、安全软件等），包括操作系统、数据可应用程序、网络软件、办公应用系统、业务应用系统等，这些软件资产负责处理、存储或传输各类信息。

（三）实物资产：与业务相关的 IT 物理设备，包括计算机（工作站和服务器等）和网络通信设备、磁介质（磁带和磁盘等）、装置、环境等，这些实物资产容纳着软件和数据文件。

（四）人员资产：承担某项与业务活动相关责任的角色和职位。

例如普通用户、系统管理员、网络管理员、有合同约束的保安、清洁员等，这些人员与各类数据、软件和实物资产的操作直接相关。

（五）服务资产：安保（例如监控、门禁、保安等），环境服务（例如清洁），基础保障（供水、供热、供电），设备维护，通信服务（例如互联网接入）。

文件制修订记录1、目的为加强对本公司信息资产的管理，保障信息资产安全，制定本程序。

2、适用范围本公司的信息资产可分为以下七类资产：●硬件类资产：包括网络设备、服务器、主机、传输线路/设备、空调、打印/复印机、传真机、碎纸机、投影仪等等。

●软件类资产：包括应用软件、操作系统、数据库、开发工具和实用程序等软件。

●信息类资产：包括配置信息、帐户权限信息、口令信息、系统各类文档、源代码和安装包等。

●人员类资产：包括内部人员和外部人员。

●环境设施类资产：如保险柜、文件柜、空调、UPS等。

●外购服务类资产：包括供电、通讯、保洁、快递服务、IT服务、网站托管等。

●无形类资产：包括声誉和形象、业务和技术经验等。

3、定义信息：有价值的符号、数据、图片和语音，它能够被企业创建、使用、处理、存储及传输。

信息是必须依赖介质存在。

信息资产：与信息相关且对企业有价值，信息资产包括在信息收集、输入、传输、处理、输出和存储中产生的数据、使用的工具和服务、承载的介质及处理和使用的人员，如：计算机硬件、通信设施、运行环境、数据库、软件、文档资料、信息服务和人员等。

4、岗位职责5.1 机密性分类方法制定信息资产机密性分类方法是为了帮助本公司员工和全体外部人员判断哪些信息资产属于敏感信息资产，以便更好地加以保护。

机密性即机密性。

全体员工应当熟悉本规定所确定的信息资产分类及标识办法，及敏感信息管理指南。

员工可以根据分类定义标准和管理指南来保护信息资产，另一方面也可以采用通用最佳实践的办法来保护组织的敏感信息。

信息资产的机密性进行分类如下：知道某种特定信息的机密性程度，默认情况下至少按"内部使用"的保护办法来对待。

5.2信息资产的使用管理5.2.1硬件类和环境设施类资产的使用硬件类和环境设施类资产的接收和发出按本公司固定资产管理方面的控制程序执行；供应商送货到本公司后，接收人员对货物的品牌、型号、数量、包装和送货单据等核对无误后，在送单据上签收确认；领用时，发放人员要对领用情况进行登记，并由领用人员签字。

信息资产密级管理规定 Company number：【WTUT-WT88Y-W8BBGB-BWYTT-19998】信息资产密级管理规定1目的确保公司营运利益，并防止与公司营运相关的保密信息泄漏。

2范围本办法适用于公司所有员工。

3保密信息定义保密信息指与公司营运相关且列入机密等级管理的相关信息。

4秘密等级区分机密等级分为绝密、机密、秘密、内控、公开五类，区分标准如下：1) 绝密：凡该信息泄漏后，足以严重损害木公司利益、影响木公司发展生存，使竞争对手因而取得领先地位，相对降低木公司竞争力的。

2) 机密：凡该信息泄漏后，足以严重损害木公司各事业群体利益或有利于内外部竞争的。

3) 秘密：凡该信息泄漏后，足以严重损害木公司利益或有利于竞争对手的。

4) 内控：凡该信息泄漏后，虽不致直接影响木公司利益，但可能对本公司经营管理造成困扰，需限制其阅读对象的。

5) 公开：指可对社会公开的信息，公用的信息处理设备和系统资源。

5 信息的分类信息资产的分类可参见附件“信息分类表”。

如未列入分类表的信息资产，可依照下面的原则进行判断：1) 绝密，由信息保管单位主管建议，经总经理级以上主管判定。

2) 机密，由信息保管单位处级主管自行判定。

3) 秘密，由信息保管单位主管判定，且至少须为部级以上主管。

4) 内控，由保密信息保管单位自行判定。

6 保密文件的标识1) 文件类的信息在判定等级后，加盖印章于文件及附件各页右上角或其它明显处。

如页数太多，得酌情抽页盖骑缝章。

但绝密级信息应予编码管控。

2) 非文件类的保密信息，包括档案、电子邮件、投影片等，于判定等级后，应于资料传送/显示前告知使用人或相关人员该项信息的密级。

3) 印章由行政部统一刻制，发放给各个部门使用。

7 传送内部传送7. 绝密：保密信息保管单位应自行控管印刷形式的保密信息，记录发送保密信息的内容、编号、接收者的单位及姓名，并于内部传送时，将保密信息密封后注明机密等级，再装入传递袋中巾专人传递至收件人，并请收件人于登记簿上签收；以电子邮件方式传递时，应将信息加密。

文件制修订记录1、范围为更好地管理客户（合作方）和本公司在服务、技术、经营等活动中产生的各类信息，防止因不恰当使用或泄漏,使本公司蒙受经济损失或法律纠纷，特制定本管理规程。

本标准规定了信息密级划分、标注及处理控制目标和控制方式。

2、规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。

凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励各部门研究是否可使用这些文件的最新版本。

凡是不注日期的引用文件，其最新版本适用于本标准。

·ISO/IEC27001:2022《信息安全、网络安全和隐私保护信息安全管理体系要求》·ISO/IEC27002:2022《信息技术网络安全与隐私保护信息安全控制》3、术语和定义所有ISO/IEC27001:2022《信息安全、网络安全和隐私保护信息安全管理体系要求》和ISO/IEC27002:2022《信息技术网络安全与隐私保护信息安全控制》规定的术语适用于本文件。

4、职责和权限4.1管理运营部管理运营部负责对公司机密文件、信息的实施及监督检查工作，负责信息密级划分、标注及处理控制，负责保密制度的制订、保密会议的组织。

4.2各部门各部门负责对本部门机密文件、资料、信息的管理工作。

5、活动描述5.1密级的分类信息的密级分为3类：企业秘密事项（秘密）、内部控制事项（敏感）和公开事项（公开）。

信息分类定义：A)“秘密”：《中华人民共和国保守国家秘密法》中指定的秘密事项；或不可对外公开、若泄露或被篡改会对本公司的日常经营造成严重损害，或者由于业务上的需要仅限有关人员知道的事项；介质包括但不限于：纸类、电磁类及其它媒体（纸张、软盘、硬盘、光盘、磁带、胶片）。

B)“敏感”：不可对外公开、若泄露或被篡改会对本公司的日常经营造成损害，或者由于业务上的需要仅限有关人员知道的事项；或是指为了日常的业务能顺利进行而向公司员工公开、但不可向公司以外人员随意公开的事项。

信息资产安全管理规定第一章 总则第一条 为规范科技发展部信息资产的分类分级管理，维护信息资产清单、明确信息资产管理责任以及对信息资产进行标识，确保信息资产得到适当的保护，特制定本规定。

第二条 本规定适用于科技发展部职责范围内的所有信息资产以及信息资产管理的相关活动。

第二章 组织与职责第三条 科技发展部风险管理组负责组织各部门对信息资产进行识别、分类、分级、标识和定期评审，建立并维护科技发展部整体信息资产清单，监督各部门在信息资产安全管理方面的工作。

第四条 各部门安全组负责监督和检查本部门在信息资产安全管理方面的工作。

第五条 各部门负责对职责范围内的信息资产进行识别，建立并维护本部门的信息资产清单，对信息资产进行分类、分级和标识；部门负责人作为本部门信息资产的第一责任人，负责对本部门信息资产的管理提出要求，落实部门内员工对资产的管理要求，每年对照信息资产清单组织一次对本部门信息资产的核查以及对本部门信息资产管理活动的自查。

第六条 部门负责人作为本部门信息资产的第一责任人，负责落实本部门内信息资产的直接责任人，信息资产的直接责任人负责对信息资产的生成、传递、使用和销毁进行管理。

第七条 全体员工作为各类信息资产的日常使用者，必须遵守本规定的要求，保护工作中所涉及的一切信息资产。

第三章 信息资产分类标准第八条 信息资产按其形式的不同分为五大类：数据资产、实物资产、软件资产、人员资产和服务资产（资产分类见附件二）。

（一） 数据资产：包括电子和实物两种形式的生产数据、配置文件、记录、管理文件和商务文件以及外来数据和文档等；（二） 实物资产：包括用于支撑IT服务的核心生产设备以及具有辅助功能的基础环境设施和办公设备等；（三） 软件资产：包括生产和办公所需的操作系统、数据库、中间件、应用软件和工具软件等；（四） 人员资产：承担特定岗位相关责任的人员；（五） 服务资产：包括支撑生产和办公的基础性服务、网络服务、设备维保服务、技术支持服务等。

信息安全管理规范和保密制度XXX信息安全管理规范和保密制度第一章总则为了保障公司信息资产安全，规范操作流程，明确员工岗位职责，制定本制度。

本制度适用于公司所有员工。

第二章电子邮件管理制度行政人力部必须在员工入职三天内，向员工分配企业邮箱的个人用户名和密码，并告知使用方法。

公司邮箱账户仅限本人使用，禁止转借或借用他人账户。

员工必须及时修改初始密码，并且在使用中定期（最多3个月）修改邮箱密码，以防他人利用。

密码至少为8位，且需包含字母、数字、特殊符号等至少两种组合。

用户需自行承担因邮箱密码泄露造成的损失责任。

员工的对外往来的公务邮件，原则上必须使用公司统一后缀的邮箱；对外往来的私人邮件则不允许使用公司统一后缀的邮箱。

禁止非工作用途将邮箱账户公布在外部INTERNET网上。

公务用邮件时，必须使用含有以下字样的个人签名：“声明：您有义务对本邮件内容进行保密，未经书面允许不可私自复制、转发、散布。

”收到危害社会安定的邮件，应及时删除，严禁转发或点击相应链接。

若因此造成不良影响或损失，用户需自行承担责任。

管理员发现类似现象的有权封锁相关邮件账户。

发现邮件感染病毒，应立刻将计算机断开公司网络，并使用相应软件进行杀毒。

发送带有公司涉密信息的邮件，发件人必须先经部门领导同意（若是绝密级别，需经公司领导同意），并将涉密信息加密处理后方可发送；否则视情节严重程度予以处理。

员工离职时，根据需要交由部门专人监管一个月，后由行政人力部注销。

违反以上电子邮件管理规定，根据情节轻重，最低经济处罚50元（由人力资源部门商定），并交由行政人力部处理。

情节特别严重者将移交国家司法机关，追究法律责任。

第三章数据安全管理制度为保证存储商业机密的计算机、文件、光盘等不会轻易泄露，公司对涉及技术及商业机密的文件、光盘等实行专人管理、借阅登记的制度。

同时，储存涉及技术及商业机密的计算机均应进行CMOS加密及屏幕保护加密。

此两项密码除使用者本人拥有外，应向本部门经理备份，不得泄密给其他部门或个人。

IT项目资产密级分类说明
1目的
明确IT项目资产的密级划分，及管理要求，确保IT项目资产安全合理的使用。

2密级分类
(1)绝密
包含公司核心技术资料、战略投资信息、或未公开的重要决策信息等，一旦泄露将对企业造成致命伤害的，判定为绝密类文件。

比如：战略投资规划。

(2)机密
包含公司重要技术信息、商业信息、专利内容信息、生产经营情况相关的内容，一旦泄露将对企业造成重大伤害或经济损失的，判定为机密类文件。

比如：软件代码、经营数据、合同文本。

(3)秘密
包含项目级相关的项目技术文档、管理文档，工作标准流程等仅限内部使用的文件，一旦泄露将对企业造成轻微影响的，判定为秘密文件。

比如：项目进度计划、项目启动管理规范。

(4)公开
无密级要求，可以公开给公司内和公司外人员获知和传阅的内容，判定为公开类文件。

比如：公司介绍、公司荣誉。

3密级使用
根据IT项目资产密级分类不同，需分别明确对应的人员访问范围、操作权限和文件获取方式。

1/1。

资产评估保密管理制度第一章总则第一条为加强对资产评估工作的保密管理，保障资产评估过程中的信息安全，根据相关法律法规和规章制度，结合本单位实际情况，特制定本制度。

第二条本制度适用于本单位所有资产评估活动，规范资产评估过程中信息的保密工作。

第三条本单位资产评估工作应保持独立、客观、公正和保密性原则，确保评估结果真实、准确。

第四条本单位应当建立健全保密管理组织机构和相关保密管理制度，明确保密管理的责任部门和具体人员，统一领导，分工协作。

第五条本单位应当配齐保密管理人员，保密管理人员应当接受保密管理培训，在工作中积极履行保密管理的责任，保护资产评估信息的安全。

第六条本单位应当利用先进的保密技术手段，建立完善的信息保障系统，防范外部黑客攻击和泄密风险。

第七条本单位应当建立健全各类安全控制措施，保障资产评估信息系统的安全运行，对重要信息进行密级、分级保护，严格控制信息的传输和使用。

第八条本单位应当建立健全安全监督和检查机制，及时发现和纠正安全隐患，确保资产评估信息的安全。

第九条本制度自颁布之日起施行。

第二章保密管理的责任第十条保密管理的领导责任属于本单位领导，负责制定保密方针和保密措施，指导、监督和检查保密管理工作。

第十一条保密管理的具体责任由保密管理部门负责，负责制定年度保密计划，开展保密培训，制定相应的保密管理制度，并负责执行。

第十二条各部门应当按照保密管理部门的要求，积极配合保密管理工作，严格按照保密规定进行操作。

第十三条任何涉及资产评估信息的管理人员必须严格履行保密义务，不得泄露涉密信息，不得私自调取、使用资产评估信息。

第十四条保密管理部门应当对相关管理人员开展不定期的保密检查，发现违规行为及时处理并通报领导。

第三章保密管理的措施第十五条本单位应当建立资产评估信息的保密档案，对所有参与资产评估工作的人员建立保密档案，记录其相关信息。

第十六条所有涉密资产评估信息均应当进行分类管理，设置不同的密级，建立信息安全管理和使用权限制度。

信息资产管理办法第一章总则第一条目的：本管理办法旨在对XX银行(以下简称我行）内部重要的信息资产进行分类分级，以便对信息的分发和流转进行恰当的控制，确保信息资产的保密性、完整性和可用性能够实现。

第二条依据：本管理办法根据《XX银行信息安全管理策略》制订。

第三条范围：本管理办法适用于我行总部及所辖分、支行.第四条定义（一）本管理办法所涉及的信息包括各种存储或者存在形式,包括但不限于电子信息、纸质数据文件、语音和图像等。

(二）本管理办法所称信息是指以任何形式存在或传播的对我行具有价值的内容，包括电子信息、纸质数据文件、语音图像等。

信息安全关注的是信息的保密性、可用性和完整性。

（三）本管理办法所称信息资产是指任何对我行具有价值的信息的存在形式或者载体，包括计算机硬件、通信设施、IT环境、数据库、软件、文档资料、信息服务和人员等,所有这些资产都需要妥善保护。

第二章组织与管理第五条我行各部门负责人是本部门信息资产管理的第一责任人,负责组织本管理办法的贯彻落实.第六条全体员工理解并遵守本管理办法定义的内容。

第七条本管理办法定义以下相关角色，履行相应的信息安全管理、执行和审核职责。

（一）责任人，信息资产的创建者，或者主要用户所在组织、单位或部门的负责人。

信息资产责任人对所属信息资产负直接责任。

其主要职责包括：1、理解和各种信息访问活动相关的安全风险；2、根据我行信息密级划分标准来确定所属信息资产的级别；3、根据我行相关策略确定并检查信息访问权限;4、针对所属信息资产提出恰当的保护措施。

（二）保管者，受信息资产责任人委托，对信息资产进行日常的管理，维护已经建立的保护措施.资产保管者通常是我行的IT部门或者代表（例如系统管理员).其主要职责包括：1、根据相关策略和信息资产责任人的要求，负责信息资产的维护操作和日常管理事务；2、负责具体设置信息访问权限；3、负责所管理的信息资产的安全控制;4、部署恰当的安全机制，进行备份和恢复操作；5、按照信息资产责任人的要求实施其他控制。