信息资产密级管理规范
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息资产密级管理规范
(ISO27001-2013)
1、目的
确保公司营运利益,并防止与公司营运相关的保密信息泄漏。
2、范围
本办法适用于公司所有员工。
3、保密信息定义
保密信息指与公司营运相关且列入机密等级管理的相关信息。
4、秘密等级区分
机密等级分为绝密、机密、秘密、内控、公开五类,区分标准如下:
1) 绝密:凡该信息泄漏后,足以严重损害木公司利益、影响木公司发展生存,使竞争对手因而取得领先地位,相对降低木公司竞争力的。
2) 机密:凡该信息泄漏后,足以严重损害木公司各事业群体利益或有利于内外部竞争的。
3) 秘密:凡该信息泄漏后,足以严重损害木公司利益或有利于竞争对手的。
4) 内控:凡该信息泄漏后,虽不致直接影响木公司利益,但可能对本公司经营管理造成困扰,需限制其阅读对象的。
5) 公开:指可对社会公开的信息,公用的信息处理设备和系统资源。
5、信息的分类
信息资产的分类可参见附件“信息分类表”。如未列入分类表的信息资产,可依照下面的原则进行判断:
1) 绝密,由信息保管单位主管建议,经总经理级以上主管判定。
2) 机密,由信息保管单位处级主管自行判定。
3) 秘密,由信息保管单位主管判定,且至少须为部级以上主管。
4) 内控,由保密信息保管单位自行判定。
6、保密文件的标识
1) 文件类的信息在判定等级后,加盖印章于文件及附件各页右上角或其它明显处。如页数太多,得酌情抽页盖骑缝章。但绝密级信息应予编码管控。
2) 非文件类的保密信息,包括档案、电子邮件、投影片等,于判定等级后,应于资料传送/显示前告知使用人或相关人员该项信息的密级。
3) 印章由行政部统一刻制,发放给各个部门使用。
7、传送
7.1内部传送
7. 1.1绝密:保密信息保管单位应自行控管印刷形式的保密信息,记录发送保密信息的内容、编号、接收者的单位及姓名,并于内部传送时,将保密信息密封后
注明机密等级,再装入传递袋中巾专人传递至收件人,并请收件人于登记簿上签收;以电子邮件方式传递时,应将信息加密。
7. 1.2机密:保密信息保管单位应将印刷形式保密信息密封后注明机密等级,再装入传递袋中发送收件人;软件形式信息以电子邮件方式传递时应加密;于内部保管时应指定保管人并控管用户权力。
7. 1. 3秘密、内控:保密信息保管单位应将印刷形式保密信息密封后注明机密等级,再装入传递袋中发送收件人;软件形式定稿和完整信息以电子邮件方式传递时应加密;内控信息可不加密。
7.2外部传送:印刷形式保密信息于外部传送时应以挂号函件或其它适当方式寄送收件人。任何软件形式的机密等级信息于公司外系统、或于公司外使用环境情况下,非经加密均不得以电子邮件方式传递,以避免遭拦截转送。
7.3其它未判定为任一机密等级仴仍具有敏感性或半成品性质的信息于传送前可应视情况加密。
8、借阅与复印
8.1借调绝密信息须经申请单位处级(含)以上主管核准,借调秘密、内控信息须经申请单位部级(含)以上主管核准后,送交保密信息保管单位主管办理借阅。借阅机密至少需经原归档单位处级主管核准方可借阅。
8.2复印保密信息须经保密信息保管单位主管审查核准后,予以复印并分发需求单位,绝密级信息的复印资料并应予登记管理。经保管单位书面授权后,需求单位得自行复印分发秘密、内控的信息,但绝密信息、机密信息严禁以任何形