信息分类与标识管理程序

信息分类与标识管理程序

（ISO27001-2013）

1、目的

为了明确公司内各类信息资产的分类和标识，方便资产有效管理。

2、适用范围

适用于ISMS所涉及的所有信息资产。

3、术语和定义

无

4、职责和权限

XXX确定公司的信息资产等级，将信息和资产分为机密、内部和公开三级。机密级为涉及公司核心、重要内容的信息和资产；内部级为涉及公司较重要内容的信息和资产；非内部级为除机密和内部级以外的其他信息和资产。

XXX部对体系文件发布前对其进行标记；

XXX部应定期对资产的标记进行检查；

各部门根据确定的等级，标记本部门的信息资产（除XXX资产外）。

5、相关活动

5.1信息资产等级划分

根据信息资产的重要度和对公司的影响度，将资产分为三级：

机密级：涉及公司重要业务活动的资产。如财务数据和报表、重大决策、人事数据、合同、程序原代码等。

内部级：涉及公司主要业务活动，有一定保密要求的资产。如体系文件，管理制度等。

非内部级：除秘密级和内部级以外的其他资产。

5.2信息资产的分类

根据信息资产的特点和用途，将信息资产分类如下：

信息与数据资产：主要指在工作过程产生的电子数据为主，存储在相关介质中的数据和信息。

工作设备资产：主要指工作用的设备和其相关配件。

纸制文件和记录：以纸制形式存放的文件和相关记录。

客户资产：非公司资产，因各种原因暂时放在公司内的客户资产。

5.3信息资产的标识

信息与数据资产：应在页眉或文件的首页左上角标注其重要等级。

工作设备资产：根据公司的固定资产管理相关规定，须根据其类别，重要度，用途或功能在明显位置进行标记，设备上的所有标记或编号只能由XXX部人员进行标识和管理，其他人员不得随意涂改或是撕毁标记。

对服务器和个人PC，在显示器和主机上都须有编号，服务器必须在明显位置进行标记（如，在服务器的机箱或是显示器上贴上‘服务器’字样），不得与其

他个人PC混放在一起；

移动计算机，所有移动计算机须设置统一编号。

对于客户提供的设备资产应进行特别的标记并形成相应的记录。纸制文件和记录：应在文件的首页或页眉上进行标记。

客户提供的应在其适当位置注明是客户资产。

6、相关文件和记录

无