1.目的對公司信息資產(chǎn)進(jìn)行登記和分類，明確各類信息資產(chǎn)保護(hù)級別與保護(hù)要求，從而達(dá)到保護(hù)公司信息資產(chǎn)目的。.適用范圍本規(guī)范適用于公司所有信息資產(chǎn)分級管理。.職責(zé)1信息資產(chǎn)責(zé)任部門：提出信息資產(chǎn)創(chuàng)建需求的部門。2信息資產(chǎn)責(zé)任人：信息資產(chǎn)責(zé)任部門的負(fù)責(zé)人；識別信息資產(chǎn)在業(yè)務(wù)系統(tǒng)使用中的主要風(fēng)險；確定信息資產(chǎn)的價值和密級；明確保護(hù)信息資產(chǎn)的控制措施；用戶申請或取消訪問信息資產(chǎn)權(quán)限審批。3信息資產(chǎn)保管人：負(fù)責(zé)對信息設(shè)備進(jìn)行實(shí)物管理和日常維護(hù)的人員；保管信息資產(chǎn)日常管理和實(shí)際操作維護(hù)；處理信息資產(chǎn)責(zé)任人的日常管理要求；識別信息資產(chǎn)使用中各個環(huán)境的風(fēng)險；向責(zé)任人建議有利于保護(hù)信息的新技術(shù)和措施；維護(hù)信息訪問設(shè)備或系統(tǒng)的可靠性；落實(shí)安全控制措施。4用戶：使用信息資產(chǎn)對應(yīng)的業(yè)務(wù)系統(tǒng)的公司員工或客戶員工：向信息資產(chǎn)責(zé)任部門提出訪問信息系統(tǒng)的訪問申請；使用過程中應(yīng)遵守信息保密相關(guān)要求；遵守信息資產(chǎn)責(zé)任人或信息資產(chǎn)保管人實(shí)施的控制；把信息的錯誤或異常報告給信息資產(chǎn)責(zé)任人和信息資產(chǎn)保管人；發(fā)現(xiàn)漏洞和違規(guī)情況及時向信息安全管理部門報告。.工作程序.1信息資產(chǎn)分類定義類別描述數(shù)據(jù)文件包括：所有的業(yè)務(wù)數(shù)據(jù)、配置文件、日志數(shù)據(jù)、管理文檔（操作手冊、業(yè)務(wù)指導(dǎo)書）、商務(wù)檔案（合同、協(xié)議等）等，除此之外，還包括書面文檔、歸檔文件、錄像、錄音等。軟件系統(tǒng)軟件、應(yīng)用軟件（如:金蝶財務(wù)軟件等）、工具軟件（系統(tǒng)管理工具、安全軟件）、系統(tǒng)開發(fā)工具等。實(shí)物物理設(shè)備、例如計算機(jī)、網(wǎng)絡(luò)設(shè)備、磁帶等人員內(nèi)部用戶、系統(tǒng)管理員、網(wǎng)絡(luò)管理員、保安、清潔工、第三方人員等服務(wù)物業(yè)服務(wù)（環(huán)境巡查等）、環(huán)境保潔（清掃等）、基本保障（供水，供電等）、設(shè)備維護(hù)、技術(shù)支持、網(wǎng)絡(luò)通訊等4.2信息資產(chǎn)保密價值定義級別價值描述極5包含組織最重要的秘密，關(guān)系未來發(fā)展的前途命運(yùn)，對組織根本利益有著高決定性影響，如果泄漏會造成災(zāi)難性的損害。非常4包含組織的重要秘密，其泄露會使組織的安全和利益遭受嚴(yán)重?fù)p害。高高3包含組織的一般性秘密，其泄露會使組織的安全和利益受到損害。中2包含僅能在組織內(nèi)部或在組織某一部門內(nèi)部公開的信息，向外擴(kuò)散有可能對組織的利益造成損害。低1包含可對社會公開的信息，公用的信息處理設(shè)備和系統(tǒng)資源等。.3信息資產(chǎn)密級分類信息資產(chǎn)密級分類僅針對信息資產(chǎn)分類中的：數(shù)據(jù)文件、軟件、實(shí)物類信息資產(chǎn)做密級分類。信息資產(chǎn)密級分類包括：公司絕密、公司機(jī)密、內(nèi)部公開、外部公開。密級描述范例公司絕密指直接影響公司權(quán)益和利益的重要資料，是最重要的公司秘密，泄露會使公司的權(quán)益和利益遭受特別嚴(yán)重的損害。商業(yè)絕密：尚未公布的公司發(fā)展經(jīng)營計劃，經(jīng)營策略；對外重大投資計劃、投標(biāo)前方案及重大合同，重要股權(quán)變更與會議紀(jì)要、重要信函，客戶合同和協(xié)議、客戶名單和資料等。技術(shù)絕密：尚未公開公司專利設(shè)計、保密技術(shù)方案等重要技術(shù)資料。公司開發(fā)的專用軟件、計算機(jī)軟件、數(shù)據(jù)庫等。管理絕密：尚未公開的各種審計報告、財務(wù)報表和分析報告、政府關(guān)系檔案、產(chǎn)品采購底價和限價、重大人事信息、網(wǎng)絡(luò)安全資料、重要會議決議和會議紀(jì)要、重要信函等。公司機(jī)密重要的公司資料，泄露會使公司權(quán)益和利益遭受到較嚴(yán)重的損害。商業(yè)機(jī)密：供應(yīng)商合同、協(xié)議或基本信息資料卡、供應(yīng)商清單、產(chǎn)品價格構(gòu)成明細(xì)、成本明細(xì)、銷售策略與內(nèi)部會議紀(jì)要與業(yè)務(wù)往來信函等。技術(shù)機(jī)密：產(chǎn)品項(xiàng)目計劃書、項(xiàng)目數(shù)據(jù)、技術(shù)方案、圖紙、BOM、承認(rèn)書、試產(chǎn)報告、工程變更、測試報告及相關(guān)的圖片、圖表、函電、內(nèi)部會議紀(jì)要等。管理機(jī)密：員工人事檔案、尚未公布的升降職人事決定及內(nèi)部會議紀(jì)要、員工薪酬、員工考評結(jié)果等。內(nèi)部公開在公司內(nèi)部需要使用。非授權(quán)的披露或破壞不會給公司帶來明顯危害。已經(jīng)公布管理制度、體系一二三階文件和記錄、工作流程、員工通訊錄、一般性人事或行政等其它部門發(fā)布決定、決議、通告、通知等。外部公開已經(jīng)對外發(fā)布的信息。非授權(quán)的披露不會給公司帶來影響。產(chǎn)品廣告、已公開的專利證書，體系證書等公開的推廣信息4.4密級標(biāo)注4.4.1信息責(zé)任人為信息標(biāo)注一個合適的密級。信息的接收者或使用者要根據(jù)標(biāo)注的密級進(jìn)行使用和保護(hù);4.4.2文檔類信息資產(chǎn)應(yīng)在文檔中標(biāo)注文件密級；4.4.3數(shù)據(jù)類信息資產(chǎn)應(yīng)在存儲或承載數(shù)據(jù)的實(shí)物資產(chǎn)上整體標(biāo)記；4.4.4實(shí)物類信息資產(chǎn)密級根據(jù)承載的數(shù)據(jù)密級定義；4.4.5如果是多種信息放在一起，在整體上要標(biāo)注這些信息中最高的密級；4.4.6對于歷史文件的機(jī)密等級標(biāo)識可以通過歸檔到特定文件夾或在文件柜中做相應(yīng)標(biāo)記；密級的標(biāo)注：如果標(biāo)注，要把“公司絕密”、“公司機(jī)密”、“內(nèi)部公開”字樣標(biāo)注在明顯可見的位置；4.5處理和保護(hù)5.1所有用戶必須根據(jù)信息的密級執(zhí)行相關(guān)的信息保護(hù)要求（具體要求請見下面的信息分類保護(hù)快速參考表）。信息責(zé)任人可以采取額外的控制措施保護(hù)信息和限制對信息的訪問；5.2故意或無意地泄漏敏感信息造成損失的應(yīng)按照相關(guān)人事管理制度進(jìn)行處理；5.3信息資產(chǎn)的保管人應(yīng)定期對資產(chǎn)密級標(biāo)示作業(yè)和更新，負(fù)責(zé)人對此作業(yè)進(jìn)行監(jiān)督。.6信息分類保護(hù)可參考下表:公司絕密公司機(jī)密內(nèi)部公開外部公開保管紙質(zhì)文件存放于帶鎖文件柜中并注意物理安全電子文件放入公共盤需要對文件進(jìn)行加密紙質(zhì)文件存放于帶鎖文件柜中并注意物理安全電子文件放入公共盤需要對文件進(jìn)行適當(dāng)控制訪問保護(hù)紙質(zhì)文件存放于帶鎖文件柜中并注意物理安全電子文件放入公共盤防止讓非授權(quán)的人員使用紙質(zhì)文件放入文件夾中電子文件妥善放入公共盤中發(fā)放由專人以紙質(zhì)文件發(fā)放，電子文件需要對文件進(jìn)行加密由專人以紙質(zhì)文件發(fā)放，電子文件需要對文件進(jìn)行適當(dāng)控制訪問保護(hù)紙質(zhì)、郵件、共享文件、內(nèi)網(wǎng)等方式發(fā)放郵件、共享文件、內(nèi)網(wǎng)等方式發(fā)放訪問審批使用申請必須經(jīng)過公司負(fù)責(zé)人審批，說明使用目的和方式使用申請必須經(jīng)過資產(chǎn)責(zé)任部門負(fù)責(zé)人審批，說明使用目的和方式僅限于公司內(nèi)部人員訪問使用。做好信息資產(chǎn)訪問權(quán)限工作不限制于訪問權(quán)限i己錄申請和審批必須做記錄申請和審批必須做記錄根據(jù)實(shí)際情況可以不做記錄要求不做記錄銷毀電子數(shù)據(jù)要徹底清除，紙質(zhì)文檔要切成碎片或燒毀可采取其他可靠徹底的銷毀方式電子數(shù)據(jù)要徹底清除，紙質(zhì)文檔要切成碎片或燒毀可采取其他可