信息资产及分级管理程序

1.目的对公司信息资产进行登记和分类，明确各类信息资产保护级别与保护要求，从而达到保护公司信息资产目的

2.适用范围本规范适用于公司所有信息资产分级管理

3.职责

3.1信息资产责任部门提出信息资产创建需求的部门

4.2信息资产责任人信息资产责任部门的负责人；识别信息资产在业务系统使用中的主要风险；确定信息资产的价值和密级；明确保护信息资产的控制措施；用户申请或取消访问信息资产权限审批

5.3信息资产保管人负责对信息设备进行实物管理和日常维护的人员；保管信息资产日常管理和实际操作维护；处理信息资产责任人的日常管理要求；识别信息资产使用中各个环境的风险；向责任人建议有利于保护信息的新技术和措施；维护信息访问设备或系统的可靠性；落实安全控制措施

6.4用户使用信息资产对应的业务系统的公司员工或客户员工向信息资产责任部门提出访问信息系统的访问申请；使用过程中应遵守信息保密相关要求；遵守信息资产责任人或信息资产保管人实施的控制；把信息的错误或异常报告给信息资产责任人和信息资产保管人；发现漏洞和违规情况及时向信息安全管理部门报告

4.工作程序

1.1信息资产分类定义类别描述包括所有的业务数据、配置文件、日志数据、管理文档（操作手册、业务指导书）、数据文件商务档案（合同、协议等）等，除此之外，还包括书面文档、归档文件、录像、录音等系统软件、应用软件（如:金蝶财务软件等）、工具软件（系统管理工具、安全软软件件）、系统开发工具等实物物理设备、例如计算机、网络设备、磁带等人员内部用户、系统管理员、网络管理员、保安、清洁工、第三方人员等物业服务（环境巡查等）、环境保洁（清扫等）、基本保障（供水，供电等）、设服务备维护、技术支持、网络通讯等

4.2信息资产保密价值定义级价描述别值极包含组织最重要的秘密，关系未来发展的前途命运，对组织根本利益有着5高决定性影响，如果泄漏会造成灾难性的损害非常4包含组织的重要秘密，其泄露会使组织的安全和利益遭受严重损害高高3包含组织的一般性秘密，其泄露会使组织的安全和利益受到损害包含仅能在组织内部或在组织某一部门内部公开的信息，向外扩散有可能对组中2织的利益造成损害低1包含可对社会公开的信息，公用的信息处理设备和系统资源等

4.3信息资产密级分类信息资产密级分类仅针对信息资产分类中的数据文件、软件、实物类信息资产做密级分类信息资产密级分类包括公司绝密、公司机密、内部公开、外部公开密级描述范例商业绝密尚未公布的公司发展经营计划，经营策略；对外重大投资计划、投标前方案及重大合同，重要股权变更与会议纪要、重要信函，客户合同和协议、客指直接影响公司权益和利户名单和资料等益的重要资料，是最重要技术绝密尚未公开公司专利设计、保密技术方案等公司绝密的公司秘密，泄露会使公重要技术资料公司开发的专用软件、计算机软件、司的权益和利益遭受特别数据库等严重的损害管理绝密尚未公开的各种审计报告、财务报表和分析报告、政府关系档案、产品采购底价和限价、重大人事信息、网络安全资料、重要会议决议和会议纪要、重要信函等商业机密供应商合同、协议或基本信息资料卡、供应商清单、产品价格构成明细、成本明细、销售策略与内部会议纪要与业务往来信函等技术机密产品项目计划书、项目数据、技术方案、重要的公司资料，泄露会图纸、BOM、承认书、试产报告、工程变更、测试报公司机密使公司权益和利益遭受到告及相关的图片、图表、函电、内部会议纪要等较严重的损害管理机密员工人事档案、尚未公布的升降职人事决定及内部会议纪要、员工薪酬、员工考评结果等在公司内部需要使用非已经公布管理制度、体系一二三阶文件和记录、工作内部公开授权的披露或破坏不会给流程、员工通讯录、一般性人事或行政等其它部门发公司带来明显危害布决定、决议、通告、通知等已经对外发布的信息产品广告、已公开的专利证书，体系证书等公非授权的披露不会给公司外部公开带来影响开的推广信息

4.4密级标注

4.

4.1信息责任人为信息标注一个合适的密级信息的接收者或使用者要根据标注的密级进行使用和保护;

4.

4.2文档类信息资产应在文档中标注文件密级；

4.

4.3数据类信息资产应在存储或承载数据的实物资产上整体标记；

4.

4.4实物类信息资产密级根据承载的数据密级定义；

4.

4.5如果是多种信息放在一起，在整体上要标注这些信息中最高的密级；

4.

4.6对于历史文件的机密等级标识可以通过归档到特定文件夹或在文件柜中做相应标记；密级的标注如果标注，要把“公司绝密”、“公司机密”、“内部公开”字样标注在明显可见的位置；

4.5处理和保护

4.

5.1所有用户必须根据信息的密级执行相关的信息保护要求（具体要求请见下面的信息分类保护快速参考表）信息责任人可以采取额外的控制措施保护信息和限制对信息的访问；

5.

5.2故意或无意地泄漏敏感信息造成损失的应按照相关人事管理制度进行处理；

6.

5.3信息资产的保管人应定期对资产密级标示作业和更新，负责人对此作业进行监督

4.6信息分类保护可参考下表:公司绝密公司机密内部公开外部公开纸质文件存放于带纸质文件存放于带锁纸质文件放入文件夹锁文件柜中并注意纸质文件存放于带锁文件柜文件柜中并注意物理中物理安全中并注意物理安全电子文件安全电子文件妥善放入公保管电子文件放入公共放入公共盘需要对文件进行电子文件放入公共盘共盘中盘需要对文件进行适当控制访问保护防止让非授权的人员加密使用由专人以纸质文件由专人以纸质文件发放，电发放，电子文件需要纸质、邮件、共享文邮件、共享文件、内发放子文件需要对文件进行适当对文件进行加密件、内网等方式发放网等方式发放控制访问保护不限制于访问权使用申请必须经过仅限于公司内部人员使用申请必须经过资产责任限访问审公司负责人审批，说访问使用做好信息部门负责人审批，说明使用批明使用目的和方式资产访问权限工作目的和方式不做记录申请和审批必根据实际情况可以不i己录申请和审批必须做记录须做记录做记录要求电子数据要彻底清做一般销毁方式即可，除，纸质文档要切成或回收做二手纸利用电子数据要彻底清除，纸质电子数据要彻底清除，碎片或烧毁文档要切成碎片或烧毁纸质文档要切成碎片销毁可采取其他可靠彻可采取其他可靠彻底的销毁或烧毁可采取其他可底的销毁方式方式靠彻底的销毁方式永久十年五年一年保存期限

5.相关文件《信息安全风险评估控制程序》

6.相关记录

1.1风险评估及资产识别表

6.2重要资产清单汇总表

7.流程图无。