ISO27001信息资产分类分级管理制度.docx
《ISO27001信息资产分类分级管理制度.docx》由会员分享,可在线阅读,更多相关《ISO27001信息资产分类分级管理制度.docx(13页珍藏版)》请在冰点文库上搜索。
ISO27001信息资产分类分级管理制度
信息资产分类分级管理程序
1.目的和范围
为降低公司重要资产因遗失、损坏、篡改、外泄等事件带来的潜在风险,这些风险将对公司的信誉、经营活动、经济利益等造成较大或重大损失,需要规范信息资产保护方法和管理要求,特制订本管理制度。
本规定适用于本公司信息资产的安全管理,适用对象为本公司员工和所有外来人员。
特殊岗位或特殊人员,另有规定的从其规定。
公司信息资产是指一切关系公司安全和利益,在保护期内只限一定范围内人员知悉、操作、维护的事物、文档、项目、数据等资源。
2.引用文件
1)下列文件中的条款通过本规定的引用而成为本规定的条款。
凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励各部门研究是否可使用这些文件的最新版本。
凡是不注日期的引用文件,其最新版本适用于本标准。
2)GB/T22080-2016/ISO/IEC27001:
2013信息技术-安全技术-信息安全管理体系要求
3)GB/T22081-2016/ISO/IEC27002:
2013信息技术-安全技术-信息安全管理实施细则
4)《备份管理规定》
5)《访问控制程序》
6)《文件控制程序》
3.职责和权限
本管理规定作为全公司范围信息类资产的最低管理要求,各部门或各项目组,均可以根据客户要求,添加补充策略,并在本部门、本项目组内实施,与本规定一起,作为信息安全管理的工作指南。
1)信息安全管理领导人组:
是本公司信息资产安全管理工作的最高领导组织,总体负责信息资产的安全。
2)信息安全管理工作小组:
负责具体的协调组织实施及解释答疑等工作。
3)各部门经理:
作为本部门信息资产安全管理的最高责任者,有责任和权限保证本部门信息资产的安全。
4)各信息的所有者:
负责各信息资产的标识、分发和传递的控制;
5)员工:
应当熟悉本管理规定的内容,包括信息资产标识办法和使用管理规定,并切实贯彻到日常工作中。
4.信息资产的分类分级
1
2
3
4
4.1信息资产的分类
公司信息资产分为:
硬件资产、软件资产、数据资产、人员资产、外包服务资产、无形资产、文档资产、环境资产、第三方服务资产等。
区分标准如下:
1)硬件资产:
日常工作、公司运作或系统运行所依赖的可见电子设备、设施和工具。
主要包括:
●办公类用品,如桌椅、纸张等。
●计算机及配件、辅助设备类,如服务器、台式机、笔记本电脑、移动存储、打印机等。
●网络设备,如网络交换机等。
●其他设备,不属于上述3类的设备设施,如饮水机等。
2)软件资产:
依赖电子计算设备运行的非硬件资产。
如:
操作系统、杀毒软件、源代码、组件、程序、业务系统或平台等。
3)数据资产:
计算机软件运行时依赖的原始数据、配置数据,运行时产生的动态数据、结果数据以及能够给公司经济效益、信息安全带来潜在影响的所有数据,这些数据如遗失、非法复制传播、损坏等从经济或安全上可能给公司造成损害。
如客户信息数据、系统配置数据、系统登录帐号密码、业务运行数据、电话号码资源等。
4)人员资产:
公司正常运营所依赖的人力资源。
5)外包服务资产:
公司作为第三方为客户方提供的服务业务。
如我公司为广发提供的EMGL业务。
6)无形资产:
特指本公司的专利信息资产。
7)文档资产:
以纸质或电子文件形式存在的文档资料。
8)物理环境资产:
指公司办公场所和为特殊管理的业务或设备提供的服务场所和设施。
9)第三方服务资产:
指第三方为公司提供的服务支持。
如:
电信运营商为我公司提供的400号码接入服务业务、阿里云服务。
4.2信息资产的分级管理
信息资产的分级管理制度引用如下文件:
1)硬件资产分级管理制度
2)软件资产分级管理制度
3)数据资产分级管理制度
4)人员资产分级管理制度
5)外包服务资产分级管理制度
6)无形资产分级管理制度
7)文档资产分级管理制度
8)环境资产分级管理制度
9)第三方服务资产分级管理制度
4.3信息资产分类指导
公司各部门依据分类定义和示例,对部门《资产识别表》中的各类资产进行分级,并报请本部门经理审核确认。
公司一级、公司二级信息资产需要报信息安全管理工作小组汇总、审核后,请公司总经理确认审批。
《资产识别表》需详细登记所有信息资产,并确定其分级和管理责任人。
5.信息分级标识
5
5.1分级标识编号
1)硬件资产(H-hard):
H1、H2......分别代表一级硬件资产,二级硬件资产......等。
2)软件资产(S-soft):
S1、S2......分别代表一级软件资产、二级软件资产......等。
3)数据资产(D-data):
D1、D2......分别代表一级数据资产、二级数据资产......等。
4)人员资产(P-person):
P1、P2......分别代表一级人员资产、二级人员资产......等。
5)外包服务资产(T-team):
T1、T2......分别代表一级外包服务资产、二级外包服务资产......等。
6)无形资产(N-none):
N1、N2......分别代表一级无形资产、二级无形资产......等。
7)文档资产(F-file):
F1、F2......分别代表一级文档资产、二级文档资产......等。
8)环境资产(E-environmen):
E1、E2......分别代表一级环境资产、二级环境资产......等。
9)第三方服务资产(TS-thirdservice):
TS1、TS2......分别代表一级第三方服务资产、二级第三方服务资产......等。
5.2公司绝密、机密信息定义
标记为一级和二级的文档及敏感类的信息称为公司机密信息,三类信息为秘密信息,四类为可内部公开的信息,五类为可公开的信息。
绝密信息,除文档资产外,不包含在其他信息资产的分级定义序列中,绝密信息一般由公司最高管理层负责管理和保密义务。
5.3各密级知晓范围
1)公司绝密级:
高层管理级人员及与公司绝密内容有直接关系的工作人员,对其他任何人都需要保密。
掌握核心公司绝密的关键岗位人员的变更、离职须经总经理同意。
2)公司机密级:
部门经理级及以上的管理人员以及与公司机密内容有直接关系的工作人员,允许知晓与本工作相关的公司机密事项,对非相关人员需要保密。
3)公司秘密级:
部门骨干管理人员以及与公司秘密内容有直接关系的工作人员,允许知晓与本工作相关的公司秘密事项,但对其他部门应保密。
4)内部公开:
公司内部所有人员,允许知晓在公司内部范围内属于公开的信息,但未授权不得对公司以外人员泄露公司的内部公开信息。
5)公开:
公司外面所有人员,允许知晓由公司内的授权人员宣布可公开的信息。
可公开的文档必须转成PDF文档后,或使用其他方法变成只读不可修改的文档后再行发布。
5.4分级标识编号可作为分级标识使用
1)公司固定资产硬件设备必须标记分级标识编号。
2)作为电子文件时必须在文件的第一页的显著位置标识分级。
3)对于纸质文档,使用公司统一刻制的分级标识图章进行标识,对于“公司绝密”文档在需要时,通过骑缝章或每页敲章的方式进行“绝密”标识。
使用信封等封装时,还需要在封装上标记“绝密”标识及分级标识。
对于模板文档,其标识的分级是指填写内容后的分级,而非空白时的分级。
4)如果使用光盘/磁带/软盘等介质,需要直接在介质表面上标识分级。
5)需要提交给客户的信息资产(例如:
项目开发成果物),必须有分级标识。
6)对于应用系统中的显示画面、数据表单或打印输出等内容,必须有分级标识。
6.公司秘密信息使用管理
6
6.1涉密信息的保管
1)公司绝密、公司机密信息:
应该保管在一般人员无法随便进入的有安全保障的房间,比如:
总经办公室、各部门主管办公室、财务室、机房等。
电子文档必须有可靠的备份机制;除非特别批准公司绝密信息不应保管在个人用计算机上。
纸质文件以及电子存储介质(例如:
移动硬盘/U盘/光盘/软盘等)应该保存在加锁的文件柜或保险柜内。
●在不使用或处于目光所及范围之外时,应将资料存放在锁闭的档案柜、桌式书架或书柜内;
●在携带至办公室以外的地方时,应将资料存放在随身携带的锁闭的箱包或手提箱内。
2)其它涉密信息:
也应该保存在安全的工作区域内。
电子文档也必须有可靠的备份机制。
纸质文档以及电子存储介质应存放于书柜、档案柜或桌式书架柜内,以防被非公司人员意外看到或获得。
a)技术成果
●技术转让、技术入股、技术引进等途径获取公司秘密的过程中,根据合同或协议中规定提供的公司秘密,承办人应采取保密措施,保证不泄漏公司秘密。
获取的公司秘密应及时移交财务部归档,不得个人保存。
b)工作成果物:
●每个人的工作成果物(工作成果物指需要向客户或上级或组织提交的工作的结果)应该及时保存到指定场所。
电子文档应该保存到公用机器上的指定位置,从而得到可靠的备份和访问控制,对于纸质文档和电子介质应该保存到指定文件柜内(除非被批准,不得保存在个人文件柜内),并做好清晰标示,从而保证他们的可用性。
员工在公司任职期间的工作成果归公司所有,并按《保密协议》及本制度进行管理;
c)客户信息
●在公司日常业务(包括营销等相关活动)中接触到客户的信息以及客户提供的信息同样应该作为公司的涉密信息实施管理和控制。
重要信息应该被指定为公司绝密,其余都按照“公司秘密”密级来对待。
●特别是客户真实数据,属于“公司机密”,除非得到客户明确授权,不得使用;使用时必须按照严格的流程和管理规定(事先备份等),不得在其它任何场合使用或透露相关信息。
6.2涉密信息的访问限制
1)日常工作中需使用含公司绝密、公司机密性数据的设备,或需处理公司绝密、公司机密性数据的员工,须根据公司相关要求签订《知识产权及保密协议》;
2)本公司委外开发或加工的外包合同/协议中须包含所涉及信息资产的保密条款,必要时,须与相关人员签署保密协议;
3)涉密信息的访问范围应限制在满足需要的最小限度。
4)公司绝密信息应该存放在非相关部门员工无法访问的独立的VLAN内,存放“公司绝密”信息的个人用计算机应该安装防火墙,保证其他机器无法主动访问,通过网络共享目录不允许存放“公司绝密”信息;存放涉密信息的计算机的用户密码必须得到严格控制和有效管理;“内部公开”及以上信息XX,严禁以任何方式向公司以外人员泄露。
5)“公司绝密”信息由公司领导、信息安全主管部门和相关应用部门协商确定访问权限,由信息安全主管部门委托人员(一般是总经办管理)具体控制。
“公司机密”和“公司秘密”信息由各部门,各项目组的负责人确定访问权限,由他们或委托可靠相关人员进行访问权限的具体控制措施。
6)为了保证涉密信息安全,全体员工必须严格遵守《访问控制管理程序》中所具体规定的各项控制策略。
6.3涉密信息的使用
1)不得使用任何手段主动获取与工作职责无关的涉密信息。
2)不得以任何工作需要以外的目的复制、复印、摘抄涉密信息,未经管理者许可,禁止复制、复印“公司机密”以上级别信息。
3)因工作需要将涉密信息复制到非相关设备或公用设备中时,必须在使用完毕后,立即删除作业遗留的涉密信息。
因工作需要复印的涉密信息,使用完毕后,按照涉密信息废弃处置方法处置。
4)涉密信息的使用必须严格限制在工作必须的物理和人员范围内,除非工作需要并得到批准,不得把存放涉密信息的设备和存储介质以及含有涉密信息的纸质文档带出公司。
“公司绝密”信息的使用必要时可以通过签名登记的方式加以控制。
5)因工作需要,需要对敏感的涉密信息共享时,必须对涉密信息进行加密处理。
6)不在有非相关人员在场的情况下谈论/使用涉密信息。
包括:
和客户接触时避免涉密信息的泄露,制作提供给客户的资料文件时原则上使用PDF格式,并需要注意涉密信息的保护。
不能在公共场所或者敞开办公室、没有良好隔音的会议室谈论公司绝密信息。
7)使用纸质文件是,要注意:
●“公司机密”以上级别信息的纸件不得重复使用,含其它涉密信息的纸件文件也不得跨项目使用;
●下班后应清理桌面,将含有重要涉密信息的纸质文件放入文件柜;
●发出打印命令后,及时去取打印文件,保证打印机处无遗留纸质文件。
打印“公司绝密”信息时,尽量使用非公用打印机;
●复印完毕后注意检查,保证复印机处无遗留纸质文件。
复印“公司绝密”信息时,尽量在人少时段;
●传真完毕后注意检查,保证传真机处无遗留纸质文件。
对于外来的传真,应该马上收取,再通知或送达收件人。
●对于涉密的技术文件的发放和回收,参考《文件控制程序》。
8)计算机数据安全管理:
●在从事涉及保密信息的工作时,不得离开计算机,使之处于无人照看状态;
●人员因故离开座位时,必须退出系统或使用屏幕密码保护,防止账号被盗用或数据被窃取。
下班或因公外出离开办公室前,必须关闭计算机设备并将桌面收拾干净,避免保密信息失窃或系统被侵入;
●保管好所有的数据存储设备,并作适当标识;
●公司绝密或公司机密性数据如需通过电子邮件传送,应经加密处理后传送;
●公司绝密或公司机密性数据,不得存放于无账号权限、密码限定的信息系统中。
6.4涉密信息发送
1)任何涉密信息的发送,都必须保证收件人的合法性;“内部公开”信息未经许可,严禁发送给公司以外人员;“公司秘密”,“公司机密”“公司绝密”只发给管理者授权的收件人。
2)涉密信息传送后,必须通过e-Mail/MSN/电话等手段,获得对方的确认或主动向对方确认。
3)在公司内部传送纸质数据时,委托他人传送时,必须加以封装;“公司绝密”信息传送时必须保证直接交给收件人本人;其他涉密信息传送时,尽量直接交给收件人,如果放置在收件人坐席上必须将传送的背面朝上,并且事后要和收件人确认。
4)利用电子手段传送数据时,“公司绝密”信息必须使用加密手段,而且密码不得同时发送;在可能的条件下,鼓励所有涉密信息都采用加密手段传送。
“公司绝密”信息除非特别需要必须使用公司的网络服务传送;所有涉密信息都应该尽量避免使用公司外部电子信箱以及MSN/QQ/Skype/公用FTP/网络存储空间等手段来进行传送。
必须利用最新的防病毒库对收发的文件进行病毒检查。
5)利用传真进行涉密信息传送时,不得委托非相关人员代为传送;传送时必须始终等待在侧;传送完毕后立刻回收;不特别必要,不利用传真方式进行“公司绝密”信息的传送;收发“公司绝密”信息时,应事先和对方联系,保证传真不经过其他人手。
6)利用快递/邮寄手段进行涉密信息传送时:
对传送的信息必须加以封装;不特别必要,“公司绝密”信息的传送不利用快递/邮寄手段进行,而应尽量利用公司内部人员以专程的形式来进行传送工作;传送“公司绝密”信息时,应事先和对方联系;在确认收到时,还必须确认封装没有损坏;非收件人不得随便拆阅。
6.5涉密信息的废弃处置
1)过期或作废的涉密文件需要废弃处置处理时,首先需得到批准。
2)“公司绝密”信息的废弃处置要得到公司总经理书面批准,并指定可解除该信息人员实施或全程监督实施。
其它涉密信息的废弃处置要得到相关部门,相关工作组的负责人的批准,并指定人员实施。
3)公司绝密数据必须退回资料来源处,或者在经资料来源处授权情况下,将其存放在安全的文件贮存处或加以销毁;电子档案必须采用总经办许可使用的专用销毁文件的计算机磁盘工具予以消除,必须保留销毁文件的记录。
4)“公司机密”和“公司秘密”信息,进行处理时,纸质文件要通过专门设备彻底粉碎;电子档案必须采用行政部许可使用的专用销毁文件的计算机磁盘工具予以消除,必须保留销毁文件的记录。
5)客户方面特别提出要求时,按照客户要求的方法实施。
6)个人工作中使用的纸质文档不得随意丢弃或作其它用途,废弃后要及时粉碎处理;电子文档需要及时整理和清除。
7)对一级硬件信息资产进行专人监督物理破坏。
7.保密原则
1)所有公司员工都有义务和责任保守公司公司秘密。
●严格遵守公司关于保密方面的各项政策和制度规定;
●保护并按照规定的方式处理包含公司保密信息的各种记录、草稿、文本副本、打印机色带和图表;
●不在公司以外公共场合及同亲友及家人谈论公司的业务情况及保密信息;
●在向非公司员工发表演讲、宣传时不得援引保密信息;
●未经资料来源处授权,不得复制或复印任何公司保密数据资料;
●未经必要的审批手续,不得将公司保密数据资料从公司带出;
●不得使用规定以外的其它方式,用电子手段传送或调用保密数据材料;
●论文发表前,要经过部门领导和信息安全工作小组审核;
2)员工必须具有保密意识,必须做到不该问的绝对不问,不该说的绝对不说,不该看的绝对不看。
未经领导批准,不准开展本岗位外的业务活动,不准串岗。
3)在日常工作中,全体人员都应该按照“知所必需”的原则,获得完成其工作职责所必需的最小范围的涉密信息和最小的逻辑访问权限,并且以尽量安全的方式在最小范围内使用。
4)对公司公司秘密的知晓范围执行压缩控制的原则,员工只在管辖范围内根据工作需要知晓相关的公司公司秘密。
5)公司鼓励员工在一定的程度上使用常识性的办法来保护公司涉密信息,如果员工不知道某项资产的密级,默认情况下至少按“公司秘密”的密级来对待。
6)对于研发进行中的项目,除公司统一制定的产品目标对客户进行宣传以外,公司任何员工均需对公司正在研发的项目内容、项目进度等信息进行保密,尤其是器件供应商,与竞争对手关系密切的客户等。
7)对于公司的商务信息仅限市场人员、商务人员及其管理人员知悉。
不同市场区域之间的信息,原则上也要求保密。
8)对外交往与合作中如需要提供公司的公司秘密事项,应先由部门经理批准,特殊情况须经公司相关领导审核、公司总经理批准。
9)因工作需要知悉非本职范围内的公司公司秘密的,须经相关领导批准,公司秘密级信息由部门经理批准,公司机密级信息由分管副总批准,公司绝密级信息由公司总经理批准;
10)公司员工发现公司公司秘密已经泄露或可能泄露时,应立即采取补救措施并及时报告上级主管,上级主管须立即做出相应处理。
本制度相关修改及解释权属于信息安全组织
文档编号(由总经办填写)
F4-B-总经办-010-V1.0
密级
内部公开
文档发布级别
公司级
文档发布及实行范围
全员
制度试行日期(可选)
制度执行日期
2017/07/01
文档起草人
签字:
日期:
2017/07/01
文档修订人:
签字:
日期:
修订说明:
备注:
文档负责人:
签字:
日期:
2017/07/01
文档审批
信息安全管理者代表
签字:
日期:
2017/07/01
文档审批人
签字:
日期:
2017/07/01
升级会员 