QEP程序文件信息资产及分级管理程序DOCNO文件编号QEP-008REV版本APAGE页码1of61.目的对公司信息资产进行登记和分类,明确各类信息资产保护级别与保护要求,从而达到保护公司信息资产目的。2.适用范围本规范适用于公司所有信息资产分级管理。3.职责3.1信息资产责任部门:提出信息资产创建需求的部门。3.2信息资产责任人:信息资产责任部门的负责人;识别信息资产在业务系统使用中的主要风险;确定信息资产的价值和密级;明确保护信息资产的控制措施;用户申请或取消访问信息资产权限审批。3.3信息资产保管人:负责对信息设备进行实物管理和日常维护的人员;保管信息资产日常管理和实际操作维护;处理信息资产责任人的日常管理要求;识别信息资产使用中各个环境的风险;向责任人建议有利于保护信息的新技术和措施;维护信息访问设备或系统的可靠性;落实安全控制措施。3.4用户:使用信息资产对应的业务系统的公司员工或客户员工:向信息资产责任部门提出访问信息系统的访问申请;使用过程中应遵守信息保密相关要求;遵守信息资产责任人或信息资产保管人实施的控制;把信息的错误或异常报告给信息资产责任人和信息资产保管人;发现漏洞和违规情况及时向信息安全管理部门报告。QEP程序文件信息资产及分级管理程序DOCNO文件编号QEP-008REV版本APAGE页码2of64.工作程序4.1信息资产分类定义类别描述数据文件包括:所有的业务数据、配置文件、日志数据、管理文档(操作手册、业务指导书)、商务档案(合同、协议等)等,除此之外,还包括书面文档、归档文件、录像、录音等。软件系统软件、应用软件(如:金蝶财务软件等)、工具软件(系统管理工具、安全软件)、系统开发工具等。实物物理设备、例如计算机、网络设备、磁带等人员内部用户、系统管理员、网络管理员、保安、清洁工、第三方人员等服务物业服务(环境巡查等)、环境保洁(清扫等)、基本保障(供水,供电等)、设备维护、技术支持、网络通讯等4.2信息资产保密价值定义级别价值描述极高5包含组织最重要的秘密,关系未来发展的前途命运,对组织根本利益有着决定性影响,如果泄漏会造成灾难性的损害。非常高4包含组织的重要秘密,其泄露会使组织的安全和利益遭受严重损害。高3包含组织的一般性秘密,其泄露会使组织的安全和利益受到损害。中2包含仅能在组织内部或在组织某一部门内部公开的信息,向外扩散有可能对组织的利益造成损害。QEP程序文件信息资产及分级管理程序DOCNO文件编号QEP-008REV版本APAGE页码3of6低1包含可对社会公开的信息,公用的信息处理设备和系统资源等。4.3信息资产密级分类信息资产密级分类仅针对信息资产分类中的:数据文件、软件、实物类信息资产做密级分类。信息资产密级分类包括:公司绝密、公司机密、内部公开、外部公开。密级描述范例公司绝密指直接影响公司权益和利益的重要资料,是最重要的公司秘密,泄露会使公司的权益和利益遭受特别严重的损害。商业绝密:尚未公布的公司发展经营计划,经营策略;对外重大投资计划、投标前方案及重大合同,重要股权变更与会议纪要、重要信函,客户合同和协议、客户名单和资料等。技术绝密:尚未公开公司专利设计、保密技术方案等重要技术资料。公司开发的专用软件、计算机软件、数据库等。管理绝密:尚未公开的各种审计报告、财务报表和分析报告、政府关系档案、产品采购底价和限价、重大人事信息、网络安全资料、重要会议决议和会议纪要、重要信函等。公司机密重要的公司资料,泄露会使公司权益和利益遭受到较严重的损害。商业机密:供应商合同、协议或基本信息资料卡、供应商清单、产品价格构成明细、成本明细、销售策略与内部会议纪要与业务往来信函等。技术机密:产品项目计划书、项目数据、技术方案、图纸、BOM、承认书、试产报告、工程变更、测试报告及相关的图片、图表、函电、内部会议纪要等。管理机密:员工人事档案、尚未公布的升降职人事决定及内部会议纪要、员工薪酬、员工考评结果等。QEP程序文件信息资产及分级管理程序DOCNO文件编号QEP-008REV版本APAGE页码4of6内部公开在公司内部需要使用。非授权的披露或破坏不会给公司带来明显危害。已经公布管...
