《公司信息分類、標識、發(fā)布、使用管理制度.doc》由會員分享,可在線閱讀,更多相關(guān)《公司信息分類、標識、發(fā)布、使用管理制度.doc(8頁珍藏版)》請在裝配圖網(wǎng)上搜索。
1、信息資產(chǎn)管理制度好收益(北京)金融信息服務有限公司信息資產(chǎn)管理制度第一章 總則第一條 為了明確好收益(北京)金融信息服務有限公司內(nèi)各類信息資產(chǎn)的分類和標識,方便信息資產(chǎn)的有效管理。第二章 適用范圍第二條 本制度適用于好收益(北京)金融信息服務有限公司所涉及的所有信息資產(chǎn)。第三條 定義(一)本制度所涉及的信息包括各種存儲或者存在形式,包括但不限于電子信息、紙質(zhì)數(shù)據(jù)文件、語音和圖像等。(二)本制度所稱信息是指以任何形式存在或傳播的對好收益(北京)金融信息服務有限公司具有價值的內(nèi)容,包括電子信息、紙質(zhì)數(shù)據(jù)文件、語音圖像等。信息安全關(guān)注的是信息的保密性、可用性和完整性。(三)本制度所稱信息資產(chǎn)是指任何
2、對好收益(北京)金融信息服務有限公司具有價值的信息的存在形式或者載體,包括計算機硬件、通信設施、IT環(huán)境、數(shù)據(jù)庫、軟件、文檔資料、信息服務和人員等,所有這些資產(chǎn)都需要妥善保護。第三章 職責權(quán)限第三條 好收益(北京)金融信息服務有限公司各部門負責人是本部門信息資產(chǎn)管理的第一責任人,負責本制度的貫徹落實,總裁辦是好收益(北京)金融信息服務有限公司內(nèi)部各類信息的歸口管理部門。第四條 本制度定義以下相關(guān)角色,履行相應的信息安全管理、執(zhí)行和審核職責。(一)責任人,信息資產(chǎn)的創(chuàng)建者,或者主要用戶所在組織、單位或部門的負責人。信息資產(chǎn)責任人對所屬信息資產(chǎn)負直接責任。其主要職責包括:1)理解和各種信息訪問活動
3、相關(guān)的安全風險;2)根據(jù)好收益(北京)金融信息服務有限公司信息密級劃分標準來確定所屬信息資產(chǎn)的級別;3)根據(jù)好收益(北京)金融信息服務有限公司相關(guān)策略確定并檢查信息訪問權(quán)限;4)針對所屬信息資產(chǎn)提出恰當?shù)谋Wo措施。(二)保管者,受信息資產(chǎn)責任人委托,對信息資產(chǎn)進行日常的管理,維護已經(jīng)建立的保護措施。資產(chǎn)保管者通常是好收益(北京)金融信息服務有限公司的信息中心及相關(guān)部門負責人(例如系統(tǒng)管理員或各部門相關(guān)人員)。其主要職責包括:1)根據(jù)相關(guān)策略和信息資產(chǎn)責任人的要求,負責信息資產(chǎn)的維護操作和日常管理事務;2)負責具體設置信息訪問權(quán)限;3)負責所管理的信息資產(chǎn)的安全控制;4)部署恰當?shù)陌踩珯C制,進行
4、備份和恢復操作;5)按照信息資產(chǎn)責任人的要求實施其他控制。(三)用戶,信息資產(chǎn)的使用者,除了好收益(北京)金融信息服務有限公司內(nèi)部員工,也可能是因為業(yè)務需要而訪問好收益(北京)金融信息服務有限公司信息的客戶或第三方組織。其主要職責包括:1)向信息資產(chǎn)責任人申請信息訪問;2)按照好收益(北京)金融信息服務有限公司信息安全策略要求正當訪問信息,禁止非授權(quán)訪問;3)向相關(guān)組織報告隱患、故障或者違規(guī)事件。第四章 資產(chǎn)管理要求第五條 信息資產(chǎn)分類信息資產(chǎn)責任人應該指導進行相關(guān)資產(chǎn)的調(diào)查,資產(chǎn)調(diào)查以業(yè)務流程為線索,包括各類輸入、中間環(huán)節(jié)和輸出信息,所有這些信息資產(chǎn)都為業(yè)務流程的運轉(zhuǎn)提供支持。信息資產(chǎn)可以分
5、為以下幾大類:(一)數(shù)據(jù)文件,通常包括各種電子檔:業(yè)務數(shù)據(jù)、客戶數(shù)據(jù)、配置文件、記錄數(shù)據(jù)(日志、審計記錄)、管理文件(策略、流程文件、操作手冊等)、商務文件(合同、協(xié)議等)。也包括以實物方式存在的資產(chǎn):各類電子數(shù)據(jù)的歸檔、打印件、書面管理文件、業(yè)務報表、包含重要商業(yè)成果的文件,還有膠片等。(二)軟件資產(chǎn),各種系統(tǒng)軟件、應用軟件(OA、業(yè)務軟件等)和工具軟件(開發(fā)系統(tǒng)、網(wǎng)管軟件、安全軟件等),包括操作系統(tǒng)、數(shù)據(jù)庫應用程序、網(wǎng)絡軟件、辦公應用系統(tǒng)、業(yè)務系統(tǒng)程序、軟件開發(fā)工具等,這些軟件資產(chǎn)負責處理、存儲或傳輸各類信息。(三)實物資產(chǎn),與業(yè)務相關(guān)的IT物理設備,包括計算機(工作站和服務器等)和網(wǎng)絡通
6、信設備、磁介質(zhì)(磁帶和磁盤等)、裝置、環(huán)境等,這些實物資產(chǎn)容納著軟件和數(shù)據(jù)文件。(四)人員,承擔某項與業(yè)務活動相關(guān)責任的角色和職位。例如普通用戶、系統(tǒng)管理員、網(wǎng)絡管理員、保安、清潔員等,這些人員與各類數(shù)據(jù)、軟件和實物資產(chǎn)的操作直接相關(guān)。(五)服務,安保(例如監(jiān)控、門禁、保安等),環(huán)境服務(例如清潔),基礎保障(供水、供熱、供電),設備維護,通信服務(例如互聯(lián)網(wǎng)接入)。第六條 信息資產(chǎn)分級標準保密性、完整性和可用性是評價資產(chǎn)的三個安全屬性。風險評估中資產(chǎn)的價值不是以資產(chǎn)的經(jīng)濟價值來衡量,而是由資產(chǎn)在這三個安全屬性上的達成程度或者其安全屬性未達成時所造成的影響程度來決定的。安全屬性達成程度的不同將
7、使資產(chǎn)具有不同的價值,而資產(chǎn)面臨的威脅、存在的脆弱性、以及已采用的安全措施都將對資產(chǎn)安全屬性的達成程度產(chǎn)生影響。(一)保密性賦值根據(jù)信息資產(chǎn)在保密性上的不同要求,將其分為五個不同的等級,分別對應資產(chǎn)在保密性上應達成的不同程度或者保密性缺失時對整個組織的影響。下表提供了一種保密性賦值的參考。表信息資產(chǎn)保密賦值表賦值標識 定義很高等級文獻為高度絕密級,其查閱人僅限公司董事會、高層決策者及事件相關(guān)負責人;高等級文獻為絕密級,其查閱人僅限公司董事會、高層決策者、高層管理人員及事件相關(guān)負責人;中等等級文獻為機密級,其查閱人僅限公司董事會、高層決策者、高層管理人員、相關(guān)部門負責人及事件相關(guān)負責人;底等級文
8、獻為機密級,其查閱人僅限公司董事會、高層決策者、高層管理人員、所有部門負責人及事件相關(guān)負責人;很低等級文獻為秘密級,其查閱人為公司所有員工(二)完整性賦值根據(jù)信息資產(chǎn)在完整性上的不同要求,將其分為五個不同的等級,分別對應資產(chǎn)在完整性上缺失時對整個組織的影響。下表提供了一種完整性賦值的參考。表信息資產(chǎn)完整性賦值表賦值標識 定義很高完整性價值非常關(guān)鍵,未經(jīng)授權(quán)的修改或破壞會對組織造成重大的或無法接受的影響,對業(yè)務沖擊重大,并可能造成嚴重的業(yè)務中斷,難以彌補高完整性價值較高,未經(jīng)授權(quán)的修改或破壞會對組織造成重大影響,對業(yè)務沖擊嚴重,較難彌補中等完整性價值中等,未經(jīng)授權(quán)的修改或破壞會對組織造成影響,對
9、業(yè)務沖擊明顯,但可以彌補底完整性價值較低,未經(jīng)授權(quán)的修改或破壞會對組織造成輕微影響,對業(yè)務沖擊輕微,容易彌補很低完整性價值非常低,未經(jīng)授權(quán)的修改或破壞對組織造成的影響可以忽略,對業(yè)務沖擊可以忽略(三)可用性賦值根據(jù)信息資產(chǎn)在可用性上的不同要求,將其分為五個不同的等級,分別對應資產(chǎn)在可用性上應達成的不同程度。下表提供了一種可用性賦值的參考。表:信息資產(chǎn)可用性賦值表賦值標識 定義很高可用性價值非常高,合法使用者對信息及信息系統(tǒng)的可用度達到年度99.9%以上,或系統(tǒng)不允許中斷高可用性價值較高,合法使用者對信息及信息系統(tǒng)的可用度達到每天90%以上,或系統(tǒng)允許中斷時間小于10min中等可用性價值中等,合
10、法使用者對信息及信息系統(tǒng)的可用度在正常工作時間達到70%以上,或系統(tǒng)允許中斷時間小于30min底可用性價值較低,合法使用者對信息及信息系統(tǒng)的可用度在正常工作時間達到25%以上,或系統(tǒng)允許中斷時間小于60min很低可用性價值可以忽略,合法使用者對信息及信息系統(tǒng)的可用度在正常工作時間低于25%第五章信息披露管理第七條對外信息披露管理(一)責任部門對外信息披露的責任部門為總裁辦,總裁辦是公司的對外公告、啟事、宣傳文稿等工作的對口部門。(二)對外信息披露的流程1)信息的報送:各部門根據(jù)工作需要對外發(fā)布及傳送信息時,需提前通知總裁辦,并將對外公布信息內(nèi)容、信息披露的渠道等報送總裁辦審批;2)信息的審批:
11、總裁辦對各部門對外公布信息內(nèi)容和渠道進行審批,審批通過后由總裁辦統(tǒng)一執(zhí)行對外信息發(fā)布的工作(附表一)。重要對外信息的審批則需上報董事長審批,審批通過后由總裁辦進行發(fā)布工作(附表二)。注:對于經(jīng)常性或較為適于職能部門發(fā)布的信息,經(jīng)總裁辦審批后,可由相應部門負責對外信息發(fā)布,發(fā)布信息內(nèi)容則必須在總裁辦留檔。3)發(fā)生費用的控制:對于因信息發(fā)布披露而產(chǎn)生的費用,各部門在年初時需制訂相應的預算,在具體信息對外公布執(zhí)行中,財務部按照預算進行控制。對于超出預算或其他特殊情況的費用,則需相應部門上報公司董事長進行審批,審批通過后予以執(zhí)行。4)對外披露信息的存檔:對外披露的信息由總裁辦統(tǒng)一存檔、保留。第六章電子
12、數(shù)據(jù)的使用和處置第八條對所有電子數(shù)據(jù)進行分類/分級,標識未授權(quán)人員的訪問限制,不同安全級別的數(shù)據(jù)應存儲在不同的區(qū)域,按類按級傳達,便于信息的安全管理。第九條不同類型的電子文件按照統(tǒng)一規(guī)律存放在個人電腦或服務器中,便于整理和查閱以及工作交接時轉(zhuǎn)移。第十條所有電子文件保存在電腦或服務器中,并按照xxxxx公司備份和恢復管理制度規(guī)定的備份頻率定期進行備份。第十一條對于存于服務器上的電子數(shù)據(jù)的訪問,根據(jù)服務器提供服務的不同與部門職務的不同,設置不同的訪問權(quán)限,避免非授權(quán)訪問。第十二條對于內(nèi)部公開級別的電子信息,其使用要控制在內(nèi)部,禁止帶出。第十三條對于秘密級別以上的電子文件的處理過程,必須保障數(shù)據(jù)的完
13、整性、機密性和可用性。第十四條對于秘密級別以上的電子文件的使用,系統(tǒng)應進行審計。第十五條對于秘密級別以上的電子文件的傳輸,必須采取適當?shù)陌踩胧┘右员Wo,如加密傳輸、分散傳輸?shù)取5谑鶙l在整理電腦中的電子數(shù)據(jù)時,要小心操作,確認后再進行處理,避免由于誤操作將有用的電子數(shù)據(jù)刪除。第七章紙質(zhì)文檔的使用和處置第十七條所有的秘密級以上的紙質(zhì)文件資料要(通過標簽或其它方式)標識出資產(chǎn)的保密級別,分類存放,不同安全級別的紙質(zhì)文件應按類按級傳達,便于紙質(zhì)文件的安全管理。第十八條對于比較重要的紙質(zhì)文件(機密級別以上)必須保存在帶鎖的文件柜或保險柜中,鑰匙由專人保管。第十九條對于紙質(zhì)文件的保存期限依據(jù)實際要求制定和實施。第二十條對于比較重要的紙質(zhì)文件的使用過程,必須注意信息的保密,確保信息的完整性和可用性。第二十一條對于比較重要的紙質(zhì)文件的傳輸,必須采取適當?shù)陌踩胧┘右员Wo,如專人遞送、分散傳輸?shù)?。第八章附則第二十二條本制度由總裁辦負責解釋與修訂。第二十三條本制度自發(fā)布之日起施行。