16信息資產(chǎn)分類及安全管理規(guī)定

信息資產(chǎn)分類及安全管理規(guī)定第一章.總則第一條.本規(guī)定是為加強(qiáng)對(duì)信息中心信息資產(chǎn)的管理，保障信息資產(chǎn)安全，防止信息資產(chǎn)損毀、誤用和非授權(quán)訪問(wèn)，確保信息資產(chǎn)的保密性、完整性和可用性，特制訂本規(guī)定。第二條.本規(guī)定適用于信息中心針對(duì)信息資產(chǎn)進(jìn)行分級(jí)分類保護(hù)以及相應(yīng)的管理活動(dòng)。第三條.信息中心負(fù)責(zé)對(duì)IT資產(chǎn)的日常管理。第二章.管理規(guī)定第一節(jié).信息資產(chǎn)分類第四條.所有信息資產(chǎn)都應(yīng)指定資產(chǎn)責(zé)任人，并由資產(chǎn)責(zé)任人負(fù)責(zé)進(jìn)行相關(guān)資產(chǎn)的識(shí)別、統(tǒng)計(jì)、分類、分級(jí)和實(shí)施相應(yīng)的保護(hù)措施，需從安全責(zé)任劃分資產(chǎn)所有者（即資產(chǎn)責(zé)任人）、維護(hù)者以及使用者。第五條.信息資產(chǎn)按形式不同可以分為五類：數(shù)據(jù)和文檔資產(chǎn)、軟件資產(chǎn)、實(shí)物資產(chǎn)、人員資產(chǎn)和服務(wù)資產(chǎn)。其中數(shù)據(jù)和文檔資產(chǎn)主要包括業(yè)務(wù)數(shù)據(jù)和記錄、各類管理制度、管理文檔、辦公文檔以及外來(lái)的數(shù)據(jù)文件等。具體如下：（一）數(shù)據(jù)和文檔資產(chǎn)：通常包括各種電子檔：業(yè)務(wù)數(shù)據(jù)、客戶數(shù)據(jù)、配置文件、記錄數(shù)據(jù)（日志、審計(jì)記錄）、管理文件（策略、流程文件、操作手冊(cè)等）、商務(wù)文件（合同、協(xié)議等）以及外來(lái)數(shù)據(jù)文件等。也包括以實(shí)物方式存在的資產(chǎn)：各類電子數(shù)據(jù)的歸檔、打印件、書(shū)面管理文件、業(yè)務(wù)報(bào)表、包含重要商業(yè)成果的文件，還有膠片等。（二）軟件資產(chǎn)：各種系統(tǒng)軟件、應(yīng)用軟件（OA、業(yè)務(wù)軟件等）和工具軟件（網(wǎng)管軟件、安全軟件等），包括操作系統(tǒng)、數(shù)據(jù)可應(yīng)用程序、網(wǎng)絡(luò)軟件、辦公應(yīng)用系統(tǒng)、業(yè)務(wù)應(yīng)用系統(tǒng)等，這些軟件資產(chǎn)負(fù)責(zé)處理、存儲(chǔ)或傳輸各類信息。（三）實(shí)物資產(chǎn)：與業(yè)務(wù)相關(guān)的IT物理設(shè)備，包括計(jì)算機(jī)（工作站和服務(wù)器等）和網(wǎng)絡(luò)通信設(shè)備、磁介質(zhì)（磁帶和磁盤(pán)等）、裝置、環(huán)境等，這些實(shí)物資產(chǎn)容納著軟件和數(shù)據(jù)文件。（四）人員資產(chǎn)：承擔(dān)某項(xiàng)與業(yè)務(wù)活動(dòng)相關(guān)責(zé)任的角色和職位。例如普通用戶、系統(tǒng)管理員、網(wǎng)絡(luò)管理員、有合同約束的保安、清潔員等，這些人員與各類數(shù)據(jù)、軟件和實(shí)物資產(chǎn)的操作直接相關(guān)。（五）服務(wù)資產(chǎn)：安保（例如監(jiān)控、門(mén)禁、保安等），環(huán)境服務(wù)（例如清潔），基礎(chǔ)保障（供水、供熱、供電），設(shè)備維護(hù)，通信服務(wù)（例如互聯(lián)網(wǎng)接入）。第六條.信息資產(chǎn)分級(jí)，根據(jù)各類信息資產(chǎn)在保密性、完整性和可用性三個(gè)方面所表現(xiàn)出的不同的重要程度，劃分為五個(gè)級(jí)別，從高到低分別為：核心商密、重要商密、一般商密、內(nèi)部使用和公開(kāi):（一）核心商密：組織最重要的秘密，如果泄露會(huì)造成災(zāi)難性的損害，對(duì)業(yè)務(wù)沖擊重大，并可能造成嚴(yán)重的業(yè)務(wù)中斷。（二）重要商密：組織的重要秘密，如果泄露會(huì)使組織的安全和利益收到嚴(yán)重?fù)p害，對(duì)業(yè)務(wù)沖擊嚴(yán)重，較難彌補(bǔ)。（三）一般商密：組織的一般性秘密，如果泄露會(huì)使組織的安全和利益收到損害，對(duì)業(yè)務(wù)沖擊明顯，但可以彌補(bǔ)。（四）內(nèi)部使用：僅能在組織內(nèi)部或在組織內(nèi)某一部門(mén)內(nèi)公開(kāi)的信息，向外擴(kuò)散有可能對(duì)組織的利益造成輕微損害，對(duì)業(yè)務(wù)沖擊輕微，容易彌補(bǔ)。（五）公開(kāi)：可對(duì)社會(huì)公開(kāi)的信息，公用的信息處理設(shè)備和系統(tǒng)資源等，對(duì)業(yè)務(wù)沖擊可以忽略。第二節(jié).信息資產(chǎn)的敏感性標(biāo)識(shí)第七條.紙質(zhì)文檔的敏感性標(biāo)識(shí)（一）紙質(zhì)文檔的敏感性標(biāo)識(shí)采用印章方式；（二）紙質(zhì)文檔所有者或管理者負(fù)責(zé)對(duì)該文檔蓋章，部門(mén)信息安全管理員負(fù)責(zé)指導(dǎo)；（三）印章分為“核心商密”、“重要商密”、“一般商密”、“內(nèi)部使用”和“公開(kāi)”五種；（四）每個(gè)部門(mén)至少配備“核心商密”、“重要商密”、“一般商密”和“公開(kāi)”四個(gè)印章各一個(gè)；印章由部門(mén)信息安全管理員保管。第八條.電子信息的敏感性標(biāo)識(shí)（一）電子文檔應(yīng)該在文檔的封面上標(biāo)識(shí)其敏感性級(jí)別；（二）電子文檔所有者或管理者負(fù)責(zé)添加敏感性級(jí)別，部門(mén)信息安全管理員負(fù)責(zé)指導(dǎo)；（三）電子文檔敏感性級(jí)別分為“核心商密”、“重要商密”、“一般商密”、“內(nèi)部使用”和“公開(kāi)”五種。第九條.存儲(chǔ)了商密級(jí)以上信息的移動(dòng)介質(zhì)或備份介質(zhì)（如U盤(pán)、移動(dòng)硬盤(pán)、磁帶、光盤(pán)等），在條件允許的情況下，應(yīng)采用蓋章或張貼敏感性標(biāo)識(shí)不干貼等方式進(jìn)行標(biāo)識(shí)。第十條.針對(duì)硬件設(shè)備、環(huán)境設(shè)施等實(shí)物資產(chǎn)，原則上不進(jìn)行敏感性標(biāo)識(shí)，僅標(biāo)識(shí)相應(yīng)設(shè)備的基本序列等信息，所屬密級(jí)應(yīng)記錄在相應(yīng)文檔。第三節(jié).信息資產(chǎn)的使用第十一條.嚴(yán)禁員工在未經(jīng)允許的情況下，利用任何手段將涉密文件及內(nèi)容制作成電子形式在辦公自動(dòng)化系統(tǒng)內(nèi)或以其他方式進(jìn)行傳輸。第十二條.商密級(jí)以上信息的使用應(yīng)受到嚴(yán)格控制，文件的接收人應(yīng)按信息的使用目的、使用范圍進(jìn)行正確使用，未經(jīng)許可不得向他人公開(kāi)和傳播。第十三條.商密級(jí)以上，如無(wú)特別規(guī)定，原則上應(yīng)在使用后及時(shí)進(jìn)行回收、歸檔及保存或者實(shí)施廢棄。廢棄商密級(jí)以上文件時(shí)，紙類媒體可用粉碎的方法，其它媒體可用初始化或破壞媒體的方法處理。第四節(jié).信息資產(chǎn)的保密期限第十四條.信息類資產(chǎn)的保密期限原則性規(guī)定為：“核心商密”、“重要商密”和“一般商密”類至少為五年，“內(nèi)部使用”類至少為三年。國(guó)家有明確規(guī)定的依國(guó)家相關(guān)規(guī)定，如會(huì)計(jì)檔案的保存期限。第十五條.在保密期限內(nèi)的信息類資產(chǎn)，當(dāng)客觀環(huán)境發(fā)生變化或因商業(yè)目的，不再需要繼續(xù)保持較高密級(jí)或不需要再保密時(shí)，經(jīng)授權(quán)或書(shū)面批準(zhǔn)（紙質(zhì)或電子文檔均可）后，可以提前解密，解密后，密級(jí)為“公開(kāi)使用”；但國(guó)家有明確規(guī)定不能提前解密的按國(guó)家相關(guān)規(guī)定辦理。第十六條.信息類資產(chǎn)的保密期限開(kāi)始時(shí)間，如有特別注明生效時(shí)間的，為注明的