华为公司信息安全宣传.pptx

信息资产识别与定级 资产密级 绝密 机密 秘密 内部公开 基于与战略竞争对手拉开并保持差距的市场竞争策略，在市场竞争态势中使我司处于优势地位，且对未来业务和产品发展有重大影响的，或战略竞争对手特别关注，获取后将严重影响我司产品核心竞争优势的信息资产。 包括但不限于：算法、架构、方案、特性、需求、规划等。其载体包含但不限于：源代码、原理图、文档、会议纪要等。 关键信息资产占信息资产总量的5%左右。 关键资产需要加密，例外情况需备案。 关键资产以外的信息资产，包括秘密和内部公开两个密级。 跨产品/跨部门的非关键信息资产申请由需求方主管说了算。 秘密级不应加密。内部公开级不允许RMS加密。 在Hi3MS发布或存放的文档不允许加密。 关键资产 非关键资产 华为研发安全环境分区：红区、黄区、绿区 关键信息资产 非关键信息资产 红区（高） 黄区（中） 绿区（低） 针对以安全保护为主的、涉及大量/集中关键信息资产的关键项目或产品的部门 竞争激烈领域的主力产品，关键技术、主力平台，识别为关键项目的预研、规划、审计、开发、测试等业务 针对以安全与效率平衡、涉及分散关键信息资产的项目或产品的部门 一般的产品、技术、平台的预研、规划、设计、开发、测试环境 针对以共享为主、效率优先，不涉及关键信息资产的部门 合作、外包、对外演示、对外测试、移动办公环境 大量集中 信息资产 环境 部门 业务 网络环境安全分区隔离与管控 红区完全独立 黄区业务上云 用户和实验室迁入绿区，仅少量继续保留在黄区 用户跨区访问必须经数传跳转 信息资产的获取与共享 只要业务需求是合理的，任何人无权拒绝提供信息或擅自提高主管审批级别；对于阻碍信息共享的行为，可以进行投诉。内部信息交流或对公司外提供信息时，应遵循以下审批原则： 密级 确定密级 内部信息交流 对外提供信息 获取信息 共享信息 绝密/机密 信息生成方二级（含以上）主管 信息生成方和需求方二级（含以上）主管 信息生成方二级（含以上）主管 信息生成方二级（含以上）主管 秘密 信息生成方三级（含以上）主管 信息需求方部门直接（含以上）主管 信息需求方或员工本部门直接（含以上）主管 信息生成方或员工本部门三级（含以上）主管 内部公开 同上 不需要审批 不需要审批 同上 备注： 1、信息责任人可以授权相关组织或人员履行具体职责，但管理责任不因委托关系而转移。 2、经信息安全部同意，各部门可以制定和发布审批细则，进一步明确信息密级所对应的审批级别。 信息资产跨区域传输的安全通道 信息资产的清除 包含保密信息的存储介质/设备，在进行数据清除时，要求如下： 删除数据 属于存储介质/设备使用人或用途发生改变时。 低级格式化 属于资产归属转出或外借设备归还时。 如：便携机资产转个人、归还借用供应商的存储设备 物理销毁或消磁 属于资产报废或涉及绝密/机密信息的数据清除。 纸件销毁 包含保密信息的纸件在废弃时（如：复印效果差、打印未完成），可使用碎纸机销毁，不应随意丢弃 委托外部公司对包含保密信息的存储截止进行数据恢复时，应经过主管批准，并选择公司指定的供应商。当涉及绝密/机密信息的数据恢复时，必须经过信息生成方责任人批准。 权限管理：权限分类与定义 定义 基本权限—能够满足本岗位工作所需的必要权限，该权限在员工到岗后自动授权 例外权限—基本权限不能满足工作需要，须经流程申请获得的权限 系统权限—信息资产存储系统的系统管理、应用平台管理、应用管理（数据管理）等权限，须经流程申请并经审批后授权并纳入机要管理 机要权限—机要岗位所特有的权限，包括信息资产及重要数据系统的权限设、数据管理、数据出口管理、数据传递等权限 权限管理：授权与行权 授权 基本使用/审批权 数据库导入 例外使用/审批权 例外权限申请 数据管理权 例外权限申请 数据传递权 例外权限申请 监督权/问责权 例外权限申请 行权（数传） 行权（审批） 提取关键资产 数据管理员 传递关键资产 数传员 “虎符”制 申请 使用人 需求使用确认 需求方二级 审批人 需求合理性 确认 生成方二级 审批人 审批 生成方研发部长 确认 首席机要员 冒泡检测 监督/问责 信管办 权限分离 权限监督 例外权限：信息资产查阅与获取流程冒泡问责机制 信息资产管理平台-iRight 信息资产管理平台-iRight（续） 研发关键信息资产的识别流程（IPD类） 1、流程支撑 关键信息资产的识别、评审、加密活动均有IT流程支撑（iRight权限平台） 2、例行识别 在TR2前识别关键信息资产并完成定密，制定信息安全策略