信息资产分级分类管理规定.docx

PAGE \* Arabic 6 编号： ISMS-2-16 版本号： V1.0 受控状态： 受控 密级： 内部公开 信息资产分级分类管理规定 Version 1.0 2017年4月28日 版权声明和保密须知 文档信息 文档编号：JKMS-2-16 文档分类：内部公开 起草人： 修改人： 审核人： 批准人： 版本记录 版本号 版本日期 修改 审核 批准 修改履历 V0.1 2017.3.25 起草全文 V0.2 2017.9.15 审核 V1.0 2019.4.28 批准  目录 1. 编写目的 4 2. 适用范围 4 3. 术语、定义和缩略语 4 4. 角色及职责 4 4.1 信息安全管理者代表 4 4.2 信息安全办公室 4 4.3 各部门信息安全管理员 4 4.4 全体员工 4 5. 内容 5 5.1 信息资产分类分级 5 5.2 信息资产处理和保护 6 6. 附则 6 7. 参考 6 7.1 相关文件 6 7.2 相关表单 7  编写目的 本规定是为组织信息资产进行分级分类、鉴定和标识提供参考标准，对不同重要级别的信息资产基于合理的成本采取相应的保护措施，防止信息资产被损毁、误用和非授权访问，保障信息资产的保密性、完整性和可用性。 适用范围 XXX有限公司（以下简称“广东健客”）在开展风险评估、安全检查等活动过程中应依据本规定对信息资产进行分级分类。 术语、定义和缩略语 无 角色及职责 信息安全管理者代表 负责审核、批准本管理规定，同时负责监督本规定在各部门的落实情况。 信息安全办公室 负责组织广东健客相关人员完成信息资产的识别和分类分级工作，建立和维护广东健客的信息资产表。 运维部 落实执行本规定要求，组织本部门相关人员完成信息资产的识别和分类分级工作；建立和维护本部门的信息资产表，并每季度进行更新。 全体员工 遵守本规定所要求的信息资产标注与保护要求，在日常工作中遵循本规定的要求实现信息资产的安全保护。 内容 信息资产分类分级 所有信息资产都应指定资产责任人，并由资产责任人负责进行相关资产的识别、统计、分类、分级，以便相关人员采取相应的保护措施。 信息资产按形式不同可以分为六类：数据资产、软件资产、实物资产、人员资产、服务资产和其他资产。详细分类参考附件1：信息资产分类表。 根据各类信息资产在保密性（Confidentiality）、完整性（Integrity）和可用性（Availability）三个方面所表现出的重要程度，各划分为五个级别，对应取值范围从“5”到“1”（5为最重要，1为最不重要），详见附件2。 广东健客在各项工作中产生的秘密事项分为国家秘密和企业秘密两类。国家秘密是关系国家的安全和利益，依照法定程序规定，在一定时间内只限一定范围内的人员知悉的事项。企业秘密细分为商业秘密、工作秘密和内部使用。 国家秘密又分为绝密、机密和秘密三级。对于涉及国家秘密的信息资产的管理，严格遵照国家和相关部门的管理规定执行，本规定不适用。 广东健客涉及企业密级的信息资产划分为5个级别，分别为：核心商密(保密性取值5)、普通商密（保密性取值4)、工作秘密（保密性取值3）、内部使用(保密性取值2)和公开(保密性取值1)。 商业秘密是指为广东健客所有、且不为公众所知悉，能为企业带来经济利益、具有实用性并经中央企业采取保密措施的经营信息和技术信息，主要包括：战略规划、管理方法、商业模式、改制上市、并购重组、产权交易、财务信息、投融资决策、产购销策略、资源储备、客户信息、招投标事项等经营信息；设计、程序、产品配方、制作工艺、制作方法、技术诀窍等技术信息。详见《中央企业商业秘密保护暂行规定》（国资发〔2010〕41 号）。商业秘密按照重要程度分为核心商密和普通商密。 工作秘密是指广东健客商业秘密之外，泄露后会给广东健客工作造成一定程度损害或被动的内部事项。 内部使用是指限于广东健客内部范围内知晓和了解，泄露后会造成轻微程度的损害或被动的内部事项。 公开指可向社会公众和外界媒体公开的信息。 对于涉及商业秘密的信息资产的管理，严格遵照《中央企业商业秘密保护暂行规定》（国资发〔2010〕41 号）执行。对工作秘密、内部使用和公开级别的信息资产的具体管理，遵照本规定执行。 信息资产处理和保护 所有用户都应该遵守广东健客信息安全管理策略和本管理规定相关要求，结合本部门的其它管理要求，采取对应的措施手段进行保护。详见附件3：信息资产处理与保护图。 在信息资产生命周期不同阶段，信息资产保密性（C）、完整性（I）、可用性（A）属性值会因各种原因发生变化，此时资产责任人及相关人员应按照新的属性值采取适当的处理和保护措施。 广东健客内部人员，必须按照附件3要求，对电子文件和文档的密级正确地进行标注。 附则 各部门可根据本规定制定相应的实施