信息安全保密管理制度.docxVIP

信息安全保密管理制度 目的 为了加强对公司各类文件、数据的保密管理，保护公司秘密，维护公司利益，特制定本制度。 信息资产的定义 信息资产是指在生产、经营和管理过程中，所需要的以及所产生的支持（或指导、影响）生产、经营和管理一切有用的数据和资料等无形资产，具体包括： 各类规划、商业计划、方案与策略等管理数据； 公司各类财务报表、凭据等财务数据； 产品设计资料、技术图纸、技术文档、工程资料等技术资料和数据； 投资开发的（或具有独立知识产权的）程序软件的设计文档、源代码、支持程序软件、外购软件的使用许可证记录、系统平台基础数据等； 各类专业系统的应用数据库及数据文件、业务报表等系统业务数据； 各类专业系统的运行方案、运行记录、变更记录等系统运行数据以及应急计划； 其他纸介质的重要办公文件（信件）、图象、影象、录音和照片等非结构化办公资料； 系统配置数据、系统授权信息、口令文件、密钥及算法文件、系统说明文档、用户手册等系统基础数据； 各类业务流程、操作规程、操作指导、模板等管理文件； 域名、网络拓扑结构、网络IP地址及分配规则、企业标准编码； 信息资产保密等级 3.1 信息资产保密等级（简称密级）分为：绝密、机密、秘密、公开四种。 3.1.1 绝密：公司最重要的秘密，泄露会使公司的权益和利益遭受特别严重的损失。仅限于公司内部个别人知悉； 3.1.2 机密：公司重要的秘密，泄露会使公司权益和利益遭受严重的损失。仅限于文件处理过程相关人员知悉； 3.1.3 秘密：公司一般的秘密，泄露会使公司权益和利益遭受一定的损失。仅限于公司内部特定范围员工知悉； 3.1.4 公开：分为内部公开，对外公开。不会令公司权益和利益遭受损失的各类文件资料。 3.2 公司常用信息资产密级 下表列举了日常工作中常见的信息资产及其密级，并指定了每类信息资产的Owner。信息资产Owner作为信息的所有者，对信息资产的安全负责，具体职责包括核准信息密级，批准信息的访问权限申请，批准信息的降级或解密。 经营管理类 涉及公司战略、财务及重大决策的绝密类文档Owner为公司总裁； 机密文档Owner为董事会秘书/财务部经理/总裁办主任； 秘密级文档的Owner为财务部经理/部门经理； 市场销售类 市场规划为绝密文档，Owner为IPMT主任； 客户清单、重大项目机会、投标方案、报价、项目成本等机密文档的Owner为事业部总经理； 秘密级文档的Owner为相关部门经理或项目经理； 产品研发类 产品规划、技术预研规划为绝密文档，Owner为研发副总裁； 产品需求、规格、设计图纸、设计文档、源代码、BOM清单等机密文档Owner为产品线总监； 秘密文档Owner为相关部门经理或产品经理； 供应链类 采购策略、采购渠道等绝密信息Owner为分管供应链副总裁； 生产图纸、采购合同、供应商清单、采购价格等机密信息Owner为供应链部经理； 秘密文档Owner为供应链部经理； 人力资源类 薪酬体系、薪酬结构和带宽等机密信息Owner为人力资源部经理； 员工档案、人力资源制度等秘密信息Onwer为人力资源部经理； 信息资产管理要求 信息密级的确定 4.1.1公司文件资料密级由作者定义，由信息资产Owner核准； 4.1.2须在文件醒目位置标注密级等级，标注方式包括但不限于添加页眉，页脚，水印等； 信息的保存与访问权限控制 4.2.1信息资产的存放介质包括电子介质、纸介质以及其他介质，本规定适用于所有介质存放的信息； 4.2.2公司纸质保密文件应由信息Owner指定专人负责管理，并严格根据授权范围控制查阅人员； 4.2.3 电子介质文件应存放在现有系统中（包括但不限于FTP、OA、ERP等），系统管理员对电子文件的安全性负责。系统管理员须对系统目录、模块的访问权限进行控制，保证对应文件查阅人员权限正确； 4.3.4文件访问权限范围由信息资产Owner根据流程上下游工作涉及的角色确定，应遵循“最小授权”原则，即权限刚好满足流程中角色的工作需要； 4.3.5 信息系统账号创建后，使用人需要更改初始密码并定期修改密码，个人账号不得转借他人使用； 信息的传递、分发和使用要求 4.3.1纸质保密文件借出需要登记编号及加盖保密章，文件管理人员需要记录借阅情况。借阅人在借阅过程中不得对文件进行复印，留存，并须在指定时间内归还借阅的文件。 4.3.2电子介质文件只能通过对应的IT系统进行查阅，且使用者要有对应的权限。需要对秘密或以上文件进行查阅的人员需要有信息资产Owner的批准，由信息部门开放权限后方可对文件进行查阅。使用人需要对文件的安全性负责,文件不得复制、传递给无关人员； 4.3.3 发送保密文件须采用点对点方式，不应通过即时通讯软件（包括但不限于企业微信、263、微信、钉钉等）群发保密文件。通