6110212004信息資產(chǎn)分級管理規(guī)范

1、q/zx中興通訊股份有限公司企業(yè)標準（管理標準）q/zx 61.1021-2004信息資產(chǎn)分級管理規(guī)范2004-06-07 發(fā)布 2004-06-15 實施中興通訊股份有限公司 發(fā) 布q/zx 61.1021-2004目 次前 言ii1范圍12術(shù)語和定義13原則24管理職責24.1公司安全委員會24.2安全管理部24.3事業(yè)部、中心（辦）安全小組24.4業(yè)務(wù)單位25信息資產(chǎn)分級細則25.1識別和登記業(yè)務(wù)流程25.2識別和登記信息資產(chǎn)25.3信息資產(chǎn)分級36信息資產(chǎn)分級保護36.1總要求36.2信息資產(chǎn)的標識36.3絕密級信息資產(chǎn)的要求36.4機密級信息資產(chǎn)36.5秘密級信息資產(chǎn)46.6公開級信

2、息資產(chǎn)47附錄47.1附錄a 信息資產(chǎn)標識47.2附錄b 絕密級信息資產(chǎn)模板4前 言公司的資產(chǎn)種類眾多，其中有許多對公司的競爭力和業(yè)務(wù)的成功有很大的價值，包括有形資產(chǎn)和極具價值的信息資產(chǎn)，例如公司的知識信息資產(chǎn)和機密信息等。妥善保護這些資產(chǎn)十分重要。因為資產(chǎn)的遺失、失竊或被妄用，均會危害到公司的利益。信息分類是信息安全管理標準iso-17799指導的一部分。信息分類的目標是“確保信息資產(chǎn)得到符合安全級別要求的保護，安全分類方法有助于了解安全保護的要求和優(yōu)先級別”。作為這項工作的部分，需要制定信息資產(chǎn)和負責人列表，為所有信息資產(chǎn)進行分類。每項信息資產(chǎn)負責人必須為他/她負責的信息資產(chǎn)制定標簽。信息

3、分類不僅是按照信息安全策略和指導來制定信息資產(chǎn)列表，而且信息資產(chǎn)分類方法也是進行企業(yè)信息安全風險分析評估的重要前提和基礎(chǔ)。公司要求所有信息資產(chǎn)都需要得到合理的分級并且得到符合其分級要求的保護。本標準的附錄a、附錄b是規(guī)范性附錄。本標準由中興通訊股份有限公司總裁辦安全管理部提出，技術(shù)中心規(guī)劃發(fā)展部歸口。本標準起草部門：總裁辦安全管理部。本標準主要起草人：王玉忠、姜文智、鄧維軍、王智、陳飛。本標準于2004年6月首次發(fā)布。9信息資產(chǎn)分級管理規(guī)范 1 范圍本標準規(guī)定了如何進行了公司的信息資產(chǎn)分級工作，規(guī)定了對不同信息資產(chǎn)級別采取的不同的保護控制措施。本標準適用于公司所有信息資產(chǎn)的分級和保護工作。如果

4、不做特別說明，在本標準中信息等同于信息資產(chǎn)。2 術(shù)語和定義下列術(shù)語和定義適用于本標準。2.1 信息資產(chǎn)組成業(yè)務(wù)流程的子流程中使用的重要的最小單位量的信息。2.2 信息資產(chǎn)分級針對信息資產(chǎn)在生成、使用、變更、儲存及傳遞過程中的敏感程度（包括保密性、可用性、完整性），確定其不同的保護級別，確保信息資產(chǎn)得到符合安全級別要求的保護。2.3 業(yè)務(wù)單位指公司為實現(xiàn)某一任務(wù)所劃分的組織，可以是某一事業(yè)部、也可以是某一部門、或項目團隊。原則上業(yè)務(wù)單位需要指定相應的信息安全接口人。2.4 保密性確保信息只能被授權(quán)使用者使用。2.5 完整性確保信息和處理方法的準確和完整。2.6 可用性確保授權(quán)使用者當需要時能夠使

5、用信息。2.7 信息資產(chǎn)等級根據(jù)信息資產(chǎn)的敏感程度，公司的信息資產(chǎn)保護級別劃分為4級。2.7.1 絕密敏感程度最高的信息，如果泄露或出現(xiàn)錯誤或不可用將會對公司造成災難性的后果。如公司的收購計劃、投資策略、公司戰(zhàn)略產(chǎn)品的研發(fā)項目計劃、研發(fā)設(shè)計等。絕密級信息資產(chǎn)要求最高的安全性和保護級別，例如其分發(fā)必須被嚴格限制，其使用必須被全程監(jiān)控，或不允許出現(xiàn)錯誤或要求在極短的時間內(nèi)可恢復等。2.7.2 機密對公司的運作至關(guān)重要的信息，如果泄露或出現(xiàn)錯誤或不可用將嚴重影響公司的運作。如公司的會計信息、商業(yè)計劃、敏感的客戶資料、產(chǎn)品資料等。其訪問需要得到特別授權(quán)，或僅允許出現(xiàn)微量的錯誤或在較短的時間內(nèi)恢復等。2

6、.7.3 秘密對公司運作重要的信息，如公司的組織架構(gòu)、業(yè)務(wù)流程、項目工作計劃及其他描述公司運作方式的信息等。秘密級信息只能由被公司授權(quán)的人或組織所使用或在公司內(nèi)部使用，只能出現(xiàn)少量錯誤或在一定的時間內(nèi)恢復。2.7.4 公開由公司確認為公開的信息，如公司發(fā)布的年報、招聘信息、特別聲明等。3 原則3.1 公司內(nèi)所有信息資產(chǎn)，包括紙面的、電子化的以及以其他形式存在的信息資產(chǎn)都必須被合理的分級并加以標識。3.2 公司所有信息資產(chǎn)必須依照其信息資產(chǎn)級別嚴格執(zhí)行相應的控制及安全措施。3.3 信息資產(chǎn)分級和保護工作由安全組織負責組織策劃和審計，各業(yè)務(wù)單位負責執(zhí)行。4 管理職責4.1 公司安全委員會制定信息資

7、產(chǎn)分級與保護的方針政策。4.2 安全管理部a） 組織信息資產(chǎn)分級標準的制定和維護；b） 指導各單位信息資產(chǎn)分級與保護工作；c） 組織各單位信息資產(chǎn)分級與保護工作的審計。4.3 事業(yè)部、中心（辦）安全小組a） 組織本單位信息資產(chǎn)等級的審核；b） 組織本單位信息資產(chǎn)的分級工作；c） 組織本單位信息資產(chǎn)分級維護工作；d） 組織本單位信息資產(chǎn)的保護工作。4.4 業(yè)務(wù)單位a） 在各級安全組織的組織指導下執(zhí)行本單位信息資產(chǎn)的分級工作；b） 在各級安全組織的組織指導下執(zhí)行本單位信息資產(chǎn)的分級維護工作；c） 在各級安全組織的組織指導下執(zhí)行本單位信息資產(chǎn)的保護工作。5 信息資產(chǎn)分級細則5.1 識別和登記業(yè)務(wù)流程

8、5.1.1 信息資產(chǎn)分級的第一步是識別業(yè)務(wù)流程，業(yè)務(wù)流程是識別信息資產(chǎn)和其所有者的主要依據(jù)。5.1.2 業(yè)務(wù)部門需要在安全組織的指導下，登記本單位涉及的業(yè)務(wù)流程。業(yè)務(wù)流程登記的格式見表qr 61.1021-2004-01業(yè)務(wù)流程登記表。5.1.3 如果業(yè)務(wù)單位沒有正式的業(yè)務(wù)流程文檔描述實際的業(yè)務(wù)工作流程時，必須首先建立文檔化的業(yè)務(wù)流程。5.2 識別和登記信息資產(chǎn)5.2.1 在識別業(yè)務(wù)流程后，需要識別登記業(yè)務(wù)流程中的信息資產(chǎn)，其是進行信息資產(chǎn)分級工作的基礎(chǔ)。5.2.2 業(yè)務(wù)部門需要在安全組織的指導下，登記本單位業(yè)務(wù)流程所涉及的信息資產(chǎn)。信息資產(chǎn)登記的格式見表qr 61.1021-2004-02信

9、息資產(chǎn)登記表。注意： 與其他業(yè)務(wù)范圍的接口和外部信息來源必須也包含在信息資產(chǎn)清單中5.3 信息資產(chǎn)分級5.3.1 對于已經(jīng)識別、確定并且登記的信息資產(chǎn)，結(jié)合業(yè)務(wù)流程的要求，從機密性、完整性、可用性三方面來評估其對業(yè)務(wù)的影響和風險，確定其保護所需要的分級要求。5.3.2 信息資產(chǎn)的總體等級采取從高原則：信息資產(chǎn)的總體等級的確定與信息資產(chǎn)的最高的保密性、完整性、可用性安全級別要求相一致。5.3.3 信息資產(chǎn)風險評估見表qr 61.1021-2004-03信息資產(chǎn)風險評估表。6 信息資產(chǎn)分級保護6.1 總要求所有確定分級的信息資產(chǎn)都必須得到符合其等級的保護。6.2 信息資產(chǎn)的標識6.2.1 公司信息

10、資產(chǎn)必須有相應的標識。6.2.2 文檔頁眉最左上角必須有公司標識，頁眉最右上角必須注明其分級標識。6.2.3 所有公司信息資產(chǎn)（包括但不限于：公司標準、公司制度、研發(fā)技術(shù)資料、工程文件以及其存儲介質(zhì)如光盤等），需有公司版權(quán)聲明的內(nèi)容。6.2.4 通過公司信息系統(tǒng)按照固定格式打印的文檔（包括但不限于：合同、料單），必須有公司標識和相對應的分級標識。6.2.5 發(fā)布的文檔不能采用數(shù)據(jù)表格文檔格式（如excel文檔，可以考慮在word文檔中使用表格）。6.2.6 關(guān)于公司標識、分級標識和版權(quán)聲明的內(nèi)容，見附錄a。6.3 絕密級信息資產(chǎn)的要求6.3.1 必須明確信息資產(chǎn)責任人和使用者。6.3.2 必須

11、使用絕密信息標準模板（見附錄b）。6.3.3 存放必須采取嚴格的安全措施，電子版本必須存儲于安全措施完備的設(shè)備中并采取加密措施，其備份文件必須經(jīng)過嚴格的保密措施，如加密授權(quán)（包括有效使用時間）等；紙面或介質(zhì)文檔鎖入保險柜等。6.3.4 僅限于信息資產(chǎn)責任人及規(guī)定的授權(quán)使用者本人在公司局域網(wǎng)或辦公區(qū)域內(nèi)使用，被授權(quán)人不得二次授權(quán)。不得以任何形式傳播此信息資產(chǎn)，如電子方式等，不得復印、翻拍、抄錄，或以任何形式復制此信息資產(chǎn)。6.3.5 如需銷毀，必須由信息資產(chǎn)責任人使用可靠的技術(shù)措施和適當?shù)脑O(shè)備（如碎紙機）銷毀。6.4 機密級信息資產(chǎn)6.4.1 必須明確信息資產(chǎn)責任人和使用者。6.4.2 必須有機

12、密等級標識和機密水印。6.4.3 存放必須采取安全措施，電子版本必須存儲于安全措施完備的設(shè)備中并采取加密措施，其備份文件必須經(jīng)過嚴格的保密措施，如加密授權(quán)（包括有效使用時間），紙面文檔鎖入文件柜等。6.4.4 僅限于信息資產(chǎn)責任人及規(guī)定的授權(quán)使用者本人在公司局域網(wǎng)內(nèi)或辦公區(qū)域內(nèi)使用，被授權(quán)人不得二次授權(quán)。不得以任何形式傳播此信息資產(chǎn)，如電子方式等，不得復印、翻拍、抄錄，或以任何形式復制此信息資產(chǎn)。6.4.5 如需銷毀，必須由信息資產(chǎn)責任人使用可靠的技術(shù)措施和適當?shù)脑O(shè)備（如碎紙機）銷毀。6.5 秘密級信息資產(chǎn)由各業(yè)務(wù)單位安全小組根據(jù)本單位情況分別確定。6.6 公開級信息資產(chǎn)不需要特別的保護，但必

13、須有公司的標識聲明。7 附錄7.1 附錄a 信息資產(chǎn)標識7.2 附錄b 絕密級信息資產(chǎn)模板業(yè)務(wù)流程登記表表qr 61.1021-2004-01業(yè)務(wù)流程（業(yè)務(wù)部門名稱）負責人角色：負責人姓名： 代碼名稱簡要說明信息資產(chǎn)登記表表qr 61.1021-2004-02信息資產(chǎn)（業(yè)務(wù)部門）負責人角色：負責人姓名：代碼名稱簡要說明信息資產(chǎn)風險評估表表qr 61.1021-2004-03 (代號: ) (代號: )業(yè)務(wù)的危害性后果分析業(yè)務(wù)影響a 災難性損害b 嚴重的損害c 造成輕微損害和不便d 可忽略的損害描述喪失競爭優(yōu)勢如果信息資料泄漏給競爭對手會造成什么樣的損害?abcd管理層決策如果信息發(fā)生錯誤或者是

14、信息被非授權(quán)修改所造成對管理層錯誤決策？abcd如果信息資產(chǎn)的不可用是否會影響管理層的決策?abcd對企業(yè)業(yè)務(wù)造成直接的損失如果信息資料泄漏業(yè)務(wù)是否會有損失?abcd如果信息發(fā)生錯誤或者是信息被非授權(quán)修改會否造成業(yè)務(wù)的損失（丟失訂單或合同）abcd如果信息資產(chǎn)不可用，是否會造成收費、利率賠償?shù)仁杖胄缘膿p失?abcd喪失公眾信任如果信息被泄漏，是否會造成喪失顧客的信任，公共形象，以及股民和供應商對企業(yè)忠誠？abcd信息發(fā)生錯誤或者是信息被非授權(quán)修改，是否會造成喪失顧客的信任，公共形象，以及股民和供應商對企業(yè)忠誠?abcd如果信息資產(chǎn)不可用，是否會造成喪失顧客的信任，公共形象，以及股民和供應商對企

15、業(yè)忠誠?abcd額外成本上升，損失金錢如果信息被泄漏，是否會造成額外的成本和花費？abcd如果信息發(fā)生錯誤或者是信息被非授權(quán)修改，是否會造成需要額外的成本和花費來調(diào)查完整性問題和恢復丟失或者是破壞的數(shù)據(jù)？abcd如果信息資產(chǎn)不可用，是否會造成收費、利率賠償?shù)仁杖胄?，以及恢復信息費的損失?abcd法律責任如果信息被泄漏，是否會造成對法律法規(guī)的違反？abcd如果信息發(fā)生錯誤或者是信息被非授權(quán)修改，是否會造成法律法規(guī)方面的責任?abcd如果信息資產(chǎn)不可用，是否會造成法律、法規(guī)方面的責任，從而遭受罰金、賠償、訴訟費用?abcd員工士氣如果信息被泄漏，是否會損害企業(yè)員工的士氣和積極性？abcd如果員工無

16、法相信和依賴信息，是否會打擊員工的士氣和積極性?abcd如果信息資產(chǎn)不可用，是否會造成打擊員工士氣和積極性?abcd欺詐如果信息被泄漏，會否造成貨物或者資金的受到欺詐？abcd如果信息發(fā)生錯誤或者是信息被非授權(quán)修改會否造成貨物或者資金受到欺詐？abcd如果信息資產(chǎn)不可用，是否會造成貨物或者資金受到欺詐？abcd總體評價cabcdiabcdaabcd安全級別滿足業(yè)務(wù)安全要求的最低安全級別保密性安全級別a 泄密引起災難性的后果b 泄密引起嚴重的后果c 泄密引起輕微的后果d 泄密結(jié)果忽略不計完整性安全 級別a 不允許出現(xiàn)錯誤b 允許出現(xiàn)少量錯誤c 允許出現(xiàn)一定錯誤d 允許出現(xiàn)錯誤可用性安全級別a 2

17、4小時內(nèi)必須恢復b 48小時內(nèi)必須恢復c 1個工作周內(nèi)恢復d 沒有明確的時間要求附錄a 信息資產(chǎn)標識(規(guī)范性附錄)a.1 公司標識a.2 級別標識絕密、機密、秘密、公開a.3 知識產(chǎn)權(quán)聲明標識a.3.1 紙件（電子）宣傳材料標識：或者；位置：首頁，頁眉，頁腳a.3.2 光盤類宣傳資料標識：位置：光盤表面，以及光盤播放前顯示a.3.3 技術(shù)文檔（散件）標識：或者位置：頁腳a.3.4 技術(shù)文檔（正式）標識：位置：a.3.5印刷類標識：本書中的所有信息均為中興通訊股份有限公司機密信息，務(wù)請妥善保管，未經(jīng)公司明確作出的書面許可，不得為任何目的、以任何形式或手段（包括電子、機械、復印、錄音或其他形式）對本書的任何部分進行復制、存儲、引入檢索系統(tǒng)或者傳播。位置：目錄前頁a.3.6管理類的文檔同上。a.3.7其他需要保密的資料在適當?shù)奈恢蒙霞印皟H為 目的使用，請保密”。 附錄b 絕密級信息資產(chǎn)模