信息資產(chǎn)分類標(biāo)識(shí)管理制度

PAGE信息資產(chǎn)分類標(biāo)準(zhǔn)管理制度第12頁共22頁信息資產(chǎn)分類標(biāo)準(zhǔn)管理制度文檔修訂摘要日期版本號(hào)/狀態(tài)描述著者審閱者批準(zhǔn)人/日期年月日孫秀芳年月日年月日年月日年月日年月日年月日年月日年月日年月日年月日年月日年月日年月日年月日年月日

目錄TOC\o"1-2"\h\z\u第一章總則 41.1 概述 41.2 目標(biāo) 41.3 范圍 51.4 分類步驟 5第二章人員和職責(zé) 5第三章內(nèi)容 62.1 信息資產(chǎn)分類及標(biāo)注處理流程 62.2信息資產(chǎn)功能分類標(biāo)準(zhǔn) 62.3 信息資產(chǎn)等級(jí)分類操作方法 122.4 資產(chǎn)標(biāo)注和處理 14第四章相關(guān)記錄 22第五章相關(guān)文件 22第六章附則 22

第一章總則概述在組織資產(chǎn)中，信息資產(chǎn)是非常重要組成部分，隨著業(yè)務(wù)經(jīng)營越來越依賴信息化，信息資產(chǎn)的管理也變得越來越重要。同時(shí)信息資產(chǎn)的特點(diǎn)又是復(fù)雜多變的，只有運(yùn)用科學(xué)的分類方法，才能實(shí)現(xiàn)信息資產(chǎn)的良好管理。因此對(duì)信融投資系統(tǒng)的信息資產(chǎn)進(jìn)行等級(jí)分類，是資產(chǎn)管理的前提條件。信息資產(chǎn)等級(jí)分類也是整個(gè)評(píng)估工作的前提，是安全評(píng)估的基礎(chǔ)和重要依據(jù)，也為之后的資產(chǎn)管理標(biāo)準(zhǔn)制定提供了良好的基礎(chǔ)。因此本文檔可以幫助XX公司xx系統(tǒng)實(shí)現(xiàn)信息資產(chǎn)等級(jí)分類標(biāo)準(zhǔn)化。目標(biāo)主要體現(xiàn)在以下兩個(gè)方面通過對(duì)XX公司xx系統(tǒng)的信息資產(chǎn)進(jìn)行合理的等級(jí)分類，為信息資產(chǎn)管理提供科學(xué)、有效的方式。對(duì)XX公司xx系統(tǒng)現(xiàn)有信息資產(chǎn)進(jìn)行信息安全屬性的賦值，并對(duì)其進(jìn)行等級(jí)劃分，從而進(jìn)行有針對(duì)性的保護(hù)，同時(shí)為以后的安全解決方案提供依據(jù)。范圍XX公司xx系統(tǒng)的數(shù)據(jù)資產(chǎn)、實(shí)物資產(chǎn)、軟件資產(chǎn)、人員資產(chǎn)、服務(wù)資產(chǎn)和無形資產(chǎn)。分類步驟根據(jù)XX公司xx系統(tǒng)的實(shí)際環(huán)境，對(duì)于信息資產(chǎn)等級(jí)分類，主要分成三步進(jìn)行：信息資產(chǎn)的分類方法：根據(jù)國際標(biāo)準(zhǔn)ISO27001：2005關(guān)于資產(chǎn)的分類描述，參考最佳實(shí)踐，并結(jié)合XX公司xx系統(tǒng)自身的組織特點(diǎn)，定義信息資產(chǎn)的分類方法。信息資產(chǎn)識(shí)別和安全屬性賦值：參照國際標(biāo)準(zhǔn)ISO27001：2005關(guān)于對(duì)資產(chǎn)識(shí)別和安全屬性的定義，通過對(duì)XX公司xx系統(tǒng)的實(shí)際調(diào)研，綜合各方面因素，對(duì)XX公司xx系統(tǒng)信息資產(chǎn)進(jìn)行識(shí)別和安全屬性賦值。信息資產(chǎn)等級(jí)分類：通過信息資產(chǎn)安全屬性值，計(jì)算出信息資產(chǎn)等級(jí)級(jí)別，并按等級(jí)進(jìn)行歸類。第二章人員和職責(zé)資產(chǎn)的維護(hù)人員負(fù)責(zé)資產(chǎn)發(fā)生變更時(shí)，及時(shí)更新資產(chǎn)表，資產(chǎn)管理員每半年對(duì)資產(chǎn)表進(jìn)行一次審查。第三章內(nèi)容信息資產(chǎn)分類及標(biāo)注處理流程2.2信息資產(chǎn)功能分類標(biāo)準(zhǔn)信息資產(chǎn)的分類。以ISO27001資產(chǎn)分類方法為基礎(chǔ)，結(jié)合XX公司xx系統(tǒng)本身的業(yè)務(wù)特點(diǎn)和實(shí)際情況，以保護(hù)XX公司xx系統(tǒng)數(shù)據(jù)資產(chǎn)為核心，以項(xiàng)目及應(yīng)用為主線，設(shè)計(jì)如下的資產(chǎn)分類方法。人員資產(chǎn)需要進(jìn)行統(tǒng)計(jì)，包括人員數(shù)量、人員職責(zé)、崗位等。人員資產(chǎn)不進(jìn)行CIA賦值，也不進(jìn)行等級(jí)分類。桌面資產(chǎn)：主要包括PC、筆記本、外設(shè)、CPU、內(nèi)存、顯示卡、顯示器、移動(dòng)硬盤、硬盤、主板等資產(chǎn)。主機(jī)資產(chǎn)：主要包括NT服務(wù)器、HPUX服務(wù)器、SUN服務(wù)器、AIX服務(wù)器、400服務(wù)器、CPU、LINUX服務(wù)器、內(nèi)存、顯示卡、顯示器、硬盤、主板等資產(chǎn)。存儲(chǔ)資產(chǎn)：主要包括磁帶庫、磁帶機(jī)、磁盤陣列、HBA、NAS、磁盤陣列端口、存儲(chǔ)光纖鏈路、存儲(chǔ)交換機(jī)、存儲(chǔ)交換機(jī)端口等資產(chǎn)。網(wǎng)絡(luò)資產(chǎn)：主要包括交換機(jī)、路由器、負(fù)載均衡、KVM、無線設(shè)備、板卡、模塊、端口、VLAN、銅纜、光纜、光纖、專線、無線鏈路、程控電話交換機(jī)、視頻設(shè)備、網(wǎng)段等資產(chǎn)。安全資產(chǎn)：主要包括VPN網(wǎng)關(guān)、防病毒網(wǎng)關(guān)、防火墻網(wǎng)關(guān)、IDS、IPS、證書、虛擬防火墻等資產(chǎn)。軟件資產(chǎn)：主要包括數(shù)據(jù)庫軟件、中間件軟件、操作系統(tǒng)軟件、辦公軟件、安全軟件、專用軟件、補(bǔ)丁等資產(chǎn)。數(shù)據(jù)庫資產(chǎn)：主要包括Oracle數(shù)據(jù)庫系統(tǒng)、SQLServer數(shù)據(jù)庫系統(tǒng)、DB2數(shù)據(jù)庫系統(tǒng)等資產(chǎn)。中間件資產(chǎn)：主要包括Weblogic系統(tǒng)、Websphere系統(tǒng)、Apache系統(tǒng)、IIS系統(tǒng)、等其它資產(chǎn)。業(yè)務(wù)系統(tǒng)資產(chǎn)：主要包括產(chǎn)品研發(fā)管理、采購資源管理、生產(chǎn)經(jīng)營系統(tǒng)、營銷資源管理、綜合業(yè)務(wù)系統(tǒng)、生產(chǎn)控制系統(tǒng)、其它應(yīng)用系統(tǒng)、網(wǎng)絡(luò)服務(wù)管理等資產(chǎn)。機(jī)房環(huán)境資產(chǎn)：主要包括機(jī)柜、UPS、機(jī)房監(jiān)控系統(tǒng)、空調(diào)等資產(chǎn)。文檔資產(chǎn)：主要包括施工資料、項(xiàng)目文檔、運(yùn)維資料等資產(chǎn)。合同資產(chǎn)：主要包括采購、服務(wù)、租賃等資產(chǎn)。歸檔數(shù)據(jù)：主要包括各種規(guī)定的信息、數(shù)據(jù)等。信息資產(chǎn)安全屬性賦值在ISO27001體系中，安全的三個(gè)特性（機(jī)密性C、完整性I、可用性A）是其核心思想，在信息資產(chǎn)等級(jí)定義中也是圍繞著這三個(gè)方面展開的，因此對(duì)信息資產(chǎn)機(jī)密性、完整性和可用性的賦值也是評(píng)價(jià)信息資產(chǎn)等級(jí)依據(jù)。對(duì)信息資產(chǎn)進(jìn)行安全屬性賦值的目的就是為了更好地反映資產(chǎn)的業(yè)務(wù)價(jià)值，并區(qū)分出各資產(chǎn)的價(jià)值等級(jí)，為風(fēng)險(xiǎn)評(píng)估提供量化基礎(chǔ)。機(jī)密性、完整性和可用性的定義如下：機(jī)密性（C）：確保只有經(jīng)過授權(quán)的人才能訪問信息；完整性（I）：確保非授權(quán)用戶對(duì)信息和信息處理設(shè)施的破壞；可用性（A）：確保經(jīng)過授權(quán)的用戶在需要時(shí)可以訪問信息并使用相關(guān)信息資產(chǎn)。在安全屬性賦值時(shí)，以XX公司xx系統(tǒng)業(yè)務(wù)為導(dǎo)向，以信息資產(chǎn)的C、I、A賦值為基礎(chǔ)，對(duì)XX公司xx系統(tǒng)信息資產(chǎn)的C、I、A屬性進(jìn)行的賦值。主要方法是：先對(duì)信息資產(chǎn)的C、I、A進(jìn)行賦值，并以此為基礎(chǔ)，通過對(duì)這些承載信息數(shù)據(jù)的載體，網(wǎng)絡(luò)通信媒介、信息系統(tǒng)及相關(guān)的支撐資產(chǎn)識(shí)別，來完成對(duì)這些信息資產(chǎn)的C、I、A屬性賦值。以下是參考業(yè)界經(jīng)驗(yàn)和最佳實(shí)踐，分別為C、I、A定義的4個(gè)具體等級(jí)。機(jī)密性賦值標(biāo)準(zhǔn)根據(jù)信息資產(chǎn)機(jī)密性屬性的不同，將它分為4個(gè)不同的等級(jí)，分別對(duì)應(yīng)資產(chǎn)在機(jī)密性方面的價(jià)值或者在機(jī)密性方面受到損失時(shí)對(duì)整個(gè)評(píng)估體的影響。賦值標(biāo)準(zhǔn)參照下表：賦值含義解釋4非常高信息資產(chǎn)為極機(jī)密，對(duì)信息資產(chǎn)的訪問僅授權(quán)極少數(shù)必須使用者，信息資產(chǎn)機(jī)密性受破壞影響嚴(yán)重，用戶蒙受嚴(yán)重?fù)p失，無法接受。3高信息資產(chǎn)為機(jī)密信息，對(duì)信息的訪問只有必須使用者才予以授權(quán)，信息資產(chǎn)機(jī)密性受破壞影響嚴(yán)重，用戶蒙受損失，并且損失較難彌補(bǔ)。2中信息為內(nèi)部信息，組織內(nèi)部可以授權(quán)訪問，對(duì)信息潛在未授權(quán)訪問影響重大，但是造成的損失可以彌補(bǔ)。1低信息為公開信息，對(duì)信息的訪問無需特別授權(quán)。并且由于機(jī)密性原因造成的損失容易彌補(bǔ)。完整性賦值標(biāo)準(zhǔn)根據(jù)信息資產(chǎn)完整性屬性的不同，將它分為4個(gè)不同的等級(jí)，分別對(duì)應(yīng)信息資產(chǎn)在完整性方面的價(jià)值或者在完整性方面受到損失時(shí)對(duì)整個(gè)評(píng)估體的影響。賦值標(biāo)準(zhǔn)參照下表：賦值含義解釋4非常高對(duì)信息資產(chǎn)的未經(jīng)授權(quán)的破壞或修改有重大影響，且可能導(dǎo)致信息資產(chǎn)價(jià)值損失非嚴(yán)重，用戶無法接受。3高對(duì)信息的未經(jīng)授權(quán)的破壞或修改有重大影響，且可能導(dǎo)致對(duì)信息價(jià)值資產(chǎn)損失嚴(yán)重，難以彌補(bǔ)。2中對(duì)信息資產(chǎn)的未經(jīng)授權(quán)的破壞或修改造成影響，且可能導(dǎo)致對(duì)信息資產(chǎn)價(jià)值損失，但可以彌補(bǔ)。1低對(duì)信息資產(chǎn)的未經(jīng)授權(quán)的破壞或修改不會(huì)產(chǎn)生重大影響。且可能導(dǎo)致對(duì)信息資產(chǎn)價(jià)值輕微損失，但容易彌補(bǔ)。可用性賦值標(biāo)準(zhǔn)根據(jù)信息資產(chǎn)可用性屬性的不同，將它分為4個(gè)不同的等級(jí)，分別對(duì)應(yīng)信息資產(chǎn)在可用性方面的價(jià)值或者在可用性方面受到損失時(shí)對(duì)整個(gè)評(píng)估體的影響。賦值標(biāo)準(zhǔn)參照下表：賦值含義解釋4非常高合法使用者對(duì)信息的存取可用度達(dá)到年度99.9%及以上。3高合法使用者對(duì)信息的存取可用度達(dá)到年度95%以上。2中合法使用者對(duì)信息的存取可用度在正常工作時(shí)間達(dá)到100%。1低合法使用者對(duì)信息的存取可用度在正常工作時(shí)間至少達(dá)到50%以上。信息資產(chǎn)等級(jí)計(jì)算通過前面對(duì)信息資產(chǎn)安全屬性的賦值，可以判斷該資產(chǎn)在XX公司xx系統(tǒng)經(jīng)營活動(dòng)中的價(jià)值，經(jīng)過資產(chǎn)的價(jià)值等級(jí)計(jì)算，XX公司xx系統(tǒng)就可以非常明確的對(duì)資產(chǎn)采用分類保護(hù)措施，從而達(dá)到保障XX公司xx系統(tǒng)經(jīng)營活動(dòng)的目標(biāo)。信息資產(chǎn)等級(jí)的計(jì)算主要來源于ISO27001的CIA屬性，同時(shí)參考最佳實(shí)踐，根據(jù)XX公司xx系統(tǒng)的組織特點(diǎn)，我們確定了取CIA三者中的最大值為該資產(chǎn)的資產(chǎn)價(jià)值。通過CIA矩陣表，得出信息資產(chǎn)等級(jí)：下表體現(xiàn)了資產(chǎn)價(jià)值與資產(chǎn)等級(jí)的對(duì)應(yīng)關(guān)系：等級(jí)價(jià)值分類資產(chǎn)價(jià)值1低12中23高34很高4信息資產(chǎn)等級(jí)分類操作方法信息資產(chǎn)等級(jí)分類方法本節(jié)主要指導(dǎo)XX公司xx系統(tǒng)對(duì)信息資產(chǎn)等級(jí)分類的操作方法，以利于合理有效的完成信息資產(chǎn)等級(jí)分類的工作。信息資產(chǎn)登記首先，先要將整個(gè)分類標(biāo)準(zhǔn)對(duì)XX公司xx系統(tǒng)相關(guān)收集人員進(jìn)行講解，讓其充分了解。其次由相關(guān)資產(chǎn)負(fù)責(zé)人對(duì)照各收集表進(jìn)行登記。然后由顧問統(tǒng)一進(jìn)行整理并檢查其完整性。信息資產(chǎn)分類等級(jí)根據(jù)資產(chǎn)的保密程度將資產(chǎn)分為如下四級(jí)：絕密信息絕密信息是指那些對(duì)組織具有重大價(jià)值，但又極其敏感的信息。任何對(duì)絕密信息的非法訪問、修改或刪除會(huì)嚴(yán)重影響XX公司xx系統(tǒng)的形象或業(yè)務(wù)收益，這種影響可能無法恢復(fù)。機(jī)密信息機(jī)密信息是指那些對(duì)組織具有重大價(jià)值的信息，必須有嚴(yán)格訪問控制的信息。任何對(duì)機(jī)密信息的非法訪問、修改或刪除會(huì)嚴(yán)重影響XX公司xx系統(tǒng)的形象或業(yè)務(wù)收益，但這種影響是可以在短時(shí)期內(nèi)恢復(fù)的。秘密信息秘密信息通常是指那些只供內(nèi)部使用的信息資料，任何對(duì)內(nèi)部信息的非法訪問、修改或刪除可能會(huì)對(duì)組織內(nèi)部的安全造成一定的影響，但不可能是嚴(yán)重的或不可恢復(fù)的。一般信息一般信息是指內(nèi)部公開或可以公共訪問和對(duì)外發(fā)布的信息，并且一般信息可以自由散布而不會(huì)產(chǎn)生任何安全問題。信息資產(chǎn)分類舉例信息分類舉例說明一般信息技術(shù)書籍秘密信息項(xiàng)目文檔領(lǐng)借用記錄機(jī)密信息網(wǎng)絡(luò)安全系統(tǒng)配置文件賬號(hào)權(quán)限業(yè)務(wù)數(shù)據(jù)備份數(shù)據(jù)絕密信息客戶特殊要求保密的數(shù)據(jù)信息資產(chǎn)安全屬性賦值XX公司xx系統(tǒng)信息資產(chǎn)分類表填寫之后，需對(duì)填寫的結(jié)果進(jìn)行整理，并與各填表人員進(jìn)行溝通，對(duì)信息資產(chǎn)進(jìn)行CIA賦值。信息資產(chǎn)等級(jí)分類統(tǒng)計(jì)根據(jù)前期得到的XX公司xx系統(tǒng)信息資產(chǎn)C、I、A值，按照三者取大原則，將得出信息資產(chǎn)的等級(jí)，根據(jù)對(duì)等級(jí)的相應(yīng)統(tǒng)計(jì)、分類，可以作為下階段風(fēng)險(xiǎn)評(píng)估的輸入。資產(chǎn)標(biāo)注和處理資產(chǎn)標(biāo)注方法對(duì)不同安全類別的信息進(jìn)行明確的標(biāo)識(shí)，有助于內(nèi)部相關(guān)人員依照有關(guān)信息安全規(guī)章制度進(jìn)行具體操作和處理，從而最大限度地降低了由于人為的誤操作所帶來的安全隱患的概率。組織應(yīng)明確規(guī)定信息處于不同載體的標(biāo)注方法。信息的密級(jí)必須被明確標(biāo)注。根據(jù)存儲(chǔ)和輸出方式的不同，可以采用物理標(biāo)簽、電子標(biāo)記等方法。信息的存儲(chǔ)介質(zhì)必須以物理標(biāo)簽形式標(biāo)明其密級(jí)。當(dāng)信息以可視方式輸出（如：打印、屏幕顯示等）時(shí)，必須以可視的方式顯示其密級(jí)。資產(chǎn)標(biāo)注的原則所有信息安全分類標(biāo)識(shí)必須正確反應(yīng)該信息的安全防護(hù)級(jí)別，信息安全主管對(duì)信息安全分類有最終決定權(quán)。信息安全分類標(biāo)識(shí)務(wù)必詳盡，而且其內(nèi)容和格式必須統(tǒng)一。對(duì)所有的信息安全分類標(biāo)識(shí)，必須由專人作定期更新維護(hù)（每1年一次）。一般采用標(biāo)簽方式對(duì)信息進(jìn)行安全分類標(biāo)識(shí)，但是對(duì)以電子格式的數(shù)據(jù)和文檔則可以采用有關(guān)電子方式進(jìn)行安全分類標(biāo)識(shí)，例如：在電子文檔的屬性中設(shè)置“機(jī)密”或“絕密”的字樣，在文檔的頁眉、頁腳中標(biāo)注“機(jī)密”或“絕密”的字樣。資產(chǎn)標(biāo)注的內(nèi)容(僅對(duì)文件和備份數(shù)據(jù)進(jìn)行標(biāo)注)信息資產(chǎn)分類標(biāo)識(shí)必須包括并不僅限于下列信息：簡(jiǎn)單描述或內(nèi)部編號(hào)資產(chǎn)本身的創(chuàng)建日期和最后修改日期版本控制信息安全類別

一般信息－XX公司xx系統(tǒng)一般性商業(yè)信息

秘密信息－僅供XX公司xx系統(tǒng)內(nèi)部使用

機(jī)密信息－XX公司xx系統(tǒng)機(jī)密信息絕密信息-國家機(jī)密或客戶有特殊要求的數(shù)據(jù)專管人員或?qū)９懿块T資產(chǎn)處理信息處置是對(duì)信息資產(chǎn)進(jìn)行以下類型的信息處理活動(dòng)：向第三方公開；通過口頭對(duì)話方式進(jìn)行傳播，包括會(huì)議，電話錄音，手機(jī)，電話，公開談話等；通過電子通訊手段傳遞，包括互聯(lián)網(wǎng)服務(wù)，電子郵件，傳真，內(nèi)部網(wǎng)絡(luò)，手機(jī)短信息等；復(fù)制拷貝，包括復(fù)印，電子拷貝，數(shù)據(jù)備份等；存儲(chǔ)，包括電子郵件，電子文檔，打印文檔等；作廢處理，包括非寫存儲(chǔ)介質(zhì)，可寫存儲(chǔ)介質(zhì)，紙張，硬件設(shè)備等；物理訪問控制，包括機(jī)房和辦公區(qū)域進(jìn)出；邏輯訪問控制，包括本機(jī)訪問和網(wǎng)絡(luò)訪問；日志；審計(jì)。組織應(yīng)明確規(guī)定不同密級(jí)的信息，在處置過程中需要采取的相應(yīng)控制和保護(hù)措施。下表給出了針對(duì)具有不同的信息等級(jí)分類級(jí)別的信息的安全管理規(guī)定。操作類別一般信息秘密信息機(jī)密信息絕密信息向第三方公開可以向第三方人員或組織公開，并允許對(duì)外進(jìn)行發(fā)布，但是要注明一般信息的來源出處。需要向該信息資產(chǎn)的責(zé)任人，提出申請(qǐng)，經(jīng)批準(zhǔn)后方可執(zhí)行，并且必須事先和第三方簽訂“保密協(xié)議”。一般禁止向任何第三方透露機(jī)密信息，如有特殊情況，則需要該信息資產(chǎn)責(zé)任人所在單位的主要領(lǐng)導(dǎo)書面批準(zhǔn)，并且必須事先和第三方簽訂嚴(yán)格的保密條款（需要專業(yè)律師介入）后方可進(jìn)行。嚴(yán)禁向任何第三方透露絕密信息?？陬^傳遞會(huì)議電話錄音手機(jī)電話公開談話沒有特殊安全規(guī)定。所有內(nèi)部員工，未經(jīng)相關(guān)授權(quán)，禁止以任何口頭方式向非內(nèi)部人員或非相關(guān)人員透露內(nèi)部信息。禁止以任何口頭方式向非相關(guān)人員透露機(jī)密信息。禁止在公共場(chǎng)合，討論任何機(jī)密信息。嚴(yán)禁以任何口頭方式向非相關(guān)人員透露絕密信息。嚴(yán)禁在公共場(chǎng)合，討論任何絕密信息。通過電子通訊手段傳遞互聯(lián)網(wǎng)服務(wù)電子郵件傳真內(nèi)部網(wǎng)絡(luò)手機(jī)短信息在發(fā)送傳真時(shí)，應(yīng)當(dāng)有傳真封面，并注明發(fā)件人（部門）、收件人（部門）等信息。所有內(nèi)部員工，未經(jīng)相關(guān)授權(quán)，禁止以任何電子手段向非內(nèi)部人員或非相關(guān)人員透露內(nèi)部信息。所有電子通訊系統(tǒng)必須設(shè)有身份驗(yàn)證（用戶身份驗(yàn)證或設(shè)備身份驗(yàn)證）和審計(jì)機(jī)制。以電子郵件傳送時(shí)必須注明“僅供XX公司xx系統(tǒng)內(nèi)部使用”。所有內(nèi)部員工，未經(jīng)相關(guān)授權(quán)，禁止以任何電子手段向非內(nèi)部人員或非相關(guān)人員透露機(jī)密信息。以電子郵件傳送時(shí)必須注明“XX公司xx系統(tǒng)機(jī)密信息”。嚴(yán)禁以任何電子通訊手段向非相關(guān)人員透露絕密信息。。復(fù)制拷貝復(fù)印電子拷貝數(shù)據(jù)備份沒有特殊安全規(guī)定。經(jīng)由該信息資產(chǎn)的責(zé)任人同意后，可以對(duì)內(nèi)部信息進(jìn)行復(fù)制拷貝，但是必須遵循“誰復(fù)制，誰負(fù)責(zé)”的原則，防止在復(fù)制過程中產(chǎn)生安全隱患。數(shù)據(jù)備份必須存放在指定的地點(diǎn)，并由專人負(fù)責(zé)安全存放。一般禁止對(duì)機(jī)密信息進(jìn)行復(fù)印或電子拷貝，如有特殊需要，經(jīng)由該信息資產(chǎn)責(zé)任人所在單位的主要領(lǐng)導(dǎo)書面批準(zhǔn)后，再由XX公司xx系統(tǒng)相關(guān)負(fù)責(zé)人進(jìn)行具體操作，并親自交付接收人手中。數(shù)據(jù)備份建議進(jìn)行加密處理，并存放在有防火和防磁級(jí)別的保險(xiǎn)柜中。嚴(yán)格控制數(shù)據(jù)備份的份數(shù)，并對(duì)每份備份做詳細(xì)的記錄備案。任何對(duì)機(jī)密信息的復(fù)制拷貝，都必須記錄備案。嚴(yán)禁對(duì)絕密信息進(jìn)行復(fù)印或電子拷貝。數(shù)據(jù)備份必須進(jìn)行加密處理，并存放在有防火和防磁級(jí)別的保險(xiǎn)柜中。嚴(yán)格控制數(shù)據(jù)備份的份數(shù)，并對(duì)每份備份作詳細(xì)的記錄備案。任何對(duì)絕密信息的復(fù)制拷貝，都必須記錄備案。存儲(chǔ)電子郵件電子文檔打印文檔沒有特殊安全規(guī)定。必須對(duì)信息進(jìn)行標(biāo)識(shí)，注明信息的密級(jí)是“僅供XX公司xx系統(tǒng)內(nèi)部使用”。應(yīng)當(dāng)存放在規(guī)定的地點(diǎn)或網(wǎng)絡(luò)驅(qū)動(dòng)器，以便統(tǒng)一管理。內(nèi)部員工應(yīng)對(duì)本人擁有的內(nèi)部信息拷貝妥善保管。必須對(duì)信息進(jìn)行標(biāo)識(shí)，注明信息的密級(jí)是“XX公司xx系統(tǒng)機(jī)密信息”。打印文檔或電子文檔的硬拷貝，必須存放在保險(xiǎn)柜中妥善保管。必須對(duì)信息進(jìn)行標(biāo)識(shí)，注明信息的密級(jí)是“XX公司xx系統(tǒng)絕密信息”。所有電子文檔（包括電子郵件和其附件）必須進(jìn)行加密處理，并由專人存放在有嚴(yán)格物理訪問控制的存儲(chǔ)設(shè)備中，以便統(tǒng)一管理。打印文檔或電子文檔的硬拷貝，必須存放在有嚴(yán)格物理訪問控制的保險(xiǎn)柜中妥善保管。作廢處理非寫存儲(chǔ)介質(zhì)可寫存儲(chǔ)介質(zhì)紙張硬件設(shè)備存有一般信息的磁盤可以不經(jīng)過格式化或覆蓋操作，并可以直接使用。紙張可以直接再利用。紙張文件必須粉碎。可寫存儲(chǔ)介質(zhì)必須格式化（初始化）后方可重新使用。非寫存儲(chǔ)介質(zhì)必須進(jìn)行物理銷毀。硬件設(shè)備必須事先進(jìn)行完全初始化。紙張文件必須粉碎?？蓪懘鎯?chǔ)介質(zhì)必須格式化和覆蓋后方可重新使用。非寫存儲(chǔ)介質(zhì)必須進(jìn)行物理銷毀。硬件設(shè)備必須事先進(jìn)行完全初始化。任何需要重新使用的存儲(chǔ)介質(zhì)或硬件設(shè)備，需要由相關(guān)負(fù)責(zé)人進(jìn)行驗(yàn)收，確定沒有任何敏感數(shù)據(jù)遺留后方可繼續(xù)使用。任何作廢的存儲(chǔ)介質(zhì)或硬件設(shè)備，需要由相關(guān)負(fù)責(zé)人進(jìn)行驗(yàn)收，在確定沒有任何敏感數(shù)據(jù)遺留后，交付專門部門進(jìn)行相關(guān)處理。紙張文件必須粉碎。可寫存儲(chǔ)介質(zhì)必須格式化和覆蓋后方可重新使用。非寫存儲(chǔ)介質(zhì)必須進(jìn)行物理銷毀。硬件設(shè)備必須事先進(jìn)行完全初始化。任何需要重新使用的存儲(chǔ)介質(zhì)或硬件設(shè)備，需要由安全主管進(jìn)行驗(yàn)收，確定沒有任何敏感數(shù)據(jù)遺留后方可繼續(xù)使用。任何作廢的存儲(chǔ)介質(zhì)或硬件設(shè)備，需要由安全主管進(jìn)行驗(yàn)收，在確定沒有任何敏感數(shù)據(jù)遺留后，提交主要領(lǐng)導(dǎo)人進(jìn)行報(bào)批，經(jīng)核準(zhǔn)后方可由專門部門進(jìn)行相關(guān)處理。物理訪問控制機(jī)房和辦公區(qū)域進(jìn)出沒有特殊安全規(guī)定。非內(nèi)部人員或非相關(guān)人員必須有專人陪同，并進(jìn)行登記注冊(cè)。禁止非內(nèi)部人員或非相關(guān)人員進(jìn)入，如有特殊需要，則必須經(jīng)由該信息資產(chǎn)責(zé)任人所在單位的主要領(lǐng)導(dǎo)書面批準(zhǔn)，由相關(guān)負(fù)責(zé)人陪同。必須進(jìn)行進(jìn)出登記手續(xù)，并由專人定期檢查。嚴(yán)禁非內(nèi)部人員或非相關(guān)人員進(jìn)入。所有進(jìn)出人員必須進(jìn)行進(jìn)出登記手續(xù)，并由專人定期檢查。邏輯訪問控制本機(jī)訪問網(wǎng)絡(luò)訪問可以本機(jī)訪問和網(wǎng)絡(luò)訪問。訪問權(quán)限設(shè)為“只讀”，只對(duì)少數(shù)需要修改、更新一般信息的人員開放“寫”和“刪除”的權(quán)限。必須采用強(qiáng)密碼認(rèn)證方式。可以本機(jī)訪問和網(wǎng)絡(luò)訪問。對(duì)那些由于工作需要訪問內(nèi)部信息的內(nèi)部人員的訪問權(quán)限設(shè)為“只讀”，只對(duì)少數(shù)需要修改、更新的人員開放“寫”和“刪除”的權(quán)限。必須采用強(qiáng)密碼認(rèn)證方式。可以本機(jī)訪問和網(wǎng)絡(luò)訪問。對(duì)那些由于工作需要訪問內(nèi)部信息的內(nèi)部人員的訪問權(quán)限設(shè)為“只讀”，只對(duì)少數(shù)需要修改、更新的人員開放“寫”和“刪除”的權(quán)限。本地訪問和本地網(wǎng)絡(luò)訪問必須采用強(qiáng)密