ISO27001：2013信息资产分类分级管理制度

XXXXXX软件有限公司人性化科技提升业绩

信息资产分类分级管理程序

目录

1.目的和范围 (2)

2.引用文件 (2)

3.职责和权限 (3)

4.信息资产的分类分级 (3)

4.1信息资产的分类 (3)

4.2信息资产的分级管理 (4)

4.3信息资产分类指导 (5)

5.信息分级标识 (5)

5.1分级标识编号 (5)

5.2公司绝密、机密信息定义 (6)

5.3各密级知晓范围 (6)

5.4分级标识编号可作为分级标识使用 (7)

6.公司秘密信息使用管理 (8)

6.1涉密信息的保管 (8)

6.2涉密信息的访问限制 (9)

6.3涉密信息的使用 (10)

6.4涉密信息发送 (12)

6.5涉密信息的废弃处置 (13)

7.保密原则 (14)

1.目的和范围

为降低公司重要资产因遗失、损坏、篡改、外泄等事件带来的潜在风险，这些风险将对公司的信誉、经营活动、经济利益等造成较大或重大损失，需要规范信息资产保护方法和管理要求，特制订本管理制度。

本规定适用于本公司信息资产的安全管理，适用对象为本公司员工和所有外来人员。特殊岗位或特殊人员，另有规定的从其规定。

公司信息资产是指一切关系公司安全和利益，在保护期内只限一定范围内人员知悉、操作、维护的事物、文档、项目、数据等资源。

2.引用文件

1)下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注日期

的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不

适用于本标准，然而，鼓励各部门研究是否可使用这些文件的最新版本。

凡是不注日期的引用文件，其最新版本适用于本标准。

2)GB/T 22080-2016/ISO/IEC 27001:2013 信息技术-安全技术-信息安

全管理体系要求

3)GB/T 22081-2016/ISO/IEC 27002:2013 信息技术-安全技术-信息安

全管理实施细则

4)《备份管理规定》

5)《访问控制程序》

6)《文件控制程序》

3.职责和权限

本管理规定作为全公司范围信息类资产的最低管理要求，各部门或各项目组，均可以根据客户要求，添加补充策略，并在本部门、本项目组内实施，与本规定一起，作为信息安全管理的工作指南。

1)信息安全管理领导人组：是本公司信息资产安全管理工作的最高领导组

织，总体负责信息资产的安全。

2)信息安全管理工作小组：负责具体的协调组织实施及解释答疑等工作。

3)各部门经理：作为本部门信息资产安全管理的最高责任者，有责任和权

限保证本部门信息资产的安全。

4)各信息的所有者：负责各信息资产的标识、分发和传递的控制；

5)员工：应当熟悉本管理规定的内容，包括信息资产标识办法和使用管理

规定，并切实贯彻到日常工作中。

4.信息资产的分类分级

4.1信息资产的分类

公司信息资产分为：硬件资产、软件资产、数据资产、人员资产、外包服务资产、无形资产、文档资产、环境资产、第三方服务资产等。区分标准如下：

1)硬件资产：日常工作、公司运作或系统运行所依赖的可见电子设备、设

施和工具。主要包括：

●办公类用品，如桌椅、纸张等。

●计算机及配件、辅助设备类，如服务器、台式机、笔记本电脑、移动存

储、打印机等。