文档介绍:文件密级控制程序
1范围
为更好地管理客户(合作方)和本公司在服务、技术、经营等活动中产生的各类信息,防止因不恰当使用或泄漏,使本公司蒙受经济损失或法律纠纷,特制定本管理规程。
本标准规定了信息密级划分、标注及处理控制目标和控制方式。
2 规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励各部门研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
《GB/T 22080-2008 idt ISO/IEC 27001:2005 信息技术-安全技术-信息安全管理体系要求》
《GB/T 22081-2008 idt ISO/IEC 27002:2005 信息技术-安全技术-信息安全管理实施细则》
3 术语和定义
I GB/T 22080-2008 idt ISO/IEC 27001:2005《信息技术-安全技术-信息安全管理体系要求》和GB/T 22081-2008 idt ISO/IEC 27002:2005《信息技术-安全技术-信息安全管理实施细则》规定的术语适用于本标准。
4 职责和权限
XX部
XX部负责信息密级划分、标注及处理控制。
各部门
各部门负责本部门使用或管理的信息密级划分、标注及处理控制。
5 活动描述
密级的分类
信息的密级分为3类:企业秘密事项(秘密)、内部信息事项(受控)和公开事项。
信息分类定义:
a)“秘密”:《中华人民共和国保守国家秘密法》中指定的秘密事项;或不可对外公开、若泄露或被篡改会对本公司的日常经营造成严重损害,或者由于业务上的需要仅限有关人员知道的事项;介质包括但不限于:纸类、电磁类及其它媒体(纸张、软盘、硬盘、光盘、磁带、胶片)。
b)“受控”:不可对外公开、若泄露或被篡改会对本公司的日常经营造成损害,或者由于业务上的需要仅限有关人员知道的事项;或是指为了日常的业务能顺利进行而向公司员工公开、但不可向公司以外人员随意公开的事项。
c)“公开”:秘密事项以外,仅用来传递信息、昭示承诺或对外宣传所涉及的事项。
、受控文件、资料的标识、制发的管理
管理职责
企业秘密管理的最高责任者为公司执行总经理,各部门的管理责任者为本部门经理。全体员工都负有遵守保密承诺、保守企业秘密的义务。
“秘密”按《中华人民共和国保守国家秘密法》的有关规定执行。企业秘密事项由经营管理机构指定,企业秘密及敏感信息事项由产生该事项的部门经理级以上(含副经理)人员指定。指定秘密事项时,应参考附录1的示例,并充分考虑该事项的性质及重要程度等因素。
员工对自己编写的信息需判断是否为企业秘密及管理分类(秘密、受控)时,可随时询问经理级以上领导。后者对前者的请求应及时给予明确的处理。无法判明时,可请示更高一级领导。
编写的文件一旦被指定为秘密、受控文件,则负责人应按本规定的要求对编写中和编写后的无用稿件进行处置。
、受控文件的表示方法
由编写部门在文件封面标明“秘密”,受控文件,由编写部门在文件封面标明“受控”,颜色无要求。
注: 1) 采用电磁等媒