文档介绍:Q/ZX
中兴通讯股份有限公司企业标准
(管理标准)
Q/ZX -2004
信息资产分级管理规范
2004-06-07 发布 2004-06-15 实施
中兴通讯股份有限公司发布
目次
前言 II
1 范围 1
2 术语和定义 1
3 原则 2
4 管理职责 2
公司安全委员会 2
安全管理部 2
事业部、中心(办)安全小组 2
业务单位 2
5 信息资产分级细则 2
识别和登记业务流程 2
识别和登记信息资产 2
信息资产分级 3
6 信息资产分级保护 3
总要求 3
信息资产的标识 3
绝密级信息资产的要求 3
机密级信息资产 3
秘密级信息资产 4
公开级信息资产 4
7 附录 4
附录A 信息资产标识 4
附录B 绝密级信息资产模板 4
前言
公司的资产种类众多,其中有许多对公司的竞争力和业务的成功有很大的价值,包括有形资产和极具价值的信息资产,例如公司的知识信息资产和机密信息等。妥善保护这些资产十分重要。因为资产的遗失、失窃或被妄用,均会危害到公司的利益。
信息分类是信息安全管理标准ISO-17799指导的一部分。信息分类的目标是“确保信息资产得到符合安全级别要求的保护,安全分类方法有助于了解安全保护的要求和优先级别”。作为这项工作的部分,需要制定信息资产和负责人列表,为所有信息资产进行分类。每项信息资产负责人必须为他/她负责的信息资产制定标签。
信息分类不仅是按照信息安全策略和指导来制定信息资产列表,而且信息资产分类方法也是进行企业信息安全风险分析评估的重要前提和基础。
公司要求所有信息资产都需要得到合理的分级并且得到符合其分级要求的保护。
本标准的附录A、附录B是规范性附录。
本标准由中兴通讯股份有限公司总裁办安全管理部提出,技术中心规划发展部归口。
本标准起草部门:总裁办安全管理部。
本标准主要起草人:王玉忠、姜文智、邓维军、王智、陈飞。
本标准于2004年6月首次发布。
信息资产分级管理规范
范围
本标准规定了如何进行了公司的信息资产分级工作,规定了对不同信息资产级别采取的不同的保护控制措施。
本标准适用于公司所有信息资产的分级和保护工作。
如果不做特别说明,在本标准中信息等同于信息资产。
术语和定义
下列术语和定义适用于本标准。
信息资产
组成业务流程的子流程中使用的重要的最小单位量的信息。
信息资产分级
针对信息资产在生成、使用、变更、储存及传递过程中的敏感程度(包括保密性、可用性、完整性),确定其不同的保护级别,确保信息资产得到符合安全级别要求的保护。
业务单位
指公司为实现某一任务所划分的组织,可以是某一事业部、也可以是某一部门、或项目团队。原则上业务单位需要指定相应的信息安全接口人。
保密性
确保信息只能被授权使用者使用。
完整性
确保信息和处理方法的准确和完整。
可用性
确保授权使用者当需要时能够使用信息。
信息资产等级
根据信息资产的敏感程度,公司的信息资产保护级别划分为4级。
绝密
敏感程度最高的信息,如果泄露或出现错误或不可用将会对公司造成灾难性的后果。如公司的收购计划、投资策略、公司战略产品的研发项目计划、研发设计等。绝密级信息资产要求最高的安全性和保护级别,例如其分发必须被严格限制,其使用必须被全程监控,或不允许出现错误或要求在极短的时间内可恢复等。
机密
对公司的运作至关重要的信息,如果泄露或出现错误或不可用将严重影响公司的运作。如公司的会计信息、商业计划、敏感的客户资料、产品资料等。其访问需要得到特别授权,或仅允许出现微量的错误或在较短的时间内恢复等。
秘密
对公司运作重要的信息,如公司的组织架构、业务流程、项目工作计划及其他描述公司运作方式的信息等。秘密级信息只能由被公司授权的人或组织所使用或在公司内部使用,只能出现少量错误或在一定的时间内恢复。
公开
由公司确认为公开的信息,如公司发布的年报、招聘信息、特别声明等。
原则
公司内所有信息资产,包括纸面的、电子化的以及以其他形式存在的信息资产都必须被合理的分级并加以标识。
公司所有信息资产必须依照其信息资产级别严格执行相应的控制及安全措施。
信息资产分级和保护工作由安全组织负责组织策划和审计,各业务单位负责执行。
管理职责
公司安全委员会
制定信息资产分级与保护的方针政策。
安全管理部
组织信息资产分级标准的制定和维护;
指导各单位信息资产分级与保护工作;
组织各单位信息资产分级与保护工作的审计。
事业部、中心(办)安全小组
组