信息资产的分类和标识管理办法

信息资产的分类和标识管理办法1总则1.1为加强信息资产的管理，掌握信息资产状态，明确信息资产的使用方法、保存方式，提高信息资产的利用率，特制订本办法。1.2本办法适用于信息系统的信息资产的管理。2定义2.1信息资产是指在生产、经营和管理过程中，所需要的以及所产生的支持（或指导、影响）生产、经营和管理一切有用的数据和资料等非财务的无形资产，具体包括：2.1.1域名、网络拓扑结构、网络IP地址及分配规则、标准。2.1.2投资开发的（或具有独立知识产权的）程序软件的源代码、信息系统软件、外购软件的使用许可证、系统平台、基础数据等。2.1.3系统配置数据、系统授权信息、口令文件、密钥及算法文件、系统说明文档、用户手册等系统基础数据。2.1.4各类专业系统的数据库、数据文件、业务报表等系统业务数据。2.1.5各类专业系统的运行记录、变更记录等系统运行数据以及应急计划。2.1.6各类专业的规划、方案与策略、业务流程、业务规范、操作规程等管理数据。2.1.7技术图纸、技术文档、工程资料等项目数据。2.1.8其他纸介质的重要办公文件（信件）、图象、影象、录音和照片等非结构化资料。2.2信息资产的密级。根据信息的敏感度不同，信息资产的密级分为机密信息、秘密信息、对内公开信息、对外公开信息，各信息资产密级见附件1。2.3信息资产的存放形式。根椐信息的存储介质不同，信息资产的存放形式分为电子介质、纸介质以及其他介质，各信息资产存放形式见附件2。3信息资产访问控制权限信息资产的访问控制权限见附件3。4信息资产数据保护信息资产的数据保护要求见附件4。5信息资产管理与使用5.1信息资产的存放应立足于管理和安全考虑，尽量以电子介质的形式存储。5.2信息资产存放地点要求5.2.1对外公开信息的存放地点没有要求。5.2.2对内公开的电子信息存放在内部网络中的文件服务器，非电子信息存放在室内文件柜中，并有明显的分类标识。5.2.3秘密的电子信息存放在有足够安全防护措施的服务器或存储设备上，非电子信息存放在有较强防盗能力的文件柜中，并造册登记，分类存放。5.2.4机密的联机存储电子信息存放在有高强度安全防护措施的服务器或存储设备上，脱机存储的电子信息和非电子信息存放在有严格保安措施、专门的保管环境中（如机要室），并造册登记，分类存放。5.3信息资产存储介质使用控制要求5.3.1对外公开信息的介质使用没有限制要求，任何人在任何地方均可使用。5.3.2对内公开的电子信息须以内部合法身份登录访问和下载使用，非电子信息须经保存部门同意方可使用。5.3.3秘密的电子信息原则上要求联机使用，只能通过系统专用界面使用，非电子信息的使用须符合秘密级文件相关使用规定，信息的提取或抄录须有相关领导的书面批准意见，其提取或抄录相关细节须记录在案，使用者须对提取或抄录内容的安全保密负责。5.3.4机密的电子信息必须联机使用，只能通过系统专用界面使用，非电子信息的使用须符合机密级文件相关使用规定，禁止信息的提取或抄录。6附则6.1本办法由信xi中心负责解释。6.2本办法自发布之日起试行。附件1信息资产密级定义类别信息资产名称信息资产密级1域名对外公开信息1网络拓扑结构秘密信息1网络IP地址及分配规则秘密信息1信息标准对内公开信息2程序软件源代码秘密信息2信息系统软件对内公开信息2外购软件使用许可证对内公开信息2系统平台基础数据秘密信息3系统配置数据秘密信息3系统授权信息秘密信息3口令文件机密信息3密钥及算法文件机密信息3系统说明文档、用户手册对内公开信息4办公应用数据库、数据文件、业务报表等对内公开信息4人事应用数据库、数据文件、业务报表等秘密信息4劳动工资数据库、数据文件、业务报表等秘密信息4财务应用数据库、数据文件、业务报表等秘密信息4固定资产数据库、数据文件、业务报表等秘密信息4物流管理数据库、数据文件、业务报表等秘密信息4设备管理数据库、数据文件、业务报表等秘密信息定义类别信息资产名称信息资产密级4安全监督数据库、数据文件、业务报表等秘密信息5数据中心、通讯运行日志及应急计划秘密信息5客户服务记录秘密信息6经营方案与策略机密信息6网络安全方案与策略机密信息6各专业的规划与投资方案秘密信息6业务规范、操作规程、业务流程对内公开信息7技术图纸、技术文档、工程资料秘密信息8纸质办公文件（信件）、图象、影象、录音和照片等非结构化资料具体确定附件2信息资产存放形式定义类别信息资产名称存储方式存储介质1域名无无1网络拓扑结构脱机电子介质1网络IP地址及分配规则脱机电子介质1信息标准联机电子介质或纸介质2程序软件源代码脱机电子介质2信息系统软件联机电子介质2外购软件使用许可证脱机纸介质2系统平台基础数据联机电子介质3系统配置数据脱机电子介质或纸介质3系统授权信息脱机电子介质或纸介质3口令文件脱机电子介质或纸介质3密钥及算法文件脱机电子介质3系统说明文档、用户手册联机纸介质4各专业系统的应用数据库、数据文件、业务报表等联机电子介质5各类专业系统运行日志联机电子介质或纸介质5客户服务记录联机电子介质6各专业规划、方案与策略脱机电子介质或纸介质6业务流程、业务规范、操作规程联机电子介质或纸介质7技术图纸、技术文档、工程资料联机电子介质或纸介质8纸质办公文件（信件）、图象、影象、录音和照片等非结构化资料联机电子介质附件3信息资产访问控制权限定义类别信息资产名称创建和修改权限查阅和使用权限1网络拓扑结构信息部门的管理人员被授权管理者1网络IP地址及规则信息部门的管理人员被授权管理者1信息标准信息部门的管理人员所有企业员工2程序软件源代码1、信息部门的程序员2、被授权者信息部门的程序员2信息系统软件－信息部门的管理员2系统平台基础数据被授权者1、信息部门的系统管理员2、被授权使用者3系统配置数据1、信息部门的系统管理员2、其他被授权管理者1、信息部门的系统管理员2、被授权使用者3系统授权信息信息部门的系统管理员被授权使用者3口令文件信息部门的安全管理员被授权使用者3密钥及算法文件信息部门的安全管理员被授权使用者3系统说明文档、用户手册1、信息部门的系统管理员2、系统开发方1、信息部门的系统管理员2、被授权使用者4办公应用数据库、数据文件、业务报表等被授权者被授权使用者4人事应用数据库、数据文件、业务报表等人事部门的管理人员被授权使用者4劳动工资数据库、数据文件、业务报表等人事部门的管理人员被授权使用者4财务应用数据库、数据文件、业务报表等财务部门的管理人员被授权使用者4固定资产数据库、数据文件、业务报表等财务部门的管理人员被授权使用者4物流管理数据库、数据文件、业务报表等1、物流部门的管理人员2、财务部门的管理人员被授权使用者定义类别信息资产名称创建和修改权限查阅和使用权限4安全监督数据库、数据文件、业务报表等安监部门的管理人员被授权使用者5数据中心、通讯机房运行日志机房值班人员信息部门的管理人员（含通讯运行管理人员）6经营方案与策略各级相关领导各级相关领导6网络安全方案与策略信息部门的安全管理员信息部门的安全管理员6各专业规划与投资方案各专业部门管理人员被授权使用者6制度、业务规范、操作规程、业务流程各专业部门管理人员企业的所有员工7技术图纸、技术文档、工程资料项目管理人员被授权使用者8纸质办公文件（信件）、图象、影象、录音和照片等非结构化资料被授权者被授权使用者附件4信息资产数据保护要求信息资产分类相关应用名称传输保密性要求存储保密性要求对外公开信息域名无要求无要求对内公开信息标准编码、业务规范、操作规程、业务流程、支持程序软件、系统说明文档、用户手册等无要求无要求对内公开信息办公自动化应用远程应用需加密未授权不能访问秘密信息网络拓扑结构、网络IP地址及分配规则采用可信信道未授权不能访问秘密信息程序软件源代码、系统平台基础数据、系统配置数据、系统授权信息采用可信信道未授权不能访问秘密信息各专业系统运行日志、应急计划等信息采用可信信道未授权不能访问秘密信息各专业的规划、设计、投资方案等信息采用可信信道未授权不能访问秘密信息技术图纸、技术文档、工程资料等信息采用可信信道未授权不能访问秘密信息人事劳资应用采用可信信道1、联机未授权不能访问2、脱机存储需加密秘密信息物流应用采用可信信道1、联机未授权不能访问2、脱机存储需加密秘密信息生产应用采用可信信道未授权不能访问机密信息财务应用采用可信信道1、联机未授权不能访问2、不允许脱机存储机密信息口令文件、密钥及算法文件加密加密，并专项保存