GBT22080文件信息密级控制程序.doc

文件信息密级控制程序1范围为更好地管理客户（合作方）和本公司在服务、技术、经营等活动中产生的各类信息，防止因不恰当使用或泄漏,使本公司蒙受经济损失或法律纠纷，特制定本管理规程。本标准规定了信息密级划分、标注及处理控制目标和控制方式。2 规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励各部门研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。GB/T 22080-2008 idt ISO/IEC 27001:2005 信息技术-安全技术-信息安全管理体系要求GB/T 22081-2008 idt ISO/IEC 27002:2005 信息技术-安全技术-信息安全管理实施细则3 术语和定义I GB/T 22080-2008 idt ISO/IEC 27001:2005信息技术-安全技术-信息安全管理体系要求和GB/T 22081-2008 idt ISO/IEC 27002:2005信息技术-安全技术-信息安全管理实施细则规定的术语适用于本标准。4 职责和权限4.1 DXCDXC负责信息密级划分、标注及处理控制。4.2 各部门各部门负责本部门使用或管理的信息密级划分、标注及处理控制。5 活动描述5.1 密级的分类信息的密级分为3类：企业秘密事项（秘密）、内部信息事项（受控）和公开事项。信息分类定义：a)“秘密”：中华人民共和国保守国家秘密法中指定的秘密事项；或不可对外公开、若泄露或被篡改会对本公司的日常经营造成严重损害，或者由于业务上的需要仅限有关人员知道的事项；介质包括但不限于：纸类、电磁类及其它媒体（纸张、软盘、硬盘、光盘、磁带、胶片）。b)“受控”：不可对外公开、若泄露或被篡改会对本公司的日常经营造成损害，或者由于业务上的需要仅限有关人员知道的事项；或是指为了日常的业务能顺利进行而向公司员工公开、但不可向公司以外人员随意公开的事项。c)“公开”：秘密事项以外，仅用来传递信息、昭示承诺或对外宣传所涉及的事项。6涉密、受控文件、资料的标识、制发的管理6.1 管理职责企业秘密管理的最高责任者为公司执行总经理，各部门的管理责任者为本部门经理。全体员工都负有遵守保密承诺、保守企业秘密的义务。6.2企业秘密的指令6.2.1 “秘密”按中华人民共和国保守国家秘密法的有关规定执行。企业秘密事项由经营管理机构指定，企业秘密及敏感信息事项由产生该事项的部门经理级以上（含副经理）人员指定。指定秘密事项时，应参考附录1的示例，并充分考虑该事项的性质及重要程度等因素。6.2.2 员工对自己编写的信息需判断是否为企业秘密及管理分类（秘密、受控）时，可随时询问经理级以上领导。后者对前者的请求应及时给予明确的处理。无法判明时，可请示更高一级领导。6.2.3 编写的文件一旦被指定为秘密、受控文件，则负责人应按本规定的要求对编写中和编写后的无用稿件进行处置。6.3秘密、受控文件的表示方法由编写部门在文件封面标明“秘密”，受控文件，由编写部门在文件封面标明“受控”，颜色无要求。 注: 1) 采用电磁等媒体记录的秘密、受控文件，应在其包装盒上明显的位置用标签标明秘密、受控管理分类，使用的印章方法同上。 2) 由DXC负责发行管理的技术关联规程/集中管理规格书等，除特别指定外均属受控文件。DXC使用的图纸，不便于标明文件类型，其默认为受控文件印刷发行。6.4送付部门和使用目的、范围的指定6.4.1 发送秘密文件时，制订者应根据文件内容指定接收部门和接收人。6.4.2 为了避免接收人因不清楚使用范围而泄密，可在附件中指明使用目的和使用范围。若从文件标题和送付部门一览中能使接收者明确使用目的和范围，可省略上述指定。6.5秘密文件的发放管理6.5.1 各部门在发放秘密文件前，应作好发行台帐登记。台帐的内容应包括：发行年月日、标题、送付部门及份数、解除/变更年月日、回收/废弃年月日等。该管理台帐同秘密文件一样保管。6.5.2公司内发送的秘密文件，尽可能亲自交给接收人，或装入信封并标明“亲展”，封好后作为公司内文件发送。非收件人不得随便拆阅该文件。6.5.3 发往公司以外的秘密文件，原则上双方应签署含有保密条款的合同并经部门经理以上的批准后方可提供。特殊情况（无保密条款合同但又必需提供）需事先准备好保密协议书，经部门经理以上批准并要求对方在接收时签收。注: 1) 利用网络传送秘密文件时，应事先与接收人取得联系，并根据实际情况决定是否加载压缩/解压缩密码。 2) 利用FAX传送的秘密文件时，应事先与接收人联系，并以书面或口头的方式提醒对方“注意保密，严禁复印”。6.6 企业秘密的使用6.6.1 秘密文件的接收人应按秘密文件的使用目的、使用范围正确使用秘密文件。6.6.2 秘密文件的保管人员和秘密事项的实际操作人员未经指定者许可不得擅自将秘密内容向其它人员公开。6.6.3 采用网络传送的秘密文件需转发他人时，同样按6.5项注1的要求处理。转发时必须附上文件名称或标题，并在正文中注明“秘密文件”。6.6.4 秘密文件原则上严禁复印。因业务必需时应限制在最小限度，并且在使用后按8.2项方法及时废弃。6.6.5 未经批准严禁将秘密文件带出公司使用。如工作必须，应经过部门经理以上领导的批准。6.7 秘密文件的保管6.7.1 秘密文件应保存在能上锁的柜子中，管理责任者或指定的担当人员负责该钥匙的保管及文件保管台帐登记。台帐内容为：接收年月日、份数、标题、发行部门、解除/变更年月日、回收/废弃年月日等。该管理台帐同秘密文件一样保管。接收的敏感信息文件，不必登记上述台帐。但应存放在公司以外人员未经许可不能随便进入的场所。6.7.2 保存在计算机系统内的秘密事项应采取适当的防护和备份措施，防止被无关人员查看、误操作等。7. 企业秘密、受控指令的解除或变更7.1 解除或变更的条件1) 秘密事项因对外公开发表而成为众所周知的信息时，企业秘密的指令将自动解除。2) 随着时间的推移，某些秘密、受控事项的内容已过时的情况下。7.2解除或变更的方法1) 解除或变更企业秘密、受控指定时，由原编写部门的指定者书面通知原接收者。2) 编写部门及接收部门，在秘密、受控文件保管登记台帐上用红色笔划掉该行内容，并记录解除或变更日期。在原秘密、受控文件上划去秘密印章并加盖解除/变更印章（记入日期）。3) 解除/变更后的文件，按相应的管理区分保管和使用。4) 为使解除/变更能及时进行，文件接收方在了解到7.1的条件出现时,应通知原编写方。8 回收/废弃8.1秘密文件，如无特别指定，原则上应在使用后及时回收归档保存或废弃。受控文件，原则上应在使用后及时销毁废弃。8.2 废弃秘密文件时，媒体可用粉碎的方法，其它媒体可用初始化或破坏媒体的方法处理。废弃时应同时在台帐上用红色笔划掉该行内容并记录废弃日期。8.3 秘密文件改版发送时，应同时回收旧版或通知接收方废弃旧版。9 事故的处理9.1 发现遗失秘密文件时，应及时向部门指定者报告并与原发行部门联系。9.2 发现企业秘密泄漏、有泄漏征兆或管理上存在重大隐患时，发现者应迅速向本部门经理报告。9.3 拾到遗失的秘密文件时，应迅速交给遗失者。关系者不明时，交给本部门经理。9.4 发生以上情况时,相应部门应迅速调查原因，采取适当的纠正和再发防止措施，并将处置结果以书面的方式通知有关部门。详细规定见ISMS2007纠正预防措施控制程序。10 教育10.1 为了使员工能充分了解并彻底贯彻执行企业本管理规定，应对新入员工及调职来的人员进行保守企业秘密教育。教育时应作好教育记录。记录内容应包括：日期、地点、讲师名、受教育者名、教育内容等。教育记录应妥善保存。保存期为该员工离开公司后1年。10.2 掌握公司重要经营信息、关键技术的从业人员离、退职时，本部门管理者应对其进行面谈，重申保守企业秘密的规定，防止将本公司企业秘密带出或不正当使用。11 离/退职后的保密义务按信息安全人员考察审批与保密管理程序和劳动合同的约定执行。12 其它12.1 外来人员参观，应严格按公司有关规定办理手续，或按照申请的时间和路线参观。结束后，由接待责任部门负责送出。12.2 因业务需要来公司的外来人员，原则上应使用公司的接待室洽谈业务。需进入办公室时，应征得经理以上管理者的同意。13 记录记录名称保存部门保存期限附录1 ：秘密、受控示例项 目秘密事项秘密事项子类受控信息事项1.经营规划 战略决策 董事会资料 中长期规划 经营计划2.组织情况 组织变更方案 组织机构图 组织变更通知 电话簿4.人事制度 人事方案 录用计划 离职资料 人事待遇资料 培训资料 人事变动通知 培训计划 福利劳保计划5.信息安全制度 安全手册 程序文件 作业指导书 表格记录 6.财务信息 预决算（各类投资预决算） 财务业绩报告 中期财务状况 资金计划 生产成本 财务数据的处理方法(成本计算方法和系统,审计检查等经营分析系统,减税的方法、规程)7.业务信息 市场调查报告(市场动向,顾客需求,其它公司动向及对这些情报的分析方法和结果.) 商谈的内容,合同/协议 营销计划(通过促销等手段强化营销能力、营销区域及选定上市期) 营业战略(有关和其它公司合作销售、销售途径的确定及变更,对代理商的政策等情报) 商品和服务的价格(成本价、批发价、成交价以及设定价格的方法和基准) 供应商信息（各种材料、设备等生产中必需资材的供应商情况) 客户信息(客户名单、供应商名单) 退货和投诉处理(退货的品名、数量、原因及对投诉的处理方法) 广告宣传情报(广告创意、方法）、报价8.技术信息 研究成果(本公司或者和其它单位合作研究开发的技术成果) 保管的顾客信息(顾客数据/有关的资料/实验数据)开发计划书 技术合作的有关内容（协作方，协作内容，协作时间等） 技术备忘录 新产品开发的体制、组织（新品开发人员的组成,业务分配，技术人员的配置等） 教育资料9服务信息 保管信息的工艺流程、检查方法和标准操作方法（本企业特有的过程、工艺、规格等） 设备投资计划（包括拟在现有领域或新领域中投资的计划） 各种服务设备的配置（针对产品的最佳配置、特殊配置） 特种机器的规格（为保管特殊的信息而指定的机器规格） 管理的设备运转及控制方法（有关生产设备的使用，提高设备效率的方法） 各种项目的服务计划及服务能力 各种项目的服务成本（包括项目的外包、外加工费等） 规格书、图纸 品质管理、评价方法及数据11.软件信息 管理系统 技术解析系统 计划财务系统 编码、密码系统 源程序表 基本设计书 详细设计书 流程12.其它 诉讼或其它有争议案件的内容（民事、无形资产、工伤、离职等纠纷的内容） 公司安全保卫设施情况及突发事件对策 公司基本设施情况（包括动力设施）