1、Q/ZX中 兴 通 讯 股 份 有 限 公 司 企 业 标 准(管理标准)Q/ZX 61.1021-20042004-06-07 发布 2004-06-15 实施中 兴 通 讯 股 份 有 限 公 司 发 布信息资产分级管理规范Q/ZX 61.1021-2004I目 次前 言 .II1 范围 12 术语和定义 13 原则 24 管理职责 24.1 公司安全委员会 24.2 安全管理部 24.3 事业部、中心(办)安全小组 24.4 业务单位 25 信息资产分级细则 25.1 识别和登记业务流程 25.2 识别和登记信息资产 25.3 信息资产分级 36 信息资产分级保护 36.1 总要求 36
2、.2 信息资产的标识 36.3 绝密级信息资产的要求 36.4 机密级信息资产 36.5 秘密级信息资产 46.6 公开级信息资产 47 附录 47.1 附录 A 信息资产标识 .47.2 附录 B 绝密级信息资产模板 .4Q/ZX 61.1021-2004II前 言公司的资产种类众多,其中有许多对公司的竞争力和业务的成功有很大的价值,包括有形资产和极具价值的信息资产,例如公司的知识信息资产和机密信息等。妥善保护这些资产十分重要。因为资产的遗失、失窃或被妄用,均会危害到公司的利益。信息分类是信息安全管理标准ISO-17799指导的一部分。信息分类的目标是“确保信息资产得到符合安全级别要求的保护
3、,安全分类方法有助于了解安全保护的要求和优先级别”。作为这项工作的部分,需要制定信息资产和负责人列表,为所有信息资产进行分类。每项信息资产负责人必须为他/她负责的信息资产制定标签。信息分类不仅是按照信息安全策略和指导来制定信息资产列表,而且信息资产分类方法也是进行企业信息安全风险分析评估的重要前提和基础。公司要求所有信息资产都需要得到合理的分级并且得到符合其分级要求的保护。本标准的附录 A、附录 B 是规范性附录。本标准由中兴通讯股份有限公司总裁办安全管理部提出,技术中心规划发展部归口。本标准起草部门:总裁办安全管理部。本标准主要起草人:王玉忠、姜文智、邓维军、王智、陈飞。本标准于 2004
4、年 6 月首次发布。Q/ZX 61.1021-200411 范围本标准规定了如何进行了公司的信息资产分级工作,规定了对不同信息资产级别采取的不同的保护控制措施。本标准适用于公司所有信息资产的分级和保护工作。如果不做特别说明,在本标准中信息等同于信息资产。2 术语和定义下列术语和定义适用于本标准。2.1 信息资产组成业务流程的子流程中使用的重要的最小单位量的信息。2.2 信息资产分级针对信息资产在生成、使用、变更、储存及传递过程中的敏感程度(包括保密性、可用性、完整性) ,确定其不同的保护级别,确保信息资产得到符合安全级别要求的保护。2.3 业务单位指公司为实现某一任务所划分的组织,可以是某一事
5、业部、也可以是某一部门、或项目团队。原则上业务单位需要指定相应的信息安全接口人。2.4 保密性确保信息只能被授权使用者使用。2.5 完整性确保信息和处理方法的准确和完整。2.6 可用性确保授权使用者当需要时能够使用信息。2.7 信息资产等级根据信息资产的敏感程度,公司的信息资产保护级别划分为 4 级。2.7.1 绝密敏感程度最高的信息,如果泄露或出现错误或不可用将会对公司造成灾难性的后果。如公司的收购计划、投资策略、公司战略产品的研发项目计划、研发设计等。绝密级信息资产要求最高的安全性和保护级别,例如其分发必须被严格限制,其使用必须被全程监控,或不允许出现错误或要求在极短的时间内可恢复等。2.
6、7.2 机密对公司的运作至关重要的信息,如果泄露或出现错误或不可用将严重影响公司的运作。如公司的会计信息、商业计划、敏感的客户资料、产品资料等。其访问需要得到特别授权,或仅允许出现微量的错误或在较短的时间内恢复等。2.7.3 秘密对公司运作重要的信息,如公司的组织架构、业务流程、项目工作计划及其他描述公司运作方式的信息等。秘密级信息只能由被公司授权的人或组织所使用或在公司内部使用,只能出现少量错误或在一定的时间内恢复。信息资产分级管理规范Q/ZX 61.1021-200422.7.4 公开由公司确认为公开的信息,如公司发布的年报、招聘信息、特别声明等。3 原则3.1 公司内所有信息资产,包括纸
7、面的、电子化的以及以其他形式存在的信息资产都必须被合理的分级并加以标识。3.2 公司所有信息资产必须依照其信息资产级别严格执行相应的控制及安全措施。3.3 信息资产分级和保护工作由安全组织负责组织策划和审计,各业务单位负责执行。4 管理职责4.1 公司安全委员会制定信息资产分级与保护的方针政策。4.2 安全管理部a) 组织信息资产分级标准的制定和维护;b) 指导各单位信息资产分级与保护工作;c) 组织各单位信息资产分级与保护工作的审计。4.3 事业部、中心(办)安全小组a) 组织本单位信息资产等级的审核;b) 组织本单位信息资产的分级工作;c) 组织本单位信息资产分级维护工作;d) 组织本单位
8、信息资产的保护工作。4.4 业务单位a) 在各级安全组织的组织指导下执行本单位信息资产的分级工作;b) 在各级安全组织的组织指导下执行本单位信息资产的分级维护工作;c) 在各级安全组织的组织指导下执行本单位信息资产的保护工作。5 信息资产分级细则5.1 识别和登记业务流程5.1.1 信息资产分级的第一步是识别业务流程,业务流程是识别信息资产和其所有者的主要依据。5.1.2 业务部门需要在安全组织的指导下,登记本单位涉及的业务流程。业务流程登记的格式见表 QR 61.1021-2004-01业务流程登记表 。5.1.3 如果业务单位没有正式的业务流程文档描述实际的业务工作流程时,必须首先建立文档
9、化的业务流程。5.2 识别和登记信息资产5.2.1 在识别业务流程后,需要识别登记业务流程中的信息资产,其是进行信息资产分级工作的基础。Q/ZX 61.1021-200435.2.2 业务部门需要在安全组织的指导下,登记本单位业务流程所涉及的信息资产。信息资产登记的格式见表 QR 61.1021-2004-02信息资产登记表 。注意: 与其他业务范围的接口和外部信息来源必须也包含在信息资产清单中5.3 信息资产分级5.3.1 对于已经识别、确定并且登记的信息资产,结合业务流程的要求,从机密性、完整性、可用性三方面来评估其对业务的影响和风险,确定其保护所需要的分级要求。5.3.2 信息资产的总体
10、等级采取从高原则:信息资产的总体等级的确定与信息资产的最高的保密性、完整性、可用性安全级别要求相一致。5.3.3 信息资产风险评估见表 QR 61.1021-2004-03信息资产风险评估表 。6 信息资产分级保护6.1 总要求所有确定分级的信息资产都必须得到符合其等级的保护。6.2 信息资产的标识6.2.1 公司信息资产必须有相应的标识。6.2.2 文档页眉最左上角必须有公司标识,页眉最右上角必须注明其分级标识。6.2.3 所有公司信息资产(包括但不限于:公司标准、公司制度、研发技术资料、工程文件以及其存储介质如光盘等),需有公司版权声明的内容。6.2.4 通过公司信息系统按照固定格式打印的
11、文档(包括但不限于:合同、料单) ,必须有公司标识和相对应的分级标识。6.2.5 发布的文档不能采用数据表格文档格式(如 EXCEL 文档,可以考虑在 WORD 文档中使用表格) 。6.2.6 关于公司标识、分级标识和版权声明的内容,见附录 A。6.3 绝密级信息资产的要求6.3.1 必须明确信息资产责任人和使用者。6.3.2 必须使用绝密信息标准模板(见附录 B) 。6.3.3 存放必须采取严格的安全措施,电子版本必须存储于安全措施完备的设备中并采取加密措施,其备份文件必须经过严格的保密措施,如加密授权(包括有效使用时间)等;纸面或介质文档锁入保险柜等。6.3.4 仅限于信息资产责任人及规定
12、的授权使用者本人在公司局域网或办公区域内使用,被授权人不得二次授权。不得以任何形式传播此信息资产,如电子方式等,不得复印、翻拍、抄录,或以任何形式复制此信息资产。6.3.5 如需销毁,必须由信息资产责任人使用可靠的技术措施和适当的设备(如碎纸机)销毁。6.4 机密级信息资产6.4.1 必须明确信息资产责任人和使用者。6.4.2 必须有机密等级标识和机密水印。6.4.3 存放必须采取安全措施,电子版本必须存储于安全措施完备的设备中并采取加密措施,其备份文件必须经过严格的保密措施,如加密授权(包括有效使用时间) ,纸面文档锁入文件柜等。Q/ZX 61.1021-200446.4.4 仅限于信息资产
13、责任人及规定的授权使用者本人在公司局域网内或办公区域内使用,被授权人不得二次授权。不得以任何形式传播此信息资产,如电子方式等,不得复印、翻拍、抄录,或以任何形式复制此信息资产。6.4.5 如需销毁,必须由信息资产责任人使用可靠的技术措施和适当的设备(如碎纸机)销毁。6.5 秘密级信息资产由各业务单位安全小组根据本单位情况分别确定。6.6 公开级信息资产不需要特别的保护,但必须有公司的标识声明。7 附录7.1 附录 A 信息资产标识7.2 附录 B 绝密级信息资产模板Q/ZX 61.1021-20045业务流程登记表表 QR 61.1021-2004-01业务流程(业务部门名称)负责人角色: 负
14、责人姓名: 代码 名称 简要说明信息资产登记表表 QR 61.1021-2004-02信息资产(业务部门)负责人角色: 负责人姓名:代码 名称 简要说明Q/ZX 61.1021-20046信息资产风险评估表表 QR 61.1021-2004-03(代号: ) (代号: )业务的危害性后果分析 业务影响A 灾难性损害B 严重的损害C 造成轻微损害和不便D 可忽略的损害描述丧失竞争优势如果信息资料泄漏给竞争对手会造成什么样的损害?A B C D管理层决策如果信息发生错误或者是信息被非授权修改所造成对管理层错误决策?A B C D如果信息资产的不可用是否会影响管理层的决策? A B C D对企业业务
15、造成直接的损失如果信息资料泄漏业务是否会有损失? A B C D如果信息发生错误或者是信息被非授权修改会否造成业务的损失(丢失订单或合同) A B C D如果信息资产不可用,是否会造成收费、利率赔偿等收入性的损失? A B C D丧失公众信任如果信息被泄漏,是否会造成丧失顾客的信任,公共形象,以及股民和供应商对企业忠诚?A B C D信息发生错误或者是信息被非授权修改,是否会造成丧失顾客的信任,公共形象,以及股民和供应商对企业忠诚?A B C D如果信息资产不可用,是否会造成丧失顾客的信任,公共形象,以及股民和供应商对企业忠诚?A B C D额外成本上升,损失金钱如果信息被泄漏,是否会造成额外
16、的成本和花费?A B C D如果信息发生错误或者是信息被非授权修改,是否会造成需要额外的成本和花费来调查完整性问题和恢复丢失或者是破坏的数据?A B C D如果信息资产不可用,是否会造成收费、利率赔偿等收入性,以及恢复信息费的损失? A B C D法律责任如果信息被泄漏,是否会造成对法律法规的违反?A B C D如果信息发生错误或者是信息被非授权修改,是否会造成法律法规方面的责任? A B C DQ/ZX 61.1021-20047(代号: ) (代号: )如果信息资产不可用,是否会造成法律、法规方面的责任,从而遭受罚金、赔偿、诉讼费用?A B C D员工士气如果信息被泄漏,是否会损害企业员工
17、的士气和积极性?A B C D如果员工无法相信和依赖信息,是否会打击员工的士气和积极性? A B C D如果信息资产不可用,是否会造成打击员工士气和积极性? A B C D欺诈如果信息被泄漏,会否造成货物或者资金的受到欺诈?A B C D如果信息发生错误或者是信息被非授权修改会否造成货物或者资金受到欺诈? A B C D如果信息资产不可用,是否会造成货物或者资金受到欺诈? A B C D总体评价 C A B C DI A B C DA A B C D安全级别满足业务安全要求的最低安全级别保密性安全级别A 泄密引起灾难性的后果B 泄密引起严重的后果C 泄密引起轻微的后果D 泄密结果忽略不计完整性
18、安全 级别A 不允许出现错误B 允许出现少量错误C 允许出现一定错误D 允许出现错误可用性安全级别A 24 小时内必须恢复B 48 小时内必须恢复C 1 个工作周内恢复D 没有明确的时间要求Q/ZX 61.1021-20048附录 A 信息资产标识(规范性附录)A.1 公司标识 A.2 级别标识绝密、机密、秘密、公开A.3 知识产权声明标识A.3.1 纸件(电子)宣传材料标识:或者;位置:首页,页眉,页脚A.3.2 光盘类宣传资料标识:位置:光盘表面,以及光盘播放前显示A.3.3 技术文档(散件)标识:或者位置:页脚A.3.4 技术文档(正式)标识:位置:A.3.5印刷类标识:本书中的所有信息
19、均为中兴通讯股份有限公司机密信息,务请妥善保管,未经公司明确作出的书面许可,不得为任何目的、以任何形式或手段(包括电子、机械、复印、录音或其他形式)对本书的任何部分进行复制、存储、引入检索系统或者传播。位置:目录前页A.3.6管理类的文档同上。A.3.7其他需要保密的资料在适当的位置上加“仅为 目的使用,请保密”。 Q/ZX 61.1021-20049附录 B 绝密级信息资产模板(规范性附录)文 件 名:保密责任人:文档 编号:第 X 份 共 X 份指定使用人:使用 期限:自 XXXX 年 XX 月 XX 日至 XXXX 年 XX 月 XX 日保密规定:1. 只限保密责任人及规定的授权使用者本人在公司办公区域内使用2. 不得复印、翻拍、抄录,或以任何形式复制文件信息3. 不得将信息内容以任何形式传播4. 使用期满后按要求返还保密责任人或由保密责任人回收;使用期不得长于 1 个月5. 书面文档的存放必须采取安全措施,如锁入文件柜等6. 书面文档仅限保密责任人或规定的使用人经手传递7. 如需销毁书面文档,必须由保密责任人本人使用适当的设备销毁文件正文:
