Q/ZX中兴通讯股份有限公司企业标准（管理标准）Q/ZX 61.1021-20042004-06-07 发布 2004-06-15 实施中兴通讯股份有限公司 发 布信息资产分级管理规范Q/ZX 61.1021-2004I目 次前 言.II1范围.12术语和定义.13原则.24管理职责.24.1公司安全委员会.24.2安全管理部.24.3事业部、中心（办）安全小组.24.4业务单位.25信息资产分级细则.25.1识别和登记业务流程.25.2识别和登记信息资产.25.3信息资产分级.36信息资产分级保护.36.1总要求.36.2信息资产的标识.36.3绝密级信息资产的要求.36.4机密级信息资产.36.5秘密级信息资产.46.6公开级信息资产.47附录.47.1附录 A 信息资产标识 .47.2附录 B 绝密级信息资产模板 .4Q/ZX 61.1021-2004II前 言公司的资产种类众多，其中有许多对公司的竞争力和业务的成功有很大的价值，包括有形资产和极具价值的信息资产，例如公司的知识信息资产和机密信息等。妥善保护这些资产十分重要。因为资产的遗失、失窃或被妄用，均会危害到公司的利益。信息分类是信息安全管理标准ISO-17799指导的一部分。信息分类的目标是“确保信息资产得到符合安全级别要求的保护，安全分类方法有助于了解安全保护的要求和优先级别”。作为这项工作的部分，需要制定信息资产和负责人列表，为所有信息资产进行分类。每项信息资产负责人必须为他/她负责的信息资产制定标签。信息分类不仅是按照信息安全策略和指导来制定信息资产列表，而且信息资产分类方法也是进行企业信息安全风险分析评估的重要前提和基础。公司要求所有信息资产都需要得到合理的分级并且得到符合其分级要求的保护。本标准的附录 A、附录 B 是规范性附录。本标准由中兴通讯股份有限公司总裁办安全管理部提出，技术中心规划发展部归口。本标准起草部门：总裁办安全管理部。本标准主要起草人：王玉忠、姜文智、邓维军、王智、陈飞。本标准于 2004 年 6 月首次发布。Q/ZX 61.1021-200411范围本标准规定了如何进行了公司的信息资产分级工作，规定了对不同信息资产级别采取的不同的保护控制措施。本标准适用于公司所有信息资产的分级和保护工作。如果不做特别说明，在本标准中信息等同于信息资产。2术语和定义下列术语和定义适用于本标准。2.1信息资产组成业务流程的子流程中使用的重要的最小单位量的信息。2.2信息资产分级针对信息资产在生成、使用、变更、储存及传递过程中的敏感程度（包括保密性、可用性、完整性） ，确定其不同的保护级别，确保信息资产得到符合安全级别要求的保护。2.3业务单位指公司为实现某一任务所划分的组织，可以是某一事业部、也可以是某一部门、或项目团队。原则上业务单位需要指定相应的信息安全接口人。2.4保密性确保信息只能被授权使用者使用。2.5完整性确保信息和处理方法的准确和完整。2.6可用性确保授权使用者当需要时能够使用信息。2.7信息资产等级根据信息资产的敏感程度，公司的信息资产保护级别划分为 4 级。2.7.1绝密敏感程度最高的信息，如果泄露或出现错误或不可用将会对公司造成灾难性的后果。如公司的收购计划、投资策略、公司战略产品的研发项目计划、研发设计等。绝密级信息资产要求最高的安全性和保护级别，例如其分发必须被严格限制，其使用必须被全程监控，或不允许出现错误或要求在极短的时间内可恢复等。2.7.2机密对公司的运作至关重要的信息，如果泄露或出现错误或不可用将严重影响公司的运作。如公司的会计信息、商业计划、敏感的客户资料、产品资料等。其访问需要得到特别授权，或仅允许出现微量的错误或在较短的时间内恢复等。2.7.3秘密对公司运作重要的信息，如公司的组织架构、业务流程、项目工作计划及其他描述公司运作方式的信息等。秘密级信息只能由被公司授权的人或组织所使用或在公司内部使用，只能出现少量错误或在一定的时间内恢复。信息资产分级管理规范Q/ZX 61.1021-200422.7.4公开由公司确认为公开的信息，如公司发布的年报、招聘信息、特别声明等。3原则3.1公司内所有信息资产，包括纸面的、电子化的以及以其他形式存在的信息资产都必须被合理的分级并加以标识。3.2公司所有信息资产必须依照其信息资产级别严格执行相应的控制及安全措施。3.3信息资产分级和保护工作由安全组织负责组织策划和审计，各业务单位负责执行。4管理职责4.1公司安全委员会制定信息资产分级与保护的方针政策。4.2安全管理部a） 组织信息资产分级标准的制定和维护；b） 指导各单位信息资产分级与保护工作；c） 组织各单位信息资产分级与保护工作的审计。4.3事业部、中心（办）安全小组a） 组织本单位信息资产等级的审核；b） 组织本单位信息资产的分级工作；c） 组织本单位信息资产分级维护工作；d） 组织本单位信息资产的保护工作。4.4业务单位a） 在各级安全组织的组织指导下执行本单位信息资产的分级工作；b） 在各级安全组织的组织指导下执行本单位信息资产的分级维护工作；c） 在各级安全组织的组织指导下执行本单位信息资产的保护工作。5信息资产分级细则5.1识别和登记业务流程5.1.1信息资产分级的第一步是识别业务流程，业务流程是识别信息资产和其所有者的主要依据。5.1.2业务部门需要在安全组织的指导下，登记本单位涉及的业务流程。业务流程登记的格式见表 QR 61.1021-2004-01业务流程登记表 。5.1.3如果业务单位没有正式的业务流程文档描述实际的业务工作流程时，必须首先建立文档化的业务流程。5.2识别和登记信息资产5.2.1在识别业务流程后，需要识别登记业务流程中的信息资产，其是进行信息资产分级工作的基础。Q/ZX 61.1021-200435.2.2业务部门需要在安全组织的指导下，登记本单位业务流程所涉及的信息资产。信息资产登记的格式见表 QR 61.1021-2004-02信息资产登记表 。注意： 与其他业务范围的接口和外部信息来源必须也包含在信息资产清单中5.3信息资产分级5.3.1对于已经识别、确定并且登记的信息资产，结合业务流程的要求，从机密性、完整性、可用性三方面来评估其对业务的影响和风险，确定其保护所需要的分级要求。5.3.2信息资产的总体等级采取从高原则：信息资产的总体等级的确定与信息资产的最高的保密性、完整性、可用性安全级别要求相一致。5.3.3信息资产风险评估见表 QR 61.1021-2004-03信息资产风险评估表 。6信息资产分级保护6.1总要求所有确定分级的信息资产都必须得到符合其等级的保护。6.2信息资产的标识6.2.1公司信息资产必须有相应的标识。6.2.2文档页眉最左上角必须有公司标识，页眉最右上角必须注明其分级标识。6.2.3所有公司信息资产（包括但不限于：公司标准、公司制度、研发技术资料、工程文件以及其存储介质如光盘等），需有公司版权声明的内容。6.2.4通过公司信息系统按照固定格式打印的文档（包括但不限于：合同、料单） ，必须有公司标识和相对应的分级标识。6.2.5发布的文档不能采用数据表格文档格式（如 EXCEL 文档，可以考虑在 WORD 文档中使用表格） 。6.2.6关于公司标识、分级标识和版权声明的内容，见附录 A。6.3绝密级信息资产的要求6.3.1必须明确信息资产责任人和使用者。6.3.2必须使用绝密信息标准模板（见附录 B） 。6.3.3存放必须采取严格的安全措施，电子版本必须存储于安全措施完备的设备中并采取加密措施，其备份文件必须经过严格的保密措施，如加密授权（包括有效使用时间）等；纸面或介质文档锁入保险柜等。6.3.4仅限于信息资产责任人及规定的授权使用者本人在公司局域网或办公区域内使用，被授权人不得二次授权。不得以任何形式传播此信息资产，如电子方式等，不得复印、翻拍、抄录，或以任何形式复制此信息资产。6.3.5如需销毁，必须由信息资产责任人使用可靠的技术措施和适当的设备（如碎纸机）销毁。6.4机密级信息资产6.4.1必须明确信息资产责任人和使用者。6.4.2必须有机密等级标识和机密水印。6.4.3存放必须采取安全措施，电子版本必须存储于安全措施完备的设备中并采取加密措施，其备份文件必须经过严格的保密措施，如加密授权（包括有效使用时间） ，纸面文档锁入文件柜等。Q/ZX 61.1021-200446.4.4仅限于信息资产责任人及规定的授权使用者本人在公司局域网内或办公区域内使用，被授权人不得二次授权。不得以任何形式传播此信息资产，如电子方式等，不得复印、翻拍、抄录，或以任何形式复制此信息资产。6.4.5如需销毁，必须由信息资产责任人使用可靠的技术措施和适当的设备（如碎纸机）销毁。6.5秘密级信息资产由各业务单位安全小组根据本单位情况分别确定。6.6公开级信息资产不需要特别的保护，但必须有公司的标识声明。