文本描述
文档编号
�XX_3_IS_信息类资产安全控制规范
�版 本 号
�V1.
�密 级
�内部公开
信息类资产安全控制规范
XXX信息技术有限公司
文档信息
发布版本:V1.
�最后发布时间:XX
�编写人:XX
�审核人:XX
�文档编写目的
�本文件的目标是规范XXX信息技术有限公司针对各类文档信息的安全控制,以避免文档中的敏感信息被非法访问和破坏。
�文档主要内容
�本文件基于资产敏感性级别不同,分别规范了XXX各级文档在产生、保存、传输、使用、复制及销毁等生命周期各阶段的最基本信息安全控制措施。
�文档适用范围
�本文档适用于XXX信息技术有限公司。
版本控制
编号
�修订人
�修订时间
�版本号
�修订内容说明
�
�目录
1. 目标、范围与术语定义
2. 关键敏感信息类资产控制措施
3. 重要敏感信息类资产控制措施
4. 一般敏感信息类资产控制措施
5. 公开使用信息类资产控制措施
6. 附则
�目标、范围与术语定义
本文件的目标是规范XXX信息技术有限公司(以下简称“XXX”)针对各类文档信息的安全控制,通过明确生命周期各环节的控制要求,实现对文档类信息资产的分级保护,避免文档中的敏感信息被非法访问和破坏。
本文件主要针对的是信息类资产中文档形式的资产,包括电子文档和纸质文档。本文件基于资产敏感性级别不同,分别规范了XXX各级文档在产生、保存、传输、使用、复制及销毁等生命周期各阶段的最基本信息安全控制措施。
下列术语和定义适用于本文件:
信息类资产:主要指数据库和数据文件、合同和协议、系统文件、研究信息、用户手册、培训材料、操作或支持程序、业务连续性计划、后备运行安排、审计记录、归档记录等信息;
资产敏感性级别:是为实现分级保护,针对XXX信息资产,根据其机密性不同所划分的级别,分为关键敏感资产、重要敏感资产、一般敏感资产和公开使用四级。
关键敏感信息类资产控制措施
产生中所需的控制措施
电子文档:需进行标识(标识方式参见《信息资产敏感性标识实施规范》),并根据文档性质和用途设定文档的访问权限,包括但不限于设置为只读、禁止打?⒔垢粗频瓤刂品绞健?
纸质文档:需进行标识(标识方式参见《信息资产敏感性标识实施规范》)。
保存中所需的控制措施
电子文档:且需建立物理与逻辑访问控制机制和可靠的备份策略,并定期进行测试;备份介质应存放在专门的库房内归档存放。
纸质文档:需放在有安全保障的档案室或文件柜内加锁保存,并由专人保管、归档。
传输中所需的控制措施
电子文档:在XXX内部网络传输关键敏感信息类资产电子文档,需采用XXX规定的安全传输方式;禁止在公共网络上传送关键敏感信息类资产电子文档,确实因业务需要在公共网络上传送时,应得到相关负责人的批准,并采用XXX规定的传输方式;含有关键敏感信息类资产电子文档的存储介质需装在密封信封内或可上锁的密封容器中,在主管领导审批后,由XXX内部人员或受信第三方直接送达。接受方需签署保密协议承诺安全地使用和保存此类信息。
纸质文档:
传真:传真发送完成后,需及时与接收方确认发送情况,并及时从传真机上取走原件和复本。
异地传送:关键敏感信息类资产纸质文档需装在密封信封内或可上锁的密封容器中,在主管领导审批后,由XXX内部人员或受信第三方直接送达。。
使用中所需的控制措施
电子文档:
授权:根据工作人员职能范围与工作性质授权,只允许经过授权的人员访问,在被授权之前,这些人员应签署保密协议。
访问控制:需建立严格的逻辑访问控制策略与措施,保证人员授权范围与访问权限相符。对于存储关键敏感信息类资产电子文档的系统,必须采取有效的安全访问控制措施。
纸质文档:
授权:
==>> 点击下载文档
