信息安全管理办法

适用于公司所有员工、顾问、承包商和临时雇员。 2、目的：

保证公司所有有价值的、机密的信息得到保护。 3、定义：

3.1 所有信息都是保密的，除非已被公开或为公开发布而创建（发布时须由业务单元或职能部门审批）。

3.2 如无特殊注明，所有公司的信息均应被认为“内部使用”级别（秘密级）。 4、流程图：无 5、说明： a）权责：

5.1 项目领导小组：指导公司信息安全工作开展，审批相关文件。 5.2 项目执行小组：维护本标准并对其进行年审。

5.3 员工职责：了解本标准的规定，并按照本标准及配套文件处理所有信息。 5.4 各部门经理职责：

5.4.1确定本部门的保密信息范围，监督本部门员工的执行情况。

5.4.2针对本标准内容进行沟通，并针对本标准及配套文件对员工进行培训和指导。

5.5 信息所有者：对自己生成或开发的信息进行保密分级；定期审查和评估信息的分类级别并根据需要进行调整。

REV:1.0 Page 1 of 5

文件编号：MP203 文件名称：信息安全管理办法 5.6 各部门：对本部门所掌握的公司信息或数据负有最终责任。

5.7 业务保管人：承担该业务部门（业务所有者）维护数据和信息的质量、完整性、实用性和安全性的责任。

5.8 服务商：确保所掌握的信息不被泄露。

5.9 战略运营本部：负责制度在公司内全面执行，并组织相关培训和检查工作开展。

5.10 行政处：制定程序, 并监督程序的执行，负责协调桌面信息安全检查工作。 5.11 资讯本部：负责有关网络、资讯等方面信息安全制度建立和检查工作。 5.12 研发中心：负责本部门内涉及公司机密信息安全监督，并协助信息安全项目执行小组完成相关检查工作。

b）内容：

5.7 信息分为三个级别：绝密级、机密级、秘密级。 5.7.1 定义、说明、示例：

分类 绝密级 保密性的最高级别，此类信息，如定义 定群体内部共享，可能会造成重大单位内部共享，可能会危害运营、或造或声誉造成的损害最小。 经济损失或损害竞争地位或声誉。 成经济损失或损害地位或声誉。 信息极为敏感、私密或对而言具有最高价值；此类信息只能分发给特说明 定群体，且必须时刻加以保护，严禁未经授权的访问或借助特殊控制进行披露。 信息较为敏感、私密或对而言具有重要价值；此类信息只能分发给特定的、因业务需要而需要了解其内容的群体，且必须加以保护，禁止未经授权的访问或披露。 公司员工，但不得向公司外部披露。 受控为公司内部员工和已授权的非有遗失、被公开或在（公司）非特机密级 保密性为增强级，此类信息，如有遗失、被公开或在（公司）非特定群体或业务公司造成的经济损失或对公众形象保密性为最低级，此类信息的披露给秘密级 REV:1.0 Page 2 of 5

文件编号：MP203 文件名称：信息安全管理办法 董事会及LEC文档和讨论资料、合并/收购相关信息、公布前的每季示例 报或季报、战略运营计划、未经宣布的产品设计、法律诉讼和调查，以及预测假设。 部审查报告）。 信息的电子邮件（如员工绩效评估和内务邮件、部门备忘录和内部协议。 度和年度财务业绩、收入草案及年人力资源记录、社会保险号、信用卡和借记卡号）、部分内部项目、包含机密些内部项目报告、组织结构图、电话和电子邮件名录、培训教材、定期商别个人身份的客户或客户端信息（员工指导方针、手册、部分会议记录、一品计划、密码和PIN码、VPN标记、可识、标准、作业程序、作业指导书、会计和财务数据、成本或定价信息、产5.7.2 保密信息可以以任何形式存在，包括电子邮件、电子文档、程序文件等。 5.7.3 信息发布范围：

5.7.3.1绝密级：仅限于发送给指定人员或岗位。

5.7.3.2机密级：仅限于发送给公司内部因特殊业务需要而了解信息的员工。 5.7.3.3秘密级：仅限于公司内部员工使用。 5.8 控制程序：

5.8.1 绝密级、机密级保密信息控制：

5.8.1.1所有废弃的纸类绝密文件、机密文件必须通过碎纸机碎掉，使纸张上的内容成为完全不可读。

5.8.1.2 记载有绝密级、机密级保密信息的磁盘、CD、胶片应集中管理、统一销毁（所有磁盘、CD必须毁断至两半以上，胶片需销毁至不可读为止。）。销毁时需有不少于2名的公司信息安全执行小组成员参与监督。

5.8.2 拍照/摄像控制：

5.8.2.1公司内部员工在公司进行拍照/摄像之前，需填写拍照许可申请单，经过部门经理、安全部经理或其授权人批准后，拍摄授权人可以在申请范围内拍照、摄像。

REV:1.0 Page 3 of 5

文件编号：MP203 文件名称：信息安全管理办法 5.8.1.2保安/前台有权拒绝非授权人员在公司范围内进行拍摄活动。 5.8.3 研发信息安全控制：

5.8.3.1 研发信息属于绝密级、机密级保密信息，研发部需要制订“Security Plan”，并每年定期审核。

5.8.3.2 研发中心属于高度受控区域，所有进入此区域的非授权人员在得到对应部门经理同意的情况下，登记后由专人陪同。

5.8.4 非公司场所机密会议要求：

5.8.4.1 涉及公司绝密、机密的会议应尽量不要在公司外面召开。

5.8.4.2 如果要在公司外召开机密会议，负责安排这次会议的经理应通知安全经理、资讯安全经理等，并对会议现场进行评估。

5.8.4.3 行政处、资讯本部协助确定会议区域的安全性，建议会议室及附近区域应采取的安全措施及有关业务会议的必要控制。

5.8.5 离职员工的安全要求：

5.8.5.1 离职员工的部门经理有责任向该离职人员收回公司发给他的公司手册、工具书、手用工具、钥匙、安全设备等。

5.8.5.2 离职员工的部门经理有责任向离职人员说明有关公司《信息安全管理办法》相关要求和离职人员承担的保密责任。

5.8.6 差旅信息安全要求：

5.8.6.1 所有员工在出差时应尽量避免携带绝密级、机密级保密信息。

REV:1.0 Page 4 of 5

文件编号：MP203 文件名称：信息安全管理办法 5.8.6.2 如果因工作需要必须携带绝密级、机密级保密信息，该员工必须确保在出差过程中，绝密级、机密级信息的安全性，避免造成信息泄露。

5.8.7 桌面信息安全：

5.8.7.1 各部门经理负责制定<部门机密文件分类清单>，每年至少更新一次。 5.8.7.2 各部门安全员每个月至少一次对全部门人员进行下班时间检查，上班时间每月需检查30%，确保每季度覆盖100%人员；检查结果反馈至信息安全执行小组。

5.8.8 对外信息发布要求：

5.8.8.1未经许可，任何员工不得向电视、报纸、杂志和其它新闻媒体发布任何有关信息。

5.8.8.2各部门需经常或定期向机构发布的信息清单，经部门tier1书面批准后进行发布，并向信息安全执行小组备案。

5.8.9信息泄露报告制度：

5.8.9.1如造成绝密机密信息丢失或泄露的，责任人应在30分钟内通知部门领导及公司信息安全执行小组。

6、参考文件：无 7、附件：无

REV:1.0 Page 5 of 5