保密控制程序.doc

信息安全管理体系文件ISMSP-16-A信息科技部保密控制程序A版2011年6月1日 发布 2011年6月1日 实施目录1 目的32 范围33 相关文件34 职责35 程序45.1 秘密事项的等级45.2 秘密的指定45.3 秘密文书的表示方法45.4 送付区域和使用目的、范围的指定。55.5 秘密文书的发放管理55.6 信息科技部秘密的使用65.7 秘密文书的保管65.8 信息科技部秘密指定的解除或变更65.9 回收/废弃75.10 事故的处理75.11 教育85.12 其他86 记录8文件修订历史记录版本日期修订者修订描述1.01 目的为更好的管理阜新银行信息科技部内的业务、发文、经营等活动产生的各类信息，确保信息受到适当级别的保护，避免不恰当使用或泄漏以避免信息科技部遭受经济损失或法律纠纷，特制定本管理程序。2 范围本文件适用于下列涉密事项的管理：2.1 阜新银行信息科技部重大决策中的秘密事项。2.2 阜新银行信息科技部未付诸实施的经营战略、方向、规划、项目及决策。2.3 阜新银行信息科技部掌握的合同、协议、意向书及可行性报告、主要会议纪要/记录。2.4 阜新银行信息科技部财务预决算报告及各类财务报表、统计报表。2.5 阜新银行信息科技部掌握的尚未进入市场或政府机构尚未公开的各类信息。2.6 阜新银行信息科技部人事档案及人事信息。2.7 其他驻场工作人员或其他组织确定保密的事项。3 相关文件4 职责4.1 阜新银行信息科技部机密的管理最高责任者为总经理。4.2 文档管理员负责管理阜新银行信息科技部门的秘密及敏感信息。4.3 全体员工都附有遵守保密承诺、保守信息科技部秘密的义务。5 程序5.1 秘密事项的等级本程序中所指的秘密事项分：机密事项、秘密事项、敏感信息事项共3类。5.1.1 “机密事项”是指：不可对外公开、若泄露或被篡改会对经营造成严重损害，或者由于业务上的需要仅限有关人员知道的事项；5.1.2 “秘密事项”是指：不可对外公开、若泄露或被篡改会对经营造成损害，或者由于业务上的需要仅限有关人员知道的事项；5.1.3 “敏感信息事项”是指：为了日常的业务能顺利进行而向员工公开、但不可向信息科技部以外人员随意公开的事项。以上3类事项以下简称秘密事项。5.1.4 一般事项 秘密事项以外，仅用来传递信息、昭示承诺或对外宣传所涉及的事项。5.2 秘密的指定5.2.1 阜新银行信息科技部机密事项由总经理指定，信息科技部秘密由产生该事项的相关负责人员或其授权人员指定，经总经理确认后将认定为秘密。敏感信息由产生该事项的相关副总经理级人员或其授权人员指定。指定秘密事项时，应参考本文件所附的示例，并充分考虑该事项的性质及重要程度等因素。5.2.2 员工对自己编制的信息需要判断是否为秘密及管理分类(机密、秘密、敏感)时，可随时询问所在区域的副总经理。后者对前者的请求应及时给予明确的判定。无法判明时，可请示更高一级领导（例如管理者代表）。5.2.3 编制的文书一旦被指定为秘密文书，则编制者应按本程序的要求对编制中和编制后的无用稿件进行处置。5.3 秘密文书的表示方法5.3.1 秘密文书，由编制人员在第一页右上角表明机密或秘密，或盖上机密/秘密印章，颜色为红色。字体字号要求：3号黑体字，顶格标识在首页右上角第一行，秘密等级各保密期限用“”隔开。编制人员制作秘密文书时还应在第一页的顶端标明文档所属负责人或归属部门，是否可以复印。示例如下： 机 密三 年 秘 密阜新银行信息科技部 所有秘密 严禁复印 5.3.2 除遵守5.3.1条款的程序，在秘密文书的第一页上标明机密或秘密，或盖上机密/秘密印章外，编制人/部门还应在文件控制记录中“文件的保密等级”做出明确标识。注:采用电磁等媒体记录的秘密文书，应在其包装盒上明显的位置用标签标明秘密管理分类，使用的印章同上。5.4 送付区域和使用目的、范围的指定。5.4.1发送秘密文书时，指定者应根据文书内容指定接收区域和接收人，在文件控制记录中指明流转范围。5.5 秘密文书的发放管理5.5.1 文档管理员在发放秘密文书（信息科技部秘密事项以上，包括秘密事项）前，应作好发行的台帐登记。台帐内容应包括：发行年月日、标题、送付区域及分数、解除/变更年月日、回收/废弃年月日等。该管理台帐同秘密文书一样保管。5.5.2信息科技部内文档管理员在发送的秘密事项以上的秘密文书，应亲自交给接收人。5.5.3发往信息科技部以外的秘密文书，原则上双方应签署含有保密条款的合同并经总经理批准后方可提供。特殊情况(无保密条款合同但又必需提供)需事先准备好保密协议书，经总经理批准并要求对方在接收时签收。注: (1)利用网络传送秘密文书时，应事先与接收人取得联系，并根据实际情况决定是否加载密码。(2)利用传真传送的秘密文书时，应事先与接收人联系，并以书面或口头的方式提醒对方“注意保密,严禁复印”。5.6 信息科技部秘密的使用5.6.1 秘密文书的接收人应根据文件控制记录中的流转范围的规定正确使用秘密文书。5.6.2 秘密文书的保管人员（文档管理员）和秘密事项的实际操作人员应严格按照岗位职责的规定全面有效履行其工作职责和义务，未经指定者许可不得擅自将秘密内容向其它人员公开。5.6.3 采用网络传送的秘密文书需转发他人时，必须附上文书名称或标题，并在正文中注明“秘密文书”。 根据情况需要，可以电话通知对方，防止不恰当使用或泄漏。5.6.4 秘密文书原则上严禁复印。因业务必需时应限制在最小限度，并且在使用后按5.9条款方法及时废弃。5.6.5未经批准，严禁将秘密文书带出信息科技部使用。如工作必须，应经过副总经理以上领导的批准。5.7 秘密文书的保管5.7.1信息科技部秘密事项以上的秘密文书应保存在能上锁的柜子中，文档管理员是责任者或指定的人员负责该钥匙的保管及文书保管台帐登记。台帐内容为: 接收年月日、份数、标题、发行部门、解除/变更年月日、回收/废弃年月日等。该管理台帐同秘密文书一样保管。接收的敏感信息文书,不必登记上述台帐。但应存放在信息科技部以外人员，未经许可不能随便进入的场所。5.7.2保存在计算机系统内的秘密事项应采取适当的防护和备份措施，防止被无关人员查看、误操作等。5.8 信息科技部秘密指定的解除或变更5.8.1 解除或变更的条件5.8.1.1 秘密事项因对外公开发表而成为众所周知的信息时,信息科技部秘密的指定将自动解除。5.8.1.2 随着时间的推移,某些秘密事项的内容已过时的情况下。5.8.1.3 经信息科技部指定该秘密事项已解除或变更。5.8.2 解除或变更的方法5.8.2.1 解除或变更信息科技部秘密指定时，由原编制人的指定者书面通知原接收者，该通知应标明文件的标题，发行日期，文件编号等可以明确标识该文书而不会产生异议的字段。5.8.2.2 编制人及接收人，在秘密文书发放/保管登记台帐上用红色笔划掉该行内容，并记录解除或变更日期。在原秘密文书上划去秘密印章并加盖解除/变更印章并记入解除/变更日期。信息科技部秘密解除印章 信息科技部秘密变更印章信息科技部秘密解除年 月 日 年 月 日信息科技部秘密变更年 月 日 注：（1）解除/变更后的文书，应及时清理出现场，并按相应的管理区分保管和使用。（2）为使解除/变更能及时进行，文书接收方在了解到5.8.1的条件出现时，负有通知原编制方的义务。（3）信息科技部的机密、秘密、解除/变更印章由信息科技部指定的文档管理员进行保管。5.9 回收/废弃5.9.1 秘密文书，如无特别指定，原则上应在使用后及时回收归档保存或废弃。5.9.2废弃秘密文书时，纸类媒体可用粉碎的方法，其它媒体可用初始化或破坏媒体的方法处理。废弃时应同时在台帐上用红色笔划掉该行内容并记录废弃日期。5.9.3秘密文书改版发送时，编制人应通知接收人废弃旧版，同时回收旧版。编制方和接收方应同时在所保管的秘密文书发放/保管台帐上及时标明，做好记录。5.10 事故的处理5.10.1 发现遗失秘密文书时，应及时向部门指定者报告并与原发行人取得联系。5.10.2 发现企业秘密泄漏、有泄漏征兆或管理上存在重大隐患时，发现者应迅速向总经理报告。5.10.3 拾到遗失的秘密文书时，应迅速交给遗失者。关系者不明时，交给该区域副总经理。5.10.4 发生以上情况时，相应职能人员应迅速调查原因，采取适当的纠正和预防措施，并将处置结果以书面的方式通知有关人员。5.11 教育5.11.1 为了使员工能充分了解并彻底贯彻执行信息科技部秘密管理规定，应对新入员工及调职来的人员进行保守企业秘密教育。教育时应作好教育记录。记录内容应包括:日期、地点、讲师名、受教育者名、教育内容等。教育记录应妥善保存。保存期为该员工离开信息科技部后3年。5.11.2 掌握信息科技部重要经营信息、关键技术的从业人员离、退职时，总经理应对其进行面谈，重申保守信息科技部秘密的规定，防止将信息科技部秘密带出或不正当使用。5.12 其他5.12.1 外来人员参观，应严格按阜新银行信息科技部有关规定，办理“外来人员登记手续”，经批准后按申请的时间和路线参观，如需进入办公室时，接待责任人必须全程陪同，结束后，由接待责任人负责送出。6 记录秘密文书保管台帐秘密文书发放/回收台帐秘密文书划分一览表信息安全管理体系文件ISMSP-16-A秘密文书发放台帐发行日期标题送付部门份数接收人解除/更改日期回收/废弃日期编制人审批人备注信息安全管理体系文件ISMSP-16-R03秘密文书保管台帐接收日期标题发行部门份数接收人解除/更改日期回收/废弃日期编制人审批人备注秘密文书划分一览表项目机密事项秘密事项敏感信息事项1.经营规划l 战略决策l 中长期规划l 经营计划l 合资协议l 部门的中长期规划2.组织情况l 组织变更方案l 电话簿l 组织机构图l 组织变更通知3.规章制度l 业务手册l 各项规章制度4.人事制度l 人事方案l 人事待遇资料l 录用计划l 离职资料l 福利劳保计划l 中期人员计划l 人员构成l 裁员计划l 工资变更l 员工社会保险l 各部门内部培训资料l 人事变动通知l 培训计划l 入职培训5.财务信息l 资金预算和投资预算l 财务业绩报告l 生产成本l 财务数据的处理方法(成本计算方法和系统,减税的方法、规程)l 工资表l 财务文书档案l 各类证照l 客户合同l 财务分析及预算分析表l 资金每日收支明细表l 成本预测及报价l 费用支出明细表l 客户结算帐单l 财政软件数据及由此产生的报表l 培训费明细表l 银行卡号人员明细表l 保险、所得税明细表l 银行对帐单l 固定资产明细表l 工资总额使用手册l 历史遗留的操作指导书6.营业信息l 市场调查报告(市场动向,顾客需求,其它各行动向及对这些情报的分析方法和结果.)l 商谈的内容,合同/协议l 营销计划(通过促销等手段强化营销能力、营销区域及选定上市期)l 营业战略(有关和其它公司合作销售、销售途径的确定及变更,对代理商的政策等情报)商品和服务的价格(成本价、批发价、成交价以及设定价格的方法和基准)l 客户信息(客户名单、供应商名单)l 返工和投诉处理l 供应商信息（各种材料、设备等生产中必需资材的供应商情况）l 广告宣传情报(广告创意、方法) 7.技术信息l 研究成果(信息科技部或者和其它单位合作研究开发的技术成果)l 开发计划书l 核心设备的登录口令、IP地址、技术配置说明书l 技术备忘录l 技术合作的有关内容(协作方,协