公司制度-信息资产保密管理规定

二、总则1.全体员工负有保护公司信息资产的法定及岗位职责，任何造成信息安全行为均依规追责；对信息安全保护工作成效2.保密信息访问遵循工作相关、合理授权、审批受控原则。严禁员工恶意收集与本职岗位无关信息；严禁未经授权对外披露公司保密信息；严禁将公司信息用3.层级责任划分(1)公司各级部门负责人为本部门信息安全第一责任人；(2)各业务流程负责人为对应流程信息安全第一责任人；(3)信息获取方责任人，4.信息防护实行差异化管控：核心关键信息资产数量有限，实施重点防护；非关5.公司依法尊重、保护第三方知识产权、外部合作信息及员工个人3.1管理责任人员须明确上述内容并同步告知相关人员，兼顾信息3.1.1密级确定与变更2.秘密、内部公开信息：由信息生成方直属主管审批确定。补充说明：绝密/机密信息占整体信息资产比例极低，主要集中于产品研3.1.2保密期限1.绝密/机密信息：单次审批保密期限最长不超过3年；2.秘密信息：单次审批保密期限最长不超过2年；3.内部公开信息：不设置保密期限。无法明确固定保密时间的，须书面约定降密触发条件；未标注保密期限、未约定降密条件的信息，统一执行上述最长保密3.1.3知悉范围依据“工作相关”原则划定信息知悉范围：1.绝密/机密信息：知悉范围精确至具体人员；无法定位单人时，限定至指定岗3.1.4定期审视机制3.1.5争议处置规则3.3信息全流程保护规范3.3.1内部信息交流管控内部信息流转分级管控：绝密/机密信息执行安全优先；秘密、内部公开信息(1)跨部门获取信息(信息需求方)1.绝密/机密信息：信息生成方一级负责人、需求方一级负责人双人审批；3.内部公开信息：无需审批。业务合理需求下，信息生成部门不得无故拒绝信息提供，无故阻碍业务流转需承担责任；信息需求方(2)内部共享分发信息(信息使用方)1.绝密/机密信息：未经CEO审批，不得扩大知悉人员范围；(3)人员异动信息留存要求内部信息交流审批基线汇总表信息生成审内部共享信息对外提供信息批审批审批绝密/一级部门负生成方+需求方一级部秘密部门负责人需求方部门负责人部门负责人责人内部公开无需审批无需审批无需审批部门负责人3.3.2对外提供信息管理1.基础审批要求：未经审批严禁向外部单位、个人提供公司保密信息2.对外交付责任：由业务对接部门负责人作为对外信息安全第一责任人，核实需求合理性，与外部合作方签署保密协议，必要时4.客户告知义务：向客户交付保密信息时，通过当面、电话、邮件等形式3.3.3信息传递管控2.跨域传递限制：未经审批，禁止通过拷贝、邮件、打印、拍照等方式将保密信息外传；禁止高密级系统/区域向低密级系统/区域传输数据；跨部门、对3.外部向内、低密向高密传输：重点防范病毒、木马入侵，其余管控要求按业务1.电子邮件：发送含绝密/机密内容邮件前，复核收件人范围；2.邮递：绝密/机密文件仅允许本人或指定受托人签收，采用可信专人递送或挂3.存储介质/设备：存储绝密/机密信息的硬件跨区域转运时粘贴封条，由指4.打印/复印：未经主管审批，不得打印、复印绝密/机密材料，打印完成后5.传真：秘密及以上密级文件传真，确认收件人现场等候后方可发送，不得委托6.拍照/摄像/录音：未经主管批准，禁止在办公区、实验室、会议现场等区3.3.4加密使用策略1.内部流转加密：严控加密使用范围，避免过度加密影响办公效率3.员工不得自行随意加密文件，无主管加密指4.对外/介质拷贝加密：向外部系统、存储介质拷贝绝密/机密信息，可按责任人要求设置文件密码、压缩包口令等防护措施；秘密3.3.5信息存放、清除与数据恢复1.归档备份：重要保密信息按责任人要求归档、备份，未经审批不得读取、修改、2.日常存放：保密纸质文件、存储设备存放于带锁抽屉、保密柜；绝密/机密材4.存储介质数据清除分级标准8.存储过绝密/机密信息的介质报废：必须物理销毁或消磁；9.外部数据恢复：委托第三方恢复存储设备数据须主管审批；涉及绝密、机密信1.对外公开内容不得包含技术、商业秘密，不得损害公司声誉、引发知识产2.未经主管审批，员工不得私自发布内部通告宣传材料，不得以公司员工身份接1.携带绝密、机密纸质文件、存储设备、笔记本电脑出行仅可随身携带，严2.临时离开办公场所无法随身携带保密资产时，存入保密柜或交由可信人员代3.5信息系统管理3.6保密协议履约2.本规定由信息安全管理部门每年全面复盘审视，根据业务变化修订后正式下发附件：公司关键信息资产清单2.客户名单、供应商名单3.投标文件、营销方案、产品定价清单、市场分析报告4.财务报告、审计报告、经营管理数据、成本