保密技术的分类
保密技术一般指保密防护技术和发现泄密(窃密)的技术。
1、保密防护技术:可分为涉密载体(涉密物体)保密技术和涉密信息(信息处理和信息传输)保密技术:
(1)涉密载体保密技术。这类技术主要是对有形的涉密信息载体(即实物)实施保护,使之不被窃取、复制或丢失。如磁盘信息消除技术,文件箱防窃、防丢报警技术,室内防盗报警技术,防复印复制技术,油印蜡纸字迹去除技术,文件粉碎机,密码锁、指纹锁、眼底锁等。载有秘密信息的文件资料和物品的印制、生产、传输、使用、保管、销毁等各个环节都可应用这类保密技术。
(2)涉密信息保密技术。这类技术主要是对涉密信息的处理过程和传输过程实施保护,使之不被非法入侵、外传、窃听、干扰、破坏、拷贝。对信息处理主要有二种技术:一种是计算机软、硬件的加密和保护技术,如计算机口令字验证、数据库存取控制技术、审计跟踪技术、密码技术、防病毒技术等;另一种是计算机网络保密技术,主要指用于防止内部网秘密信息非法外传的保密网关、安全路由器、防火墙等。对信息传输也有两种技术:一种是对信息传输信道采取措施,如专网通信技术、跳频通信技术(扩展频谱通信技术)、光纤通信技术、辐射屏蔽和干扰技术等,以增加窃听的难度;另一种是对传递的信息使用密码技术进行加密,使窃听者即使截获信息也无法知悉其真实内容。常用的加密设备有电话保密机、传真保密机、IP密码机、线路密码机、电子邮件
密码系统等。
2、泄密发现技术(又叫保密检查技术):即在国家秘密运动过程中,检查、测试国家秘密是否发生泄漏,并找出泄漏的原因和渠道的技术。这类技术不同于保密防范技术,不具有直接保密的功能。它是通过技术手段检查、测试验证秘密是否泄露和能否被窃取,并查明原因和漏洞。如移动通信泄密检查技术,计算机网络系统信息传输检查技术、电子邮件监视技术,各类计算机、通信、会议音响设备寄生振荡电磁泄漏辐射检测技术,屏蔽效果测试技术,磁介质消磁效果验证技术,解密技术等。这类技术实际上是将窃密技术手段用于保密目的,为前三类保密防范技术的应用、改进、开发和发展提供依据。从这个意义上讲,保密检查技术既是保密防范技术的重要补充,又是保密检查的重要手段。
上海亚东国际货运有限公司(企业标准) 信息分类与编码 (草案) 日期:2011年10月
目录 1、前言 2、范围 3、规范性应用文件 4、术语和定义 5、分类 6、编码 7、分类对象表示 8、分类编码表
1、前言 本标准由亚东总部办公会议提出,归口到亚东总部信息管理部。 标准起草部门:总经办、办公室、人力资源部、信息管理部。 标准起草人:劳渝声、张正良、孙海龙、沈锡鹤 2、范围 本标准规定了亚东物流信息的分类、编码及分类代码。 本标准适用于总部各级管理部门、分子公司以及相关单位对于物流信息的管理及应用。 3、规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的国标文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,亚东总部鼓励各部门及子分公司根据本标准使用这些国标文件的最新版本。凡是不注日期的引用国标文件,其最新版本适用于本标准。 GB/T 10113-2003 分类与编码通用术语 GB/T 23831-2009 物流信息分类与代码 4、术语和定义 下列术语和定义适用于本标准。 4.1 类 category 具有某种共同属性(或特征)的实物或概念的集合。 【引自GB/T 10113-2003,2.1.1】 4.2 分类 classification 按照选定的属性(或特征)区分分类对象(3.4),将具有某种共同属性(或特征)的分类对象(3.4)集合在一起的过程。 【引自GB/T 10113-2003,2.1.2】 4.3 信息分类 information classifying
把具有某种共同属性或特征的信息归并在一起,把具有不同属性或特征的信息区别开来的过程。 【引自GB/T 10113-2003,2.1.3】 4.4 分类对象 objects of classification 被分类(3.2)的事物或概念。 【引自GB/T 10113-2003,2.1.4】 4.5 线分类法 method of linear classification 将分类对象(3.4)按选定的若干属性(或特征),逐次地分为若干层级,每个层级又分为若干类目。同一分支的同层级类目之间构成并列关系,不同层级类目之间构成隶属关系。 【引自GB/T 10113-2003,2.1.5】 4.6 层次码 layer code 能反映编码对象为隶属关系的代码。 【引自GB/T 10113-2003,2.2.22】 5、分类 5.1 原则 本标准按物流信息的业务管理及应用所反映的属性分类,遵循以下原则:5.1.1科学性 选择物流信息最稳定本质属性或特征作为分类的基础和依据。 5.1.2系统性 将选定的物流信息的属性或特征按一定的排列顺序予以系统化,形成一个科学合理的分类体系。 5.1.3可扩延性 设置收容类目,并且在建立物流信息分类体系和代码编码中充分考虑今后的信息分类与代码的扩充、延拓和细化。 5.1.4兼容性 与相关标准的相关内容相兼容。
秘密等级的划分原则 文件资料按保密程度分为绝密文件、机密文件、普通文件、宣传资料。 1.绝密文件:指最重要的公司秘密,一旦泄露会使公司权益受到重大损害的文件资料。 1-1.财务分析报告,财务单证等财务数据和书面资料; 1-2.对高层管理者的考核报告、工资信息、分配报告; 1-3.对工资分配方案及所属文件; 1-4.涉及成本、利润的报告或论证材料; 1-5.公司尚未实施或正在实施的经营战略决策、公司项目技术的核心资料; 1-7.公司重要的会议纪要; 1-8.公司其它认为应列入绝密范畴内的文件资料; 2.机密文件:指重要的公司文件,一旦泄露会使公司权益受到损害的文件资料。 2-1.公司注册及相关文件; 2-2.产品技术资料的重要图纸、CAD图纸等; 2-3.涉及公司尚未公开或不宜公开情报的来往文书,以及合同、协议文本;、 2-4.公司发货及收货单据、清单、电脑软件系统内容。 2-5.公司人员花名册、人员档案、合同保险、考勤数据等电子版及书面资料。 2-6.公司设备图纸、库存产品,生产工艺等(包含照片、视频、参数、型号等)。 2-6.公司其它认为应列入机密范畴内的文件材料。 3.普通文件:指一般性的,可以提供给所有的员工查考利用的文件资料。 3-1.平时各种工作条例、规章制度; 3-2.一般业务工作来往文件(不涉及绝密、机密的文件); 3-3.各类一般性的请示、通知、通报、会议纪要、情况反映等; 3-4.生产计划类计划表(涉及厂家信息的为机密文件) 3-5.一般性的月、季工作计划与总结报告; 3-6.有关干部任免、调配等的文件; 3-7.财产、物资、档案等各类行政交接手续凭证。 4、宣传资料:指对外发布的,可以供公司以外的人员了解公司信息的窗口,如公司宣传册、对外招聘广告、公司网站、宣传片等。 根据以上原则对秘密等级的划分,可按文件内容涉及的机密程度提高或降低。 综合办公室
保密信息等级分类及授权管理办法 第一章总则 第一条为切实加强XX有限公司(以下简称“公司”)的信息安全工作,防范和杜绝各种泄密事件的发生,保护和合理利用公司秘密,确保公司信息披露的公平、公正,保障公司及其他利益相关者的合法权益不受侵犯,根据有关法律、法规并结合公司实际,制定本管理办法。 第二条保密信息是指不为公众所知悉,关系公司利益,具有实用性并经公司采取保密措施保护的技术信息、经营信息、客户信息和管理信息等,在一定时间内只限一定范围人员知悉的信息。 第三条公司各部门以及全体职员都有保守公司秘密的义务,都应做好信息保密工作。 第四条信息保密工作,实行积极防范、突出重点、既确保秘密又便于工作,并充分履行信息披露义务的方针。 第二章保密信息范围和密级确定 第五条保密信息包括但不限于以下事项和行为: (一)涉及公司经营管理、运作和决策,或对公司利益有重大影
响,一旦泄密将给公司带来损失或失去潜在收益的信息; (二)包括以书面和电子等方式存在的各种信息; (三)其他与公司相关的需要保密的信息。 第六条保密信息的密级分为“绝密”、“机密”、“秘密”三个等级。 (一)绝密是最重要的公司秘密,泄露会使公司的利益遭受特别严重的损害,主要包括:公司的发展规划、经营战略、客户信息资料及相关内容、交易系统信息数据、商务谈判内容及载体,正式合同和协议文书、未开标的投标文件、未公开的重大投资决策、尚未确定的公司重要人事调整及安排等,以及按《档案法》规定属于绝密级别的各种档案; (二)机密是重要的公司秘密,泄露会使公司利益遭受到严重的损害,如、财务报表、统计资料、重要会议记录、公司经营情况等,以及按《档案法》规定属于机密级别的各种档案; (三)秘密是一般的公司秘密,泄露会使公司的利益遭受损害,如公司人事档案、合同、协议、薪金制度,人力资源对管理人员的考评材料等,以及按《档案法》规定属于秘密级别的各种档案。 第七条定级方法 由文件生成部门负责人确定文件的密级程度、保密期限和起止日期,并在文件的右上角标明。属公司秘密事项但不能标明密级的,由
信息系统的类型 □信息系统的基本类型 信息系统可以是人工的或基于计算机的,独立的或综合的,成批处理的或联机的。通常的信息系统是上述各种类型的组合。当然它不能即是独 1.独立的系统是为了满足某个特定的应用领域(如,人事管理)而设计 2.综合的信息系统通过它们使用的数据而被综合在一起。系统利用一个资源共享的数据库来达到综合的目的。例如,工资系统要求正常地从人 3.以人工系统为基础已经开发出各种各样的计算机信息系统。到目前为止,在进行人工“计算机化”时,仍然缺乏设计经验和(或)缺少信息服务人员与用户之间的交流。也就是说,基于计算机的系统的工作流程直接借鉴了人工系统的工作流程。通常这些系统是独立的,而且把计算机仅仅用作为数据处理机。在设计这些系 4.信息系统也能按成批处理、联机处理或二者组合来分类。在成批处理系统中,将事务和数据分批地处理或产生报表。例如,银行将大量的支票编码,然后在一天结束时,将所在支票分批、排序并进行处理。又如,为了防止航空公司在塔拉斯一个售票点与在亚特兰大的另一个售票点同时出售从洛杉矶到旧金山的某一航班的最后一张机票,航空公司系统订票必须是联机的,以反映数据库当前的状态。多数联机信息系统也有成批处
即使出现了信息资源管理(IRM)系统,而且计算机信息系统的潜力得 到了广泛的承认之后,大多数系统仍然是独立的成批处理系统。如今这些 系统中多数已经失去了使用价值,而且被重新设计成综合的、联机的系统。通过定义可知,“综合”要求业务领域经理和公司领导密切地合作。信息 服务专业人员可以作为顾问,而有关综合信息系统与业务领域的冲突和差 异则应该由用户团体来解决。解决这些差异以真正实现综合的环境是信息 □社会团体的信息系统 在每个社会团体的每个专业领域都能发现数据处理系统或信息系统 的潜力。下面我们按社会团体列举出这些实行计算机化的专业或应用领域。对于某种程度在专业上相近的系统多数可以综合在一起(例如,工资,会计和人事)。下面给出的清单只是为了说明可能的应用领域,并不包括 1.通用系统:(1)工资 (2)收帐 (3)付帐 (4)总帐 (5)库存管理 和控制 (6)人力资源开发 (7)预算 (8)财务分析 (9)采购 (10)字 2.制造业:(1)定货输入和处理 (2)分配和发送 (3)生产调度 (4) 制造资源计划(MRP,通常又称物料需求) (5)市场分析 (6)计算机辅助 设计(CAD) (7)计算机辅助制造(CAM) (8)项目管理和控制 (9)成本标 3.保健:(1)病人结帐 (2)病房统计 (3)配方(包括药剂的相互影响) (4)护士站调度(5)诊断 (6)入院管理 (7)
信息分类方法 信息分类常见的分类方法有两种: 线分类法 线分类法又称层级分类法,是指将分类对象按所选定的若干分类标志,逐次地分成相应的若干层级类目,并排列成一个有层次逐级展开的分类体系。分类体系的一般表现形式是大类、中类、小类等级别不同的类目逐级展开,体系中各层级所选用的标志不同,同位类构成并列关系,上下位类构成隶属关系。由一个类目直接划分出来的下一级各类目之间存在着并列关系,不重复,不交叉。 线分类法应遵循的基本原则: 1. 在线分类法中,由某一上位类类目划分出的下位类类目的总范围应与上位类类目范围相同(都属于家具)。 2. 当一个上位类类目划分成若干个下位类类目时,应选择一个划分标志(按照制作原料)。 3. 同位类类目之间不交叉、不重复,并只对应于一个上位类(木椅、木凳、木桌、木箱、木架)。 4. 分类要依次进行,不应有空层或加层。 线分类法的优缺点: ? 优点:层次性好,能较好地反映类目之间的逻辑关系,使用方便,既适合于手工处理信息的传统习惯,又便于计算机处理信息。 ? 缺点:线分类体系存在着分类结构弹性差(分类结构一经确定,不易改动)、效率较低(当分类层次较多时,代码位数较长,影响数据处理的速度)。 面分类法 面分类法又称平行分类法,它是将拟分类的商品集合总体,根据其本身的属性或特征,分成相互之间没有隶属关系的面,每个面都包含一组类目。将每个面中的一种类目与另一个面中的一种类目组合在一起,即组成一个复合类目。 服装的分类就是按照面分类法组配的。把服装用的面料、款式、穿着用途分为三个互相之间没有隶属关系的“面”,每个“面”又分成若干个类目。使用时,将有关类目组配起来。如:纯毛男式西装,纯棉女式连衣裙等。 面分类法应遵循的基本原则: 1. 根据需要,应将分类对象的本质属性作为分类对象的标志。 2. 不同面的类目之间不能相互交叉,也不能重复出现。 3. 每个面有严格的固定位置。 4. 面的选择以及位置的确定应根据实际需要而定。 面分类法的优缺点: ? 优点:具有较大的弹性,可以较大量地扩充新类目,不必预先确定好最后的分组,适用于计算机管理。 ? 缺点:组配结构太复杂,不便于手工处理,其容量也不能充分利用。 信息编码是将某一类信息赋予一定的符号,为了满足实际业务应用,编码需要具备以下基本原则: 1. 唯一性:编码必须保证每一个编码对象对应仅有一个代码。 2. 可扩展性: 代码结构必须能够适应编码对象不断增加的需要 3. 简单性:在不影响代码的容量和可扩展性的情况下, 代码尽量简短明确,以
数据保密级别划分办法
第一章数据分类分级依据 1.1法律及标准 《保守国家秘密法》 《网络安全法》 《著作权法》 《商标法》 《专利法》 《反不正当竞争法》 《民法总则》 《个人信息保护法(草案)》 《数据安全法(草案)》 《个人信息与重要数据出境评估办法》 《信息安全技术个人信息安全规范》、 《信息安全技术个人信息安全风险评估指南》、 《信息安全技术个人信息去标识化指南》、 《信息安全技术大数据服务安全能力要求》、 《信息安全技术大数据安全管理指南》、 《信息安全技术大数据安全能力成熟度模型》、 《信息安全技术大数据交易服务安全要求》 1.2管理规定-国务院 《科学数据管理办法》 《关于深化“互联网 +先进制造业”发展工业互联网的指导意见》《国务院关于印发“十三五”国家信息化规划的通知》 《中央企业商业秘密保护暂行规定》 1.3管理规定-各部委 《证券基金经营机构信息技术管理办法》 《关于开展银行业和保险业网络安全专项治理工作的通知》 《电信和互联网行业提升网络数据安全保护能力专项行动方案》《信息通信行业发展规划 (2016 2020年 )》 1.4指导性文件-国务院层面 《关于促进和规范健康医疗大数据应用发展的指导意见》 《关于运用大数据加强对市场主体服务和监管的若干意见》 《国家网络空间安全战略》 《促进大数据发展行动纲要》 《关于印发“互联网+政务服务”技术体系建设指南的通知》 1.5指导性文件-各部委 《国家网络安全事件应急预案》 《工业数据分类分级指南(试行)》 《证券期货业数据分类分级指引》 《个人金融信息保护技术规范》
第二章数据分类分级标准模型 1.2数据分类定义 1.数据按照其依存的环境和方式,分为在线数据和离线数据: (一)在线数据:是指核心数据库、应用系统、信息技术基础设施等信息系 统中的数据,包括业务数据、配置数据、系统日志等,对在线数据的访问必须通过信息系统自身或者专门数据管理平台。 (二)离线数据:是指脱离于信息系统的数据,包括电子文件和纸质文件, 离线数据通常可以独立存储在介质、终端计算机中,对其访问可以不需要通过正在运行的信息系统。如归档后离线生成数据、员工终端上的个人工作文档、会议纪要等。 2.按照数据类型分为四类: (一)用户数据类:用户的基本信息和用户提供给公司使用的数据,以及自身 相关的行为数据、交易数据等。如:隐私数据、个人设备信息、用户profile 信息、行为信息等; (二)业务数据类:公司业务开展所需要的数据。如:产品数据、运营数据、 营销数据、数据分析信息等; (三)公司数据类:公司公司日常管理和经营相关数据。如:经营数据、管 理数据等; (四)其他信息类:除上述明确数据类别之外的数据。包括:生产运营类、 技术研发类以及公共信息等。 数据类别细分参考附件1《数据基础分类分级表》 1.2数据分级定义 1.数据保密级别分为“公开”、“内部”,秘密”和“机密”四个级别,管控级别依次上升。各级别定义如下:
《信息技术服务分类与代码》解读 刘宏 2017-03-09 《信息技术服务分类与代码》标准为信息技术服务分类提供了分类方案,为信息技术服务体系的建立和维护提供了依据。目前公司的业务基本上是按照《信息技术服务分类与代码》进行分类,因此本文介绍了《信息技术服务分类与代码》主要内容。 信息技术服务需求包括纵横两个维度的内容,一是横向的由管理体系、人员、信息资源、技术支撑等组成的信息化体系要素,二是纵向的系统生命周期过程,即系统的概念、开发、生产、使用、支持、退役等六个阶段。 应对需方信息技术服务需求的各项内容,在供方层面产生了八项信息技术服务业务,包括咨询服务、培训服务、数据处理服务、软件开发和部署服务、测试服务、集成服务、IT运维服务和租赁服务。这八种信息技术服务应对需方信息技术服务需求全部要素的同时,也涵盖了系统生命周期过程的全部六个阶段。 运营 图 1 信息技术服务框架图 图1中,八类信息技术服务业务与信息技术服务需求的基本对应关系如下: 1)咨询服务,包括规划、设计、管理咨询、监理、评估认证和技术培训等,应对于 需方信息技术服务需求中的管理体系、人员、信息资源,以及技术支撑中的概念 和开发等阶段。 2)设计与开发服务,包括硬件、软件等设计开发,应对于需方技术支撑需求中的设
计开发阶段。 3)系统集成试试服务,包括基础环境、硬件、软件、安全等集成实施,以及集成实 施管理等,应对于需方技术支撑需求中的集成实施阶段。 4)运行维护服务,包括基础环境、硬件、软件、安全等运行维护服务,以及运行维 护管理等,应对于需方技术支撑需求中的运行维护阶段。 5)数据处理和存储服务,包括数据加工处理、存储等,应对于需方的信息资源需 求。 6)运营服务,包括软件、平台基础设施等运营服务,应对于需方的租用服务需求; 7)数字内容服务,包括数字动漫、游戏设计、地理信息等内容的加工与整合,应对 于需方的数字内容服务需求。 8)呼叫中心服务,包括业务咨询、信息查询、数据查询等信息服务,应对于需方的 信息服务需求; 在《信息技术服务分类与代码》标准编制中对信息技术服务框架的中的信息技术服务分类进行了调整。表1是目前使用的信息技术服务分类。 特别注意的是在2010年前,由于认知上的失误,将“系统运行与维护”定义为“IT服务”,即所谓“大IT服务(覆盖IT全生命周期阶段的服务)”与“小IT服务(覆盖系统运行与维护阶段的服务)之争。基于《信息技术服务分类与代码》标准,目前公司的业务都属于信息技术服务范围内。公司目前个别业务单元名称冠以“IT服务”(其核心业务为“系统平台运行维护”等),在国内进行业务沟通与交流时可能存在一定的误解,需要特别关注。 信息技术服务的分类与代码内容如下: 表1 信息技术服务分类与代码
本文件目的在于通过对信息资产进行合理的分类,为信息资产管理提供科学、有效的方式。对现有信息资产进行信息安全属性的赋值,并对其进行等级划分,从而为以后的安全解决方案及安全保护措施的采用提供依据。 2.适用范围 本文件的适用于公司的信息资产的相关管理工作。 3.术语、定义和缩略语 无 4.职责 4.1.信息化科 负责本制度的制定与更新,协调和监督资产分级分类工作的实施。 4.2.信息资产管理人 负责信息资产的管理工作,负责相关信息资产的识别与登记。 4.3.全体员工 协助信息资产管理人进行资产的识别与分类工作。 概述信息资产是组织直接赋予了价值因而需要保护的东西。它可能是以多种形式存在,有无形的、有形的、硬件、软件、文档、代码、服务和组织形象等。它们分别具有不同的价值属性和存在特点,其存在的弱点、面临的威胁、需要进行的保护和安全控制都各不相同。为此,有必要对组织、机构中的信息资产进行科学分类,让组织清晰的了解需要重点保护的对象,并为的信息安全风险评估及信息安全解决方案的设计提供依据。 5.资产分类 5.1.硬件 主要指组织中的硬件信息设备,包括计算机硬件、路由器、交换机、硬件防火墙、加密设备、布线、备份存储设备等。硬件资产单指硬件设备,不包括运行在硬件设备中的软件系统、IOS、配置文件和存储的数据等,软件本身属于软件资产,运行中的软件系统和IOS等属于服务资产,配置文件和存储的数据属于数据资产。 5.2.软件 软件是现代组织中重要的信息资产之一,与组织的硬件资产一起构成了组织的整个的IT信息环境。一般情况下,软件资产包括已经安装并正在运行中的软件,软件的许可证、存储的媒体等,与可能安装或运行的硬件无关,软件的价值主要体现在已经安装并运行的软件提供应用和功能,也包括本身的许可证、序列号、软件使用权等。 安装或运行后的软件,也为组织提供服务和应用的功能,也有一定的服务的性质,但服务类资产强调的是业务流程和业务服务能力,是一个抽象的概念,一般不是一个软件就能提供,而是由一套有机组成的系统提供,包括软件提供的服务,标准和配置,人员的操作等,所以服务资产有别于软件资产。
保密制度--秘密等级的划分 原则 -标准化文件发布号:(9456-EUATWK-MWUB-WUNN-INNUL-DDQTY-KII
秘密等级的划分原则 文件资料按保密程度分为绝密文件、机密文件、普通文件、宣传资料。 1.绝密文件:指最重要的公司秘密,一旦泄露会使公司权益受到重大损害的文件资料。 1-1.财务分析报告,财务单证等财务数据和书面资料; 1-2.对高层管理者的考核报告、工资信息、分配报告; 1-3.对工资分配方案及所属文件; 1-4.涉及成本、利润的报告或论证材料; 1-5.公司尚未实施或正在实施的经营战略决策、公司项目技术的核心资料; 1-7.公司重要的会议纪要; 1-8.公司其它认为应列入绝密范畴内的文件资料; 2.机密文件:指重要的公司文件,一旦泄露会使公司权益受到损害的文件资料。 2-1.公司注册及相关文件; 2-2.产品技术资料的重要图纸、CAD图纸等; 2-3.涉及公司尚未公开或不宜公开情报的来往文书,以及合同、协议文本;、 2-4.公司发货及收货单据、清单、电脑软件系统内容。 2-5.公司人员花名册、人员档案、合同保险、考勤数据等电子版及书面资料。 2-6.公司设备图纸、库存产品,生产工艺等(包含照片、视频、参数、型号等)。 2-6.公司其它认为应列入机密范畴内的文件材料。 3.普通文件:指一般性的,可以提供给所有的员工查考利用的文件资料。 3-1.平时各种工作条例、规章制度; 3-2.一般业务工作来往文件(不涉及绝密、机密的文件); 3-3.各类一般性的请示、通知、通报、会议纪要、情况反映等; 3-4.生产计划类计划表(涉及厂家信息的为机密文件) 3-5.一般性的月、季工作计划与总结报告; 3-6.有关干部任免、调配等的文件; 3-7.财产、物资、档案等各类行政交接手续凭证。 4、宣传资料:指对外发布的,可以供公司以外的人员了解公司信息的窗口,如公司宣传册、对外招聘广告、公司网站、宣传片等。 根据以上原则对秘密等级的划分,可按文件内容涉及的机密程度提高或降低。 综合办公室 2018年1月28日星期日
第三章信息系统的结构概述 3.1 信息系统的结构概述 3.1.1信息系统的组成 基于现代信息技术的信息系统,作为现代社会组织的一个组成部分,是计算机硬件、软件、数据通信装置、数据存储设备、规章制度和有关人员的统一体,其目的是实现组织的整体目标,对与组织活动有关的信息进行系统、综合管理,以支持组织的变革与发展以及各级管理决策与各项业务活动。 信息系统的组成: 1、计算机硬件系统 2、计算机软件系统 3、数据及其存储介质 4、通信与计算机网络设施 5、非计算机系统的信息收集、处理设备 6、规章制度 7、工作人员 3.1.2信息系统结构的复杂性 1.用户需求的多样性 2.组织业务的复杂性 3.社会与组织环境复杂多变 4.技术手段的复杂性 3.2 信息处理概述 3.2.1信息处理技术 信息管理机构 外问题处理管 信息对话理部收集与信决 环息输策 境信息存储出系 统 作业系统 1.信息收集 信息的收集包括原始数据的收集、信息的分类、编码及向信息存贮系统与问题处理系统传送信息等过程。
收集的信息的准确性、完整性和及时性,直接关系到系统输出信息的质量以及管理与业 务活动水平。 在信息收集工作中,必须按照统一的规范对各种原始数据进行科学的、合理的分类和编码,以保证信息处理和传输的准确性与效率,便于信息系统各部分以及信息系统与其他系统 之间实现资源共享。 2.信息存储 从逻辑上看,信息系统的信息存储子系统可以分成三大部分:数据库系统、模型库系统和知识库系统。 各种数学模型和方法逐步纳入到信息系统,为了使管理者与知识工作者和可以灵活地调用、补充、修改和建立支持管理决策与知识创新的各种模型与方法,有必要建立模型库及其管理系统,实现应用程序与模型的相对独立和模型资源共享。 3.问题处理 问题处理是针对各级各类管理与业务问题的需要,进行信息查询、检索、分析、计算、 综合、提炼、优化、预测、评价等工作。 问题处理系统是信息系统的核心,是信息系统支持管理决策成败的关键所在。 4.人机交互和信息传输出 输出的信息必须及时、准确、适用。 输出信息的形式清晰、内容简炼、明确、具体、易懂、便于执行、便于检查、安全保密 性好,对于实施决策至关重要。 信息系统是一个人-机系统。在信息处理上,人、机必须合理分工与密切配合,才能完成 信息处理,有效地支持管理与业务活动。因此,信息系统应具有较强的人─机交互功能。 5.信息管理机构 信息管理机构具有以下职能: --负责制订和实施信息系统工作的各项规章、制度、标准、规范 --对整个系统的运行进行检查、监督,对各部分的工作进行协调 --对信息系统的开发、扩充进行规划、计划并组织实施 --对信息处理的软、硬件系统组织日常维护、修理与更新 3.2.2管理决策层次结构 现代社会组织特别是大中型企业的管理活动均具有层次结构,不同层次的管理活动的决策目标、信息需求、决策过程有着不同的特征。 一般企事业单位的管理活动分为三个层次:战略计划、管理控制与战术计划、作业计划和控制。这相应于战略决策、战术决策和运作决策三个决策层次。 为了有效地支持各级管理决策,信息系统在处理与管理活动有关的信息时可分为以下四 个层次 :
什么是面分类法[1] 面分类法是将要分类的事物或对象的若干个属性或特征视为若干个面,每个面又可以分成彼此独立的若干类目,使用时根据需要将这些面中的类目组合在一起,形成一个复合类目。 面分类法结构[1] 面分类法的基本原则[2] 在选用面分类法时,应遵循以下几条基本原则:
(1)根据需要,选择分类对象本质的属性或特征作为分类对象的各个“面”; (2)不同“面”的类目不应相互交叉,也不能重复出现; (3)每个“面”有严格的固定位置; (4)“面”的选择以及位置的确定,应根据实际需要而定。 面分类法的优缺点[2] 面分类的主要优点是分类结构上具有较大的柔性,即分类体系中任何一个”面”内类目的变动,不会影响其它”面”,而且可以对”面”进行增删。再有,”面”的分类结构可根据任意”面”的组合方式进行检索,这有利于计算机的信息处理。 面分类的主要缺点是不能充分利用编码空间。例如,在上面的服装分类中,纯毛男式连衣裙的搭配是毫无意义的,在实际编制代码体系时,到底采用哪一种分类方法,要根据课题中需要解决的问题而定。有时,还可根据事物的特征,在一个分类体系中,同时运用线分类法和面分类法。
面分类法 面分类法也称平行分类法,它是把拟分类的商品集合总体。根据其本身固有的属性或特征,分成相互之间没有隶属关系的面,每个面都包含一组类目。将某个面中的一种类目与另一个面的一种类目组合在一起,即组成一个复合类目。面分类法具有类目可以较大量地扩充、结构弹性好、不必预先确定好最后的分组、适用于计算机管理等优点,但也存在不能充分利用容量、组配结构太复杂、不便于手工处理等缺点。 面分类法则将整形码分为若干码段,一个码段定义事物的一重意义,需要定义多重意义就可以采用多个码段。这种代码的数值当然也可以在数轴上找到表达,然而,一根数轴却只能约束一重意义上父类与子类的从属关系,多重意义的约束就要用多根数轴来实现,也就是说一个码段对应一根数轴。面分类是若干个线分类的合成。 基于这一理解,线分类法应该属于1维分类法,面分类法则为2维或多维的分类法。 现实生活中,面分类法的应用可谓广泛,以大家熟悉的15位的身份证号码为例:第一段(前6位)
XXXXXXXX信息安全管理体系文档 XXXXXXXX有限公司信息分类规范 编号:ISMS-L2-009 XXXXXXXX有限公司 二0一六年三月
版本控制信息
第一章总则 第一条为了明确XXXXXXXX有限公司内各类信息资产的分类和标识,方便信息资产的有效管理。 第二章适用范围 第二条本制度适用于XXXXXXXX有限公司所涉及的所有信息资产。 第三条定义 (一)本制度所涉及的信息包括各种存储或者存在形式,包括但不限于电子信息、纸质数据文件、语音和图像等。 (二)本制度所称信息是指以任何形式存在或传播的对XXXXXXXX有限公司具有价值的内容,包括电子信息、纸质数据文件、语音图像等。信息安全关注的是信息的保密性、可用性和完整性。 (三)本制度所称信息资产是指任何对XXXXXXXX有限公司具有价值的信息的存在形式或者载体,包括计算机硬件、通信设施、IT环境、数据库、软件、文档资料、信息服务和人员等,所有这些资产都需要妥善保护。 第三章职责权限 第三条XXXXXXXX有限公司各部门负责人是本部门信息资产管理的第一责任人,负责本制度的贯彻落实,总裁办是XXXXXXXX有限公司内部各类信息的归口管理部门。 第四条本制度定义以下相关角色,履行相应的信息安全管理、执行和审核职责。(一)责任人,信息资产的创建者,或者主要用户所在组织、单位或部门的负责人。信息资产责任人对所属信息资产负直接责任。其主要职责包括: 1)理解和各种信息访问活动相关的安全风险; 2)根据XXXXXXXX有限公司信息密级划分标准来确定所属信息资产的级别;3)根据XXXXXXXX有限公司相关策略确定并检查信息访问权限; 4)针对所属信息资产提出恰当的保护措施。
供水行业管理信息分类编码与图式标准 Classification Codes and Drawing Standards for Management Information of Water Supply (试行稿)
2003-11-01发布2003-11-01试行 上海市水务局发布 目次 1范围 (4) 2规范性引用文件 (4) 3术语 (4) 4信息分类、编码原则和方法……………………………… … … ..6 4.1信息分类 (6) 4.1.1信息分类原 则 (6) 4.1.2信息分类方 法 (6)
4.2信息编码 4.2.1信息编码原 则 (6) 4.2.2信息编码对 象 (7) 4.2.3信息编码目 的 (7) 4.2.4信息编码方 式 (7) 4.2.5分类 码 (7) 4.2.6标识 码 (7) 5分类编码表 (8) 6标识码 6.1行政区划代码表…………………………………………… 9 6.2要素实体代 码 (10) 7供水制图符号 (10) 7.1一般规定 (10)
7.1.1 范 围 (10) 7.1.2 协调…………………………………………………... 10 7.1.3 图例尺 寸 (10) 7.1.4 图例定位点和定位 线 (10) 7.2其他规定和说明……………………….…………………… 10 7.3给水制图图 例 (11) 8 属性信息设计标 准 (13) 前言
供水行业分类编码与图式标准化是实现信息共享和资源整合的一项基础工作。为推进供水信息标准化工作,上海市给水管理处按照市水务局信息化建设工作要求,主持完成本分类与编码。 根据国家标准《给水排水制图标准》(GB/T50106-2001)、《标准化工作导则第1部分:标准的结构和编写规则》(GB/T1.1-2000)等编写本标准。 本标准是按照供水行业管理需求制订,同时充分考虑了上海市各区县供水管理部门、各供水企业等供水管理要求及市水务局信息统计要求。 本标准主要包括以下内容: ------供水行业管理术语: ------供水行业管理信息分类标准体系: ------供水行业专业制图符号标准: ------供水行业管理属性信息设计标准: 本标准为全文推荐。
保密信息等级分类及授权管理办法 保密信息等级分类及授权管理办法 第一章总则 第一条为切实加强XX有限公司(以下简称“公司”)的信息安全工作,防范和杜绝各种泄密事件的发生,保护和合理利用公司秘密,确保公司信息披露的公平、公正,保障公司及其他利益相关者的合法权益不受侵犯,根据有关法律、法规并结合公司实际,制定本管理办法。 第二条保密信息是指不为公众所知悉,关系公司利益,具有实用性并经公司采取保密措施保护的技术信息、经营信息、客户信息和管理信息等,在一定时间内只限一定范围人员知悉的信息。 第三条公司各部门以及全体职员都有保守公司秘密的义务,都应做好信息保密工作。 第四条信息保密工作,实行积极防范、突出重点、既确保秘密又便于工作,并充分履行信息披露义务的方针。 第二章保密信息范围和密级确定 第五条保密信息包括但不限于以下事项和行为: (一)涉及公司经营管理、运作和决策,或对公司利益有重大影
响,一旦泄密将给公司带来损失或失去潜在收益的信息; (二)包括以书面和电子等方式存在的各种信息; (三)其他与公司相关的需要保密的信息。 第六条保密信息的密级分为“绝密”、“机密”、“秘密”三个等级。 (一)绝密是最重要的公司秘密,泄露会使公司的利益遭受特别严重的损害,主要包括:公司的发展规划、经营战略、客户信息资料及相关内容、交易系统信息数据、商务谈判内容及载体,正式合同和协议文书、未开标的投标文件、未公开的重大投资决策、尚未确定的公司重要人事调整及安排等,以及按《档案法》规定属于绝密级别的各种档案; (二)机密是重要的公司秘密,泄露会使公司利益遭受到严重的损害,如、财务报表、统计资料、重要会议记录、公司经营情况等,以及按《档案法》规定属于机密级别的各种档案; (三)秘密是一般的公司秘密,泄露会使公司的利益遭受损害,如公司人事档案、合同、协议、薪金制度,人力资源对管理人员的考评材料等,以及按《档案法》规定属于秘密级别的各种档案。 第七条定级方法 由文件生成部门负责人确定文件的密级程度、保密期限和起止日期,并在文件的右上角标明。属公司秘密事项但不能标明密级的,由
数据是存储在一种媒体上的非随机的记号或符号,它对客观世界中某种实体(具体对象、事件、状态或活动)的特征进行描述,是可以识别的抽象符号。 信息是经过加工处理后有价值的数据,是人们用来描述客观世界的事物。 是数据加工处理后的结果 是对决策或行为有现实或潜在价值的数据。 信息与数据的区别:数据经过处理后,其表现形式仍然是数据。它们的关系是原料与成品的关系。信息是有一定含义的数据,是经过提炼、筛选、分析和加工等处理过程的数据。 信息分类: 按企业主体:系统部信息与外部环境信息 按规性分类:格式化信息与非格式化信息 按描述性分类: 定量信息与定性信息 按描述字符分类:文字信息与数字信息 按重要性分类:重要信息与次要信息 按社会中的应用领域:政治、军事、管理、科技、文化、体育 按企业管理层次:战略规划层、战术层、作业控制层、 信息的属性:信息价值性、可加工性、可传输性、可存储性、共享性、信息滞后性、信息时效性 信息系统是对信息进行收集、整理、存储、加工、查询、传输并输出信息的处理系统(以计算机作为信息处理工具的人机系统)。由人、计算机、软件和数据资源组成。 信息系统的特点:目的性、集合性、相关性、层次性、整体性、环境适应性 系统工程思想分为:总体最优思想:系统工程的基本任务是开发最优的系统组合思想:系统由各种具有一定功能的要素所构成 分解协调思想:结构复杂的大系统分解成结构较为简单而又相互关联的若干子系统。 系统工程思想:在建设管理信息系统过程中,基本遵循系统工程这一过程。 信息系统分类:过程控制系统:用于过程控制的信息控制系统。 信息资源服务系统:提供专门的信息资源服务 管理信息系统:为企业管理决策服务 其他信息系统:电子数据交换系统(EDI)、电子商务(EC)系统、企业资源规划系统(ERP)、自动化办公系统(OA) 信息系统功能:信息的收集(手工、自动化)、存储、加工(数值运算、非数值处理)、传输、输出 管理信息系统是一个利用计算机硬件和软件,手工作业、分析、计划、控制和决策模型以及数据库的用户-机器系统。它能提供信息支持企业或组织的运行、管理和决策功能。(以现代管理理论为指导,以计算机和网络通信设施等现代信息技术为基础,以系统思想为主导,建
信息资产密级管理规范 (ISO27001-2013) 1、目的 确保公司营运利益,并防止与公司营运相关的保密信息泄漏。 2、范围 本办法适用于公司所有员工。 3、保密信息定义 保密信息指与公司营运相关且列入机密等级管理的相关信息。 4、秘密等级区分 机密等级分为绝密、机密、秘密、内控、公开五类,区分标准如下: 1) 绝密:凡该信息泄漏后,足以严重损害木公司利益、影响木公司发展生存,使竞争对手因而取得领先地位,相对降低木公司竞争力的。 2) 机密:凡该信息泄漏后,足以严重损害木公司各事业群体利益或有利于内外部竞争的。 3) 秘密:凡该信息泄漏后,足以严重损害木公司利益或有利于竞争对手的。 4) 内控:凡该信息泄漏后,虽不致直接影响木公司利益,但可能对本公司经营管理造成困扰,需限制其阅读对象的。 5) 公开:指可对社会公开的信息,公用的信息处理设备和系统资源。
5、信息的分类 信息资产的分类可参见附件“信息分类表”。如未列入分类表的信息资产,可依照下面的原则进行判断: 1) 绝密,由信息保管单位主管建议,经总经理级以上主管判定。 2) 机密,由信息保管单位处级主管自行判定。 3) 秘密,由信息保管单位主管判定,且至少须为部级以上主管。 4) 内控,由保密信息保管单位自行判定。 6、保密文件的标识 1) 文件类的信息在判定等级后,加盖印章于文件及附件各页右上角或其它明显处。如页数太多,得酌情抽页盖骑缝章。但绝密级信息应予编码管控。 2) 非文件类的保密信息,包括档案、电子邮件、投影片等,于判定等级后,应于资料传送/显示前告知使用人或相关人员该项信息的密级。 3) 印章由行政部统一刻制,发放给各个部门使用。 7、传送 7.1内部传送 7. 1.1绝密:保密信息保管单位应自行控管印刷形式的保密信息,记录发送保密信息的内容、编号、接收者的单位及姓名,并于内部传送时,将保密信息密封后
1.目的 本文件目的在于通过对信息资产进行合理的分类,为信息资产管理提供科学、有效的方式。对现有信息资产进行信息安全属性的赋值,并对其进行等级划分,从而为以后的安全解决方案及安全保护措施的采用提供依据。 2.适用范围 本文件的适用于公司的信息资产的相关管理工作。 3.术语、定义和缩略语 无 4.职责 4.1.信息化科 负责本制度的制定与更新,协调和监督资产分级分类工作的实施。 4.2.信息资产管理人 负责信息资产的管理工作,负责相关信息资产的识别与登记。 4.3.全体员工 协助信息资产管理人进行资产的识别与分类工作。 概述信息资产是组织直接赋予了价值因而需要保护的东西。它可能是以多种形式存在,有无形的、有形的、硬件、软件、文档、代码、服务和组织形象等。它们分别具有不同的价值属性和存在特点,其存在的弱点、面临的威胁、需要进行的保护和安全控制都各不相同。为此,有必要对组织、机构中的信息资产进行科学分类,让组织清晰的了解需要重点保护的对象,并为的信息安全风险评估及信息安全解决方案的设计提供依据。 5.资产分类 5.1.硬件 主要指组织中的硬件信息设备,包括计算机硬件、路由器、交换机、硬件防火墙、加密设备、布线、备份存储设备等。硬件资产单指硬件设备,不包括运行在硬件设备中的软件系统、IOS、配置文件和存储的数据等,软件本身属于软件资产,运行中的软件系统和IOS等属于服务资产,配置文件和存储的数据属于数据资产。 5.2.软件 软件是现代组织中重要的信息资产之一,与组织的硬件资产一起构成了组织的整个的IT信息环境。一般情况下,软件资产包括已经安装并正在运行中的软件,软件的许可证、存储的媒体等,与可能安装或运行的硬件无关,软件的价值主要体现在已经安装并运行的软件提供应用和功能,也包括本身的许可证、序列号、软件使用权等。 安装或运行后的软件,也为组织提供服务和应用的功能,也有一定的服务的性质,但服务类
公司文档保密管理规定 1目的# U d& b1 Z4 s: [8 ?& K1 \ 为了规范公司文档保密管理工作,防范泄密事件的发生,特制定本规定。 2适用范围 本规定适用于公司所有与业务相关的纸质和电子文档的保密管理工作。 3定义, k3 C3 @8 D% k, f 文档管理人: 指负责所管理控制范围内的文档创建、分发、维护和使用进行授权的员工。3 C$ y; q1 S6 G1 s, w9 L0 u3 F, k 工作相关性原则: 员工只能接触与自己业务相关的文档。7 \5 }9 D7 最小授权原则: 在文档授权给他人使用时,尽可能给最少的人授予最小的权限使用。 受控审批原则: 非授权范围内员工需要使用文档时,必须有严格的审批流程。涉密文档:密级为绝密、机密、秘密的文档。。 4管理原则4 u5 K5 Y" g- H 4.1:对文档的管理应遵循工作相关性原则、最小授权原则和审批、
受控审批原则。 4.2:公司文档、资料必须进行分级并加以标识。 4.3:对内部公开级文档,由各部门根据实际情况实施保护措施。4.4:公司文档必须依照保密级别严格执行相应的控制及安全措施。4.5:公司文档出现泄密等安全事件,应按相关规定追究文档管理人的责任。 4内容及相关措施 4.1文档定密授权程序9 r. v7 b* p& J 1.密级:根据文档的敏感程度,出现泄露或错误或不可用将会对公司业务造成的影响,公司的文档密级分为4级:绝密、机密、秘密、内部公开。8 _4 {# m( r) T5 h) n8 G4 a 2.保密期限:保密期限除特殊规定(如公司对外发布的财务报表等)外,绝密级不超过15年,机密级不超过10年,秘密级不超过5年。如果没有注明保密期限的,按绝密15年、机密10年、秘密5年认定。保密期限的起始日期自文档创建或发布日起算。( D& s8 P+ ~) A83.授权范围:机密级以上(含机密级)文档必须明确注明发放范围,如员工姓名或某一特定岗位或职务,且必须验证岗位或职务的准确性。5 y; z% t0 d) _+ B, `7 s6 F 4.文档资料定密授权的程序是:拟稿人依据公司有关规定拟定密级、保密期限、授权范围意见,绝密文档的定密授权必须经分公司领导批准,机密文档的定密授权必须由分公司副职以上领导批准 ,秘密文档的定密授权必须由公司部门经理以上领导的批准。如果密级
分级保护涉密信息精选 文档 TTMS system office room 【TTMS16H-TTMS2A-TTMS8Q8-
分级保护涉密信息 一个计算机信息系统是否属于涉密信息系统,主要是看其系统里面的信息是否有涉及国家秘密的信息,不论其中的涉密信息是多还是少,只要是有(即存储、处理或传输了涉密信息),这个信息系统就是涉密信息系统。 但并非所有的涉密系统都是高安全等级的计算机信息系统;也并非所有的高安全等级的计算机信息系统都是涉密信息系统。 比如,一些企业的计算机信息系统为保护其商业秘密而采取了许多安全保密的技术和管理措施,达到了较高的安全等级,但由于其中没有涉及国家秘密的信息,就不能算是涉密信息系统;而有一些党政机关的涉密网,范围很小,只在一间或几间房内的若干台计算机联网,采取了较封闭的物理安全措施,与外界,虽然没有采用更多的安全保密技术,系统安全等级并不是很高,但由于管理严密、安全可控,系统中又运行了国家秘密信息,这些系统就属于涉密信息系统。 ——将涉密系统按照涉密程度分为绝密级、机密级、秘密级,实行分级保护。 分级保护针对的是涉密信息系统,根据涉密信息的涉密等级,涉密信息系统的重要性,遭到破坏后对国计民生造成的危害性,以及涉密信息系统必须达到的安全保护水平划分为秘密级、机密级和绝密级三个等级。 国家保密局专门对涉密信息系统如何进行分级保护制定了一系列的管理办法和技术标准,目前,正在执行的两个分级保护的国家保密标准是BMB17《涉及国家秘密的信息系统分级保护技术要求》
BMB20《涉及国家秘密的信息系统分级保护管理规范》。 国家保密科技测评中心是我国唯一的涉密信息系统安全保密测评机构。 ——对涉密信息系统采取技术保护。修订草案规定:涉密信息系统应当按照国家保密标准配备保密设施、设备。保密设施、设备应当与涉密信息系统同步规划,同步建设,同步运行。涉密信息系统投入使用前,应当经设区的市级以上保密行政管理部门检查合格。 ——对涉密信息系统中应当遵守的保密行为做了严格规范,修订草案规定:不得将涉密计算机、涉密存储设备接入互联网及其他公共信息网络;不得在未采取防护措施的情况下,在涉密信息系统与互联网及其他公共信息网络之间进行信息交换;不得使用非涉密计算机、非涉密存储设备存储和处理国家秘密信息;不得擅自涉密信息系统的安全技术程序、管理程序;不得将未经安全技术处理退出使用的涉密计算机、涉密存储设备赠送、出售、丢弃;不得在未采取保密措施的有线和无线通信、互联网及其他公共信息网络中传递国家秘密。 根据国家保密局在《涉及国家秘密的信息系统分级保护测评指南》中对具体的技术及管理指标都有明确的要求,我就涉密信息系统分级关键部位简要阐述: 一、硬件隔离 首先涉密单位的涉密设备,包括计算机终端,传真集,IP电话,复印机及移动存储设备等禁止接触除涉密网络以外的任何设备和网络。其次,涉密单位应该禁止一切无线传输设备,比如无线鼠标、键盘等外设还有笔记本无线及蓝牙等连网模块。 二、安保产品的选择