文章摘要:为加强公司文件数据安全管理,防止公司保密资料外泄(产品技术性图纸、研发资料等),防止数据泄密事件的发生,特制定本公司内部文件保密管理制度。一、适用范围本规定适用于与公司业务相关的所有纸质和电子文件的保密管理。二、管理人员定义文件管理员:指在管理和控制范围内负责授权文件的创建、分发、维护和使用的人员。工作相关性原则:员工只能访问与其业务相关的文档。最小授权原则:当文档被授权给其他人使用时,最少的人将
为加强公司文件数据安全管理,防止公司保密资料外泄(产品技术性图纸、研发资料等),防止数据泄密事件的发生,特制定本公司内部文件保密管理制度。
一、适用范围
本规定适用于与公司业务相关的所有纸质和电子文件的保密管理。
二、管理人员定义
文件管理员:指在管理和控制范围内负责授权文件的创建、分发、维护和使用的人员。
工作相关性原则:员工只能访问与其业务相关的文档。
最小授权原则:当文档被授权给其他人使用时,最少的人将被授予最少的权限来使用它。
受控审批原则:当未授权范围内的员工需要使用文件时,必须有严格的审批解密流程。
机密文件:分为绝密、机密和机密的文件。
三、管理原则
3.1文件管理应遵循工作相关性、最小授权、批准和受控批准的原则。
3.2公司文件和材料必须分级和标记。
3.3对于内部公开文件,各部门应根据实际情况实施保护措施。
3.4公司文件必须根据保密等级严格执行相应的控制和安全措施。
3.5如发生公司文件泄露等安全事件,文件经理应按照相关规定承担责任。
3.6公司安全组织负责组织对各单位执行本规定情况的审核。
四、内容加密及相关措施
4.1 文件加密授权程序
1.分类:公司已通过洞察眼MIT系统DEM系统对企业内部文档做全盘加密,根据文件的敏感性,披露、错误或不可用对公司业务的影响。公司的文件分为四类:绝密、机密、秘密和内部披露。有关分类的具体说明,请参见《信息资产分级管理规范》。一些公司文件的分类示例见附件b。
2.保密期限:除特殊规定(如公司对外发布的财务报表)外,保密期限不超过15年、10年和5年。未规定保密期限的,应当确定为绝密15年、绝密10年、绝密5年。保密期限的开始日期从文档创建或发布的日期开始。
3.授权范围:机密级(含机密级)以上的文件必须明确注明分发范围,如员工姓名或具体职位或职位;如果分配范围是针对特定职位或工作,则必须验证特定职位或工作的人员列表的准确性。
4.文件分类授权程序如下:起草人根据公司相关规定制定分类、保密期限和授权范围意见。绝密文件的分类授权必须经公司二级以上领导批准,绝密文件的分类授权必须经公司三级以上领导批准,绝密文件的分类授权必须经公司四级以上领导批准。如果分类或保密期限发生变化,需要根据分类授权程序重新批准。文件加密授权审批表见附件三。
4.2 文件标识要求
1.公司文件必须包含公司标识、分类标识和知识产权声明的相关内容。保密标识的格式为:保密▲(保密期限)。
2.文档标题的左上角必须有公司标志,标题的右上角必须标明其分类标志。同时,文件必须包含公司版权声明的内容。
3.通过公司信息系统以固定格式打印的文件(包括但不限于合同和材料清单)必须有公司标识和相应的分类标识。
4.公司文件的具体标识见附件A。
4.3 保密文件的保管和归档
1.每位员工只能拥有与其工作相关的机密文件,禁止通过非正常渠道获取公司或部门的机密文件;禁止未经授权复制机密文件。
2.机密或绝密文件必须存放在有完整安全措施的设备中。备份文档的安全措施等同于源文档的安全措施。
3.无人看管时,机密或高级纸或文件介质应上锁并保存。
4.机密或以上级别文件的用户和管理人员发现文件可能泄露时,必须立即向四楼或以上的主管或安全管理部门报告。
5.以上机密文件仅供文件管理员和授权用户本人使用,授权人不得再次授权。
6.各部门应指定专人每月对本部门的机密或绝密文件进行一次检查、清理和归档。任何损失应及时发现,并向部长和其工作单位的信息安全主管报告。绝密文件如有遗失,应报安全管理部门备案。
4.4 机密文件的传输
1.事业部(康迅)和中心(办公室和学院)的文件所有权归公司所有。打印后,任何人不得使用软盘、u盘、移动硬盘和其他移动存储设备进行复制或取出。
2.未经公司四级以上领导批准,严禁将公司机密级文件交给任何其他未经授权的人员(包括公司人员和非公司人员);未经公司三级以上领导批准,严禁将公司机密文件交给任何其他未经授权的人员。未经公司二级以上领导批准,严禁将公司绝密文件交给任何其他未经授权的人员。
3.未经公司主管领导批准,所有机密级别以上的文件不得在公共论坛上发布或传播。
4.当在外部论坛上发表论文或学术观点时,个人应该直接引导检查,看是否有分类内容。
5.当共享或发送机密或绝密信息时,公司必须使用文件安全控制系统。以其他方式发送的,应经公司所在单位至少四层以上的主管批准,并报公司所在单位的信息安全主管或安全管理部门备案。
6.绝密文档不能作为电子邮件附件发送。
7.发送纸质保密和绝密文件时,应密封信封并做好传输记录。
8.无论机密文件是否以任何方式(电子或非电子)发送,应尽可能保证直接送达收件人,不允许任何第三方(个人、组织或系统);如需通过第三方,应事先通过安全鉴定确认第三方的可靠性。
4.5 机密文件的删除和销毁
1.除非得到文件经理的批准,否则员工不能保留与其当前职位无关的机密文件。
2.员工离开原岗位(包括辞职)并完成工作交接后,所有与原岗位相关的保密文件应删除或销毁。
3.如果需要销毁,文件管理员必须使用可靠的技术措施和适当的设备(如碎纸机)来销毁。
4.在将计算机转移给公司其他员工之前,部门应指定人员对硬盘进行格式化。在计算机转移到公司之外之前,硬盘应该进行低级格式化。
5.在复印过程中,丢弃的机密文件必须销毁,如复印效果差的纸张和未完成的纸张。
4.6 机密文件的复制、打印和复制
1.将机密或绝密文件复制到可移动存储介质,如u盘、光盘、MO、磁带等。必须经部门负责人批准,指定专人操作或监督操作,并进行登记,见附件D
2.打印机密以上的文件时,应有人在打印机旁等候,打印后立即拿走打印的副本。
3.复印上述机密文件时,应有人在复印机旁等候,复印后立即拿走原件并复印。
4.7公共场所和对外交流
1.绝密文件必须在公共场所随身携带并妥善保管。
2.当你在非公司的办公室工作时,比如从酒店出去,如果你真的不能随身携带,你应该把你的笔记本和机密文件放在一个机密的柜子里。或当条件满足时,应由公司内可靠的人员保管。
3.员工出差时不允许携带机密文件。
五.审计
安全管理部和各事业部、中心(办公室、学院)的安全小组负责审核本规定的执行情况,对违反本规定的人员按公司相关奖惩制度进行处理。
本规定由总经理办公室安全管理部门负责解释和修订,自发布之日起施行。
