1、管理制度（依據 ISO/IEC 27001:2013 標準編制）編號：FJXA/C01 30 （A 版）受控狀態分發號持有者編制:審核：批準：2019年10月08日發布2019年10月08日實施ABCD軟件有限公司發布ABCD軟件有限公司 管理制度文件編號版次第A版第0次修訂主題文件更改記錄頁碼第1頁共180頁文件更改記錄序號更改文件號更改內容批準日期1234567891011121314151617181920ABCD軟件有限公司 管理制度文件編號版次第A版第0次修訂主題文件更改記錄頁碼第2頁共180頁ABCD軟件有限公司 管理制度文件編號版次第A版第0次修訂主題目錄頁碼第3頁共180頁序號

2、文件編號文件名稱頁碼1FJXA/C01信息安全交流控制制度2FJXA/C02文檔資產分級管理制度3FJXA/C03硬件資產分級管理制度4FJXA/C045FJXA/C056FJXA/C067FJXA/C078FJXA/C089FJXA/C0910FJXA/C1011FJXA/C1112FJXA/C1213FJXA/C1314FJXA/C1415FJXA/C1516FJXA/C1617FJXA/C1718FJXA/C1819FJXA/C1920FJXA/C2021FJXA/C2122FJXA/C2223FJXA/C2324FJXA/C24ABCD軟件有限公司 管理制度文件編號版次第A版第0次修訂

3、主題目錄頁碼第4頁共180頁25FJXA/C2526FJXA/C2627FJXA/C2728FJXA/C2829FJXA/C2930FJXA/C3031FJXA/C3132FJXA/C3233FJXA/C3334FJXA/C34ABCD軟件有限公司 管理制度文件編號町XA/C01版次第A版第0次修訂主題信息安全交流控制制度頁碼第5頁共180頁信息安全交流控制制度目標解決組織與外部方之間業務信息的安全傳輸，保護通過使用各種類型通信設 施進行的信息傳輸。總則Is公司對與外部組織或個人進行信息傳輸進行統一規劃和管理。2、公司鼓勵和提倡各下屬以及員工采用電子郵件進行內夕卜交流，在采取了信息安全控制的措

4、施的情況下，也可以使用其他方式對外進行信息傳輸。3、使用電子郵件應符合電子郵件管理規定中的相關要求。二信息傳輸安全控制措施Is對傳輸前的信息進行病毒掃描,防止病毒威脅擴散。2、對一二級密級信息文件須加密傳輸。3、在使用任何通信手段前應確認接收方是真實可靠的。可通過電話、短信等 方式進行身份驗證。4、所傳輸的業務信息（包括消息）的保留和處理,要符合國家和地方法律法 規規定。三、信息傳輸協議Is 級敏感信息采取全程不落地加密傳輸的方式進行,對信息中的敏感字段要進行脫敏處理。對傳輸完成后的源文件，應予以立即清除。ABCD軟件有限公司 管理制度文件編號町XA/C01版次第A版第0次修訂主題信息安全交流

5、控制制度頁碼第6頁共180頁2、對于二級敏感信息采取加密傳輸的方式進行。可保存經加密的原文件，未 加密的原文件應被清除。3、與外部交流的重要信息，應定義雙方的識別標記，進行電子簽名，以識別 信息來源，保證信息來源的真實可靠。4、對重要的信息交流，雙方需簽訂交流協議，規定信息安全事態發生時的責 任和義務、以及相關的保密責任和義務。5、信息系統或軟件自動傳輸需交流的信息，須符合交流協議的規定，并按密 級保護的要求操作。四.定期評審Is公司應對信息安全交流管理以及信息安全管理體系每年度進行一次安全 評審2、公司應與相關聯外部組織或內部組織每年進行一次信息安全管理溝通, 以征求相關組織對公司信息安全的

6、評價,以便于改進。3、公司與相關外部組織或內部組織溝通情況記入信息安全管理體系意見 表,提交給信息安全管理領導小組,制定和落實整改措施。ABCD軟件有限公司 管理制度文件編號FJXA/C02版次第A版第0次修訂主題文檔資產分級管理制度頁碼第7頁共180頁文檔資產分級管理制度文檔資產分級及責任部門(-)文檔分級一級：公司絕密級文件，是指公司最高涉密信息，與公司生存、經營、人 事有重大利益關系,凡該信息泄漏后,足以嚴重損害本公司利益、影響本公 司發展生存，使競爭對手因而取得領先地位，相對降低本公司競爭力的文件。 標記為Flo由質量管理部承擔安全管理責任。主要包括：未發布的經營戰略、規劃、計劃；其它

7、應列為公司絕密級的資料。2、二級：公司機密級文件，是指與本公司的生存、經營、人事有重要利益關 系，凡該信息泄漏后，足以嚴重損害本公司各事業群體利益或有利于內外部 競爭對手的,對公司信息安全造成重大的損害,需要嚴格保護的文件。標記 為F2O由各相關部門承擔安全管理責任。主要包括：公司薪酬制度及數據，人力資源對員工的績效考核材料；財務專用印簽、帳號，保險柜密碼文件，財務預/決算報告及各類財 務統計報表；公司對外項目投標的標書及標底方案；系統管理員口令、設備開機或訪問密碼文件；客戶真實數據文件；ABCD軟件有限公司 管理制度文件編號FJXA/C02版次第A版第0次修訂主題文檔資產分級管理制度頁碼第8

8、頁共180頁其它應列為公司機密級的資料。3、三級：公司秘密文件，是指與本公司生存、經營、人事有較大利益關系， 凡該信息泄漏后,足以嚴重損害本公司利益或有利于競爭對手的,會對公司 安全造成較高的損害，需要以安全的方式加以保護的文件。標記為F3O由各 相關部門承擔安全管理責任。主要包括：員工個人信息、檔案、數據等；各類合同、協議、合作計劃書等；供應商及客戶檔案等；市場廣告企劃、營銷企劃方案；產品研發及項目實施文檔、成果資料等；項目管理文檔資料；包括客戶的重要數據文件；部門訪問口令文件；備份數據；網絡、設備等基礎配置信息、數據等文件；準備或已經申請國家、部、省、市級科技成果、專利的文件；在同行業中處

9、于領先地位的核心技術、替代技術、未公布的專利技術 文件；其它應列為公司秘密級的資料。4、四級：內部公開，指未授權不得對公司以外人員公司的信息，凡該信息泄ABCD軟件有限公司 管理制度文件編號FJXA/C02版次第A版第0次修訂主題文檔資產分級管理制度頁碼第9頁共180頁漏后，雖不致直接影響本公司利益，但可能使本公司經營管理因而造成困擾, 需限制其閱讀對象的z只需要一般的保護措施。如公司的一般情況z全公司 內發布的規定及相關制度，公司內部公用資源使用情況等。標記為F4O由各 相關部門承擔安全管理責任。如：公司總體發展規劃、經營戰略；員工通訊錄；公司管理體系文件（如：信息安全管理體系）培訓資料；各

10、類管理規范、流程、辦法等；各類模板、樣例、工具。5、五級：公開信息，是由公司內的授權人員宣布可公開的信息，這些可公開 的信息不會對公司的信息安全造成損害。由各相關部門承擔安全管理責任。 標記為F5。如：招聘信息；網站/宣傳等方面的信息。（二）管理部門職責:質量管理部:1）對于所涉及的一級絕密文件進行資產統一編號，并在文檔文件袋和封面上顯著位置,標記F1和絕密字樣。2）對于一級絕密文件z須保存在一級環境下,并存放在保險柜里。ABCD軟件有限公司 管理制度文件編號FJXA/C02版次第A版第0次修訂主題文檔資產分級管理制度頁碼第10頁共1803）對于一級絕密文件電子文檔，須進行加密，可保存在加密安

11、全性較高 的設備中。4）對文檔的借閱,F1類文件需填寫內部人員借閱文件登記表/向 第三方人員提供材料申請表經總裁審批同意后方可借閱。其他相關部門:1）對于本部門所涉及的文件資產統一編號。并根據文檔分級定義進行分 析,并在文檔封面上顯著位置標記分級編碼。2）對F2類文件資產,應保存在一級環境下，存放文件的柜子需要加鎖, 并由專人保管,其電子文檔保存在加密設備中。3）對巳類文件資產z應保存在一級環境下,其電子文檔保存在加密設 備中。4）對于F4類文件資產，可以保存在二級或以上環境下，其電子文檔可 以保存在普通設備中。5）對于F5類文件資產，可以保存在二級或以下環境下,其電子文檔可 以保存在普通設備

12、中。F5類文件資產必須轉成PDF文檔后z或使用其他方 法變成只讀不可修改的文檔后再行發布。6）對文檔的借閱,F1-F4類文件需填寫內部人員借閱文件登記表/ 向第三方人員提供材料申請表經審批同意后方可借閱。其中F4類文件需負責部門經理/總監簽字；F3類文件需負責部門副總簽字；F1-F2類文件需總裁簽字。ABCD軟件有限公司 管理制度文件編號FJXA/C02版次第A版第0次修訂主題文檔資產分級管理制度頁碼第11頁共180文檔資產使用監管單位:質量管理部管理制度弓I用文件：Is環境資產分級管理制度2、文件控制程序ABCD軟件有限公司 管理制度文件編號町XA/C03版次第A版第0次修訂主題硬件資產分級

13、管理制度頁碼第12頁共180頁硬件資產分級管理制度、目標：加強北京訊鳥軟件有限公司的固定資產的管理，保證固定資產的完好無損, 防止資產流失，使公司固定資產能夠更好的為公司運營及管理服務。二硬件資產等級分類1、一級：服務器資產，維持系統或業務平臺正常運行最重要的主機設備。由 市場部承擔安全管理責任。標記為Hlo2、二級：網絡設備資產，支撐維持公司員工正常工作、工作設備正常運行或 正常業務運營所需要的網絡環境主要的連接或配置設備。由市場部承擔安全 管理責任。標記為H2。3、三級：個人臺式機資產，支撐員工基本工作需要的臺式計算機。由行政人 事部承擔安全管理責任。標記為H3O4、三級：移動設備資產，支

14、撐員工基本工作或業務服務所需要的筆記本電 腦、手機、移動存儲等可移動的工作設備。由行政人事部承擔安全管理責任。 標記為H3O5、四級：其他輔助設備資產，除上述四類設備外的其它辦公所需設備。由行 政人事部承擔安全管理責任。標記為H4O三.管理部門職責:Is行政人事部：ABCD軟件有限公司 管理制度文件編號FJXA/C03版次第A版第0次修訂主題硬件資產分級管理制度頁碼第13頁共180頁1）對辦公類設備固定資產做統一編號。2）負責制定辦公設備硬件類固定資產安全管理制度。3）編制維護行政人事部硬件固定資產清單庫。包括如下字段：4）對三級硬件資產做分級標記z每半年一次對三級硬件資產進行統計、檢 查，并

15、更新清單庫相應資產狀態。5）對四級硬件資產z每一年一次進行清理,并更新清單庫相應資產狀態。2、市場部：1）對運營類設備固定資產做統一編號。2）負責制定運營設備硬件類固定資產安全管理制度。3）編制維護運營硬件固定資產清單庫。包括字段同行政人事部硬件固定資 產清單庫。4）對一級硬件資產做分級標記,每_月一次對一級硬件資產進行統計、檢 查，并更新清單庫相應資產狀態。特別關注預期壽命到期時間，并更新運營硬件 固定資產清單庫。5）對壽命即將到期的一級資產，提前一個月申請進行更換處理。須在到期前ABCD軟件有限公司 管理制度文件編號町XA/C03版次第A版第0次修訂主題硬件資產分級管理制度頁碼第14頁共1

16、80頁更換完成。6）對二級硬件資產做分級標記z每季度一次對二級硬件資產進行統計、檢 查,并更新清單庫相應資產狀態。7）對壽命到期的二級資產應申請進行更換處理。8）執行設備采購流程、接收流程，接收前對硬件設備原始內容進行檢查，防 止隱藏的安全風險。硬件資產使用監管單位:行政人事部管理制度引用文件如下：Is運營固定資產管理制度（市場部制定）2、辦公固定資產管理制度（行政人事部制定）3、設備管理規定（信息安全管理工作小組制定）ABCD軟件有限公司 管理制度文件編號FJXA/C04版次第A版第0次修訂主題無形資產分級管理制度頁碼第15頁共180頁無形資產分級管理制度無形資產分級及責任部門Is 級：主營

17、業務的主要技術專利資產，如果發生專利侵權事件，會對公司 市場份額造成巨大影響，使公司遭受重大經濟損失。標記為N1。由法務承 擔安全管理責任。2、二級：主營業務的其他專利資產，如果發生專利侵權事件，會對公司市場 份額造成一定影響，使公司遭受一定的經濟損失。標記為N2。由法務承擔 安全管理責任。3、三級：非主營業務的專利資產z如果發生專利侵權事件，僅對公司經濟和 經營活動造成輕微影響。標記為N3O由法務承擔安全管理責任。管理部門職責:1、法務：1）負責建立公司專利信息的登記表。2）負責檢驗和維護公司專利的專利性、有效性、專利權的保護范圍。3）如發生專利侵權事件z負責代理公司專利侵權行為的訴訟。4）

18、每年一次對公司專利表進行更新和修訂,保證專利登記表中信息的描 述準確無誤。三、無形資產使用監管單位:行政人事部 四.管理制度ABCD軟件有限公司 管理制度文件編號FJXA/C04版次第A版第0次修訂主題無形資產分級管理制度頁碼第16頁共180頁引用文件：Is無形資產（專利信息）登記表ABCD軟件有限公司 管理制度文件編號FJXA/C05版次第A版第0次修訂主題環境資產分級管理制度頁碼第17頁共180頁環境資產分級管理制度環境資產分級及責任部門Is 級：如果發生損壞、改變或失竊，會對公司運營活動造成重大損害，產 生重大的運營事故,造成重大的經濟損失。如：質量管理部公室、財務辦公 室、機房等。標記

19、為Elo由使用部門和監管部門承擔安全管理責任。2、二級：如發生損壞、改變或失竊，會給公司造成較大的經濟損失。如公司 通用辦公環境、演示室、測試環境等。標記為E2。由使用部門和行政人事部 門共同承擔安全管理責任。3、三級：如發生損壞或失竊，對公司具有輕微的損害。如會議室、獎牌陳列 室。標記為E3O由行政人事部承擔安全管理責任。4、四級：如發生損壞或改變，基本上不會造成對公司的損失。如會客廳。標 記為E4O由行政人事部承擔安全管理責任。5、五級:公司外的場所。標記為E5。由行政人事部承擔安全管理責任。管理部門職責:行政人事部管理職責1）對于所涉及的監管資產統一編號。2）制定所監管的環境資產的管理制

20、度。3）對于一級環境資產設立門禁或上鎖,須做環境分級標注,并安裝監控攝像頭，可監控到環境出入口的狀況，由指定人員統一管理，未經允許禁ABCD軟件有限公司 管理制度文件編號FJXA/C05版次第A版第0次修訂主題環境資產分級管理制度頁碼第18頁共180頁止閑雜人等靠近或進入。4）對于二級環境資產設立門禁或上鎖，須做環境分級標注，并安裝監 控攝像頭，可監控到環境出入口的狀況，由指定人員統一管理，未經允許禁 止閑雜人等靠近或進入。5）對于三級環境資產設立門禁或上鎖，須做環境分級標注，未經允許 禁止閑雜人等進入。6）對于四級環境資產,可開放使用,可做環境分級標注。質量管理部管理職責:1）對質量管理部公

21、環境資產進行監督管理。2）對于一級環境資產須設置門禁或上鎖。3）每季度抽查一次上述環境資產的安全狀況。市場部管理職責:1）對其他一級環境資產進行監督管理,如機房、夕卜包場所。2）對一級環境資產，須在醒目位置做好分級標記，并做好禁止靠近標記, 提示閑雜人員未經允許不得進入。3）對于一級環境資產須設置門禁或上鎖。4）每季度抽查一次上述環境資產的安全狀況。其他相關部門安全使用相關環境的職責:對于使用各級環境資產的部門，應執行各級環境資產監管部門制定的安全管理制度里規定的職責。ABCD軟件有限公司 管理制度文件編號FJXA/C05版次第A版第0次修訂主題環境資產分級管理制度頁碼第19頁共180頁三、環

22、境資產使用監管單位:1）質量管理部對由質量管理部公室負有監管責任。）行政人事部對一、二、三、四級環境資產負有監管責任。）市場部對外包場地、機房環境、其他涉密場地等一級環境資產具有監管 責任。管理制度引用文件1、物理環境安全管理制度ABCD軟件有限公司 管理制度文件編號FJXA/C06版次第A版第0次修訂主題人員資產分級管理制度頁碼第20頁共180頁人員資產分級管理制度-人員資產等級分類及責任部門級（P1）:公司內部關鍵崗位人員，如公司中高層管理人員（公司副總、 各部門總監級、經理級的管理人員）、各信息系統管理人員、源代碼管理人員、 重要賬務處理人員（會計主管、薪酬福利主管、法務、出納）、金融及

23、重點客戶 部、中高級開發工程師。二級（P2 ）:基層管理人員（公司主管級的管理人員）以及市場部、平臺開 發部、云計算及移動互聯網開發部、大數據開發部、云呼叫業務開發部、系統架 構委員會、技術部。三級（P3 ）:技術部、戰略及整合營銷部、客戶增長及增值市場部、月艮務運 營委員會、大數據營銷顧問部、自建市場部。四級（P4 ）:行政人事部、質量管理部。五級（P5 ）:臨時雇用人員、最終客戶、來自外單位的專業服務機構等相關 第三方人員。公司的人員資產由行政人事部以及員工所任職的部門共同負責管理。二.管理部門職責行政人事部管理職責1）負責組織各部門編制部門所屬員工的工作職能2）負責員工的專業資質審查、招

24、聘和背景調查等ABCD軟件有限公司 管理制度文件編號FJXA/C06版次第A版第0次修訂主題人員資產分級管理制度頁碼第21頁共180頁3）負責員工調動、離職的審查和批準等4）負責第三方人員信息安全管理工作）負責普及信息安全防范意識，并針對信息安全違規事件向公司提出處理建議）負責辦公資產的采購、接收、登記、分配、維護等管理7）負責根據員工差旅、會議行程等做好相關事務處理8）負責員工入、離職手續行政人事部分的辦理9）負責公司考勤制度執行及考勤記錄統計10 ）負責組織第三方人員來訪的接待工作2任職部門：1）負責對本部門員工的工作進行常規的監督管理2）負責本部門員工的崗位技能培訓，并根據情況進行培訓考

25、核三人力資源安全監管部門質量管理部四管理制度引用文件：1信息安全之人力資源安全管理制度2 背景調查管理規定3 辦公固定資產管理規定ABCD軟件有限公司 管理制度文件編號FJXA/C07版次第A版第0次修訂主題第三方服務資產分級管理制度頁碼第22頁共180頁第三方服務資產分級管理制度第三服務資產分級及責任部門1、一級:第三方服務商為我公司提供的服務,如若發生故障或中斷,會給 公司業務運營造成危害,對公司信用產生較大影響,在經濟上造成巨大損 失。標記為TS1。由市場部和行政人事部承擔安全管理責任。2、二級：第三方服務商為我公司提供的服務，如若發生故障或中斷，會對 公司運營活動造成一定影響,在經濟產

26、生一定損失。標記為TS2。由市場 部和行政人事部承擔安全管理責任。3、三級：第三方服務商為我公司提供的服務如若發生故障或中斷，不會直 接對公司運營和經濟造成影響。標記為TS3O由市場部和行政人事部承擔 安全管理責任。管理部門職責:市場部：1）對于所涉及的第三方服務資產進行統一編號。2）制定第三方服務資產安全管理制度3）對第三方服務資產具有安全監控責任。4）對于一級二級第三方服務涉及的軟硬件設備設施須做好安全標記。5 ）對于一級第三方服務資產，服務場所執行一級環境資產安全管理制度和流程，服務數據執行一級數據資產安全管理制度和流程，業務依賴設ABCD軟件有限公司 管理制度文件編號FJXA/C07版

27、次第A版第0次修訂主題第三方服務資產分級管理制度頁碼第23頁共180頁備執行一級硬件資產管理制度和流程。）對于二級第三方服務資產，服務場所可執行二級環境資產安全管理制 度和流程，服務數據執行一級數據資產安全管理制度和流程，業務依賴 設備執行一級硬件資產管理制度和流程。）對于三級第三方服務資產相關設施執行三級硬件資產、三級數據資產、 三級環境資產管理制度和流程。行政人事部1）與一級第三方服務提供方簽的訂合作協議中，明確服務指標要求及賠 償條款,并定期進行安全評審,對于可能發生的安全風險限期改進,改 進后重新評審,直至符合要求。）與二級第三方服務提供方簽的訂合作協議中，明確服務指標要求及賠 償條款

28、，并定期進行安全評審，對潛在的風險，采取降低風險的措施。）與三級第三方服務提供方簽的訂合作協議中，明確服務指標要求及賠 償條款。三、第三方服務資產使用監管單位:市場部管理制度引用文件：第三方服務管理規定ABCD軟件有限公司 管理制度文件編號町XA/C08版次第A版第0次修訂主題運行時信息資產安全分級管理制度頁碼第24頁共180頁運行時信息資產安全分級管理制度運行時可導致信息資產安全風險的因素分類及責任部門1、一級風險：直接導致服務器運行中斷，介質損壞，信息資產大范圍損壞的風險,造成嚴重經濟損失。由市場部承擔安全管理責任。主要原因有：設備斷電存儲介質故障感染病毒2、二級風險：直接導致信息資產被非

29、法拷貝傳播，信息系統停止運行等重 大故障，造成較大的經濟損失。由市場部和各使用部門和技術部門共同承 擔安全管理責任。主要原因有：軟件、系統、平臺、數據庫管理員密碼泄露，非法登錄，運行數據被 修改。程序入侵系統運行配置文件非法拷貝傳播，使安全管控配置數據外泄。代碼BUG和溢出漏洞外部攻擊3、三級風險：導致系統運行結果數據錯誤或業務數據被非法復制傳播，造 成一定的經濟損失。由系統維護部承擔安全管理責任。主要原因有：業務管理員誤操作ABCD軟件有限公司 管理制度文件編號町XA/C08版次第A版第0次修訂主題運行時信息資產安全分級管理制度頁碼第25頁共180頁系統管理員誤操作操作人員帳號口令被竊。二、

30、各部門管理職責:1、市場部：1）須保證服務器配置了防火墻,只允許信息系統運行的最小資源開放。2）須保證網絡通暢、高效z有良好的系統運行環境。3）對一級風險：房保證電源可靠性z雙回供電或服務器增加UPS不間斷電源。b執行變更管理流程前，對運行數據進行安全備份。c安裝有效的防病毒軟件z每周一次更新病毒庫,在有嚴重病毒傳播 警告時,及時更新病毒庫。4）對二級風險：a內部和外部網路及軟硬件的弱點掃描至少每季度進行一次z在網絡 發生重大變更后,在應用程序和軟件發布前、安裝、升級后也需執行一次掃 描檢查。網站應采取有效的數據保護、防釣魚攻擊等方面的安全防控措施z 定期開展計算機病毒木馬查殺、漏洞掃描、滲透

31、性測試等。c須保證系統管理員密碼符合訪問控制管理程序中口令使用規定。 須保證系統管理員密碼安全可靠保存。d.每天須監控網絡流量數據，發現流量異常，即刻查明原因。按信ABCD軟件有限公司 管理制度文件編號町XA/C08版次第A版第0次修訂主題運行時信息資產安全分級管理制度頁碼第26頁共180頁息安全事件管理程序的要求執行相關事件處理流程。保證即時發現外部攻 擊風險,采取適當措施應對,將損失降到最低。2、技術部：1）敏感數據加密傳輸：制定加密方案，傳輸方式。2）對二級風險：a對所開發程序提交技術部進行系統性測試,對測試出的問題進行處 理解決，減少程序BUG的產生。b對可能有安全隱患的程序代碼進行溢

32、出漏洞測試保證代碼的可用 性、可靠性。3、各業務部門為應對三級風險,各業務相關部門應做到：1）對業務系統權限進行嚴格管理。嚴格執行訪問控制管理程序中權 限管理的規定和管理流程。2）對帳號密碼須嚴格執行訪問控制管理程序中口令使用規定。3）業務人員操作應嚴格執行相關業務流程，避免誤操作發生。見訊鳥 流程操作規范和其他業務流程操作規范。三、運營時資產使用監管單位:市場部管理制度引用文件：1、訊鳥流程操作規范ABCD軟件有限公司 管理制度文件編號町XA/C08版次第A版第0次修訂主題運行時信息資產安全分級管理制度頁碼第27頁共180頁2、訪問控制程序3、信息安全事件管理程序ABCD軟件有限公司 管理制

33、度文件編號FJXA/C09版次第A版第0次修訂主題軟件資產分級管理制度頁碼第28頁共180頁軟件資產分級管理制度軟件資產等級分類及責任部門1、非腳本源代碼（一級）：運行前需要先編譯的源代碼。由源代碼管理人員 和技術部開發人員共同承擔安全管理責任。標記為S1O2、腳本源代碼（二級）：運行前不需要先編譯的源代碼的源代碼。由源代碼 管理人員、技術部測試人員，技術部開發人員共同承擔安全管理責任。標記 為S2。3、編譯執行程序（二級）：一級源代碼經編譯后生成的可運行程序、組件或 庫文件。由源代碼管理人員、技術部測試人員和技術部開發人員共同承擔 安全管理責任。標記為S2O4、集成軟件（三級）:由組件、庫文

34、件、可執行程序、配置文件等通過特定組 合配置生成的可運行的軟件系統或平臺。由源代碼管理人員、市場部、技術 部共同承擔安全管理責任。標記為S3。5、第三方組件（四級）：由第三方提供的用于集成或二次開發用的組件、 庫文件或其他相關程序及代碼。由源代碼管理人員、技術部測試人員，市場 部系統服務人員、技術部開發人員共同承擔安全管理責任。標記為S4O6、其他軟件（四級）:不屬于以上類別的軟件。二.管理部門職責:信息安全管理工作小組ABCD軟件有限公司 管理制度文件編號FJXA/C09版次第A版第0次修訂主題軟件資產分級管理制度頁碼第29頁共180頁1）制定源代碼安全管理規范。2）對外部借閱軟件資產進行審

35、批。源代碼管理崗1）制定源代碼開發及安全管理制度2）外部借閱記錄表管理，記錄借閱時間，借閱原因，借閱單位，借閱單位 經手人，審批人，借出單位經手人,預期歸還時間表，實際歸還時間，歸還 時完好性及完整性描述。3）部署軟件開發管理工具，SVN（Subversion是一種版本管理控制系 統）、VSS（Visual SourceSafe 是一種源代碼控制系統）、SCM（Software Configuration Management 軟件配置管理）。4）管理和分配開發者權限，控制授權開發人員、測試人員、軟件配置人 員可訪問的程序存放目錄。5）對于一級軟件資產，對不同的代碼訪問權限保證僅授予所有者權限

36、的 開發人員。6）對于二級軟件資產，可授予開發人員讀寫權限,授予配置人員只讀權 限，授予測試人員只讀權限。7）對于三級軟件資產，可授予配置人員讀寫權限,授予測試人員只讀權 限，授予運營維護人員只讀權限。8）對于四級軟件資產，可授予測試人員只讀權限,授予系統維護人員只讀權限、授予配置人員讀寫權限、授予開發人員讀寫權限。ABCD軟件有限公司 管理制度文件編號FJXA/C09版次第A版第0次修訂主題軟件資產分級管理制度頁碼第30頁共180頁技術部1）制定軟件測試規范。2）制定軟件發布標準。3）編寫軟件測試用例。4）對二級軟件進行可用性、功能、性能測試。對二級軟件于外部接觸點 進行邊界測試,并做仿攻擊

37、和其他安全性測試。5）對于三級軟件進行完整性及性能測試。6）提交系統測試結果報告，待版本更新后進行遞歸測試,直至達到軟件 可發布標準。7）制定技術部源代碼開發管理流程z并依照執行。8）禁止對一級軟件資產通過移動存儲復制傳輸。9）保證本地工作目錄下編輯的軟件當前版本與工作庫中最新版本一致。10）保證一級軟件在編輯更新后,立即提交工作庫保存，保證工作庫是 最新版本。市場部1）制定自建服務項目實施過程中軟件資產安全管理制度。2）對三級軟件資產，保證所申請的軟件版本是從技術部獲取的、經技術 部公告發布的版本。3）對所獲取的版本有向客戶宣示安全使用、確保不被非法復制傳播的責任。須審查在軟件交付合同中是否

38、規定了軟件版權的相關法律責任和義務。ABCD軟件有限公司 管理制度文件編號FJXA/C09版次第A版第0次修訂主題軟件資產分級管理制度頁碼第31頁共180頁4）制定軟件資產安全管理規范5）制定和維護軟件資產安全管理清單。6）每年一次評估軟件資產安全管理存在的安全風險。三、軟件資產使用監管單位：技術部五.管理制度引用文件：信息安全管理工作小組：1、軟件開發安全管理辦法2、源代碼安全管理制度3、信息系統獲取、開發與維護管理程序ABCD軟件有限公司 管理制度文件編號FJXA/C10版次第A版第0次修訂主題數據資產分級管理制度頁碼第32頁共180頁數據資產分級管理制度數據資產等級分類及責任部門Is 一

39、級：重要敏感數據,包括公司數據資產，主要用于公司直接營收的 數據，如提交給客戶的客探結果數據，泄露會造成直接經濟損失。公司核心 數據，經過加工的數據，有全方面的數據信息，需要嚴格管理，如客戶肖像 庫，信息庫，客戶方提供的需要通過業務外包平臺操作的數據，泄露后對公 司可能造成全面損失。這些數據被非法復制傳播后，可造成經濟上的重大 損失和引發重大安全事故及涉訴事件。由所涉及到的部門人員：市場部、如 涉及財務數據由財務部共同承擔安全管理責任。標記為Dlo主要包括:業務結果數據客戶信息數據系統或網絡安全控制配置數據，防火墻數據業務帳號安全配置數據業務運行配置數據敏感客戶業務原始數據錄音記錄數據財務帳目

40、數據其他敏感信息數據2、二級：非敏感重要數據,包括公司系統數據,由各種公司系統產生出的ABCD軟件有限公司 管理制度文件編號FJXA/C10版次第A版第0次修訂主題數據資產分級管理制度頁碼第33頁共180頁原始數據，限制范圍使用，泄露對公司有可能造成某方面損失。如啟通寶系 統通話記錄，客探系統記錄，被非法復制傳播或丟失、損壞后，可造成一定 的經濟損失或引發客戶投訴事件。由所涉及到的部門人員：市場部承擔安 全管理責任。標記為D2。主要包括:業務過程數據啟通寶通話記錄客探系統數據系統運行日志數據其他重要數據3、三級:公司內部非敏感數據及第三方非敏感數據，不對外公開，但公開 對公司無損失的信息，如話

41、術列表、在項目施工中或開發測試中涉及到的 客戶方提供的測試數據或業務數據。由所涉及到的部門人員：市場部、技術 部，市場部，技術部共同承擔安全管理責任。標記為D3O主要包括：員工通訊錄話述信息數據系統測試業務數據項目施工測試數據項目施工過程數據銷售業績數據其他非敏感數據ABCD軟件有限公司 管理制度文件編號FJXA/C10版次第A版第0次修訂主題數據資產分級管理制度頁碼第34頁共180頁4、四級：普通數據,除上述數據以外的其他數據,包括公司可公開數據, 可對外發布的各類信息，所有部門均可公開使用，如電話號段記錄，城市區 號記錄。由相關使用部門人員承擔安全管理責任。標記為D4O主要包括:通用電話號

42、碼區號其他普通數據管理部門職責:市場部：1）對公司經營或運營數據資產進行統一編號。2）負責制定公司數據資產安全管理制度。3）負責對一級業務結果數據資產進行安全管理，標注一級數據資產及其 介質，在傳輸時須進行加密傳輸，并由專人保管。4）負責對二級業務過程數據進行安全管理，標注二級數據資產及其介質, 由專人保管。5）制定維護數據資產清單。6）數據調閱管控:簽發審批單，做好審批記錄。刀對四級服務外包數據資產及其介質分級標注。8）操作計算機只安裝允許配置的軟件，并制定和維護允許安裝的軟件清單。ABCD軟件有限公司 管理制度文件編號FJXA/C10版次第A版第0次修訂主題數據資產分級管理制度頁碼第35頁

43、共180頁9）存儲在任何介質中一二級的不用的、過時的或無效的數據須進行不可 恢復性刪除。刪除前須經過主管審批通過，執行刪除時須經過至少二人確認。:L0）對于二級系統和業務數據,須對登錄帳號配置相應的訪問角色權限。 不同的角色訪問不同的數據。11）在數據管理軟件中配置和控制登錄權限，打開操作日志等。12）對數據存儲服務器控制和配置帳號權限。13）在業務系統軟件中配置和控制登錄權限，打開操作日志等。14）對數據操作使用的環境場地進行安全配置。15）對數據操作使用的網絡安全環境進行安全配置。16）對服務器網絡和計算機只打開需要的設備和端口。17）數據操作進行監控，必要時安裝監控設備。18）對移動介質

44、存儲數據進行管理和控制。19）對于一二三級相關系統和業務數據進行數據備份管理。20）保證項目實施過程中一級數據中系統配置數據的安全使用,防止復 制傳輸過程中被非法傳播、遺失、損壞。21）保證項目實施過程中二級數據的安全操作,防止二級數據被損壞或 丟失。22）保證項目實施過程中的其他數據的安全。2.技術部1）對于一級業務敏感數據須加密傳輸,制定加密方案和安全的傳輸方式。ABCD軟件有限公司 管理制度文件編號FJXA/C10版次第A版第0次修訂主題數據資產分級管理制度頁碼第36頁共180頁2）對配置文件中的一級敏感數據,制定安全方案,采取安全措施。3）開發代碼中對數據庫訪問采取加強的安全控制措施。

45、4）保證測試實施過程中一級數據中系統配置數據的安全使用，防止復制 傳輸過程中被非法傳播、遺失、損壞。5）保證項目測試過程中二級數據的安全操作，防止二級數據被損壞或丟 失。6）保證測試實施過程中的其他數據的安全。7）存儲在任何介質中一二級的不用的、過時的或無效的數據須進行不可 恢復性刪除。刪除前須經過主管審批通過，執行刪除時須經過至少二人確認。市場部1）制定銷售相關數據資產安全管理制度2）制定和維護銷售相關數據資產清單。3）對銷售線索數據等一級數據負有安全管理責任，防止被非法復制傳播。4）對客戶信息數據等銷售相關二級數據具有保密義務。5）存儲在任何介質中一二級的不用的、過時的或無效的數據須進行不

46、可 恢復性刪除。刪除前須經過主管審批通過，執行刪除時須經過至少二人確認。財務部1）制定財務數據資產安全管理制度。2）制定和維護財務數據資產安全管理清單。3）對財務管理報表等一級財務數據資產執行嚴格的管理規定，防止外泄、ABCD軟件有限公司 管理制度文件編號FJXA/C10版次第A版第0次修訂主題數據資產分級管理制度頁碼第37頁共180頁遺失和損壞。三、數據資產使用監管單位:市場部、質量管理部質量管理部對一級財務數據資產和其他相關數據資產負有監督和安全管理跟蹤和檢查責任。市場部對公司運營過程中的數據資產負有監督和安全管理跟蹤和檢查責任。ABCD軟件有限公司 管理制度文件編號FJXA/C11版次第

47、A版第0次修訂主題外包服務資產分級管理制度頁碼第38頁共180頁外包服務資產分級管理制度夕卜包服務資產分級及責任部門1、一級:指公司為客戶提供的第三方涉密數據服務,如涉密外包業務。此 類業務如果發生安全事故，我公司可能承擔重大的法律風險，并會對公司 夕卜包運營業務和經濟收益造成重大損失。標記為Tlo由市場部承擔安全管 理責任。2、二級：公司為客戶提供的第三方非涉密數據服務，此類業務如果發生安 全事故，會對公司運營活動造成較大影響，并對公司造成較大的經濟損失, 如通訊服務停止、批量外呼任務中斷等。標記為T2O由市場部、業務開發 人員共同承擔安全管理責任。3、三級：因其他可能的原因，使服務中斷,不

48、會直接對公司運營和經濟造 成影響的服務。標記為T3。由市場部承擔安全管理責任。二.管理部門職責:市場部：1）對于一級服務外包資產,服務場所執行一級環境資產安全管理制度和流程, 服務數據執行一級數據資產安全管理制度和流程，業務依賴設備執行一級硬 件資產管理制度和流程。2）對于二級第三方服務資產z服務場所可執行二級環境資產安全管理制度和流程，服務數據執行一級數據資產安全管理制度和流程，業務依賴設備執行ABCD軟件有限公司 管理制度文件編號FJXA/C11版次第A版第0次修訂主題外包服務資產分級管理制度頁碼第39頁共180頁級硬件資產管理制度和流程。3）對于三級外包服務資產相關設施執行三級硬件資產、

49、三級數據資產、三級 環境資產管理制度和流程。三、其他資產使用監管單位:市場部管理制度引用文件：2、夕卜包業務信息安全規范ABCD軟件有限公司 管理制度文件編號FJXA/C12版次第A版第0次修訂主題源代碼安全管理制度頁碼第40頁共180頁源代碼安全管理制度第一章總則第一條 為保障公司源代碼安全不至于泄露，保證源代碼的完整,明確源代 碼控制管理流程，特制定此管理辦法。第二條 本辦法適用于所有涉及接觸源代碼的各部門各崗位。所涉及部門都 必須嚴格執行本管理辦法。第三條源代碼直接控制管理部門為技術部。第四條 本辦法管理重點在于控制管理源代碼的完整性,不被非授權獲取, 不被非授權復制和傳播。第五條 本辦

50、法所指源代碼不僅限于公司開發人員自行編寫實現功能的程序 代碼，而且還包括相應的開發設計文檔及用于支撐整個系統運行所必須具備的 第三方軟件、控件和其它支撐庫等文件。第二章源代碼完整性保障第五條 所有軟件的源代碼文件及相應的開發設計文檔均必須及時加入到指定的源代 碼服務器中的指定VSS或svn庫中。第六條 我們研發的產品軟件運行所必須的第三方軟件、控件和其它支撐庫 等文件也必須及時加入源代碼服務器中指定的VSS或svn庫中。ABCD軟件有限公司 管理制度文件編號FJXA/C12版次第A版第0次修訂主題源代碼安全管理制度頁碼第41頁共180頁第七條軟件開始編寫或者調整代碼之前，其相應的設計文檔必須簽

51、入VSS 或svn庫。軟件編碼或功能調整結束提交技術支撐部測試驗證之前,相應的源 代碼必須簽入VSS或svn庫。第八條技術支撐部門對代碼的測試時必須從源代碼服務器上的VSS或 svn庫中獲取代碼,然后進行集成編譯測試。第九條源代碼存儲庫必須有完整的備份方案，主管人員須定期檢查備份 的可靠性和完整性,并能正確恢復，減少源代碼損失的風險。第三章源代碼的授權訪問第十條 源代碼服務器對于共享的VSS或svn庫的訪問建立操作系統級 的,基于身份和口令的訪問授權。第十一條 在VSS或svn庫中設置用戶,并為不同用戶分配不同的，適合 工作的最小訪問權限。要求連接VSS或svn庫時必須校驗VSS或svn中用戶

52、 身份及其口令。在VSS或svn庫中要求區別對待不同用戶的可訪問權、可創建 權、可編輯權、可刪除權、可銷毀權。第十二條 工作任務變化后要實時回收用戶的相關權限,對VSS或svn庫 的管理要求建立專人管理制度，專人專管。每個普通用戶切實保證自己的用戶 身份和口令不泄露。用戶要經常更換自己在VSS或svn庫中賬號的口令。第十三條涉及、接觸源代碼的計算機必須建立專人專用制度，任何其他人 不得在未獲得技術部經理授權的情況下操作和使用此計算機。此計算機的專用ABCD軟件有限公司 管理制度文件編號FJXA/C12版次第A版第0次修訂主題源代碼安全管理制度頁碼第42頁共180頁人也不得私自同意或者漠視他人非

53、獲得授權使用本計算機。對涉及、觸及源代 碼計算機的使用授權僅由技術部經理發出,其他人都無權執行此授權。第十四條 曾經涉及、觸及源代碼的計算機在轉作它用，或者離開技術部門 之前必須由網絡管理人員全面清除計算機硬盤中存儲的源代碼。如果不能確 定,必須對計算機中所有硬盤進行全面格式化后方可以轉做它用或離開技術部 門。第十五條夕卜來存儲設備不得直接連接到技術部門的計算機設備上。如需拷 貝文件，必須通過統一的技術部指定的公用計算機上在網管人員監督之下進 行。此公用計算機在任何時候不得接觸、訪問、存儲源代碼文件。第十六條 通過網段隔離方式使技術部的計算機只能自行組成局域網,并保 證其它網段不能訪問到技術部

54、的網絡和網絡中的計算機設備。第四章源代碼復制和傳播第十七條任何源代碼文件包括設計文檔等技術資料不得利用如QQ、MSN、郵件等涉外網絡環境形式進行傳輸。第十八條 源代碼向技術部門以外復制必須獲得總經理的書面授權。并必需 記錄復制人、批準人、復制時間、復制目的、文件流向、文件版本或內容。第十九條 源代碼以任何介質形式進行存儲的備份，必須由專人負責保管。 對于這些介質地借閱,用于技術部內部使用的必須獲得技術部經理的授權,對 于用于技術部以外使用的必須獲得總經理的書面授權。ABCD軟件有限公司 管理制度文件編號FJXA/C12版次第A版第0次修訂主題源代碼安全管理制度頁碼第43頁共180頁第二十條 源

55、代碼的借閱、復制必須進行詳細的登記，必需記錄借閱人、批 準人、借閱時間、借閱目的、文件流向、文件版本或內容、歸還時間。第二十一條對于以紙質形式存在的源代碼清單、設計文檔等,要求必需進 行專人管理。對于這些紙質材料的外借、分發、復印等，只要非技術部門內部 使用的情況均必需獲得總經理的書面授權,對于技術部門內部使用的則必需如 數按時按量回收,并且使用區域僅限于技術部門內部,對于需要離開技術部門 場所的情況,同樣需要獲得總經理的書面授權。第二十二條 任何紙質材料的借閱都必需記錄借閱人、批準人、借閱時間、 借閱目的、文件流向、文件版本或內容、歸還時間。第二十三條 對于因合作需要，需要向外復制、傳播、分

56、發源代碼的，不論 是全部還是部分代碼和資料,均必需和對方簽訂技術、源碼的保密協定,明確 對方應當承擔的對源碼保密的責任和義務。第五章附則第二十四條 本管理辦法由技術部門制定，從批準發布之日起執行。以往公 司相關制度與本管理辦法沖突的，以本管理辦法為準。附錄一見文件源代碼安全管理組織及各角色崗位執行策略附錄二見文件源代碼安全管理規范ABCD軟件有限公司 管理制度文件編號FJXA/C13版次第A版第0次修訂主題風險評估原則頁碼第44頁共180頁風險評估原則資產分類參考目錄資產大類資產小類描述硬件主機設備大型機、小型機、PC服務器等終端設備臺式機、KVM、筆記本、移動終端等網絡設備路由器、乂換機、H

57、UB、負載均衡設備等傳輸介質光纖、雙絞線、同軸電纜、衛星線路等安全設備防火墻、防毒墻、安全網關、入侵檢測設備、掃 描設備、加密機、VPN、網閘、堡壘主機等存儲介質磁帶、光盤、U盤、移動硬盤等存儲設備磁盤陣列、磁帶庫、NAS/SAN/存儲設備等辦公輔助設備傳真機、碎紙機、打印機、掃描儀、復印機、刻 錄機、照相機等軟件源程序源代碼、軟件安裝包、License等服務器操作系 統Windows Server. Linux、Unixs AIXS Solaris 等，虛擬化系統（Hyper、ESX/ESXi s XenServer 等）終端操作系統Windows XP/7S Mac iOS 等數據庫Ora

58、cle. DB2S Sqlservers Mysql 等中間件Websphere、Weblogic、應用服務器、消息中 間件、對象中間件等工具應用軟件office.通訊軟件、媒體編輯軟件、軟件開發工 具、測試工具、版本控制軟件、設計建模工具， 終端殺毒軟件、防篡改、終端管理系統客戶端等應用系統OA系統、郵件系統、業務處理系統、ERP、交 易系統、門戶網站、終端管理系統、文檔加密系ABCD軟件有限公司 管理制度文件編號FJXA/C13版次第A版第0次修訂主題風險評估原則頁碼第45頁共180頁統、視頻監控管理系統、IT服務管理系統、IT 資源監控管理系統等開發測試系統正在測試且未上線或部分上線的系

59、統以及正在開 發的系統數據業務信息財務/人力信息、合同信息、項目信息、采購信 息、客戶信息、市場資料、業務數據、交易數據 等系統配置信息配置、日志、帳戶權限口令信息、軟證書等文檔管理文檔管理制度文檔、運維資料、培訓資料、收發文、工作報告、軟件開發文檔、法律法規等實體信息印章、證照、硬證書/令牌、其它實體信息等人貝內部人員-中高 層領導公司董事會層面相關成員或者大部門領導級成 員、部門領導或者部門模塊科室領導內部人員支撐 人員行政、財務、人力資源等員工內部人員-業務 人員公司業務人員內部人員運維 人員IT運維人員（主機管理員、網絡管理員、系統 管理員、數據庫管理員、安全管理員）內部人員開發 人員

60、開發人員、測試人員等夕卜部人員業務夕卜包人員、開發夕卜包人員、運維夕卜包人員、 物業保安人員等物理環境硬件保障設施空調、UPS、發電機、門禁設施、消防設施、機 柜機架等環境監控設施CCTV、報警設施、溫濕度監控建筑環境設施設備間、機房、辦公大廈介質保障設施保險柜、檔案室、文件柜等第三方服 務基礎保障服務供電、物業、寶潔、保安監控、供水、辦公設備 維保、大廈空調、物流快遞、打印等服務ABCD軟件有限公司 管理制度文件編號FJXA/C13版次第A版第0次修訂主題風險評估原則頁碼第46頁共180頁業務支持服務包括主機硬件支持、開放平臺硬件支持、機房設 備設施支持、存儲設備支持、云計算支持、軟件 和硬