03001资讯类资产分级管制措施-淡江大学.doc

淡江大學資訊中心IDC機房 資訊類資產分級管制措施 編號：FIHX-ISMS-03001 版本1.2 簽核欄 審核 覆核 本措施經主任覆核後實施，修正時亦同。 版本變更紀錄： 變更日期 文件版本 編訂者 變更紀要說明 93.7.22 1.1 張慧君 修訂營運衝擊分析機密性的結果，等級由原A/B/C/D/E改為1/2/3/4/5 93.11.05 1.2 蔡春枝 文件負責人由張慧君改為蔡春枝  資訊類資產分級管制措施 一般資訊 內部使用 機密 極機密 類別特色 (Classification Basis) 營運衝擊分析機密性的結果判定為1級者經中心授權、同意後，可對外公開之資訊，如服務、公告事項…… 營運衝擊分析機密性的結果判定為2級者，無法定義為〝機密或極機密〞之資訊均屬之，如採購契約、保固維護合約書、災害應變規範…… 營運衝擊分析機密性的結果判定為3/4級者屬部份敏感之資訊，當洩露時，會造成衝擊。如安全監控紀錄、備份作業管理辦法…… 營運衝擊分析機密性的結果判定為5級者，屬高敏感性之資訊，當洩露時，會造成嚴重衝擊。 負責分類者(Classifier) 資訊的擁有者 資訊的產出或編輯者 資訊資產產出單位位階較高者或主管 資訊資產產出單位位階較高者或主管 資產標示方式 (Marking) 無標示 標示 (顏色或標籤) 標示 (顏色或標籤) 標示 (顏色或標籤) 存取控制 (Access) 所有對此資訊具有正當業務需求之相關人員均可存取 所有對此資訊具有正當業務需求之人員均可存取 所有對1.對此資訊具有正當業務需求之人員，但須經過適當授權及遵從保密協議 2.需符合相關標準作業程序(SOP)之規範 所有對1.對此資訊具有正當業務需求之人員，但須經過適當授權及遵從保密協議 2.需符合相關標準作業程序(SOP)之規範，且原始保管者須維護相關之分送對象清單 複製 (Copying) 無限制 允許獲授權者進行 ，但須維持清晰之分類等級標示 允許獲授權者進行 ，複製之資產亦視為機密級資產，包含電子複本在內 禁止複製，特殊情形需複製時須由主任、相關部門主管及資訊資產擁有者核准 資訊資產 內部分送 (Distribution Internal) 任何適用之方式 以內部公文系統(須以卷宗或信封包裝)，或以一般郵件方式寄送〈經核可的電子郵件或檔案傳送系統〉 1.文件置於不可透光之信封以一般公文收發系統傳送 2.電子資訊須經由核可的電子郵件或檔案傳送系統 極機密資訊資產之內部傳送應由專人負責 資訊資產 對外分送 (Distribution External) 任何適用之方式 1.經郵局或快遞公 司傳送 2.經核可的電子郵 件或透過檔案傳 送系統 1.需經副主任以上主管同意方可攜出 2.密封後由郵局掛號或快遞公司傳送 3.經電子郵件或透過檔案傳送系統，檔案均經授權核可 4.傳送密件之電子資料時需加密或經密碼保護 1. 禁止對外分送極機密資料，特殊情形需複製時須由主任、部門主管及資訊資產擁有者核准 2. 由專人負責傳送 存放/置放 (Storage) 無特定需求 避免資訊外流，應設存取控制 對於與資訊資產處理流程無關人 員，應保持其無法接觸，文件不用時應鎖在保管櫃等相關被認可安全的存取管制區域 1.對於與資訊資產 處理流程無關人 員，應保持其無法接觸、文件不用時應鎖在保管櫃等相關被認可安全的存取管制區域 2.電子檔應設存取 控制，只開放給 特定使用者 3.相關電腦系統均 應設存取控制 廢棄處置 (Disposal) 無特定需求 確保文件不外流 依據「資訊安全委員會」授權處理 依據「資訊安全委員會」授權處理