华为信息安全宣.pptxVIP

信息资产识别与定级 资产密级 绝密 机密 秘密 内部公开 基于与战略竞争对手拉开并保持差距的市场竞争策略，在市场竞争态势中使我司处于优势地位，且对未来业务和产品发展有重大影响的，或战略竞争对手特别关注，获取后将严重影响我司产品核心竞争优势的信息资产。 包括但不限于：算法、架构、方案、特性、需求、规划等。其载体包含但不限于：源代码、原理图、文档、会议纪要等。 关键信息资产占信息资产总量的5%左右。 关键资产需要加密，例外情况需备案。 关键资产以外的信息资产，包括秘密和内部公开两个密级。 跨产品/跨部门的非关键信息资产申请由需求方主管说了算。 秘密级不应加密。内部公开级不允许RMS加密。 在Hi3MS发布或存放的文档不允许加密。 关键资产 非关键资产 华为研发安全环境分区：红区、黄区、绿区 关键信息资产 非关键信息资产 红区（高） 黄区（中） 绿区（低） 针对以安全保护为主的、涉及大量/集中关键信息资产的关键项目或产品的部门 竞争激烈领域的主力产品，关键技术、主力平台，识别为关键项目的预研、规划、审计、开发、测试等业务 针对以安全与效率平衡、涉及分散关键信息资产的项目或产品的部门 一般的产品、技术、平台的预研、规划、设计、开发、测试环境 针对以共享为主、效率优先，不涉及关键信息资产的部门 合作、外包、对外演示、对外测试、移动办公环境 大量集中 信息资产 环境 部门 业务 网络环境安全分区隔离与管控 红区完全独立 黄区业务上云 用户和实验室迁入绿区，仅少量继续保留在黄区 用户跨区访问必须经数传跳转 信息资产的获取与共享 只要业务需求是合理的，任何人无权拒绝提供信息或擅自提高主管审批级别；对于阻碍信息共享的行为，可以进行投诉。内部信息交流或对公司外提供信息时，应遵循以下审批原则： 密级 确定密级 内部信息交流 对外提供信息 获取信息 共享信息 绝密/机密 信息生成方二级（含以上）主管 信息生成方和需求方二级（含以上）主管 信息生成方二级（含以上）主管 信息生成方二级（含以上）主管 秘密 信息生成方三级（含以上）主管 信息需求方部门直接（含以上）主管 信息需求方或员工本部门直接（含以上）主管 信息生成方或员工本部门三级（含以上）主管 内部公开 同上 不需要审批 不需要审批 同上 备注： 1、信息责任人可以授权相关组织或人员履行具体职责，但管理责任不因委托关系而转移。 2、经信息安全部同意，各部门可以制定和发布审批细则，进一步明确信息密级所对应的审批级别。 信息资产跨区域传输的安全通道 信息资产的清除 包含必威体育官网网址信息的存储介质/设备，在进行数据清除时，要求如下： 删除数据 属于存储介质/设备使用人或用途发生改变时。 低级格式化 属于资产归属转出或外借设备归还时。 如：便携机资产转个人、归还借用供应商的存储设备 物理销毁或消磁 属于资产报废或涉及绝密/机密信息的数据清除。 纸件销毁 包含必威体育官网网址信息的纸件在废弃时（如：复印效果差、打印未完成），可使用碎纸机销毁，不应随意丢弃 委托外部公司对包含必威体育官网网址信息的存储截止进行数据恢复时，应经过主管批准，并选择公司指定的供应商。当涉及绝密/机密信息的数据恢复时，必须经过信息生成方责任人批准。 权限管理：权限分类与定义 定义 基本权限—能够满足本岗位工作所需的必要权限，该权限在员工到岗后自动授权 例外权限—基本权限不能满足工作需要，须经流程申请获得的权限 系统权限—信息资产存储系统的系统管理、应用平台管理、应用管理（数据管理）等权限，须经流程申请并经审批后授权并纳入机要管理 机要权限—机要岗位所特有的权限，包括信息资产及重要数据系统的权限设、数据管理、数据出口管理、数据传递等权限 权限管理：授权与行权 授权 基本使用/审批权 数据库导入 例外使用/审批权 例外权限申请 数据管理权 例外权限申请 数据传递权 例外权限申请 监督权/问责权 例外权限申请 行权（数传） 行权（审批） 提取关键资产 数据管理员 传递关键资产 数传员 “虎符”制 申请 使用人 需求使用确认 需求方二级 审批人 需求合理性 确认 生成方二级 审批人 审批 生成方研发部长 确认 首席机要员 冒泡检测 监督/问责 信管办 权限分离 权限监督 例外权限：信息资产查阅与获取流程冒泡问责机制 信息资产管理平台-iRight 信息资产管理平台-iRight（续） 研发关键信息资产的识别流程（IPD类） 1、流程支撑 关键信息资产的识别、评审、加密活动均有IT流程支撑（iRight权限平台） 2、例行识别 在TR2前识别关键信息资产并完成定密，制定信息安全策略