计算机信息系统保密管理制度文档格式.docx
《计算机信息系统保密管理制度文档格式.docx》由会员分享,可在线阅读,更多相关《计算机信息系统保密管理制度文档格式.docx(15页珍藏版)》请在冰豆网上搜索。
各部门信息安全员负责具体组织本部门涉密人员进行计算机涉密信息辨识,并依据单位技术保密管理规定对计算机涉密信息进行分类,及时登记计算机涉密信息台帐(附录一)。
各部门计算机操作人员须有高度的信息保密意识和责任感,计算机涉密信息的直接操作人员为直接涉密人员(如成本管理员、质量技术人员、生产管理人员等),须掌握必要的计算机安全知识。
发现重大计算机涉密行为及漏洞,知情人须及时向部门正职(或代理部门全面工作人员)进行汇报,各部门正职及时向公司相关领导汇报,以便最大限度挽回损失。
信息中心各片区信息管理员日常巡检中负责检查各部门计算机系统及操作人员网络行为,对于发现的信息安全隐患及时向计算机中心主任汇报,并提出通报考核意见。
信息中心定期组织进行公司各部门计算机涉密信息管理联合检查,对不符合保密要求的提出整改及通报考核意见。
对于较大信息安全隐患,制定整改措施,报单位领导审批。
信息中心须不断了解业内先进计算机系统保密技术,通过配备必要的技术检查监管系统,不断实施改进我行计算机系统安全环境。
2.计算机涉密信息的来源、日常存储、传送及销毁。
计算机涉密信息的来源。
2.1.1涉密信息进入计算机系统方式包括文档录入、移动存储设备拷贝存入、网络拷贝存入、现场仪器仪表自动采集、手工录入信息系统等等。
计算机涉密信息的存储。
2.2.1各部门针对本部门各个涉密岗位工作特点,在本制度的规定的原则和条款基础上,制定本部门每种计算机涉密信息存储详细规定。
各部门的规定须遵循存储权限清晰(要求控制在涉密人员范围内),方式明确(如硬盘存储,光盘存储等)不得随意拷贝存储、便于工作的原则。
2.2.2涉密文档文件(包括文字文档、影音文件、图片照片文件、压缩文件、动画演示文件等一切以文件方式存储的信息)须由本部门信息安全员定期统一刻录或打印,送交档案室归档存储。
2.2.3涉密电子文档文件在归档前,操作人员须将其加密保存,不得交与未授权人员查阅处理。
2.2.4涉密电子文档文件操作人员须每周将定稿文档提交部门信息安全员归档保存,由本部门信息安全员定期交档案室归档。
2.2.5计算机涉密信息中所有涉密文档文件须加密保存,密码复杂度须符合字母加数字加特殊字符形式,长度最少六位。
2.2.6涉密信息系统数据库或裸设备等应用系统后台数据须由计算机中心系统管理人员备份存储,并定期刻录归档,其它任何人不得随意转出数据库系统数据。
2.2.7移动存储介质未经审批不得在上海单位主机上使用。
2.2.8涉密信息只能由本部门信息安全员按归档需要统一刻录归档,其他人员不得刻录或以任何方式拷贝储存。
计算机涉密信息的传送。
单位内部流转:
各部门须为计算机涉密信息台帐中每种涉密信息流转制定严格的流转流程并培训,以保证计算机涉密信息严格控制在工作需要的涉密工作人员范围内流转。
2.3.2涉密信息外发:
各部门须对本部门每种涉密信息制定严格的涉密信息外发审批流程(计算机涉密信息外发审批单附录二),须经至少公司级领导审批通过方可外发。
核心机密和重要机密需要外发的,须经公司总经理审批通过。
2.3.3涉密信息外发时,须与接收单位或个人约定保密协议,电子文档外发须留有屏幕截图等技术手段留下存根,移动存储介质或纸质文件等介质外发须有对方签字的存根或其它可供查证的存根,以便日后查证。
2.3.4计算机涉密信息打印、复印、扫描须经审批(计算机涉密信息打印(复印)审批单附录三)。
且打印人员要严格按照审批的打印、复印份数,不得留有额外副本。
过程由信息安全员监督。
2.3.5计算机涉密信息打印件须控制在计算机涉密信息台帐中登记的涉密人员范围内流转。
若打印件需外发,须填写计算机涉密信息外发审批单进行审批通过。
2.3.6各部门信息安全员负责涉密信息存储介质的管理,外来存储介质不得在公司计算机上使用。
用于统一归档的存储介质(如移动硬盘、光盘、纸质打印复印件等)不得交与无浏览权限的人员查看浏览。
计算机涉密信息的销毁2.4.1计算机涉密信息直接操作人员为直接涉密人员,依照条规定,每周将涉密信息归档后,即行在本机上将涉密信息彻底销毁删除。
确因工作需要须在本机临时存储的,要严格加密存储。
2.4.2部门信息安全员负责对本部门报废计算机上涉密信息进行销毁删除。
2.4.3各部门信息安全员负责监督涉密信息的销毁,确保不留有拷贝副本。
3.计算机涉密信息权限管理各部门依照本制度2.3.1条款要求,结合本部门涉密人员工作需要,制定计算机涉密信息流转流程。
在流程制定过程中,要充分考虑各个环节的涉密人员权限。
登记涉密人员涉密信息权限表附录四。
各部门信息安全员负责本部门计算机系统(包括所有操作系统及应用系统)账户管理,信息安全员须依据申请人的工作职责,授予其审批通过的系统权限。
并登记更新涉密人员涉密信息权限表。
各部门计算机操作人员发生岗位变更、离岗离职等,部门信息安全员负责将系统账号及时进行权限变更及注销。
管理权限在计算机中心的,及时申报信息中心系统管理员进行权限变更及注销工作。
同时更新涉密人员涉密信息权限表。
各部门及档案室须建立归档的涉密信息查阅登记审批制度,对超权限又因工作需要确需查阅涉密信息的人员进行权限审核,审批通过并登记后方可浏览查阅。
查阅人须对该涉密信息保密负责。
对于未超权限需要查阅归档涉密信息的,仍需进行登记。
(计算机涉密信息查(借)阅审批单附录五计算机涉密信息查(借)阅登记表附录六)4.计算机涉密人员管理计算机涉密人员施行登记备案制度,各部门建立涉密人员档案。
(计算机涉密人员档案(附录七)当涉密人员发生内岗位变更,档案随人员调入调出变更更新。
计算机涉密人员因离职等调出本单位,部门要进行涉密信息行为审计,具体核实是否有相关涉密资料被拷贝,个人办公涉密计算机上的涉密信息是否完整无缺等等,核实个人手上无单位涉密资料,并做好涉密工作交接,方可签字放行。
计算机信息涉密人员对计算机涉密信息有保密责任,不得将涉密信息公示给没有权限或未得审批人员。
5.计算机的使用设备使用5.1.1离开办公区域,便携机及其他移动计算设备、存储设备应该存放在文件柜等安全的地方。
5.1.2须严格按照单位的配置实用计算机配件。
禁止私自安装、使用声卡、音箱、MODEM、光驱、光盘、话筒、硬盘、移动硬盘、无线网卡、路由器、交换机等信息设备。
存储介质5.2.1涉密存储介质是指存储了涉密信息的硬盘、光盘、软盘、磁带、移动硬盘及U盘等。
5.2.2严禁在单位计算机上随意使用移动存储设备,因工作需要向存储介质上拷贝涉密信息时,应填写涉密存储介质使用情况登记表,经部门负责人或公司授权人员批准。
5.2.3存有涉密信息的存储介质不得转借他人,不得带出工作区,下班后存放在本单位指定的柜中。
5.2.4需归档的涉密存储介质,应连同涉密存储介质使用情况登记表一起及时归档。
5.2.5各部门负责管理其使用的各类涉密存储介质,应当根据有关规定视同纸制文件,按相应文件进行分级管理,严格执行借阅、使用、保管及销毁制度。
5.2.6各种存储介质,未经允许或者未经管理员注册的计算机信息媒体或载体,禁止私自携带离开公司。
在公司内计算机上使用移动存储介质必须向部门信息安全员借用专用的内网授权USB存储设备,信息安全员须进行详细的登记和使用记录,包括借用人、使用用途与使用时间等。
5.2.7公司因一些原因而暂时不用的电子文档、电子数据应由使用部门统一汇总,形成较固定的存储形式(如刻录成DVD),由使用部门封存后交公司档案室贴封保存,启用需经公司领导签字同意。
这些电子文档、电子数据在原计算机中删除。
笔记本电脑使用5.3.1、公司笔记本电脑公司公用、部门级使用、个人使用。
、对于个人使用的笔记本电脑由本人负责管理,明确“谁使用,谁负责”的原则,做好密笔记本电脑的保密管理工作,防止笔记本电脑失控或丢失后被破译,必须采取开机状态身份鉴别。
对于经常携带外出的笔记本电脑要采取保密措施。
、公用笔记本电脑中的保密信息必须在使用后立刻清理。
、部门负责人对本部门笔记本电脑的型号、配置、密级、责任人、使用人、使用情况、去向等要清楚。
、严禁擅自将存储有公司保密信息的笔记本电脑带出办公场所。
确因工作需要,必须携带时,需经主管领导审批,填写外出携带笔记本电脑审批表。
、兼职信息安全员负责本部门涉密笔记本电脑的登记、备案工作,要求各部门无论从何种渠道得来的笔记本电脑都要经过登记、备案。
私人笔记本电脑出入单位以及外单位人员携带笔记本电脑来办理工作,须履行登记、办理携带手续后方可通行。
、部门级笔记本电脑不得擅自借用,由于工作需要借用要经部门负责人批准,兼职信息安全员登记、备案,并对涉密信息进行处理。
信息系统的和自动化控制系统维护与报废5.4.1计算机等信息系统出现故障后应填写故障申请,由IT维护人员负责,严谨员工私自开启计算机机箱。
5.4.2禁止员工使用他人的计算机。
公用计算机应指定专人管理,使用者应及时删除相关信息。
5.4.3存有公司重要技术文档或经营管理文档的电脑和服务器应指定专人管理。
5.4.4计算机使用人发生变更,应由资产管理部门提出申请,计算机中心对硬盘进行格式化和重装系统,计算机报废统一由计算机中心对硬盘进行低级格式化,以上操作应作记录并经双人复核。
5.4.5凡需外送修理的涉密设备,必须经主管领导批准,并将涉密信息进行不可恢复性删除处理后方可实施。
5.4.6涉密计算机的报废交主管领导监督专人负责定点销毁,外卖时确保所有数据已经不可恢复,应有记录并经双人复核。
6网络连接和网络安全网络连接:
IP地址设置为手动设定方式,网络标准协议为TCP/IP;
严禁隐藏和伪造上网终端基本信息,严禁员工擅自更改IP地址,严禁员工安装启动公司标准协议以外的其他网络协议。
6.1.1未经批准计算机一律不许接入公司局域网和互联网,如有特殊工作需求,须事先提出申请报主管领导批准后方可实施,并安装物理隔离卡,在相关工作完成后撤掉网络。
经过批准,在与外部网络直接连接时,必须与内部网络断开连接。
要坚持“谁上网,谁负责”的原则,各部门由部门负责人负责严格审查上网机器资格工作,并报计算机中心开通。
6.1.2在与国际互联网相连的信息设备上不得存储、处理和传输任何涉密信息。
6.1.3未经批准,严禁私自设立拨号接入服务。
严禁拨号到公司外部网络。
网络使用安全6.2.1禁止在公司网络上擅自设立各种形式的服务。
如:
Web,BBS,DHCP等;
6.2.2禁止下载、制造、传播与工作无关的文件;
6.2.3未经批准,禁止使用FTP或TFTP;
6.2.4禁止利用公司网络私自订阅电子杂志;
6.2.5禁止发送、转发垃圾邮件或其他与工作无关的电子邮件;
6.2.6禁止利用公司网络资源进行任何与工作无关的事,公司网络资源24小时只能用于工作;
6.2.7登陆办公自动化软件在员工入职时,由部门秘书申请,计算机中心统一分配。
员工在工作岗位调动或离职时,应向部门秘书移交各类权限及密码;
NOTES授权用户应妥善保管用户名与密码,不得泄露给他人,因转借或泄漏密码出现违规行为,该授权用户需接受处罚。
6.2.8员工不得随意在网上建立共享目录,因工作需要建立的共享目录,必须设置共享口令,工作任务结束后应及时取消共享;
6.2.9所有员工的上网行为(包括QQMSN聊天信息与文件发送、浏览网页、WEB邮件、FTP上传等)公司都将进行监控与信息备份。
6.2.10员工离职或者调离所在部门的时候,必须通过信息安全管理人员进行信息安全离职审计,确认在职期间没有违反本管理规定的行为后,方可以办理相关手续。
7系统安全及病毒防治信息系统安全7.1.1信息系统指由计算机中心专人维护的服务器、交换机、路由器、自动化控制系统网络设备等公司公用的基础计算机信息设施;
7.1.2操作人员应随时监控计算机信息运行状况,发现异常情况应立即按照操作规程进行操作,并及时上报和详细记录;
7.1.3非计算机信息机房工作人员未经许可不得擅自上机操作和对运行设备及各种配置进行更改;
7.1.4计算机信息工作人员应严格执行信息系统账号和口令标准,操作密码三个月更改一次;
7.1.5计算机信息工作人员应恪守保密制度,不得擅自泄露各种信息资料与数据;
7.1.6操作系统和数据库等软件的超级用户密码由系统管理员(两人)掌握,其中一人为主要操作人员,另外一个备用,服务器等操作应由两人同时在场,并做好相关记录。
计算机上存储文档安全7.2.1通过文档安全管理系统和集团公司管理制度相结合确保计算机上存储文档的安全;
7.2.2每个员工计算机上必须部署文档安全管理系统代理端,未经允许不得随意卸载。
如系统故障需重装操作系统应及时向文档安全管理系统管理员提交申请。
7.2.3未能正常安装文档安全管理系统代理端的员工不能共享企业现有资源,如:
OA系统禁止登录;
7.2.4对员工日常工作生成的文件进行强制性透明加密。
生成的加密文件只能在本地计算机和同部门计算机上使用。
7.2.5加密文件不能在跨部门的计算机上使用;
如需跨部门使用文件需通过文档安全管理系统授权后使用;
7.2.6加密文件通过E-MAIL、QQ、U盘等方式发送到内部办公环境之外的计算机上都不能正常使用;
7.2.7员工私自把笔记本带出到办公环境之外,笔记本上的文件都不能正常使用;
7.2.8由于工作原因需要将文件或笔记本带出办公环境之外使用,需通过文档安全管理系统提供的审批流程经主管部门经理审批同意后方可外出;
7.2.9文档安全管理系统服务器需配置专人专管,非管理人员不得私自使用。
病毒防治7.3.1计算机用户必须安装公司规定的防毒软件;
7.3.2每周升级和查、杀计算机病毒软件的病毒样本。
确保病毒样本始终处于最新版本;
7.3.3不要打开来历不明的邮件,防治病毒感染;
7.3.4计算机用户不得安装公司规定之外的防毒软件;
7.3.5任何个人不得私自发布计算机病毒疫情;
7.3.6严禁员工编写、收集、编译、传播、运行计算机病毒、黑客软件;
7.3.7在公司发布最新版杀毒软件之后,计算机用户要及时升级杀毒软件、更新病毒库;
7.3.8严禁使用未经公司批准的软件,特殊需求需安装其他软件须向部门长申请并由计算机中心授权安装。
8自动化控制系统公司所有自动化控制系统应至少分成维护工程师级、工艺工程师级、操作员级三级,所有操作级别分为不同的用户和口令,并有操作记录。
维护和操作要求双人复核并记录。
所有自动化控制系统的重装系统、修改控制程序、升级控制程序等要经负责人和计算机中心负责人审核批准,重要的控制系统应由公司主管领导审批。
发生故障的自动化控制系统存储硬盘要经双人确认并记录,确保数据不可恢复后方可报废。
作为备份的自动化控制系统存储硬盘要封存,确实需要使用时需双人复核。
公司因一些原因而暂时不用计算机控制系统应由使用部门和计算机中心一起封存,双方做记录,存放在控制系统现场或计算机中心库房中,启用需经公司领导签字同意。
9公司对外宣传网站公司对外宣传网站内容要经办公司室审核通过后方可上网。
10公司门禁系统记录、人员进出管理系统记录、视频监控系统录像、售饭系统刷卡记录等等,有关部门如需查阅或申请注册用户,需经主管部门和公司领导审批通过后方可查询,监控系统录像查询权限需经公司生产部门、安保部门和公司领导审批。
电子文档须经公司主管领导审批通过后方可拷贝。
【历史修订记录和原因】文件修订历史文件编号版本号修订原因执行日期SOP-A/XX/12/007-0000新文件附录一:
计算机涉密信息台帐序号涉密信息(或文档)名称泄密后果分析泄密环节风险分析直接涉密人员管理及技术控制措施保密级别(核心、重要、一般)流程编码及名称(单位内部流转流程,外发审批流程)附录二:
涉密信息外发审批单部门:
发件人:
发件人岗位:
收件人(单位):
需外发涉密信息:
涉密级别:
核心重要一般外发涉密信息详尽理由:
外发方式:
电子邮件(收发人邮箱地址)邮寄/手动移交光盘、U盘、移动硬盘等其它存储介质。
邮寄/手动移交打印(复印)件传真(对方传真号码)其他是否已与收件人有保密约定(附后):
是否可供查证的存根:
部门信息安全员部门主管审批单位主管领导审批单位领导审批(复核签字)年月日(签字盖章)年月日(签字)年月日(签字)年月日附录三:
计算机涉密信息打印(复印)审批单部门:
打印(复印)人:
打印(复印)人岗位:
打印(复印份数):
需打印的涉密信息:
核心重要一般打印(复印)理由:
部门信息安全员部门主管审批单位主管领导审批单位领导审批(复核签字)年月日(签字盖章)年月日(签字)年月日(签字)年月日附录四:
*(部门)人员权限表姓名信息系统账户岗位角色描述计算机系统人员权限涉密信息描述附录五:
计算机涉密信息查(借)阅审批单部门查(借)阅人查(借)阅人岗位:
核心重要一般涉密信息查(借)阅理由:
部门信息安全员部门主管审批单位主管领导审批单位领导审批(复核签字)年月日(签字盖章)年月日(签字)年月日(签字)年月日注:
此表格适合超权限查阅涉密信息的公司内部人员。
一般涉密信息须单位主管领导审批即可,核心及重要涉密信息外发须单位领导审批。
附录六:
计算机涉密信息查(借)阅登记表查阅人姓名部门查阅时间涉密信息涉密级别备注附录七:
计算机涉密人员档案姓名性别年龄学历毕业院校专业现在部门现在岗位涉密信息涉密内容简介涉密级别权限曾经的工作岗位(单位)工作年限涉密信息涉密级别附录八:
监控资料查阅记录表查阅事件名称查阅人操作人事件查阅结果操作人:
查阅人:
年月日附录九:
视频监控系统注册用户审批单申请部门:
使用人:
申请用户名:
计算机IP:
申请点位:
申请权限(云控、回放)申请原因:
申请部门意见(签章):
年月日总务部意见(签章):
年月日生产部意见(签章):
年月日单位主管领导:
年月日精心搜集整理,因文档各种差异性,请按实际需求再行修改编辑调整字体属性及大小
升级会员 