信息系统和信息设备使用保密管理规定三篇.docx
《信息系统和信息设备使用保密管理规定三篇.docx》由会员分享,可在线阅读,更多相关《信息系统和信息设备使用保密管理规定三篇.docx(34页珍藏版)》请在冰豆网上搜索。
信息系统和信息设备使用保密管理规定三篇
篇一:
信息系统和信息设备使用保密管理规定第一条为加强机关工作人员对使用信息系统和信息设备的保密管理,根据《信息系统和信息设备使用保密管理规定》,制定本规定。
第二条本规定所称的“信息系统”是指由计算机及其相关和配套设备、设施构成的,按照一定的应用目标和规则存储、处理、传输信息的系统或者网络本规定所称的“信息设备”是指计算机及存储介质、打印机、传真机、复印机、扫描机、照相机、摄像机等具有信息存储和处理功能的设备。
第三条信息系统和信息设备按照存储、处理的信息是否涉及国家秘密,分为涉密信息系统和信息设备、非涉密信息系统和信息设备,实行分类管理涉密信息系统和涉密信息设备,按照存储、处理国家秘密的最高密级分为绝密级、机密级和秘密级,实行分级管理。
集中存储处理工作秘密的信息系统和信息设备,参照秘密级信息系统和信息设备管理。
第四条信息系统和信息设备的保密管理工作,由本单位主要领导负总责,分管领导具体组织协调,保密工作机构和信息化工作机构具体负责管理工作。
其职责包括:
l、加强对信息系统和信息设备使用人员和运行维护人员的保密管理、教育培训和岗位考核,增强他们的保密法纪观念、责任意识和知识技能
2、制定完善信息系统和信息设备使用保密管理制度,建立信息系统和信息设备使用保密管理档案 3、至少每半年对保密管理制度执行情况、技术防范措施落实情况、涉密人员保密知识技能掌握情况进行一次检查评估,及时发现和消除泄密隐患
4、发现重大泄密隐患或泄密情况,应当立即采取补救措施,并按照有关规定及时报告。
第五条计算机信息系统保密员负责信息系统和信息设备的日常保密管工作,并授权履行以下职责:
1、根据领导授权草拟或者修订本单位与计算机信息系统和信息设备相关的保密制度
2、承担本单位组织的计算机信息系统和信息设备保密知识讲座或相关技能培训的授课任务
3、承担本单位采购、维护、维修、使用、销毁计算机等具备存储功能电子设备的保密监管任务
4、配合有关部门对本单位计算机的网络建设实施保密监督、测评、 审批并实施日常的保密管理 5、指导使用人员按照保密规范正确使用和操作各类计算机及移动存储介质,避免和纠正其违规行为 6、定期检查或检测计算机及其网络,及时发现和消除窃密漏洞或泄密隐患
7、根据国家规定和本单位的实际情况,向本单位领导提出配备保密技术设备或采取保密防范措施的建议。
8、根据领导授权参与查处网络窃密和泄密事件,提出定性依据及处理建议。
第六条严格区分涉密与非涉密系统,准确确定涉密信息系统密级。
第七条按照国家保密规定和标准,规划、设计、建设、维护涉密信息系统涉密信息系统投入使用前应当经过保密行政管理部门审查批准。
第八条涉密信息系统应当严格设定用户权限,按照最高密级防护和最小授权管理的原则,控制涉密信息的知悉范围。
第九条严格控制涉密信息系统的信息输出,对各类涉密载体实施登记和跟踪管理。
第十条将互联网及其他公共信息同络上的数据复制到涉密信息系统,应当严格采取病毒查杀、单向导入等技术防护措施。
第十一条在非涉密信息系统上发布信息应当指定机构和人员负责保密审查并签署审查意见。
第十二条严格区分涉密与非涉密的信息设备,涉密信息设备应当统一采购、登记、标识、配备,明确使用管理责任人。
第十三条采购涉密信息设备应当优先国产设备,确需进口的应当调查论证,得使用国家保密行政管理部门规定禁用的设备或部件。
采购安全保密产品应当选用经过国家保密行政管理部门授权机构检测、符合国家保密标准要求的产品采购计算机病毒防护产品应当选用公安机关批准的国产产品采购密码产品应当选用国家密码管理部门批准的产品。
第十四条涉密信息设备的使用和保管场所应当安全可靠,便携式涉密信息设备应当在保密柜中保存。
第十五条涉密计算机应当采取符合国家保密标准要求的身份鉴别、访问授权、违规外联监控、移动存储介质使用管控等安全保密措施。
第十六条变更涉密设备的使用应当经过批准,采取符合国家保密标准要求的技术措施进行信息消除处理。
第十七条使用或管理人员离职、离岗时,应当收回其使用或管理的涉密信息设备,及时取消访问授权。
第十八条携带涉密信息设备外出,应当经过批准和登记并采取保护 措施。
第十九条维修涉密信息设备应当指定专人全程监督,严禁维修人员读取或复制涉密信息,确需送修的须拆除涉密信息存储部件,恢复涉密存储介质数据应当到国家保密行政管理部门批准的资质单位进行。
第二十条将涉密信息设备改作非密信息设备使用或者淘汰处理,应当将存储部件拆除,或交由保密行政管理部门指定的承销单位销毁。
第二十一条使用信息系统凡有下列行为之一的应依法依纪予以追究:
1、将涉密信息系统接人互联网及其他公共信息网络 2、在非涉密信息系统中存储、处理和传输国家秘密信息 3、在未经审批的涉密信息系统中存储、处理、传输国家秘密信息 4、在低密级涉密信息系统中存储、处理、传输高密级信息 5、擅自改变涉密信息系统的安全保密防护措施。
第二十二条使用信息设备凡有下列行为之一的应依法依纪予以追究:
1、将涉密信息设备接入互联网及其他公共信息网络 2、使用非涉密信息设备存储、处理国家秘密 3、在涉密计算机与非涉密计算机之间交叉使用存储介质 4、使用低密级信息设备存储、处理高密级信息 5、在未采取技术防护措箍的情况下将互联网及其他公共信息网络上的数据复制到涉密信息设备
6、在涉密计算机与非涉密计算机之间共用打印机、扫描仪等信息设备
7、在涉密场所联接互联网的计算机上配备或安装麦克风、摄像头等音视频输入设备
8、使用具有无线互联功能或配备无线键盘、无线鼠标等外围装置的信息设备处理国家秘密
9、擅自卸载涉密计算机上的安全保密防护软件或设备 lO、将涉密信息设备通过普通邮政或其他无保密措施的渠道邮寄、托运。
第二十三条符合以下条件的,应当给予表彰和奖励:
1、在危急情况下,保护涉密信息系统和涉密信息设备安全的 2、对盗窃、毁坏涉密信息系统和涉密信息设备的行为举报或者侦破有功的
3、发现涉密信息系统和涉密信息设备重大隐患或泄密情况,及时采取措施,避免重大损失的。
第二十四条本单位工作人员违反规定泄密国家秘密,情节较轻的, 依法给予处分情节严重构成犯罪的,依法追究刑事责任。
同时,对机关、单位违反规定严重危害国家秘密安全,或者发生重大泄密案件的,也将依法对直接负责的主管人员给予处分。
第二十五条本规定自发布之日起生效。
篇二:
信息系统、信息设备和保密设施设备管理制度1.信息系统、信息设备和保密设施设备管理总则 1)为了加强公司涉密计算机信息系统、信息设备的保密管理,防止和杜绝失泄密事件的发生,确保国家秘密安全,根据《中华人民共和国保守国家秘密法》、《保密工作概论》、《保密法规汇编》等国家有关规定,结合公司实际,特制定本制度。
2)公司涉密计算机信息系统为单机涉密计算机信息系统,保密管理实行“控制源头、归口管理、逐级负责、确保安全”的原则。
3)本规定适用于使用公司涉密计算机信息系统的部门和个人。
4)本制度所称涉密计算机是指公司所属各部门按照本规定明确的程序,经过申报、登记、审定,并在公司保密办公室备案的计算机。
信息系统是由计算机及其配套设备、设施构成,按照一定的应用目标和规则存储、处理、传输信息的系统或网络。
信息设备是指计算机及其存储介质、打印机、传真机、复印机、扫描仪、照相机、摄像机等具有信息存储和处理功能的设备。
2.责任分工
1)公司技术部经理负责涉密信息系统、信息设备的保密安全管理工作。
涉密信息系统、信息设备的使用部门指定专人负责本部门计算机信息系统安全保密管理,对本部门涉密信息系统的安全保密负主 要责任。
2)公司保密办公室负责公司涉密信息系统、信息设备安全保密工作的指导、协调、监督、检查以及对失泄密事件的查处。
3)公司保密办公室设密钥管理员负责公司涉密信息系统、信息设备内部密码(密钥)的生成、分配和保密管理工作。
4)公司各涉密部门需设系统管理员、安全保密员,按有关保密规定和要求负责公司涉密计算机的管理及其设备的日常维护和维修工作,具体落实有关涉密计算机、信息设备的安全保密管理规定和措施。
3.涉密计算机的确定及变更
1)公司涉密计算机实行申报登记制度。
凡涉及国家秘密的单位拟用于处理国家秘密信息的计算机、涉密信息系统必须经过申报、登记、审定,并在公司保密办公室备案。
凡未进行申报登记的计算机均属非涉密计算机,非涉密计算机及其信息系统严禁存储、处理、发布、传递国家秘密信息。
2)申报登记涉密计算机,由计算机的主要使用人填写《涉密计算机审批表》,经所在部门审核,并由部门保密主管领导签署意见后,报公司保密工作领导小组审定。
3)公司保密办公室依据有关法规及标准,对各部门申报计算机的性 能状况、环境状况、管理措施等进行审核。
对符合各项标准要求的,确定为公司涉密计算机,并核发全公司统一编制的涉密计算机编号。
4)经审核对不符合国家和上级保密主管部门规定的性能配置、放置环境、管理措施等保密要求,不能确保国家秘密信息安全的计算机,不能确定为涉密计算机。
公司保密工作领导小组要提出改进意见,并将《涉密计算机审批表》退回申报部门。
5)涉密计算机的密级,按照处理国家秘密信息的最高密级确定。
经确定的涉密计算机变更为非涉密计算机或变更密级,由使用人填写《涉密计算机变更审批表》,按照涉密计算机申报登记程序,报公司保密办公室。
6)公司保密办公室对申请变更为非涉密计算机进行检查,收回硬盘,到具有处理资质的单位进行集中销毁,确认计算机内不包含任何形式的国家秘密信息后,批准变更,并注销涉密计算机编号。
4.管理制度
公司涉密信息系统、信息设备的保密管理遵循“业务谁主管、保密谁负责”、“谁使用、谁负责”的原则,明确制度、分清职责、分级管理、逐级落实。
各部门主管领导负责本部门涉密计算机的保密管理工作,并负有领导责任。
同时,要指定人员具体负责涉密计算机的保密管理工作。
公司保密办公室对全公司涉密计算机的保密工作 进行指导、协调、监督和检查。
并负责培训涉密计算机安全保密管理人员,查处相关泄密案件。
涉密信息系统的规划、建设、使用应当符合国家有关保密规定。
涉密信息系统应当按照国家保密规定和标准,制定分级保护方案,采取身份鉴别、访问控制、安全审计、边界安全防护、信息流转控制等安全保密防护措施。
涉密信息设备应当符合国家保密标准,有密级、编号、责任人标识,并建立管理台账。
涉密计算机、移动存储介质应当按照存储、处理信息的最高密级进行管理与防护。
1)涉密计算机的管理制度:
a)涉密计算机要专机专用。
每台涉密计算机均须确定专人使用并负责日常管理,并明确使用人员及使用手续并在计算机主机及显示器正面左上角位置粘贴标签,注明其编号,使用人姓名,密级等主要信息。
在使用,管理,维护等方面要严格区别于非涉密计算机,禁止混用。
b)公司涉密计算机根据需处理的涉密信息的涉密等级分别按机密级或秘密级进行管理,其登陆识别技术必须采用以下三种方式之一:
生理特征识别(如指纹识别) 数字证书机制
密码口令。
密码口令长度不得少于十个字符,定期更换,采用大小 写英文字母、数字和特殊字符等两者以上的组合。
密码(钥)应与计算机分离,妥善保管。
c)长时间离开终端时,客户端计算机应退出工作状态或关机。
下班后必须关机。
涉密计算机待机时间超过15分钟后,计算机应具备屏幕保护措施,在恢复使用时应有身份识别屏保机制。
d)涉密计算机要按照国家保密局发布的BMZ1一2000《涉及国家秘密的计算机信息系统保密技术要求》规定,设置密码,处理秘密级信息,口令长度不得少于8个字符,更换周期不得长于一个月,处理机密级信息,口令长度不得少于10个字符,更换周期不得长于一周;处理绝密级信息采用一次性口令或生理特征等强身份鉴
升级会员 