计算机信息系统保密管理制度.docx
《计算机信息系统保密管理制度.docx》由会员分享,可在线阅读,更多相关《计算机信息系统保密管理制度.docx(29页珍藏版)》请在冰豆网上搜索。
计算机信息系统保密管理制度
计算机信息系统保密管理制度
第一章总则
第一条为确保计算机信息系统存储、处理、传输国家秘密信息和公司内部信息的安全,根据《中华人民共和国保守国家秘密法》《计算机信息系统保密管理暂行规定》《涉及国家秘密的通信、办公自动化《涉及国家秘密的计算机信息系统和计算机信息系统审批暂行办法》保密技术要求》、及关于转发《涉及国家秘密的信息系统分级保护技术要求》标准的通知和有关保密法律、法规,结合公司实际,制定本制度。
第二条本制度适用于公司计算机信息系统存储、处理、传输国家秘密信息和公司内部信息的单位(部门)和个人。
第三条本制度所称计算机信息系统是指以计算机和计算机网络为主体,按照一定应用目标和规则构成的用于处理各种信息的人机系统。
第四条计算机信息系统的保密工作遵循“突出重点,积极防范,实行“业务谁主管,保密谁负责”既保守秘密又要方便工作”的方针,的原则,公司所属各单位的领导,对本单位(部门)主管业务范围内的计算机信息系统(以下简称系统,指“人机”系统)保密工作负有直接领导责任
第五条各单位应设专(兼)职计算机管理员,负责系统的日常管理工作,管理人员应保持相对稳定。
第六条任何单位和个人不得以任何借口拒绝上级主管部门和国家各级保密工作部门对系统进行职权范围内的保密检查、检测和监督。
第二章计算机信息系统管理人员的职责
第七条技术部负责公司计算机的安全保密管理及计算机信息系统的推广应用和资源配置,履行计算机信息系统的建设、管理与审查、.
审批职能,同时对与计算机相关的各种秘密载体(介质)负有管理和审查、审批责任。
技术部应经常分析计算机及计算机信息系统的安全状况,建立健全保密安全制度,不断改进防护措施,提高公司计算机及计算机信息系统保密安全水平。
配合保密办进行计算机信息系统的日常检查,协助查处计算机信息系统泄密事件。
第八条各单位(部门)计算机信息系统保密安全实行领导负责制。
各单位(部门)领导应指定一位人员担任计算机信息系统的安全管理员,管理本单位计算机信息系统的应用和保密工作。
定期检查本单位(部门)的计算机信息系统安全保密管理制度落实执行情况。
第九条各单位的专、兼职计算机信息安全员,在技术部计算机信息安全员的指导下,做好本单位的计算机信息保密管理工作。
第十条各单位应按规范要求切实用好配备的计算机资源,加强安全管理。
并对出现的各种不安全因素及时上报公司技术部协调解决。
第十一条涉密信息系统安全员(以下简称安全员)是涉密信息系统安全保密管理的重要组成部分,和系统管理员互相监督、互相制约,保障涉密信息系统的顺利运行。
其职责是:
(一)计算机安全员是涉密信息系统安全保密的监督人和执行者,负责涉密信息系统的安全保密。
(二)各单位(部门)计算机安全员应定期(一个月)更换计算机密码,做好密码更换日志,技术部定期审查,保密办协同检查。
(三)各单位(部门)计算机安全员应做好涉密计算机上机人员的身份鉴别工作,制定每月允许上机人员名单及其使用的计算机,交保密办审批备案。
并填写密表17《涉密计算机上机人员审批表》
(四)技术部计算机安全员要监控系统管理员维护系统、设置权限的全过程,要督促系统管理员做好病毒防治、漏洞修补工作。
(五)安全员要定期与系统管理员协同进行应急演练。
涉密计算机出现故障需要送修时,安全员要检查是否拆(六).
除CPU、内存、硬盘等关键部件,并督促系统管理员全程监督。
(七)安全员应参与涉密载体的监销过程,在保密办缺席时要作为主要监销人。
(八)安全员应做好涉密载体和涉密计算机的台帐和标识,上报保密办备案登记,并维护标识的完好性。
(九)安全员要严格监控涉密载体在计算机信息系统中的复制和出厂,督促系统管理员和复制载体使用人员严格按照保密制度执行。
(十)安全管理员要随时检查计算机内涉密资料的存储和标识情况,并将不合格项及时反馈给系统管理员。
(十一)对各单位(部门)信息管理员定期提交的各种日志、登记表、申批表等,安全员要认真检查,并交保密办审查。
(十二)安全员和信息管理员应定期对各单位兼职计算机管理人员进行培训。
(十三)安全员和信息管理员要互相监督,对彼此的失职行为要上报保密办,不得包庇隐瞒。
第十二条涉密信息系统管理员(以下简称信息员)是涉密信息系统安全保密管理的重要组成部分,和系统安全员互相监督、互相制约,保障涉密信息系统的顺利运行。
其职责是:
(一)信息员是涉密信息系统的建设者和维护人,负责系统的顺利运行。
(二)信息员负责做好系统维护工作,确保计算机的正常使用,根据安全员提供的使用人员名单及其使用的计算机情况,做好计算机安全防范系统的维护工作。
(三)信息员应做好计算机防杀毒工作,定期对病毒库升级,并做好杀毒记录。
(四)系统管理员要经常检查应急反应措施的可靠性,做好文件备份,协同安全员共同定期演练并做好记录。
.
(五)涉密计算机出现故障时,信息员要全过程监控维修的全过程。
(六)磁介质涉密载体需销毁时,信息员应在保密办或安全员的监督下进行销毁,并做好登记。
(七)信息员要对涉密计算机的输入输出做好有效地控制,按照有关制度要求执行,杜绝非法的数据输入输出。
(八)信息员要严格按照保密制度的规定,做好计算机涉密信息的复制和出厂审批。
(九)信息员要督促各单位(部门)安全员按照保密制度规定存储和标识涉密资料。
(十)信息员要做好计算机系统维护日志,并定期提交安全员检查。
(十一)信息员和安全员应定期对各单位计算机管理人员进行培训。
(十二)信息员和安全员要互相监督,对彼此的失职行为要上报保密办,不得包庇隐瞒。
第三章涉密计算机安全保密管理
第十三条涉密计算机网络的建设和使用
(一)公司在规划建立涉密计算机网络前,涉及国家秘密的信息系统,要按照分级管理的原则,实行分级保护。
具体要求详见中华人民共和国保密标准BMB17-2006《涉及国家秘密的信息系统分级保护技术要求》的标准。
(二)公司在规划建立涉密计算机网络前,建设方案必须向地方市级以上的保密部门申报,经批准后方能实施。
(三)网络建设方案和具体实施必须选择具有《涉及国家秘密的计算机信息系统集成资质证书》的单位具体实施。
(四)网络安全产品的采购原则上必须采用国产设备,选择具有《军用信息安全产品认证证书》和《涉密信息系统产品检测证书》的.
产品。
(五)涉密计算机网络在投入使用前,必须报市级以上地方保密部门验收,验收通过后方能使用。
第十四条涉密计算机信息系统的安全保密管理
(一)使用或存放涉密载体的部位必须配备密码柜,涉密载体必须集中存放在密码柜中。
管理人员定期进行安全防范检查,并做好检查记录。
(二)涉密计算机必须安装在有安全防护设施的部位,处理存储机密级信息的涉密计算机可采用口令进行身份鉴别。
口令长度不得少于十个字符,口令更换周期不得长于一周。
处理存储秘密级信息的涉密计算机口令长度不得少于八个字符,口令更换周期不得长于一个月。
口令一般应是大小写英文字母、数字、特殊字符中两者以上的组合。
口令必须加密存储,并且保证口令存放载体的物理安全。
(三)经常操作使用涉密计算机的人员必须是经公司保密办审批允许的涉密人员。
使用涉密计算机的涉密人员必须填写密表17《涉密计算机上机人员审批表》,如有人员变动及时向保密办重新申报上机人员名单。
各单位(部门)建立完整的上机日志,填写密表18《涉密计算机使用登记表》。
附密表17《涉密计算机上机人员审批表》密表18《涉密计算机使用登记表》
(四)其他单位(部门)人员出入涉密机房,是要害部位的要严格按照公司要害部位管理制度中的出入规定执行。
(五)涉密计算机在使用前必须向地方保密部门申请进行电磁辐射检测,不符合BMB5-2000《涉密信息设备使用现场的电磁辐射发射防护要求》的部位,必须购买电磁辐射干扰器。
(六)加强涉密计算机的安全防护工作,严禁私自非法拆卸、更换计算机部件,涉密计算机在出现硬件故障时,首先报公司技术部维修,无法自行维修时,应选择有保密资质的计算机维修公司上门维修,《涉19在技术部计算机安全员、信息员的监控下进行修复并填写密表.
密计算机维修记录单》如需送外修理时,必须拆除CPU、内存及硬盘,由技术部管理人员送至维修站并监控维修全过程。
附密表19《涉密计算机维修记录单》
(七)涉密计算机及其关键部件如因故障无法修复需要报废时,应在技术部计算机管理员的监督下填写密表20《涉密计算机设备报废申请单》,在指定的场所物理销毁。
附密表20《涉密计算机设备报废申请单》
(八)涉密计算机需要用作其它用途,改做非涉密计算机使用时,必须填写密表21《涉密计算机设备调出申请单》。
上报保密部门批准,技术部计算机管理员进行非密化处理,经脱密处理后方能调拨。
附密表21《涉密计算机设备调出申请单》
(九)新增计算机需要定为涉密计算机时,必须填写密表22《新增计算机定密申请表》经保密办审批登记后,由技术部加贴统一标签方能投入使用。
附密表22《新增计算机定密申请表》
(十)涉密计算机应在显着位置加贴统一定制的涉密计算机标签,任何人不得撕毁破坏。
如下图标示
涉
密保密编号厂内编号
计使用单位负责人算秘密★涉密程度
机涉密计算机严禁上网
标签
(十一)连接有打印机、绘图仪的涉密计算机必须有专人负责管理,除管理人员外严禁任何人进行输出操作。
对于输出的涉密载体按照《涉密载体管理制度》的第二章涉密载体的制作,第九条第二款执行。
(十二)涉密计算机严禁上互联网及其他非涉密网,应实行物理隔离。
.
(十三)涉密计算机严禁存储高于自身密级的文件。
第十五条涉密载体的保密管理
(一)涉密载体的密级根据存储文件的最高密级确定,严禁存储高于自身密级的文件,严禁在非涉密计算机、上网计算机上使用。
(二)涉密载体由技术部加贴统一定制的标签,并在保密办备案。
不得擅自破坏、加贴或更改标签内容,不得随意使用未贴标签的磁介质。
(三)对涉密载体存储内容列出明细清单,并填写密表23《涉密载体信息明细表》清单内容必须与存储内容相一致。
附密表23《涉密载体信息明细表》
(四)不得擅自在计算机中安装与工作无关的软件。
(五)每台计算机都必须设置屏幕保护密码,密码设置为用户口令。
用户在短时间离开计算机时必须启动屏幕保护,长时间(超过半小时)离开必须注销或关闭计算机。
第十六条数据备份管理
(一)涉密计算机中存储的涉密文件必须做好备份,数据备份采用软盘、移动硬盘、U盘或备份服务器进行,备份数量至少一份。
(二)电子文档化的涉密文件必须及时进行数据备份,机密级文档备份的时间不得超过1天,秘密级文档备份的时间不得超过7天,具体保存期限视文件而定。
(三)数据备份用载体或计算机应按照其中备份数据的最高密级定义。
第十七条计算机病毒防治管理
(一)每台计算机必须安装正版杀毒软件并定期人工杀毒,管理人员应做好杀毒记录。
(二)各单位(部门)计算机管理员每周到技术部对杀毒软件进行一次升级,技术部信息员做好杀毒软件升级记录。
应急措施第十八条.
(一)涉密信息系统必须具备应急反应(断电)和应急恢复(数据备份)手段。
(二)涉密计算机必须配备UPS作为应急反应手段。
(三)涉密计算机必须配备外部存储介质作为应急恢复手段。
(四)系统管理人员应定期进行应急反应和应急恢复演练并做好记录,
第四章非涉密计算机信息系统安全管理
第十九条“非涉密计算机信息系统”是指非涉密计算机单机的人机系统和非涉密载体。
第二十条非涉密计算机严禁存储和处理涉密信息,未经审批,不得擅自接入互联网,要在显着位置加贴非涉密计算机标识。
非涉密计算机标签
第二
厂内编号使用单位
非一十条负责人
算涉密计☆非涉密计算机严禁存储涉密信息☆明必须机确使用人员,非使用人员不得擅自使用计算机。
非涉密计算机必须安装杀毒软件并定期升级。
第二十二条不得用用于产品测试的非涉密计算机必须专机专用,第二十三条于其它用途。
存储敏感(商业秘密)信息的非涉密计算机要严格控第二十四条制使用,必须设置开机口令和屏保口令。
对此类计算机可参照本制度第三章规定进行管理。
非涉密载体管理第二十五条所有计算机配件由主管领导审批,审批后,由技术部统一
(一)编号,采运部统一采购,再由技术部登记发放,任何单位不得擅自购买。
发现擅自购买者,技术部有权回收,统一处理。
各单位计算机管理员对载体领用情况应建帐。
所有计算机
(二).
使用场所严禁使用未经登记的载体进行数据复制、备份。
(三)载体正常损坏后,使用者不得擅自处理,应由单位计算机管理员收回统一上交技术部集中销毁。
销毁过程应由专人监销,并填写密表24《非涉密载体销毁登记表》
(四)非涉密载体严禁存储涉密信息,严禁公盘私用。
第五章笔记本电脑安全保密管理
第二十六条涉密笔记本电脑管理
(一)涉密笔记本电脑不得存储涉密信息,处理涉密信息时必须使用涉密载体进行存储。
(二)涉密笔记本电脑出厂时,必须到经理部填写密表25《笔记本电脑出厂许可证》,随笔记本出厂的涉密载体必须填写密表12《国家秘密载体外出携带登记表》。
严禁独自一人携带涉密笔记本电脑和涉密载体外出,至少要有两人分别携带。
回厂后必须办理注销手续,确保涉密信息的安全。
(三)涉密笔记本电脑、随机配备的涉密载体严禁用于上网,必须由专人管理并存储在密码柜中。
第二十七条非涉密笔记本电脑管理
(一)非涉密笔记本电脑不得存储和处理涉密信息。
(二)因工作需要携带非涉密笔记本电脑外出时,使用人须填写密表25《笔记本电脑出厂许可证》,经技术部检查确认未存有涉密信息、保密办审查后,方可携带出厂。
回厂后必须到经理部办理注销手续。
第六章上网计算机安全保密管理制度
第二十八条申请上网单位,必须提交书面申请,主管领导签字后报经理部审查批准。
报公司技术部、保密办备案,由设备工程部具体负责安装。
第二十九条接入互联网的计算机必须与其它计算机信息系统物理隔离。
.
第三十条上网计算机不得存储或处理任何涉密信息,不得用于办公,必须专机专用。
第三十一条上网计算机应在显着位置加贴有“上网计算机严禁存储工作信息!
”字样的标签予以警告。
上网计算机标签
第三十使用单位厂内编号
计二条上网负责人
置设要算机☆上网计算机严禁存储工作信息☆任开机密码,何人不得擅自使用。
非涉密电子邮件的上网计算机不得发送涉密信息。
第三十三条
,经单位领导批准发送必须填写密表26《信息、电子邮件发送表》把握不准的送保密办审批。
对发送信息内容是否涉密,后方可发送。
发送的信息内容单位必须存档。
只能使用专用涉密载体不得在上网计算机上使用,第三十四条
的非涉密载体。
落实制度的保障措施第七章
技术部和保密办定期对各单位的涉密计算机(台第三十五条《涉密计算机及载体保密检查表》中的内容式、便携式)按密表27检查。
(台第三十六条技术部和保密办定期对各单位的非涉密计算机《非涉密计算机及载体检查表》、上网计算机按密表式、便携式)28中的内容检查。
各单位计算机管理员和保密员要经常对计算机载体第三十七条及存储内容进行检查,发现未经标识的载体坚决予以没收。
技术部、保密办定期对各单位载体使用情况进行检第三十八条查,发现问题责令限期整改并进行相应处罚。
对各单位要做好本单位计算机信息系统的自查工作,第三十九条.
照密表27《涉密计算机及载体保密检查表》、密表28《非涉密计算机及载体检查表》中的内容,作好自查记录。
第八章附则
第四十条本制度适用于在本公司范围内用于业务工作的所有计算机信息系统。
包括台式、便携式计算机和各外联设备、计算机使用的载体。
第四十一条本制度由公司技术部、保密办负责解释。
第四十二条本制度自下发之日起执行。
原制度废止。
附件:
密表17《涉密计算机上机人员审批表》
密表18《涉密计算机使用登记表》
密表19《涉密计算机维修记录单》
密表20《涉密计算机设备报废申请单》
密表21《涉密计算机设备调出申请单》
密表22《新增计算机定密申请表》
密表23《涉密载体信息明细表》
密表24《非涉密载体销毁登记表》
密表25《笔记本脑出厂许可证》
密表26《信息、电子邮件发送表》
密表27《涉密计算机及载体保密检查表》
密表28《非涉密计算机及载体检查表》
密表17
涉密计算机上机人员审批表
年月日
上机人员上机时间序号申请事由计算机编号注备
、上机人员必须是涉密人员
说、此表一式两份(保密办一份,本单位自存一份。
如有人员变动及重新申报上机人员名单
单位领导:
单位:
保密办审批:
呈报人:
密表18
涉密计算机使用登记表
单位
序号姓名上机内容上机时间离开时间备注
厂内编号涉密编号
说明此表由填写单位(部门)自存,以供备查。
使用地点涉密级别
使用人保密责任人
报废原因
报废销毁处理情况说明:
处理人:
监督人:
报废单位领导意见:
密表19
涉密计算机维修记录单
维修日期:
经办人员:
机器编号:
涉密编号:
故障原因:
维修部位:
维修方式:
维修单位:
维修过程记录:
维修结果:
技术部计算机管理员:
维修人员:
日月年.
密表20
涉密计算机设备报废申请单
申请人:
申请时间:
领导签名:
技术部审批意见:
领导签名:
保密责任人应对报废的涉密计算机的销毁负责,在技术部、保密办的监督下进行销毁处理。
密表21
涉密计算机设备调出申请单
申请人:
申请时间:
厂内编号涉密编号
涉密级别使用地点
保密责任人使用人
调出去向调出原因
技术部脱密处理情况说明:
监督人:
处理人:
调出单位领导意见:
领导签名:
保密办审批意见:
领导签名:
1、保密责任人应对调出计算机的脱密负责,在保密办的监督下,由技术部计算机管理员进行脱密处理。
2、本表格内容只适用于涉密计算机的厂内调配。
密表22
新增计算机定密申请表
申请人:
申请时间:
设备来源1、新购()2、厂内调配,内部编号()
申请涉密级别使用地点保密责任人使用人单位领导意见:
领导签名:
保密办审批意见:
签(章):
¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨新增计算机定密申请表
申请人:
申请时间:
)、厂内调配,内部编号
(2)、新购(1设备来源.
申请涉密级使用地使用保密责任
单位领导意见领导签名
保密办审批意见
签(章
密表23
涉密载体信息明细表
单位:
存储内序密存储日形
说此表由载体使用单位(部门)自存,以供备查
密表24
非涉密载体销毁登记表
载体载体编号或名序
销
毁
情况记录
销
毁
销毁人
保密办
监销人单位领导
年月销毁时间销毁地点日
密表25
笔记本电脑出厂许可证
存根联第号
设备编号申请人单位载体编号使用地点出厂时间返厂时间载体形式涉密程度出厂事由:
单位领导意见:
经理部意见:
技术部检查情况:
保密办审查意见:
年月日
笔记本电脑出厂许可证
申请单位:
第号
出厂事由出厂时间设备编号载体编号申请人保密办审查意见:
归还后技术部检查意见:
发件人单位单位发件人
年月日
本许可证一式两联,存根联留经理部,使用者凭许可证出厂。
许可证联由使用者妥善保管,设备归还后由技术部、保密办签署意见,交回经理部注销。
密表26
信息、电子邮件发送表信息、电子邮件发送表
信息信息
内内容容
发送发送
地址地址
单位领导载体载体单位领导
编号签编号字签字
注备备注信息、电子邮件发送表信息、电子邮件发送表
发件人单位单位发件人信息信息
内容内容
发送送发
地址地址
单位领导载体载体单位领导
编编字签号号签字
备注注备密表27涉密计算机及载体保密检查表
标得准要求及评分标准序号检查项目分分.
计算机管理制度建立情1况
未建立本单位涉密计算机管理制度,不得分;制度未公示,5扣2分。
2是否连入互联网是否存储高于自身密级3
10连入互联网不得分。
5存储高于自身密级文件不得分。
文件上机人员审批程序是否4
5未办理上机人员审批手续,不得分。
完备是否加贴标识及标识状5
未加贴标识,5
不得分;加贴标识但表示不准确
(如人员变动
况是否设置开机口令并定6
等)或已损坏,扣未设置开机口令,扣5
3分。
5分;设置开机口令但没有定期更换,
期更换是否设置屏护口令并定7
扣4分;口令不规范,扣未设置屏保口令,扣5
4分。
5分;设置屏保口令但没有定期更换,
期更换涉密文件标明密级和保8密期限
扣4分;口令不规范,扣5有未标注,不得分;标注不规范扣
4分。
3分。
涉密文件是否按密级规9定加密存储
有未加密存储,6符合规定,扣
不得分;加密存储但密码位数或字符种类不分。
4
是否擅自维修或更换涉10密计算机部件
4私自维修或更换部件,不得分。
对使用中出现的异常情况是否做好系统安全日11
对异常情况未做安全日志,5
不得分;
做安全日志但记录不完
志
口令及各种安全日志是
备,扣3分。
12否存放在密码柜中计算机是否安装正版杀
5未存储在密码柜中,不得分。
未安装正版杀毒软件,
不得分;
安装正版杀毒软件但未定期
13毒软件并定期杀毒14涉密载体管理
5杀毒并建立杀毒日志;扣9项为涉密载体管理相关要求,总分以下30
3分。
30
分。
无涉密载
涉密载体是否登记注册⑴
体单位本项直接得分。
未建立本单位涉密载体台帐,扣4
2分;未加贴标签,扣
2
并加贴统一定制的标签涉密载
升级会员 