计算机信息系统保密管理制度.docx
《计算机信息系统保密管理制度.docx》由会员分享,可在线阅读,更多相关《计算机信息系统保密管理制度.docx(28页珍藏版)》请在冰豆网上搜索。
计算机信息系统保密管理制度
计算机信息系统保密管理制度
第一章总则
第一条为确保计算机信息系统存储、处理、传输国家秘密信息和公司内部信息的安全,根据《中华人民共和国保守国家秘密法》《计算机信息系统保密管理暂行规定》《涉及国家秘密的通信、办公自动化和计算机信息系统审批暂行办法》《涉及国家秘密的计算机信息系统保密技术要求》、及关于转发《涉及国家秘密的信息系统分级保护技术要求》标准的通知和有关保密法律、法规,结合公司实际,制定本制度。
第二条本制度适用于公司计算机信息系统存储、处理、传输国家秘密信息和公司内部信息的单位(部门)和个人。
第三条本制度所称计算机信息系统是指以计算机和计算机网络为主体,按照一定应用目标和规则构成的用于处理各种信息的人机系统。
第四条计算机信息系统的保密工作遵循“突出重点,积极防范,既保守秘密又要方便工作”的方针,实行“业务谁主管,保密谁负责”的原则,公司所属各单位的领导,对本单位(部门)主管业务范围内的计算机信息系统(以下简称系统,指“人机”系统)保密工作负有直接领导责任
第五条各单位应设专(兼)职计算机管理员,负责系统的日常管理工作,管理人员应保持相对稳定。
第六条任何单位和个人不得以任何借口拒绝上级主管部门和国家各级保密工作部门对系统进行职权范围内的保密检查、检测和监督。
第二章计算机信息系统管理人员的职责
第七条技术部负责公司计算机的安全保密管理及计算机信息系统的推广应用和资源配置,履行计算机信息系统的建设、管理与审查、审批职能,同时对与计算机相关的各种秘密载体(介质)负有管理和审查、审批责任。
技术部应经常分析计算机及计算机信息系统的安全状况,建立健全保密安全制度,不断改进防护措施,提高公司计算机及计算机信息系统保密安全水平。
配合保密办进行计算机信息系统的日常检查,协助查处计算机信息系统泄密事件。
第八条各单位(部门)计算机信息系统保密安全实行领导负责制。
各单位(部门)领导应指定一位人员担任计算机信息系统的安全管理员,管理本单位计算机信息系统的应用和保密工作。
定期检查本单位(部门)的计算机信息系统安全保密管理制度落实执行情况。
第九条各单位的专、兼职计算机信息安全员,在技术部计算机信息安全员的指导下,做好本单位的计算机信息保密管理工作。
第十条各单位应按规范要求切实用好配备的计算机资源,加强安全管理。
并对出现的各种不安全因素及时上报公司技术部协调解决。
第十一条涉密信息系统安全员(以下简称安全员)是涉密信息系统安全保密管理的重要组成部分,和系统管理员互相监督、互相制约,保障涉密信息系统的顺利运行。
其职责是:
(一)计算机安全员是涉密信息系统安全保密的监督人和执行者,负责涉密信息系统的安全保密。
(二)各单位(部门)计算机安全员应定期(一个月)更换计算机密码,做好密码更换日志,技术部定期审查,保密办协同检查。
(三)各单位(部门)计算机安全员应做好涉密计算机上机人员的身份鉴别工作,制定每月允许上机人员名单及其使用的计算机,交保密办审批备案。
并填写密表17《涉密计算机上机人员审批表》
(四)技术部计算机安全员要监控系统管理员维护系统、设置权限的全过程,要督促系统管理员做好病毒防治、漏洞修补工作。
(五)安全员要定期与系统管理员协同进行应急演练。
(六)涉密计算机出现故障需要送修时,安全员要检查是否拆除CPU、内存、硬盘等关键部件,并督促系统管理员全程监督。
(七)安全员应参与涉密载体的监销过程,在保密办缺席时要作为主要监销人。
(八)安全员应做好涉密载体和涉密计算机的台帐和标识,上报保密办备案登记,并维护标识的完好性。
(九)安全员要严格监控涉密载体在计算机信息系统中的复制和出厂,督促系统管理员和复制载体使用人员严格按照保密制度执行。
(十)安全管理员要随时检查计算机内涉密资料的存储和标识情况,并将不合格项及时反馈给系统管理员。
(十一)对各单位(部门)信息管理员定期提交的各种日志、登记表、申批表等,安全员要认真检查,并交保密办审查。
(十二)安全员和信息管理员应定期对各单位兼职计算机管理人员进行培训。
(十三)安全员和信息管理员要互相监督,对彼此的失职行为要上报保密办,不得包庇隐瞒。
第十二条涉密信息系统管理员(以下简称信息员)是涉密信息系统安全保密管理的重要组成部分,和系统安全员互相监督、互相制约,保障涉密信息系统的顺利运行。
其职责是:
(一)信息员是涉密信息系统的建设者和维护人,负责系统的顺利运行。
(二)信息员负责做好系统维护工作,确保计算机的正常使用,根据安全员提供的使用人员名单及其使用的计算机情况,做好计算机安全防范系统的维护工作。
(三)信息员应做好计算机防杀毒工作,定期对病毒库升级,并做好杀毒记录。
(四)系统管理员要经常检查应急反应措施的可靠性,做好文件备份,协同安全员共同定期演练并做好记录。
(五)涉密计算机出现故障时,信息员要全过程监控维修的全过程。
(六)磁介质涉密载体需销毁时,信息员应在保密办或安全员的监督下进行销毁,并做好登记。
(七)信息员要对涉密计算机的输入输出做好有效地控制,按照有关制度要求执行,杜绝非法的数据输入输出。
(八)信息员要严格按照保密制度的规定,做好计算机涉密信息的复制和出厂审批。
(九)信息员要督促各单位(部门)安全员按照保密制度规定存储和标识涉密资料。
(十)信息员要做好计算机系统维护日志,并定期提交安全员检查。
(十一)信息员和安全员应定期对各单位计算机管理人员进行培训。
(十二)信息员和安全员要互相监督,对彼此的失职行为要上报保密办,不得包庇隐瞒。
第三章涉密计算机安全保密管理
第十三条涉密计算机网络的建设和使用
(一)公司在规划建立涉密计算机网络前,涉及国家秘密的信息系统,要按照分级管理的原则,实行分级保护。
具体要求详见中华人民共和国保密标准BMB17-2006《涉及国家秘密的信息系统分级保护技术要求》的标准。
(二)公司在规划建立涉密计算机网络前,建设方案必须向地方市级以上的保密部门申报,经批准后方能实施。
(三)网络建设方案和具体实施必须选择具有《涉及国家秘密的计算机信息系统集成资质证书》的单位具体实施。
(四)网络安全产品的采购原则上必须采用国产设备,选择具有《军用信息安全产品认证证书》和《涉密信息系统产品检测证书》的产品。
(五)涉密计算机网络在投入使用前,必须报市级以上地方保密部门验收,验收通过后方能使用。
第十四条涉密计算机信息系统的安全保密管理
(一)使用或存放涉密载体的部位必须配备密码柜,涉密载体必须集中存放在密码柜中。
管理人员定期进行安全防范检查,并做好检查记录。
(二)涉密计算机必须安装在有安全防护设施的部位,处理存储机密级信息的涉密计算机可采用口令进行身份鉴别。
口令长度不得少于十个字符,口令更换周期不得长于一周。
处理存储秘密级信息的涉密计算机口令长度不得少于八个字符,口令更换周期不得长于一个月。
口令一般应是大小写英文字母、数字、特殊字符中两者以上的组合。
口令必须加密存储,并且保证口令存放载体的物理安全。
(三)经常操作使用涉密计算机的人员必须是经公司保密办审批允许的涉密人员。
使用涉密计算机的涉密人员必须填写密表17《涉密计算机上机人员审批表》,如有人员变动及时向保密办重新申报上机人员名单。
各单位(部门)建立完整的上机日志,填写密表18《涉密计算机使用登记表》。
附密表17《涉密计算机上机人员审批表》密表18《涉密计算机使用登记表》
(四)其他单位(部门)人员出入涉密机房,是要害部位的要严格按照公司要害部位管理制度中的出入规定执行。
(五)涉密计算机在使用前必须向地方保密部门申请进行电磁辐射检测,不符合BMB5-2000《涉密信息设备使用现场的电磁辐射发射防护要求》的部位,必须购买电磁辐射干扰器。
(六)加强涉密计算机的安全防护工作,严禁私自非法拆卸、更换计算机部件,涉密计算机在出现硬件故障时,首先报公司技术部维修,无法自行维修时,应选择有保密资质的计算机维修公司上门维修,在技术部计算机安全员、信息员的监控下进行修复并填写密表19《涉密计算机维修记录单》如需送外修理时,必须拆除CPU、内存及硬盘,由技术部管理人员送至维修站并监控维修全过程。
附密表19《涉密计算机维修记录单》
(七)涉密计算机及其关键部件如因故障无法修复需要报废时,应在技术部计算机管理员的监督下填写密表20《涉密计算机设备报废申请单》,在指定的场所物理销毁。
附密表20《涉密计算机设备报废申请单》
(八)涉密计算机需要用作其它用途,改做非涉密计算机使用时,必须填写密表21《涉密计算机设备调出申请单》。
上报保密部门批准,技术部计算机管理员进行非密化处理,经脱密处理后方能调拨。
附密表21《涉密计算机设备调出申请单》
(九)新增计算机需要定为涉密计算机时,必须填写密表22《新增计算机定密申请表》经保密办审批登记后,由技术部加贴统一标签方能投入使用。
附密表22《新增计算机定密申请表》
(十)涉密计算机应在显著位置加贴统一定制的涉密计算机标签,任何人不得撕毁破坏。
如下图标示
涉密计算机标签
厂内编号
保密编号
使用单位
负责人
涉密程度
秘密★
涉密计算机严禁上网
(十一)连接有打印机、绘图仪的涉密计算机必须有专人负责管理,除管理人员外严禁任何人进行输出操作。
对于输出的涉密载体按照《涉密载体管理制度》的第二章涉密载体的制作,第九条第二款执行。
(十二)涉密计算机严禁上互联网及其他非涉密网,应实行物理隔离。
(十三)涉密计算机严禁存储高于自身密级的文件。
第十五条涉密载体的保密管理
(一)涉密载体的密级根据存储文件的最高密级确定,严禁存储高于自身密级的文件,严禁在非涉密计算机、上网计算机上使用。
(二)涉密载体由技术部加贴统一定制的标签,并在保密办备案。
不得擅自破坏、加贴或更改标签内容,不得随意使用未贴标签的磁介质。
(三)对涉密载体存储内容列出明细清单,并填写密表23《涉密载体信息明细表》清单内容必须与存储内容相一致。
附密表23《涉密载体信息明细表》
(四)不得擅自在计算机中安装与工作无关的软件。
(五)每台计算机都必须设置屏幕保护密码,密码设置为用户口令。
用户在短时间离开计算机时必须启动屏幕保护,长时间(超过半小时)离开必须注销或关闭计算机。
第十六条数据备份管理
(一)涉密计算机中存储的涉密文件必须做好备份,数据备份采用软盘、移动硬盘、U盘或备份服务器进行,备份数量至少一份。
(二)电子文档化的涉密文件必须及时进行数据备份,机密级文档备份的时间不得超过1天,秘密级文档备份的时间不得超过7天,具体保存期限视文件而定。
(三)数据备份用载体或计算机应按照其中备份数据的最高密级定义。
第十七条计算机病毒防治管理
(一)每台计算机必须安装正版杀毒软件并定期人工杀毒,管理人员应做好杀毒记录。
(二)各单位(部门)计算机管理员每周到技术部对杀毒软件进行一次升级,技术部信息员做好杀毒软件升级记录。
第十八条应急措施
(一)涉密信息系统必须具备应急反应(断电)和应急恢复(数据备份)手段。
(二)涉密计算机必须配备UPS作为应急反应手段。
(三)涉密计算机必须配备外部存储介质作为应急恢复手段。
(四)系统管理人员应定期进行应急反应和应急恢复演练并做好记录,
第四章非涉密计算机信息系统安全管理
第十九条“非涉密计算机信息系统”是指非涉密计算机单机的人机系统和非涉密载体。
第二十条非涉密计算机严禁存储和处理涉密信息,未经审批,不得擅自接入互联网,要在显著位置加贴非涉密计算机标识。
非涉密计算机标签
厂内编号
使用单位
负责人
☆非涉密计算机严禁存
升级会员 