信息设备保密管理具体规定.docx

1、信息设备保密管理具体规定内部资料信息设备保密管理具 体 规 定重庆XXXX有限公司保密办公室 编制二一XX年十月三十日1. 涉密计算机保密管理规定022、便携式计算机保密管理规定043、涉密计算机帐户、密码保密管理规定054、涉密信息密级标识保密管理规定095、计算机病毒与恶意代码防护的保密管理规定106、非涉密计算机保密管理规定147、互联网计算机保密管理规定158、信息设备保密管理规定179、移动存储介质保密管理规定 1910、传真机使用保密管理规定 2211、复印机使用保密管理规定 2412、外部设备使用保密管理规定 2613、声像设备使用保密管理规定 2714、信息设备台帐保密管理规定

2、 2815、信息设备维修、报废保密管理规定 29涉密计算机保密管理规定 第一条 涉密计算机的密级由使用部门、信息管理部门、保密管理部门依据 该机在日常工作中的涉密等级、涉密数量、涉密幅度等因素综合确定。 第二条 涉密计算机的使用部门负责本部门涉密计算机的日常保密管理工作，并按本规定对涉密计算机进行定期的保密安全检查，作好检查记录。公司保密管理部门和信息管理部门负责涉密计算机和信息系统的指导、监督、检查和管理。 第三条 各部门兼职保密员同时兼任本部门计算机安全保密管理人员，落实涉密计算机的使用人和责任人，明确其岗位职责，负责涉密计算机的安全保密工作。未经许可，严禁无关人员操作涉密计算机。 第四条

3、 涉密计算机实行编号贴签管理，标明每台涉密计算机的密级、责任人等信息，标签的内容与台帐信息相符，不得涂改或擦除，损坏或不清晰的立即更换。 第五条 涉密计算机应与国际互联网和其它公共信息网络实行物理隔离，严禁涉密计算机与非涉密计算机、非涉密信息网络、国际互联网直接或间接连接。 第六条 涉密计算机要按公司下发的安全策略文件设置安全策略，设有开机密码、登录密码、屏保密码，秘密级密码长度为8位字符，应为英文字母大小写、数字、特殊字符的组合，并建立密码变更记录。密码变更时间不得超过30天。 第七条 涉密计算机中具有无线联网功能的硬件模块必须拆除。严禁涉密计算机配置Modem、使用无线键盘、无线鼠标及其他

4、无线功能的外部设备。 第八条 未经审批，禁止对涉密计算机和信息系统格式化或重装操作系统，禁止删除涉密计算机和信息系统的移动存储介质及外部设备等日志记录，禁止任何软硬件的安装、扩展、缩减、拆卸。 第九条 涉密计算机上必须安装和启用防病毒等安全软件，要定期查杀病毒和及时升级杀毒软件，及时安装操作系统、数据库和应用系统的补丁程序。 第十条 涉密计算机应配备获得国家保密行政管理部门批准的防电磁泄漏的视频干扰器和滤波电源插座实施保护，且红黑设备供电回路应满足隔离要求。 第十一条 涉密计算机使用的存储介质应采取绑定措施，XX注册或标识的移动存储介质严禁在涉密计算机中使用，禁止在低密级计算机上使用高密级存储

5、介质，信息交换要符合保密管理规定，使用中间转换机。 第十二条 涉密计算机中处理和存储的涉密信息应拟定、标注密级和保密期限，涉密的文件夹、文件名及正文首页均需标明密级。 第十三条 涉密计算机中的信息应实行安全备份，以防止病毒感染或硬件受损造成资料丢失。备份磁盘（含优盘、光盘、移动硬盘、磁带等）应标明密级编号登记，存放于密码文件柜中，按照秘密载体进行管理。 第十四条 涉密计算机中的信息输出应相对集中，有效控制，输入输出资料应履行审批登记手续，防止信息的非授权输入输出。 第十五条 涉密计算机的维修报废按信息设备维修报废管理规定执行，严禁维修人员擅自读取和拷贝涉密计算机内存储的涉密信息。 第十六条 各

6、部门每月组织一次对涉密计算机进行自查工作，对检查中发现的问题及时整改，同时做好相应记录 第十七条 保密管理部门和信息管理部门定期或不定期对涉密计算机进行检查，对违反本规定造成泄密的，公司将根据情节轻重进行相应处罚。构成犯罪的，依法追究刑事责任。便携式计算机保密管理规定第一条. 公司根据工作需要，配备办公用便携式计算机和专供外出携带的涉密便携式计算机，控制其使用范围，由公司计算机管理员建立台帐并进行管理维护。第二条. 便携式计算机严格按相应密级或用途进行使用和管理。非涉密便携式计算机内严禁处理、存储涉密信息；未经审批严禁将便携式计算机作为涉密计算机使用，涉密便携式计算机根据其处理信息的最高密级确

7、定其密级，禁止将未取消无线联网功能的便携式计算机作为涉密便携式计算机。第三条. 涉密便携式计算机按其密级进行安全策略设置，防止非授权使用，严禁配备无线鼠标等具有无线功能的外部设备，严禁与国际互联网和其他公共信息网直接或间接连接。第四条. 涉密便携式计算机应与配套使用的涉密移动存储介质实行绑定，禁止在低密级便携式计算机上使用高密级存储介质。第五条. 涉密便携式计算机未经审批不得存储涉密信息。确因工作需要必须存储涉密信息的，应经过公司保密管理部门审批，并将该涉密便携式计算机作为密品管理，不使用时存放在密码文件柜中。第六条. 相关人员携带便携式计算机外出前，需履行外出携带审批登记手续，经批准同意后方

8、可带出，并由公司计算机管理员负责对带出计算机存储信息情况和返回后的使用情况进行检查，保证只存有与本次外出相关的信息，归还时进行信息清除，并做好登记记录。第七条. 携带涉密便携式计算机外出或出境时，要求与涉密存储介质分开保管，按照有关保密管理规定采取保护措施，外出期间应加强对涉密设备的保管，使设备始终处于携带人的有效控制之内，防止出现设备丢失、被盗或被非授权使用的情况。第八条. 便携式计算机应安装并正确使用获公安机关批准的防病毒软件，定期进行全盘查杀病毒，及时更新病毒样本库文件和系统补丁程序。严禁通过互联网或其他公共信息网络进行在线升级更新或查杀病毒。第九条. 办公室每月组织一次对便携式计算机进

9、行自查，确保便携式计算机处于安全可控状态，对检查中发现的问题及时整改，同时做好相应记录。涉密计算机帐户、密码保密管理规定第一条 各部门涉密计算机用户及权限根据业务需要提出申请并填写用户申请、变更、注销申请表，经审批同意后由公司计算机管理员进行设置，并填写相应登记表。第二条 用户身份标识应当由计算机管理员统一生成并发放，确保在涉密计算机和信息系统生命周期内的唯一性。保证涉密计算机内安全事件的可查性。第三条 涉密计算机必须设置开机口令、屏幕保护密码和系统登录口令，口令密码要按周期更换。第四条 秘密级计算机口令密码的长度要求8位，每月更换一次；机密级计算机口令密码的长度要求10位，每周更换一次，同时

10、做好更换登记记录。第五条 屏幕保护时间不得超过10分钟。第六条 密钥和口令的存放要符合保密规定，放在密码文件柜中。第七条 个人不得自行设置计算机的CMOS密码，CMOS密码由计算机管理员统一设置。第八条 个人不得自行更改桌面安全配置。第九条 口令组成要复杂、不易猜测，由大小写英文字母、数字和特殊字符中两者以上进行组合。第十条 用户要确保口令的安全，不得告知其他人员或在网上传输口令密码，不得将口令张贴在机箱、显示器、键盘等明显的地方。涉密计算机和信息系统用户新增、变更、注销申请表部门名称：申请人申请事项申请时间联系电话原密级原业务权限使用计算机编号申请密级申请业务权限用户权限新增/变更/注销理由

11、及事项(可附页)部门领导审批意见： 签字： 年 月 日计算机管理员处理结果操作人操作日期申请人确认备注申请事项填写：新增用户、变更用户、注销用户。此表由涉密计算机和信息系统使用单位保存。涉密计算机口令更改记录部门名称：序号计算机保密编号用户标识更改人/日期检查人/日期备 注注：本表由计算机使用人保存，部门兼职保密管理员每月审查，签字确认，并于每年底进行归档。涉密计算机用户登记表部门名称：序号姓名登记事项用户标识用户权限应用计算机保密编号密级启用日期注销日期操作者备注123456789101112131415161718登记事项填写：新增用户、变更用户、注销用户。涉密信息密级标识保密管理规定第一

12、条. 公司的涉密计算机及存储介质中处理和存储的涉密信息必须按本规定标注密级标识，涉密信息密级标识由各部门负责管理。第二条. 涉密信息密级标识的标注方式要符合电子文档密级标识规定要求，从目录开始直至所有存储涉密数据的子目录及文件名均需标注，其标志为“”，“”前标密级，“”后标保密期限。第三条. 电子文档密级标识与信息主体不可分离，密级标识不得篡改，格式为：目录名称（密级）；涉密文件文件名（密级）；涉密电子文档在首页的左上角标识：密级期限，采用段、句标识方式的可以在涉密电子文档的涉密点上单独标注。第四条. 涉密信息密级标识原则及具体方法要求：1. 处于起草、设计、编辑、修改过程中和已完成的电子文档

13、、图表、图形、图像、数据，在文件名称及文件首页都要标注密级标识。2. 电子数据文件、图表、图形、图像等涉密信息在首页无法直接标注密级标识的，将密级标识标注在文件名称的后面；3. 涉及国家秘密的软件程序、数据库文件、数据文件、视频文件等，在软件运行首页、数据视图首页和影像播映首页标注密级。标注密级标识会影响系统正常运行的，可以只在文件或文件夹名称上标注；4. 涉密计算机信息系统存储、处理、传递、输出的涉密信息应在相应的磁盘、文件夹、文件名、正文进行明确的密级标识；5. 依据不同密级将涉密信息分类存储在不同的文件夹内，存储涉密信息的文件夹应有别于其它文件夹的密级标识；6. 对于加密文件中存储的涉密

14、文档、图形、图表、数据等，必须有相应的密级标识。第五条. 保密管理部门和信息管理部门不定期对涉密信息密级标识情况进行检查，对违反本规定的将予以处罚。计算机病毒与恶意代码防护的保密管理规定第一条 公司所有计算机必须安装获得国家公安机关批准的国产正版计算机病毒防治产品，并根据其涉密属性按公司下发的安全策略文件进行设置和部署，不得随意更改。计算机病毒防治产品由公司统一购置，并按公司规定建立台帐，定期对产品的有效性进行检查，过了有效期的及时更换。第二条 在计算机上采取计算机病毒与恶意代码防护措施，定时对计算机病毒与恶意代码进行查杀，及时清除隔离区和未被删除的病毒。及时更新计算机病毒与恶意代码样本库，涉

15、密信息系统不超过3天，单台涉密计算机不超过7天。第三条 计算机应当及时安装操作系统、数据库系统和应用系统的补丁程序，对于不能安装系统补丁程序的非正版操作系统，应当更换操作系统。在补丁程序发布后3个月内及时安装，保证系统的安全性。第四条 公司建立统一的病毒与恶意代码样本库和补丁程序分发安装机制，禁止擅自对计算机安装补丁程序。从互联网上下载的最新病毒与恶意代码样本库或系统补丁程序，通过互联网专用移动存储介质经非涉密中间机过滤后安装到单台计算机，经办人填写相应病毒防治软件升级记录和系统补丁安装记录。第五条 采用非涉密中间转换机刻录一次性写入光盘的方式，将互联网下载的计算机病毒与恶意代码升级样本库或系

16、统补丁程序导入到涉密计算机。不得通过国际互联网或其他公共信息网络进行在线更新，也不得使用其他移动存储介质直接从国际互联网或其他公共信息网络进行更新，避免移动存储介质在涉密和非涉密计算机和信息系统之间交叉使用造成泄密。第六条 单台计算机由公司计算机管理员负责防病毒软件的安装、设置部署和升级管理。第七条 未经审批同意，任何人不得私自卸载公司规定的杀毒软件，严禁私自安装、加装其他防病毒软件。任何单位及个人不得制作计算机病毒与恶意代码；不得故意输入计算机病毒与恶意代码危害计算机信息安全；不得有意向他人提供含有计算机病毒与恶意代码的文件、软件、媒体；不得故意传播带有计算机病毒与恶意代码的邮件；不得销售、

17、出租、附赠含有计算机病毒与恶意代码的媒体；不得有其他传播计算机病毒与恶意代码的行为。第八条 计算机用户严禁使用来历不明，未经病毒清查的设备及介质，U盘、软盘、光盘等移动存储介质接入计算机时，必须先进行计算机病毒检查，确认无计算机病毒后才可以使用，并对重要文件、数据、资料定期备份。第九条 各部门对新购进的计算机及设备，要经检查后方可安装运行。安装完毕后，立即安装杀毒软件，进行病毒代码的升级。对因病毒引起的系统瘫痪、程序和数据严重毁坏等重大事故应及时向信息管理部门报告并联系防病毒系统制造商予以解决。定期检测、清除系统中的病毒并作好相关记录。 公司保密管理部门和信息管理部门不定期对各部门的计算机病毒

18、与恶意代码安装、使用及升级情况进行检查，对违反本规定造成严重后果的个人和部门进行处罚。附表XXX公司病毒防治软件升级记录部门名称： 年度：序号升级日期软件名称版本号操作人备注附表XXX公司系统补丁安装记录 部门名称： 年度：序号安装日期补丁名称版本号操作人备注非涉密计算机保密管理规定第一条. 非涉密计算机由各使用部门负责管理，建立相应的非涉密计算机台帐，按规定进行标识管理，未纳入公司登记备案的非涉密计算机不得在公司内部使用。第二条. 严禁在非涉密计算机中存储、处理涉密信息；严禁在非涉密计算机上使用涉密移动存储介质和其它涉密信息设备。第三条. 严禁非涉密计算机、非涉密信息系统与涉密计算机、涉密信

19、息系统直接或间接相连。第四条. 各部门的非涉密计算机格式化或重操作系统要履行审批登记手续，非涉密信息的发布严格执行信息发布保密审查管理。第五条. 未经审批非涉密计算机和信息系统禁止接入国际互联网，严禁将互联网计算机接入公司财务、办公自动化、研发等内部非涉密计算机或信息系统中。第六条. 非涉密计算机应安装并正确使用防病毒软件，及时进行病毒样本库升级和全盘查杀，定期安装系统补丁程序。第七条. 各部门每月组织一次对非涉密计算机及所存储信息进行自查，对检查中发现的问题及时整改，同时做好相应记录。第八条. 保密管理部门和信息管理部门定期或不定期对非涉密计算机进行检查，对违反本规定的将予以处罚。互联网计算

20、机保密管理规定第一条. 各部门申请开通互联网业务，必须事先填写计算机接入国际互联网申请审批表，经审批同意后方可接入。未经批准严禁私自接入互联网。第二条. 禁止在涉密场所使用互联网计算机，接入互联网的计算机应与公司其他计算机和信息系统实行物理隔离，指定专人负责管理，上网应遵循“上网不涉密，涉密不上网”的原则，按公司相关管理办法执行。第三条. 互联网计算机只能用于资料的查阅、收集和收发电子邮件等，禁止私自在公司登陆互联网，禁止在连接国际互联网的计算机上处理、发布、传递国家秘密以及公司内部敏感信息。第四条. 各部门需要通过网站、主页、论坛等电子媒体向互联网和公共信息系统发布信息时，填写互联网信息发布

21、审批单，其发布信息内容必须经过拟发布信息的部门负责人审查批准，并做好信息发布的登记记录。公司门户网站的信息保密审查审批由公司办公室归口管理。第五条. 禁止将互联网计算机的信息直接拷入涉密计算机中，从国际互联网下载的软件或资料，应使用采取了绑定措施的互联网专用移动存储介质，严格采取病毒查杀、单向导入等技术防护措施，经过非涉密中间机，由专人复制到涉密计算机。第六条. 因工作需要发送和接收电子邮件、下载信息和软件，均须履行审批手续，并按照信息交换原则将信息和软件导入涉密计算机，禁止私自导入与工作无关的信息和软件。第七条. 严禁将涉密的移动存储介质接入上互联网的计算机；严禁在互联网计算机上处理日常办公

22、业务。第八条. 严禁在互联网计算机上下载木马、病毒等危害公司计算机信息系统的程序，严禁在互联网计算机上下载游戏、玩游戏、聊天或进行其他非业务活动。第九条. 互联网计算机的归口管理部门要加强上网管理，严格履行上网登记手续，上互联网的计算机的IE历史记录应保持180天，发现违规行为及时上报公司办公室和保密管理部门。第一十条. 互联网计算机应安装并正确使用防病毒软件，及时进行病毒样本库升级和全盘查杀，定期安装系统补丁程序。第一十一条. 责任部门每月组织一次对互联网计算机进行自查，对检查中发现的问题及时整改，同时做好相应记录。信息设备保密管理规定第一条 公司信息设备分为涉密信息设备和非涉密信息设备。第

23、二条 涉密信息设备应当统一采购、登记、标识、配备，部门应当明确涉密信息设备的使用管理责任人。第三条 采购用于存储、处理国家秘密的信息设备，应当优先选用国产设备;确需选用进口设备的，应当进行详细调查和论证；不得选用国家保密行政管理部门禁止的设备或部件。采购安全保密产品应当选用经过国家保密行政管理部门授权检测机构检测、符合国家保密标准要求的产品，计算机病毒防护产品应当选用公安机关批准的国产产品，密码产品应当选用国家密码管理部门批准的产品。第四条 涉密信息设备的使用和保管场所应当安全可靠。便携式涉密信息设备应当在密码文件柜中保存。第五条 涉密计算机应当采取符合国家保密标准要求的身份鉴别、访问授权、违

24、规外联监控、移动存储介质使用管控等安全保密措施。第六条 变更涉密信息设备的使用部门、密级、责任人，应当经过批准。必要时，应当采取符合国家保密标准要求的技术措施进行信息消除处理。第七条 涉密信息设备使用人员、管理人员离职、离岗时，部门应当收回其使用、管理的涉密信息设备，及时取消有关涉密信息设备的访问授权。第八条 携带涉密信息设备外出，应当经过批准和登记，并采取严格保护措施，确保携带过程和使用场所安全。第九条 涉密信息设备维修，应当在本单位内部进行，并指定专人全程监督，严禁维修人员读取或复制涉密信息。确需送外维修的，须拆除涉密信息存储部件。涉密存储介质的数据恢复应当到国家保密行政管理部门批准的数据

25、恢复资质单位进行。第十条 涉密信息设备改作非涉密信息设备使用或淘汰处理时，应当将涉密信息存储部件拆除。淘汰处理的涉密存储介质和涉密信息存储部件，应当严格履行清点、登记手续，交由保密管理部门到保密行政管理部门指定的承销单位销毁。第十一条 部门和个人不得有下列行为：（一）将涉密信息设备接入互联网及其他公共信息网络；（二）使用非涉密信息设备存储、处理国家秘密；（三）在涉密计算机与非涉密计算机之间交叉使用存储介质；（四）使用低密级信息存储设备处理高密级信息；（五）在未采取技术防护措施的情况下将互联网及其他公共信息网络上的数据复制到涉密信息设备；（六）在涉密计算机与非涉密计算机之间共用打印机、扫描仪等信

26、息设备；（七）在涉密场所使用互联网的计算机；（八）使用具有无线互联功能或配备无线键盘、无线鼠标等无线外围装置的信息设备处理国家秘密；（九）擅自卸载涉密计算机上的安全保密防护软件或设备；（十）将涉密信息设备通过普通邮政或其他无保密措施的渠道邮寄、托运。移动存储介质保密管理规定第一条. 公司办公室按照保密管理要求建立移动存储介质管理台帐并按规定进行标识管理，明确其使用人或管理人。第二条. 严格对所用移动存储介质进行生命周期管理。对涉密移动存储介质的借用、归还进行登记，保证介质在采购、携带、维修、报废全生命周期过程中的数据安全。第三条. 涉密移动存储介质按存储信息的最高密级标注密级，按相应密级的涉密载体进行管理。严禁私自存留涉密存储介质，使用完后应存放在密码文件柜中，严禁将私人或无标识的存储介质带进公司使用。第四条. 在涉密计算机上使用的存储介质应采取绑定措施，XX注册或标识的移动存储介质不得在涉密计算机中使用。授权注册根据工作需