二三级保密认定16项基本制度8信息系统信息设备和存储设备管理制度.docx

1、二三级保密认定16项基本制度8信息系统信息设备和存储设备管理制度XXX有限公司信息系统、信息设备和存储设备管理制度第一章 总 则第一条 为保障公司信息系统、信息设备和存储设备安全保密管理工作，确保国家秘密和企业信息安全，依据中华人民共和国保守国家秘密法及其实施条例、武器装备科研生产单位保密资格审查认定管理办法、武器装备科研生产单位三级保密资格标准、武器装备科研生产单位三级保密资格评分标准等有关法律、法规和标准以及公司保密管理制度制定本办法。第二条 公司信息系统、信息设备和存储设备的安全保密工作遵循“积极防范、突出重点、控制源头、严格管理、分级负责、责任到人”，以及“谁主管、谁负责，谁使用、谁负

2、责”的原则。第二章 管理部门与工作职责第三条 公司应正式发文明确公司信息化管理部门和工作职责，负责信息化规划、建设、运行维护以及安全保密管理工作，并接受公司保密办的指导、监督和检查。第四条 公司信息化管理部门是信息系统、信息设备和存储设备归口管理部门。其主要工作职责如下：(一)负责公司信息系统、信息设备和存储设备规划、立项、设计、建设、验收、运行维护全过程的管理。(二)负责组织编制信息系统、信息设备和存储设备安全保密管理制度。(三)负责组织制定由信息安全策略、管理制度、操作规程组成的公司信息安全保密管理体系文件。(四)负责对公司信息系统、信息设备和存储设备运行维护工作机构进行监督、管理和指导。

3、(五)负责定期会同保密管理部门和相关业务部门，组织对公司信息系统、信息设备和存储设备的安全保密技术检查。第五条 公司应指定具体的工作机构负责信息系统、信息设备和存储设备运行维护的运行维护管理并明确工作职责，接受公司信息化管理部门的业务监管，负责运行维护工作。第六条 公司运行维护机构是公司信息系统、信息设备和存储设备运行维护管理的责任部门。其主要职责如下：(一)负责参加公司信息系统、信息设备和存储设备规划、立项、设计、建设、验收、运行维护全过程的管理。(二)负责落实公司信息系统、信息设备和存储设备全过程各个环节的安全保密管理、日常运行维护管理和技术支持工作。(三)负责对公司信息系统、信息设备和存

4、储设备安全保密产品运行状况进行监督和审计，确保防护措施有效。(四)负责公司信息系统、信息设备和存储设备运行维护安全保密管理。每月负责编制审计报告，每年进行一次风险评估，并形成文档化的报告以及补救措施。(五)负责公司各类保密信息设备、保密储存设备及保密产品总台账、标识标签的管理工作。(六)负责指导公司信息系统、信息设备和存储设备用户的使用与技术支持工作。第七条 公司信息化管理人员是公司信息系统、信息设备和存储设备安全保密管理者。其主要职责如下：(一)负责公司信息系统、信息设备和存储设备安全保密工作的监督、检查、指导和协调工作。(二)负责配合公司信息化部门组织的信息系统、信息设备和存储设备保密技术

5、检查。(三)负责调查、处理信息系统、信息设备和存储设备保密违规违纪问题。(四)负责监督信息系统、信息设备和存储设备安全保密规章制度及技术防护措施的落实情况。第八条 公司各使用部门和用户应在公司信息化管理人员和运行维护机构的指导下开展相关工作，正确使用信息系统、信息设备和存储设备。其主要职责如下：(一)使用部门和用户应严格贯彻落实公司的各项安全保密管理制度，依据公司信息安全策略和相关管理制度要求，正确使用和操作信息系统、信息设备和存储设备。(二)负责组织开展落实部门内信息系统、信息设备和存储设备安全保密管理的相关工作，确保部门内用户正确、规范使用信息系统、信息设备和存储设备，确保部门内信息设备账

6、物相符，标识准确，配合运行维护机构做好定期核查等工作。(三)任何部门和用户发现信息系统、信息设备和存储设备存在安全保密方面的漏洞、隐患以及违反有关安全保密管理规定的行为，应及时报告。第三章 管理人员职责第九条 公司运行维护机构应配置系统管理员、安全保密管理员、安全审计员三类管理人员（以下简称“三员”）。根据公司只有涉密单机，无涉密信息系统的情况，依据标准要求公司运行维护机构配置系统管理员、安全保密管理员和安全审计员各一人，分别负责公司涉密信息设备和存储设备的安全运行、安全保密和安全审计工作。第十条 “三员”应明确工作权限和工作职责，按照“相互监督、相互制约、最小授权、相互之间不得兼任或者替代”

7、的原则，对其承担的工作职责进行严格分工。第十一条 公司信息系统、信息设备和存储设备配备“三员”必须满足公司运行维护工作的需求，确保公司信息系统、信息设备和存储设备运行正常，运行维护工作有序运转。第十二条 “三员”人员管理(一)“三员”上岗按照涉密人员管理要求，履行人员审查程序，确保政治可靠、作风正派、技能合格。(二)“三员”应按照重要涉密人员进行管理，并签订保密承诺书。(三)“三员”上岗前，应接受保密制度、保密知识和保密意识的教育培训。定期参加上级有关部门组织的“国防科技工业计算机及信息系统安全保密管理人员”相关保密培训，并取得培训证书。(四)“三员”经过相关培训，取得相关证书后，由公司综合管

8、理部正式发文任命上岗。明确“三员”的角色、权限、任务，规范约束“三员”的行为。(五)“三员”在岗期间，公司信息化管理部门应会同公司综合管理部定期对“三员”进行监督检查，依据工作职责要求确定是否履职和称职，对不符合要求的“三员”应及时进行调整。(六)“三员”离岗或调离，应严格执行涉密人员脱密期管理，交回所负责工作的各类文档、软件等；注销其在信息设备中的账号和授权；交回负责的信息设备管理Key等鉴别装置；同时应及时更换其管理的信息设备的各类口令等。(七)“三员”禁止在外商或外资企业兼职，擅自离职的应立即上报公司保密办，并采取相应措施。第十三条 “三员”工作职责如下：（一）系统管理员1.负责公司信息

9、系统、信息设备和存储设备日常运行管理、维护和技术支持工作以及安全保密管理工作，确保设备安全可控、运行正常；2.负责涉密信息设备的日常使用管理，负责涉密信息设备用户权限管理，做好访问控制和权限控制，禁止用户之间相互访问和非授权用户读取敏感信息；（二）安全保密管理员1.负责公司各类安全保密产品、设备和设施的信息安全策略规划、策略配置、策略变更，日常管理、维护与升级等工作，对产生的日志进行分析，发现问题及时处理；2.负责实施落实公司涉密信息设备和存储设备安全保密策略的具体工作，并根据环境、系统和威胁变化情况及时调整、补充信息安全策略；3.定期对公司信息系统、信息设备和存储设备运行情况以及安全保密产品

10、的日志进行分析，每年进行一次安全风险评估，形成评估报告，并对存在的风险和漏洞制定消除和补救措施。负责定期编写运行报告，参与编写审计报告；4.定期向主管领导报送安全保密管理情况和各种安全事件情况。负责参加公司安全保密管理制度的制定、补充和完善。（三）安全审计员1.负责定期检查系统日志和安全保密产品日志，对安全保密管理员和用户的操作行为进行审计、跟踪、分析和监督检查，及时发现违规行为；2.负责审核和监督安全保密管理员对信息安全策略执行和操作情况。负责对安全审计中发现的安全事件及时处理，并对处理结果进行记录；3.负责每季度主持编写安全审计报告，定期向主管领导报送审计工作情况。参与风险评估报告的编写；

11、4.负责管理公司信息系统、信息设备和存储设备总台账，定期检查台账信息，确保台账分类准确、要素齐全、账物相符。第四章 定义与分类第十四条 定义本制度所指信息系统、信息设备和存储设备包含各类应用系统、服务器、计算机、网络设备、外部设施设备、存储设备、办公自动化设备、声像设备和安全保密产品。公司涉密信息系统、涉密信息设备和涉密存储设备必须实行全生命周期管理，包括确定密级、申领（领用）、使用、变更、维修、停用、报废、销毁等环节。全生命周期的各种状态和环节均应有审批和记录，何种管理和控制过程应有据可查。第十五条 信息系统(一)公司内部网：指用于全公司各部门实现网络化办公，生产经营、工业控制、信息应用等功

12、能的内部级信息系统。与涉密计算机和互联网物理隔离，独立运行，按等级保护要求进行管理和防护。(二)公司互联网：指用于连接国际互联网的公司非涉密网络，按非涉密信息系统管理，按等级保护要求进行管理和防护。(三)应用系统：是指公司内部网和互联网运行的服务于公司经营和生产管理的系统，为非涉密应用系统。第十六条 信息设备信息设备是指具有采集、处理、存储、传输功能的设备和部件。主要包括以下设备：(一)服务器、计算机（各类计算机、服务器、工作站等）；(二)网络设备（交换机、路由器、网关等）；(三)外部设施设备（打印机、扫描仪、移动光驱、读卡器等）；(四)办公自动化设备（复印机、传真机、多功能一体机、碎纸机、晒

13、图机、绘图仪等）；(五)声像设备（照相机、摄像机、录音机、投影仪、扩音设备、存储卡、记忆棒、录音笔、录像带等）。第十七条 存储设备存储设备是指具有存储数据的各类载体、介质。主要包括计算机的硬盘和固态存储器等、移动硬盘、优盘、各类存储卡、光盘等。第十八条 安全保密产品安全保密产品是指用于用于安全保密技术防护的软硬件产品。主要包括计算机病毒防护产品、身份鉴别、监控审计、单向导入、访问控制、电磁泄露防护等产品等。第五章 台帐与标识管理第十九条 公司对信息设备和存储设备实行总台帐管理和标识标签管理，总台账以纸质和电子文档形式存在。记入台帐的设备应当加贴标识标签，无标识设备不得在公司办公区域使用。第二十

14、条 公司运行维护机构负责建立公司总台帐，应指定人员负责管理总台帐，并对所管理的台帐及时进行核对与更新。第二十一条 总台帐应当包括以下类别：（一）涉密/非涉密信息设备总台帐（见附件1），包括各类计算机、网络设备及外部设施设备、声像设备等。（二）涉密/非涉密存储设备总台帐（见附件2），包括计算机的硬盘和固态存储器等、移动硬盘、优盘、各类存储卡、光盘等。（三）办公自动化设备总台账（见附件3），包括复印机、传真机、多功能一体机、碎纸机、晒图机、绘图仪等。（四）安全保密产品总台帐（见附件4），包括计算机病毒防护产品、身份鉴别、监控审计、单向导入、访问控制、电磁泄露防护等产品等。（五）各类总台账应分为涉密

15、和非涉密两类。第二十二条 台帐设置应当包括以下要素：（一）信息设备台帐应当包括：保密编号、设备名称、型号规格、密级、用途、所属部门、放置地点、责任人、操作系统安装时间、硬盘序列号、设备序列号、IP地址、启用时间和使用情况。（二）存储设备台帐应当包括：保密编号、设备名称、型号规格、密级、用途、所属部门、放置地点、责任人、序列号、启用时间、使用情况。（三）办公自动化设备台账应当包括：保密编号、设备名称、型号规格、密级、用途、所属部门、放置地点、责任人、序列号、启用时间、使用情况。（四）安全保密产品台帐应当包括：保密编号、产品名称、型号规格、密级、生产厂家、检测证书名称、证书编号、责任人购置时间、启

16、用时间、使用情况。第二十三条 各类信息设备和存储设备的标识由公司运行维护机构统一设计制作、统一发放，确保标识标签信息与台账登记信息一致和唯一性。标识要素应当至少包含以下内容：（一）保密编号。（二）密级或属性。（三）用途。（四）责任部门和责任人。第二十四条 信息设备和存储设备标识标签应当粘贴在设备的显著位置上（如主机箱等），不可粘贴在显示器上。非涉密信息设备同时粘贴保密警示提醒（非涉密设备，禁止存储和处理涉密信息）标签。第二十五条 标识出现污损、脱落的，管理部门应当及时进行更换。任何人不得故意撕揭、涂改、污染设备标识。第二十六条 电子信息密级标志依据公司国家秘密载体管理制度中相关要求进行标识。（

17、一）处于编写、修改过程中和已完成的电子文档、图表、图像等，应在首页标注密级标志。（二）首页无法标注的可在文件名上进行标注。（三）首页和文件名均不能标注的电子文档，应标注相应密级的涉密文件夹进行存放。（四）电子文档标注的密级应依据公司国家秘密事项范围细目中相关要求进行标注。第六章 信息系统管理第二十七条 公司建设涉密信息系统，应当严格执行国家涉密信息系统分级保护标准，并遵守相关保密法律法规和规章的相关规定。第二十八条 公司内部局域网和互联网的建设和管理，应当按照信息安全技术网络安全等级保护基本要求进行，确定相应的保护等级，并采取相应的保护措施。内部局域网和互联网上不得存储、处理涉密信息。第二十九

18、条 部门建立用于处理内部事项并独立成网的内部网络时，应当书面报公司技术研发部审核备案。报备时应当同时报送具体方案。第三十条 公司内部登录国际互联网实行实名制管理，并配备安全保密技术措施进行防护。发布信息应当遵守公司宣传报道保密管理办法的相关规定。第七章 涉密信息设备管理第三十一条 用于处理涉密事项的计算机等信息设备，应严格按照涉密信息设备全生命周期管理的八个环节（定密、领用、使用、变更、维修、停用、报废、销毁）进行管理，依据相应流程办理审批程序，配置信息安全策略。第三十二条 涉密计算机投入使用应当首先确定信息设备的密级，办理领用手续，填写信息设备、存储设备定密/领用/变更申请审批表（见附件5）

19、后，按规定流程办理审批后进行。发生变更时同样办理。第三十三条 涉密计算机安装操作系统、应用软件等应当填写操作系统/软件安装申请审批表（见附件6），按规定流程办理审批后进行。未经批准，不得对涉密计算机进行系统格式化或者重装操作系统。第三十四条 公司涉密计算机应配置身份鉴别系统，实现涉密计算机的双因子身份鉴别机制，领用、变更、更换USBKey应办理USBKey领用/变更申请审批表（见附件7）。涉密计算机配置USBKey应参照涉密载体进行管理，禁止带出公司可控制区域。每次使用USBKey应进行登记USBKey使用登记表（见附件8）。第三十五条 涉密计算机应建立使用登记管理制度，每次使用涉密计算机应进

20、行使用登记涉密工作机/中间机/输出机使用登记表（见附件9），详细记录使用涉密计算机的保密编号、密级、工作内容、使用日期时间、结束日期时间、使用人等信息。使用时间要求记录到时和分。第三十六条 公司运行维护机构应当组织编制公司信息安全策略，并根据安全保密要求定期进行更新和完善。信息安全策略应当进行内部评审并报公司保密工作领导小组审查批准。任何部门、个人不得擅自修改、卸载涉密计算机中配置的安全保密技术措施。第三十七条 涉密计算机安全保密管理员应当定期对涉密计算机开展安全保密审计，并编制书面审计报告报保密办公室审核归档。审计周期为：机密级1个月，秘密级3个月。第三十八条 安全保密管理员应当会同保密办公

21、室对涉密计算机维护记录及安全保密审计情况进行分析，做出评估。对存在的风险漏洞应当及时采取补救措施，并更新信息安全策略。公司信息化管理员应当会同公司保密办公室每年至少对涉密计算机进行一次风险评估，并形成风险评估报告。第三十九条 涉密计算机所使用的安全保密产品，应当选用已获得国家保密行政主管部门授权的测评机构检测证书的产品。第四十条 涉密计算机应当与国际互联网和其他非涉信息系统严格实行物理隔离，任何人不得将涉密计算机接入国际互联网和其他非涉密信息系统。第四十一条 涉密计算机应当使用红黑电源隔离插座。红插座中不得接入黑设备。第四十二条 涉密计算机不得使用具有无线发射、接收功能的外部设备。任何人不得将

22、手机、相机等违规设备与涉密计算机进行任何方式的连接。第四十三条 涉密计算机的技术防护，应当严格按照涉密计算机装机策略配置表和信息安全策略等技术防护要求进行管理。第四十四条 涉密计算机工作日志应当由安全保密管理员定期进行备份，并在审批后对已备份的日志信息做出清理。未经批准，任何人不得擅自删除涉密计算机的日志记录。第四十五条 存储、处理涉密信息应当使用经过审查确定的涉密计算机。不得使用非涉密计算机处理涉密信息，不得在低密级涉密计算机中存储、处理高密级的涉密信息。第四十六条 涉密计算机与其他计算机之间进行信息交换时，应当经审批后，在专门用于信息交换的中间机上按照规定流程进行操作。第四十七条 中间机应

23、当按照涉密与非涉密单独设置，并指定人员管理。涉密中间机用于将外部涉密存储设备中存储的涉密信息导入到公司涉密计算机中；或者将公司涉密计算机中信息导出到外部存储设备中。非涉密中间机用于将外部存储设备中存储的非涉密信息导入到公司涉密计算机中。中间机不得存储、处理涉密信息，不得与任何计算机、信息系统进行互联。第四十八条 公司保密室严禁携带具有无线发射功能、照相功能的产品带入（包括手机、照相机等），应在保密室门外配置手机存放柜。第四十九条 任何部门、任何人不得在涉密信息设备安全距离以内安装使用无线路由器、无线网卡和无线WIFI等具有无线联网功能的网络设备。第八章 涉密存储设备管理第五十条 公司内部使用的

24、存储设备应当是经过登记注册并批准的设备。未经批准，不得在公司办公区域内使用非注册设备。第五十一条 涉密存储设备应当按照内存涉密信息的涉密等级确定设备的涉密等级并做出标识。涉密存储设备应当指定人员集中保管，并对使用情况进行登记。第五十二条 信息交换使用的涉密存储设备，应当与信息密级相匹配或者高于信息密级。不得使用非涉密存储设备存储涉密信息，不得在低密级存储设备上存储高密级信息。第五十三条 携带涉密存储设备外出应当办理审批。与便携式计算机同时携带时，应当分开保管，并始终处于有效控制状态。第五十四条 涉密计算机上使用的存储设备应当与涉密计算机采取绑定措施。不得在涉密计算机与非涉密计算机之间交叉使用存

25、储设备。第五十五条 使用人每次使用涉密移动存储介质（专用红盘）应登记涉密专用红盘使用审批登记表（见附件10），经保密办审批后方可使用，并详细记录每次的使用情况。第九章 便携式计算机管理第五十六条 涉密便携式计算机在启用前应当拆除具有无线联网功能的硬件模块。无法拆除的，不得用做涉密计算机。第五十七条 涉密便携式计算机存储的涉密信息应当与正在从事的工作相关，不得在便携式计算机上长期存储涉密信息。第五十八条 涉密便携式计算机应当指定人员集中保管。因工作原因需要携带涉密便携式计算机时，应当办理审批手续。借出或者归还时，保管人员应当进行事前事后保密检查，检查情况应当做出记录。第五十九条 经批准携带外出的

26、便携式计算机应当始终处于携带人的有效控制之中。外出期间，不得使用便携式计算机在不具有保密条件的场所处理涉密信息。发生涉密设备被盗、遣失应当立即报警，并报告保密办公室。第六十条 基本管理要求(一)基本管理要求适用于公司内的涉密便携式计算机。(二)公司配备的涉密便携式计算机与台式涉密计算机管理要求一致，在装机、配置本地安全策略和安装安全保密产品客户端等严格执行公司信息安全策略要求。(三)严禁涉密便携式计算机和内部便携式计算机上互联网。(四)外出携带的涉密便携式计算机实行集中管理。(五)外出携带的便携式计算机在出公司前和返回后，集中管理员必须进行详细的检查，并经双方（使用人和管理人）确认签字。第六十

27、一条 使用管理要求(一)依据“谁使用、谁负责”的原则，使用人在外出使用期间应妥善保管设备和存储介质，采取必要的安全防范措施，使涉密便携机和涉密专用红盘始终处于携带人的有效控制范围内，防止出现丢失、被窃或非授权使用的情况。(二)使用人借用外出携带便携式计算机借出前和归还后要填写涉密便携式计算机使用登记表（见附件11）。(三)外出使用便携机使用人应填写便携式计算机及移动存储介质外出携带申请审批表（见附件12），并明确外出携带保密管理措施，专人携带、便携机与涉密存储介质分开保管。(四)外出携带期间，使用人进行文件打印或刻录，应详细填写携带外出期间文件和操作行为记录表（见附件8-12）。(五)使用涉密

28、便携机应当在符合要求的场所内进行。(六)携带涉密便携式计算机不得参加涉密外活动，不得探亲、访友，以及参加参观、购物和旅游等活动。(七)涉密便携式计算机不允许转借或者横传，不允许借用人私自保管和长期留用。(八)遇到节假日期间必须及时归还。(九)发生涉密便携式计算机或涉密移动存储介质丢失、被抢、被盗或其他异常情况，造成泄密或可能造成泄密的，应及时向保密办报告。第十章 维修与报废管理第六十二条 涉密信息设备和存储设备发生故障需要维修或者变更配置时，应当填写信息设备、存储设备维修申请审批表（见附件13），按照规定流程办理审批。第六十三条 现场维修应当由公司内部运维人员负责。由外部部门派人维修时，公司技

29、术研发部应当派人全程旁站陪同。送外维修时应当选择具有相应保密资质的单位，并签订信息设备、存储设备维修保密协议书（见附件14）。第六十四条 涉密信息设备、存储设备报废处理时，应填写信息设备、存储设备停用/报废/销毁申请审批表（见附件15），按规定流程办理审批。报废涉密设备时，应当拆除存储、处理过涉密信息的硬件或者固件。拆除的硬件或者固件应当由保密办公室送交天津市涉密载体销毁中心销毁。第六十五条 退出使用的涉密信息设备和存储设备改作他用的，应当办理审批手续，并采取技术措施做出安全技术处理。凡未经安全技术处理的涉密信息设备和存储设备，不得赠送、出售、丢弃或者改作其他用途。第六十六条 销毁涉密信息设备

30、和存储设备应当依照公司相关规定办理审批、清点、登记手续，并送交天津市涉密载体销毁中心销毁。第十一章 安全保密产品管理第六十七条 公司内部使用的安全保密产品必须使用通过国家保密行政主管认可的安全安全保密产品，并确保产品证书在有效期内，使用的产品和测评报告中的产品应保持一致。其中“涉密计算机及移动存储介质安全保密产品”（三合一）和“检查装备”应当是名录产品，计算机病毒防治产品应取得公安部门的销售许可证。第六十八条 公司内的安全保密产品管理必须制定专人负责管理，建立安全保密产品总台账，要求记录信息完整准确。第六十九条 公司运行维护机构应制定安全保密产品的操作策略和管理制度，并严格执行。第七十条 安全

31、保密管理员负责安全安全保密产品的策略配置和策略变更，进行策略变更应履行审批流程，填写安全保密产品策略配置、策略变更申请审批表（见附件16），并做好配置和变更工作记录。第七十一条 安全保密管理员应当及时安装涉密计算机的操作系统、数据库系统和应用系统的补丁程序（补丁程序发布后3个月内）；每15天更新涉密计算机病毒与恶意代码防护产品病毒定义和特征库，每月至少进行一次全系统或全盘查杀，及时清除病毒隔离区。补丁程序和病毒定义更新工作要做好维护记录，每次操作应详细填写计算机病毒定义/系统补丁升级操作记录表（见附件17）第七十二条 安全保密管理员应定期对安全保密产品日志进行分析，及时发现和处理各类安全保密产品事件。对发现的问题或存在疑问的情况，要及时分析原因，彻底解决。对出现的违规行为及时制止，并立即上报主管领导，如发现重大安全隐患或是泄密事件，应立即采取措施，同时报告主管领导和保密办。第七十三条 安全保密管理员应做好安全保密产品的日常运行管理和维护，确保安全产品始终处于完好可用状态。安全保密产品的维修、报废和销毁按相关规定执行。第十二章 身份鉴别管理第七十四条 公司涉密计算机必须设置开机BIOS口令，其管理员口令由安全保密管理员负责（计算机责任人），用户只能使用非管理员BIOS口令。第七十五条 公司涉密计算机系统用户登录的用户标识符，由公司安全保密管理员统一配置