1、计算机信息系统保密管理制度计算机信息系统保密管理制度 第一章 总则 第一条 为确保计算机信息系统存储、处理、传输国家秘密信息和公司内部信息的安全,根据中华人民共和国保守国家秘密法计算机信息系统保密管理暂行规定涉及国家秘密的通信、办公自动化和计算机信息系统审批暂行办法涉及国家秘密的计算机信息系统保密技术要求、及关于转发涉及国家秘密的信息系统分级保护技术要求标准的通知和有关保密法律、法规,结合公司实际,制定本制度。 第二条 本制度适用于公司计算机信息系统存储、处理、传输国家秘密信息和公司内部信息的单位(部门)和个人。 第三条 本制度所称计算机信息系统是指以计算机和计算机网络为主体,按照一定应用目标
2、和规则构成的用于处理各种信息的人机系统。 第四条 计算机信息系统的保密工作遵循“突出重点,积极防范,既保守秘密又要方便工作”的方针,实行“业务谁主管,保密谁负责”的原则,公司所属各单位的领导,对本单位(部门)主管业务范围内的计算机信息系统(以下简称系统,指“人机”系统)保密工作负有直接领导责任 第五条 各单位应设专(兼)职计算机管理员,负责系统的日常管理工作,管理人员应保持相对稳定。 第六条 任何单位和个人不得以任何借口拒绝上级主管部门和国家各级保密工作部门对系统进行职权范围内的保密检查、检测和监督。 第二章 计算机信息系统管理人员的职责 第七条 技术部负责公司计算机的安全保密管理及计算机信息
3、系统的推广应用和资源配置,履行计算机信息系统的建设、管理与审查、审批职能,同时对与计算机相关的各种秘密载体(介质)负有管理和审查、审批责任。技术部应经常分析计算机及计算机信息系统的安全状况,建立健全保密安全制度,不断改进防护措施,提高公司计算机及计算机信息系统保密安全水平。配合保密办进行计算机信息系统的日常检查,协助查处计算机信息系统泄密事件。 第八条 各单位(部门)计算机信息系统保密安全实行领导负责制。各单位(部门)领导应指定一位人员担任计算机信息系统的安全管理员,管理本单位计算机信息系统的应用和保密工作。定期检查本单位(部门)的计算机信息系统安全保密管理制度落实执行情况。 第九条 各单位的
4、专、兼职计算机信息安全员,在技术部计算机信息安全员的指导下,做好本单位的计算机信息保密管理工作。 第十条 各单位应按规范要求切实用好配备的计算机资源,加强安全管理。并对出现的各种不安全因素及时上报公司技术部协调解决。 第十一条 涉密信息系统安全员(以下简称安全员)是涉密信息系统安全保密管理的重要组成部分,和系统管理员互相监督、互相制约,保障涉密信息系统的顺利运行。其职责是: (一) 计算机安全员是涉密信息系统安全保密的监督人和执行者,负责涉密信息系统的安全保密。 (二) 各单位(部门)计算机安全员应定期(一个月)更换计算机密码,做好密码更换日志,技术部定期审查,保密办协同检查。 (三) 各单位
5、(部门)计算机安全员应做好涉密计算机上机人员的身份鉴别工作, 制定每月允许上机人员名单及其使用的计算机,交保密办审批备案。并填写密表17涉密计算机上机人员审批表 (四) 技术部计算机安全员要监控系统管理员维护系统、设置权限的全过程,要督促系统管理员做好病毒防治、漏洞修补工作。 (五) 安全员要定期与系统管理员协同进行应急演练。 (六) 涉密计算机出现故障需要送修时,安全员要检查是否拆除CPU、内存、硬盘等关键部件,并督促系统管理员全程监督。 (七) 安全员应参与涉密载体的监销过程,在保密办缺席时要作为主要监销人。 (八) 安全员应做好涉密载体和涉密计算机的台帐和标识,上报保密办备案登记,并维护
6、标识的完好性。 (九) 安全员要严格监控涉密载体在计算机信息系统中的复制和出厂,督促系统管理员和复制载体使用人员严格按照保密制度执行。 (十) 安全管理员要随时检查计算机内涉密资料的存储和标识情况,并将不合格项及时反馈给系统管理员。 (十一) 对各单位(部门)信息管理员定期提交的各种日志、登记表、申批表等,安全员要认真检查,并交保密办审查。 (十二) 安全员和信息管理员应定期对各单位兼职计算机管理人员进行培训。 (十三) 安全员和信息管理员要互相监督,对彼此的失职行为要上报保密办,不得包庇隐瞒。 第十二条 涉密信息系统管理员(以下简称信息员)是涉密信息系统安全保密管理的重要组成部分,和系统安全
7、员互相监督、互相制约,保障涉密信息系统的顺利运行。其职责是: (一) 信息员是涉密信息系统的建设者和维护人,负责系统的顺利运行。 (二) 信息员负责做好系统维护工作,确保计算机的正常使用,根据安全员提供的使用人员名单及其使用的计算机情况,做好计算机安全防范系统的维护工作。 (三) 信息员应做好计算机防杀毒工作,定期对病毒库升级,并做好杀毒记录。 (四) 系统管理员要经常检查应急反应措施的可靠性,做好文件备份,协同安全员共同定期演练并做好记录。 (五) 涉密计算机出现故障时,信息员要全过程监控维修的全过程。 (六) 磁介质涉密载体需销毁时,信息员应在保密办或安全员的监督下进行销毁,并做好登记。
8、(七) 信息员要对涉密计算机的输入输出做好有效地控制,按照有关制度要求执行,杜绝非法的数据输入输出。 (八) 信息员要严格按照保密制度的规定,做好计算机涉密信息的复制和出厂审批。 (九) 信息员要督促各单位(部门)安全员按照保密制度规定存储和标识涉密资料。 (十) 信息员要做好计算机系统维护日志,并定期提交安全员检查。 (十一) 信息员和安全员应定期对各单位计算机管理人员进行培训。 (十二) 信息员和安全员要互相监督,对彼此的失职行为要上报保密办,不得包庇隐瞒。 第三章 涉密计算机安全保密管理 第十三条 涉密计算机网络的建设和使用 (一) 公司在规划建立涉密计算机网络前,涉及国家秘密的信息系统
9、,要按照分级管理的原则,实行分级保护。具体要求详见中华人民共和国保密标准BMB17-2006涉及国家秘密的信息系统分级保护技术要求的标准。 (二) 公司在规划建立涉密计算机网络前,建设方案必须向地方市级以上的保密部门申报,经批准后方能实施。 (三) 网络建设方案和具体实施必须选择具有涉及国家秘密的计算机信息系统集成资质证书的单位具体实施。 (四) 网络安全产品的采购原则上必须采用国产设备,选择具有军用信息安全产品认证证书和涉密信息系统产品检测证书的产品。 (五) 涉密计算机网络在投入使用前,必须报市级以上地方保密部门验收,验收通过后方能使用。 第十四条 涉密计算机信息系统的安全保密管理 (一)
10、 使用或存放涉密载体的部位必须配备密码柜,涉密载体必须集中存放在密码柜中。管理人员定期进行安全防范检查,并做好检查记录。 (二) 涉密计算机必须安装在有安全防护设施的部位,处理存储机密级信息的涉密计算机可采用口令进行身份鉴别。口令长度不得少于十个字符,口令更换周期不得长于一周。处理存储秘密级信息的涉密计算机口令长度不得少于八个字符,口令更换周期不得长于一个月。口令一般应是大小写英文字母、数字、特殊字符中两者以上的组合。口令必须加密存储,并且保证口令存放载体的物理安全。 (三) 经常操作使用涉密计算机的人员必须是经公司保密办审批允许的涉密人员。使用涉密计算机的涉密人员必须填写密表17涉密计算机上
11、机人员审批表,如有人员变动及时向保密办重新申报上机人员名单。各单位(部门)建立完整的上机日志,填写密表18涉密计算机使用登记表。附密表17 涉密计算机上机人员审批表 密表18 涉密计算机使用登记表 (四) 其他单位(部门)人员出入涉密机房,是要害部位的要严格按照公司要害部位管理制度中的出入规定执行。 (五) 涉密计算机在使用前必须向地方保密部门申请进行电磁辐射检测,不符合BMB5-2000涉密信息设备使用现场的电磁辐射发射防护要求的部位,必须购买电磁辐射干扰器。 (六) 加强涉密计算机的安全防护工作,严禁私自非法拆卸、更换计算机部件,涉密计算机在出现硬件故障时,首先报公司技术部维修,无法自行维
12、修时,应选择有保密资质的计算机维修公司上门维修,在技术部计算机安全员、信息员的监控下进行修复并填写密表19涉密计算机维修记录单如需送外修理时,必须拆除CPU、内存及硬盘,由技术部管理人员送至维修站并监控维修全过程。附密表19涉密计算机维修记录单 (七) 涉密计算机及其关键部件如因故障无法修复需要报废时,应在技术部计算机管理员的监督下填写密表20涉密计算机设备报废申请单,在指定的场所物理销毁。附密表20涉密计算机设备报废申请单 (八) 涉密计算机需要用作其它用途,改做非涉密计算机使用时,必须填写密表21涉密计算机设备调出申请单。上报保密部门批准,技术部计算机管理员进行非密化处理,经脱密处理后方能
13、调拨。附密表21涉密计算机设备调出申请单 (九) 新增计算机需要定为涉密计算机时,必须填写密表22新增计算机定密申请表经保密办审批登记后,由技术部加贴统一标签方能投入使用。附密表22 新增计算机定密申请表 (十) 涉密计算机应在显着位置加贴统一定制的涉密计算机标签,任何人不得撕毁破坏。 如下图标示 涉密计算机标签 (十一) 连接有打印机、绘图仪的涉密计算机必须有专人负责管理,除管理人员外严禁任何人进行输出操作。对于输出的涉密载体按照涉密载体管理制度的第二章涉密载体的制作,第九条第二款执行。 (十二) 涉密计算机严禁上互联网及其他非涉密网,应实行物理隔离。 厂内编号 保密编号 使用单位 负责人
14、涉密程度 秘密 涉密计算机严禁上网 (十三) 涉密计算机严禁存储高于自身密级的文件。 第十五条 涉密载体的保密管理 (一) 涉密载体的密级根据存储文件的最高密级确定,严禁存储高于自身密级的文件,严禁在非涉密计算机、上网计算机上使用。 (二) 涉密载体由技术部加贴统一定制的标签,并在保密办备案。不得擅自破坏、加贴或更改标签内容,不得随意使用未贴标签的磁介质。 (三) 对涉密载体存储内容列出明细清单,并填写密表23涉密载体信息明细表清单内容必须与存储内容相一致。附密表23 涉密载体信息明细表 (四) 不得擅自在计算机中安装与工作无关的软件。 (五) 每台计算机都必须设置屏幕保护密码,密码设置为用户
15、口令。用户在短时间离开计算机时必须启动屏幕保护,长时间(超过半小时)离开必须注销或关闭计算机。 第十六条 数据备份管理 (一) 涉密计算机中存储的涉密文件必须做好备份,数据备份采用软盘、移动硬盘、U盘或备份服务器进行,备份数量至少一份。 (二) 电子文档化的涉密文件必须及时进行数据备份,机密级文档备份的时间不得超过1天,秘密级文档备份的时间不得超过7天,具体保存期限视文件而定。 (三) 数据备份用载体或计算机应按照其中备份数据的最高密级定义。 第十七条 计算机病毒防治管理 (一) 每台计算机必须安装正版杀毒软件并定期人工杀毒,管理人员应做好杀毒记录。 (二) 各单位(部门)计算机管理员每周到技
16、术部对杀毒软件进行一次升级,技术部信息员做好杀毒软件升级记录。 第十八条 应急措施 (一) 涉密信息系统必须具备应急反应(断电)和应急恢复(数据备份)手段。 (二) 涉密计算机必须配备UPS作为应急反应手段。 (三) 涉密计算机必须配备外部存储介质作为应急恢复手段。 (四) 系统管理人员应定期进行应急反应和应急恢复演练并做好记录, 第四章 非涉密计算机信息系统安全管理 第十九条 “非涉密计算机信息系统”是指非涉密计算机单机的人机系统和非涉密载体。 第二十条 非涉密计算机严禁存储和处理涉密信息,未经审批,不得擅自接入互联网,要在显着位置加贴非涉密计算机标识。 非涉密计算机标签 第二十一条 非涉密
17、计算机必须明确使用人员,非使用人员不得擅自使用计算机。 第二十二条 非涉密计算机必须安装杀毒软件并定期升级。 第二十三条 用于产品测试的非涉密计算机必须专机专用,不得用于其它用途。 第二十四条 存储敏感(商业秘密)信息的非涉密计算机要严格控制使用,必须设置开机口令和屏保口令。对此类计算机可参照本制度第三章规定进行管理。 第二十五条 非涉密载体管理 (一) 所有计算机配件由主管领导审批,审批后,由技术部统一编号,采运部统一采购,再由技术部登记发放,任何单位不得擅自购买。发现擅自购买者,技术部有权回收,统一处理。 (二) 各单位计算机管理员对载体领用情况应建帐。所有计算机厂内编号 使用单位 负责人
18、 非涉密计算机严禁存储涉密信息 使用场所严禁使用未经登记的载体进行数据复制、备份。 (三) 载体正常损坏后,使用者不得擅自处理,应由单位计算机管理员收回统一上交技术部集中销毁。销毁过程应由专人监销,并填写密表24非涉密载体销毁登记表 (四) 非涉密载体严禁存储涉密信息,严禁公盘私用。 第五章 笔记本电脑安全保密管理 第二十六条 涉密笔记本电脑管理 (一) 涉密笔记本电脑不得存储涉密信息,处理涉密信息时必须使用涉密载体进行存储。 (二) 涉密笔记本电脑出厂时,必须到经理部填写密表25笔记本电脑出厂许可证,随笔记本出厂的涉密载体必须填写密表12国家秘密载体外出携带登记表。严禁独自一人携带涉密笔记本
19、电脑和涉密载体外出,至少要有两人分别携带。回厂后必须办理注销手续,确保涉密信息的安全。 (三) 涉密笔记本电脑、随机配备的涉密载体严禁用于上网,必须由专人管理并存储在密码柜中。 第二十七条 非涉密笔记本电脑管理 (一) 非涉密笔记本电脑不得存储和处理涉密信息。 (二) 因工作需要携带非涉密笔记本电脑外出时,使用人须填写密表25笔记本电脑出厂许可证,经技术部检查确认未存有涉密信息、保密办审查后,方可携带出厂。回厂后必须到经理部办理注销手续。 第六章 上网计算机安全保密管理制度 第二十八条 申请上网单位,必须提交书面申请,主管领导签字后报经理部审查批准。报公司技术部、保密办备案,由设备工程部具体负
20、责安装。 第二十九条 接入互联网的计算机必须与其它计算机信息系统物理隔离。 第三十条 上网计算机不得存储或处理任何涉密信息,不得用于办公,必须专机专用。 第三十一条 上网计算机应在显着位置加贴有“上网计算机严禁存储工作信息!”字样的标签予以警告。 上网计算机标签 第三十二条 上网计算机要设置开机密码,任何人不得擅自使用。 第三十三条 上网计算机不得发送涉密信息。非涉密电子邮件的发送必须填写密表26信息、电子邮件发送表,经单位领导批准后方可发送。对发送信息内容是否涉密,把握不准的送保密办审批。发送的信息内容单位必须存档。 第三十四条 涉密载体不得在上网计算机上使用,只能使用专用的非涉密载体。 第
21、七章 落实制度的保障措施 第三十五条 技术部和保密办定期对各单位的涉密计算机(台式、便携式)按密表27涉密计算机及载体保密检查表中的内容检查。 第三十六条 技术部和保密办定期对各单位的非涉密计算机(台式、便携式)、上网计算机按密表28非涉密计算机及载体检查表中的内容检查。 第三十七条 各单位计算机管理员和保密员要经常对计算机载体及存储内容进行检查,发现未经标识的载体坚决予以没收。 第三十八条 技术部、保密办定期对各单位载体使用情况进行检查,发现问题责令限期整改并进行相应处罚。 第三十九条 各单位要做好本单位计算机信息系统的自查工作,对厂内编号 使用单位 负责人 上网计算机严禁存储工作信息 照密
22、表27涉密计算机及载体保密检查表、密表28非涉密计算机及载体检查表中的内容,作好自查记录。 第八章 附则 第四十条 本制度适用于在本公司范围内用于业务工作的所有计算机信息系统。包括台式、便携式计算机和各外联设备、计算机使用的载体。 第四十一条 本制度由公司技术部、保密办负责解释。 第四十二条 本制度自下发之日起执行。原制度废止。 附件: 密表17涉密计算机上机人员审批表 密表18涉密计算机使用登记密表19涉密计算机维修记录密表20涉密计算机设备报废申请密表21涉密计算机设备调出申请密表22新增计算机定密申请密表23涉密载体信息明细密表24非涉密载体销毁登记密表25笔记本脑出厂许可密表26信息、
23、电子邮件发送密表27涉密计算机及载体保密检查密表28非涉密计算机及载体检查表 密表17 涉密计算机上机人员审批表 年 月 日 序号 申请事由 上机人员 上机时间 计算机编号 备 注 说明 1、上机人员必须是涉密人员。 2、此表一式两份(保密办一份,本单位自存一份。如有人员变动及时重新申报上机人员名单。) 单 位: 单位领导: 呈报人: 保密办审批: 密表18 涉密计算机使用登记表 单位: 序号 姓 名 上机内容 上机时间 离开时间 备 注 申请人: 申请时间: 厂内编号 涉密编号 涉密级别 使用地点 保密责任人 使用人 报废原因 报废销毁处理情况说明: 处理人: 监督人: 报废单位领导意见:
24、说明 此表由填写单位(部门)自存,以供备查。 密表19 涉密计算机维修记录单 维修日期: 经办人员: 机器编号: 涉密编号: 故障原因: 维修部位: 维修单位: 维修方式: 维修过程记录: 维修结果: 技术部计算机管理员: 维修人员: 年 月 日 密表20 涉密计算机设备报废申请单 领导签名: 技术部审批意见: 领导签名: 保密责任人应对报废的涉密计算机的销毁负责,在技术部、保密办的监督下进行销毁处理。 密表21 涉密计算机设备调出申请单 申请人: 申请时间: 厂内编号 涉密编号 涉密级别 使用地点 保密责任人 使用人 调出原因 调出去向 技术部脱密处理情况说明: 处理人: 监督人: 申请涉密
25、级别 别 使用地点 调出单位领导意见:保密责任人 使用人 领导签名:单位领导意见: 保密办审批意见: 领导签名:领导签名: 保密办审批意见: 签(章): 单位:序号 载体形式 存储内容 密级 存储日期 说明 此表由载体使用单位(部门)自存,以供备查。非涉密载体销毁登记表 序号 载体类 1、保密责任人应对调出计算机的脱密负责,在保密办的监督下,由技术部计算机管理员进行脱密处理。 2、本表格内容只适用于涉密计算机的厂内调配。 密表22 新增计算机定密申请表 申请人: 申请时间: 设备来源 1、新购( ) 2、厂内调配,内部编号( ) 申请涉密级别 使用地点 保密责任人 使用人 单位领导意见: 领导
26、签名: 保密办审批意见: 签(章): 新增计算机定密申请表 申请人: 申请时间: 设备来源 1、新购( ) 2、厂内调配,内部编号( ) 密表23 涉密载体信息明细表 密表24 载体编号或名 销 毁 情况记录 销 毁 销毁人 保密办 单位领导 监销人 销毁地点 销毁时间 年 月日 密表25 笔记本电脑出厂许可证 存根联 第 号 单 位 申请人 设备编号 出厂时间 载体编号 使用地点 涉密程度 载体形式 返厂时间 出厂事由: 单位领导意见: 经理部意见: 技术部检查情况: 保密办审查意见: 年 月 日 笔记本电脑出厂许可证 申请单位: 第 号 出厂事由 出厂时间 设备编号 载体编号 申请人 保密
27、办审查意见: 归还后技术部检查意见:发件人 单位 发件人 单位 年 月 日 本许可证一式两联,存根联留经理部,使用者凭许可证出厂。 许可证联由使用者妥善保管,设备归还后由技术部、保密办签署意见,交回经理部注销。 密表26 信息、电子邮件发送表 信息、电子邮件发送表 信 息 内 容 信 息 内 容 发 送 地 址 发 送 地 址 载 体 编 号 单位领导签 字 载 体 编 号 单位领导签 字 备 注 备 注 信息、电子邮件发送表 信息、电子邮件发送表 发件人 单位 发件人 单位 信 息 内 容 信 息 内 容 发 送 地 址 发 送 地 址 载 体 编 号 单位领导签 字 载 体 编 号 单位领
28、导签 字 备 注 备 注 密表27 涉密计算机及载体保密检查表 序号 检查项目 标准分 要求及评分标准 得分 1 计算机管理制度建立情况 5 未建立本单位涉密计算机管理制度,不得分;制度未公示,扣2分。 2 是否连入互联网3 是否存储高于自身密级 10 连入互联网不得分。5 存储高于自身密级文件不得分。 文件4 上机人员审批程序是否 5 未办理上机人员审批手续,不得分。 完备5 是否加贴标识及标识状 5 未加贴标识,不得分;加贴标识但表示不准确(如人员变动况 6 是否设置开机口令并定等)或已损坏,扣5 未设置开机口令,扣3分。 5分;设置开机口令但没有定期更换,期更换7 是否设置屏护口令并定
29、扣4分;口令不规范,扣5 未设置屏保口令,扣4分。5分;设置屏保口令但没有定期更换, 期更换8 涉密文件标明密级和保密期限 扣4分;口令不规范,扣5 有未标注,不得分;标注不规范扣4分。 3分。 9 涉密文件是否按密级规定加密存储 6 有未加密存储,符合规定,扣不得分;加密存储但密码位数或字符种类不4分。 10 是否擅自维修或更换涉密计算机部件 4 私自维修或更换部件,不得分。 11 对使用中出现的异常情况是否做好系统安全日5 对异常情况未做安全日志,不得分;做安全日志但记录不完志 口令及各种安全日志是备,扣3分。 12 否存放在密码柜中计算机是否安装正版杀 5 未存储在密码柜中,不得分。未安装正版杀毒软件,不得分; 安装正版杀毒软件但未定期13 毒软件并定期杀毒14 涉
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1
升级会员 