第一篇:計算機網絡安全和信息保密管理規定(范文模版)
計算機網絡安全和信息保密管理規定
1、為了保證公司計算機網絡系統的穩定運行及網絡數據的安全保密,維持安全可靠的計算機應用環境,特制定本規定。
2、凡使用公司計算機網絡系統的員工都必須執行本規定。
3、在公司保密工作小組領導下,由辦公室負責接入網絡的安全保密管理工作。辦公室落實具體技術防范措施,負責設備、信息系統的安裝調試和維護,并對用戶指派信息維護員專門負責各部門的信息安全維護工作。
4、對接入公司網絡系統的計算機及設備,必須符合一下規定: 1)凡接入公司網絡系統的計算機,只在需要使用光驅和打印機的網絡管理員計算機上安裝相關設備,其他計算機不得安裝和使用光驅、軟驅、USB卡、磁盤、磁帶、打印機等輸入、輸出端口一律屏蔽和禁用。
2)凡接入公司辦公網絡的計算機,禁止使用任何網絡設備,將計算機與國際互聯網聯結。
3)各部門的計算機均不得與其它辦公系統相聯結,如有信息傳輸的需要,可使用軟盤、光盤、USB盤或活動硬盤等數據介質盤片,由網絡管理員在裝有相應外設的計算機上進行數據傳輸。
4)在未經許可的情況下,不得擅自對處計算機及其相關設備的硬件部分進行修改、改裝或拆卸配置,包括添加光驅、軟驅,掛接硬盤等讀寫設備,以及增加串口或并口外圍設備,如掃描儀、打印機等。
4)非我公司的計算機及任何外設,不得接入我公司的網絡系統。5)嚴禁私自開啟計算機機箱封條或機箱鎖。
5、凡使用公司網絡系統的員工,必須遵守以下規定; 1)未經批準,嚴禁非本公司工作人員使用除計算機及任何相關設備。
2)對新上網使用辦公網絡系統的員工,由辦公室負責上崗前的計算機網絡設備系統安全及信息保密的技術培訓工作。
3)公司計算機網絡系統中凡屬于國家保密資料或商業秘密的任何文件、圖形等數據(如地形圖等),未經批準,任何人嚴禁將其以任何形式(如數據形式:Internet、軟盤、光盤、硬磁盤等;硬拷貝形式:圖紙打印、復印、照片等)復制、傳輸或對外提供。
4)任何員工均不得超越權限侵入網絡中未開放的信息,不得擅自修改入庫數據資料和修改他人數據資料。
6、公司辦公網絡系統及相關數據應嚴格執行國家、有關保密、安全及政府辦公自動化系統的有關法律、法規的規定和要求。各部門應自覺按照有關規定和要求配合做好保密和信息安全工作。
7、任何經由我公司外網接入國際互聯網的員工,必須嚴格遵守國家有關法律、法規。
8、凡使用公司網絡系統的員工,必須配合網絡管理員做好防病毒工作。
1)由辦公室負責網絡防病毒工作。信息維護員負責實施防病毒的日常管理工作。
2)凡裝有可與外界進行數據傳輸的設備的計算機,必須安裝防病毒程序,辦公室定期對防病毒程序進行升級,增強對病毒的查殺能力。
3)凡需入網傳輸數據的盤片,由網絡管理員負責檢查、清查計算機病毒,確保沒有病毒后方可傳輸數據。
4)員工在使用過程中如發現計算機病毒,應立即停止進行任何程序并報告網絡管理員,如遇到現有防病毒程序無法清殺的病毒,網絡管理員必須先將受感染的計算機從網絡上隔開,協助員工做好數據備份工作,并為用戶恢復系統。
9、辦公室定期對有關部門進行計算機網絡系統安全和數據保密檢查,并將檢查結果向處保密工作小組匯報。
10、公司網絡運行中,發現有泄露國家機密,或發現有泄露不宜公開的內部信息的,或發現侵權訪問其他員工未公開的數據,有關部門或員工應立即采取補救措施,并在十二小時內向公司保密工作小組報告,以便需要時在事發二十四小時內向當地保密、公安機關報告。
11、違反本規定的,由部門負責人或公司保密工作小組視情節給予批評、教育;嚴重的,可提請公司人事部門依據有關規定給以行政處罰;觸犯有關法律、行政法規的,由公司保密工作小組報上級保密部門,依據有關法律追究責任。
12、本規定由公司保密工作小組負責解釋。
13、本規定自發布之日起實施,原相關規定與本規定有不一致之處,按本規定執行。
為保證局域網安全運行,提高計算機的利用率,延長計算機的使用壽命,特制定本規定。
1、要保證計算機室內的衛生清潔,嚴禁在計算機室內吸煙,禁止亂扔碎紙、果皮等雜物,禁止在機桌、機器上亂畫、亂貼等。
2、進入互聯網的計算機必須實行物理隔離,禁止帶有秘密載體的計算機進入互聯網。
3、禁止利用計算機玩游戲、聊天、看電影,禁止瀏覽登入非法網站、瀏覽非法信息。
4、禁止隨意拔弄、拆卸、搬動計算機設備、配件(鍵盤、鼠標等),嚴格按操作程序正常開機、關機。
5、禁止對計算機私設開機口令、對硬盤格式化操作、改變機器配置。禁止亂裝軟件,以防止感染病毒。
6、計算機系統專用資料(軟件盤、系統盤、驅動盤)應由專人進行保管,不得隨意帶出或個人存放。
7、計算機使用人員應每周對計算機設備進行病毒檢測,發現病毒感染應及時清除,防止擴散和蔓延。對國家通報的病毒發作時間禁止開機,如確需使用應由網管人員負責技術處理。要對計算機設備、電源電路進行定期檢查,發現問題及時處理。
8、要嚴格使用專用清潔劑擦洗,不得用濕布擦試機器,以免影響計算機使用壽命。
9、計算機使用人員應認真做好計算機運行情況的日常記錄,下班后要及時檢查機器設備,切斷電源后,關好門窗,方可離開。一.總則
1.為引進現代化計算機工具,推動現代化管理,使公司管理規范化、程序化、迅速快捷,特制定本制度。
二.管理原則和體制
1.公司按集中與分散相結合原則,有條件的可設立中心機房,各部門配備電腦系統。
2.條件成熟時,公司建立計算機內部網絡系統。
3.計算機系統本著一次總體規劃、分步建設方式實施。
4.計算機系統建設應綜合考慮成本、費用、效率、效果、先進性、適用性,選擇最優技術經濟方案。
三.電腦系統選取型及采購
1.公司電腦系統統一采購。
2.按照計算機系統規劃和工作需要,公司各部門或有關部門提出購置電腦系統的申請,公司列入固定資產投資計劃,經公司常務會議或總經理批準方可采購。
3.電腦系統選取型須基于廣泛的市場調研,在掌握各類電腦性能、價格之后選擇合格的機型
4.。涉及重大電腦設備的選購,須邀請專業公司招標或咨詢,確保電腦的功能升級,以及維修服務的承諾。
5.電腦采購過程中,做好硬件的驗機工作和軟件測試工作,確保電腦系統的可行性。
四.電腦使用和管理
1.公司落實電腦管理責任部門和責任人,負責電腦管理的各種工作。
2.未經許可,任何人不得隨便支用電腦設備。
3.未經許可,任何人不得更換電腦硬件和軟件,拒絕使用來歷不明的軟件和光盤。
4.嚴格按規定程序開啟和關閉的電腦系統。
開機流程:
1.接通電源;
2.打開顯示器、打印機等外設;
3.開通電腦主機;
4.按顯示菜單提示,鍵入規定口令或密碼;
5.在權限內內對工作任務操作。
關機流程:
1.退出應用程序、各個子目錄;
2.關斷主機;
3.關閉顯示器、打印機;
4.關斷電源。
五.公司鼓勵員工使用電腦。在不影響業務情況下,員工應學習能熟練地進行電腦操作。
六.對公司中心機房、使用網絡、工作站等高級電腦設備,則需經年產值和予上機操作,并登記使用情況。
七.公司禁止使用、傳播、編制、復制電腦游戲,嚴禁上班時間地下鐵路電腦游戲。
八.公司鼓勵員工開發電腦資源,提高公司決策和管理水平。
九.電腦維護
1.公司確立專職或兼職工程師(或由電腦公司)負責電腦系統的維護。
2.電腦發生故障時,使用者作簡易處理仍不能排除的,應立即報告電腦主管。
3.電腦維修維護過程中,首先確保對公司信息進行拷貝,并不遺失。
4.電腦軟硬件更換需經主管同意,如涉及金額較大的維修,應報公司領導批準。
5.UPS
6.只作停電保護之用,在無市電情況下,迅速作存盤緊急操作;嚴禁將UPS作正常電源使用。對重大電腦軟件、硬功夫件損失事故,公司列入專案調查處理。
7.外請人員對電腦進行維修時,公司應有人自始至終地陪同。
8.凡因個人使用不當所造成的電腦維護費用和損失,酌情由使用者賠償。
十.機房管理制度
機房安全規定:
1.機房(工作臺)不得攜入易燃、易爆物品;
2.機房主內嚴禁吸煙;
3.機臺不準吃飯、吃零食或進行其他有害、污損電腦的行為;
4.機房嚴禁亂拉接電源,以防造成短路或失火;
5.安裝堅固門鎖系統,防止電腦補充盜。
機房凈化規定:
1.機房內不得有衛生死角、可見灰塵;
2.調節適合電腦的溫度、濕度、負離子濃度,定時換風;
3.門窗密封,防止外來粉塵污染;
4.機房內不準帶入無關物品,不準睡覺休息;
5.中心機房人員進入須穿軟底鞋,著白色長衫工作服;
6.機房用品定期清潔。
機房參觀管理的規定:
1.經公司批準,外來人員才予安排參觀。
2.外來人員參觀機房,須有公司指定人員陪同。
3.電腦處理秘密事務時,不得接待參觀人員或靠近觀看。
4.操作人員按公司陪同人員要求可以在電腦演示、咨詢;對參觀人員不合理要求,陪同人員應婉拒,地勻人員不得擅自操作。
5.經同意,參觀人員可以實地操作電腦,但須有公司人員的認可,不得調閱公司機密文件。
6.參觀人員不得擁擠、喧嘩,應聽從陪同人員安排。
7.參觀結束后,操作人員應整理如常。
十一.計算機保密
依據公司保密管理辦法,公司計算機管理應建立相應的保密制度,計算機保密方法有:
1.不同密級文件存放于不同電腦中;
2.設置進入電腦的密碼;
3.設置進入電腦文件的密碼或口令;
4.設置進入入電腦文件的權限表;
5.對電腦文件、數據進行加密處理。
1).為保密需要,定期或不定期地更換不同保密方法或密碼口令。
2).經特殊申報批準,才能查詢、打印有關電腦保密資料。
3).電腦操作員對保密信息嚴加看管,不得遺失、私自傳播。
十二.電腦病毒的防治
1.公司購買使用公安部頒布批準的電腦殺毒產品。
2.未經許可證,任何人不得攜入軟件使用,防止病毒傳染。
3.凡需引入使用的軟件,均須首先防止病毒傳染。
4.電腦出現病毒,操作人員不能殺除的,須及時報電腦主管處理。
5.在各種殺毒辦法無效后,須重新對電腦格式化,裝入正規渠道獲得的無毒系統軟件。
6.建立雙備份制度,對重要資料除在電腦貯存外,還應拷貝到軟盤上,以防遭病毒破壞而遺失。
7.及時關注電腦界病毒防治情況和提示,根據要求調節電腦參數,避免電腦病毒侵襲。
十三.軟盤管理制度
1.軟盤集中存放,由專人統一保管,個人不得隨便帶離公司。
2.公司建立軟盤使用檔案,注明軟件名稱、部門、使用人員等信息。
3.外一軟盤經電腦主管檢查后方可使用,必要時留存保管處。
4.公司統一添置空白盤片,員工不得隨意外購空白軟盤。
5.各部門使用軟盤,均向管理人員登記借用。
十四.軟件開發
1.公司根據需要可以開發各種單項工綜合性信息系統,可由信息部負責統籌或協助。
2.軟件開發需要公司高層領導的參與協調,在公司領導下確立開發總體方案、實施步驟、時間進度、費用預算、人員安排等事項。
3.軟件開發一般分為系統調研、可行性分析、功能定義、框架設計、程序編制、調試、試用、反饋、完善驗收等幾個階段。
一.總則
規范公司計算機以及計算機網絡的管理,確保計算機以及計算機網絡資源高效安全地用于工作,特制訂本規定。第一條.公司計算機以及計算機網絡資源是公司用于工作目的的投資,只能用于工作目的,個人不得由于一般業務、看新聞、娛樂等私人原因使用公司計算機以及計算機網絡。第二條.本規定涉及的網絡范圍包括公司各辦公地點的局域網、辦公地點之間的廣域連接、公司各廠區和辦事處廣域網、移動無線網絡、Internet出口以及網絡上提供的各類服務和Internet電子郵件、代理服務、所有計算機辦公平臺等。第三條.計算機以及計算機外設設備(U盤、移動硬盤、打印機、刻錄機,公辦設備)等以下簡稱信息設備。
第四條.公司落實計算機管理責任部門和責任人,負責計算機管理的各種工作,該部門有權對公司的每臺計算機具有操作,查看的權限。
二.采購 第五條.按照計算機系統規劃和工作需要,公司各部門提出購置信息設備的申請,填寫信息設備申請單后,經總經理批準方可采購 三.計算機使用與管理
第六條.有需要使用計算機的部門及工作人員,填寫信息設備使用申請單后,經電腦管理部門批準后申請使用。第七條.計算機系統及所有程序必需由計算機管理部門統一安裝,其它各部門及工作人員未經許可下不可增刪硬盤上的應用軟件和系統軟件,違者罰款100元。第八條.公司的計算機由管理部門管理維護、任何部門和個人不得私自更改計算機的各項設置,如:(計算機名,網絡IP地址,計算機管理員密碼,登陸方式等)違者罰款100元 第九條.與工作相關的文件必需保存在D盤以使用者為姓名的目錄中,個人文件必需保存在E盤以使用者為姓名的目錄中,未按規定而告成的文件丟失等原因,后果自負。不得將任何文件存放在C盤系統目錄中及操作系統桌面與我的文檔中。
第十條.使用者應經常整理計算機文件,以保持計算機文件的整齊。
第十一條.計算機上不得存放有破壞公司計算機網絡正常運行的軟件,如:(黑客程序,帶病毒的文件,)電影文件,及不健康的文件如:(黃色圖片、視頻圖像,但不包括各類學習資料),一經發現罰款100元,并無條件刪除。
第十二條.嚴禁使用計算機玩游戲、看電影,第一次發現者罰款10元,再次發現者罰款20元,以此類推。第十三條.不得私自拆卸計算機及外設,更不能私自更換計算機硬件,如發現者,以更換硬件價值的5倍罰款。
第十四條.使用者離開計算機時,應該及時鎖定以免他人操作計算機。更不能將計算機讓他們操作使用,一經發現罰款20元。
第十五條.使用者不得設置計算機開機BOIS密碼,如發現有設置者,網絡管理部門有權在不通知使用者的情況下給予清除。四.網絡管理
第十六條.任何人不得將私人計算機、筆記本、手機、mp3、數碼相機等設備未經網絡管理部門的許可下接入公司計算機網絡。違者罰款200元。
第十七條.任何人不得因私挪用公司信息設備,網絡資源,更不能破壞,計算機網絡設備,對于有破壞的,以其價值的2倍賠償。
第十八條.有上網需要的單位及個人,填寫上網申請單后,經總經理批準后,由網絡管理員給予開通。第十九條.因考慮到在部份工作人員有上網查資料方面的需要,目前暫定在中午午休時間(在不影響網管工作的情況下)開放網管計算機以方便大家。
第二十條.具有上網功能的工作人員,不能將計算機轉借他人上網使用,其它工作人員也不能借用能上網的計算機上網,一經發現罰款100元
第二十一條.具有上網功能的工作人員,不得利用網絡瀏覽黃色網站。未經許可利用網絡下載軟件,更不得下載電影,黑客及對公司計算機網絡安全有破壞性的程序。一經發現罰款100元。
第二十二條.有上網功能的工作人員,不得刪除、卸載、關閉其安裝在計算機上的殺毒軟件。對于收取的郵件應先進行殺毒再打開。
第二十三條.任何人在未經許可的情況下,發起工作無關的騰訊通多人對話、網絡會議、廣播信息,更不能在多人對話的情況下,發表、討論、誹謗有損公司員工及公司利益的言論。一經發現者給予發起人罰款50元,參與討論的每人罰款20元的處分。
五.計算機安全措施及計算機文件備份
第二十四條.未經許可嚴禁任何將私人的光盤、VCD(學習光盤除外)、軟盤,移動存儲器等在公司的計算機設備上使用,違者罰款30元。第二十五條.公司及各部門的業務數據如需備份的請通知計算機管理員作好備份工作,對于特別重要數據由使用者本人向管理員申請做立即備份。第二十六條.公司計算機系統的數據資料列入保密范圍的,未經許可嚴禁非相關人員私自復制,拷貝。一經發現罰款100元。對于嚴重構成有損公司利益的行為,給予開除處理。第二十七條.計算機使用者必需設置用戶密碼并妥善保管,不得將用戶密碼泄露給第三者,嚴防被竊,如發現他人利用其賬號和密碼,而違反公司規定者,由其賬號使用者負責
第二十八條.任何人不能利用各種手段、破解、攻擊公司計算機網絡系統與其各種服務平臺,及公司計算機用戶賬號與密碼。一經發現罰款500元上以上,情節特別嚴重的,給予開除處理。六.計算機清潔及保養
第二十九條.不得在計算機旁邊堆放雜物,保持計算機正常通風散熱。第三十條.計算機使用者必需經常清潔主機,顯示器,鍵盤,以保持計算機的清潔衛生
第三十一條.操作人員在離開計算機半小時以上及下班之后,請關閉計算機。如發現未關閉計算機者每次罰款10元。
第三十二條.遇停電時,必需在停電之后12分內關閉計算機,以免損壞 UPS及計算機設備,對于未能及時關閉計算機而造成計算機設備損壞的,責任自負。第三十三條.遇到計算機問題的(包括經常性死機),請立即報網絡管理部門修理處理。對于未能及申報而造成損失的,由計算機使用者負責賠償 七.網絡管理門職責 第三十四條.確保公司計算機網絡及各種服務器正常運行,定期對公司計算機系統進行維護和故障檢修病毒防范等工作,發現存在的事故隱患應及時排除。第三十五條.網絡管理部門具有管理上網的權限,但不得私自為任何人在未經批準的情況下,給員工開通上網功能。一經發現罰款200元。第三十六條.網絡管理部門應及時地處理公司計算機網絡出現的故障,對于不能及時處理的,向總經理由申報 八.其它 第三十七條.公司鼓勵員工使用計算機。在不影響計算機使用者正常工作的情況下,鼓勵不會使用計算機員工在經網絡管理部門批準并在指定的計算機上學習計算機知識。私自使用計算機者,罰款30元。多次發現者加倍罰款。九.附則
本制度由網絡管理部門和監查門部負責共同監督。
本制度由網絡管理部門解釋、補充,經總經理批準頒布。
機房防火。下班前應注意檢查水電開關和門窗安全。7.保持計算機室整潔與衛生,室內嚴禁吸煙。計算機運行日志制度
1、計算機操作人員必須登記當天所有上機操作情況。要求填寫日期,操作員姓名,操作內容,運行時間和運行情況。
2、操作過程中沒有問題則在運行情況及備注欄填寫運行正常字樣,若有問題發生則應及時登記記錄并向負責人報告。
3、不得進行末作登記記錄的任何軟硬件維護工作。
4、系統在維護過程中發現的異常現象和處理方法,處理結果都應有所記載,對于重大運行故障,除按規定登記外還須另行填寫故障報告單。
5、操作記錄要裝訂成冊,妥善保管,年終整理歸檔。
6、要真實完整地填寫操作記錄,發生總是不登記者,按經濟責任制條款處理,以上規定請所有操作及維護人員遵照執行。信息化收集分析運用共享制度一、熟練掌握應用軟件的操作使用規定,熟悉計生業務應用軟件的流程,并按有關流程做好信息的收集和運用共享。
二、計算機及其外部設備實行定位安裝、定位使用、定人管理。未經批準,不得挪作他用或借給他人使用。
三、嚴格遵守計算機使用管理規定和安全操作規程。確保人身、設備安全。使用者對計算機及外設負有保管和日常維護的責任。
四、注意保密,嚴禁將口令泄露給他人。因泄密而發生的一切后果由口令所有者自行負責。未經防病毒軟件檢驗過的磁盤, 不得上網操作使用,嚴禁安裝游戲軟件。
五、除技術人員外,任何人不得私自安裝、刪除軟件和更改計算機配置。
六、發現異常情況時,應正確采取應急措施,并報告網絡主管部門和系統管理員。遇有計算機或網絡設備出現故障,應按規定程序申報維修。嚴禁擅自拆機、檢修。
七、網絡管理人員離開工作機、臺時,須退出當前應用程序,返回至初始狀態,并鎖定系統。機關工作人員在下班或確認不再用機時,必須按操作規程關閉計算機后方可離開。多人共用一機的,除專人負責外,其他人亦負有日常維護、保養責任。
八、嚴禁使用辦公計算機訪問國際互聯網。確因工作需要使用互聯網時,須經批準,在專設的“電子閱覽室”使用專用的計算機進行,上網查閱資料時,應避免訪問與工作無關的網站,以防各類網絡安全事故的發生。信息質量保障制度
一、機房及配發了計算機(本文來自范文家http://
1、計算機網絡系統屬于公司固定資產,只為公司正常業務經營管理所使用,不得挪作它用;
2、公司所有電腦的技術支持和維護由IC部門***負責,每位員工在電腦使用過程中,如遇技術問題,可及時向其反饋,尋求解決;
3、員工不得隨意修改系統參數,包括域名、計算機名、IP地址、網絡通信協議等等;
4、域模式的情況下,員工必須以自己所分配的域用戶名登錄到域中;
5、員工不得隨意刪除已存在的網絡共享,特別是網絡打印機的共享;
6、員工上網不得瀏覽國家法律所禁止的包含色情、暴力、反動及封建迷信等內容的網頁;
7、員工不得隨意下載或安裝和工作無關的軟件,特別是可能危及計算機網絡系統安全的帶病毒程序或黑客程序;
8、員工不得隨意修改或刪除系統文件和文件夾,不得隨意更改文件和文件夾的屬性,非特殊情況下(要向公司申報),不得對文件進行加密處理;
9、實行管理責任制,每臺電腦由相對應的人員負責使用、保管及日常維護,并登記簽名確認;
10、每臺電腦應安裝殺毒軟件,員工對個人使用的電腦殺毒軟件應定期升級,更新病毒庫,并至少兩周查、殺病毒一次;
11、所有聊天工具(如MSN、QQ等)只能作為公司內部員工或對外客戶聯系之用途,每位員工應自覺遵守;
12、員工須認真執行此管理規定,若違反上述條款之一的,按公司相應制度處理。
第二篇:計算機及網絡安全保密管理規定
一、計算機及網絡安全保密管理規定
第一章總則
第一條為了規范我委計算機及信息系統的使用和管理,確保網絡安全和信息保密,根據國家有關信息系統管理和保密等規定要求,結合我委實際,制定本規定。
第二條本規定適用于我委全體工作人員,適用于所有接入市人口計生委的淮安市電子政務外網的計算機及輔助設備、網絡和信息系統。
第三條辦公室為我委計算機及信息系統安全保密工作的主管處室,負責相關安全保密規定及措施的制定、檢查和落實;負責全委計算機及信息系統的管理、維護和檢查。
第四條計算機的安全管理實行“誰使用,誰管理,誰負責”的原則,各處室主要負責人為本處室計算機及信息安全保密的第一責任人、負責本處室計算機和信息的日常安全保密工作。
第二章安全保密
第五條辦公室負責我委各類文件和信息的定密工作,以及有關涉及保密信息的計算機使用和管理。
第六條本委各處室涉密計算機必須貼有明顯標記,以區分非保密載體和保密載體,保密計算機必須由專人進行管理和操作,未經處室主要負責人和管理人員同意,任何人不得擅自操作保密計算機。
第七條本委所有使用的筆記本電腦嚴禁編輯、存儲保密信息,如工作需要處理保密資料的,將視作保密計算機進行管理,不得隨意攜帶。
第八條涉及保密信息處理的計算機必須設置開機口令,并且不得接入國際互聯網,專網專用。
第九條處理保密信息計算機的軟件安裝、硬件維護、淘汰更新必須由專人負責。
第十條備份保密信息的存儲介質必須由專人負責保管,并對重要內容進行加密處理,不得隨意攜帶和拷貝。
第十一條各處室需要在網上發布的信息參照《淮安市人口計生委信息發布制度》具體執行。
第三章設備管理
第十二條辦公室負責計算機及外部設備的采購和售后服務。
第十三條計算機設備安裝調試結束后,隨機工具軟件由各處室明確專人保管。
第十四條計算機硬件、軟件及外部設備的安裝和設置,由辦公室根據實際需要,統一調配資源,非經許可嚴禁隨意更改計算機內部設置的網絡參數。
第十五條計算機出現故障,應及時通知辦公室。處理保密信息的計算機維修和淘汰,必須按保密規定,確保不涉密、不泄密。
第四章病毒防治
第十七條各處室計算機使用前必須統一安裝由辦公室提供的防病毒軟件,并定期進行病毒檢查、殺毒和升級。
第十八條外來電子信息存儲介質及對外交換后的電子信息存儲介質使用前須經過病毒檢查,不得擅自運行外來軟件和使用未經檢查的外來電子信息存儲介質。
第十九條一經發現病毒,應立即報告辦公室,進行病毒查殺處理。
第二十條本規定自制定之日起執行。
二、筆記本電腦保密管理規定
第一條我委的公用筆記本電腦應當落實專機專用,專柜存放,專人管理,確保安全。
第二條我委的筆記本電腦一般應在辦公場所使用。應工作需要帶出辦公室的,應當報委領導批準,并按規定使用管理。
第三條攜帶筆記本電腦出差、開會時,應妥善保管,不準帶入無關場所,防止丟失、被盜。
第四條存儲涉密信息的筆記本電腦,應按照涉密信息的最高密級進行保密管理,嚴禁將涉密筆記本電腦接入國際互聯網。
第五條本規定自發布之日起實施。
三、計算機維修、更換、報廢保密管理規定
一、涉密計算機系統進行維護檢修時,須保證所存儲的涉密信息不被泄露,對涉密信息應采取涉密信息轉存、刪除、異地轉移存儲媒體等安全保密措施。
二、各涉密處室應將本處室設備的故障現象、故障原因、擴充情況記錄在設備的維修檔案記錄本上。
三、凡需外送修理的涉密設備,必須經保密工作人員和主管領導批準,并將涉密信息進行不可恢復性刪除處理后方可實施。
四、由專人負責各處室計算機軟件的安裝和設備的維護維修工作,嚴禁使用者私自安裝計算機軟件和擅自拆卸計算機設備。
五、涉密計算機的報廢由保密領導小組專人負責定點銷毀。
四、信息發布制度
第一條 為充分發揮淮安市人口計生委門戶網站的作用,建立規范的信息采集、審核、發布、維護機制,特制定本制度。
第二條 本制度所稱信息是指在門戶網站上對外發布的文字、數據、圖片及其他形式的信息。門戶網站所發布的信息均為非密級信息,涉密信息不得上網發布。
第三條 門戶網站是淮安市人口計生委信息服務的樞紐,為全委各處室和全市各級人口計生委向社會發布信息,提供平臺。
第四條 門戶網站以發布人口計生信息為主,重點發布淮安市人口計生委相關政策法規、工作動態、公告、政務信息公開、圖文消息、辦事指南、以及其他與淮安市人口計生委工作相關的信息。
第五條 各處室和全市各級人口計生委要按網站所設欄目要求,積極主動、準確及時地提供信息,利用門戶網站搞好對外宣傳。
第六條 各處室和全市各級人口計生委需要在門戶網站發布本部門和本單位的重要信息時,必須提供電子文檔,通過網絡、軟盤、U盤等方式傳輸給辦公室。
第七條 門戶網站發布的信息應履行嚴格的審批程序,未經審核的信息不得上網發布。
第八條 信息審核內容包括:
(一)上網信息有無涉密問題;
(二)上網信息目前對外發布是否適宜;
(三)信息中的統計數據是否準確。
第九條 信息更新和信息網上發布工作由辦公室負責,信息資料的審核由各處室負責人負責。
第十條 對信息審核把關不嚴,造成損失、泄密的,按國家保密法律法規的有關規定予以處理。
五、上網信息保密制度
一、上網信息主要指文本、數據、圖片、圖像、動畫、聲音等。
二、上網信息的保密管理堅持“誰上網發布誰負責”的原則,在本委網站上發布任何信息及對網上信息進行擴充或更新,都應當認真執行信息保密審核制度,必須經過嚴格審查,不得有危害國家安全、泄露國家秘密,侵犯國家、社會、本委利益的內容出現。凡可能涉及保密范圍的信息,須經委領導審查同意后,方可上網。
三、國家秘密是關系國家的安全和利益,依照法定程序確定,在一定時間內只限一定范圍的人員知悉的事項。包括下列秘密事項:
(一)國家事務的重大決策中的秘密事項;
(二)國防建設和武裝力量活動中的秘密事項;
(三)外交和外事活動中的秘密事項以及對外承擔保密義務的事項;
(四)國民經濟和社會發展中的秘密事項;
(五)處學技術中的秘密事項;
(六)維護國家安全活動和追查刑事犯罪中的秘密事項;
(七)其他經國家保密工作部門確定應當保守的國家秘密事項。
四、涉及國家秘密的計算機信息系統,不得直接或間接地與國際互聯網或其它公共信息網絡相聯接,必須實行物理隔離。
五、本委工作人員如在本委網站上發現有泄露國家秘密的信息,有義務及時上報辦公室,并保留原始記錄。辦公室應加強對網上信息的保密監督檢查,網絡管理員負責上網信息的監視、保存、清除和備份工作,對發現和接到的泄密事件、有害信息和安全技術問題,要立即采取措施,及時刪除涉及國家秘密的信息,轉存好原始記錄,并立即向委領導報告。
六、涉密存儲介質保密管理規定
一、涉密存儲介質是指存儲了涉密信息的硬盤、光盤、軟盤、移動硬盤及U盤等。
二、有涉密存儲介質的處室和單位需填寫和保管“涉密存儲介質登記表”,并將登記表的復制件報委保密領導小組登記、備案并及時報告變動情況。
三、存有涉密信息的存儲介質不得接入或安裝在非涉密計算機或低密級的計算機上,不得轉借他人,不得帶出工作區,下班后存放在本單位指定的保險柜中。
四、因工作需要必須攜帶出工作區的,需填寫“涉密存儲介質外出攜帶登記表”,經主管領導批準,并報保密領導小組登記備案,返回后要經保密領導小組審查注銷。
六、復制涉密存儲介質,須經單位領導批準,且每份介質各填一份“涉密存儲介質使用情況登記表”,并賦予不同編號。
七、需歸檔的涉密存儲介質,應連同“涉密存儲介質使用情況登記表”一起及時歸檔。
八、各處室負責管理其使用的各類涉密存儲介質,應當根據有關規定確定密級及保密期限,并視同紙制文件,按相應密級的文件進行分密級管理,九、涉密存儲介質的維修應保證信息不被泄露,由各涉密處室負責人負責。需外送維修的,要經領導批準,到國家保密主管部門指定的維修點維修,并有保密人員在場。
十、不再使用的涉密存儲介質應由使用者提出報告,由單位領導批準后,交辦公室負責銷毀。
七、復印機、多功能一體機保密管理制度
為了加強本委數字復印機、多功能一體機的保密管理,根據有關復印機保密規定,特制定本制度。
第一條 本制定適用于本委所有數字復印機、和具有復印功能的一體機。
第二條 數字復印機、多功能一體機保密管理工作由委辦公室負責。具體管理工作由政治素質好、技術熟練、責任心強的人員進行負責,嚴禁無關人員使用復印機。一體機管理由使用人負責。
第三條 復印文件、資料必須征得復印機管理人員同意,并嚴格控制復印份數。
第四條 絕密件、機密件不允許復印。秘密件一般情況不允許復印。確因工作原因需復印秘密件時,應征得保密員同意,并做詳細記錄。復印件與文件原件具有同等密級,按密件辦理的有關規定執行。
第五條 嚴格禁止復印的文件、資料有:標識絕密、機密的文件、電報;中省領導人講話內部稿、錄音稿或記錄稿;發文單位不準復印的文件、資料、圖紙、刊物;貨幣、有價票證;內容反動、淫穢、封建迷信的讀物、圖牌及違禁文字資料等。
第七條 一體機日常管理參照復印機進行。
第八條 對違反本制度的行為,將視情節予以必要處理,情節輕微的,在本委范圍內通報批評,情節嚴重或造成失泄密事件的,將依照《保密守國家密法》及相關法律法規,移送司法機關處理。
第三篇:計算機網絡安全保密規定
計算機網絡安全保密規定
為了加強我院信息網絡的管理,杜絕發泄密事件,確保上網工作順利開展,特做如下規定:
一、各科室必須嚴格執行內外網分開的原則
二、我院內部局域網與國際互聯網、社會公共信息網等外部信息網絡采取物理隔斷的保密措施,接內網的計算機不得隨意接入外網。
三、各科室用于聯接國際互聯網、社會公共信息等外部信息網絡的計算機必須單獨設置,外網計算機(硬盤)一律不得進行文件起草、處理、存儲、傳遞等,不得涉及國家秘密、工作秘密和內部信息。
四、我院局域網為內部信息網,網上信息僅供各科室共享,不得外傳。
五、使用電子郵件進行網上信息交流,應當遵守國家有關保密規定,不得利用電子郵件傳遞、轉發或抄送國家秘密信息。
六、不得在用于局域網工作站的計算機上使用盜版軟件、盜版光盤,嚴防病毒感染。必須安裝殺毒軟件,并定期升級計算機殺毒軟件。
七、各科室要定期進行安全和保密檢查,設專人負責對網上信息進行保密檢查,發現有泄密信息和不宜公開的內部信息,應及時通知當事人立即采取措施,并上報,確保我院網絡辦公自動化系統安全。
八、定期接收保密教育和保密檢查 計算機局域網絡(his)管理制度
第一節 總則
第一條 為了加強醫院計算機HIS系統的管理,充分發揮計算機在醫院各項工作中的作用,根據醫院實際情況,制定本制度。第二條 本制度所指計算機及網絡設備是指對分布在各臨床、醫技、行政、后勤科室,并連接到醫院HIS局域網絡上的計算機工作站、網絡線路、連接設備及其相關設備等,不包含單獨使用的計算機、醫療設備附屬計算機工作站和直接與互聯網連接的計算機及其設備等。
第三條 歸口管理單位,醫院信息科作為本院計算機系統使用的管理機構,對計算機及網絡設備使用狀況進行業務指導和工作監督,計算機工程技術人員有權監督和制止一切違反安全管理的行為,并負責軟件系統維護和計算機網絡硬件系統維護及使用監督。
第四條 計算機網絡管理制度是為了更好地提高計算機使用和管理水平的前提下制定的,是統一、全面的醫院局域網絡管理制度,并以此作為計算機管理和各層次搓澡人員的工作制度,全院工作人員必須認真執行。
第五條 對違反本制度的人員,視其情節嚴重程度,將按醫院有關規定進行處理,后果嚴重的將按國家《刑法》部分條款及《中華人民共和國計算機信息系統安全保護條例》,交由公安機關處理。
第二節 計算機硬件管理制度
第六條 網絡系統中各類設備的配置,均由采購部統一購置,信息管理部負責提供技術參數及規格。系統硬件設備的購買、使用、保管、登記、報廢等,均按醫院設備管理相關規定執行。第七條 計算機硬件設備分發到各個使用部門之后,使用部門做好設備安全與清潔保養工作。
第八條 計算機設備是電源敏感設備,所使用電源為專線專用電源,嚴禁任何部門和個人私自接駁其他大功率用電設備,以免造成計算機硬件及附屬設備損毀。
第九條 除計算機管理人員外,任何人不得擅自移動計算機及相關設備,插拔電源、連接、網絡線路、確要移動的,應通知信息科實施。
第十條 嚴禁非信息科人員拆卸、更換計算機主機及顯示器、其他計算機配件。
第十一條 使用部門應專人負責計算機設備安全,做好防火、防潮、防塵、防盜、防雷工作,如果發現有安全隱患或丟失、損毀,應立即報告部門領導和信息科
第十二條 在計算機網絡系統設施附近實施的房屋維修、改造及其他活動,不得危害計算機網絡系統的安全。如無法避免而影響計算機網絡系統設施安全的作業,須事先通知信息科,經負責人同意并采取相應的保護措施后,方可實施作業。
第三節 計算機軟件管理制度
第十三條 外來人員未經允許不得操作計算機軟件及相關設備。第十四條 各級操作人員必須及時更改初始密碼,并不定期做修改更換,嚴格使用自己的密碼,并妥善保管,嚴禁密碼外泄,對密碼外泄造成的后果由該工號的持有人自己負責,如有發現密碼泄露情況發生,應立即更改,并報告信息科。
第十五條 嚴禁破譯、盜用他人工號、密碼,一旦發現將根據本制度總則第五條處罰條款按情節輕重給給予所在科室和個人嚴厲處罰,情節嚴重并造成重大損失者將交由公安機關追究其刑事責任。
第十六條 嚴禁私自卸載或安裝、使用其他應用程序(含各種游戲程序)
第十七條 各工作站操作人員應熟練掌握程序操作,操作人員必須經有關部門培訓考察合格后方有資格上機操作,非本部門人員及未經授權人員一律不得上機操作。
第十八條 各級操作人員根據工作需要,在權限范圍內進行日常操作,杜絕非法操作和越權行為,確保網絡系統、數據安全運行。
第四節 計算機網絡管理制度
第十九條 醫院計算機局域網線路為醫院信息管理系統專用線路,嚴禁其他線路管理人員私自更改線路設施,拆卸信息點模塊等,確要更改的,報信息科由專人處理。
第二十條 各大樓、辦公區等弱電井內網絡設施均歸信息科管理,其叫喚設備、鏈接設備及其他設備電源均為專用電源,弱電線路為專用線路,嚴禁其他部門或個人將其電力或設施直接接駁到專用線路上,一旦發現,將按總則第五條處罰條款嚴懲。第二十一條 禁止計算機網絡使用部門或個人未經許可將自用計算機、筆記本電腦、掌上電腦、互聯網用計算機等設備接入局域網絡,如有發現,將依據本制度總則第五條處罰條款按情節輕重給予所在部門和個人嚴厲處罰。
第二十二條 嚴禁私自通過工作站點更改網絡交換、網絡安全設備、網絡服務器等設施參數,通過網絡手段惡意攻擊服務器和核心交換設備,一經查實,將移交公安部門處理。
第二十三條 各部門使用人員嚴禁私自更改IP地址,擾亂網絡資源正常分配使用,嚴禁非法訪問或使用其他手段及相關軟件攻擊他人計算機。
第二十四條 各網絡工作站嚴格控制機器軟盤驅動器和光盤驅動器的使用,嚴防病毒、木馬侵入網絡系統,信息管理部作定期檢查,定期清理。
第二十五條 外來軟件需經院領導批準,信息管理部安全檢查后,方可進網運行,非網上使用軟件,未經允許,不得隨意在網絡上安裝。
第五節 計算機中心機房管理制度
第二十六條 醫院計算機機房是按國家計算機場地建設相關規定設計建設的,后續改造或建設符合國家相關技術標準與規定。第二十七條 第二十七條 信息科對網絡和系統進行監控維護,重點對信息系統軟件進行維護,并實現正常運行。同時,負責對機房系統設備進行常規檢測和維護,保證設備處于良好功能狀態。第二十八條 保持機房內的清潔衛生,并做好防塵、防火、防水、防觸電、防磁、防輻射、防雷擊等安全防護工作。
第二十九條 為經允許不得進入主機房,不得對機房內任何機器進行操作。
第三十條 未經信息科檢查的移動硬盤、軟盤、光盤及其他媒體,不得上機安裝并使用,如果確需使用,必須經過信息科人員安全檢測后方可使用。
第三十一條 重要的資料及原始磁盤、光盤應專柜保管,如有外借使用,須經信息科領導批準,進行登記,并及時催還。第三十二條 外用的磁盤、文件應做好安全殺毒及備份工作。第三十三條 網絡數據由信息科定期進行備份及存檔。存檔的磁盤、文件,需半年清查一次,以防止損壞或數據丟失。
第三十四條 保持機房整潔干燥,并注意環境濕度、濕度及正常工作溫度、濕度。
第三十五條 機房內嚴禁飲食、吸煙、會客或隨意擺放物品。
第六節 硬件工程師管理制度
第三十六條 維修工程師在接到工作站故障電話后,須及時進行故障檢查與處理。
第三十七條 拆裝硬件設備時,須按順序進行,不可野蠻操作。第三十八條 未經管理人員允許,任何人不得拆裝計算機及相關設備,刪除系統文件、應用軟件,改動計算機的系統設置。第三十九條 工程師需定期巡查各科室計算機及相關設備的運行狀況,查看計算機系統文件、應用軟件是否有改動和刪除。第四十條 工程師需備好常用配件,在工作站或網絡出現故障時能立即更換或重新安裝。
第四十一條 外來技術人員進行維護工作時,須有管理人員陪同或認可。
第七節 軟件工程師管理制度
第四十二條 軟件工程師在做好計算機軟件及網絡系統管理的同時應及時了解行業發展動態信息,并協助好院領導制定全員信息化發展的計劃于實施方案。
第四十三條 軟件工程師應與軟件供應商保持良好合作,起到聯系醫院和公司的紐帶作用,醫院有修改意見或問題及時反映給公司進行解決,做好醫院使用部門的需求分析。
第四十四條 工程師所使用的系統口令、密碼要經常進行更換,并嚴格保密,不得向任何人員泄露。
第四十五條 做好新程序或修改后程序測試的工作,測試運行正常后才能發布使用。未經測試,不得使用。
第四十六條 工程師應本著醫院網絡不能間斷的工作要求和特點下,及時解決醫院網絡軟件系統的各種故障,保證網絡系統安全、正常運行。第八節 計算機操作員管理制度
第四十七條 計算機操作人員嚴格遵守本制度有關密碼的管理規定(詳見軟件管理制度第十四條、第十五條、第十六條等),一人一號,嚴禁將自己工號轉借他人使用,個人口令不得告訴其他人員,工作口令由個人自己保管,不定期進行修改、更換,不要設置生日、手機號碼等復雜度較低密碼,如將密碼遺忘,可到信息科申請初始化密碼。
第四十八條 使用中嚴禁私自更改計算機系統設置,在計算機上刪除、修改、移動系統文件和應用軟件。
第四十九條 液晶屏幕為易損部件,嚴禁操作人員以任何方式觸及屏幕,在操作計算機時,嚴禁飲食、吸煙等,禁止將水杯和其他有礙計算機運行的物品擺放在機器旁邊,以免因液體傾倒等原因造成計算機損傷。
第五十條 嚴禁私自安裝任何軟件,嚴禁在計算機上玩游戲等娛樂活動。
第五十一條 嚴禁將光盤、軟盤、移動硬盤、U盤(包括MP3、MP4)等移動存儲設備接入計算機,一旦發現,將嚴厲處罰。第五十二條 使用過程中,應定期為計算機設施打掃衛生,保持計算機及相關設備的清潔,出現故障時應立即停止操作并報告信息科,不得擅自進行處理。
第五十三條 操作人員開關機及有關操作必須嚴格按照操作順序進行,關機前必須退出所有應用程序,不得隨意開關機或強行切斷電源。
第五十四條 操作人員暫時離機必須退出正在使用的應用軟件,以免他人借機進行破壞。
第四篇:計算機和信息系統安全保密管理規定
信息系統安全保密管理制度
第一章
總
則
第一條
為加強公司信息化系統(包括涉密信息系統和非涉密信息系統)安全保密管理,確保國家秘密及公司商業秘密的安全,根據國家有關保密法規標準和中國華電集團公司有關規定,特制定本規定。
第二條
本規定所稱涉密信息系統是指由計算機及其相關的配套設備、設施構成的,按照一定的應用目標和規定存儲、處理、傳輸涉密信息的系統或網絡,包括機房、網絡設備、軟件、網絡線路、用戶終端、存儲介質等內容。
第三條
涉密信息系統的建設和應用要本著“預防為主、分級負責、科學管理、保障安全”的方針,堅持“誰主管、誰負責,誰使用、誰負責”和“控制源頭、歸口管理、加強檢查、落實制度”的原則,確保涉密信息系統和國家秘密信息安全。
第四條
涉密信息系統安全保密防護必須嚴格按照國家保密標準、規定和集團公司文件要求進行設計、實施、測評審查與審批和驗收;未通過國家審批的涉密信息系統,不得投入使用。
第五條
本規定適用于公司所有信息系統安全保密管理工作。
第二章
組織機構與職責
第六條
公司成立信息系統安全保密組織機構,人員結構與信息化領導小組和辦公室成員相同,信息化領導小組成員即為信息系統安全保密領導小組成員,信息化辦公室成員即為信息系統安全保密辦公室成員。
1、信息系統安全保密領導小組 組
長:
副組長: 組員:
2、信息系統安全保密辦公室 主
任: 副主任: 成員:
第七條 信息系統安全保密領導小組主要職責
公司信息系統安全保密領導小組是涉密信息系統安全保密管理決策機構,其主要職責:
(一)建立健全信息系統安全保密管理制度,并監督檢查落實情況;
(二)協調處理有關涉密信息系統安全保密管理的重大問題,對重大失泄密事件進行查處。
第八條
信息系統安全保密辦公室(簡稱保密辦)主要職責:
(一)擬定信息系統安全保密管理制度,并組織落實各項保密防范措施;
(二)對系統用戶和安全保密管理人員進行資格審查和安全保密教育培訓,審查涉密信息系統用戶的職責和權限,并備案;
(三)組織對涉密信息系統進行安全保密監督檢查和風險評估,提出涉密信息系統安全運行的保密要求;
(四)會同信息中心對涉密信息系統中介質、設備、設施的授權使用的審查,建立涉密信息系統安全評估制度,每年對涉密信息系統安全措施進行一次評審;
(五)對涉密信息系統設計、施工和集成單位進行資質審查,對進入涉密信息系統的安全保密產品進行準入審查和規范管理,對涉密信息系統進行安全保密性能檢測;
(六)對涉密信息系統中各應用系統進行定密、變更密級和解密工作進行審核;
(七)組織查處涉密信息系統失泄密事件。
第十條
辦公室(信息中心)主要職責是:
(一)組織、實施涉密信息系統的規劃、設計、建設,制定安全保密防護方案;
(二)落實涉密信息系統安全保密策略、運行安全控制、安全驗證等安全技術措施;每半年對涉密信息系統進行風險評估,提出整改措施,經涉密信息系統安全保密領導小組批準后組織實施,確保安全技術措施有效、可靠;
(三)落實涉密信息系統中各應用系統進行用戶權限設置及介質、設備、設施的授權使用、保管以及維護等安全保密管理措施;
(四)配備涉密信息系統管理員、安全保密管理員和安全審計員,并制定相應的職責;“三員”角色不得兼任,權限設置相互獨立、相互制約;“三員”應通過安全保密培訓持證上崗;
(五)落實計算機機房、配線間等重要部位的安全保密防范措施及網絡的安全管理,負責日常業務數據及其他重要數據的備份管理;
(六)配合保密辦對涉密信息系統進行安全檢查,對存在的隱患進行及時整改;
(七)制定應急預案并組織演練,落實應急措施,處理信息安全突發事件。
(八)按照國家密碼管理的相關要求,落實涉密信息系統中普密設備的管理措施。第十二條
相關業務部門、班組主要職責:
涉密信息系統的使用部門、班組要嚴格遵守保密管理規定,教育員工提高安全保密意識,落實涉密信息系統各項安全防范措施;準確確定應用系統密級,制定并落實相應的二級保密管理制度。
第十三條
涉密信息系統配備系統管理員、安全保密管理員、安全審計員,其職責是:
(一)系統管理員負責系統中軟硬件設備的運行、管理與維護工作,確保信息系統的安全、穩定、連續運行。系統管理員包括網絡管理員、數據庫管理員、應用系統管理 2 員。
(二)安全保密管理員負責安全技術設備、策略實施和管理工作,包括用戶帳號管理以及安全保密設備和系統所產生日志的審查分析。
(三)安全審計員負責安全審計設備安裝調試,對各種系統操作行為進行安全審計跟蹤分析和監督檢查,以及時發現違規行為,并每月向涉密信息系統安全保密領導小組辦公室匯報一次情況。
第三章
系統建設管理
第十四條
規劃和建設涉密信息系統時,按照涉密信息系統分級保護標準的規定,同步規劃和落實安全保密措施,系統建設與安全保密措施同計劃、同預算、同建設、同驗收。
第十五條
涉密信息系統規劃和建設的安全保密方案,應由具有“涉及國家秘密的計算機信息系統集成資質”的機構編制或自行編制,安全保密方案必須經上級保密主管部門審批后方可實施。
第十六條
涉密信息系統規劃和建設實施時,應由具有“涉及國家秘密的計算機信息系統集成資質”的機構實施或自行實施,并與實施方簽署保密協議,項目竣工后必須由保密辦和科技信息部共同組織驗收。
第十七條
對涉密信息系統要采取與密級相適應的保密措施,配備通過國家保密主管部門指定的測評機構檢測的安全保密產品。涉密信息系統使用的軟件產品必須是正版軟件。
第四章
信息管理
第一節
信息分類與控制
第十八條
涉密信息系統的密級,按系統中所處理信息的最高密級設定,嚴禁處理 3 高于涉密信息系統密級的涉密信息。
第十九條
涉密信息系統中產生、存儲、處理、傳輸、歸檔和輸出的文件、數據、圖紙等信息及其存儲介質應按要求及時定密、標密,并按涉密文件進行管理。電子文件密級標識應與信息主體不可分離,密級標識不得篡改。涉密信息系統中的涉密信息總量每半年進行一次分類統計、匯總,并在保密辦備案。
第二十條
涉密信息系統應建立安全保密策略,并采取有效措施,防止涉密信息被非授權訪問、篡改,刪除和丟失;防止高密級信息流向低密級計算機。涉密信息遠程傳輸必須采取密碼保護措施。
第二十一條
向涉密信息系統以外的單位傳遞涉密信息,一般只提供紙質文件,確需提供涉密電子文檔的,按信息交換及中間轉換機管理規定執行。
第二十二條
清除涉密計算機、服務器等網絡設備、存儲介質中的涉密信息時,必須使用符合保密標準、要求的工具或軟件。
第二節
用戶管理與授權
第二十三條
根據本部門、單位使用涉密信息系統的密級和實際工作需要,確定人員知悉范圍,以此作為用戶授權的依據。
第二十四條
用戶清單管理
(一)科技信息部管理“研究試驗堆燃料元件數字化信息系統”和“中核集團涉密廣域網”用戶清單;財會部管理“財務會計核算網”用戶清單;
(二)新增用戶時,由用戶本人提出書面申請,經本部門、單位審核,科技信息部、保密辦審批后,由科技信息部備案并統一建立用戶;“財務會計核算網”的用戶由財會部統一建立;
(三)刪除用戶時,由用戶本人所在部門、單位書面通知科技信息部,核準后由安全保密管理員即時將用戶在涉密信息系統內的所有帳號、權限廢止;“財務會計核算網” 4 的刪除用戶由財會部統一刪除用戶帳號、權限。
第二十五條
用戶標識符管理
(一)用戶登錄系統時所使用的用戶身份標識,由用戶本人提出書面申請,經本部門、單位審核,科技信息部、保密辦審批后,由系統管理員產生,并確保用戶標識在此系統生命周期中的唯一性;
(二)安全保密管理員每月一次檢查與用戶身份標識相關的日志,發現異常情況,應及時向保密辦報告。
第二十六條 用戶授權管理
(一)涉密信息系統用戶授權應遵循最小授權分配原則,安全保密管理員對所有用戶的權限明細文檔化;
(二)安全審計員每月審查權限列表,發現異常情況,應及時向保密辦報告。
第三節
信息系統互聯
第二十七條 涉密信息系統必須與國際互聯網和其它公共信息系統實行物理隔離。禁止將涉密計算機和涉密信息系統直接接入公司內部非涉密信息系統,確因工作需要接入時必須采用符合保密標準的信息隔離交換系統進行必要的邊界控制措施。
第五章
運行維護管理
第二十八條 涉密信息系統投入運行前,應當經過國家保密工作部門審批,未經審批的涉密信息系統不得處理涉密信息。
第二十九條
涉密信息系統應與用戶終端實施IP-MAC,并隨人員、崗位等變化及時調整。涉密信息系統的用戶終端、服務器等設備設施應進行安全加固,關閉不必要的帳戶、服務和端口,并設置規范的口令策略。
涉密設備(導線)與外網、通訊設備(導線)和其他導體的隔離應符合保密要求。
第三十條
涉密信息系統與國際互聯網、公眾信息網絡等非涉密信息系統(以下簡稱外網)的信息交換,按信息交換及中間轉換機管理規定執行。
第三十一條
禁止使用非涉密信息系統(包括非涉密單機)存儲和處理涉密信息。第三十二條
建立健全防病毒軟件(含木馬查殺)升級、打補丁機制,及時升級病毒和惡意代碼樣本庫,進行病毒和惡意代碼查殺,及時安裝操作系統、數據庫和應用系統的補丁程序。防病毒軟件應使用經國家主管部門批準的防病毒軟件。
第三十三條
未經科技信息部審批,禁止對涉密信息系統格式化或重裝操作系統,禁止刪除涉密信息系統的移動存儲介質及外部設備(包括服務器等網絡設備)等日志記錄。
第三十四條
涉密應用軟件開發及運行維護必須選擇具有相關保密資質的單位承擔,并與之簽訂《保密協議書》,協議書必須經保密辦審查備案,明確保密要求,防止國家秘密的泄露。
第三十五條
涉密信息系統中的信息輸出應當集中管理,有效控制,建立集中打印控制機制。
第三十六條
涉密信息系統用戶終端不準安裝、運行、使用與工作無關的軟件,嚴禁安裝具有無線通訊功能的軟件。未經科技信息部審批,用戶終端禁止安裝或拆卸硬件設備和軟件及更改系統設置。用戶終端的應用軟件安裝情況登記備案,每季度進行一次核查。
第三十七條
涉密設備嚴禁具有無線互聯功能,不能安裝紅外接口、無線網卡、無線鼠標、無線鍵盤等。
第三十八條
對集中存放涉密信息系統服務器、交換機等涉密設備的場所列入保密要害部位管理,建立出入登記、外來人員審查等管理制度。
第三十九條
涉密信息系統應采取身份鑒別、訪問控制和安全審計等技術保護措施。第四十條
涉密信息系統建立文檔化的安全保密策略,并根據環境、系統和威脅變 6 化情況及時調整更新安全保密策略。
第四十一條
涉密信息系統建立文檔化的安全保密審計報告,機密級1個月、秘密級3個月進行一次審計日志收集、整理、分析,按要求形成文檔化安全審計報告并備案。
第四十二條
涉密信息系統建立文檔化的風險評估分析報告,每半年根據系統綜合日志進行一次風險評估(自評估或檢查評估),形成文檔化的風險分析報告,對存在的風險及時采取補救措施。
第四十三條
涉密信息系統建立實時入侵檢測系統,做到實時監測系統網絡設備、終端和服務器的各種攻擊行為。應具有漏洞掃描技術,以提前警告網絡系統中系統的弱點所在,防止黑客入侵和內部人員的誤用。
第四十四條
涉密信息系統使用國家有關主管部門批準的檢測工具對系統進行安全保密性能檢測,檢測工具版本應及時更新、升級。
第六章
設備與介質管理
第四十五條
計算機和信息系統設備包括:網絡設備、服務器、用戶終端(臺式計算機、便攜式計算機、工業控制機等)、掃描儀、打印輸出設備及網絡安全保密產品等;介質包括:紙介質、存儲介質及其它記錄載體(如計算機硬盤、光盤、移動硬盤、優盤、軟盤和錄音帶、錄像帶、數碼相機存儲卡等)。
第四十六條
接入涉密信息系統的設備和介質稱為涉密設備和涉密存儲介質,并按統一技術要求和部署方式進行管理。涉密設備和存儲介質應與國際互聯網和其他公眾信息網絡實行物理隔離;系統內的設備、介質、設施根據其處理信息的最高密級標明涉密等級和主要用途。
第四十七條 計算機和信息系統中使用的設備、存儲介質應遵循“統一購置、統一標識、嚴格登記、規范管理”的原則,嚴格執行國家秘密載體保密管理規定。
第四十八條 各部門、單位指定專人負責涉密設備和介質的日常管理工作,建立存儲介質登記備案、定期核查與信息清理制度。保密辦對涉密設備的采購、使用、維修、變更、報廢負有指導、監督、檢查的職責,對存儲介質歸口管理。
第一節
設備管理
第四十九條 采購管理
(一)涉密設備選用國產設備,涉密系統集成與系統服務、安全產品的采購,不得進行公開招標,須在具有資質的單位和經國家主管部門批準范圍內選擇,且供方應具有完備的資質證明和良好的信譽,以及長期供貨和代維護能力;
(二)采購部門不得向供應方透露涉密設備的最終用戶;
(三)采購的計算機,統一不配備光驅、軟驅、視頻設備及具有無線互聯功能的無線鍵盤、無線鼠標、紅外接口、無線網卡等。確因工作需要配備的,經保密辦審批后配發;
(四)科技信息部做好資產清單和臺帳管理,涉密設備需在保密辦備案并粘貼密級標識后投入使用。臺帳注明涉密設備使用人、安全責任人、安全分類以及資產所在的位置,并且每半年對涉密設備清查核對一次。
第五十條
使用管理
(一)各部門、單位建立涉密設備、打印機等準入審批、使用登記、銷毀等備案制度。
(二)涉密設備的電磁泄露發射應符合國家有關保密標準,并采取相應防護措施。涉密設備和傳輸線路應符合紅黑隔離要求,并采取電源濾波防護措施。
(三)用戶終端登錄識別技術應采用以下二種方式之一:
1、數字證書機制采用USBKey與PIN口令相結合的方式進行身份鑒別,口令長度設置不少于十位。USBKey按機密級密件管理,應及時修改初始的PIN碼,并將USBKey 8 妥善保管。
2、密碼口令。機密級密碼口令長度不得少于十個字符,每周至少更換一次;秘密級密碼口令長度不得少于八個字符,每月至少更換一次;口令采用大小寫英文字母、數字和特殊字符等兩者以上的組合。
(四)在其他信息系統使用過的設備以及新增設備接入涉密計算機和信息系統之前,應進行病毒(含木馬)及惡意代碼的檢測、查殺。
第五十一條 維修管理
(一)涉密設備維修時,應向科技信息部提出申請,科技信息部對維修的涉密設備檢查診斷后,作出公司內維修或外出維修的判斷,并通知部門、單位;
(二)涉密設備維修原則上來公司現場維修,維修時應有專人現場監管;
(三)涉密設備外出維修時,對涉密設備預先采取保密措施,拆除存儲部件,并有專人在場監控維修全過程;外出維修的涉密設備,原則上不能在外存放,當日未維修完畢的應帶回公司存放,次日再送出去維修;涉密設備維修時應與維修單位簽訂保密協議;
(四)涉密設備確需恢復存儲的數據、信息時,應經保密辦審批后在具有涉密數據恢復資質的單位進行;
(五)維修時更換下的硬盤、存儲卡,必須將舊件按涉密載體進行管理,禁止將舊件抵價維修或隨意拋棄;
(六)維修的涉密設備應做好維修情況記錄,存檔備查。第五十二條 變更管理
(一)涉密設備變更用途時,應事先提出變更申請并清除其存儲的涉密信息,經保密辦審核批準后辦理變更。變更程序是:
1、公司內部門、單位之間調配涉密設備,由科技信息部提出變更調配計劃并作技術支持,接收單位辦理變更手續并到保密辦變更涉密設備臺帳;
2、部門、單位內部調整變更涉密設備,由部門、單位領導批準,并通知保密辦變更涉密計算機臺帳;
3、調配變更后的涉密設備要及時確定密級,并粘貼密級標識。
(二)涉密設備變更密級,遵循如下保密規定:
1、絕密級設備不得進行變更;
2、不變更使用人及使用部門、單位,升密時存儲介質(包括硬盤、儲存卡)可不更換,降密或脫密時必須更換存儲介質;
3、變更使用人或使用部門、單位,升密、降密必須更換存儲介質;
4、存儲介質的更換由科技信息部辦理,新存儲介質到保密辦領取,更換下的舊存儲介質交保密辦;
5、非涉密設備變更為涉密設備,需對存儲介質進行格式化,重新安裝操作系統,并拆除視頻設備和無線互聯功能模塊。
第五十三條 報廢管理
(一)對批準報廢的信息設備拆除存儲介質并交保密辦集中統一銷毀或再利用;
(二)淘汰或報廢的涉密設備,不得用于公益捐贈,或流入舊貨市場。
第二節
介質管理
第五十四條
購置和發放
(一)申請部門、單位根據需要向保密辦提出所需存儲介質種類、數量的申請;
(二)保密辦對申請進行審核后報主管領導審批,并按批準的種類、數量集中采購;
(三)保密辦按存儲介質種類和密級統一編號、登記、粘貼標識后發放存儲介質;
(四)各部門、單位由專人管理存儲介質,建立臺帳,定期核查。第五十五條 使用和維護
(一)涉密存儲介質應根據所存儲信息的最高密級劃定密級,并在明顯位置粘貼密 10 級標識,禁止使用無標識的存儲介質。涉密存儲介質嚴禁在聯接互聯網的計算機和非涉密計算機上使用;
(二)在涉密信息系統內使用的涉密存儲介質采取綁定或有效的技術接入控制措施,使涉密存儲介質只能在授權的涉密計算機上使用。未采用綁定技術的涉密計算機,須采取關閉和監控數據端口(USB口)的物理防護措施進行控制;
(三)嚴格控制其它存儲介質的使用,對光盤、軟盤等移動存儲介質應采用關閉數據接口或禁止驅動設備使用等方式加以控制;
(四)禁止在低密級計算機上使用高密級存儲介質,禁止在低密級存儲介質上存儲高密級信息;
(五)高密級存儲介質用于存儲低密級信息時,應當按照存儲介質原標識的高密級進行管理;
(六)存放涉密存儲介質的場所、部位和設備應符合安全保密要求,集中統一管理;
(七)禁止外來的存儲介質接入涉密信息系統,如需導入信息,應采取安全準入許可制度,經部門、單位領導審批后,按信息交換及中間轉換機管理規定執行;
(八)存儲過絕密級信息的介質不能降低密級使用;
(九)嚴禁將個人具有存儲功能的存儲介質和電子設備(mp3、mp4、優盤、手機、掌上電腦等)帶入公司;嚴禁將涉密存儲介質帶出工作場所,確需攜帶外出,經本部門、單位領導審批且備案后方可出廠,隨身攜帶,嚴防被盜或丟失;
(十)經保密辦批準,允許與涉密信息系統相連的數碼設備(如相機、錄音筆)等,應按涉密載體管理;
(十一)涉密存儲介質的維修和維護由科技信息部統一負責,外送維修須經主管領導審批同意,并送指定維修點維修;
(十二)發現存儲介質丟失,應立即報告本部門、單位和保密辦,并及時組織查處。
第五十六條 保管和銷毀
(一)涉密存儲介質必須由本部門、單位集中統一保管并在有安全保障的保密柜中保存;
(二)對重要的存儲介質,應定期進行循環復制備份;
(三)存儲介質的報廢、銷毀,由應編制銷毀清單,由本部門、單位主要領導簽字后,統一交保密辦鑒定并做消磁或粉碎處理。
第七章
信息交換及中間轉換機管理
第五十七條
涉密計算機和信息系統與其他計算機和信息系統的信息交換必須經過中間轉換機。
中間轉換機是指與任何計算機和信息系統實現物理隔離、獨立運行的專用計算機,專門用于涉密計算機和涉密信息系統與其它計算機和信息系統之間的信息交換。中間轉換機分為非涉密中間轉換機和涉密中間轉換機,中間轉換機上應安裝符合國家保密要求的計算機病毒和惡意代碼防護產品。
非涉密中間轉換機用于從國際互聯網、公眾信息網絡和非涉密信息系統到涉密計算機和涉密信息系統進行外部非涉密信息的載入,包括計算機病毒和惡意代碼樣本庫、補丁程序、應用程序和其它相關信息等。
涉密中間轉換機用于從公司外部的涉密計算機和涉密信息系統(涉密移動存儲介質)到公司內部涉密計算機和涉密信息系統的信息交換。涉密中間轉換機的密級應根據轉換信息的最高密級確定。
涉密網絡中間轉換機是指單位接入涉密信息系統的管理員專用于信息交換的涉密計算機。
專用涉密傳遞盤是指經技術綁定后的公司各單位內部及各部門、單位之間用于涉密 12 信息系統與涉密單機、涉密單機之間信息傳遞的優盤。
第五十八條
中間轉換機的配置、使用與日常管理
(一)涉密信息系統使用部門、單位需配置涉密網絡中間轉換機、非涉密中間轉換機和專用涉密傳遞盤;
(二)黨政辦設置1臺涉密中間轉換機(全公司共用),用于公司外部涉密存儲介質上載涉密信息到公司涉密信息系統(或涉密單機);
(三)中間轉換機、專用涉密傳遞盤由各部門、單位中間轉換機管理員負責管理和使用;
(四)中間轉換機上應用軟件由科技信息部統一安裝,各單位不得安裝、使用除統一安裝軟件以外的任何軟件;
(五)防病毒軟件升級工作由中間轉換機管理員負責完成,必須保證每周對中間轉換機防病毒軟件升級1次,升級包到科技信息部統一制作、拷貝,并做好升級記錄;
(六)中間轉換機應專機專用,專人管理,不能用于其它工作。中間轉換機管理員做好工作記錄(包括信息名稱、密級、來源、用途、時間、人員等)。
第五十九條
從國際互聯網、公眾信息網和非涉密信息系統(含非涉密計算機)上載信息到涉密計算機和涉密信息系統操作步驟:
(一)填寫審批單,經部門、單位領導批準后方可進行上載信息;
(二)將信息上載到非涉密中間機;
(三)拔除上載信息存儲介質;
(四)在非涉密中間轉換機中對上載信息進行計算機病毒、惡意代碼、間諜軟件、木馬程序的查殺;
(五)將上載信息刻錄到只讀光盤;
(六)將存有上載信息的光盤放入涉密計算機或涉密網絡中間轉換機中,上載到涉 13 密計算機和涉密信息系統中;
(七)記錄上載過程,光盤應存檔備案,存儲介質格式化處理。
第六十條
公司內部單臺涉密計算機之間、單臺涉密計算機與涉密信息系統之間的信息交換,使用綁定措施的涉密存儲介質進行交換或刻錄到只讀光盤;記錄上載過程,光盤應存檔備案。
第六十一條
從公司外部涉密存儲介上載涉密信息到涉密計算機和涉密信息系統操作步驟:
(一)填寫審批單,經部門、單位領導批準后方可進行上載信息;
(二)將信息上載到涉密中間轉換機;
(三)拔除外部涉密存儲介質;
(四)在涉密中間轉換機中對上載信息進行計算機病毒、惡意代碼、間諜軟件、木馬程序的查殺;
(五)將需要上載的涉密信息刻錄到只讀光盤或拷貝到專用涉密傳遞盤;
(六)將存有上載信息的涉密光盤或介質放入涉密計算機或涉密網絡中間轉換機中,上載到涉密計算機和涉密信息系統中;
(七)記錄上載過程,光盤應存檔備案,專用涉密傳遞盤交還中間轉換機管理人員,并及時進行信息清除或格式化處理。
第六十二條
涉密計算機和涉密信息系統中的非涉密信息對外交換一般應當采用打印輸出紙質文件方式進行,確需電子信息時在涉密計算機和涉密網絡中間機將上載信息刻錄到只讀光盤,并記錄上載過程,光盤存檔備案。
第八章
國際互聯網計算機管理
第六十三條 接入國際互聯網的計算機,開通前須由接入部門、單位提出申請,保 14 密辦審核,公司分管領導審批。開通、審批堅持“工作必須”的原則。
第六十四條 國際互聯網計算機實行專人負責、專機上網管理,嚴禁存儲、處理、傳遞涉密信息和內部敏感信息。接入互聯網的計算機須建立使用登記制度。
第六十五條 上網信息實行“誰上網誰負責”的保密管理原則,信息上網必須經過嚴格審查和批準,堅決做到“涉密不上網,上網不涉密”。對上網信息進行擴充或更新,應重新進行保密審查。
第六十六條 任何部門、單位和個人不得在電子郵件、電子公告系統、聊天室、網絡新聞組、博客等上發布、談論、傳遞、轉發或抄送國家秘密信息。
第六十七條 從國際互聯網或其它公眾信息網下載程序和軟件工具等轉入涉密系統,經科技信息部審批后,按照信息交換及中間轉換機管理規定執行。
第九章
便攜式計算機管理
第六十八條
便攜式計算機(包括涉密便攜式計算機和非涉密便攜式計算機)實行“誰擁有,誰使用,誰負責”的保密管理原則,使用者須與公司簽定保密承諾書。
第六十九條 涉密便攜式計算機根據工作需要確定密級,粘貼密級標識,按照涉密設備進行管理,保密辦備案后方可使用。
第七十條
便攜式計算機應具備防病毒、防非法外聯和身份認證(設置開機密碼口令)等安全保密防護措施。
第七十一條
禁止使用涉密便攜式計算機上國際互聯網和非涉密網絡;嚴禁涉密便攜式計算機與涉密信息系統互聯。
第七十二條
涉密便攜式計算機不得處理絕密級信息。未經保密辦審批,嚴禁在涉密便攜式計算機中存儲涉密信息。處理、存儲涉密信息應在涉密移動存儲介質上進行,并與涉密便攜式計算機分離保管。
第七十三條
禁止使用私有便攜式計算機處理辦公信息;嚴禁非涉密便攜式計算機存儲、處理涉密信息;嚴禁將涉密存儲介質接入非涉密便攜式計算機使用。
第七十四條 公司配備專供外出攜帶的涉密便攜式計算機和涉密存儲介質,按照“集中管理、審批借用”的原則進行管理,建立使用登記制度。外出攜帶的涉密便攜式計算機須經保密辦檢查后方可帶出公司,返回時須進行技術檢查。
第七十五條
因工作需要外單位攜帶便攜式計算機進入公司辦公區域,需辦理保密審批手續。
第十章
應急響應管理
第七十六條 為有效預防和處置涉密信息系統安全突發事件,及時控制和消除涉密信息系統安全突發事件的危害和影響,保障涉密信息系統的安全穩定運行,科技信息部和財會部應分別制定相應應急響應預案,經公司涉密信息系統安全保密領導小組審批后實施。
第七十七條 應急響應預案用于涉密信息系統安全突發事件。突發事件分為系統運行安全事件和泄密事件,根據事件引發原因分為災害類、故障類或攻擊類三種情況。
(一)災害事件:根據實際情況,在保障人身安全前提下,保障數據安全和設備安全。
(二)故障或攻擊事件:判斷故障或攻擊的來源與性質,關閉影響安全與穩定的網絡設備和服務器設備,斷開信息系統與攻擊來源的網絡物理連接,跟蹤并鎖定攻擊來源的IP地址或其它網絡用戶信息,修復被破壞的信息,恢復信息系統。按照事件發生的性質分別采用以下方案:
1、病毒傳播:及時尋找并斷開傳播源,判斷病毒的類型、性質、可能的危害范圍。為避免產生更大的損失,保護計算機,必要時可關閉相應的端口,尋找并公布病毒攻擊 16 信息,以及殺毒、防御方法;
2、外部入侵:判斷入侵的來源,評價入侵可能或已經造成的危害。對入侵未遂、未造成損害的,且評價威脅很小的外部入侵,定位入侵的IP地址,及時關閉入侵的端口,限制入侵的IP地址的訪問。對于已經造成危害的,應立即采用斷開網絡連接的方法,避免造成更大損失和帶來的影響;
3、內部入侵:查清入侵來源,如IP地址、所在區域、所處辦公室等信息,同時斷開對應的交換機端口,針對入侵方法調整或更新入侵檢測設備。對于無法制止的多點入侵和造成損害的,應及時關閉被入侵的服務器或相應設備;
4、網絡故障:判斷故障發生點和故障原因,能夠迅速解決的盡快排除故障,并優先保證主要應用系統的運轉;
5、其它未列出的不確定因素造成的事件,結合具體的情況,做出相應的處理。不能處理的及時咨詢,上報公司信息安全領導小組。
第七十八條 按照信息安全突發事件的性質、影響范圍和造成的損失,將涉密信息系統安全突發事件分為特別重大事件(I級)、重大事件(II級)、較大事件(III級)和一般事件(IV級)四個等級。
(一)一般事件由科技信息部(或財會部)依據應急響應預案進行處置;
(二)較大事件由科技信息部(或財會部)、保密辦依據應急響應預案進行處置,及時向公司信息安全領導小組報告并提請協調處置;
(三)重大事件啟動應急響應預案,對突發事件進行處置,及時向公司黨政報告并提請協調處置;
(四)特別重大事件由公司報請中核集團公司對信息安全突發事件進行處置。第七十九條 發生突發事件(如涉密數據被竊取或信息系統癱瘓等)應按如下應急響應的基本步驟、基本處理辦法和流程進行處理:
(一)上報科技信息部和保密辦;
(二)關閉系統以防止造成數據損失;
(三)切斷網絡,隔離事件區域;
(四)查閱審計記錄尋找事件源頭;
(五)評估系統受損程度;
(六)對引起事件漏洞進行整改;
(七)對系統重新進行風險評估;
(八)由保密辦根據風險評估結果并書面確認安全后,系統方能重新運行;
(九)對事件類型、響應、影響范圍、補救措施和最終結果進行詳細的記錄;
(十)依照法規制度對責任人進行處理。
第八十條 科技信息部、財會部應會同保密辦每年組織一次應急響應預案演練,檢驗應急響應預案各環節之間的通信、協調、指揮等是否快速、高效,并對其效果進行評估,以使用戶明確自己的角色和責任。應急響應相關知識、技術、技能應納入信息安全保密培訓內容,并記錄備案。
第十一章
人員管理
第八十一條
各部門、單位每年應組織開展不少于1次的全員信息安全保密知識技能教育與培訓,并記錄備案。
第八十二條
涉密人員離崗、離職,應及時調整或取消其訪問授權,并將其保管的涉密設備、存儲介質全部清退并辦理移交手續。
第八十三條
承擔涉密信息系統日常管理工作的系統管理員、安全保密管理員、安全審計管理員應按重要涉密人員管理。
第十二章
督查與獎懲
第八十四條 公司每年應對涉密信息系統安全保密狀況、安全保密制度和措施的落實情況進行一次自查,并接受國家和上級單位的指導和監督。涉密信息系統每兩年接受一次上級部門開展的安全保密測評或保密檢查,檢查結果存檔備查。
第八十五條 檢查涉密計算機和信息系統的保密檢查工具和涉密信息系統所使用的安全保密、漏洞檢查(取證)軟件等,應覆蓋保密檢查的項目,并通過國家保密局的檢測。安全保密檢查工具應及時升級或更新,確保檢查時使用最新版本。
第八十六條 各部門、單位應將員工遵守涉密計算機及信息系統安全保密管理制度的情況,納入保密自查、考核的重要內容。對違反本規定造成失泄密的當事人及有關責任人,按公司保密責任考核及獎懲規定執行。
第十三章
附
則
第八十七條 本規定由保密辦負責解釋與修訂。
第八十八條 本規定自發布之日起實施。原《計算機磁(光)介質保密管理規定)[制度編號:(廠1908號)]、《涉密計算機信息系統保密管理規定》[制度編號:(2006)廠1911號]、《涉密計算機采購、維修、變更、報廢保密管理規定》[制度編號:(2007)廠1925號]、《國際互聯網信息發布保密管理規定》[制度編號:(2007)廠1926號]、《涉密信息系統信息保密管理規定》[制度通告:(2008)0934號]、《涉密信息系統安全保密管理規定》[制度通告:(2008)0935號]同時廢止。
第五篇:計算機和信息系統安全保密管理規定
計算機和信息系統安全保密管理規定
第一章 總則
第一條 為加強公司計算機和信息系統(包括涉密信息系統和非涉密信息系統)
安全保密管理,確保國家秘密及商業秘密的安全,根據國家有關保密法規標準和中核集團公司有關規定,制定本規定。
第二條 本規定所稱涉密信息系統是指由計算機及其相關的配套設備、設施構成的,按照一定的應用目標和規定存儲、處理、傳輸涉密信息的系統或網絡,包括機房、網絡設備、軟件、網絡線路、用戶終端等內容。
第三條 涉密信息系統的建設和應用要本著“預防為主、分級負責、科學管理、保障安全”的方針,堅持“誰主管、誰負責,誰使用、誰負責”和“控制源頭、歸口管理、加強檢查、落實制度”的原則,確保涉密信息系統和國家秘密信息安全。
第四條 涉密信息系統安全保密防護必須嚴格按照國家保密標準、規定和集團公司文件要求進行設計、實施、測評審查與審批和驗收;未通過國家審批的涉密信息系統,不得投入使用。
第五條 本規定適用于公司所有計算機和信息系統安全保密管理工作。第二章 管理機構與職責
第六條 公司法人代表是涉密信息系統安全保密第一責任人,確保涉密信息系統安全保密措施的落實,提供人力、物力、財力等條件保障,督促檢查領導責任制落實。第七條 公司保密委員會是涉密信息系統安全保密管理決策機構,其主要職責:
(一)建立健全安全保密管理制度和防范措施,并監督檢查落實情況;
(二)協調處理有關涉密信息系統安全保密管理的重大問題,對重大失泄密事件進行查處。
第八條 成立公司涉密信息系統安全保密領導小組,保密辦、科技信息部(信息化)、黨政辦公室(密碼)、財會部、人力資源部、武裝保衛部和相關業務部門、單位為成員單位,在公司黨政和保密委員會領導下,組織協調公司涉密信息系統安全保密管理工作。
第九條 保密辦主要職責:
(一)擬定涉密信息系統安全保密管理制度,并組織落實各項保密防范措施;
(二)對系統用戶和安全保密管理人員進行資格審查和安全保密教育培訓,審查涉密信息系統用戶的職責和權限,并備案;
(三)組織對涉密信息系統進行安全保密監督檢查和風險評估,提出涉密信息系統安全運行的保密要求;
(四)會同科技信息部對涉密信息系統中介質、設備、設施的授權使用的審查,建立涉密信息系統安全評估制度,每年對涉密信息系統安全措施進行一次評審;
(五)對涉密信息系統設計、施工和集成單位進行資質審查,對進入涉密信息系統的安全保密產品進行準入審查和規范管理,對涉密信息系統進行安全保密性能檢測;
(六)對涉密信息系統中各應用系統進行定密、變更密級和解密工作進行審核;
(七)組織查處涉密信息系統失泄密事件。第十條
科技信息部、財會部主要職責是:
(一)組織、實施涉密信息系統的規劃、設計、建設,制定安全保密防護方案;
(二)落實涉密信息系統安全保密策略、運行安全控制、安全驗證等安全技術措施;每半年對涉密信息系統進行風險評估,提出整改措施,經涉密信息系統安全保密領導小組批準后組織實施,確保安全技術措施有效、可靠;
(三)落實涉密信息系統中各應用系統進行用戶權限設置及介質、設備、設施的授權使用、保管以及維護等安全保密管理措施;
(四)配備涉密信息系統管理員、安全保密管理員和安全審計員,并制定相應的職責; “三員”角色不得兼任,權限設置相互獨立、相互制約;“三員”應通過安全保密培訓持證上崗;
(五)落實計算機機房、配線間等重要部位的安全保密防范措施及網絡的安全管理,負責日常業務數據及其他重要數據的備份管理;
(六)配合保密辦對涉密信息系統進行安全檢查,對存在的隱患進行及時整改;
(七)制定應急預案并組織演練,落實應急措施,處理信息安全突發事件。第十一條 黨政辦公室主要職責:
按照國家密碼管理的相關要求,落實涉密信息系統中普密設備的管理措施。
第十二條 相關業務部門、單位主要職責:涉密信息系統的使用部門、單位要嚴格遵守保密管理規定,教育員工提高安全保密意識,落實涉密信息系統各項安全防范措施;準確確定應用系統密級,制定并落實相應的二級保密管理制度。
第十三條 涉密信息系統配備系統管理員、安全保密管理員、安全審計員,其職責是:
(一)系統管理員負責系統中軟硬件設備的運行、管理與維護工作,確保信息系統的安全、穩定、連續運行。系統管理員包括網絡管理員、數據庫管理員、應用系統管理員。
(二)安全保密管理員負責安全技術設備、策略實施和管理工作,包括用戶帳號管理以及安全保密設備和系統所產生日志的審查分析。
(三)安全審計員負責安全審計設備安裝調試,對各種系統操作行為進行安全審計跟蹤分析和監督檢查,以及時發現違規行為,并每月向涉密信息系統安全保密領導小組辦公室匯報一次情況。第三章 系統建設管理
第十四條 規劃和建設涉密信息系統時,按照涉密信息系統分級保護標準的規定,同步規劃和落實安全保密措施,系統建設與安全保密措施同計劃、同預算、同建設、同驗收。
第十五條 涉密信息系統規劃和建設的安全保密方案,應由具有“涉及國家秘密的計算機信息系統集成資質”的機構編制或自行編制,安全保密方案必須經上級保密主管部門審批后方可實施。
第十六條 涉密信息系統規劃和建設實施時,應由具有“涉及國家秘密的計算機信息系統集成資質”的機構實施或自行實施,并與實施方簽署保密協議,項目竣工后必須由保密辦和科技信息部共同組織驗收。
第十七條 對涉密信息系統要采取與密級相適應的保密措施,配備通過國家保密主管部門指定的測評機構檢測的安全保密產品。涉密信息系統使用的軟件產品必須是正版軟件。
第四章 信息管理
第一節 信息分類與控制
第十八條 涉密信息系統的密級,按系統中所處理信息的最高密級設定,嚴禁處理高于涉密信息系統密級的涉密信息。
第十九條 涉密信息系統中產生、存儲、處理、傳輸、歸檔和輸出的文件、數據、圖紙等信息及其存儲介質應按要求及時定密、標密,并按涉密文件進行管理。電子文件密級標識應與信息主體不可分離,密級標識不得篡改。涉密信息系統中的涉密信息總量每半年進行一次分類統計、匯總,并在保密辦備案。第二十條 涉密信息系統應建立安全保密策略,并采取有效措施,防止涉密信息被非授權訪問、篡改,刪除和丟失;防止高密級信息流向低密級計算機。涉密信息遠程傳輸必須采取密碼保護措施。
第二十一條 向涉密信息系統以外的單位傳遞涉密信息,一般只提供紙質文件,確需提供涉密電子文檔的,按信息交換及中間轉換機管理規定執行。
第二十二條 清除涉密計算機、服務器等網絡設備、存儲介質中的涉密信息時,必須使用符合保密標準、要求的工具或軟件。第二節 用戶管理與授權
第二十三條 根據本部門、單位使用涉密信息系統的密級和實際工作需要,確定人員知悉范圍,以此作為用戶授權的依據。第二十四條 用戶清單管理
(一)科技信息部管理“研究試驗堆燃料元件數字化信息系統”和“中核集團涉密廣域網”用戶清單;財會部管理“財務會計核算網”用戶清單;
(二)新增用戶時,由用戶本人提出書面申請,經本部門、單位審核,科技信息部、保密辦審批后,由科技信息部備案并統一建立用戶;“財務會計核算網”的用戶由財會部統一建立;
(三)刪除用戶時,由用戶本人所在部門、單位書面通知科技信息部,核準后由安全保密管理員即時將用戶在涉密信息系統內的所有帳號、權限廢止;“財務會計核算網”密辦審核,公司分管領導審批。開通、審批堅持“工作必須”的原則。
第六十四條 國際互聯網計算機實行專人負責、專機上網管理,嚴禁存儲、處理、傳遞涉密信息和內部敏感信息。接入互聯網的計算機須建立使用登記制度。
第六十五條 上網信息實行“誰上網誰負責”的保密管理原則,信息上網必須經過嚴格審查和批準,堅決做到“涉密不上網,上網不涉密”。對上網信息進行擴充或更新,應重新進行保密審查。
第六十六條 任何部門、單位和個人不得在電子郵件、電子公告系統、聊天室、網絡新聞組、博客等上發布、談論、傳遞、轉發或抄送國家秘密信息。
第六十七條 從國際互聯網或其它公眾信息網下載程序和軟件工具等轉入涉密系統,經科技信息部審批后,按照信息交換及中間轉換機管理規定執行。第九章 便攜式計算機管理 第六十八條 便攜式計算機(包括涉密便攜式計算機和非涉密便攜式計算機)實行 “誰擁有,誰使用,誰負責”的保密管理原則,使用者須與公司簽定保密承諾書。
第六十九條 涉密便攜式計算機根據工作需要確定密級,粘貼密級標識,按照涉密設備進行管理,保密辦備案后方可使用。
第七十條 便攜式計算機應具備防病毒、防非法外聯和身份認證(設置開機密碼口令)等安全保密防護措施。
第七十一條 禁止使用涉密便攜式計算機上國際互聯網和非涉密網絡;嚴禁涉密便攜式計算機與涉密信息系統互聯。
第七十二條 涉密便攜式計算機不得處理絕密級信息。未經保密辦審批,嚴禁在涉密便攜式計算機中存儲涉密信息。處理、存儲涉密信息應在涉密移動存儲介質上進行,并與涉密便攜式計算機分離保管。
第七十三條 禁止使用私有便攜式計算機處理辦公信息;嚴禁非涉密便攜式計算機存儲、處理涉密信息;嚴禁將涉密存儲介質接入非涉密便攜式計算機使用。
第七十四條 公司配備專供外出攜帶的涉密便攜式計算機和涉密存儲介質,按照 “集中管理、審批借用”的原則進行管理,建立使用登記制度。外出攜帶的涉密便攜式計算機須經保密辦檢查后方可帶出公司,返回時須進行技術檢查。第七十五條 因工作需要外單位攜帶便攜式計算機進入公司辦公區域,需辦理保密審批手續。
第十章 應急響應管理
第七十六條
為有效預防和處置涉密信息系統安全突發事件,及時控制和消除涉密信息系統安全突發事件的危害和影響,保障涉密信息系統的安全穩定運行,科技信息部和財會部應分別制定相應應急響應預案,經公司涉密信息系統安全保密領導小組審批后實施。
第七十七條 應急響應預案用于涉密信息系統安全突發事件。突發事件分為系統運行安全事件和泄密事件,根據事件引發原因分為災害類、故障類或攻擊類三種情況。
(一)災害事件:根據實際情況,在保障人身安全前提下,保障數據安全和設備安
(二)故障或攻擊事件:判斷故障或攻擊的來源與性質,關閉影響安全與穩定的網絡設備和服務器設備,斷開信息系統與攻擊來源的網絡物理連接,跟蹤并鎖定攻擊來源的IP地址或其它網絡用戶信息,修復被破壞的信息,恢復信息系統。按照事件發生的性質分別采用以下方案:
1、病毒傳播:及時尋找并斷開傳播源,判斷病毒的類型、性質、可能的危害范圍。為避免產生更大的損失,保護計算機,必要時可關閉相應的端口,尋找并公布病毒攻擊信息,以及殺毒、防御方法;
2、外部入侵:判斷入侵的來源,評價入侵可能或已經造成的危害。對入侵未遂、未造成損害的,且評價威脅很小的外部入侵,定位入侵的IP地址,及時關閉入侵的端口,限制入侵的IP地址的訪問。對于已經造成危害的,應立即采用斷開網絡連接的方法,避免造成更大損失和帶來的影響;
3、內部入侵:查清入侵來源,如IP地址、所在區域、所處辦公室等信息,同時斷開對應的交換機端口,針對入侵方法調整或更新入侵檢測設備。對于無法制止的多點入侵和造成損害的,應及時關閉被入侵的服務器或相應設備;
4、網絡故障:判斷故障發生點和故障原因,能夠迅速解決的盡快排除故障,并優先保證主要應用系統的運轉;
5、其它未列出的不確定因素造成的事件,結合具體的情況,做出相應的處理。不能處理的及時咨詢,上報公司信息安全領導小組。
第七十八條 按照信息安全突發事件的性質、影響范圍和造成的損失,將涉密信息系統安全突發事件分為特別重大事件(I級)、重大事件(II級)、較大事件(III級)和一般事件(IV級)四個等級。
(一)一般事件由科技信息部(或財會部)依據應急響應預案進行處置;
(二)較大事件由科技信息部(或財會部)、保密辦依據應急響應預案進行處置,及時向公司信息安全領導小組報告并提請協調處置;
(三)重大事件啟動應急響應預案,對突發事件進行處置,及時向公司黨政報告并提請協調處置;
(四)特別重大事件由公司報請中核集團公司對信息安全突發事件進行處置。
第七十九條 發生突發事件(如涉密數據被竊取或信息系統癱瘓等)應按如下應急響應的基本步驟、基本處理辦法和流程進行處理:
(一)上報科技信息部和保密辦;
(二)關閉系統以防止造成數據損失;
(三)切斷網絡,隔離事件區域;
(四)查閱審計記錄尋找事件源頭;
(五)評估系統受損程度;
(六)對引起事件漏洞進行整改;
(七)對系統重新進行風險評估;
(八)由保密辦根據風險評估結果并書面確認安全后,系統方能重新運行;
(九)對事件類型、響應、影響范圍、補救措施和最終結果進行詳細的記錄;
(十)依照法規制度對責任人進行處理。
第八十條
科技信息部、財會部應會同保密辦每年組織一次應急響應預案演練,檢驗應急響應預案各環節之間的通信、協調、指揮等是否快速、高效,并對其效果進行評估,以使用戶明確自己的角色和責任。應急響應相關知識、技術、技能應納入信息安全保密培訓內容,并記錄備案。第十一章 人員管理
第八十一條 各部門、單位每年應組織開展不少于1次的全員信息安全保密知識技能教育與培訓,并記錄備案。第八十二條
涉密人員離崗、離職,應及時調整或取消其訪問授權,并將其保管的涉密設備、存儲介質全部清退并辦理移交手續。
第八十三條 承擔涉密信息系統日常管理工作的系統管理員、安全保密管理員、安全審計管理員應按重要涉密人員管理。第十二章 督查與獎懲
第八十四條 公司每年應對涉密信息系統安全保密狀況、安全保密制度和措施的落實情況進行一次自查,并接受國家和上級單位的指導和監督。涉密信息系統每兩年接受一次上級部門開展的安全保密測評或保密檢查,檢查結果存檔備查。
第八十五條 檢查涉密計算機和信息系統的保密檢查工具和涉密信息系統所使用的安全保密、漏洞檢查(取證)軟件等,應覆蓋保密檢查的項目,并通過國家保密局的檢測。安全保密檢查工具應及時升級或更新,確保檢查時使用最新版本。
第八十六條 各部門、單位應將員工遵守涉密計算機及信息系統安全保密管理制度的情況,納入保密自查、考核的重要內容。對違反本規定造成失泄密的當事人及有關責任人,按公司保密責任考核及獎懲規定執行。第十三章 附 則
第八十七條 本規定由保密辦負責解釋與修訂。
第八十八條 本規定自發布之日起實施。原《計算機磁(光)介質保密管理規定)[制度編號:(廠1908號)]、《涉密計算機信息系統保密管理規定》[制度編號:(2006)廠1911號]、《涉密計算機采購、維修、變更、報廢保密管理規定》[制度編號:(2007)廠1925號]、《國際互聯網信息發布保密管理規定》[制度編號:(2007)廠1926號]、《涉密信息系統信息保密管理規定》[制度通告:(2008)0934號]、《涉密信息系統安全保密管理規定》[制度通告:(2008)0935號]同時廢止。
關于公司計算機信息系統安全和保密管理工作的規定 各部門:
為了認真貫徹落實XX保密委《關于傳發<全市XX組織開展互聯網涉密及敏感信息檢查清除活動實施方案>的通知》精神和要求,進一步加強公司各部門網絡及計算機信息安全的保密管理,防止網上泄密事件發生,確保公司網絡及計算機工作安全可靠,結合公司實際情況,現就進一步加強計算機信息系統安全和保密管理工作有關事宜規定如下:
一、計算機操作人員必須遵守國家有關法律,任何人不得利用計算機從事違法活動。
二、按照“誰主管、誰負責”和“誰使用、誰負責”的原則,開展自查。
1.明確內網使用人責任,簽訂《職工信息安全保密責任書》,認真落實各項安全保密管理規章制度,積極參加各類安全保密學習和活動,知道“一機兩用”違規行為的類型,不違反相關的制度規定。
2.嚴禁在互聯網上發布公司涉密文件、資料、信息、數據。未經主管領導批準,不得向外提供公司信息和資料,堅持做到“誰上網、誰負責”,“上網不涉密、涉密不上網”。
三、嚴禁公司內網計算機終端上操作事項。2 / 3 1.內網計算機終端上違規處理、存儲的國家秘密信息; 2.內網移動存儲介質中違規存儲的國家秘密信息; 3.內網服務器上違規處理、存儲的國家秘密信息; 4.內網網站上違規發布的國家秘密信息。
四、嚴禁公司互聯網網計算機終端上操作事項。
1.互聯網計算機終端上違規處理、存儲的國家秘密和警務工作秘密信息;
2.互聯網移動存儲介質中違規存儲的國家秘密和警務工作秘密信息;
3.互聯網服務器上違規處理、存儲的國家秘密和警務工作秘密信息;
4.互聯網上開設的網站中違規發布的國家秘密和警務工作秘密信息;
5.互聯網社會網站上開通的微博、電子郵箱等信息發布和傳輸平臺中違規發布、存儲的國家秘密和警務工作秘密信息。
五、專用于存儲公司財務、工程設計方案、安保方案應急預案等資料和內部文件的計算機要由專人使用,并設置密碼,禁止網絡上的其它計算機訪問,禁止訪問互聯網及其它外部網絡系統。
六、做好計算機網絡病毒防治工作。每臺計算機要由專人負責,定期升級計算機殺毒軟件,進行查殺病毒,在使用3 / 3軟盤、U盤和移動硬盤等存儲、拷貝文件之前,要先查殺病毒。嚴禁在計算機有毒未殺的情況下發電子郵件和拷貝文件到公司的其它計算機上。
七、嚴格按照操作程序使用計算機,認真做好計算機防盜工作。公司員工要愛護計算機。下班及節假日,務必將電源開關關閉,徹底切斷計算機電源,關好門窗,做好防火、防盜工作。
八、嚴格工作紀律。禁止瀏覽和下載不健康的網上信息,禁止從網上下載與工作無關的軟件。二〇一二年五月三日
計算機網絡及信息資源安全保密管理制度 第一節總則
第一條為保護公司計算機信息資源的安全,并規范公司計算機及網絡 硬件的采購、安裝(建設)、維護、管理等環節的管理要求,根據《中華人民共和國保守國家秘密法》,《中華人民共和國計算機信息網絡國際互聯網管理暫行規定》和《中國公用計算機互聯網國際聯網管理辦法》,特制定本規定。第二條 本規定適用于公司內部所有單位所使用的計算機系統。第二節計算機的涉密管理規定
第三條 公司內部計算機信息系統的安全保密工作由信息技術部負責具體實施。公司各下屬單位、部門主要領導主管本單位、本部門的計算機信息系統的安全保密工作。第四條存放過秘密信息的計算機及相應介質未在徹底格式化前不能降低密級使用。第五條存儲有秘密信息的計算機及相應存儲裝置在維修時,應采取措施保 證所存儲的秘密信息不被泄露。
第六條企業內部規劃和建設任何計算機信息系統,應當同步規劃落實相應 的信息資源安全保密措施。
第七條對涉及企業經營、管理、技術和人事秘密的數據庫以及計算機應用系統,必須采取技術安全保密措施,并且不得與外部連通。第三節計算機及網絡硬件管理
第八條所有計算機及網絡硬件的采購和建設實施,須在總體規劃目標指導下進行。第九條進入總體規劃的計算機及網絡硬件在采購和建設實施時,需提前預算。作為預算的申請依據,信息技術部每年第四季度在公司開始下一的預算工作前,發布次年各類主要計算機設備的采購計劃價。
第十條總部部門或事業部在申請預算(或追加預算)時若涉及計算機購買計劃,須提交《計算機設備預算追加及采購審批表》,并履行相應的審核手續。
第十一條信息技術部負責編制公司網絡中心及主干網絡硬件采購計劃和預算,報公司批準后執行。總部各部門獲批準的計算機預算,由信息技術部監管使用。
第十二條各事業部每年底將下的計算機及網絡硬件采購計劃和預算報信息技術部審核。信息技術部有權糾正事業部硬件采購計劃或硬件預算中不合理的需求。第十三條每預算定稿之后,運營管理部負責將總部部門及各事業部獲準采購計算機的數字通報信息技術部,信息技術部負責監管各單位的采購行為。
第十四條信息技術部在每季度的第一周發布本季度的計算機硬件采購選型指導,供全公司統一執行。
第十五條對公司總部及各事業部需求量較大的計算機設備,信息技術部會同運營管理部通過招標談判在計算機供貨商中選定戰略合作伙伴,使公司總部及各事業部能夠以統一的優惠價格采購到所需的計算機產品。
第十六條公司總部的硬件采購工作,委托裝載機事業部代為實施。裝載機事業部接受委托時須對申請部門提交的《計算機設備預算追加及采購審批表》確認后,方可采購。第十七條各事業部計算機維修配件的采購,由各事業部根據不同計算機的具體情況相應處理。
第十八條在硬件采購合同執行的過程中,如遇到特殊情況需要更改采購技術型號的,必須經過信息技術部復審同意。
第十九條公司總部的計算機,由信息技術部負責硬件安裝、維修、服務和管理。各事業部的計算機,由事業部備案的硬件崗位人員負責軟硬件安裝、維修、服務和管理。第二十條公司總部各部門和各事業部每年底要將本單位的計算機設備狀況、配置變動、責任人變動等情況填表報信息技術部。
第二十一條崗位上的計算機超過使用年限之后,如果因為主要部件的故障頻率高并無法修復的,經過所在資產管理實體的資產管理人員及硬件專業人員審核同意后,可以申
第四節網絡的接入管理
第二十二條信息技術部是管理企業網絡接入的責任部門。信息技術部的網絡管理員是整個柳工網絡的總管理員,對全網安全總負責,并牽頭與各子域網絡管理員組建企業網絡管理委員會,共同維護企業的網絡安全以及信息安全。
第二十三條為保障企業網絡的安全,所有連接到企業內部網的計算機必須經過信息技術部的企業網絡管理員注冊登記。每臺聯網的計算機都必須確定責任人,對該機的遵紀使用及安全狀況負責。不得私自在內部網上接入未經網管注冊的計算機,否則視同竊取企業機密,一旦發現,按照有關規定進行處理。
第二十四條為保證網絡信息資源安全,嚴格便攜機的管理,在柳工網內使用便攜機的特殊用戶必須登記備案,并接受網絡安全措施、信息安全培訓和病毒防護管理。第二十五條為防止信息流失和計算機病毒,要嚴格控制內部網與外部的直接I/O 通道,所有聯網的計算機都要拆除軟驅、光驅、刻錄設備及其他移動存儲設備。需要保留的,必須經過企業信息工作主管領導的特別批準,向信息技術部的網絡管理員登記注冊。第二十六條未經信息技術部批準和備案,私自在企業網絡的計算機上安裝各種通訊和存儲設備(如MODEM、軟驅、光驅等)、私自往廠區內帶入未經注冊登記的便攜機和存儲設備等行為,均視同竊取企業機密,一經發現,須沒收上交企業保密委員會,按照有關規定進行處理。
第二十七條合作單位人員因業務交流需要帶入計算機及有關設備的,不得接入企業網絡,由接待部門領導負責相應的信息安全責任。要進行數據交換的,按本規定有關條文處理。第二十八條
通過MODEM、VPN 等各種方式連入企業內部網的遠程訪問用戶也要柳工內部控制制度接受企業網絡總管理員的管理,否則將不允許連接到企業內部網。
第二十九條企業網絡是工作網絡,禁止任何利用企業網絡以及企業集成信息平臺進行有損企業安定團結局面的行為,違犯者將被追究紀律甚至法律的責任。
第三十條企業的網絡和計算機都屬于企業生產、工作的重要設備,任何破壞企業網絡和計算機的行為都視同破壞企業生產、工作的嚴重行為,需要追究紀律和法律的責任。第五節數據及信息安全的管理 第三十一條
數據及信息的安全包括數據的物理安全以及信息保密。企業各計算機信息系統都要建立相應的安全管理制度,信息技術部對企業的全局數據庫信息資源安全負責,各應用系統、單位部門的主要負責人對本應用系統、單位部門的計算機信息資源安全負責。第三十二條各應用系統、主要單位部門及各域都必須建立相應的數據備 份與災難恢復制度和策略,并切實執行。
第三十三條
確有特殊需求經批準在企業網的某些計算機上保留有光驅和軟驅的部門,其部門領導和系統管理員必須對該I/O 通道的安全負責,各類數據的拷出必須有相關領導的審批以及文字性記錄備案。
第三十四條除網絡管理員及其授權人員外,其余人員無權擅自在網絡上傳播、擴散來自企業網絡以外的其它軟件和電子文檔。
第三十五條
計算機信息系統聯網應當采取系統訪問控制、數據保護和系統安全防火
點擊咨詢 