第一篇:淺談部隊(duì)信息安全保密風(fēng)險(xiǎn)管理
淺談部隊(duì)信息安全保密風(fēng)險(xiǎn)管理
柳立強(qiáng) 劉 清 武瑞凱
信息化條件下,軍事秘密面臨的風(fēng)險(xiǎn)不斷加大,無(wú)意識(shí)泄密、間接泄密、計(jì)算機(jī)網(wǎng)絡(luò)泄密等現(xiàn)象時(shí)有發(fā)生,給部隊(duì)信息安全保密工作帶來(lái)了嚴(yán)重挑戰(zhàn)。信息安全保密風(fēng)險(xiǎn)管理從風(fēng)險(xiǎn)識(shí)別出發(fā),對(duì)軍事秘密面臨的風(fēng)險(xiǎn)進(jìn)行客觀地全面分析和評(píng)估,并對(duì)風(fēng)險(xiǎn)實(shí)施有效控制,變事后補(bǔ)救為事先防范,這是形勢(shì)發(fā)展的需要,是確保軍事秘密安全的需要,也是做好信息化條件下部隊(duì)保密工作的必然要求。
一、系統(tǒng)識(shí)別,找出部隊(duì)信息安全保密重要風(fēng)險(xiǎn)
信息安全保密風(fēng)險(xiǎn)識(shí)別是指運(yùn)用有關(guān)知識(shí)、方法、系統(tǒng)、全面和連續(xù)地發(fā)現(xiàn)部隊(duì)軍事秘密面臨的風(fēng)險(xiǎn)。風(fēng)險(xiǎn)識(shí)別是風(fēng)險(xiǎn)管理的首要步驟。部隊(duì)保密工作面臨的風(fēng)險(xiǎn)是錯(cuò)綜復(fù)雜的,需要進(jìn)行認(rèn)識(shí)和辨別。只有全面、準(zhǔn)確地發(fā)現(xiàn)和辨識(shí)風(fēng)險(xiǎn),才能進(jìn)行風(fēng)險(xiǎn)評(píng)估和選擇風(fēng)險(xiǎn)控制的措施。風(fēng)險(xiǎn)識(shí)別的方法有很多,比如保密清單損失法、專家調(diào)差分析法、經(jīng)典案例分析法、等級(jí)全息建模法等等,不管用哪種方法,都要系統(tǒng)的識(shí)別以下幾個(gè)方面。
1.對(duì)保密資產(chǎn)的識(shí)別。保密資產(chǎn)就是要保護(hù)的秘密資產(chǎn)。主要包括涉密的電子文檔、涉密的實(shí)體信息以及涉密的裝備設(shè)施等。一個(gè)單位保密資產(chǎn)越多,秘密的級(jí)別越高,保密的風(fēng)險(xiǎn)就越大,需要采取的措施就要更嚴(yán)密。
2.對(duì)資產(chǎn)脆弱性的識(shí)別。要清楚這些保密資產(chǎn)它們的弱電在哪里,也就是說(shuō),這些保密資產(chǎn)哪些方面容易被敵對(duì)勢(shì)力利用。一般情況下,可以將脆弱性分為技術(shù)脆弱性和管理脆弱性兩類。技術(shù)脆弱性主要是保護(hù)資產(chǎn)所涉及到的所有設(shè)備,包括移動(dòng)載體、計(jì)算機(jī)網(wǎng)絡(luò)、通信設(shè)備等本身所存在的一些技術(shù)隱患,比如一些后門程序等。管理的脆弱性主要是規(guī)章制度、責(zé)任區(qū)分等問(wèn)題,要識(shí)別出在這些方面部隊(duì)有哪些弱點(diǎn)。
3.對(duì)威脅的識(shí)別。威脅是指可能對(duì)保密資產(chǎn)或組織造成損害的一種潛在的侵害。比如信息泄露、信息破壞等。這些侵害有些是非人為,可能是無(wú)意識(shí)的行為,有些是故意的,是敵方情報(bào)機(jī)關(guān)或者我方人員有意識(shí)的行為。以上關(guān)于保密資產(chǎn)、脆弱性以及威脅的識(shí)別,不僅要清楚它們單個(gè)因素的種類,同是還要結(jié)合部隊(duì)已有的安全措施,找出威脅利用脆弱性的可能性,以及發(fā)生以后對(duì)保密資產(chǎn)可能造成的損失,這就是保密風(fēng)險(xiǎn)。這些風(fēng)險(xiǎn)因素有很多,要通過(guò)進(jìn)一步的識(shí)別,找出一些發(fā)生可能性大并且發(fā)生以后對(duì)保密資產(chǎn)影響較大的風(fēng)險(xiǎn),也就是重要風(fēng)險(xiǎn),將其進(jìn)行評(píng)估。
二、量化評(píng)估,確定部隊(duì)信息安全保密風(fēng)險(xiǎn)等級(jí)
在對(duì)信息安全保密風(fēng)險(xiǎn)進(jìn)行充分的認(rèn)識(shí)和分析之后,就應(yīng)該對(duì)風(fēng)險(xiǎn)進(jìn)行量化評(píng)估,確定保密的風(fēng)險(xiǎn)等級(jí)。保密風(fēng)險(xiǎn)評(píng)估綜合分析資產(chǎn)、威脅、脆弱性、安全措施,判斷系統(tǒng)風(fēng)險(xiǎn),為部隊(duì)識(shí)別安全重點(diǎn)、選擇合理使用是安全對(duì)策提供依據(jù),是保密風(fēng)險(xiǎn)管理的基礎(chǔ)。
1.建立合理的評(píng)估指標(biāo)體系。指標(biāo)體系的建立對(duì)于風(fēng)險(xiǎn)的定量化評(píng)級(jí)至關(guān)重要。建立的指標(biāo)不合理、不科學(xué),即使評(píng)估的方法再科學(xué),也會(huì)偏離評(píng)估的方向。風(fēng)險(xiǎn)識(shí)別階段已經(jīng)將保密重要風(fēng)險(xiǎn)因素進(jìn)行了篩選,可依據(jù)篩選的這些風(fēng)險(xiǎn)因素進(jìn)行歸類。對(duì)哪些風(fēng)險(xiǎn)應(yīng)該屬于什么類別,要做到心中有數(shù),這樣便于評(píng)估,同事也便于制定合理的措施。風(fēng)險(xiǎn)從組織領(lǐng)導(dǎo)、保密環(huán)境、涉密崗位人員、技術(shù)條件、制度建設(shè)等方面進(jìn)行歸納,形成保密風(fēng)險(xiǎn)的一級(jí)指標(biāo),再將一級(jí)指標(biāo)進(jìn)行系統(tǒng)歸類,細(xì)分出更多的指標(biāo)。
2.選擇合適的評(píng)估方法。目前在風(fēng)險(xiǎn)評(píng)估領(lǐng)域評(píng)估方法已經(jīng)十分廣泛。部隊(duì)在保密風(fēng)險(xiǎn)評(píng)估工作中起步較晚,但是這些方法可以借鑒。模糊綜合評(píng)判法可以很好的解決保密風(fēng)險(xiǎn)評(píng)估量化問(wèn)題。將建立的底層保密風(fēng)險(xiǎn)評(píng)估指標(biāo)讓專家打分,根據(jù)打分的情況利用模糊數(shù)學(xué)的一些方法進(jìn)行處理,再通過(guò)底層指標(biāo)的風(fēng)險(xiǎn)計(jì)算一級(jí)指標(biāo)值,最終得出部隊(duì)的保密風(fēng)險(xiǎn)綜合值。
3.對(duì)評(píng)估的結(jié)果進(jìn)行認(rèn)真分析。風(fēng)險(xiǎn)評(píng)估一般將單位的風(fēng)險(xiǎn)狀況區(qū)分為很低、低、中、高、很高五個(gè)等級(jí)。要根據(jù)評(píng)估的結(jié)果分析是什么原因?qū)е碌模瑢?duì)這些原因進(jìn)行分析,進(jìn)而找出影響評(píng)估結(jié)果的關(guān)鍵因素,為實(shí)施風(fēng)險(xiǎn)控制提供思路。
三、綜合控制,規(guī)避和降低部隊(duì)信息安全保密風(fēng)險(xiǎn)
在部隊(duì)信息安全保密風(fēng)險(xiǎn)進(jìn)行定量化評(píng)估以后,就應(yīng)該根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果,對(duì)重要風(fēng)險(xiǎn)進(jìn)行規(guī)避或降低,將保密風(fēng)險(xiǎn)控制在可接受范圍內(nèi)。風(fēng)險(xiǎn)控制是一個(gè)系統(tǒng)工程,不僅要找出風(fēng)險(xiǎn)和控制措施間的有效對(duì)應(yīng)關(guān)系,還要從單位的保密文化環(huán)境、防范體系、防范策略等多方面進(jìn)行綜合控制,這樣才能做到有的放矢,提高保密控制的效果。
1.營(yíng)造信息安全保密的文化環(huán)境。忽略了官兵的信息安全保密意識(shí)和安全保密技能的提高,安全措施就不可能有效的發(fā)揮作用。通過(guò)對(duì)部隊(duì)發(fā)生的失泄密事故調(diào)查和分析,大部分原因都是由人的因素引起的,這其中包括保密意識(shí)的淡薄和保密技能的缺失。因此,要制定周密的計(jì)劃,通過(guò)安全教育和技能培訓(xùn),提高官兵的信息安全保密意識(shí)和應(yīng)對(duì)保密風(fēng)險(xiǎn)控制的技能,使遵守各種保密制度成為官兵的一種習(xí)慣,從而形成良好的保密文化環(huán)境。
2.構(gòu)建全維實(shí)時(shí)的信息安全保密風(fēng)險(xiǎn)防范體系。要從組織領(lǐng)導(dǎo)、技術(shù)條件、管理制度、保密法規(guī)等各個(gè)方面,綜合運(yùn)用各種手段,實(shí)時(shí)監(jiān)督各類安全措施的執(zhí)行,落實(shí)安全獎(jiǎng)懲措施,不斷削除信息安全保密風(fēng)險(xiǎn)管理中的弱點(diǎn)。
3.注意防范策略的靈活運(yùn)用。防范策略主要包括規(guī)避風(fēng)險(xiǎn)、降低風(fēng)險(xiǎn)和接受風(fēng)險(xiǎn)。信息安全保密工作中有些風(fēng)險(xiǎn)屬于高風(fēng)險(xiǎn),對(duì)于這類風(fēng)險(xiǎn)情況,可采取規(guī)避的方法,減少部隊(duì)的損失;有些風(fēng)險(xiǎn)情景是部隊(duì)在訓(xùn)練、演習(xí)、學(xué)習(xí)等工作中必須面對(duì)的,這時(shí)主要采取相應(yīng)的安全措施來(lái)降低風(fēng)險(xiǎn),使其控制在部隊(duì)能接受的范圍;有些風(fēng)險(xiǎn)是無(wú)法消除的,這時(shí)部隊(duì)要勇敢面對(duì),但是要實(shí)時(shí)監(jiān)控,使其不影響保密工作的總體成效。
信息安全保密風(fēng)險(xiǎn)管理不是一蹴而就的,而是一個(gè)周期的螺旋式發(fā)展過(guò)程。由于部隊(duì)任務(wù)轉(zhuǎn)換、環(huán)境變化、人員流動(dòng)等各種因素,再加上風(fēng)險(xiǎn)情景的不斷變化,使得部隊(duì)必須不斷研究風(fēng)險(xiǎn)管理的新情況、新問(wèn)題,不斷完善風(fēng)險(xiǎn)管理的過(guò)程,健全風(fēng)險(xiǎn)管理的防范體系,提高信息化條件下保密管理水平。
第二篇:部隊(duì)保密風(fēng)險(xiǎn)評(píng)估
部隊(duì)保密風(fēng)險(xiǎn)評(píng)估
摘要
“保守秘密是御敵之盾,失密泄密是刺已之劍。”“信息是生成戰(zhàn)斗力的數(shù)據(jù)庫(kù),保密是保護(hù)戰(zhàn)斗力的防火墻。”在信息化條件下,做好保密工作是部隊(duì)的中心工作之一,軍隊(duì)保密風(fēng)險(xiǎn)評(píng)估是軍隊(duì)保密工作的重要組成部分。軍隊(duì)保密風(fēng)險(xiǎn)評(píng)估要堅(jiān)持以科學(xué)發(fā)展觀為指導(dǎo),深入調(diào)查研究,全面掌握軍隊(duì)保密風(fēng)險(xiǎn)因素及其影響,進(jìn)而準(zhǔn)確掌握軍隊(duì)保密工作面臨的形勢(shì)、存在的問(wèn)題和努力方向。有效控制知悉范圍、降低保密負(fù)荷、增強(qiáng)保密能力、防范竊密活動(dòng)、消除泄密隱患、確保秘密安全,這是做好保密工作的基本要求。要實(shí)現(xiàn)這一目標(biāo),就要對(duì)軍事秘密存在的風(fēng)險(xiǎn)進(jìn)行識(shí)別、分析,確定評(píng)估的指標(biāo)體系,建立軍隊(duì)保密風(fēng)險(xiǎn)綜合評(píng)估的數(shù)學(xué)模型。通過(guò)對(duì)軍隊(duì)保密風(fēng)險(xiǎn)的科學(xué)評(píng)估,準(zhǔn)確把握涉密單位和涉密人員所掌管的秘密面臨的風(fēng)險(xiǎn),為進(jìn)一步控制保密風(fēng)險(xiǎn)提供科學(xué)依據(jù),實(shí)現(xiàn)軍隊(duì)保密工作的前饋管理。
關(guān)鍵詞:保密 軍隊(duì) 風(fēng)險(xiǎn)評(píng)估
“保密是軍隊(duì)永恒的戰(zhàn)斗力,泄密是軍隊(duì)失敗的導(dǎo)火索。”在信息化條件下,做好保密工作是部隊(duì)的中心工作之一,軍隊(duì)保密風(fēng)險(xiǎn)評(píng)估是軍隊(duì)保密工作的重要組成部分。軍隊(duì)保密風(fēng)險(xiǎn)評(píng)估要堅(jiān)持以科學(xué)發(fā)展觀為指導(dǎo),深入調(diào)查研究,全面掌握軍隊(duì)保密風(fēng)險(xiǎn)因素及其影響,進(jìn)而準(zhǔn)確掌握軍隊(duì)保密工作面臨的形勢(shì)、存在的問(wèn)題和努力方向。有效控制知悉范圍、降低保密負(fù)荷、增強(qiáng)保密能力、防范竊密活動(dòng)、消除泄密隱患、確保秘密安全,這是做好保密工作的基本要求。要實(shí)現(xiàn)這一目標(biāo),就要對(duì)軍事秘密存在的風(fēng)險(xiǎn)進(jìn)行識(shí)別、分析和評(píng)估,并對(duì)客觀存在的風(fēng)險(xiǎn)和潛在的風(fēng)險(xiǎn)進(jìn)行有效的控制與防范。通過(guò)對(duì)軍隊(duì)保密風(fēng)險(xiǎn)的科學(xué)評(píng)估,準(zhǔn)確把握涉密單位和涉密人員所掌管的秘密面臨的風(fēng)險(xiǎn),為進(jìn)一步控制保密風(fēng)險(xiǎn)提供科學(xué)依據(jù),實(shí)現(xiàn)軍隊(duì)保密工作的前饋管理。
下面我們將結(jié)合軍隊(duì)保密管理工作的實(shí)際情況,研究解決以系為基本單位的保密工作問(wèn)題。
我們可以將保密風(fēng)險(xiǎn)評(píng)估分成這幾個(gè)方面: 1.評(píng)估密級(jí) 2.評(píng)估威脅 3.評(píng)估損失
模型的建立
一. 明確保密對(duì)象密級(jí)
1.網(wǎng)絡(luò)設(shè)備:3G手機(jī)、無(wú)線路由器、網(wǎng)卡、網(wǎng)線 3級(jí)
2.存儲(chǔ)介質(zhì):軟盤、移動(dòng)硬盤、U盤、光盤等 2級(jí)
3.硬件設(shè)備:個(gè)人筆記本電腦,軍網(wǎng)電腦,手機(jī),可上網(wǎng)的MP4等 1級(jí)
(上述為自主設(shè)定密級(jí),且等級(jí)越高,密級(jí)越高)
第三篇:信息安全與保密管理規(guī)定
信息安全與保密管理規(guī)定目的為維護(hù)公司內(nèi)部網(wǎng)絡(luò)信息安全,防止外部對(duì)網(wǎng)絡(luò)的攻擊和入侵,防止網(wǎng)絡(luò)內(nèi)部信息的泄露,特制定本規(guī)定。信息安全管理內(nèi)容
2.1所有直接或間接接入公司網(wǎng)絡(luò)的信息終端,包括電腦、手機(jī)、PDA及實(shí)驗(yàn)設(shè)備等,一律納入公司管理的范疇。
2.2所有納入公司管理范疇的信息終端統(tǒng)一由總經(jīng)理工作部管理。
2.3由總經(jīng)理工作部科信專責(zé)負(fù)責(zé)制定信息安全管理措施,并負(fù)責(zé)實(shí)施。
2.4任何員工不得危害國(guó)家安全、泄露國(guó)家秘密,不得侵犯國(guó)家的、社會(huì)的、集體的利益和公民的合法權(quán)益,不得從事違法犯罪活動(dòng)。
2.5所有需要接入公司網(wǎng)絡(luò)的電腦必須安裝有效的殺毒軟件,公司所有的電腦由科信專責(zé)指定殺毒軟件并強(qiáng)制安裝,統(tǒng)一升級(jí)。科信專責(zé)有權(quán)針對(duì)特定病毒采取的必要措施,以達(dá)到有效預(yù)防、消除病毒影響的目的。
2.6公司所有的電腦上不得擅自安裝或運(yùn)行修改操作系統(tǒng)運(yùn)行參數(shù)的軟件。不得從事擾亂公司網(wǎng)絡(luò)正常運(yùn)行的活動(dòng)。
2.7所有員工必須保管好自己的網(wǎng)絡(luò)帳號(hào)信息,只準(zhǔn)本人使用,不得借與他人使用,不得以任何理由將自己的網(wǎng)絡(luò)帳號(hào)泄露給公司外部的人員。
2.8至少每月修改一次密碼。密碼被他人獲悉后,必須及時(shí)更改密碼。密碼長(zhǎng)度必須在十位以上,并符合復(fù)雜性要求。
2.9各部門存取必須建立訪問(wèn)控制與審核機(jī)制,嚴(yán)格控制重要資料的存取。
2.10科信專責(zé)負(fù)責(zé)對(duì)所有電腦的操作系統(tǒng)做升級(jí)、補(bǔ)漏洞的工作,降低系統(tǒng)的運(yùn)行風(fēng)險(xiǎn)。
2.11科信專責(zé)負(fù)責(zé)設(shè)置安全可靠的防火墻,安裝防病毒軟件,定期進(jìn)行安全風(fēng)險(xiǎn)分析與系統(tǒng)漏洞測(cè)試,適時(shí)對(duì)軟硬件進(jìn)行升級(jí),確保系統(tǒng)安全、可靠、穩(wěn)定地運(yùn)行。
2.12由科信專責(zé)嚴(yán)格控制所有信息終端訪問(wèn)Internet網(wǎng)的行為,并建立審核機(jī)制。
2.13所有信息終端所在場(chǎng)所必須有必要的防盜、消防設(shè)施,并嚴(yán)格控制相關(guān)人
員進(jìn)出。
2.14科信專責(zé)負(fù)責(zé)對(duì)公司OA系統(tǒng)使用人員進(jìn)行審核。信息保密管理
3.1涉密信息定義范圍包括《保密制度》所定義的范圍但不僅限于該范圍,還包括公司信息網(wǎng)絡(luò)的架構(gòu)、設(shè)備資料等相關(guān)信息。
3.2涉密信息的密級(jí)參照《保密制度》。嚴(yán)格執(zhí)行訪問(wèn)控制與審核機(jī)制。涉及公司商業(yè)機(jī)密和技術(shù)機(jī)密的資料必須實(shí)行“涉密資料原則上不上網(wǎng)”的要求。對(duì)各級(jí)涉密信息具體要求如下:
3.2.1絕密資料必須使用文件系統(tǒng)權(quán)限控制,并作審核。不允許使用網(wǎng)絡(luò)共享等易泄漏的方式傳遞。傳遞時(shí)必須使用強(qiáng)密碼加密;
3.2.2機(jī)密資料必須使用文件系統(tǒng)權(quán)限控制,并作審核。傳遞時(shí)必須使用強(qiáng)密碼加密;
秘密資料傳遞時(shí)必須使用強(qiáng)密碼加密;
3.2.3所有有機(jī)會(huì)直接或間接地接觸本涉密信息的人員(包括員工、外聘的管理顧問(wèn)等)均為涉密人員。涉密人員必須簽《商業(yè)秘密保證及競(jìng)業(yè)限制協(xié)議》。
3.2.4涉密場(chǎng)所必須嚴(yán)格控制人員的進(jìn)出。
3.2.5所有涉密介質(zhì)(軟盤、光盤、硬盤等)必須實(shí)行使用登記。使用完后必須作脫密處理。
3.2.6對(duì)外公布有關(guān)公司的信息必須經(jīng)過(guò)有關(guān)部門審核、批準(zhǔn)后方可執(zhí)行。4附則。
4.1本規(guī)定由總經(jīng)理工作部負(fù)責(zé)解釋。
4.2本規(guī)定自頒布之日起執(zhí)行。
第四篇:信息安全與保密管理
信息安全與保密管理規(guī)定
為了保護(hù)我院信息安全,為了保護(hù)患者信息,防止計(jì)算機(jī)失泄密問(wèn)題的發(fā)生,為了加強(qiáng)醫(yī)院信息系統(tǒng)的領(lǐng)導(dǎo)和管理,促進(jìn)醫(yī)院信息化工程的應(yīng)用和發(fā)展,保障系統(tǒng)有序運(yùn)行, 根據(jù)衛(wèi)生部醫(yī)管司修訂《醫(yī)院工作制度與人員崗位職責(zé)》,信息安全等級(jí)保護(hù)管理辦法(公通字[2007]43號(hào))結(jié)合我院實(shí)際,制定本制度。
一、計(jì)算機(jī)網(wǎng)絡(luò)信息安全保密管理規(guī)定
(1)為防止病毒造成嚴(yán)重后果,對(duì)外來(lái)光盤、軟件要嚴(yán)格管理,原則上不允許外來(lái)光盤、軟件在我院計(jì)算機(jī)上使用。確因工作需要使用的,事先必須進(jìn)行防(殺)毒處理,證實(shí)無(wú)病毒感染后,方可使用。
(2)接入本院網(wǎng)絡(luò)的計(jì)算機(jī)嚴(yán)禁將計(jì)算機(jī)設(shè)定為網(wǎng)絡(luò)共享,嚴(yán)禁將文件設(shè)定為網(wǎng)絡(luò)共享文件。
(3)為防止黑客攻擊和網(wǎng)絡(luò)病毒的侵襲,接入本院網(wǎng)絡(luò)的計(jì)算機(jī)一律安裝殺毒軟件,并要定時(shí)對(duì)殺毒軟件進(jìn)行升級(jí)。
(4)禁止將文件存放在網(wǎng)絡(luò)共享硬盤上。(5)保密級(jí)別材料可通過(guò)本院內(nèi)網(wǎng)OA軟件,嚴(yán)禁院內(nèi)材料通過(guò)電子信箱、QQ等網(wǎng)上傳遞和報(bào)送。
(6)計(jì)算機(jī)嚴(yán)禁直接或間接連接外網(wǎng)和其他公共信息網(wǎng)絡(luò),必須實(shí)行物理隔離。
(7)要堅(jiān)持“誰(shuí)上網(wǎng),誰(shuí)負(fù)責(zé)”的原則,信息上網(wǎng)必須經(jīng)過(guò)信息科及主管院長(zhǎng)審查,并經(jīng)主管院長(zhǎng)批準(zhǔn)。
(8)外網(wǎng)必須與涉密計(jì)算機(jī)系統(tǒng)實(shí)行物理隔離。
(9)在與外網(wǎng)相連的信息設(shè)備上不得存儲(chǔ)、處理和傳輸任何涉密信息。(10)應(yīng)加強(qiáng)對(duì)上網(wǎng)人員的保密意識(shí)教育,提高上網(wǎng)人員保密觀念,增強(qiáng)防范意識(shí),自覺(jué)執(zhí)行保密規(guī)定。
二、計(jì)算機(jī)維修維護(hù)管理規(guī)定
(1)計(jì)算機(jī)和存儲(chǔ)介質(zhì)發(fā)生故障時(shí),應(yīng)當(dāng)向信息科提出維修申請(qǐng),經(jīng)批準(zhǔn)后到指定維修地點(diǎn)修理,一般應(yīng)當(dāng)由信息科人員實(shí)施,須由外部人員到現(xiàn)場(chǎng)維修時(shí),整個(gè)過(guò)程應(yīng)當(dāng)有信息科人員全程旁站陪同,禁止外來(lái)維修人員讀取和復(fù)制被維修設(shè)備中的信息,維修后應(yīng)當(dāng)進(jìn)行檢查。
(2)信息科應(yīng)將本院所屬科室設(shè)備的故障現(xiàn)象、故障原因記錄在設(shè)備的維修檔案記錄本上。
(3)凡需外送修理的設(shè)備,必須經(jīng)信息科和主管領(lǐng)導(dǎo)批準(zhǔn),并將文件進(jìn)行不可恢復(fù)性刪除處理后方可實(shí)施。
(4)如不能保證安全保密,應(yīng)當(dāng)辦理審批手續(xù),由專人負(fù)責(zé)送到信息科予以銷毀。
(5)由信息科工作人員負(fù)責(zé)辦公室計(jì)算機(jī)軟件的安裝和設(shè)備的維護(hù)維修工作,嚴(yán)禁使用者私自安裝計(jì)算機(jī)軟件和擅自拆卸計(jì)算機(jī)設(shè)備。
(6)計(jì)算機(jī)的報(bào)廢由信息科專人負(fù)責(zé)。
三、用戶密碼安全保密管理規(guī)定
(1)用戶密碼管理的范圍是指辦公室所有計(jì)算機(jī)所使用的密碼。
(2)計(jì)算機(jī)的密碼管理由信息科負(fù)責(zé),計(jì)算機(jī)的密碼管理由使用人負(fù)責(zé)。(3)用戶密碼使用規(guī)定
1)密碼必須由數(shù)字、字符和特殊字符組成;
2)計(jì)算機(jī)設(shè)置的密碼長(zhǎng)度不能少于8個(gè)字符,密碼更換周期不得多于30天;
3)計(jì)算機(jī)設(shè)置的密碼長(zhǎng)度不得少于10個(gè)字符,密碼更換周期不得超過(guò)7天;
4)計(jì)算機(jī)需要分別設(shè)置BIOS、操作系統(tǒng)開(kāi)機(jī)登錄和屏幕保護(hù)三個(gè)密碼。(4)密碼的保存 1)計(jì)算機(jī)設(shè)置的用戶密碼由使用人自行保存,嚴(yán)禁將自用密碼轉(zhuǎn)告他人;若工作需要必須轉(zhuǎn)告,應(yīng)請(qǐng)示信息科工作人員認(rèn)可;
2)計(jì)算機(jī)設(shè)置的用戶密碼須登記造冊(cè),并將密碼本存放于文件柜內(nèi),由信息科管理。
四、涉密電子文件保密管理規(guī)定
(1)涉密電子文件是指在計(jì)算機(jī)系統(tǒng)中生成、存儲(chǔ)、處理的機(jī)密、秘密和內(nèi)部的文件、圖紙、程序、數(shù)據(jù)、聲像資料等。
(2)電子文件的密級(jí)按其所屬項(xiàng)目的最高密級(jí)界定,其生成者應(yīng)按密級(jí)界定要求標(biāo)定其密級(jí),并將文件存儲(chǔ)在相應(yīng)的目錄下。
(3)各用戶需在本人的計(jì)算機(jī)系統(tǒng)中創(chuàng)建“機(jī)密級(jí)文件”、“秘密級(jí)文件”、“內(nèi)部文件”三個(gè)目錄,將系統(tǒng)中的電子文件分別存儲(chǔ)在相應(yīng)的目錄中。
(4)電子文件要有密級(jí)標(biāo)識(shí),電子文件的密級(jí)標(biāo)識(shí)不能與文件的正文分離,一般標(biāo)注于正文前面。
(5)電子文件必須定期、完整、真實(shí)、準(zhǔn)確地存儲(chǔ)到不可更改的介質(zhì)上,并集中保存,然后從計(jì)算機(jī)上徹底刪除。
(6)各院內(nèi)科室自用信息資料由本部門管理員定期做好備份,備份介質(zhì)必須標(biāo)明備份日期、備份內(nèi)容以及相應(yīng)密級(jí),嚴(yán)格控制知悉此備份的人數(shù),做好登記后進(jìn)保密柜保存。
(7)各部門要對(duì)備份電子文件進(jìn)行規(guī)范的登記管理。每周做增量備份,每月做全量備份;備份可采用磁盤、光盤、移動(dòng)硬盤、U盤等存儲(chǔ)介質(zhì)。
(8)涉密文件和資料的備份應(yīng)嚴(yán)加控制。未經(jīng)許可嚴(yán)禁私自復(fù)制、轉(zhuǎn)儲(chǔ)和借閱。對(duì)存儲(chǔ)涉密信息的磁介質(zhì)應(yīng)當(dāng)根據(jù)有關(guān)規(guī)定確定密級(jí)及保密期限,并視同紙制文件,分密級(jí)管理,嚴(yán)格借閱、使用、保管及銷毀制度。
(9)備份文件和資料保管地點(diǎn)應(yīng)有防火、防熱、防潮、防塵、防磁、防盜設(shè)施,并進(jìn)行異地備份。
五、涉密計(jì)算機(jī)系統(tǒng)病毒防治管理規(guī)定
(1)涉密計(jì)算機(jī)必須安裝經(jīng)過(guò)信息科許可的查、殺病毒軟件。(2)每周升級(jí)和查、殺計(jì)算機(jī)病毒軟件的病毒樣本。確保病毒樣本始終處于最新版本,同時(shí)將升級(jí)記錄登記備案。
(3)絕對(duì)禁止計(jì)算機(jī)在線升級(jí)防病毒軟件病毒庫(kù),同時(shí)對(duì)離線升級(jí)包的來(lái)源進(jìn)行登記。
(4)每周對(duì)計(jì)算機(jī)、服務(wù)器病毒進(jìn)行一次查、殺檢查,并將查、殺結(jié)果登記造冊(cè)。
(5)計(jì)算機(jī)、服務(wù)器應(yīng)限制信息入口,如軟盤、光盤、U盤、移動(dòng)硬盤等的使用。
(6)對(duì)必須使用的外來(lái)介質(zhì)(磁盤、光盤,U盤、移動(dòng)硬盤等),必須先進(jìn)行計(jì)算機(jī)病毒的查、殺處理,然后才可使用。
(7)對(duì)于因未經(jīng)許可而擅自使用外來(lái)介質(zhì)導(dǎo)致嚴(yán)重后果的,要嚴(yán)格追究相關(guān)人員的責(zé)任。
六、上網(wǎng)發(fā)布信息保密規(guī)定
(1)上網(wǎng)信息的保密管理堅(jiān)持“誰(shuí)發(fā)布誰(shuí)負(fù)責(zé)”的原則。凡向外網(wǎng)站點(diǎn)提供或發(fā)布信息,必須經(jīng)過(guò)信息科審查,報(bào)主管院長(zhǎng)批準(zhǔn)。提供信息的部門應(yīng)當(dāng)按照一定的工作程序,健全信息審批制度。
(2)凡以提供網(wǎng)上信息服務(wù)為目的而采集的信息,除在其它新聞媒體上已公開(kāi)發(fā)表的,組織者在上網(wǎng)發(fā)布前,應(yīng)當(dāng)征得提供信息單位的同意。凡對(duì)網(wǎng)上信息進(jìn)行擴(kuò)充或更新,應(yīng)當(dāng)認(rèn)真執(zhí)行信息審核制度。
第五篇:信息安全與保密管理規(guī)定
DEJIN
公司管理制度
信息安全與保密管理規(guī)定
總則
一、目的
為了保證我局各中心、各股、各部門人員充分合理利用網(wǎng)絡(luò)資源,提高網(wǎng)絡(luò)帶寬利用率,方便網(wǎng)絡(luò)流量控制和帶寬管理;為了保證財(cái)政系統(tǒng)內(nèi)部網(wǎng)絡(luò)安全,保護(hù)內(nèi)部數(shù)據(jù),防止機(jī)密信息泄露,消除企業(yè)潛在濫用互聯(lián)網(wǎng)的法律風(fēng)險(xiǎn);為了保證員工使用先進(jìn)的系統(tǒng)工具提高工作效率, 規(guī)范員工的網(wǎng)絡(luò)行為;結(jié)合各中心、各部門、各崗位工作實(shí)際需要,特制定本制度。
二、信息安全管理規(guī)定
(1)信息中心負(fù)責(zé)硬件及軟件的統(tǒng)一管理和安全運(yùn)行,服務(wù)器上數(shù)據(jù)資料、信息資料的保密。
(2)各股室負(fù)責(zé)本部門硬件和軟件的安全運(yùn)行,數(shù)據(jù)信息、資料的保密。(3)計(jì)算機(jī)操作人員負(fù)責(zé)本人使用的計(jì)算機(jī)的開(kāi)機(jī)口令、網(wǎng)絡(luò)口令及用戶口令的保密。
(4)新購(gòu)置的軟件(除設(shè)備帶的軟件)必須由信息中心登記,并將副本移交綜合檔案室。
(5)計(jì)算機(jī)操作人員負(fù)責(zé)對(duì)本機(jī)硬盤中的重要數(shù)據(jù)、資料、文件等及時(shí)做好備份工作。
(6)不得超越自己的權(quán)限范圍,修改他人或服務(wù)器內(nèi)的公用數(shù)據(jù)。(7)所有直接或間接接入財(cái)政內(nèi)網(wǎng)的信息終端的電腦,一律納入我局管理 DEJIN
公司管理制度 的范疇。
(8)所有納入我局管理范疇的信息終端統(tǒng)一由信息中心管理。(9)由信息中心負(fù)責(zé)制定信息安全管理策略,并負(fù)責(zé)實(shí)施。
(10)任何員工不得危害國(guó)家安全、泄露國(guó)家秘密,不得侵犯國(guó)家的、社會(huì)的、集體的利益和公民的合法權(quán)益,不得從事違法犯罪活動(dòng)。
(11)需要接入財(cái)政內(nèi)網(wǎng)的電腦必須安裝有效的殺毒軟件,我局所有的電腦由信息中心指定殺毒軟件并強(qiáng)制安裝,統(tǒng)一升級(jí)。信息中心有權(quán)針對(duì)特定病毒采取的必要措施,以達(dá)到有效預(yù)防、消除病毒影響的目的。
(12)我局所有的電腦上不得擅自安裝或運(yùn)行修改操作系統(tǒng)運(yùn)行參數(shù)的軟件。不得從事擾亂公司網(wǎng)絡(luò)正常運(yùn)行的活動(dòng)。
(13)所有員工必須保管好自己的網(wǎng)絡(luò)帳號(hào)信息,只準(zhǔn)本人使用,不得借與他人使用,不得以任何理由將自己的網(wǎng)絡(luò)帳號(hào)泄露給財(cái)政系統(tǒng)以外的人員。
(14)至少每月修改一次密碼。密碼被他人獲悉后,必須及時(shí)更改密碼。
(15)各部門存取必須建立訪問(wèn)控制與審核機(jī)制,嚴(yán)格控制重要資料的存取。
(16)信息中心負(fù)責(zé)對(duì)所有電腦的操作系統(tǒng)做升級(jí)、補(bǔ)漏洞的工作,降低系統(tǒng)的運(yùn)行風(fēng)險(xiǎn)。
(17)信息中心負(fù)責(zé)設(shè)置安全可靠的防火墻,安裝防病毒軟件,定期進(jìn)行安全風(fēng)險(xiǎn)分析與系統(tǒng)漏洞測(cè)試,適時(shí)對(duì)軟硬件進(jìn)行升級(jí),確保系統(tǒng)安全、可靠、穩(wěn)定地運(yùn)行。
(l8)由信息中心嚴(yán)格控制所有信息終端訪問(wèn)Internet網(wǎng)的行為,并建立 2 DEJIN
公司管理制度
審核機(jī)制。
(19)所有信息終端所在場(chǎng)所必須有必要的防盜、消防設(shè)施,并嚴(yán)格控制相關(guān)人員進(jìn)出。
三、信息保密管理規(guī)定
(1)涉密信息定義范圍包括《保密管理規(guī)定》所定義的范圍但不僅限于該范圍,還包括我局信息網(wǎng)絡(luò)的架構(gòu)、設(shè)備資料等相關(guān)信息。
(2)涉密信息的密級(jí)參照《保密管理規(guī)定》。嚴(yán)格執(zhí)行訪問(wèn)控制與審核機(jī)制。涉及財(cái)政系統(tǒng)機(jī)密和技術(shù)機(jī)密的資料必須實(shí)行,涉密資料原則上不允許上網(wǎng)。
(3)涉密場(chǎng)所必須嚴(yán)格控制人員的進(jìn)出。
(4)所有涉密介質(zhì)(軟盤、光盤、硬盤等)必須實(shí)行使用登記。使用完后必須作脫密處理。
(5)對(duì)外公布有關(guān)財(cái)政信息必須經(jīng)過(guò)有關(guān)部門審核、批準(zhǔn)后方可執(zhí)行。
四、執(zhí)行力度保障
(1)實(shí)行“領(lǐng)導(dǎo)責(zé)任制”。各部門主管負(fù)責(zé)本部門的安全工作。
(2)信息中心定期抽查各部門安全工作,并隨時(shí)進(jìn)行突擊檢查。
點(diǎn)擊咨詢 