第一篇：涉密信息系統與信息系統聯系與區別heu[大全]

信息系統與涉密信息系統的聯系與差別

信息化是世界經濟和社會發展的必然趨勢，信息技術的應用是當今社會各個領域的迫切需要。信息系統就是一個應用了信息技術的，由計算機硬件、網絡和通訊設備、計算機軟件、信息資源、信息用戶和各種規章制度組成的信息收集、傳遞、存儲、加工、維護和使用的人機一體化系統。信息系統有五個基本功能，輸入、存儲、處理、輸出和控制，通過對于這五個功能的利用，能夠找到合適的數據，對數據進行加工、處理、編制成相關信息提供給管理人員，管理人員利用系統進一步對信息進行管理，并且根據信息進行正確的決策。那么什么是涉密信息系統？涉密信息系統，就是涉及了國家秘密和黨政機關工作秘密的信息系統。涉密信息系統并不是安全等級較高的系統，是否能成為涉密信息系統主要還要看是否涉及了國家秘密。有許多企業為了保護其商業秘密，將信息系統設立了很高的安全等級，但是信息系統中的信息并不涉密，那么也不是一個涉密信息系統。

涉密信息系統和信息系統存在一定的差別。首先，表現在所涉及的信息內容上。涉密信息系統是涉及國家秘密和敏感信息的；信息系統所存儲、處理、傳輸的內容不涉及國家秘密。第二，設施，設備的要求有差別。涉密信息系的設備必須符合國家的標準；而信息系統的設備、設施也有一套規定，但不要求符合國家規定。第三，檢測審批標準不同。涉密信息系統必須符合國家保密標準要求，投入使用前必須經安全保密檢測評估和審查批準；公共信息系統投入使用前也需要進行相關檢測，但檢測的目的和要求不同。涉密信息系統要求按照所存儲處理的信息的最高密級進行分級，而密級又分為絕密、機密、秘密三個等級。對于不同的涉密級別，有不同的防護措施，做到既不過防護，也不欠防護。

涉密信息系統與信息系統也有許多的聯系。首先，兩者都處理了文字，圖片，聲音等多種形式的數據，并且旨在對這些數據進行存儲，管理，控制等服務。第二，兩者都對安全等級有一定的要求。雖然有不同的參照標準，但是，都要求了信息安全三要素的保證，機密性、完整性、可用性。第三，都綜合運用了各種計算機的技術，比如軟件、硬件、數據庫系統等等。第四，都包含了人的因素。信息的管理和處理，需要人的參與。由于人員的參與，所以兩者都對人員的管理有所要求，要保證對于人員的有效管理才能保證系統的安全運維。

第二篇：涉密計算機及信息系統安全策略

涉密計算機及信息系統安全策略文件 概述

涉密計算機及信息系統安全策略文件屬于頂層的管理文檔，是公司網絡與信息安全保障工作的出發點和核心，是公司計算機與信息系統安全管理和技術措施實施的指導性文件。涉密計算機及信息系統安全策略文件是公司計算機和信息系統全體管理和使用人員必須遵循的信息安全行為準則，由公司信息安全管理部門制訂及解釋，由公司保密委員會審批發布，并由信息安全管理部門組織公司全體人員學習與貫徹。

公司涉密計算機及信息系統涉及到存儲、傳輸、處理國家秘密、公司商業秘密和業務關鍵信息，關系到公司的形象和公司業務的持續運行，必須保證其安全。因此，必須從技術、管理、運行等方面制定確保涉密計算機和信息系統持續可靠運行的安全策略，做好安全保障。

本策略文件主要內容包括：物理安全策略、信息安全策略、運行管理策略、備份與恢復策略、應急計劃和響應策略、計算機病毒與惡意代碼防護策略、身份鑒別策略、訪問控制策略、信息完整性保護策略、安全審計策略等十個方面。2 適用范圍

2.1本策略所稱的涉密計算機和信息系統指公司所有通過計算機及信息系統存貯、處理或傳輸的信息及存貯、處理或傳輸這些信息的硬件、軟件及固件。

2.2本策略適用于與公司涉密計算機及信息系統相關的所有部門及人員。3 目標

制定涉密計算機及信息系統安全策略的目標就是確保公司掌握的國家秘密、公司商業秘密和業務關鍵信息的安全性，并通過一系列預防措施將信息安全可能受到的危害降到最低。信息安全管理應在確保信息和計算機受到保護的同時，確保計算機和信息系統能夠在允許的范圍內正常運行使用。

同時，本策略的目的也是讓所有員工能夠了解信息安全問題以及明確各自的信息安全職責，嚴格遵守本安全策略，并遵守國家相關的計算機或信息安全法律要求。4 組織 4.1保密委員會是計算機及信息系統安全管理的領導機關，負責領導信息安全管理體系的建立和信息安全管理的實施，主要包括：

? 提供清晰的指導方向，可見的管理支持，明確的信息安全職責授權； ? 審查、批準信息安全策略和崗位職責； ? 審查業務關鍵安全事件；

? 批準增強信息安全保障能力的關鍵措施和機制；

? 保證必要的資源分配，以實現數據有效性以及信息安全管理體系的持續發展。

4.2信息安全管理部門具體負責建立和維持信息安全管理體系，協調相關活動，主要承擔如下職責：

? 調整并制定所有必要的信息安全管理規程、制度以及實施指南等； ? 提議并配合執行信息安全相關的實施方法和程序，如風險評估、信息管理分層等；

? 主動采取部門內的信息安全措施，如安全意識培訓及教育等； ? 配合執行新系統或服務的特殊信息安全措施； ? 審查對信息安全策略的遵循性； ? 配合并參與安全評估事項；

? 根據信息安全管理體系的要求，定期向上級主管領導和保密委員會報告。分層管理與控制

5.1公司計算機及信息系統管理分為涉密計算機管理、內部網絡（局域網）及計算機信息管理、互聯網計算機信息管理三個管理層次。

5.2 涉密計算機只能處理涉及國家秘密的信息，實行物理隔離管理，只能由公司涉密人員使用，由公司保密員管理。涉密計算機信息數據必須被保護以防止被泄漏、破壞或修改。

5.3 內部網絡（局域網）及計算機配置加密管理措施，與互聯網隔離，配置保密管理措施，只能通過局域網傳輸、儲存技術文檔、軟件等涉及公司商業機密信息。上述信息必須定期備份進行保護，以免破壞和非授權修改。

5.4 互聯網計算機主要處理來自于外部資源的普通信息，配置上網行為管理 2 措施，同樣在信息安全防護上進行安全考慮。

5.5上述計算機及信息系統根據分層次管理的要求應當依據其分類進行物理標記。

物理安全策略

6.4信息處理設備可接受的使用策略

公司禁止工作人員濫用計算機及信息系統的計算機資源，僅為工作人員提供工作所需的信息處理設備。公司所有人員對系統網絡和計算資源的使用（包括訪問互聯網）都必須遵守計算機及信息系統的安全策略和標準及所有適用的法律。

公司的計算機及信息系統應能防止使用人員連接到訪問含有色情、種族歧視及其他不良內容的網站及某些非業務網站。

包括但不限于以下例子是不可接受的使用行為：

? 使用信息系統資源故意從事影響他人工作和生活的行為。

? 工作人員通過信息系統的網絡服務及設備傳輸、存儲任何非法的、有威脅的、濫用的材料。

? 任何工作人員使用信息系統的計算機工具、設備和互聯網訪問服務來從事用于個人獲益的商業活動（如炒股）。

? 工作人員使用信息系統服務來參與任何政治或宗教活動。

? 在沒有信息安全管理部門的事先允許或審批的情況下，工作人員在使用的計算機中更改或安裝任何類型的計算機軟件和硬件。

? 在沒有信息安全管理部門的事先允許或審批的情況下，工作人員拷貝、安裝、處理或使用任何未經許可的軟件。6.5處理從互聯網下載的軟件和文件

必須使用病毒檢測軟件對所有通過互聯網（或任何其他公網）從信息系統之外的途徑獲得的軟件和文件進行檢查，同時，在獲得這些軟件和文件之前，信息安全管理部門必須研究和確認使用這些工具的必要性。

6.6工作人員保密協議

公司所有人員必須在開始工作前，親自簽訂計算機及信息系統保密協議。6.7知識產權權利

尊重互聯網上他人的知識產權。

公司工作人員在被雇傭期間使用公司系統資源開發或設計的產品，無論是以何種方式涉及業務、產品、技術、處理器、服務或研發的資產，都是公司的專有資產。物理和環境安全策略

計算機信息和其他用于存儲、處理或傳輸信息的物理設施，例如硬件、磁介質、電纜等，對于物理破壞來說是易受攻擊的，同時也不可能完全消除這些風險。因此，應該將這些信息及物理設施放置于適當的環境中并在物理上給予保護使之免受安全威脅和環境危害。

7.1安全區域

根據信息安全的分層管理，應將支持涉密信息或關鍵業務活動的信息技術設備放置在安全區域中。安全區域應當考慮物理安全邊界控制及有適當的進出控制措施保護，安全區域防護等級應當與安全區域內的信息安全等級一致，安全區域的訪問權限應該被嚴格控制。

7.2設備安全

對支持涉密信息或關鍵業務過程（包括備份設備和存儲過程）的設備應該適當地在物理上進行保護以避免安全威脅和環境危險。包括：

? 設備應該放置在合適的位置或加強保護，將被如水或火破壞、干擾或非授權訪問的風險降低到可接受的程度。

? 對涉密信息或關鍵業務過程的設備應該進行保護，以免受電源故障或其他電力異常的損害。

? 對計算機和設備環境應該進行監控，必要的話要檢查環境的影響因素，如溫度和濕度是否超過正常界限。

? 對設備應該按照生產商的說明進行有序地維護。? 安全規程和控制措施應該覆蓋該設備的安全性要求。? 設備包括存儲介質在廢棄使用之前，應該刪除其上面的數據。7.3物理訪問控制

信息安全管理部門應建立訪問控制程序，控制并限制所有對計算計及信息系統計算、存儲和通訊系統設施的物理訪問。應有合適的出入控制來保護安全場所，確保只允許授權的人員進入。必須僅限公司工作人員和技術維護人員訪問公司辦 4 公場所、布線室、機房和計算基礎設施。

7.4建筑和環境的安全管理

為確保計算機處理設施能正確的、連續的運行，應至少考慮及防范以下威脅：偷竊、火災、溫度、濕度、水、電力供應中斷、爆炸物、吸煙、灰塵、振動、化學影響等。

必須在安全區域建立環境狀況監控機制，以監控廠商建議范圍外的可能影響信息處理設施的環境狀況。應在運營范圍內安裝自動滅火系統。定期測試、檢查并維護環境監控警告機制，并至少每年操作一次滅火設備。

7.5保密室、計算機房訪問記錄管理

保密室、計算機房應設立物理訪問記錄，信息安全管理部門應定期檢查物理訪問記錄本，以確保正確使用了這項控制。物理訪問記錄應至少保留12個月，以便協助事件調查。應經信息安全管理部門批準后才可以處置記錄，并應用碎紙機處理。

8計算機和網絡運行管理策略

計算機和信息系統所擁有的和使用的大多數信息都在計算機上進行處理和存儲。為了保護這些信息，需要使用安全且受控的方式管理和操作這些計算機，使它們擁有充分的資源。

由于公司計算機和信息系統采用三層管理模式，不排除聯接到外部網絡，計算機和信息系統的運行必須使用可控且安全的方式來管理，網絡軟件、數據和服務的完整性和可用性必須受到保護。

8.1操作規程和職責

應該制定管理和操作所有計算機和網絡所必須的職責和規程，來指導正確的和安全的操作。這些規程包括：

? 數據文件處理規程，包括驗證網絡傳輸的數據；

? 對所有計劃好的系統開發、維護和測試工作的變更管理規程； ? 為意外事件準備的錯誤處理和意外事件處理規程；

? 問題管理規程，包括記錄所有網絡問題和解決辦法（包括怎樣處理和誰處理）； ? 事故管理規程； ? 為所有新的或變更的硬件或軟件，制定包括性能、可用性、可靠性、可控性、可恢復性和錯誤處理能力等方面的測試/評估規程；

? 日常管理活動，例如啟動和關閉規程，數據備份，設備維護，計算機和網絡管理，安全方法或需求；

? 當出現意外操作或技術難題時的技術支持合同。8.2操作變更控制

對信息處理設施和系統控制不力是導致系統或安全故障的常見原因，所以應該控制對信息處理設施和系統的變動。應落實正式的管理責任和措施，確保對設備、軟件或程序的所有變更得到滿意的控制。

8.3介質的處理和安全性

應該對計算機介質進行控制，如果必要的話需要進行物理保護： ? 可移動的計算機介質應該受控；

? 應該制定并遵守處理包含機密或關鍵數據的介質的規程； ? 與計算相關的介質應該在不再需要時被妥善廢棄。8.4鑒別和網絡安全

鑒別和網絡安全包括以下方面：

? 網絡訪問控制應包括對人員的識別和鑒定；

? 用戶連接到網絡的能力應受控，以支持業務應用的訪問策略需求； ? 專門的測試和監控設備應被安全保存，使用時要進行嚴格控制； ? 通過網絡監控設備訪問網絡應受到限制并進行適當授權； ? 應配備專門設備自動檢查所有網絡數據傳輸是否完整和正確； ? 應評估和說明使用外部網絡服務所帶來的安全風險； ? 根據不同的用戶和不同的網絡服務進行網絡訪問控制； ? 對IP地址進行合理的分配； ? 關閉或屏蔽所有不需要的網絡服務； ? 隱藏真實的網絡拓撲結構；

? 采用有效的口令保護機制，包括：規定口令的長度、有效期、口令規則或采用動態口令等方式，保障用戶登錄和口令的安全；

? 應該嚴格控制可以對重要服務器、網絡設備進行訪問的登錄終端或登錄 6 節點，并且進行完整的訪問審計；

? 嚴格設置對重要服務器、網絡設備的訪問權限； ? 嚴格控制可以對重要服務器、網絡設備進行訪問的人員；

? 保證重要設備的物理安全性，嚴格控制可以物理接觸重要設備的人員，并且進行登記；

? 對重要的管理工作站、服務器必須設置自動鎖屏或在操作完成后，必須手工鎖屏；

? 嚴格限制進行遠程訪問的方式、用戶和可以使用的網絡資源； ? 接受遠程訪問的服務器應該劃分在一個獨立的網絡安全區域； ? 安全隔離措施必須滿足國家、行業的相關政策法規。

個人終端用戶（包括個人計算機）的鑒別，以及連接到所有辦公自動化網絡和服務的控制職責，由信息安全管理部門決定。

8.5操作人員日志

操作人員應保留日志記錄。根據需要，日志記錄應包括： ? 系統及應用啟動和結束時間； ? 系統及應用錯誤和采取的糾正措施； ? 所處理的數據文件和計算機輸出； ? 操作日志建立和維護的人員名單。8.6錯誤日志記錄

對錯誤及時報告并采取措施予以糾正。應記錄報告的關于信息處理錯誤或通信系統故障。應有一個明確的處理錯誤報告的規則，包括：1）審查錯誤日志，確保錯誤已經得到滿意的解決；2）審查糾正措施，確保沒有違反控制措施，并且采取的行動都得到充分的授權。

8.7網絡安全管理策略

網絡安全管理的目標是保證網絡信息安全，確保網絡基礎設施的可用性。網絡管理員應確保計算機信息系統的數據安全，保障連接的服務的有效性，避免非法訪問。應該注意以下內容：

應將網絡的操作職責和計算機的操作職責分離；

? 制定遠程設備（包括用戶區域的設備）的管理職責和程序；

? 應采取特殊的技術手段保護通過公共網絡傳送的數據的機密性和完整性，并保護連接的系統，采取控制措施維護網絡服務和所連接的計算機的可用性；

? 信息安全管理活動應與技術控制措施協調一致，優化業務服務能力； ? 使用遠程維護協議時，要充分考慮安全性。8.8電子郵件安全策略

計算機和信息系統應制定有關使用電子郵件的策略，包括： ? 對電子郵件的攻擊，例如病毒、攔截；

? 必要時，使用相關技術保護電子郵件的機密性、完整性和不可抵賴。8.9病毒防范策略

病毒防范包括預防和檢查病毒（包括實時掃描/過濾和定期檢查），主要內容包括：

? 控制病毒入侵途徑； ? 安裝可靠的防病毒軟件； ? 對系統進行實時監測和過濾； ? 定期殺毒； ? 及時更新病毒庫； ? 及時上報； ? 詳細記錄。

防病毒軟件的安裝和使用由信息安全管理部門專門的病毒防范管理員執行。嚴格控制盜版軟件及其它第三方軟件的使用，必要時，在運行前先對其進行病毒檢查。

內部工作人員因為上不安全的網站下載文件或其他方式導致中毒，造成的后果由其本人負責。

8.10備份與恢復策略

定義計算機及信息系統備份與恢復應該采用的基本措施： ? 建立有效的備份與恢復機制； ? 定期檢測自動備份系統是否正常工作；

? 明確備份的操作人員職責、工作流程和工作審批制度；

? 建立完善的備份工作操作技術文檔；

? 明確恢復的操作人員職責、工作流程和工作審批制度； ? 建立完善的恢復工作操作技術文檔； ? 針對建立的備份與恢復機制進行演習； ? 對備份的類型和恢復的方式進行明確的定義； ? 妥善保管備份介質。8.11加密策略

對于應用系統安全需求分析中要求采用加密措施，或相關法規中要求采用加密措施的處理，一定要滿足要求。

采用加密技術或選用加密產品，要求符合國家有關政策或行業規范的要求。選用的加密機制與密碼算法應符合國家密碼政策，密鑰強度符合國家規定。對于敏感或重要信息，要求通過加密保障其私密性、通過信息校驗碼或數字簽名保障其完整性、通過數字簽名保障其不可否認性。

要求采用高強度的密鑰管理系統，保證密鑰全過程的安全。包括密鑰的生成、使用、交換、傳輸、保護、歸檔、銷毀等。

對敏感或重要密鑰，要求分人制衡管理。

對敏感或重要密鑰，要求采用一定的密鑰備份措施以保障在密鑰丟失、破壞時系統的可用性。

密鑰失密或懷疑失密時，必須及時向安全主管部門報告，更新密鑰。并采取有效措施，防止再次發生類似情況。9訪問控制策略

為了保護計算機系統中信息不被非授權的訪問、操作或破壞，必須對信息系統和數據實行控制訪問。

計算機系統控制訪問包括建立和使用正式的規程來分配權限，并培訓工作人員安全地使用系統。對系統進行監控檢查是否遵守所制定的規程。

9.1計算機訪問控制

應該根據相關國家法律的要求和指導方針控制對信息系統和數據的訪問： ? 計算機活動應可以被追蹤到人；

? 訪問所有多用戶計算機系統應有正式的用戶登記和注銷規程； ? 應使用有效的訪問系統來鑒別用戶；

? 應通過安全登錄進程訪問多用戶計算機系統； ? 特殊權限的分配應被安全地控制；

? 用戶選擇和使用密碼時應慎重參考良好的安全慣例； ? 用戶應確保無人看管的設備受到了適當的安全保護； ? 應根據系統的重要性制定監控系統的使用規程。? 必須維護監控系統安全事件的審計跟蹤記錄； ? 為準確記錄安全事件，計算機時鐘應被同步。10風險管理及安全審計策略

信息安全審計及風險管理對于幫助公司識別和理解信息被攻擊、更改和不可用所帶來的（直接和間接的）潛在業務影響來說至關重要。所有信息內容和信息技術過程應通過信息安全審計活動及風險評估活動來識別與它們相關的安全風險并執行適當的安全對策。

計算機及信息系統的信息安全審計活動和風險評估應當定期執行。特別是系統建設前或系統進行重大變更前，必須進行風險評估工作。

信息安全審計應當3個月進行一次，并形成文檔化的信息安全審計報告。信息安全風險評估應當至少1年一次，可由公司自己組織進行或委托有信息系統風險評估資質的第三方機構進行。信息安全風險評估必須形成文檔化的風險評估報告。

11信息系統應急計劃和響應策略

11.1信息應急計劃和響應的必要性

應該制定和實施應急計劃和響應管理程序，將預防和恢復控制措施相結合，將災難和安全故障（可能是由于自然災害、事故、設備故障和蓄意破壞等引起）造成的影響降低到可以接受的水平。

應該分析災難、安全故障和服務損失的后果。制定和實施應急計劃，確保能夠在要求的時間內恢復業務的流程。應該維護和執行此類計劃，使之成為其它所有管理程序的一部分。

11.2應急計劃和響應管理程序

應該在整個計算機信息系統內部制定應急計劃和響應的管理流程。包括以下 主要內容：

? 考慮突發事件的可能性和影響。

? 了解中斷信息系統服務可能對業務造成的影響（必須找到適當的解決方案，正確處理較小事故以及可能威脅組織生存的大事故），并確定信息處理設施的業務目標。

? 適當考慮風險處理措施，可以將其作為業務連續性程序的一部分。? 定期對應急計劃和響應程序進行檢查和進行必要的演練，確保其始終有效。

? 適當地對技術人員進行培訓，讓他們了解包括危機管理在內的應急程序。

12遵循性

計算機及信息系統必須遵守國家法律和法規的要求。

公司所有工作人員都有責任學習、理解并遵守安全策略，以確保公司敏感信息的安全。對違反安全策略的行為，根據事件性質和違規的嚴重程度，采取相應的處罰措施。信息安全管理部門應根據違規的嚴重程度向相關領導提出建議懲罰措施。除本安全策略中涉及的要求之外，所有部門和工作人員同樣需要遵守相關國家法律和法規的要求。

計算機和信息系統安全策略文件由信息安全管理部門負責制定和解釋，由公司保密委員會審批發布。

公司已存在的但內容與本安全策略文件不符的管理規定，應以本安全策略的要求為準，并參考本安全策略及時進行修訂。

第三篇：涉密信息系統保密管理探討（模版）

涉密信息系統安全保密管理探討

摘要：本文通過分析信息化條件下涉密信息系統保密管理與技術的關系，結合目前涉密信息系統保密管理的現狀與問題，根據涉密信息分級保護標準規范要求，從宏觀層面初步探討提出了當前形勢下涉密信息系統保密管理的原則、基本思路與方法，并提出了相應的建議。

關鍵詞：涉密信息系統 分級保護 信息系統建設生命周期

一、引言

涉密計算機信息系統（以下簡稱涉密信息系統）是指涉及國家秘密和黨政機關工作秘密的計算機信息系統，主要包括黨政軍領導機關用于處理涉密信息的單機和用于內部辦公自動化或涉密信息交換的信息系統；也包括企事業單位涉及國家秘密的信息系統。當前，隨著我國黨政軍領導機關和國防科研軍工單位信息化進程的全面加快，保密管理的對象、領域、方式和環境發生了深刻變化，在知密范圍、涉密行為以及涉密人員的界定和管控等方面，出現了許多新的問題，傳統的保密管理措施已經不能適應新形勢下保密工作發展的要求，由于涉密單位的業務特殊性，如何對涉密信息系統進行科學有效的保密管理，已經成為涉密信息系統建設使用單位急需解決的問題，迫切需要新的管理思路與辦法。

二、涉密信息系統保密管理與技術的關系

在網絡環境下，國家秘密的存儲、處理和流轉方式發生了根本性變化，涉密電子文件易復制、易傳播的特點，使得泄密渠道增多，一旦發生泄密情況，則擴散速度快，涉及范圍廣，且不易被發覺，危害特別大。面對信息化條件下保密工作新形勢，傳統的紙質涉密文件的保密管理措施已經不能完全適應新形勢下保密工作發展的要求，涉密信息系統的保密管理亟需提升技術支撐能力。在當前的形勢下，可以說技術與管理是涉密信息系統安全保障的兩個支撐要素，二者相輔相成，缺一不可：即使非常嚴密的管理，沒有技術手段支撐，也保證不了安全；無論多么先進保密技術，沒有管理措施保障，也不能發揮應有的作用。但在具備了一定技術手段的前提下，管理則成為決定因素。因此，各涉密單位應當根據涉密信息系統自身的特點，制定出具有針對性和可操作性的管理措施，并嚴格執行。

三、涉密信息系統保密管理的現狀與問題

隨著我國綜合國力不斷增強和國際戰略地位顯著提高，我國已成為各種情報竊密的重點目標，境內外敵對勢力和國外情報機構加緊對我實施全方位的信息監測和情報戰略，竊密活動十分猖獗，各級黨政軍機關、國防軍工科研生產單位作為國家秘密的主要生成區、密集區，更是成為敵對勢力竊密的重點對象。但目前我國涉密信息系統建設使用單位保密管理水平比較低，與形勢的發展很不適應，急需進一步加強。就拿航宇公司為例，該公司先后建立的涉密應用系統有：OA系統，CAPP系統，ERP系統，檔案管理系統，PDM系統等，這些系統在建設、規劃和保密管理中存在的問題主要表現在以下幾個方面：

(一)涉密信息系統定密的隨意性、不準確問題

目前該公司很多涉密信息系統定密比較隨意，不準確，界定不清楚，甚至很多涉密人員都不清楚自己管理的應用系統的密級別。究其原因主要是沒有嚴格確定定密責任，缺乏專業定密人員，定密依據不夠明確和細化，定密程序不規范等。

(二)涉密信息系統安全保密工作 “重技術、輕管理”的現象比較突出

目前公司很多涉密信息系統的安全保密方案只注重安全保密技術建設，過于依賴技術來實現保密要求，而忽略保密管理的重要性。由于缺乏有針對性的保密管理措施進行有機整合，所有的安全保密措施只是產品的簡單堆砌，使得整個安全保密方案先天性不足。眾所周知，如果沒有強有力的管理來支持，再好的技術防范措施都會大打折扣，再好的技術防范產品也將成為擺設，因此涉密信息系統安全保密工作的重點還是在于管理。

（三）涉密信息系統建設生命周期“重建設、輕監管”

通常情況下，我們將信息系統建設生命周期（SDLC）劃分為五個階段：規劃需求階段、設計開發階段、實施階段、運行維護階段、廢棄階段。也就是說，系統是不斷變化的，安全保密工作也應隨之發生變化，各個階段安全保密要求不同，每個階段都應制定相應的保密制度，并落實執行、監管。由于公司很多應用項目都是和第三方公司合作，而這些公司可能存在著對系統建設生命周期各階段的保密標準的具體要求把握不準的情況，使得工程實施各階段沒有嚴格執行保密要求或者與安全保密建設不同步情況時有發生，而這一塊我們又缺乏最起碼的監管手段，從而給系統增加了安全隱患。舉個例子，在涉密信息系統經過保密審批投入運行后，由于一般都是由系統建設使用單位的信息化部門在負責日常的運行維護。但信息化部門并不清楚保密方面的要求，而保密部門又屬于行政部門，不熟悉系統業務應用情況，只能制定一些原則性管理規章制度，無法對系統進行有效的保密監管，不能及時發現系統的違規行為和泄密隱患。

（四)涉密信息系統安全保密工作 “重制度、輕執行”的現象比較突出

航宇公司在涉密信息系統安全保密工作上制定了大量的制度、規范，并且有專門的保密網站進行宣貫，但由于保密工作的長期性和繁瑣性不可避免地對日常工作造成影響，而我們某些員工認為保密工作對其日常工作造成居多不便，從而產生抵觸情緒，進而對保密制度進行抵制，或者“打折處理，表面執行”，造成安全保密制度真正落實執行的少，讓很多制度流于形式，流于紙面。另外，我們制定保密制度還存在一個錯誤觀念，就是：制定保密制度是為了應付保密檢查，至于落實不落實，執行不執行沒有多大關系。所以，要堅決克服為了制定制度而制定制度的錯誤觀念。制定制度不是目的，通過制定安全保密制度，并堅決落實執行來加強軍工單位保密管理，保證國家秘密安全才是制定制度的根本目的。

四、涉密信息系統安全保密管理原則

（一）基于安全需求、適度安全的原則：由于信息泄露、濫用、非法訪問或非法修改而造成的危險和損害相適應的安全。沒有絕對安全的信息系統(網絡)，任何安全措施都是有限度的。關鍵在于“實事求是”、“因地制宜”地去確定安全措施的“度”，即根據信息系統因缺乏安全性造成損害后果的嚴重程度和實際需求來決定采取什么樣的安全措施。組織機構應根據其信息系統擔負的使命，積累的信息資產的重要性，可能受到的威脅及面臨的風險分析安全需求，按照信息系統等級保護要求確定相應的信息系統安全保護等級，遵從相應等級的規范要求，從全局上恰當地平衡安全投入與效果；

（二）最小化授權以及分權和授權相結合原則：涉密信息系統的建設規模要最小化，非工作所必需的單位和崗位，不得建設可登陸涉密信息系統的終端；其次，涉密信息系統中涉密信息的訪問權限要最小化，非工作必需知悉的人員，不得具有關涉密信息的訪問權限。分權和授權原則是指對特定職能或責任領域的管理功能實施分離、獨立審計等實行分權，避免權力過分集中所帶來的隱患，以減小未授權的修改或濫用系統資源的機會。任何實體（如用戶、管理員、進程、應用或系統）僅享有該實體需要完成其任務所必須的權限，不應享有任何多余權限；

（三）同步建設、嚴格把關的原則：涉密信息系統的建設必須要與安全保密設施的建設同步規劃、同步實施、同步發展。要對涉密信息系統建設的全過程(各個環節)進行保密審查、審批、把關。要防止并糾正“先建設，后防護，重使用，輕安全”的傾向，建立健全涉密信息系統使用審批制度。不經過保密部門的審批和論證，信息系統不得處理國家秘密信息。

（四）注重管理的原則：涉密信息系統的安全保密三分靠技術，七分靠管理。加強管理可以彌補技術上的不足；而放棄管理則再好的技術也不安全。采用管理與技術相結合，管理科學性和技術前瞻性結合的方法，保障信息系統的安全性達到所要求的目標。信息安全管理工作主要體現為管理行為，應保證信息系統安全管理主體合法、管理行為合法、管理內容合法、管理程序合法。對安全事件的處理，應由授權者適時發布準確一致的有關信息，避免帶來不良的影響；

（五）主要領導負責、全員參與原則：主要領導應確立其組織統一的信息安全保障的宗旨和政策，負責提高員工的安全意識，組織有效安全保障隊伍，調動并優化配置必要的資源，協調安全管理工作與各部門工作的關系，并確保其落實、有效；信息系統所有相關人員應普遍參與信息系統的安全管理，并與相關方面協同、協調，共同保障信息系統安全；

（六）系統方法、持續改進原則：按照系統工程的要求，識別和理解信息安全保障相互關聯的層面和過程，采用管理和技術結合的方法，提高實現安全保障的目標的有效性和效率；安全管理是一種動態反饋過程，貫穿整個安全管理的生存周期，隨著安全需求和系統脆弱性的時空分布變化，威脅程度的提高，系統環境的變化以及對系統安全認識的深化等，應及時地將現有的安全策略、風險接受程度和保護措施進行復查、修改、調整以至提升安全管理等級，維護和持續改進信息安全管理體系的有效性；

（七）分級保護原則：涉密信息系統等級劃分需按照國家關于涉密計算機信息系統等級劃分指南，結合本單位實際情況進行涉密信息系統定級。按等級劃分標準確定信息系統的安全保護等級，實行分級保護；對多個子系統構成的大型信息系統，確定系統的基本安全保護等級，并根據實際安全需求，分別確定各子系統的安全保護等級，實行多級安全保護；

五、涉密信息系統保密管理的思路與方法

我國的涉密信息系統實行分級保護管理制度，即根據涉密程度，對涉密信息系統按照秘密級、機密級、絕密級進行分等級實施保護。目前，國家保密局已經制定發布了國家保密標準BMBl7--2006《涉及國家秘密的信息系統分級保護技術要求》和BMB20--2007《涉及國家秘密的信息系統分級保護管理規范》，從技術和管理兩個方面，詳細規定了涉密信息系統建設、使用和管理的保密要求。

涉密信息系統分級保護是國家信息安全等級保護的重要部分，其核心思想是“從實際出發，綜合平衡安全成本和風險，優化信息安全資源的配置，確保重點。”因此，涉密信息系統應該遵循國家保密標準規范，在分級保護的框架下，按照“規范定密，準確定級；分域分級，科學防護；風險評估，動態調整；技管并重，全面保障”的基本思路進行保密管理，具體方法為：

(一)涉密信息系統應該嚴格按照以系統分域定級、方案設計、工程實施、系統測評為中心環節的操作流程，積極組織開展涉密信息系統建設工作

1．涉密信息系統建設使用單位應按照信息密級、行政級別、業務類別、系統重要性和安全策略等因素劃分安全域，并根據各安全域所處理信息的最高密級確定等級。

2．涉密信息系統建設使用單位應選擇具有涉密信息系統集成資質單位進行承建，結合國家保密標準BMBl7—2006《涉及國家秘密的信息系統分級保護技術要求》和BMB20--2007《涉及國家秘密的信息系統分級保護管理規范》等相關標準，在風險評估的基礎上，從技術和管理兩個方面進行綜合設計。保密工作部門應當參與方案審查論證，在系統總體安全保密性方面加強指導，嚴格把關。

3．涉密信息系統建設使用單位應按照BMBl8--2006《涉及國家秘密的信息系統工程監理規范》進行工程監理。在進行工程監理時，應選擇具有涉密工程監理單項資質的單位或組織自身力量加強監督檢查。

4．涉密信息系統在投入使用前，經過保密工作部門授權測評機構的安全保密測評和保密工作部門審批。涉密信息系統建設使用單位應按照測評機構的要求，提交測評所需的必要資料，并配合系統測評工作。

(二)涉密信息系統建設使用單位應該整合保密部門、信息化建設部門和其他相關部門力量，密切合作，各負其責，形成合力共同加強系統的保密管理工作

1．在系統定級方面，保密部門發揮準確掌握國家保密政策的優勢，與信息化部門、業務工作部門一起研究確定系統和安全域所處理信息的最高密級，從而確定保護等級。

2．在方案設計方面，信息化部門利用熟悉技術的特點，按照分級保護技術要求和管理規范，組織開展分級保護方案的設計工作。保密部門應對總體方案進行監督、檢查和指導，組織專家進行評審論證。

3．在工程實施方面，信息化部門應具體承擔組織實施工作，并定期與保密部門對安全保密措施落實情況和工程進展情況監督、檢查。4．在系統工程施工結束后，保密部門負責組織系統測評和系統審批工作，信息化部門密切配合。

5．在系統投入運行后，保密、信息化、密碼、業務工作、保衛和人事等有關部門應按照“分工合作、各司其責”的原則，在滿足基本管理要求的基礎上，主要從人員管理、物理環境與設施管理、設備與介質管理、運行與開發管理和信息安全保密管理五個方面抓好系統應用中的日常管理，積極開展風險評估和保密監督檢查，并做好系統廢止階段的善后工作。

六、涉密信息系統安全保密建議

（一）要樹立起有效控制的思想。

保密的實質是什么？筆者認為保密的實質就是控制，要做到國家秘密在任何時候、任何情況下都受控。而做好控制的最有效方法就是盡一切可能縮小知悉范圍，做到知悉必須以工作需要為原則。為檢驗控制的效果，則要做好全程登記工作，將所有知悉國家秘密的人和情況記錄在案，做到可查、可追溯。

（二）要建立起一個高效的保密機制。

保密工作機制就是將保密工作各相關要素組合在一起，通過各要素之間的相互聯系、相互制約、相互作用，使其向既定的保密工作目標自行運轉。比如保密資格認證制度就是一個好的機制。它將軍工單位承擔武器裝備科研生產任務與保密緊密聯系起來，與單位生存發展緊密聯系起來，通過開展達標活動，使保密工作按照相關標準的要求自行運轉。在單位內部，將各項保密要求制定成保密檢查標準，通過定期檢查，量化打分，發現和改進企業保密管理的薄弱環節，同時將每位涉密人員平時的保密工作情況納入綜合考評，與其晉級、晉職、獎懲等緊密聯系起來，激勵每一位涉密人員自覺地做好保密工作。建立這樣一個能夠自行運轉的系統，將從根本上解決做好保密工作的動力問題，由過去的讓我做變成我要做，促使軍工單位保密工作發生質的變化。

（三）要抓好保密工作三大體系建設

保密工作三大體系是指：保密組織管理體系，保密法規制度體系，保密技術防護體系。保密是一項管理工作，是需要有職能部門和專職人員開展的工作，且必須有經費的保障，建立保密組織管理體系是做好保密工作的基本條件和基本保障。保密法規制度是做好保密工作的重要基礎和前提。保密法規制度體系的建立要做到各類涉密事項和任何涉密活動都有制度進行約束和控制。保密技術防護體系是做好保密工作的重要手段和措施。要將涉密區域和要害部門部位通過技術手段全面控制起來。安裝必要的電視監控系統、門禁系統、區域紅外報警系統等。

（四）要重視安全保密的管理工作

隨著信息安全技術的發展，信息安全產品正在向智能、整合和管理方向發展，未來的涉密信息系統安全保密技術防范方案將會越來越完善。同時我們也應該注意到，如果沒有強有力的管理來支持，再好的技術防范措施都會大打折扣，再好的技術防范產品也將成為擺設，因此涉密信息系統安全保密工作的重點還是在于管理，需要制定切實可行的規章制度，定期進行涉密信息系統的安全保密檢查，發現問題及時整改，并嚴肅處理違規的責任人，從而不斷強化員工的安全保密意識，使員工能夠自覺遵守企業安全保密的規章制度。

七、結束語

傳統的“規章制度建設”式保密管理方法已經不適應新的形勢，“管理以技術為依托，技術靠管理來保障”的模式已經成新的發展趨勢，因此必須按照“分級保護”和“技管并重”的原則開展涉密信息系統安全保密工作。

作者簡介：

陳金文，男，工程師，武漢理工大學畢業，目前從事航宇公司PDM、VPM等涉密應用系統的實施、推廣運維方面的技術工作。

聯系方式：辦公室 1097 手機 ***

第四篇：計算機信息系統涉密管理辦法

計算機信息系統涉密管理辦法

第一章 總 則

第一條 為保護農村商業銀行股份有限公司（以下簡稱“本行”）計算機網絡系統的安全，根據《中華人民共和國保守國家秘密法》、《計算機信息系統保密暫行規定》等法律、法規制訂本辦法。

第二條 本辦法所稱的計算機信息系統，是指由計算機、網絡設備、數據信息以及其相關配套的設備、設施構成的，按照一定的應用目標和規則對數據信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統。

第三條 概念釋義：

（一）計算機信息系統安全，是指計算機信息系統的硬件、軟件、網絡和數據的安全必須受到保護，不因自然的和人為的原因而遭到破壞、更改和丟失，以保證計算機信息系統能連續正常運行。

（二）計算機信息系統保密，是指對涉及本行商密的包括但不限于計算機信息系統的軟件、硬件、系統數據信息、技術開發文檔、管理及操作規定。

（三）計算機信息系統的安全保密，是指保障計算機、數據信息網絡及其相關的和配套的設備、設施的安全，保障運行環境（機房）的安全，保障信息的安全，保障計算機和網絡功能的正常發揮，防止工作或政治因素造成的失密、泄密，防止人為或自然災害等造成的破壞，以及防止利用計算機犯罪等。

第四條

本辦法適用于支行（部）的業務網、辦公網、互連網等三大計算機網絡系統涉密工作的管理。

第二章 組織管理及職責

第五條 本行成立計算機網絡系統保密領導小組，由行長任組長，分管副行長為副組長、各支行（部）負責人為小組成員，信息科技部負責保密領導小組的日常檢查工作。

（一）保密領導領導小組定期向本行領導報告安全保密工作情況；

（二）保密領導領導小組督促本部門安全保密措施的貫徹執行；

（三）小組成員負責本部門安全保密檢查；進行安全保密教育。第七條 對涉密信息需要經計算機系統采集、加工、存儲、處理、輸出的，由信息的生成、擁有、管理、提供部門向總行保密領導小組進行申報，經總行保密領導小組核定并簽署意見后書面通知相關部門執行。

第八條

總行保密領導小組不定期組織開展本行涉密計算機信息安全檢查，對檢查中發現的問題將及時予以糾正，對嚴重違反涉密規定，造成后果的，要進行通報，并按有關規定，追究領導責任，嚴肅處理。

第三章 計算機及網絡系統

第九條 設備選型、購置須經充分論證，做好驗收，對密鑰、密碼、參數等信息應做好接交保管，網絡設備要特別關注其保密性能。

第十條

建立常規硬件系統維護管理制度，保持維護計算機和網絡設備、工具和資料處于良好狀態。

第十一條 各級操作人員必須進行必要的安全保密培訓，在職責范圍內嚴格按相關操作規程進行操作。

第十二條 應用系統在設計上嚴格控制涉密文件信息查詢、檢索的人員范圍，嚴格管理用戶使用權限。系統軟硬件一經安裝、調試、正式運行，各支行（部）未經科技部門許可，不得自行對其更改配置。

第四章 介質、資料的管理

第十三條

應用系統使用、產生的介質（磁性存儲介質、電子存儲介質、光存儲介質等）或資料（紙質文檔、電子文檔、程序等）要按其重要性進行分類，對存放有關鍵或重要數據的介質和資料，應復制必要的份數，并分別存放在不同的安全地方，建立嚴格的保密保管制度。

第十四條 保留在機房內的介質或資料，應為系統有效運行所必需的最少數量，除此之外，不應保留在機房內。

第十五條 存放介質、資料的庫房，必須設有防火、防潮、防高溫、防震、防電磁場、防靜電及防盜等的設施。

第十六條 介質（資料）庫，應設專人負責登記保管，未經批準，不得向第三方提供。

第十七條 系統內有關人員在使用介質（資料）期間，應嚴格按國家相關保密規定進行控制，不得轉借或復制，需要使用或復制的須經相關領導批準。

第十八條

庫房保管人對所有介質（資料）應定期檢查，根據介質的安全保存期限，及時更新復制。損壞、廢棄或過期的介質（資料）應由專人負責處理，秘密級以上的介質（資料）在超過保密期或廢棄不用時，要及時銷毀。

第五章 安全保密管理

第十九條

計算機信息系統的建設和應用，應當遵守國家有關法律、行政法規和本行其它有關規定。

第二十條 計算機機房、辦公、防雷、消防、通訊及供配電設施應當符合國家標準和國家有關規定。在上述設施附近施工，不得危害計算機網絡系統的安全。

第二十一條 嚴禁任何涉及支行（部）機密的涉密計算機信息系統直接或間接地與國際互聯網或其他公共信息網絡相連接，必須實行內聯網與互聯網嚴格物理隔離。所有與互聯網連接的計算機必須使用專用的上網計算機或采用隔離措施的計算機，上網計算機中不得有涉及本機構保密信息的內容。

第二十二條 凡接入互聯網的單位，要實行保密領導責任制，各部門負責人是本部門保密工作的第一責任人，必須指定專人負責本部門上網信息的保密監督檢查，確保涉密信息的安全。

第二十三條 要求接入國際互聯網的計算機，由使用部門提出申請，經科技部門按規定審核后，報分管領導審批。互聯網實行專網管理，由信息科技部統一出口管理，并向通信運營商提出申請安裝，嚴格控制各支行（部）自行申請安裝。互聯網申請安裝必須報市公安局網絡監察大隊備案。為控制源頭，加強管理，支行（部）大樓實行單一互聯網專線，由信息科技部負責安全措施落實，各部門不得自行通過電話或其他方式上互聯網，以防止通過互聯網發生泄密事件。

第二十四條 對計算機信息系統中發生的案件，按規定及時向本行相關部門報告。

第二十五條 上網信息的保密管理堅持“誰上網，誰負責”的原則。凡向互聯網發布涉密信息，必須經過總行保密領導小組授權總行辦公室審查批準。第二十六條

本行員工必須接受保密安全教育，嚴格遵守保密紀律。在開展技能培訓的同時，必須把保密教育作為技能培訓的重要內容之一。

第二十七條 本行與外單位因業務關系進行網絡互聯時，必須在雙方設置硬件防火墻，并通過中間服務器訪問我行數據，與關聯單位簽定的協議中，必須含有保密條款。關聯單位必須遵守我行有關保密規定，不得泄露我行重要的保密信息。

第二十八條 總行保密領導小組不定期組織開展本行涉密計算機信息安全檢查，對檢查中發現的問題將及時予以糾正，對嚴重違反涉密規定，造成后果的，要進行通報，并按有關規定，追究領導責任，嚴肅處理。

第六章 人員內控管理

第二十九條 人員管理。

本行員工一旦發現涉密信息泄露或可能發生泄露的情況時，應立即向保密領導小組報告，并采取相應的保護措施。

第三十條 任何人不得擅自處理或破壞發生事故的涉密計算機信息系統現場，必須及時通知總行保密領導小組，經保密領導小組授權，信息科技部進行技術分析、取證，并及時做好相應的登記備案工作。

第三十一條 泄密事故相關人員應根據責任和損失大小承擔相關事故責任，給本行造成重大損失的將被依法追究責任，情節嚴重的將送交司法機關處理。

第三十二條

人員審查。

人員的審查必須根據計算機網絡系統所規定的安全等級來確定審查標準。凡接觸系統安全三級以上信息系統的所有人員，必須按機要人員的條件進行審查。

第三十三條

關鍵崗位人選。

對計算機信息系統的關鍵崗位人選，如安全負責人、系統管理員等，不僅需要進行嚴格的政審，還要考核其業務能力，以保證這部分人員可信可靠，能勝任本職工作。關鍵崗位人員要實行定期強制休假制度。

第三十四條

人員培訓。

計算機信息系統上崗的所有工作人員，均需由有關部門組織上崗培訓，包括計算機及網絡操作、維護培訓、應用軟件操作培訓、計算機網絡系統安全課程及保密教育培訓，經培訓合格的人員持證上崗。

第三十五條 人員考核。

人事部門要定期組織有關方面人員對計算機網絡系統所有的工作人員從政治思想、業務水平、工作表現、遵守安全規程等方面進行考核，對于考核發現有違反安全法規行為的人員或發現不適于接觸計算機網絡系統的人員要及時調離崗位，不應讓其再接觸系統，對情節嚴重的應追究其法律責任。

第三十六條

簽訂保密協議。

對于所有進入計算機網絡系統工作的人員，均應簽訂保密契約，承諾其對系統應盡的安全保密義務，保證在崗工作期間和離崗后均不得違反保密契約，泄漏系統秘密。對違反保密契約的，應有懲處條款。對接觸機密信息的人員，應規定在離崗后的一段時期內不得離境。

第三十七條 人員調離。

對調離人員，特別是因不適合安全管理要求被調離的人員，必須嚴格辦理調離手續。進行調離談話，承諾其調離后的保密義務，交還所有鑰匙及證件，退還全部技術手冊、軟件及有關資料。更換系統口令和用戶名。自調離決定通知之日起，必須立即進行上述工作，不得拖延。

第七章 操作安全管理

第三十八條 系統操作安全管理目標。

系統操作是指對計算機信息系統開發、操作、維護、系統管理等人員的行為或活動。計算機信息系統操作安全管理的目標是：

（一）對系統管理及系統操作均應進行有效的監督或監控；

（二）所有接觸系統的人員均應承擔與其工作性質相應的安全責任。

第三十九條 計算機操作人員分類。

對計算機信息系統的操作人員，應根據計算機信息系統有限職責、有限使用授權原則進行分類。

（一）營業網點操作員、管理人員。

（二）事后監督系統操作員、管理人員。

（三）辦公自動化系統操作、管理人員。

（四）網絡及硬件維護人員。

（五）系統運行維護人員。

（六）中心系統管理人員。

（七）安全管理人員。

第四十條 系統操作控制管理。

（一）應按照分工負責、互相制約的原則制定各類系統操作人員的職責，職責不允許交叉覆蓋。

（二）各類人員在履行職責時要按規定行事，不得從事超越自己職責以外的任何操作。

（三）在對生產系統和監督系統進行系統維護、恢復、強行更改數據時，至少應有兩名操作人員在場、并進行詳細的登記及簽名。

（四）系統檢查人員、安全管理人員有權對生產系統進行監督與核查，但該過程必須履行必要的手續和按照一定的程序進行。

第八章 安全保密監督

第四十一條 科技部門對計算機信息系統安全保密工作，行使下列監督職權：

（一）監督、檢查、指導計算機信息系統安全保密工作；

（二）檢查危害計算機信息系統安全的違規事件；

（三）履行計算機信息系統安全保密工作的其它監督職責。

第四十二條 科技部門發現影響計算機信息系統安全保密的隱患時，應當及時通知本行保密領導小組采取保密保護措施，在緊急情況下，有權直接先采取必要的措施，然后再向領導報告，遇有重大問題，可以要求召集計算機保密領導小組成員會議商議對策。

第九章 泄密處理

第四十三條 如發生涉密計算機信息泄密事故，不得隱瞞，應立即向保密領導小組報告，并請求信息科技部給予技術支持；信息科技部將根據保密領導小組的要求，采取有效的技術措施，避免泄密進一步擴大。

第四十四條 本行員工一旦發現涉密信息泄露或可能發生泄露的情況時，應立即向保密領導小組報告，并采取相應的保護措施。

第四十五條 任何人不得擅自處理或破壞發生事故的涉密計算機信息系統現場，必須及時通知總行保密領導小組，經保密領導小組授權，信息科技部進行技術分析、取證，并及時做好相應的登記備案工作。

第四十六條 泄密事故相關人員應根據責任和損失大小承擔相關事故責任，給本行造成重大損失的將被依法追究責任，情節嚴重的將送交司法機關處理。

第四十七條 第四十八條

第十章 附則

本辦法由農村商業銀行股份有限公司負責解釋。本辦法自發布之日起執行。

第五篇：信息管理與信息系統

中央財經大學行政管理專業法律錄取2個人去年最低524分（這個你或許可以考慮）

我看了一下你所說的信息管理與信息系統開設的院校 省外的有錄取的很少，而且都要理科生財經類的大部分都要理科生只有有本省的才收很少的文科生

1、該專業學習包括計算機開學與技術、經濟學、管理學，太雜了，很多同學讀完了還沒有讀到自己專業氣色；一個特點（多而不精），但是也有一個好處，那就是，什么工作你都可以干。

2、該專業面向比較廣，以后就要面向比其他專業更廣；

3、該專業算得上相關類似專業中，選擇專業發展方向的靈活性最大；

4、該專業學得多、深，路子就比其他專業絕對好！

現在的形式是很多學生找的工作都和專業沒有太大關系就是專業不對稱，占到了75%，這是事實

我自己的切身感受是大學是學習知識的一個階段這段時期最重要的不是你學到了什么東西你的專業好不好能不能找到一份好工作而是你學會學習學會接受失敗明確目標，知道你以后要干什么，有一個完整的知識結構，你自己要找一門自己喜歡的學科好好研究變成自己的專業課堂上學到的東西很有限很多都聽不懂關鍵在自己我感覺這個專業挺好的專業本身可以讓你了解很多知識你自己再鉆研一門學科知識結構就可以了就業自然不是問題

如果你要從一開始就鉆一門統計學金融學都比較好

蘭州商學院的會計金融也會不錯的計算機科學專業一定不要報難學 沒前途

中國農業大學只招理科生不要文科生

信息管理與信息系統專業

業務培養目標：

業務培養目標：本專業培養具備現代管理學理論基礎、計算機科學技術知識及應用能力，掌握系統思想和信息系統分析與設計方法以及信息管理等方面的知識與能力，能在國家各級管理部門、工商企業、金融機構、科研單位等部門從事信息管理以及信息系統分析、設計、實施管理和評價等方面的高級專門人才。

業務培養要求：本專業學生主要學習經濟、管理、數量分析方法、信息資源管理、計算機及信息系統方面的基本理論和基本知識，受到系統和設計方法以及信息管理方法的基本訓練，具備綜合運用所學知識分析和解決問題的基本能力。畢業生應獲得以下幾方面的知識和能力：

l．掌握信息管理和信息系統的基本理論基本知識；

2．掌握管理信息系統的分析方法、設計方法和實現技術；

3．具有信息組織、分析研究、傳播與開發利用的基本能力；

4．具有綜合運用所學知識分析和解決問題的基本能力；

5．了解本專業相關領域的發展動態；

6．掌握文獻檢索、資料查詢、收集的基本方法，具有一定的科研和實際工作能力。

主干課程：

主干學科：管理學、經濟學、計算機科學與技術。

主要課程：經濟學、會計學、市場營銷學、生產與運作管理、組織戰略與行為學、管理學原理、應用數理統計、運籌學、計算機系統與系統軟件、數據結構與數據庫等。

主要實踐性教學環節：程序設計實習、管理軟件實習、畢業設計等。一般安排18周，其中畢業設計不少于12周。

修業年限：四年

授予學位：管理學學士

相近專業：管理科學 工程管理 體育產業管理 資產評估

什么樣的一門學科-對信息進行分類、管理、以及研究如何應用的科學這個專業主要是研究信息管理以及信息系統分析、設計、實施、管理和評價等方面的基本理論和方法。通俗地講，就是從信息中發掘財富。現代社會正是信息化社會，大量紛繁的信息如何管理，并且從中獲得有效的信息，正是信息管理科學的研究重點。與計算機結合，使計算機作為工具，信息管理更加有效和實用。隨著企業經營規模的現代化，對信息管理的要求越來越強烈。例如鐵路訂票系統，就是對車票這種信息的查詢和管理系統。可以說軟件開發的最主要面向的客戶就是幫助企業制作良好的信息管理系統。信息管理涉及咨詢、服務、物流等很多行業，有很多的就業機會。

授課的內容— 偏重計算機、涉及管理課程

學習的內容涵蓋計算機學科和管理學科的核心課程。管理學科方面有會計學、經濟學、管理學、統計學；計算機方面有高級語言程序設計、數據結構、數據庫、操作系統、計算機網絡。兩學科綜合課程有電子商務、管理信息系統等。獨立設計、實現小型信息系統或大型信息系統中的某一子系統，并在此基礎上完成畢業設計論文，最后一個學期還應安排響應的管理軟件上機實習。

畢業后干什么— 主要是與計算機應用相關的工作，還有一些信息管理的工作

這是一個適應面相當廣的專業。就業機會很多，近年來主要是：

軟件開發人員-----幫助企業和組織問題，起薪一般在2000-3000元/月；網絡或系統管理員------企業或組織高效運行的保障，起薪一般在1500-3000元/月；

企業信息管理員 —— 在企業中從事信息搜集、管理工作，起薪一般在1000-3000元/月。

報考什么樣的學校—— 應查明各校研究方向上的不同

專門設置信息管理和信息系統專業的院校很多，如中國人民大學、清華大學、北京大學、武漢大學、哈爾濱工業大學、西安交通大學、浙江大學等。其中工科院校偏重對計算機應用的學習，文理院校偏重在管理上的研究。

相關專業找一找

有關聯的其他專業：計算機科學與技術、企業管理、情報學、圖書館學。名稱不同但實質相同的專業： 計算機信息管理

信息管理專業，是一個涵蓋面很廣的專業，所以，在不同的學校的內容可能差異很大。

專家提醒

要注意這個專業在有的學校實際是學習計算機軟件，有的可能是以前的圖書館系的改名，報考是一定要查明這些情況。