第一篇:關于加強黨政機關計算機信息系統安全和保密管理的若干規定(轉發)
關于加強黨政機關計算機信息系統安全和保密管理的若干規定
(轉發)
信息管理部
______________________________________________________________________
http://qol.qdc.com.cn 清江在線(2007-12-20 13:06:23 點擊:179)
國保發〔2007〕13號
關于印發《關于加強黨政機關計算機信息系統安全和保密管理的若干規定》的通知
各省、自治區、直轄市保密局、信息化領導小組辦公室,新疆生產建設兵團保密局、信息化領導小組辦公室,中央和國家機關各部委保密委員會辦公室、信息化領導小組 辦公室:
現將《關于加強黨政機關計算機信息系統安全和保密管理的若干規定》印發給你 們,請認真遵照執行。
國 家 保 密 局 國務院信息化工作辦公室 2007年9月29日
關于加強黨政機關計算機信息系統安全和保密管理的若干規定
為加強黨政機關計算機信息系統安全和保密管理,保障計算機信息系統和國家秘 密的安全,現依據國家有關法律法規和政策,針對當前網絡安全保密管理工作存在的 突出問題和薄弱環節,制定本規定。
一、按照“誰主管誰負責、誰運行誰負責”的原則,各部門在其職責范圍內,負 責本單位計算機信息系統的安全和保密管理。
二、各級黨政機關應當明確一名主要領導負責計算機信息系統安全和保密工作,指定一個工作機構具體負責計算機信息系統安全和保密綜合管理。各部門內設機構應 當指定一名信息安全保密員。
三、計算機信息系統應當按照國家信息安全等級保護的要求實行分類分級管理。
四、涉及國家秘密的信息系統(以下簡稱涉密信息系統)應當按照國家保密法規和 標準管理。涉密信息系統的建設,應當與保密設施的建設同步進行,經保密工作部門 審批后,才能投入使用。
五、涉及國家秘密的信息(以下簡稱涉密信息)應當在涉密信息系統中處理。非涉 密信息系統不得處理涉密信息。涉密信息系統必須與互聯網及其他公共信息網絡實行 物理隔離。
六、要加強對與互聯網聯接的信息網絡的管理,采取有效措施,防止違規接入,防范外部攻擊,并留存互聯網訪問日志。
七、計算機的使用管理應當符合下列要求:
(一)對計算機及軟件安裝情況進行登記備案,定期核查;
(二)設置開機口令,長度不得少于8個字符,并定期更換,防止口令被盜;
(三)安裝防病毒等安全防護軟件,并及時進行升級;及時更新操作系統補丁程 序;
(四)不得安裝、運行、使用與工作無關的軟件;
(五)嚴禁同一計算機既上互聯網又處理涉密信息;
(六)嚴禁使用含有無線網卡、無線鼠標、無線鍵盤等具有無線互聯功能的設備處 理涉密信息;
(七)嚴禁將涉密計算機帶到與工作無關的場所。
八、移動存儲設備的使用管理應當符合下列要求:
(一)實行登記管理;
(二)移動存儲設備不得在涉密信息系統和非涉密信息系統間交叉使用,涉密移動 存儲設備不得在非涉密信息系統中使用;
(三)移動存儲設備在接入本單位計算機信息系統之前,應當查殺病毒、木馬等惡 意代碼;
(四)鼓勵采用密碼技術等對移動存儲設備中的信息進行保護;
(五)嚴禁將涉密存儲設備帶到與工作無關的場所。
九、數據復制操作管理應當符合下列要求:
(一)將互聯網上的信息復制到處理內部信息的系統時,應當采取嚴格的技術防護 措施,查殺病毒、木馬等惡意代碼,嚴防病毒等傳播;
(二)嚴格限制從互聯網向涉密信息系統復制數據。確需復制的,應當嚴格按照國 家有關保密標準執行;
(三)不得使用移動存儲設備從涉密計算機向非涉密計算機復制數據。確需復制 的,應當采取嚴格的保密措施,防止泄密;
(四)復制和傳遞涉密電子文檔,應當嚴格按照復制和傳遞同等密級紙質文件的有 關規定辦理。
十、各級黨政機關應當積極使用國產軟硬件產品,公文處理軟件、信息安全產品 等原則上應當使用國產產品。
保密要害部門、部位使用的保密技術防護設備,應當按照有關保密規定和標準配 備;使用進口設備和產品,應當進行技術檢查。
十一、涉密計算機及相關設備維修,應當在本單位內部現場進行,并指定專人全 過程監督,嚴禁維修人員讀取和復制涉密信息。確需送修的,應當拆除涉密信息存儲 部件。
十二、涉密計算機及相關設備存儲數據的恢復,必須由國家保密工作部門指定的 具有涉密數據恢復資質的單位進行。
十三、處理內部信息的計算機及相關設備在變更用途時,應當使用能夠有效刪除 數據的工具刪除存儲部件中的內部信息。
十四、涉密計算機及相關設備不再用于處理涉密信息或不再使用時,應當將涉密 信息存儲部件拆除或及時銷毀。
涉密信息存儲部件的銷毀必須按照涉密載體銷毀要求進行。
十五、加強對計算機使用人員的管理,開展經常性的保密教育培訓,提高計算機 使用人員的安全和保密意識與技能。
十六、各級黨政機關應當與重點崗位的計算機使用人員簽訂安全保密責任書,明 確安全和保密要求與責任。
十七、計算機使用人員離崗離職,有關部門應當即時取消其計算機信息系統訪問 授權,收回計算機、移動存儲設備等相關物品。
十八、國家網絡與信息安全協調小組辦公室和國家保密局要在各自職責范圍內,負責對中央和國家機關計算機信息系統安全和保密工作的協調、指導和督促檢查。相 關職能部門要密切配合,共同做好計算機信息系統安全和保密工作。
十九、各級黨政機關要加強對本單位計算機信息系統安全和保密管理情況的監 督,定期開展檢查,發現問題及時糾正。
二十、計算機信息系統使用管理人員違反本規定,情節較輕的,由本單位予以批 評教育;情節嚴重,造成安全和泄密隱患的,按有關規定處理。
二十一、違反本規定泄露國家秘密的,按照有關規定給予直接責任人和有關領導 行政或者黨紀處分;構成犯罪的,依法追究刑事責任。
二十二、各級黨政機關要根據本規定,結合實際,制定完善本單位計算機信息系 統安全和保密管理的具體辦法。
第二篇:《關于加強黨政機關計算機信息系統安全和保密管理的若干規定》(本站推薦)
附件2:
《關于加強黨政機關計算機信息系統安全和保密管理的若干規定》
為加強黨政機關計算機信息系統安全和保密管理,保障計算機信息系統和國家秘密的安全,現依據國家有關法律法規和政策,針對當前網絡安全保密管理工作存在的突出問題和薄弱環節,制定本規定。
一、按照“誰主管誰負責、誰運行誰負責”的原則,各部門在其職責范圍內,負責本單位計算機信息系統的安全和保密管理。
二、各級黨政機關應當明確一名主要領導負責計算機信息系統安全和保密工作,指定一個工作機構具體負責計算機信息系統安全和保密綜合管理。各部門內設機構應當指定一名信息安全保密員。
三、計算機信息系統應當按照國家信息安全等級保護的要求實行分類分級管理。
四、涉及國家秘密的信息系統(以下簡稱涉密信息系統)應當按照國家保密法規和標準管理。涉密信息系統的建設,應當與保密設施的建設同步進行,經保密工作部門審批后,才能投入使用。
五、涉及國家秘密的信息(以下簡稱涉密信息)應當在涉密信息系統中處理。非涉密信息系統不得處理涉密信息。涉密信息系統必須與互聯網及其他公共信息網絡實行物理隔離。
六、要加強對與互聯網聯接的信息網絡的管理,采取有效措施,防止違規接入,防范外部攻擊,并留存互聯網訪問日志。
七、計算機的使用管理應當符合下列要求:
(一)對計算機及軟件安裝情況進行登記備案,定期核查;
(二)設置開機口令,長度不得少于8個字符,并定期更換,防止口令被盜;
(三)安裝防病毒等安全防護軟件,并及時進行升級;及時更新操作系統補丁程序;
(四)不得安裝、運行、使用與工作無關的軟件;
(五)嚴禁同一計算機既上互聯網又處理涉密信息;
(六)嚴禁使用含有無線網卡、無線鼠標、無線鍵盤等具有無線互聯功能的設備處理涉密信息;
(七)嚴禁將涉密計算機帶到與工作無關的場所。
八、移動存儲設備的使用管理應當符合下列要求:
(一)實行登記管理;
(二)移動存儲設備不得在涉密信息系統和非涉密信息系統間交叉使用,涉密移動存儲設備不得在非涉密信息系統中使用;
(三)移動存儲設備在接入本單位計算機信息系統之前,應當查殺病毒、木馬等惡意代碼;
(四)鼓勵采用密碼技術等對移動存儲設備中的信息進行保護;
(五)嚴禁將涉密存儲設備帶到與工作無關的場所。
九、數據復制操作管理應當符合下列要求:
(一)將互聯網上的信息復制到處理內部信息的系統時,應當采取嚴格的技術防護措施,查殺病毒、木馬等惡意代碼,嚴防病毒等傳播;
(二)嚴格限制從互聯網向涉密信息系統復制數據。確需復制的,應當嚴格按照國家有關保密標準執行;
(三)不得使用移動存儲設備從涉密計算機向非涉密計算機復制數據。確需復制的,應當采取嚴格的保密措施,防止泄密;
(四)復制和傳遞涉密電子文檔,應當嚴格按照復制和傳遞同等密級紙質文件的有關規定辦理。
十、各級黨政機關應當積極使用國產軟硬件產品,公文處理軟件、信息安全產品等原則上應當使用國產產品。
保密要害部門、部位使用的保密技術防護設備,應當按照有關保密規定和標準配備;使用進口設備和產品,應當進行技術檢查。
十一、涉密計算機及相關設備維修,應當在本單位內部現場進行,并指定專人全過程監督,嚴禁維修人員讀取和復制涉密信息。確需送修的,應當拆除涉密信息存儲部件。
十二、涉密計算機及相關設備存儲數據的恢復,必須由國家保密工作部門指定的具有涉密數據恢復資質的單位進行。
十三、處理內部信息的計算機及相關設備在變更用途時,應當使用能夠有效刪除數據的工具刪除存儲部件中的內部信息。
十四、涉密計算機及相關設備不再用于處理涉密信息或不再使用時,應當將涉密信息存儲部件拆除或及時銷毀。
涉密信息存儲部件的銷毀必須按照涉密載體銷毀要求進行。
十五、加強對計算機使用人員的管理,開展經常性的保密教育培訓,提高計算機使用人員的安全和保密意識與技能。
十六、各級黨政機關應當與重點崗位的計算機使用人員簽訂安全保密責任書,明確安全和保密要求與責任。
十七、計算機使用人員離崗離職,有關部門應當即時取消其計算機信息系統訪問授權,收回計算機、移動存儲設備等相關物品。
十八、國家網絡與信息安全協調小組辦公室和國家保密局要在各自職責范圍內,負責對中央和國家機關計算機信息系統安全和保密工作的協調、指導和督促檢查。相關職能部門要密切配合,共同做好計算機信息系統安全和保密工作。
十九、各級黨政機關要加強對本單位計算機信息系統安全和保密管理情況的監督,定期開展檢查,發現問題及時糾正。
二十、計算機信息系統使用管理人員違反本規定,情節較輕的,由本單位予以批評教育;情節嚴重,造成安全和泄密隱患的,按有關規定處理。
二十一、違反本規定泄露國家秘密的,按照有關規定給予直接責任人和有關領導行政或者黨紀處分;構成犯罪的,依法追究刑事責任。
二十二、各級黨政機關要根據本規定,結合實際,制定完善本單位計算機信息系統安全和保密管理的具體辦法。
第三篇:計算機和信息系統安全保密管理規定
信息系統安全保密管理制度
第一章
總
則
第一條
為加強公司信息化系統(包括涉密信息系統和非涉密信息系統)安全保密管理,確保國家秘密及公司商業秘密的安全,根據國家有關保密法規標準和中國華電集團公司有關規定,特制定本規定。
第二條
本規定所稱涉密信息系統是指由計算機及其相關的配套設備、設施構成的,按照一定的應用目標和規定存儲、處理、傳輸涉密信息的系統或網絡,包括機房、網絡設備、軟件、網絡線路、用戶終端、存儲介質等內容。
第三條
涉密信息系統的建設和應用要本著“預防為主、分級負責、科學管理、保障安全”的方針,堅持“誰主管、誰負責,誰使用、誰負責”和“控制源頭、歸口管理、加強檢查、落實制度”的原則,確保涉密信息系統和國家秘密信息安全。
第四條
涉密信息系統安全保密防護必須嚴格按照國家保密標準、規定和集團公司文件要求進行設計、實施、測評審查與審批和驗收;未通過國家審批的涉密信息系統,不得投入使用。
第五條
本規定適用于公司所有信息系統安全保密管理工作。
第二章
組織機構與職責
第六條
公司成立信息系統安全保密組織機構,人員結構與信息化領導小組和辦公室成員相同,信息化領導小組成員即為信息系統安全保密領導小組成員,信息化辦公室成員即為信息系統安全保密辦公室成員。
1、信息系統安全保密領導小組 組
長:
副組長: 組員:
2、信息系統安全保密辦公室 主
任: 副主任: 成員:
第七條 信息系統安全保密領導小組主要職責
公司信息系統安全保密領導小組是涉密信息系統安全保密管理決策機構,其主要職責:
(一)建立健全信息系統安全保密管理制度,并監督檢查落實情況;
(二)協調處理有關涉密信息系統安全保密管理的重大問題,對重大失泄密事件進行查處。
第八條
信息系統安全保密辦公室(簡稱保密辦)主要職責:
(一)擬定信息系統安全保密管理制度,并組織落實各項保密防范措施;
(二)對系統用戶和安全保密管理人員進行資格審查和安全保密教育培訓,審查涉密信息系統用戶的職責和權限,并備案;
(三)組織對涉密信息系統進行安全保密監督檢查和風險評估,提出涉密信息系統安全運行的保密要求;
(四)會同信息中心對涉密信息系統中介質、設備、設施的授權使用的審查,建立涉密信息系統安全評估制度,每年對涉密信息系統安全措施進行一次評審;
(五)對涉密信息系統設計、施工和集成單位進行資質審查,對進入涉密信息系統的安全保密產品進行準入審查和規范管理,對涉密信息系統進行安全保密性能檢測;
(六)對涉密信息系統中各應用系統進行定密、變更密級和解密工作進行審核;
(七)組織查處涉密信息系統失泄密事件。
第十條
辦公室(信息中心)主要職責是:
(一)組織、實施涉密信息系統的規劃、設計、建設,制定安全保密防護方案;
(二)落實涉密信息系統安全保密策略、運行安全控制、安全驗證等安全技術措施;每半年對涉密信息系統進行風險評估,提出整改措施,經涉密信息系統安全保密領導小組批準后組織實施,確保安全技術措施有效、可靠;
(三)落實涉密信息系統中各應用系統進行用戶權限設置及介質、設備、設施的授權使用、保管以及維護等安全保密管理措施;
(四)配備涉密信息系統管理員、安全保密管理員和安全審計員,并制定相應的職責;“三員”角色不得兼任,權限設置相互獨立、相互制約;“三員”應通過安全保密培訓持證上崗;
(五)落實計算機機房、配線間等重要部位的安全保密防范措施及網絡的安全管理,負責日常業務數據及其他重要數據的備份管理;
(六)配合保密辦對涉密信息系統進行安全檢查,對存在的隱患進行及時整改;
(七)制定應急預案并組織演練,落實應急措施,處理信息安全突發事件。
(八)按照國家密碼管理的相關要求,落實涉密信息系統中普密設備的管理措施。第十二條
相關業務部門、班組主要職責:
涉密信息系統的使用部門、班組要嚴格遵守保密管理規定,教育員工提高安全保密意識,落實涉密信息系統各項安全防范措施;準確確定應用系統密級,制定并落實相應的二級保密管理制度。
第十三條
涉密信息系統配備系統管理員、安全保密管理員、安全審計員,其職責是:
(一)系統管理員負責系統中軟硬件設備的運行、管理與維護工作,確保信息系統的安全、穩定、連續運行。系統管理員包括網絡管理員、數據庫管理員、應用系統管理 2 員。
(二)安全保密管理員負責安全技術設備、策略實施和管理工作,包括用戶帳號管理以及安全保密設備和系統所產生日志的審查分析。
(三)安全審計員負責安全審計設備安裝調試,對各種系統操作行為進行安全審計跟蹤分析和監督檢查,以及時發現違規行為,并每月向涉密信息系統安全保密領導小組辦公室匯報一次情況。
第三章
系統建設管理
第十四條
規劃和建設涉密信息系統時,按照涉密信息系統分級保護標準的規定,同步規劃和落實安全保密措施,系統建設與安全保密措施同計劃、同預算、同建設、同驗收。
第十五條
涉密信息系統規劃和建設的安全保密方案,應由具有“涉及國家秘密的計算機信息系統集成資質”的機構編制或自行編制,安全保密方案必須經上級保密主管部門審批后方可實施。
第十六條
涉密信息系統規劃和建設實施時,應由具有“涉及國家秘密的計算機信息系統集成資質”的機構實施或自行實施,并與實施方簽署保密協議,項目竣工后必須由保密辦和科技信息部共同組織驗收。
第十七條
對涉密信息系統要采取與密級相適應的保密措施,配備通過國家保密主管部門指定的測評機構檢測的安全保密產品。涉密信息系統使用的軟件產品必須是正版軟件。
第四章
信息管理
第一節
信息分類與控制
第十八條
涉密信息系統的密級,按系統中所處理信息的最高密級設定,嚴禁處理 3 高于涉密信息系統密級的涉密信息。
第十九條
涉密信息系統中產生、存儲、處理、傳輸、歸檔和輸出的文件、數據、圖紙等信息及其存儲介質應按要求及時定密、標密,并按涉密文件進行管理。電子文件密級標識應與信息主體不可分離,密級標識不得篡改。涉密信息系統中的涉密信息總量每半年進行一次分類統計、匯總,并在保密辦備案。
第二十條
涉密信息系統應建立安全保密策略,并采取有效措施,防止涉密信息被非授權訪問、篡改,刪除和丟失;防止高密級信息流向低密級計算機。涉密信息遠程傳輸必須采取密碼保護措施。
第二十一條
向涉密信息系統以外的單位傳遞涉密信息,一般只提供紙質文件,確需提供涉密電子文檔的,按信息交換及中間轉換機管理規定執行。
第二十二條
清除涉密計算機、服務器等網絡設備、存儲介質中的涉密信息時,必須使用符合保密標準、要求的工具或軟件。
第二節
用戶管理與授權
第二十三條
根據本部門、單位使用涉密信息系統的密級和實際工作需要,確定人員知悉范圍,以此作為用戶授權的依據。
第二十四條
用戶清單管理
(一)科技信息部管理“研究試驗堆燃料元件數字化信息系統”和“中核集團涉密廣域網”用戶清單;財會部管理“財務會計核算網”用戶清單;
(二)新增用戶時,由用戶本人提出書面申請,經本部門、單位審核,科技信息部、保密辦審批后,由科技信息部備案并統一建立用戶;“財務會計核算網”的用戶由財會部統一建立;
(三)刪除用戶時,由用戶本人所在部門、單位書面通知科技信息部,核準后由安全保密管理員即時將用戶在涉密信息系統內的所有帳號、權限廢止;“財務會計核算網” 4 的刪除用戶由財會部統一刪除用戶帳號、權限。
第二十五條
用戶標識符管理
(一)用戶登錄系統時所使用的用戶身份標識,由用戶本人提出書面申請,經本部門、單位審核,科技信息部、保密辦審批后,由系統管理員產生,并確保用戶標識在此系統生命周期中的唯一性;
(二)安全保密管理員每月一次檢查與用戶身份標識相關的日志,發現異常情況,應及時向保密辦報告。
第二十六條 用戶授權管理
(一)涉密信息系統用戶授權應遵循最小授權分配原則,安全保密管理員對所有用戶的權限明細文檔化;
(二)安全審計員每月審查權限列表,發現異常情況,應及時向保密辦報告。
第三節
信息系統互聯
第二十七條 涉密信息系統必須與國際互聯網和其它公共信息系統實行物理隔離。禁止將涉密計算機和涉密信息系統直接接入公司內部非涉密信息系統,確因工作需要接入時必須采用符合保密標準的信息隔離交換系統進行必要的邊界控制措施。
第五章
運行維護管理
第二十八條 涉密信息系統投入運行前,應當經過國家保密工作部門審批,未經審批的涉密信息系統不得處理涉密信息。
第二十九條
涉密信息系統應與用戶終端實施IP-MAC,并隨人員、崗位等變化及時調整。涉密信息系統的用戶終端、服務器等設備設施應進行安全加固,關閉不必要的帳戶、服務和端口,并設置規范的口令策略。
涉密設備(導線)與外網、通訊設備(導線)和其他導體的隔離應符合保密要求。
第三十條
涉密信息系統與國際互聯網、公眾信息網絡等非涉密信息系統(以下簡稱外網)的信息交換,按信息交換及中間轉換機管理規定執行。
第三十一條
禁止使用非涉密信息系統(包括非涉密單機)存儲和處理涉密信息。第三十二條
建立健全防病毒軟件(含木馬查殺)升級、打補丁機制,及時升級病毒和惡意代碼樣本庫,進行病毒和惡意代碼查殺,及時安裝操作系統、數據庫和應用系統的補丁程序。防病毒軟件應使用經國家主管部門批準的防病毒軟件。
第三十三條
未經科技信息部審批,禁止對涉密信息系統格式化或重裝操作系統,禁止刪除涉密信息系統的移動存儲介質及外部設備(包括服務器等網絡設備)等日志記錄。
第三十四條
涉密應用軟件開發及運行維護必須選擇具有相關保密資質的單位承擔,并與之簽訂《保密協議書》,協議書必須經保密辦審查備案,明確保密要求,防止國家秘密的泄露。
第三十五條
涉密信息系統中的信息輸出應當集中管理,有效控制,建立集中打印控制機制。
第三十六條
涉密信息系統用戶終端不準安裝、運行、使用與工作無關的軟件,嚴禁安裝具有無線通訊功能的軟件。未經科技信息部審批,用戶終端禁止安裝或拆卸硬件設備和軟件及更改系統設置。用戶終端的應用軟件安裝情況登記備案,每季度進行一次核查。
第三十七條
涉密設備嚴禁具有無線互聯功能,不能安裝紅外接口、無線網卡、無線鼠標、無線鍵盤等。
第三十八條
對集中存放涉密信息系統服務器、交換機等涉密設備的場所列入保密要害部位管理,建立出入登記、外來人員審查等管理制度。
第三十九條
涉密信息系統應采取身份鑒別、訪問控制和安全審計等技術保護措施。第四十條
涉密信息系統建立文檔化的安全保密策略,并根據環境、系統和威脅變 6 化情況及時調整更新安全保密策略。
第四十一條
涉密信息系統建立文檔化的安全保密審計報告,機密級1個月、秘密級3個月進行一次審計日志收集、整理、分析,按要求形成文檔化安全審計報告并備案。
第四十二條
涉密信息系統建立文檔化的風險評估分析報告,每半年根據系統綜合日志進行一次風險評估(自評估或檢查評估),形成文檔化的風險分析報告,對存在的風險及時采取補救措施。
第四十三條
涉密信息系統建立實時入侵檢測系統,做到實時監測系統網絡設備、終端和服務器的各種攻擊行為。應具有漏洞掃描技術,以提前警告網絡系統中系統的弱點所在,防止黑客入侵和內部人員的誤用。
第四十四條
涉密信息系統使用國家有關主管部門批準的檢測工具對系統進行安全保密性能檢測,檢測工具版本應及時更新、升級。
第六章
設備與介質管理
第四十五條
計算機和信息系統設備包括:網絡設備、服務器、用戶終端(臺式計算機、便攜式計算機、工業控制機等)、掃描儀、打印輸出設備及網絡安全保密產品等;介質包括:紙介質、存儲介質及其它記錄載體(如計算機硬盤、光盤、移動硬盤、優盤、軟盤和錄音帶、錄像帶、數碼相機存儲卡等)。
第四十六條
接入涉密信息系統的設備和介質稱為涉密設備和涉密存儲介質,并按統一技術要求和部署方式進行管理。涉密設備和存儲介質應與國際互聯網和其他公眾信息網絡實行物理隔離;系統內的設備、介質、設施根據其處理信息的最高密級標明涉密等級和主要用途。
第四十七條 計算機和信息系統中使用的設備、存儲介質應遵循“統一購置、統一標識、嚴格登記、規范管理”的原則,嚴格執行國家秘密載體保密管理規定。
第四十八條 各部門、單位指定專人負責涉密設備和介質的日常管理工作,建立存儲介質登記備案、定期核查與信息清理制度。保密辦對涉密設備的采購、使用、維修、變更、報廢負有指導、監督、檢查的職責,對存儲介質歸口管理。
第一節
設備管理
第四十九條 采購管理
(一)涉密設備選用國產設備,涉密系統集成與系統服務、安全產品的采購,不得進行公開招標,須在具有資質的單位和經國家主管部門批準范圍內選擇,且供方應具有完備的資質證明和良好的信譽,以及長期供貨和代維護能力;
(二)采購部門不得向供應方透露涉密設備的最終用戶;
(三)采購的計算機,統一不配備光驅、軟驅、視頻設備及具有無線互聯功能的無線鍵盤、無線鼠標、紅外接口、無線網卡等。確因工作需要配備的,經保密辦審批后配發;
(四)科技信息部做好資產清單和臺帳管理,涉密設備需在保密辦備案并粘貼密級標識后投入使用。臺帳注明涉密設備使用人、安全責任人、安全分類以及資產所在的位置,并且每半年對涉密設備清查核對一次。
第五十條
使用管理
(一)各部門、單位建立涉密設備、打印機等準入審批、使用登記、銷毀等備案制度。
(二)涉密設備的電磁泄露發射應符合國家有關保密標準,并采取相應防護措施。涉密設備和傳輸線路應符合紅黑隔離要求,并采取電源濾波防護措施。
(三)用戶終端登錄識別技術應采用以下二種方式之一:
1、數字證書機制采用USBKey與PIN口令相結合的方式進行身份鑒別,口令長度設置不少于十位。USBKey按機密級密件管理,應及時修改初始的PIN碼,并將USBKey 8 妥善保管。
2、密碼口令。機密級密碼口令長度不得少于十個字符,每周至少更換一次;秘密級密碼口令長度不得少于八個字符,每月至少更換一次;口令采用大小寫英文字母、數字和特殊字符等兩者以上的組合。
(四)在其他信息系統使用過的設備以及新增設備接入涉密計算機和信息系統之前,應進行病毒(含木馬)及惡意代碼的檢測、查殺。
第五十一條 維修管理
(一)涉密設備維修時,應向科技信息部提出申請,科技信息部對維修的涉密設備檢查診斷后,作出公司內維修或外出維修的判斷,并通知部門、單位;
(二)涉密設備維修原則上來公司現場維修,維修時應有專人現場監管;
(三)涉密設備外出維修時,對涉密設備預先采取保密措施,拆除存儲部件,并有專人在場監控維修全過程;外出維修的涉密設備,原則上不能在外存放,當日未維修完畢的應帶回公司存放,次日再送出去維修;涉密設備維修時應與維修單位簽訂保密協議;
(四)涉密設備確需恢復存儲的數據、信息時,應經保密辦審批后在具有涉密數據恢復資質的單位進行;
(五)維修時更換下的硬盤、存儲卡,必須將舊件按涉密載體進行管理,禁止將舊件抵價維修或隨意拋棄;
(六)維修的涉密設備應做好維修情況記錄,存檔備查。第五十二條 變更管理
(一)涉密設備變更用途時,應事先提出變更申請并清除其存儲的涉密信息,經保密辦審核批準后辦理變更。變更程序是:
1、公司內部門、單位之間調配涉密設備,由科技信息部提出變更調配計劃并作技術支持,接收單位辦理變更手續并到保密辦變更涉密設備臺帳;
2、部門、單位內部調整變更涉密設備,由部門、單位領導批準,并通知保密辦變更涉密計算機臺帳;
3、調配變更后的涉密設備要及時確定密級,并粘貼密級標識。
(二)涉密設備變更密級,遵循如下保密規定:
1、絕密級設備不得進行變更;
2、不變更使用人及使用部門、單位,升密時存儲介質(包括硬盤、儲存卡)可不更換,降密或脫密時必須更換存儲介質;
3、變更使用人或使用部門、單位,升密、降密必須更換存儲介質;
4、存儲介質的更換由科技信息部辦理,新存儲介質到保密辦領取,更換下的舊存儲介質交保密辦;
5、非涉密設備變更為涉密設備,需對存儲介質進行格式化,重新安裝操作系統,并拆除視頻設備和無線互聯功能模塊。
第五十三條 報廢管理
(一)對批準報廢的信息設備拆除存儲介質并交保密辦集中統一銷毀或再利用;
(二)淘汰或報廢的涉密設備,不得用于公益捐贈,或流入舊貨市場。
第二節
介質管理
第五十四條
購置和發放
(一)申請部門、單位根據需要向保密辦提出所需存儲介質種類、數量的申請;
(二)保密辦對申請進行審核后報主管領導審批,并按批準的種類、數量集中采購;
(三)保密辦按存儲介質種類和密級統一編號、登記、粘貼標識后發放存儲介質;
(四)各部門、單位由專人管理存儲介質,建立臺帳,定期核查。第五十五條 使用和維護
(一)涉密存儲介質應根據所存儲信息的最高密級劃定密級,并在明顯位置粘貼密 10 級標識,禁止使用無標識的存儲介質。涉密存儲介質嚴禁在聯接互聯網的計算機和非涉密計算機上使用;
(二)在涉密信息系統內使用的涉密存儲介質采取綁定或有效的技術接入控制措施,使涉密存儲介質只能在授權的涉密計算機上使用。未采用綁定技術的涉密計算機,須采取關閉和監控數據端口(USB口)的物理防護措施進行控制;
(三)嚴格控制其它存儲介質的使用,對光盤、軟盤等移動存儲介質應采用關閉數據接口或禁止驅動設備使用等方式加以控制;
(四)禁止在低密級計算機上使用高密級存儲介質,禁止在低密級存儲介質上存儲高密級信息;
(五)高密級存儲介質用于存儲低密級信息時,應當按照存儲介質原標識的高密級進行管理;
(六)存放涉密存儲介質的場所、部位和設備應符合安全保密要求,集中統一管理;
(七)禁止外來的存儲介質接入涉密信息系統,如需導入信息,應采取安全準入許可制度,經部門、單位領導審批后,按信息交換及中間轉換機管理規定執行;
(八)存儲過絕密級信息的介質不能降低密級使用;
(九)嚴禁將個人具有存儲功能的存儲介質和電子設備(mp3、mp4、優盤、手機、掌上電腦等)帶入公司;嚴禁將涉密存儲介質帶出工作場所,確需攜帶外出,經本部門、單位領導審批且備案后方可出廠,隨身攜帶,嚴防被盜或丟失;
(十)經保密辦批準,允許與涉密信息系統相連的數碼設備(如相機、錄音筆)等,應按涉密載體管理;
(十一)涉密存儲介質的維修和維護由科技信息部統一負責,外送維修須經主管領導審批同意,并送指定維修點維修;
(十二)發現存儲介質丟失,應立即報告本部門、單位和保密辦,并及時組織查處。
第五十六條 保管和銷毀
(一)涉密存儲介質必須由本部門、單位集中統一保管并在有安全保障的保密柜中保存;
(二)對重要的存儲介質,應定期進行循環復制備份;
(三)存儲介質的報廢、銷毀,由應編制銷毀清單,由本部門、單位主要領導簽字后,統一交保密辦鑒定并做消磁或粉碎處理。
第七章
信息交換及中間轉換機管理
第五十七條
涉密計算機和信息系統與其他計算機和信息系統的信息交換必須經過中間轉換機。
中間轉換機是指與任何計算機和信息系統實現物理隔離、獨立運行的專用計算機,專門用于涉密計算機和涉密信息系統與其它計算機和信息系統之間的信息交換。中間轉換機分為非涉密中間轉換機和涉密中間轉換機,中間轉換機上應安裝符合國家保密要求的計算機病毒和惡意代碼防護產品。
非涉密中間轉換機用于從國際互聯網、公眾信息網絡和非涉密信息系統到涉密計算機和涉密信息系統進行外部非涉密信息的載入,包括計算機病毒和惡意代碼樣本庫、補丁程序、應用程序和其它相關信息等。
涉密中間轉換機用于從公司外部的涉密計算機和涉密信息系統(涉密移動存儲介質)到公司內部涉密計算機和涉密信息系統的信息交換。涉密中間轉換機的密級應根據轉換信息的最高密級確定。
涉密網絡中間轉換機是指單位接入涉密信息系統的管理員專用于信息交換的涉密計算機。
專用涉密傳遞盤是指經技術綁定后的公司各單位內部及各部門、單位之間用于涉密 12 信息系統與涉密單機、涉密單機之間信息傳遞的優盤。
第五十八條
中間轉換機的配置、使用與日常管理
(一)涉密信息系統使用部門、單位需配置涉密網絡中間轉換機、非涉密中間轉換機和專用涉密傳遞盤;
(二)黨政辦設置1臺涉密中間轉換機(全公司共用),用于公司外部涉密存儲介質上載涉密信息到公司涉密信息系統(或涉密單機);
(三)中間轉換機、專用涉密傳遞盤由各部門、單位中間轉換機管理員負責管理和使用;
(四)中間轉換機上應用軟件由科技信息部統一安裝,各單位不得安裝、使用除統一安裝軟件以外的任何軟件;
(五)防病毒軟件升級工作由中間轉換機管理員負責完成,必須保證每周對中間轉換機防病毒軟件升級1次,升級包到科技信息部統一制作、拷貝,并做好升級記錄;
(六)中間轉換機應專機專用,專人管理,不能用于其它工作。中間轉換機管理員做好工作記錄(包括信息名稱、密級、來源、用途、時間、人員等)。
第五十九條
從國際互聯網、公眾信息網和非涉密信息系統(含非涉密計算機)上載信息到涉密計算機和涉密信息系統操作步驟:
(一)填寫審批單,經部門、單位領導批準后方可進行上載信息;
(二)將信息上載到非涉密中間機;
(三)拔除上載信息存儲介質;
(四)在非涉密中間轉換機中對上載信息進行計算機病毒、惡意代碼、間諜軟件、木馬程序的查殺;
(五)將上載信息刻錄到只讀光盤;
(六)將存有上載信息的光盤放入涉密計算機或涉密網絡中間轉換機中,上載到涉 13 密計算機和涉密信息系統中;
(七)記錄上載過程,光盤應存檔備案,存儲介質格式化處理。
第六十條
公司內部單臺涉密計算機之間、單臺涉密計算機與涉密信息系統之間的信息交換,使用綁定措施的涉密存儲介質進行交換或刻錄到只讀光盤;記錄上載過程,光盤應存檔備案。
第六十一條
從公司外部涉密存儲介上載涉密信息到涉密計算機和涉密信息系統操作步驟:
(一)填寫審批單,經部門、單位領導批準后方可進行上載信息;
(二)將信息上載到涉密中間轉換機;
(三)拔除外部涉密存儲介質;
(四)在涉密中間轉換機中對上載信息進行計算機病毒、惡意代碼、間諜軟件、木馬程序的查殺;
(五)將需要上載的涉密信息刻錄到只讀光盤或拷貝到專用涉密傳遞盤;
(六)將存有上載信息的涉密光盤或介質放入涉密計算機或涉密網絡中間轉換機中,上載到涉密計算機和涉密信息系統中;
(七)記錄上載過程,光盤應存檔備案,專用涉密傳遞盤交還中間轉換機管理人員,并及時進行信息清除或格式化處理。
第六十二條
涉密計算機和涉密信息系統中的非涉密信息對外交換一般應當采用打印輸出紙質文件方式進行,確需電子信息時在涉密計算機和涉密網絡中間機將上載信息刻錄到只讀光盤,并記錄上載過程,光盤存檔備案。
第八章
國際互聯網計算機管理
第六十三條 接入國際互聯網的計算機,開通前須由接入部門、單位提出申請,保 14 密辦審核,公司分管領導審批。開通、審批堅持“工作必須”的原則。
第六十四條 國際互聯網計算機實行專人負責、專機上網管理,嚴禁存儲、處理、傳遞涉密信息和內部敏感信息。接入互聯網的計算機須建立使用登記制度。
第六十五條 上網信息實行“誰上網誰負責”的保密管理原則,信息上網必須經過嚴格審查和批準,堅決做到“涉密不上網,上網不涉密”。對上網信息進行擴充或更新,應重新進行保密審查。
第六十六條 任何部門、單位和個人不得在電子郵件、電子公告系統、聊天室、網絡新聞組、博客等上發布、談論、傳遞、轉發或抄送國家秘密信息。
第六十七條 從國際互聯網或其它公眾信息網下載程序和軟件工具等轉入涉密系統,經科技信息部審批后,按照信息交換及中間轉換機管理規定執行。
第九章
便攜式計算機管理
第六十八條
便攜式計算機(包括涉密便攜式計算機和非涉密便攜式計算機)實行“誰擁有,誰使用,誰負責”的保密管理原則,使用者須與公司簽定保密承諾書。
第六十九條 涉密便攜式計算機根據工作需要確定密級,粘貼密級標識,按照涉密設備進行管理,保密辦備案后方可使用。
第七十條
便攜式計算機應具備防病毒、防非法外聯和身份認證(設置開機密碼口令)等安全保密防護措施。
第七十一條
禁止使用涉密便攜式計算機上國際互聯網和非涉密網絡;嚴禁涉密便攜式計算機與涉密信息系統互聯。
第七十二條
涉密便攜式計算機不得處理絕密級信息。未經保密辦審批,嚴禁在涉密便攜式計算機中存儲涉密信息。處理、存儲涉密信息應在涉密移動存儲介質上進行,并與涉密便攜式計算機分離保管。
第七十三條
禁止使用私有便攜式計算機處理辦公信息;嚴禁非涉密便攜式計算機存儲、處理涉密信息;嚴禁將涉密存儲介質接入非涉密便攜式計算機使用。
第七十四條 公司配備專供外出攜帶的涉密便攜式計算機和涉密存儲介質,按照“集中管理、審批借用”的原則進行管理,建立使用登記制度。外出攜帶的涉密便攜式計算機須經保密辦檢查后方可帶出公司,返回時須進行技術檢查。
第七十五條
因工作需要外單位攜帶便攜式計算機進入公司辦公區域,需辦理保密審批手續。
第十章
應急響應管理
第七十六條 為有效預防和處置涉密信息系統安全突發事件,及時控制和消除涉密信息系統安全突發事件的危害和影響,保障涉密信息系統的安全穩定運行,科技信息部和財會部應分別制定相應應急響應預案,經公司涉密信息系統安全保密領導小組審批后實施。
第七十七條 應急響應預案用于涉密信息系統安全突發事件。突發事件分為系統運行安全事件和泄密事件,根據事件引發原因分為災害類、故障類或攻擊類三種情況。
(一)災害事件:根據實際情況,在保障人身安全前提下,保障數據安全和設備安全。
(二)故障或攻擊事件:判斷故障或攻擊的來源與性質,關閉影響安全與穩定的網絡設備和服務器設備,斷開信息系統與攻擊來源的網絡物理連接,跟蹤并鎖定攻擊來源的IP地址或其它網絡用戶信息,修復被破壞的信息,恢復信息系統。按照事件發生的性質分別采用以下方案:
1、病毒傳播:及時尋找并斷開傳播源,判斷病毒的類型、性質、可能的危害范圍。為避免產生更大的損失,保護計算機,必要時可關閉相應的端口,尋找并公布病毒攻擊 16 信息,以及殺毒、防御方法;
2、外部入侵:判斷入侵的來源,評價入侵可能或已經造成的危害。對入侵未遂、未造成損害的,且評價威脅很小的外部入侵,定位入侵的IP地址,及時關閉入侵的端口,限制入侵的IP地址的訪問。對于已經造成危害的,應立即采用斷開網絡連接的方法,避免造成更大損失和帶來的影響;
3、內部入侵:查清入侵來源,如IP地址、所在區域、所處辦公室等信息,同時斷開對應的交換機端口,針對入侵方法調整或更新入侵檢測設備。對于無法制止的多點入侵和造成損害的,應及時關閉被入侵的服務器或相應設備;
4、網絡故障:判斷故障發生點和故障原因,能夠迅速解決的盡快排除故障,并優先保證主要應用系統的運轉;
5、其它未列出的不確定因素造成的事件,結合具體的情況,做出相應的處理。不能處理的及時咨詢,上報公司信息安全領導小組。
第七十八條 按照信息安全突發事件的性質、影響范圍和造成的損失,將涉密信息系統安全突發事件分為特別重大事件(I級)、重大事件(II級)、較大事件(III級)和一般事件(IV級)四個等級。
(一)一般事件由科技信息部(或財會部)依據應急響應預案進行處置;
(二)較大事件由科技信息部(或財會部)、保密辦依據應急響應預案進行處置,及時向公司信息安全領導小組報告并提請協調處置;
(三)重大事件啟動應急響應預案,對突發事件進行處置,及時向公司黨政報告并提請協調處置;
(四)特別重大事件由公司報請中核集團公司對信息安全突發事件進行處置。第七十九條 發生突發事件(如涉密數據被竊取或信息系統癱瘓等)應按如下應急響應的基本步驟、基本處理辦法和流程進行處理:
(一)上報科技信息部和保密辦;
(二)關閉系統以防止造成數據損失;
(三)切斷網絡,隔離事件區域;
(四)查閱審計記錄尋找事件源頭;
(五)評估系統受損程度;
(六)對引起事件漏洞進行整改;
(七)對系統重新進行風險評估;
(八)由保密辦根據風險評估結果并書面確認安全后,系統方能重新運行;
(九)對事件類型、響應、影響范圍、補救措施和最終結果進行詳細的記錄;
(十)依照法規制度對責任人進行處理。
第八十條 科技信息部、財會部應會同保密辦每年組織一次應急響應預案演練,檢驗應急響應預案各環節之間的通信、協調、指揮等是否快速、高效,并對其效果進行評估,以使用戶明確自己的角色和責任。應急響應相關知識、技術、技能應納入信息安全保密培訓內容,并記錄備案。
第十一章
人員管理
第八十一條
各部門、單位每年應組織開展不少于1次的全員信息安全保密知識技能教育與培訓,并記錄備案。
第八十二條
涉密人員離崗、離職,應及時調整或取消其訪問授權,并將其保管的涉密設備、存儲介質全部清退并辦理移交手續。
第八十三條
承擔涉密信息系統日常管理工作的系統管理員、安全保密管理員、安全審計管理員應按重要涉密人員管理。
第十二章
督查與獎懲
第八十四條 公司每年應對涉密信息系統安全保密狀況、安全保密制度和措施的落實情況進行一次自查,并接受國家和上級單位的指導和監督。涉密信息系統每兩年接受一次上級部門開展的安全保密測評或保密檢查,檢查結果存檔備查。
第八十五條 檢查涉密計算機和信息系統的保密檢查工具和涉密信息系統所使用的安全保密、漏洞檢查(取證)軟件等,應覆蓋保密檢查的項目,并通過國家保密局的檢測。安全保密檢查工具應及時升級或更新,確保檢查時使用最新版本。
第八十六條 各部門、單位應將員工遵守涉密計算機及信息系統安全保密管理制度的情況,納入保密自查、考核的重要內容。對違反本規定造成失泄密的當事人及有關責任人,按公司保密責任考核及獎懲規定執行。
第十三章
附
則
第八十七條 本規定由保密辦負責解釋與修訂。
第八十八條 本規定自發布之日起實施。原《計算機磁(光)介質保密管理規定)[制度編號:(廠1908號)]、《涉密計算機信息系統保密管理規定》[制度編號:(2006)廠1911號]、《涉密計算機采購、維修、變更、報廢保密管理規定》[制度編號:(2007)廠1925號]、《國際互聯網信息發布保密管理規定》[制度編號:(2007)廠1926號]、《涉密信息系統信息保密管理規定》[制度通告:(2008)0934號]、《涉密信息系統安全保密管理規定》[制度通告:(2008)0935號]同時廢止。
第四篇:計算機和信息系統安全保密管理規定
計算機和信息系統安全保密管理規定
第一章 總則
第一條 為加強公司計算機和信息系統(包括涉密信息系統和非涉密信息系統)
安全保密管理,確保國家秘密及商業秘密的安全,根據國家有關保密法規標準和中核集團公司有關規定,制定本規定。
第二條 本規定所稱涉密信息系統是指由計算機及其相關的配套設備、設施構成的,按照一定的應用目標和規定存儲、處理、傳輸涉密信息的系統或網絡,包括機房、網絡設備、軟件、網絡線路、用戶終端等內容。
第三條 涉密信息系統的建設和應用要本著“預防為主、分級負責、科學管理、保障安全”的方針,堅持“誰主管、誰負責,誰使用、誰負責”和“控制源頭、歸口管理、加強檢查、落實制度”的原則,確保涉密信息系統和國家秘密信息安全。
第四條 涉密信息系統安全保密防護必須嚴格按照國家保密標準、規定和集團公司文件要求進行設計、實施、測評審查與審批和驗收;未通過國家審批的涉密信息系統,不得投入使用。
第五條 本規定適用于公司所有計算機和信息系統安全保密管理工作。第二章 管理機構與職責
第六條 公司法人代表是涉密信息系統安全保密第一責任人,確保涉密信息系統安全保密措施的落實,提供人力、物力、財力等條件保障,督促檢查領導責任制落實。第七條 公司保密委員會是涉密信息系統安全保密管理決策機構,其主要職責:
(一)建立健全安全保密管理制度和防范措施,并監督檢查落實情況;
(二)協調處理有關涉密信息系統安全保密管理的重大問題,對重大失泄密事件進行查處。
第八條 成立公司涉密信息系統安全保密領導小組,保密辦、科技信息部(信息化)、黨政辦公室(密碼)、財會部、人力資源部、武裝保衛部和相關業務部門、單位為成員單位,在公司黨政和保密委員會領導下,組織協調公司涉密信息系統安全保密管理工作。
第九條 保密辦主要職責:
(一)擬定涉密信息系統安全保密管理制度,并組織落實各項保密防范措施;
(二)對系統用戶和安全保密管理人員進行資格審查和安全保密教育培訓,審查涉密信息系統用戶的職責和權限,并備案;
(三)組織對涉密信息系統進行安全保密監督檢查和風險評估,提出涉密信息系統安全運行的保密要求;
(四)會同科技信息部對涉密信息系統中介質、設備、設施的授權使用的審查,建立涉密信息系統安全評估制度,每年對涉密信息系統安全措施進行一次評審;
(五)對涉密信息系統設計、施工和集成單位進行資質審查,對進入涉密信息系統的安全保密產品進行準入審查和規范管理,對涉密信息系統進行安全保密性能檢測;
(六)對涉密信息系統中各應用系統進行定密、變更密級和解密工作進行審核;
(七)組織查處涉密信息系統失泄密事件。第十條
科技信息部、財會部主要職責是:
(一)組織、實施涉密信息系統的規劃、設計、建設,制定安全保密防護方案;
(二)落實涉密信息系統安全保密策略、運行安全控制、安全驗證等安全技術措施;每半年對涉密信息系統進行風險評估,提出整改措施,經涉密信息系統安全保密領導小組批準后組織實施,確保安全技術措施有效、可靠;
(三)落實涉密信息系統中各應用系統進行用戶權限設置及介質、設備、設施的授權使用、保管以及維護等安全保密管理措施;
(四)配備涉密信息系統管理員、安全保密管理員和安全審計員,并制定相應的職責; “三員”角色不得兼任,權限設置相互獨立、相互制約;“三員”應通過安全保密培訓持證上崗;
(五)落實計算機機房、配線間等重要部位的安全保密防范措施及網絡的安全管理,負責日常業務數據及其他重要數據的備份管理;
(六)配合保密辦對涉密信息系統進行安全檢查,對存在的隱患進行及時整改;
(七)制定應急預案并組織演練,落實應急措施,處理信息安全突發事件。第十一條 黨政辦公室主要職責:
按照國家密碼管理的相關要求,落實涉密信息系統中普密設備的管理措施。
第十二條 相關業務部門、單位主要職責:涉密信息系統的使用部門、單位要嚴格遵守保密管理規定,教育員工提高安全保密意識,落實涉密信息系統各項安全防范措施;準確確定應用系統密級,制定并落實相應的二級保密管理制度。
第十三條 涉密信息系統配備系統管理員、安全保密管理員、安全審計員,其職責是:
(一)系統管理員負責系統中軟硬件設備的運行、管理與維護工作,確保信息系統的安全、穩定、連續運行。系統管理員包括網絡管理員、數據庫管理員、應用系統管理員。
(二)安全保密管理員負責安全技術設備、策略實施和管理工作,包括用戶帳號管理以及安全保密設備和系統所產生日志的審查分析。
(三)安全審計員負責安全審計設備安裝調試,對各種系統操作行為進行安全審計跟蹤分析和監督檢查,以及時發現違規行為,并每月向涉密信息系統安全保密領導小組辦公室匯報一次情況。第三章 系統建設管理
第十四條 規劃和建設涉密信息系統時,按照涉密信息系統分級保護標準的規定,同步規劃和落實安全保密措施,系統建設與安全保密措施同計劃、同預算、同建設、同驗收。
第十五條 涉密信息系統規劃和建設的安全保密方案,應由具有“涉及國家秘密的計算機信息系統集成資質”的機構編制或自行編制,安全保密方案必須經上級保密主管部門審批后方可實施。
第十六條 涉密信息系統規劃和建設實施時,應由具有“涉及國家秘密的計算機信息系統集成資質”的機構實施或自行實施,并與實施方簽署保密協議,項目竣工后必須由保密辦和科技信息部共同組織驗收。
第十七條 對涉密信息系統要采取與密級相適應的保密措施,配備通過國家保密主管部門指定的測評機構檢測的安全保密產品。涉密信息系統使用的軟件產品必須是正版軟件。
第四章 信息管理
第一節 信息分類與控制
第十八條 涉密信息系統的密級,按系統中所處理信息的最高密級設定,嚴禁處理高于涉密信息系統密級的涉密信息。
第十九條 涉密信息系統中產生、存儲、處理、傳輸、歸檔和輸出的文件、數據、圖紙等信息及其存儲介質應按要求及時定密、標密,并按涉密文件進行管理。電子文件密級標識應與信息主體不可分離,密級標識不得篡改。涉密信息系統中的涉密信息總量每半年進行一次分類統計、匯總,并在保密辦備案。第二十條 涉密信息系統應建立安全保密策略,并采取有效措施,防止涉密信息被非授權訪問、篡改,刪除和丟失;防止高密級信息流向低密級計算機。涉密信息遠程傳輸必須采取密碼保護措施。
第二十一條 向涉密信息系統以外的單位傳遞涉密信息,一般只提供紙質文件,確需提供涉密電子文檔的,按信息交換及中間轉換機管理規定執行。
第二十二條 清除涉密計算機、服務器等網絡設備、存儲介質中的涉密信息時,必須使用符合保密標準、要求的工具或軟件。第二節 用戶管理與授權
第二十三條 根據本部門、單位使用涉密信息系統的密級和實際工作需要,確定人員知悉范圍,以此作為用戶授權的依據。第二十四條 用戶清單管理
(一)科技信息部管理“研究試驗堆燃料元件數字化信息系統”和“中核集團涉密廣域網”用戶清單;財會部管理“財務會計核算網”用戶清單;
(二)新增用戶時,由用戶本人提出書面申請,經本部門、單位審核,科技信息部、保密辦審批后,由科技信息部備案并統一建立用戶;“財務會計核算網”的用戶由財會部統一建立;
(三)刪除用戶時,由用戶本人所在部門、單位書面通知科技信息部,核準后由安全保密管理員即時將用戶在涉密信息系統內的所有帳號、權限廢止;“財務會計核算網”密辦審核,公司分管領導審批。開通、審批堅持“工作必須”的原則。
第六十四條 國際互聯網計算機實行專人負責、專機上網管理,嚴禁存儲、處理、傳遞涉密信息和內部敏感信息。接入互聯網的計算機須建立使用登記制度。
第六十五條 上網信息實行“誰上網誰負責”的保密管理原則,信息上網必須經過嚴格審查和批準,堅決做到“涉密不上網,上網不涉密”。對上網信息進行擴充或更新,應重新進行保密審查。
第六十六條 任何部門、單位和個人不得在電子郵件、電子公告系統、聊天室、網絡新聞組、博客等上發布、談論、傳遞、轉發或抄送國家秘密信息。
第六十七條 從國際互聯網或其它公眾信息網下載程序和軟件工具等轉入涉密系統,經科技信息部審批后,按照信息交換及中間轉換機管理規定執行。第九章 便攜式計算機管理 第六十八條 便攜式計算機(包括涉密便攜式計算機和非涉密便攜式計算機)實行 “誰擁有,誰使用,誰負責”的保密管理原則,使用者須與公司簽定保密承諾書。
第六十九條 涉密便攜式計算機根據工作需要確定密級,粘貼密級標識,按照涉密設備進行管理,保密辦備案后方可使用。
第七十條 便攜式計算機應具備防病毒、防非法外聯和身份認證(設置開機密碼口令)等安全保密防護措施。
第七十一條 禁止使用涉密便攜式計算機上國際互聯網和非涉密網絡;嚴禁涉密便攜式計算機與涉密信息系統互聯。
第七十二條 涉密便攜式計算機不得處理絕密級信息。未經保密辦審批,嚴禁在涉密便攜式計算機中存儲涉密信息。處理、存儲涉密信息應在涉密移動存儲介質上進行,并與涉密便攜式計算機分離保管。
第七十三條 禁止使用私有便攜式計算機處理辦公信息;嚴禁非涉密便攜式計算機存儲、處理涉密信息;嚴禁將涉密存儲介質接入非涉密便攜式計算機使用。
第七十四條 公司配備專供外出攜帶的涉密便攜式計算機和涉密存儲介質,按照 “集中管理、審批借用”的原則進行管理,建立使用登記制度。外出攜帶的涉密便攜式計算機須經保密辦檢查后方可帶出公司,返回時須進行技術檢查。第七十五條 因工作需要外單位攜帶便攜式計算機進入公司辦公區域,需辦理保密審批手續。
第十章 應急響應管理
第七十六條
為有效預防和處置涉密信息系統安全突發事件,及時控制和消除涉密信息系統安全突發事件的危害和影響,保障涉密信息系統的安全穩定運行,科技信息部和財會部應分別制定相應應急響應預案,經公司涉密信息系統安全保密領導小組審批后實施。
第七十七條 應急響應預案用于涉密信息系統安全突發事件。突發事件分為系統運行安全事件和泄密事件,根據事件引發原因分為災害類、故障類或攻擊類三種情況。
(一)災害事件:根據實際情況,在保障人身安全前提下,保障數據安全和設備安
(二)故障或攻擊事件:判斷故障或攻擊的來源與性質,關閉影響安全與穩定的網絡設備和服務器設備,斷開信息系統與攻擊來源的網絡物理連接,跟蹤并鎖定攻擊來源的IP地址或其它網絡用戶信息,修復被破壞的信息,恢復信息系統。按照事件發生的性質分別采用以下方案:
1、病毒傳播:及時尋找并斷開傳播源,判斷病毒的類型、性質、可能的危害范圍。為避免產生更大的損失,保護計算機,必要時可關閉相應的端口,尋找并公布病毒攻擊信息,以及殺毒、防御方法;
2、外部入侵:判斷入侵的來源,評價入侵可能或已經造成的危害。對入侵未遂、未造成損害的,且評價威脅很小的外部入侵,定位入侵的IP地址,及時關閉入侵的端口,限制入侵的IP地址的訪問。對于已經造成危害的,應立即采用斷開網絡連接的方法,避免造成更大損失和帶來的影響;
3、內部入侵:查清入侵來源,如IP地址、所在區域、所處辦公室等信息,同時斷開對應的交換機端口,針對入侵方法調整或更新入侵檢測設備。對于無法制止的多點入侵和造成損害的,應及時關閉被入侵的服務器或相應設備;
4、網絡故障:判斷故障發生點和故障原因,能夠迅速解決的盡快排除故障,并優先保證主要應用系統的運轉;
5、其它未列出的不確定因素造成的事件,結合具體的情況,做出相應的處理。不能處理的及時咨詢,上報公司信息安全領導小組。
第七十八條 按照信息安全突發事件的性質、影響范圍和造成的損失,將涉密信息系統安全突發事件分為特別重大事件(I級)、重大事件(II級)、較大事件(III級)和一般事件(IV級)四個等級。
(一)一般事件由科技信息部(或財會部)依據應急響應預案進行處置;
(二)較大事件由科技信息部(或財會部)、保密辦依據應急響應預案進行處置,及時向公司信息安全領導小組報告并提請協調處置;
(三)重大事件啟動應急響應預案,對突發事件進行處置,及時向公司黨政報告并提請協調處置;
(四)特別重大事件由公司報請中核集團公司對信息安全突發事件進行處置。
第七十九條 發生突發事件(如涉密數據被竊取或信息系統癱瘓等)應按如下應急響應的基本步驟、基本處理辦法和流程進行處理:
(一)上報科技信息部和保密辦;
(二)關閉系統以防止造成數據損失;
(三)切斷網絡,隔離事件區域;
(四)查閱審計記錄尋找事件源頭;
(五)評估系統受損程度;
(六)對引起事件漏洞進行整改;
(七)對系統重新進行風險評估;
(八)由保密辦根據風險評估結果并書面確認安全后,系統方能重新運行;
(九)對事件類型、響應、影響范圍、補救措施和最終結果進行詳細的記錄;
(十)依照法規制度對責任人進行處理。
第八十條
科技信息部、財會部應會同保密辦每年組織一次應急響應預案演練,檢驗應急響應預案各環節之間的通信、協調、指揮等是否快速、高效,并對其效果進行評估,以使用戶明確自己的角色和責任。應急響應相關知識、技術、技能應納入信息安全保密培訓內容,并記錄備案。第十一章 人員管理
第八十一條 各部門、單位每年應組織開展不少于1次的全員信息安全保密知識技能教育與培訓,并記錄備案。第八十二條
涉密人員離崗、離職,應及時調整或取消其訪問授權,并將其保管的涉密設備、存儲介質全部清退并辦理移交手續。
第八十三條 承擔涉密信息系統日常管理工作的系統管理員、安全保密管理員、安全審計管理員應按重要涉密人員管理。第十二章 督查與獎懲
第八十四條 公司每年應對涉密信息系統安全保密狀況、安全保密制度和措施的落實情況進行一次自查,并接受國家和上級單位的指導和監督。涉密信息系統每兩年接受一次上級部門開展的安全保密測評或保密檢查,檢查結果存檔備查。
第八十五條 檢查涉密計算機和信息系統的保密檢查工具和涉密信息系統所使用的安全保密、漏洞檢查(取證)軟件等,應覆蓋保密檢查的項目,并通過國家保密局的檢測。安全保密檢查工具應及時升級或更新,確保檢查時使用最新版本。
第八十六條 各部門、單位應將員工遵守涉密計算機及信息系統安全保密管理制度的情況,納入保密自查、考核的重要內容。對違反本規定造成失泄密的當事人及有關責任人,按公司保密責任考核及獎懲規定執行。第十三章 附 則
第八十七條 本規定由保密辦負責解釋與修訂。
第八十八條 本規定自發布之日起實施。原《計算機磁(光)介質保密管理規定)[制度編號:(廠1908號)]、《涉密計算機信息系統保密管理規定》[制度編號:(2006)廠1911號]、《涉密計算機采購、維修、變更、報廢保密管理規定》[制度編號:(2007)廠1925號]、《國際互聯網信息發布保密管理規定》[制度編號:(2007)廠1926號]、《涉密信息系統信息保密管理規定》[制度通告:(2008)0934號]、《涉密信息系統安全保密管理規定》[制度通告:(2008)0935號]同時廢止。
關于公司計算機信息系統安全和保密管理工作的規定 各部門:
為了認真貫徹落實XX保密委《關于傳發<全市XX組織開展互聯網涉密及敏感信息檢查清除活動實施方案>的通知》精神和要求,進一步加強公司各部門網絡及計算機信息安全的保密管理,防止網上泄密事件發生,確保公司網絡及計算機工作安全可靠,結合公司實際情況,現就進一步加強計算機信息系統安全和保密管理工作有關事宜規定如下:
一、計算機操作人員必須遵守國家有關法律,任何人不得利用計算機從事違法活動。
二、按照“誰主管、誰負責”和“誰使用、誰負責”的原則,開展自查。
1.明確內網使用人責任,簽訂《職工信息安全保密責任書》,認真落實各項安全保密管理規章制度,積極參加各類安全保密學習和活動,知道“一機兩用”違規行為的類型,不違反相關的制度規定。
2.嚴禁在互聯網上發布公司涉密文件、資料、信息、數據。未經主管領導批準,不得向外提供公司信息和資料,堅持做到“誰上網、誰負責”,“上網不涉密、涉密不上網”。
三、嚴禁公司內網計算機終端上操作事項。2 / 3 1.內網計算機終端上違規處理、存儲的國家秘密信息; 2.內網移動存儲介質中違規存儲的國家秘密信息; 3.內網服務器上違規處理、存儲的國家秘密信息; 4.內網網站上違規發布的國家秘密信息。
四、嚴禁公司互聯網網計算機終端上操作事項。
1.互聯網計算機終端上違規處理、存儲的國家秘密和警務工作秘密信息;
2.互聯網移動存儲介質中違規存儲的國家秘密和警務工作秘密信息;
3.互聯網服務器上違規處理、存儲的國家秘密和警務工作秘密信息;
4.互聯網上開設的網站中違規發布的國家秘密和警務工作秘密信息;
5.互聯網社會網站上開通的微博、電子郵箱等信息發布和傳輸平臺中違規發布、存儲的國家秘密和警務工作秘密信息。
五、專用于存儲公司財務、工程設計方案、安保方案應急預案等資料和內部文件的計算機要由專人使用,并設置密碼,禁止網絡上的其它計算機訪問,禁止訪問互聯網及其它外部網絡系統。
六、做好計算機網絡病毒防治工作。每臺計算機要由專人負責,定期升級計算機殺毒軟件,進行查殺病毒,在使用3 / 3軟盤、U盤和移動硬盤等存儲、拷貝文件之前,要先查殺病毒。嚴禁在計算機有毒未殺的情況下發電子郵件和拷貝文件到公司的其它計算機上。
七、嚴格按照操作程序使用計算機,認真做好計算機防盜工作。公司員工要愛護計算機。下班及節假日,務必將電源開關關閉,徹底切斷計算機電源,關好門窗,做好防火、防盜工作。
八、嚴格工作紀律。禁止瀏覽和下載不健康的網上信息,禁止從網上下載與工作無關的軟件。二〇一二年五月三日
計算機網絡及信息資源安全保密管理制度 第一節總則
第一條為保護公司計算機信息資源的安全,并規范公司計算機及網絡 硬件的采購、安裝(建設)、維護、管理等環節的管理要求,根據《中華人民共和國保守國家秘密法》,《中華人民共和國計算機信息網絡國際互聯網管理暫行規定》和《中國公用計算機互聯網國際聯網管理辦法》,特制定本規定。第二條 本規定適用于公司內部所有單位所使用的計算機系統。第二節計算機的涉密管理規定
第三條 公司內部計算機信息系統的安全保密工作由信息技術部負責具體實施。公司各下屬單位、部門主要領導主管本單位、本部門的計算機信息系統的安全保密工作。第四條存放過秘密信息的計算機及相應介質未在徹底格式化前不能降低密級使用。第五條存儲有秘密信息的計算機及相應存儲裝置在維修時,應采取措施保 證所存儲的秘密信息不被泄露。
第六條企業內部規劃和建設任何計算機信息系統,應當同步規劃落實相應 的信息資源安全保密措施。
第七條對涉及企業經營、管理、技術和人事秘密的數據庫以及計算機應用系統,必須采取技術安全保密措施,并且不得與外部連通。第三節計算機及網絡硬件管理
第八條所有計算機及網絡硬件的采購和建設實施,須在總體規劃目標指導下進行。第九條進入總體規劃的計算機及網絡硬件在采購和建設實施時,需提前預算。作為預算的申請依據,信息技術部每年第四季度在公司開始下一的預算工作前,發布次年各類主要計算機設備的采購計劃價。
第十條總部部門或事業部在申請預算(或追加預算)時若涉及計算機購買計劃,須提交《計算機設備預算追加及采購審批表》,并履行相應的審核手續。
第十一條信息技術部負責編制公司網絡中心及主干網絡硬件采購計劃和預算,報公司批準后執行。總部各部門獲批準的計算機預算,由信息技術部監管使用。
第十二條各事業部每年底將下的計算機及網絡硬件采購計劃和預算報信息技術部審核。信息技術部有權糾正事業部硬件采購計劃或硬件預算中不合理的需求。第十三條每預算定稿之后,運營管理部負責將總部部門及各事業部獲準采購計算機的數字通報信息技術部,信息技術部負責監管各單位的采購行為。
第十四條信息技術部在每季度的第一周發布本季度的計算機硬件采購選型指導,供全公司統一執行。
第十五條對公司總部及各事業部需求量較大的計算機設備,信息技術部會同運營管理部通過招標談判在計算機供貨商中選定戰略合作伙伴,使公司總部及各事業部能夠以統一的優惠價格采購到所需的計算機產品。
第十六條公司總部的硬件采購工作,委托裝載機事業部代為實施。裝載機事業部接受委托時須對申請部門提交的《計算機設備預算追加及采購審批表》確認后,方可采購。第十七條各事業部計算機維修配件的采購,由各事業部根據不同計算機的具體情況相應處理。
第十八條在硬件采購合同執行的過程中,如遇到特殊情況需要更改采購技術型號的,必須經過信息技術部復審同意。
第十九條公司總部的計算機,由信息技術部負責硬件安裝、維修、服務和管理。各事業部的計算機,由事業部備案的硬件崗位人員負責軟硬件安裝、維修、服務和管理。第二十條公司總部各部門和各事業部每年底要將本單位的計算機設備狀況、配置變動、責任人變動等情況填表報信息技術部。
第二十一條崗位上的計算機超過使用年限之后,如果因為主要部件的故障頻率高并無法修復的,經過所在資產管理實體的資產管理人員及硬件專業人員審核同意后,可以申
第四節網絡的接入管理
第二十二條信息技術部是管理企業網絡接入的責任部門。信息技術部的網絡管理員是整個柳工網絡的總管理員,對全網安全總負責,并牽頭與各子域網絡管理員組建企業網絡管理委員會,共同維護企業的網絡安全以及信息安全。
第二十三條為保障企業網絡的安全,所有連接到企業內部網的計算機必須經過信息技術部的企業網絡管理員注冊登記。每臺聯網的計算機都必須確定責任人,對該機的遵紀使用及安全狀況負責。不得私自在內部網上接入未經網管注冊的計算機,否則視同竊取企業機密,一旦發現,按照有關規定進行處理。
第二十四條為保證網絡信息資源安全,嚴格便攜機的管理,在柳工網內使用便攜機的特殊用戶必須登記備案,并接受網絡安全措施、信息安全培訓和病毒防護管理。第二十五條為防止信息流失和計算機病毒,要嚴格控制內部網與外部的直接I/O 通道,所有聯網的計算機都要拆除軟驅、光驅、刻錄設備及其他移動存儲設備。需要保留的,必須經過企業信息工作主管領導的特別批準,向信息技術部的網絡管理員登記注冊。第二十六條未經信息技術部批準和備案,私自在企業網絡的計算機上安裝各種通訊和存儲設備(如MODEM、軟驅、光驅等)、私自往廠區內帶入未經注冊登記的便攜機和存儲設備等行為,均視同竊取企業機密,一經發現,須沒收上交企業保密委員會,按照有關規定進行處理。
第二十七條合作單位人員因業務交流需要帶入計算機及有關設備的,不得接入企業網絡,由接待部門領導負責相應的信息安全責任。要進行數據交換的,按本規定有關條文處理。第二十八條
通過MODEM、VPN 等各種方式連入企業內部網的遠程訪問用戶也要柳工內部控制制度接受企業網絡總管理員的管理,否則將不允許連接到企業內部網。
第二十九條企業網絡是工作網絡,禁止任何利用企業網絡以及企業集成信息平臺進行有損企業安定團結局面的行為,違犯者將被追究紀律甚至法律的責任。
第三十條企業的網絡和計算機都屬于企業生產、工作的重要設備,任何破壞企業網絡和計算機的行為都視同破壞企業生產、工作的嚴重行為,需要追究紀律和法律的責任。第五節數據及信息安全的管理 第三十一條
數據及信息的安全包括數據的物理安全以及信息保密。企業各計算機信息系統都要建立相應的安全管理制度,信息技術部對企業的全局數據庫信息資源安全負責,各應用系統、單位部門的主要負責人對本應用系統、單位部門的計算機信息資源安全負責。第三十二條各應用系統、主要單位部門及各域都必須建立相應的數據備 份與災難恢復制度和策略,并切實執行。
第三十三條
確有特殊需求經批準在企業網的某些計算機上保留有光驅和軟驅的部門,其部門領導和系統管理員必須對該I/O 通道的安全負責,各類數據的拷出必須有相關領導的審批以及文字性記錄備案。
第三十四條除網絡管理員及其授權人員外,其余人員無權擅自在網絡上傳播、擴散來自企業網絡以外的其它軟件和電子文檔。
第三十五條
計算機信息系統聯網應當采取系統訪問控制、數據保護和系統安全防火
第五篇:中國人民解放軍計算機信息系統安全保密規定
中國人民解放軍計算機信息系統安全保密規定
第一章 總則
第一條 為了加強軍隊計算機信息系統的安全保密,保障軍隊建設和軍事行動的順利進行,根據《中國人民解放軍保密條例》和《中國人民解放軍技術安全保密條例》,制定本規定。
第二條 本規定所稱計算機信息系統,是指以計算機及其網絡為主體、按照一定的應用目標和規則構成的用于處理軍事信息的人機系統。
計算機信息系統安全保密,是為防止泄密、竊密和破壞,對計算機信息系統及其所載的信息和數據、相關的環境與場所、安全保密產品的安全保護。
第三條 規定適用于軍隊涉及計算機信息系統的單位和人員。
第四條 軍隊計算機信息系統安全保密工作,實行保密委員會統一領導下的部門分工負責制,堅持行政管理與技術防范相結合。
各級計算機信息系統建設主管部門,負責本級和所屬計算機信息系統安全保密的規劃和建設。
各級密碼主管部門,按照規定負責計算機信息系統所需密碼系統的建設規劃以及對密碼設備和技術的研制開發管理。
計算機信息系統的使用單位,負責上網信息的審批和日常安全保密管理工作。
各級保密委員會辦事機構,負責本級和所屬計算機信息系統安全保密工作的組織協調和監督檢查。
解放軍信息安全測評認證中心負責軍隊計算機信息系統安全技術和產品的測評認證工作。
第五條 軍隊計算機信息系統的安全保密建設,應當與計算機信息系統的總體建設同步規劃,同步發展,其所需費用列入系統建設預算。
第六條 任何單位或者個人不得利用軍隊計算機信息系統從事危害國家、軍隊和公民合法權益的活動,不得危害軍隊計算機信息系統的安全和正常運行。
第二章 防護等級劃分
第七條 軍隊計算機信息系統,按照下列規定劃分防護等級:
(一)處理絕密信息或者遭受攻擊破壞后會給軍隊安全與利益造成特別嚴重損害的計算機信息系統,實行五級防護;
(二)處理機密信息或者遭受攻擊破壞后會給軍隊安全與利益造成嚴重損害的計算機信息系統,實行四級防護;
(三)處理秘密信息或者遭受攻擊破壞后會給軍隊安全與利益造成比較嚴重損害的計算機信息系統,實行三級防護;
(四)處理軍隊內部信息或者遭受攻擊破壞后會給軍隊安全與利益造成一定損害的計算機信息系統,實行二級防護;
(五)接入軍外信息網的計算機信息系統,實行一級防護。
第八條 軍隊計算機信息系統應當按照《軍隊計算機信息系統安全防護標準》(見附錄一),采取與其防護等級相應的防護措施,選用符合《軍用計算機安全評估準則》的產品。因技術或者產品等原因,一時達不到防護標準要求的,必須采取有效的補救措施。
第三章 計算機及其網絡
第九條 軍隊計算機及其網絡的設計、研制、建設、運行、使用和維護應當滿足規定的戰術、技術條件下的安全保密要求。
新建、改建重要計算機網絡必須報上一級軍事信息系統建設主管部門審批,并經軍隊技術安全保密檢查機構檢測評估。未通過檢測評估的不得交付使用。
第十條 軍隊計算機及其網絡應當盡量采取國產設備和軟件。確需要采取境外產品時,應當按照安全保密要求進行技術改造。
第十一條 軍隊計算機及其網絡的安裝、調試和維修,應當由軍內單位和人員承擔。確需軍外單位和人員承擔時,必須經過師級以上單位批準,并指定專人陪同,工作結束后進行技術安全保密檢查。
第十二條 軍隊計算機及其網絡的設計、研制、建設和維修,不得使用國家和軍隊已明令禁用或者有嚴重安全保密缺陷的硬件和軟件。
第十三條 用于處理內部信息和涉密信息的計算機及其網絡,必須與國外、軍外計算機及其網絡實行物理隔絕,并不得出借、轉讓給軍外單位或者個人。
第十四條 管理使用大型計算機信息系統的軍隊單位,應當設立安全保密小組。一般計算機信息系統,應當有負責安全保密日常工作的安全管理員。
第十五條 軍隊計算機信息系統操作人員、管理人員和安全保密人員(以下統稱計算機信息系統工作人員)的涉密范圍和訪問權限,由業務主官部門按照權限分隔、相互制約與最小授權的原則確定。
軍隊計算機信息系統工作人員上崗前應當經過安全保密培訓,工作時佩帶明顯的標志,并遵守《軍隊計算機信息系統工作人員安全保密守則》(見附錄二)。
第十六條 管理使用計算機信息系統的軍隊單位和人員,必須接受保密管理部門的監督檢查。對檢查中發現的問題,主管部門和使用單位應當及時解決。
第四章 信息與介質
第十七條 軍隊計算機信息系統中的涉密信息和重要數據,必須按照秘密性、完整性、可用性和安全性的要求進行生產、傳遞、存儲和使用。第十八條 軍隊計算機信息系統中的涉密信息,必須按照《中國人民解放軍保密條例》的有關規定劃定密級,并具有與該涉密信息不可分離的密級標記和出網標記。
第十九條 向軍隊計算機及其網絡所在控制區外傳輸秘密信息,必須按照信息的密級采取加密措施;在控制區內傳輸秘密信息,視需要采取相應的加密措施。
第二十條 軍隊計算機信息系統中的涉密信息和重要數據,應當根據工作需要和最小授權原則進行存取,任何單位或者個人不得越權調閱、使用、修改、復制和刪除。
第二十一條 用于存儲涉密信息和重要數據的數據庫,必須具備相應的安全保密防護措施。
第二十二條 軍隊計算機信息系統中重要的涉信息和數據,必須及時備份和異地存放,并按照其原密級采取相應的安全保護措施。
第二十三條 存儲涉密信息的硬盤、軟盤、光盤、磁帶等介質,應當按照其中存放信息的最高密級劃定秘密等級,并按照秘密載體安全保密要求進行管理。
第二十四條 處理過軍隊涉密信息或者重要數據的存儲介質,不得轉讓或者出借給無關人員使用,不得私自帶往境外,不得送往無安全保密保障的機構修理。已劃定秘密等級的存儲介質報廢后,應當徹底銷毀。
第五章 環境與場所
第二十五條 軍隊計算機信息系統所在的環境,必須符合國家和軍隊有關電磁環境的安全要求。對涉密或者重要的計算機信息系統,必須采取防電磁泄漏的措施。
第二十六條 集中設置計算機及其網絡設備的場所,應當根據涉密程度、重要程度和周圍環境狀況,按照國家與軍隊的有關規定、標準進行建設管理,并劃定帶有明顯標志的控制區。
分散設置的涉密計算機及其網絡設備,應當置于辦公區域的安全部位,并采取相應的安全保密措施。
第二十七條 軍隊計算機信息系統的重要機房和網絡設施,必須按照國家和軍隊的有關規定,與境外駐華機構、人員駐地和涉外建筑保持相應的安全距離,并不得共用電源、金屬管線和通風管道。無法達到上述要求的,必須采取有效的防護措施。
第二十八條 新建涉密的大型機房,必須經過技術安全保密檢查合格后方可使用。
第六章 安全保密產品
第二十九條 用于軍隊計算機信息系統安全保密防護與檢測的硬件、軟件和系統,必須選用軍內或者國內研制開發并經解放軍信息安全測評認證中心測評認證的產品;其中的密碼技術和設備,必須符合國家和軍隊有關密碼管理的政策和規定。
經測評認證合格的安全保密產品,由解放軍保密委員會技術安全檢查辦公室列入軍隊安全保密產品目錄;需要在全軍推廣應用的,由解放軍保密委員會批準。
第三十條 軍隊單位研制和開發安全保密產品,應當執行軍隊有關的規定和標準;軍隊暫無規定和標準的參照國家有關規定和標準執行。
第三十一條 專門用于軍隊計算機信息系統的安全保密產品,未經解放軍保密委員會辦事機構批準,不得對外宣傳和銷售。
第七章 應急處置
第三十二條 軍隊計算機信息系統在面臨危險或者遭受攻擊、破壞的情況下,必須采取安全保密應急處置行動。
第三十三條 軍隊計算機信息系統應急處置行動,由各級計算機信息系統主管部門組織實施;各級保密委員會技術安全檢查辦公室負責應急行動的協調與支援。
第三十四條 師級以上單位計算機信息系統主管部門應當指定安全保密應急組織,擔負下列任務:
(一)按照應急處置方案組織演練;
(二)采取應急處置措施,實施應急處置計劃,阻止侵襲蔓延,消除泄密、竊密隱患和破壞威脅;
(三)查明侵襲破壞情況和威脅來源;
(四)恢復系統正常運行;
(五)上級賦予的其他任務。
第三十五條 軍區級以上單位的技術安全檢查辦公室應當建立應急支援與協調組織,擔負下列任務:
(一)制定本級安全保密應急支援預案;
(二)發布應急處置有關預警信息;
(三)采取應急支援措施,實施應急計劃;
(四)查明侵襲破壞情況和威脅來源,必要時組織反擊行動;
(五)對指揮機關和部隊有關的軍事行動提供安全保密應急支援;
(六)上級賦予的其他任務。
第三十六條 計算機信息系統工作人員發現針對軍隊計算機信息系統的惡意攻擊、黑客侵襲、計算機病毒危害、網上竊密及破壞、電磁攻擊以及其他重大破壞活動或者征候時,應當立即報告計算機信息系統主管部門和本級保密委員會辦事機構,并采取相應的應急措施。
第八章 獎勵與處分
第三十七條 符合下列條件之一的單位和人員,依照《中國人民解放軍紀律條令》的有關規定,給予獎勵:
(一)在計算機信息系統安全保密理論研究和法規標準制定方面做出重要貢獻的;
(二)研究、開發計算機信息系統安全保密技術、產品、設施取得重要成果的;
(三)在計算機信息系統安全保密檢查、檢測手段和方法方面有發明創造的;
(四)及時發現或者有效消除計算機信息系統安全保密重大缺陷或者隱患的;
(五)在緊急情況下保護計算機信息系統安全免遭損失的;
(六)在計算機信息系統安全保密工作的其他方面做出顯著成績的。
第三十八條 有下列情形之一的,依照《中國人民解放軍紀律條令》的有關規定,對負有直接責任的主管人員和其他直接責任人員給予處分;構成犯罪的,依法追究刑事責任:
(一)侵襲計算機信息系統的;
(二)非法刪除、修改、增加、干擾計算機信息系統的功能、數據、程序,造成嚴重后果的;
(三)制造、傳播計算機病毒等破壞性程序,影響計算機信息系統正常運行的;
(四)發現計算機信息系統安全保密隱患或者計算機病毒及其他破壞性威脅,不及時報告或者不采取措施,造成嚴重后果的;
(五)泄漏軍隊計算機信息系統安全保密防護技術、方法、措施、產品性能、效果和應用范圍,造成后果的;
(六)使用已經禁用或者不符合規定的計算機信息系統、安全保密產品,造成嚴重安全保密隱患的;
(七)其他危害計算機信息系統安全保密的。
第九章 附則
第三十九條 中國人民武裝警察部隊的計算機信息系統安全保密工作參照本規定執行。
第四十條 本規定由中國人民解放軍保密委員會負責解釋。
第四十一條 本規定自發布之日起施行。
附錄
軍隊計算機信息系統安全防護標準
軍隊計算機網絡安全保密守則
點擊咨詢 