第一篇:黨政辦公室計算機信息系統(tǒng)安全與保密管理工作初探
高校黨政辦公室計算機信息系統(tǒng)安全與保密管理工作
初探
隨著科學技術的迅猛發(fā)展,計算機的運用越來越普及,辦公自動化和信息化程度越來越高,極大地提高了行政效率,降低了行政成本,但隨之而來的信息系統(tǒng)安全保密問題也日益突出。特別是黨政辦公室,作為保持學校黨政工作正常運轉(zhuǎn)和承上啟下、協(xié)調(diào)左右、溝通內(nèi)外的樞紐,其計算機信息系統(tǒng)面臨著巨大挑戰(zhàn)。如何在加快政務信息網(wǎng)絡建設的同時,加強計算機信息系統(tǒng)安全保密管理,已成為一項十分重要而緊迫的任務。新形勢下做好黨政辦公室計算機信息系統(tǒng)安全與保密管理工作意義重大。
一、計算機信息系統(tǒng)泄密的主要途徑 兵法有云“知己知彼,方能百戰(zhàn)不殆”。要有效防止泄密,首先要了解泄密的途徑。目前,我們使用的計算機信息系統(tǒng)存在的泄密途徑主要存在以下三種。
1.計算機互聯(lián)網(wǎng)絡
計算機接入互聯(lián)網(wǎng)后,泄密的渠道和范圍大大增加。如果在計算機操作中,對入網(wǎng)口令不注意保密和及時更換,信息傳輸不進行加密處理,局域網(wǎng)和互聯(lián)網(wǎng)沒有做到完全的物理隔離等等,竊密者只要在網(wǎng)絡中任意一條分支信道上或某一個節(jié)點、終端進行截取,就可以獲得整個網(wǎng)絡輸送的信息,從而導致嚴重的泄密事件發(fā)生。
2.計算機存儲設備
計算機的存儲設備有很多,如硬盤、光盤、磁盤、U盤等等,它們負責存儲計算機信息。計算機操作系統(tǒng)對存儲文件的管理是通過對文件目錄的管理來實現(xiàn)的,刪除一個文件,只是從文件目錄中將其消去,在沒有寫入新的數(shù)據(jù)前,實際上并沒有把原有數(shù)據(jù)清除掉,很容易被恢復。辦公室計算機存有大量的信息,很容易被復制,在給使用者帶來了方便的同時,也給竊密者提供了機會。因此,使用過的磁盤如果處理不當,就會產(chǎn)生剩磁效應,殘留的信息會被復制,這都是泄密的隱患。
3.計算機電磁波輻射
任何一臺電子設備工作時都會產(chǎn)生電磁輻射,計算機也不例外。計算機系統(tǒng)工作時,它的內(nèi)部信息是以電子脈沖形式表示的,主機、顯示器、連接線、鍵盤等所有設備都會不同程度地產(chǎn)生電磁波輻射,尤其是顯示器輻射最為嚴重。據(jù)實驗,普通計算機終端顯示器的電磁波在1公里以外用相應的設備就可以將其直接接收下來。
二、學校黨政機關計算機信息系統(tǒng)保密管理存在的問題
近年來,隨著學校信息化建設的步伐加快,管理人員的素質(zhì)水平不高的現(xiàn)象開始突顯,保密管理工作中仍存在不少問題。主要表現(xiàn)在: 1.保密意識不到位
部分單位沒有充分認識到加強計算機信息系統(tǒng)安全保密管理工作的重要性和必要性,管理人員保密意識淡薄,往往只注重對紙質(zhì)文件的保密管理,而忽視計算機及存儲設備的管理。
2.保密制度不落實
個別人員保密意識單薄,存在“一機多用”現(xiàn)象,在沒有采取物理隔離措施的情況下,在上網(wǎng)機上處理涉密信息,或者在涉密機上連接非涉密存儲設備,致使“上網(wǎng)電腦不涉密,涉密電腦不上網(wǎng)”的保密制度形同虛設。少數(shù)單位上網(wǎng)信息把關不嚴,上網(wǎng)信息保密審查制度執(zhí)行不力,存在隱患。
3.保密知識不熟悉
部分保密工作人員不熟悉計算機信息系統(tǒng)的基礎知識,不了解計算機信息系統(tǒng)存在的安
全隱患和泄密途徑,不知道如何采取保密防范措施。
三、黨政辦公室針對計算機信息系統(tǒng)保密管理的主要對策
針對新形勢下學校黨政機關計算機信息系統(tǒng)保密管理中存在的問題,黨政辦公室認真思考,積極探索,結(jié)合辦公室工作的實際情況,主要從以下四個方面入手加強計算機信息系統(tǒng)的保密管理。
1.加大保密宣教力度,轉(zhuǎn)變辦公室人員保密觀念 計算機網(wǎng)絡發(fā)展的同時,也給竊密者提供了全新的手段,這就要求保密工作者改變過去那種只要“關好門、鎖好柜、管好文”就是做好保密工作的觀念。黨政辦公室服務中心工作、服務校領導、接觸重要事項、涉密人員多,是學校重要涉密部門之一,這就更加要求辦公室同志從維護黨和國家秘密和學校內(nèi)部信息安全這一角度出發(fā),深入地學習信息化條件下的保密知識,不斷更新保密觀念。針對部分同志存在的計算機信息系統(tǒng)安全保密意識淡薄、保密知識缺乏、保密認識模糊的問題,辦公室保密工作領導小組高度重視保密學習和宣傳工作的重要性,以“學以致用、入腦入心”為準則,結(jié)合工作實際,長期不懈抓好保密學習培訓、宣傳貫徹。引導工作人員充分認識竊密與反竊密斗爭的嚴峻形勢,充分認識計算機網(wǎng)絡泄密的嚴重危害和加強網(wǎng)絡安全保密工作的重要意義,認真學習計算機及網(wǎng)絡基礎知識,全面了解計算機系統(tǒng)的泄密途徑,熟練掌握計算機系統(tǒng)保密管理知識,嚴格執(zhí)行保密管理制度。辦公室在專門開展保密學習活動的基礎上,結(jié)合辦公室主任會議、黨支部學習培訓、工會活動、自學等多種方式,先后開展新版《武器裝備科研生產(chǎn)單位一級保密資格標準》和《保密法》等各項保密知識學習宣傳工作,并結(jié)合“每日一題”、“辦公室保密知識競賽”的方式強化學習效果。加強新增涉密人員的保密教育與業(yè)務指導,確保每位涉密人員全年參加保密培訓15學時以上,培訓內(nèi)容列入辦公室保密檔案。從而夯實計算機系統(tǒng)安全保密管理基礎,取得了良好的工作成效。
2.加強保密安全管理,健全網(wǎng)絡保密管理制度 一是實行分類分級管理制度,對計算機和辦公自動化設備實行分類管理。計算機分為上網(wǎng)機、內(nèi)部機、涉密機三類;辦公自動化設備分為涉密和非涉密兩類。嚴格按照學校保密規(guī)定要求擺放,統(tǒng)一粘貼警示標貼,明確專人管理。二是健全上網(wǎng)信息審查制度。黨政辦公室信息發(fā)布、傳輸遵循“誰發(fā)布、誰負責”,“先審后發(fā),先審后傳”的原則,凡是上互聯(lián)網(wǎng)的信息都必須經(jīng)過保密審查。各科室發(fā)布和傳輸?shù)男畔ⅲ仨毺顚憽毒W(wǎng)絡信息發(fā)布登記表》或《網(wǎng)絡信息發(fā)布、傳輸保密審查表》,經(jīng)審查合格后方可發(fā)布。同時,對上網(wǎng)信息要進行登記備案。三是對于安全等級較高的部位實行分區(qū)控制。按照中共中央保密委員會辦公室、國家保密局《關于保密要害部門、部位保密管理的規(guī)定》和學校具體要求,機要室和涉密文印室均安裝防盜報警裝置和視頻監(jiān)控裝置,報警信號引入校園110報警中心;確定安全控制區(qū)域,劃分工作區(qū)和接待區(qū)。安裝防盜門,加裝防盜窗,出入口安裝門控系統(tǒng),采用IC卡身份鑒別。對計算機系統(tǒng)進行維護要經(jīng)過保密主管部門的批準,維護時保密部門工作人員要在場,嚴禁維修人員擅自讀取和拷貝計算機內(nèi)存儲的涉密信息,確需外送維修的計算機必須在保密部門指定的維修點進行維修。四是健全移動存儲設備管理制度。涉密和非涉密移動存儲設備嚴格按照學校保密制度要求管理,對存儲涉密信息的移動存儲設備,要統(tǒng)一登記、統(tǒng)一存放,并明確專人管理。嚴禁將涉密移動存儲設備在與互聯(lián)網(wǎng)聯(lián)接的計算機上使用。
3.加強保密技術應用,增強安全保密防范能力 由于計算機系統(tǒng)的泄密途徑較多,我們必須采取形式多樣、針對性強的保密措施進行防范。一是針對電磁波輻射,要嚴格按照學校規(guī)定,盡量選用低輻射電腦設備,嚴禁使用無線鍵盤、無線鼠標及其它無線互聯(lián)的外用設備。同時采用屏蔽儀、紅黑插排、距離防護、噪聲干擾等各種設備和措施,把電磁波泄密的可能性抑制到最低限度。二是涉密計算機和存儲設備嚴禁接入互聯(lián)網(wǎng),所有涉密機均安裝非法內(nèi)外聯(lián)監(jiān)控軟件,涉密信息的傳輸嚴格按照要求
執(zhí)行。設備如有報廢,則交由保密處統(tǒng)一處理。三是對涉密計算機設置四層密碼防護,即開機密碼、防護系統(tǒng)密碼、系統(tǒng)密碼和屏幕保護密碼,并按規(guī)定定期更換密碼。四是非涉密計算機使用移動存儲設備,堅持先殺毒后使用,同時使用防火墻技術防范病毒入侵,阻止對內(nèi)部信息的非法訪問及非法輸出。
4.加強保密督促檢查,及時堵塞系統(tǒng)泄密漏洞
為確保計算機信息系統(tǒng)保密管理工作的各項規(guī)章制度落實到位,黨政辦公室在做好各項保密預防工作的基礎上,將保密檢查制度化、常態(tài)化,以自檢自查和辦公室保密工作領導小組抽查的方式定期組織全面檢查,分為涉密人員每月自查,各科室每月月查,保密領導小組進行全面深入的季度檢查(每學期至少兩次),保密工作領導小組隨時抽查,保證檢查有記錄,發(fā)現(xiàn)問題有整改措施和復查結(jié)果,并做好相應檢查記錄。根據(jù)保密處統(tǒng)一部署進行保密工作自查、自檢,接受學校保密處的保密檢查和抽查。針對涉密機違規(guī)上互聯(lián)網(wǎng)、非涉密機處理涉密信息等深度違規(guī)行為的檢查,采用計算機違規(guī)深度檢查工具等先進的保密技術檢查設備,重點抽查重點涉密人員,確保檢查效果。通過檢查,清楚各種泄密隱患,及時采取補救措施,堵塞泄密漏洞。
黨政辦公室計算機信息系統(tǒng)的安全保密工作,是新形勢下一項全新的工作。在長期不懈的努力下,辦公室逐步實現(xiàn)了保密防范意識化、保密措施制度化、保密流程規(guī)范化、保密工作常態(tài)化,確保了黨政辦公室保密工作整體意識和水平的提升。多年來未發(fā)生任何失泄密事件。
第二篇:計算機信息系統(tǒng)安全和保密管理制度
計算機信息系統(tǒng)安全和保密管理制度
為進一步加強我局計算機信息系統(tǒng)安全和保密管理,保障計算機信息系統(tǒng)和數(shù)據(jù)的安全,特制定本制度。
第一條 嚴格落實計算機信息系統(tǒng)安全和保密管理工作責任制,各部門負責人為信息安全系統(tǒng)第一責任人。按照“誰主管誰負責、誰運行誰負責、誰公開誰負責”的原則,各處室在其職責范圍內(nèi),負責本單位計算機信息系統(tǒng)安全和保密管理。
第二條 辦公室是全局計算機信息系統(tǒng)安全和保密管理的職能部門,信息中心具體負責技術保障工作。
第三條 局域網(wǎng)分為內(nèi)網(wǎng)、外網(wǎng)。內(nèi)網(wǎng)運行各類辦公軟件,專用于公文的處理和交換,屬涉密網(wǎng);外網(wǎng)專用于各處室和個人瀏覽國際互聯(lián)網(wǎng),屬非涉密網(wǎng)。上內(nèi)網(wǎng)的計算機不得再上外網(wǎng),涉及國家秘密的信息應當在制定的涉密信息系統(tǒng)中處理。
第四條 購置計算機及相關設備須按照保密局指定的有關參數(shù)指標,信息中心將新購置的計算機及相關設備的有關信息參數(shù)登記備案后,經(jīng)辦公室驗收后,方可提供上網(wǎng)IP地接入機關局域網(wǎng)。
第五條 計算機的使用管理應符合下列要求:
(一)嚴禁同一計算機既上互聯(lián)網(wǎng)又處理涉密信息;
(二)信息中心要建立完整的辦公計算機及網(wǎng)絡設備技術檔案,定期對計算機及軟件安裝情況進行檢查和登記備案;
(三)設置開機口令,長度不得少于8個字符,并定期更換,防止口令被盜;
(四)安裝正版防病毒等安全防護軟件,并及時進行升級,及時更新操作系統(tǒng)補丁程序;
(五)未經(jīng)信息中心認可,機關內(nèi)所有辦公計算機不得修改上網(wǎng)IP地址、網(wǎng)關、DNS服務器、子網(wǎng)掩碼等設置;
(六)嚴禁使用含有無線網(wǎng)卡、無線鼠標、無線鍵盤等具有無線互聯(lián)功能的設備處理涉密信息;
(七)嚴禁將辦公計算機帶到與工作無關的場所;確因工作需要需攜帶有涉密信息的手提電腦外出的,必須確保涉密信息安全。
第六條 涉密移動存儲設備的使用管理應符合下列要求:
(一)分別由各處室兼職保密員負責登記,做到專人專用專管,并將登記情況報綜合處備案;
(二)嚴禁涉密移動存儲設備在內(nèi)、外網(wǎng)之間交叉使用;
(三)移動存儲設備在接入本部門計算機信息系統(tǒng)之前,應查殺病毒、木馬等惡意代碼;
(四)鼓勵采用密碼技術等對移動存儲設備中的信息進行保護;
(五)嚴禁將涉密存儲設備帶到與工作無關的場所。
第七條 數(shù)據(jù)復制操作管理應符合下列要求:
(一)將互聯(lián)網(wǎng)上的信息復制到內(nèi)網(wǎng)時,應采取嚴格的技術防護措施,查殺病毒、木馬等惡意代碼,嚴防病毒等傳播;
(二)使用移動存儲設備從內(nèi)網(wǎng)向外網(wǎng)復制數(shù)據(jù)時,應當采取嚴格的保密措施,防止泄密;
(三)復制和傳遞密級電子文檔,應當嚴格按照復制和傳遞同等密級紙質(zhì)文件的有關規(guī)定辦理。不得利用電子郵件傳遞、轉(zhuǎn)發(fā)或抄送涉密信息;
(四)各處室因工作需要向外網(wǎng)公開內(nèi)部信息資料時,必須由該處室負責人審核同意,交由信息中心統(tǒng)一發(fā)布。
第八條 辦公計算機及相關設備由信息中心負責維護,按保密要求實行定點維修。需外
請維修的,要派專人全程監(jiān)督;需外送維修的,應由信息中心拆除信息存儲部件,以防止存儲資料泄密。
第九條 辦公計算機及相關設備報廢時,應由信息中心拆除存儲部件,然后交辦公室核定,由信息中心按有關要求統(tǒng)一銷毀,同時作好備案登記。嚴禁各單位自行處理報廢計算機。
第十條 辦公室和信息中心要加強機關計算機信息系統(tǒng)安全和保密管理情況的監(jiān)督,定期進行檢查,提高泄密隱患發(fā)現(xiàn)能力和泄密事件應急處置能力。其它各處室要密切配合,共同做好計算機信息系統(tǒng)安全和保密工作。
第十一條 機關工作人員離崗離職,有關處室應即時取消其計算機涉密信息系統(tǒng)訪問授權,收回計算機、移動存儲設備等相關物品。
第十二條 各處室和個人應當接受并配合保密監(jiān)督檢查,協(xié)助核查有關泄密行為。對違反本規(guī)定的有關人員應給予批評教育,并責令限期整改;造成泄密事件的,由有關部門根據(jù)國家相關保密法律法規(guī)進行查處,并追究相關責任人的責任。
第十三條 各處室要根據(jù)本規(guī)定,確保涉密信息安全。
第三篇:計算機信息系統(tǒng)安全和保密管理制度
計算機信息系統(tǒng)安全和保密管理制度
為加強開發(fā)區(qū)計算機信息系統(tǒng)安全和保密管理,保障計算機信息系統(tǒng)的安全,特制定本管理制度。
第一條 嚴格落實計算機信息系統(tǒng)安全和保密管理工作責任制。按照“誰主管誰負責、誰運行誰負責、誰公開誰負責”的原則,各科室在其職責范圍內(nèi),負責本單位計算機信息系統(tǒng)的安全和保密管理。
第二條 辦公室是全局計算機信息系統(tǒng)安全和保密管理的職能部門。辦公室負責具體管理和技術保障工作。
第三條 計算機信息系統(tǒng)應當按照國家保密法標準和國家信息安全等級保護的要求實行分類分級管理,并與保密設施同步規(guī)劃、同步建設。
第四條 局域網(wǎng)分為內(nèi)網(wǎng)、外網(wǎng)。內(nèi)網(wǎng)運行各類辦公軟件,專用于公文的處理和交換,屬涉密網(wǎng);外網(wǎng)專用于各部門和個人瀏覽國際互聯(lián)網(wǎng),屬非涉密網(wǎng)。上內(nèi)網(wǎng)的計算機不得再上外網(wǎng),涉及國家秘密的信息應當在指定的涉密信息系統(tǒng)中處理。
第五條 購置計算機及相關設備須按保密局指定的有關參數(shù)指標由機關事務中心統(tǒng)一購置,并對新購置的計算機及相關設備進行保密技術處理。辦公室將新購置的計算機及相關設備的有關信息參數(shù)登記備案后統(tǒng)一發(fā)放。經(jīng)辦公室驗收的計算機,方可提供上網(wǎng)IP地址,接入機關局域網(wǎng)。
第六條 計算機的使用管理應符合下列要求:
(一)嚴禁同一計算機既上互聯(lián)網(wǎng)又處理涉密信息;
(二)各科室要建立完整的辦公計算機及網(wǎng)絡設備技術檔案,定期對計算機及軟件安裝情況進行檢查和登記備案;
(三)設置開機口令,長度不得少于8個字符,并定期更換,防止口令被盜;
(四)安裝正版防病毒等安全防護軟件,并及時進行升級,及時更新操作系統(tǒng)補丁程序;
(五)未經(jīng)辦公室認可,機關內(nèi)所有辦公計算機不得修改上網(wǎng)IP地址、網(wǎng)關、DNS服務器、子網(wǎng)掩碼等設置;
(六)嚴禁使用含有無線網(wǎng)卡、無線鼠標、無線鍵盤等具有無線互聯(lián)功能的設備處理涉密信息;
(七)嚴禁將辦公計算機帶到與工作無關的場所;確因工作需要需攜帶有涉密信息的手提電腦外出的,必須確保涉密信息安全。
第七條 涉密移動存儲設備的使用管理應符合下列要求:
(一)分別由各科室兼職保密員負責登記,做到專人專用專管,并將登記情況報信息中心備案;
(二)嚴禁涉密移動存儲設備在內(nèi)、外網(wǎng)之間交叉使用;
(三)移動存儲設備在接入本部門計算機信息系統(tǒng)之前,應查殺病毒、木馬等惡意代碼;
(四)鼓勵采用密碼技術等對移動存儲設備中的信息進行保護;
(五)嚴禁將涉密存儲設備帶到與工作無關的場所。
第八條 數(shù)據(jù)復制操作管理應符合下列要求:
(一)將互聯(lián)網(wǎng)上的信息復制到內(nèi)網(wǎng)時,應采取嚴格的技術防護措施,查殺病毒、木馬等惡意代碼,嚴防病毒等傳播;
(二)使用移動存儲設備從內(nèi)網(wǎng)向外網(wǎng)復制數(shù)據(jù)時,應當采取嚴格的保密措施,防止泄密;
(三)復制和傳遞密級電子文檔,應當嚴格按照復制和傳遞同等密級紙質(zhì)文件的有關規(guī)定辦理。不得利用電子郵件傳遞、轉(zhuǎn)發(fā)或抄送涉密信息;
(四)各科室因工作需要向外網(wǎng)公開內(nèi)部信息資料時,必須由該科室負責人審核同意,交由辦公室統(tǒng)一發(fā)布。
第九條 辦公計算機及相關設備由機關事務中心負責維護,按保密要求實行定點維修。需外請維修的,要派專人全程監(jiān)督;需外送維修的,應由辦公室拆除信息存儲部件,以防止存儲資料泄密。
第十條 辦公計算機及相關設備在變更用途時,必須進行嚴格的消磁技術處理。
第十一條 辦公計算機及相關設備報廢時,應由信息中心拆除存儲部件,然后交辦公室核定,由機關事務中心按有關要求統(tǒng)一銷毀,同時作好備案登記。嚴禁各科室自行處理報廢計算機。
第十二條 加強對兼職保密員的管理,積極參加國家保密工作部門組織的崗位職能培訓。定期內(nèi)辦公室組織開展經(jīng)常性的保密教育培訓,提高機關工作人員的計算機信息安全保密意識與技能。
第十三條 辦公室要加強機關計算機信息系統(tǒng)安全和保密管理情況的監(jiān)督,定期進行檢查,提高泄密隱患發(fā)現(xiàn)能力和泄密事件應急處置能力。其它各科室要密切配合,共同做好計算機信息系統(tǒng)安全和保密工作。
第十四條 機關工作人員離崗離職,有關科室應即時取消其計算機涉密信息系統(tǒng)訪問授權,收回計算機、移動存儲設備等相關物品。
第十五條 各科室和個人應當接受并配合機關保密工作領導小組組織的保密監(jiān)督檢查,協(xié)助核查有關泄密行為。對違反本規(guī)定的有關人員應給予批評教育,并責令限期整改;造成泄密事件的,由有關部門根據(jù)國家相關保密法律法規(guī)進行查處,并追究相關責任人的責任。
第十六條 各科室要根據(jù)本規(guī)定,確保涉密信息安全。
第四篇:關于公司計算機信息系統(tǒng)安全和保密管理工作的規(guī)定
關于公司計算機信息系統(tǒng)安全和保密管理
工作的規(guī)定
各部門:
為了認真貫徹落實XX保密委《關于傳發(fā)<全市XX組織開展互聯(lián)網(wǎng)涉密及敏感信息檢查清除活動實施方案>的通知》精神和要求,進一步加強公司各部門網(wǎng)絡及計算機信息安全的保密管理,防止網(wǎng)上泄密事件發(fā)生,確保公司網(wǎng)絡及計算機工作安全可靠,結(jié)合公司實際情況,現(xiàn)就進一步加強計算機信息系統(tǒng)安全和保密管理工作有關事宜規(guī)定如下:
一、計算機操作人員必須遵守國家有關法律,任何人不得利用計算機從事違法活動。
二、按照“誰主管、誰負責”和“誰使用、誰負責”的原則,開展自查。
1.明確內(nèi)網(wǎng)使用人責任,簽訂《職工信息安全保密責任書》,認真落實各項安全保密管理規(guī)章制度,積極參加各類安全保密學習和活動,知道“一機兩用”違規(guī)行為的類型,不違反相關的制度規(guī)定。
2.嚴禁在互聯(lián)網(wǎng)上發(fā)布公司涉密文件、資料、信息、數(shù)據(jù)。未經(jīng)主管領導批準,不得向外提供公司信息和資料,堅持做到“誰上網(wǎng)、誰負責”,“上網(wǎng)不涉密、涉密不上網(wǎng)”。
三、嚴禁公司內(nèi)網(wǎng)計算機終端上操作事項。
/ 3
1.內(nèi)網(wǎng)計算機終端上違規(guī)處理、存儲的國家秘密信息; 2.內(nèi)網(wǎng)移動存儲介質(zhì)中違規(guī)存儲的國家秘密信息; 3.內(nèi)網(wǎng)服務器上違規(guī)處理、存儲的國家秘密信息; 4.內(nèi)網(wǎng)網(wǎng)站上違規(guī)發(fā)布的國家秘密信息。
四、嚴禁公司互聯(lián)網(wǎng)網(wǎng)計算機終端上操作事項。1.互聯(lián)網(wǎng)計算機終端上違規(guī)處理、存儲的國家秘密和警務工作秘密信息;
2.互聯(lián)網(wǎng)移動存儲介質(zhì)中違規(guī)存儲的國家秘密和警務工作秘密信息;
3.互聯(lián)網(wǎng)服務器上違規(guī)處理、存儲的國家秘密和警務工作秘密信息;
4.互聯(lián)網(wǎng)上開設的網(wǎng)站中違規(guī)發(fā)布的國家秘密和警務工作秘密信息;
5.互聯(lián)網(wǎng)社會網(wǎng)站上開通的微博、電子郵箱等信息發(fā)布和傳輸平臺中違規(guī)發(fā)布、存儲的國家秘密和警務工作秘密信息。
五、專用于存儲公司財務、工程設計方案、安保方案應急預案等資料和內(nèi)部文件的計算機要由專人使用,并設置密碼,禁止網(wǎng)絡上的其它計算機訪問,禁止訪問互聯(lián)網(wǎng)及其它外部網(wǎng)絡系統(tǒng)。
六、做好計算機網(wǎng)絡病毒防治工作。每臺計算機要由專人負責,定期升級計算機殺毒軟件,進行查殺病毒,在使用
/ 3 軟盤、U盤和移動硬盤等存儲、拷貝文件之前,要先查殺病毒。嚴禁在計算機有毒未殺的情況下發(fā)電子郵件和拷貝文件到公司的其它計算機上。
七、嚴格按照操作程序使用計算機,認真做好計算機防盜工作。公司員工要愛護計算機。下班及節(jié)假日,務必將電源開關關閉,徹底切斷計算機電源,關好門窗,做好防火、防盜工作。
八、嚴格工作紀律。禁止瀏覽和下載不健康的網(wǎng)上信息,禁止從網(wǎng)上下載與工作無關的軟件。
二〇一二年五月三日
/ 3
第五篇:計算機和信息系統(tǒng)安全保密管理規(guī)定
信息系統(tǒng)安全保密管理制度
第一章
總
則
第一條
為加強公司信息化系統(tǒng)(包括涉密信息系統(tǒng)和非涉密信息系統(tǒng))安全保密管理,確保國家秘密及公司商業(yè)秘密的安全,根據(jù)國家有關保密法規(guī)標準和中國華電集團公司有關規(guī)定,特制定本規(guī)定。
第二條
本規(guī)定所稱涉密信息系統(tǒng)是指由計算機及其相關的配套設備、設施構成的,按照一定的應用目標和規(guī)定存儲、處理、傳輸涉密信息的系統(tǒng)或網(wǎng)絡,包括機房、網(wǎng)絡設備、軟件、網(wǎng)絡線路、用戶終端、存儲介質(zhì)等內(nèi)容。
第三條
涉密信息系統(tǒng)的建設和應用要本著“預防為主、分級負責、科學管理、保障安全”的方針,堅持“誰主管、誰負責,誰使用、誰負責”和“控制源頭、歸口管理、加強檢查、落實制度”的原則,確保涉密信息系統(tǒng)和國家秘密信息安全。
第四條
涉密信息系統(tǒng)安全保密防護必須嚴格按照國家保密標準、規(guī)定和集團公司文件要求進行設計、實施、測評審查與審批和驗收;未通過國家審批的涉密信息系統(tǒng),不得投入使用。
第五條
本規(guī)定適用于公司所有信息系統(tǒng)安全保密管理工作。
第二章
組織機構與職責
第六條
公司成立信息系統(tǒng)安全保密組織機構,人員結(jié)構與信息化領導小組和辦公室成員相同,信息化領導小組成員即為信息系統(tǒng)安全保密領導小組成員,信息化辦公室成員即為信息系統(tǒng)安全保密辦公室成員。
1、信息系統(tǒng)安全保密領導小組 組
長:
副組長: 組員:
2、信息系統(tǒng)安全保密辦公室 主
任: 副主任: 成員:
第七條 信息系統(tǒng)安全保密領導小組主要職責
公司信息系統(tǒng)安全保密領導小組是涉密信息系統(tǒng)安全保密管理決策機構,其主要職責:
(一)建立健全信息系統(tǒng)安全保密管理制度,并監(jiān)督檢查落實情況;
(二)協(xié)調(diào)處理有關涉密信息系統(tǒng)安全保密管理的重大問題,對重大失泄密事件進行查處。
第八條
信息系統(tǒng)安全保密辦公室(簡稱保密辦)主要職責:
(一)擬定信息系統(tǒng)安全保密管理制度,并組織落實各項保密防范措施;
(二)對系統(tǒng)用戶和安全保密管理人員進行資格審查和安全保密教育培訓,審查涉密信息系統(tǒng)用戶的職責和權限,并備案;
(三)組織對涉密信息系統(tǒng)進行安全保密監(jiān)督檢查和風險評估,提出涉密信息系統(tǒng)安全運行的保密要求;
(四)會同信息中心對涉密信息系統(tǒng)中介質(zhì)、設備、設施的授權使用的審查,建立涉密信息系統(tǒng)安全評估制度,每年對涉密信息系統(tǒng)安全措施進行一次評審;
(五)對涉密信息系統(tǒng)設計、施工和集成單位進行資質(zhì)審查,對進入涉密信息系統(tǒng)的安全保密產(chǎn)品進行準入審查和規(guī)范管理,對涉密信息系統(tǒng)進行安全保密性能檢測;
(六)對涉密信息系統(tǒng)中各應用系統(tǒng)進行定密、變更密級和解密工作進行審核;
(七)組織查處涉密信息系統(tǒng)失泄密事件。
第十條
辦公室(信息中心)主要職責是:
(一)組織、實施涉密信息系統(tǒng)的規(guī)劃、設計、建設,制定安全保密防護方案;
(二)落實涉密信息系統(tǒng)安全保密策略、運行安全控制、安全驗證等安全技術措施;每半年對涉密信息系統(tǒng)進行風險評估,提出整改措施,經(jīng)涉密信息系統(tǒng)安全保密領導小組批準后組織實施,確保安全技術措施有效、可靠;
(三)落實涉密信息系統(tǒng)中各應用系統(tǒng)進行用戶權限設置及介質(zhì)、設備、設施的授權使用、保管以及維護等安全保密管理措施;
(四)配備涉密信息系統(tǒng)管理員、安全保密管理員和安全審計員,并制定相應的職責;“三員”角色不得兼任,權限設置相互獨立、相互制約;“三員”應通過安全保密培訓持證上崗;
(五)落實計算機機房、配線間等重要部位的安全保密防范措施及網(wǎng)絡的安全管理,負責日常業(yè)務數(shù)據(jù)及其他重要數(shù)據(jù)的備份管理;
(六)配合保密辦對涉密信息系統(tǒng)進行安全檢查,對存在的隱患進行及時整改;
(七)制定應急預案并組織演練,落實應急措施,處理信息安全突發(fā)事件。
(八)按照國家密碼管理的相關要求,落實涉密信息系統(tǒng)中普密設備的管理措施。第十二條
相關業(yè)務部門、班組主要職責:
涉密信息系統(tǒng)的使用部門、班組要嚴格遵守保密管理規(guī)定,教育員工提高安全保密意識,落實涉密信息系統(tǒng)各項安全防范措施;準確確定應用系統(tǒng)密級,制定并落實相應的二級保密管理制度。
第十三條
涉密信息系統(tǒng)配備系統(tǒng)管理員、安全保密管理員、安全審計員,其職責是:
(一)系統(tǒng)管理員負責系統(tǒng)中軟硬件設備的運行、管理與維護工作,確保信息系統(tǒng)的安全、穩(wěn)定、連續(xù)運行。系統(tǒng)管理員包括網(wǎng)絡管理員、數(shù)據(jù)庫管理員、應用系統(tǒng)管理 2 員。
(二)安全保密管理員負責安全技術設備、策略實施和管理工作,包括用戶帳號管理以及安全保密設備和系統(tǒng)所產(chǎn)生日志的審查分析。
(三)安全審計員負責安全審計設備安裝調(diào)試,對各種系統(tǒng)操作行為進行安全審計跟蹤分析和監(jiān)督檢查,以及時發(fā)現(xiàn)違規(guī)行為,并每月向涉密信息系統(tǒng)安全保密領導小組辦公室匯報一次情況。
第三章
系統(tǒng)建設管理
第十四條
規(guī)劃和建設涉密信息系統(tǒng)時,按照涉密信息系統(tǒng)分級保護標準的規(guī)定,同步規(guī)劃和落實安全保密措施,系統(tǒng)建設與安全保密措施同計劃、同預算、同建設、同驗收。
第十五條
涉密信息系統(tǒng)規(guī)劃和建設的安全保密方案,應由具有“涉及國家秘密的計算機信息系統(tǒng)集成資質(zhì)”的機構編制或自行編制,安全保密方案必須經(jīng)上級保密主管部門審批后方可實施。
第十六條
涉密信息系統(tǒng)規(guī)劃和建設實施時,應由具有“涉及國家秘密的計算機信息系統(tǒng)集成資質(zhì)”的機構實施或自行實施,并與實施方簽署保密協(xié)議,項目竣工后必須由保密辦和科技信息部共同組織驗收。
第十七條
對涉密信息系統(tǒng)要采取與密級相適應的保密措施,配備通過國家保密主管部門指定的測評機構檢測的安全保密產(chǎn)品。涉密信息系統(tǒng)使用的軟件產(chǎn)品必須是正版軟件。
第四章
信息管理
第一節(jié)
信息分類與控制
第十八條
涉密信息系統(tǒng)的密級,按系統(tǒng)中所處理信息的最高密級設定,嚴禁處理 3 高于涉密信息系統(tǒng)密級的涉密信息。
第十九條
涉密信息系統(tǒng)中產(chǎn)生、存儲、處理、傳輸、歸檔和輸出的文件、數(shù)據(jù)、圖紙等信息及其存儲介質(zhì)應按要求及時定密、標密,并按涉密文件進行管理。電子文件密級標識應與信息主體不可分離,密級標識不得篡改。涉密信息系統(tǒng)中的涉密信息總量每半年進行一次分類統(tǒng)計、匯總,并在保密辦備案。
第二十條
涉密信息系統(tǒng)應建立安全保密策略,并采取有效措施,防止涉密信息被非授權訪問、篡改,刪除和丟失;防止高密級信息流向低密級計算機。涉密信息遠程傳輸必須采取密碼保護措施。
第二十一條
向涉密信息系統(tǒng)以外的單位傳遞涉密信息,一般只提供紙質(zhì)文件,確需提供涉密電子文檔的,按信息交換及中間轉(zhuǎn)換機管理規(guī)定執(zhí)行。
第二十二條
清除涉密計算機、服務器等網(wǎng)絡設備、存儲介質(zhì)中的涉密信息時,必須使用符合保密標準、要求的工具或軟件。
第二節(jié)
用戶管理與授權
第二十三條
根據(jù)本部門、單位使用涉密信息系統(tǒng)的密級和實際工作需要,確定人員知悉范圍,以此作為用戶授權的依據(jù)。
第二十四條
用戶清單管理
(一)科技信息部管理“研究試驗堆燃料元件數(shù)字化信息系統(tǒng)”和“中核集團涉密廣域網(wǎng)”用戶清單;財會部管理“財務會計核算網(wǎng)”用戶清單;
(二)新增用戶時,由用戶本人提出書面申請,經(jīng)本部門、單位審核,科技信息部、保密辦審批后,由科技信息部備案并統(tǒng)一建立用戶;“財務會計核算網(wǎng)”的用戶由財會部統(tǒng)一建立;
(三)刪除用戶時,由用戶本人所在部門、單位書面通知科技信息部,核準后由安全保密管理員即時將用戶在涉密信息系統(tǒng)內(nèi)的所有帳號、權限廢止;“財務會計核算網(wǎng)” 4 的刪除用戶由財會部統(tǒng)一刪除用戶帳號、權限。
第二十五條
用戶標識符管理
(一)用戶登錄系統(tǒng)時所使用的用戶身份標識,由用戶本人提出書面申請,經(jīng)本部門、單位審核,科技信息部、保密辦審批后,由系統(tǒng)管理員產(chǎn)生,并確保用戶標識在此系統(tǒng)生命周期中的唯一性;
(二)安全保密管理員每月一次檢查與用戶身份標識相關的日志,發(fā)現(xiàn)異常情況,應及時向保密辦報告。
第二十六條 用戶授權管理
(一)涉密信息系統(tǒng)用戶授權應遵循最小授權分配原則,安全保密管理員對所有用戶的權限明細文檔化;
(二)安全審計員每月審查權限列表,發(fā)現(xiàn)異常情況,應及時向保密辦報告。
第三節(jié)
信息系統(tǒng)互聯(lián)
第二十七條 涉密信息系統(tǒng)必須與國際互聯(lián)網(wǎng)和其它公共信息系統(tǒng)實行物理隔離。禁止將涉密計算機和涉密信息系統(tǒng)直接接入公司內(nèi)部非涉密信息系統(tǒng),確因工作需要接入時必須采用符合保密標準的信息隔離交換系統(tǒng)進行必要的邊界控制措施。
第五章
運行維護管理
第二十八條 涉密信息系統(tǒng)投入運行前,應當經(jīng)過國家保密工作部門審批,未經(jīng)審批的涉密信息系統(tǒng)不得處理涉密信息。
第二十九條
涉密信息系統(tǒng)應與用戶終端實施IP-MAC,并隨人員、崗位等變化及時調(diào)整。涉密信息系統(tǒng)的用戶終端、服務器等設備設施應進行安全加固,關閉不必要的帳戶、服務和端口,并設置規(guī)范的口令策略。
涉密設備(導線)與外網(wǎng)、通訊設備(導線)和其他導體的隔離應符合保密要求。
第三十條
涉密信息系統(tǒng)與國際互聯(lián)網(wǎng)、公眾信息網(wǎng)絡等非涉密信息系統(tǒng)(以下簡稱外網(wǎng))的信息交換,按信息交換及中間轉(zhuǎn)換機管理規(guī)定執(zhí)行。
第三十一條
禁止使用非涉密信息系統(tǒng)(包括非涉密單機)存儲和處理涉密信息。第三十二條
建立健全防病毒軟件(含木馬查殺)升級、打補丁機制,及時升級病毒和惡意代碼樣本庫,進行病毒和惡意代碼查殺,及時安裝操作系統(tǒng)、數(shù)據(jù)庫和應用系統(tǒng)的補丁程序。防病毒軟件應使用經(jīng)國家主管部門批準的防病毒軟件。
第三十三條
未經(jīng)科技信息部審批,禁止對涉密信息系統(tǒng)格式化或重裝操作系統(tǒng),禁止刪除涉密信息系統(tǒng)的移動存儲介質(zhì)及外部設備(包括服務器等網(wǎng)絡設備)等日志記錄。
第三十四條
涉密應用軟件開發(fā)及運行維護必須選擇具有相關保密資質(zhì)的單位承擔,并與之簽訂《保密協(xié)議書》,協(xié)議書必須經(jīng)保密辦審查備案,明確保密要求,防止國家秘密的泄露。
第三十五條
涉密信息系統(tǒng)中的信息輸出應當集中管理,有效控制,建立集中打印控制機制。
第三十六條
涉密信息系統(tǒng)用戶終端不準安裝、運行、使用與工作無關的軟件,嚴禁安裝具有無線通訊功能的軟件。未經(jīng)科技信息部審批,用戶終端禁止安裝或拆卸硬件設備和軟件及更改系統(tǒng)設置。用戶終端的應用軟件安裝情況登記備案,每季度進行一次核查。
第三十七條
涉密設備嚴禁具有無線互聯(lián)功能,不能安裝紅外接口、無線網(wǎng)卡、無線鼠標、無線鍵盤等。
第三十八條
對集中存放涉密信息系統(tǒng)服務器、交換機等涉密設備的場所列入保密要害部位管理,建立出入登記、外來人員審查等管理制度。
第三十九條
涉密信息系統(tǒng)應采取身份鑒別、訪問控制和安全審計等技術保護措施。第四十條
涉密信息系統(tǒng)建立文檔化的安全保密策略,并根據(jù)環(huán)境、系統(tǒng)和威脅變 6 化情況及時調(diào)整更新安全保密策略。
第四十一條
涉密信息系統(tǒng)建立文檔化的安全保密審計報告,機密級1個月、秘密級3個月進行一次審計日志收集、整理、分析,按要求形成文檔化安全審計報告并備案。
第四十二條
涉密信息系統(tǒng)建立文檔化的風險評估分析報告,每半年根據(jù)系統(tǒng)綜合日志進行一次風險評估(自評估或檢查評估),形成文檔化的風險分析報告,對存在的風險及時采取補救措施。
第四十三條
涉密信息系統(tǒng)建立實時入侵檢測系統(tǒng),做到實時監(jiān)測系統(tǒng)網(wǎng)絡設備、終端和服務器的各種攻擊行為。應具有漏洞掃描技術,以提前警告網(wǎng)絡系統(tǒng)中系統(tǒng)的弱點所在,防止黑客入侵和內(nèi)部人員的誤用。
第四十四條
涉密信息系統(tǒng)使用國家有關主管部門批準的檢測工具對系統(tǒng)進行安全保密性能檢測,檢測工具版本應及時更新、升級。
第六章
設備與介質(zhì)管理
第四十五條
計算機和信息系統(tǒng)設備包括:網(wǎng)絡設備、服務器、用戶終端(臺式計算機、便攜式計算機、工業(yè)控制機等)、掃描儀、打印輸出設備及網(wǎng)絡安全保密產(chǎn)品等;介質(zhì)包括:紙介質(zhì)、存儲介質(zhì)及其它記錄載體(如計算機硬盤、光盤、移動硬盤、優(yōu)盤、軟盤和錄音帶、錄像帶、數(shù)碼相機存儲卡等)。
第四十六條
接入涉密信息系統(tǒng)的設備和介質(zhì)稱為涉密設備和涉密存儲介質(zhì),并按統(tǒng)一技術要求和部署方式進行管理。涉密設備和存儲介質(zhì)應與國際互聯(lián)網(wǎng)和其他公眾信息網(wǎng)絡實行物理隔離;系統(tǒng)內(nèi)的設備、介質(zhì)、設施根據(jù)其處理信息的最高密級標明涉密等級和主要用途。
第四十七條 計算機和信息系統(tǒng)中使用的設備、存儲介質(zhì)應遵循“統(tǒng)一購置、統(tǒng)一標識、嚴格登記、規(guī)范管理”的原則,嚴格執(zhí)行國家秘密載體保密管理規(guī)定。
第四十八條 各部門、單位指定專人負責涉密設備和介質(zhì)的日常管理工作,建立存儲介質(zhì)登記備案、定期核查與信息清理制度。保密辦對涉密設備的采購、使用、維修、變更、報廢負有指導、監(jiān)督、檢查的職責,對存儲介質(zhì)歸口管理。
第一節(jié)
設備管理
第四十九條 采購管理
(一)涉密設備選用國產(chǎn)設備,涉密系統(tǒng)集成與系統(tǒng)服務、安全產(chǎn)品的采購,不得進行公開招標,須在具有資質(zhì)的單位和經(jīng)國家主管部門批準范圍內(nèi)選擇,且供方應具有完備的資質(zhì)證明和良好的信譽,以及長期供貨和代維護能力;
(二)采購部門不得向供應方透露涉密設備的最終用戶;
(三)采購的計算機,統(tǒng)一不配備光驅(qū)、軟驅(qū)、視頻設備及具有無線互聯(lián)功能的無線鍵盤、無線鼠標、紅外接口、無線網(wǎng)卡等。確因工作需要配備的,經(jīng)保密辦審批后配發(fā);
(四)科技信息部做好資產(chǎn)清單和臺帳管理,涉密設備需在保密辦備案并粘貼密級標識后投入使用。臺帳注明涉密設備使用人、安全責任人、安全分類以及資產(chǎn)所在的位置,并且每半年對涉密設備清查核對一次。
第五十條
使用管理
(一)各部門、單位建立涉密設備、打印機等準入審批、使用登記、銷毀等備案制度。
(二)涉密設備的電磁泄露發(fā)射應符合國家有關保密標準,并采取相應防護措施。涉密設備和傳輸線路應符合紅黑隔離要求,并采取電源濾波防護措施。
(三)用戶終端登錄識別技術應采用以下二種方式之一:
1、數(shù)字證書機制采用USBKey與PIN口令相結(jié)合的方式進行身份鑒別,口令長度設置不少于十位。USBKey按機密級密件管理,應及時修改初始的PIN碼,并將USBKey 8 妥善保管。
2、密碼口令。機密級密碼口令長度不得少于十個字符,每周至少更換一次;秘密級密碼口令長度不得少于八個字符,每月至少更換一次;口令采用大小寫英文字母、數(shù)字和特殊字符等兩者以上的組合。
(四)在其他信息系統(tǒng)使用過的設備以及新增設備接入涉密計算機和信息系統(tǒng)之前,應進行病毒(含木馬)及惡意代碼的檢測、查殺。
第五十一條 維修管理
(一)涉密設備維修時,應向科技信息部提出申請,科技信息部對維修的涉密設備檢查診斷后,作出公司內(nèi)維修或外出維修的判斷,并通知部門、單位;
(二)涉密設備維修原則上來公司現(xiàn)場維修,維修時應有專人現(xiàn)場監(jiān)管;
(三)涉密設備外出維修時,對涉密設備預先采取保密措施,拆除存儲部件,并有專人在場監(jiān)控維修全過程;外出維修的涉密設備,原則上不能在外存放,當日未維修完畢的應帶回公司存放,次日再送出去維修;涉密設備維修時應與維修單位簽訂保密協(xié)議;
(四)涉密設備確需恢復存儲的數(shù)據(jù)、信息時,應經(jīng)保密辦審批后在具有涉密數(shù)據(jù)恢復資質(zhì)的單位進行;
(五)維修時更換下的硬盤、存儲卡,必須將舊件按涉密載體進行管理,禁止將舊件抵價維修或隨意拋棄;
(六)維修的涉密設備應做好維修情況記錄,存檔備查。第五十二條 變更管理
(一)涉密設備變更用途時,應事先提出變更申請并清除其存儲的涉密信息,經(jīng)保密辦審核批準后辦理變更。變更程序是:
1、公司內(nèi)部門、單位之間調(diào)配涉密設備,由科技信息部提出變更調(diào)配計劃并作技術支持,接收單位辦理變更手續(xù)并到保密辦變更涉密設備臺帳;
2、部門、單位內(nèi)部調(diào)整變更涉密設備,由部門、單位領導批準,并通知保密辦變更涉密計算機臺帳;
3、調(diào)配變更后的涉密設備要及時確定密級,并粘貼密級標識。
(二)涉密設備變更密級,遵循如下保密規(guī)定:
1、絕密級設備不得進行變更;
2、不變更使用人及使用部門、單位,升密時存儲介質(zhì)(包括硬盤、儲存卡)可不更換,降密或脫密時必須更換存儲介質(zhì);
3、變更使用人或使用部門、單位,升密、降密必須更換存儲介質(zhì);
4、存儲介質(zhì)的更換由科技信息部辦理,新存儲介質(zhì)到保密辦領取,更換下的舊存儲介質(zhì)交保密辦;
5、非涉密設備變更為涉密設備,需對存儲介質(zhì)進行格式化,重新安裝操作系統(tǒng),并拆除視頻設備和無線互聯(lián)功能模塊。
第五十三條 報廢管理
(一)對批準報廢的信息設備拆除存儲介質(zhì)并交保密辦集中統(tǒng)一銷毀或再利用;
(二)淘汰或報廢的涉密設備,不得用于公益捐贈,或流入舊貨市場。
第二節(jié)
介質(zhì)管理
第五十四條
購置和發(fā)放
(一)申請部門、單位根據(jù)需要向保密辦提出所需存儲介質(zhì)種類、數(shù)量的申請;
(二)保密辦對申請進行審核后報主管領導審批,并按批準的種類、數(shù)量集中采購;
(三)保密辦按存儲介質(zhì)種類和密級統(tǒng)一編號、登記、粘貼標識后發(fā)放存儲介質(zhì);
(四)各部門、單位由專人管理存儲介質(zhì),建立臺帳,定期核查。第五十五條 使用和維護
(一)涉密存儲介質(zhì)應根據(jù)所存儲信息的最高密級劃定密級,并在明顯位置粘貼密 10 級標識,禁止使用無標識的存儲介質(zhì)。涉密存儲介質(zhì)嚴禁在聯(lián)接互聯(lián)網(wǎng)的計算機和非涉密計算機上使用;
(二)在涉密信息系統(tǒng)內(nèi)使用的涉密存儲介質(zhì)采取綁定或有效的技術接入控制措施,使涉密存儲介質(zhì)只能在授權的涉密計算機上使用。未采用綁定技術的涉密計算機,須采取關閉和監(jiān)控數(shù)據(jù)端口(USB口)的物理防護措施進行控制;
(三)嚴格控制其它存儲介質(zhì)的使用,對光盤、軟盤等移動存儲介質(zhì)應采用關閉數(shù)據(jù)接口或禁止驅(qū)動設備使用等方式加以控制;
(四)禁止在低密級計算機上使用高密級存儲介質(zhì),禁止在低密級存儲介質(zhì)上存儲高密級信息;
(五)高密級存儲介質(zhì)用于存儲低密級信息時,應當按照存儲介質(zhì)原標識的高密級進行管理;
(六)存放涉密存儲介質(zhì)的場所、部位和設備應符合安全保密要求,集中統(tǒng)一管理;
(七)禁止外來的存儲介質(zhì)接入涉密信息系統(tǒng),如需導入信息,應采取安全準入許可制度,經(jīng)部門、單位領導審批后,按信息交換及中間轉(zhuǎn)換機管理規(guī)定執(zhí)行;
(八)存儲過絕密級信息的介質(zhì)不能降低密級使用;
(九)嚴禁將個人具有存儲功能的存儲介質(zhì)和電子設備(mp3、mp4、優(yōu)盤、手機、掌上電腦等)帶入公司;嚴禁將涉密存儲介質(zhì)帶出工作場所,確需攜帶外出,經(jīng)本部門、單位領導審批且備案后方可出廠,隨身攜帶,嚴防被盜或丟失;
(十)經(jīng)保密辦批準,允許與涉密信息系統(tǒng)相連的數(shù)碼設備(如相機、錄音筆)等,應按涉密載體管理;
(十一)涉密存儲介質(zhì)的維修和維護由科技信息部統(tǒng)一負責,外送維修須經(jīng)主管領導審批同意,并送指定維修點維修;
(十二)發(fā)現(xiàn)存儲介質(zhì)丟失,應立即報告本部門、單位和保密辦,并及時組織查處。
第五十六條 保管和銷毀
(一)涉密存儲介質(zhì)必須由本部門、單位集中統(tǒng)一保管并在有安全保障的保密柜中保存;
(二)對重要的存儲介質(zhì),應定期進行循環(huán)復制備份;
(三)存儲介質(zhì)的報廢、銷毀,由應編制銷毀清單,由本部門、單位主要領導簽字后,統(tǒng)一交保密辦鑒定并做消磁或粉碎處理。
第七章
信息交換及中間轉(zhuǎn)換機管理
第五十七條
涉密計算機和信息系統(tǒng)與其他計算機和信息系統(tǒng)的信息交換必須經(jīng)過中間轉(zhuǎn)換機。
中間轉(zhuǎn)換機是指與任何計算機和信息系統(tǒng)實現(xiàn)物理隔離、獨立運行的專用計算機,專門用于涉密計算機和涉密信息系統(tǒng)與其它計算機和信息系統(tǒng)之間的信息交換。中間轉(zhuǎn)換機分為非涉密中間轉(zhuǎn)換機和涉密中間轉(zhuǎn)換機,中間轉(zhuǎn)換機上應安裝符合國家保密要求的計算機病毒和惡意代碼防護產(chǎn)品。
非涉密中間轉(zhuǎn)換機用于從國際互聯(lián)網(wǎng)、公眾信息網(wǎng)絡和非涉密信息系統(tǒng)到涉密計算機和涉密信息系統(tǒng)進行外部非涉密信息的載入,包括計算機病毒和惡意代碼樣本庫、補丁程序、應用程序和其它相關信息等。
涉密中間轉(zhuǎn)換機用于從公司外部的涉密計算機和涉密信息系統(tǒng)(涉密移動存儲介質(zhì))到公司內(nèi)部涉密計算機和涉密信息系統(tǒng)的信息交換。涉密中間轉(zhuǎn)換機的密級應根據(jù)轉(zhuǎn)換信息的最高密級確定。
涉密網(wǎng)絡中間轉(zhuǎn)換機是指單位接入涉密信息系統(tǒng)的管理員專用于信息交換的涉密計算機。
專用涉密傳遞盤是指經(jīng)技術綁定后的公司各單位內(nèi)部及各部門、單位之間用于涉密 12 信息系統(tǒng)與涉密單機、涉密單機之間信息傳遞的優(yōu)盤。
第五十八條
中間轉(zhuǎn)換機的配置、使用與日常管理
(一)涉密信息系統(tǒng)使用部門、單位需配置涉密網(wǎng)絡中間轉(zhuǎn)換機、非涉密中間轉(zhuǎn)換機和專用涉密傳遞盤;
(二)黨政辦設置1臺涉密中間轉(zhuǎn)換機(全公司共用),用于公司外部涉密存儲介質(zhì)上載涉密信息到公司涉密信息系統(tǒng)(或涉密單機);
(三)中間轉(zhuǎn)換機、專用涉密傳遞盤由各部門、單位中間轉(zhuǎn)換機管理員負責管理和使用;
(四)中間轉(zhuǎn)換機上應用軟件由科技信息部統(tǒng)一安裝,各單位不得安裝、使用除統(tǒng)一安裝軟件以外的任何軟件;
(五)防病毒軟件升級工作由中間轉(zhuǎn)換機管理員負責完成,必須保證每周對中間轉(zhuǎn)換機防病毒軟件升級1次,升級包到科技信息部統(tǒng)一制作、拷貝,并做好升級記錄;
(六)中間轉(zhuǎn)換機應專機專用,專人管理,不能用于其它工作。中間轉(zhuǎn)換機管理員做好工作記錄(包括信息名稱、密級、來源、用途、時間、人員等)。
第五十九條
從國際互聯(lián)網(wǎng)、公眾信息網(wǎng)和非涉密信息系統(tǒng)(含非涉密計算機)上載信息到涉密計算機和涉密信息系統(tǒng)操作步驟:
(一)填寫審批單,經(jīng)部門、單位領導批準后方可進行上載信息;
(二)將信息上載到非涉密中間機;
(三)拔除上載信息存儲介質(zhì);
(四)在非涉密中間轉(zhuǎn)換機中對上載信息進行計算機病毒、惡意代碼、間諜軟件、木馬程序的查殺;
(五)將上載信息刻錄到只讀光盤;
(六)將存有上載信息的光盤放入涉密計算機或涉密網(wǎng)絡中間轉(zhuǎn)換機中,上載到涉 13 密計算機和涉密信息系統(tǒng)中;
(七)記錄上載過程,光盤應存檔備案,存儲介質(zhì)格式化處理。
第六十條
公司內(nèi)部單臺涉密計算機之間、單臺涉密計算機與涉密信息系統(tǒng)之間的信息交換,使用綁定措施的涉密存儲介質(zhì)進行交換或刻錄到只讀光盤;記錄上載過程,光盤應存檔備案。
第六十一條
從公司外部涉密存儲介上載涉密信息到涉密計算機和涉密信息系統(tǒng)操作步驟:
(一)填寫審批單,經(jīng)部門、單位領導批準后方可進行上載信息;
(二)將信息上載到涉密中間轉(zhuǎn)換機;
(三)拔除外部涉密存儲介質(zhì);
(四)在涉密中間轉(zhuǎn)換機中對上載信息進行計算機病毒、惡意代碼、間諜軟件、木馬程序的查殺;
(五)將需要上載的涉密信息刻錄到只讀光盤或拷貝到專用涉密傳遞盤;
(六)將存有上載信息的涉密光盤或介質(zhì)放入涉密計算機或涉密網(wǎng)絡中間轉(zhuǎn)換機中,上載到涉密計算機和涉密信息系統(tǒng)中;
(七)記錄上載過程,光盤應存檔備案,專用涉密傳遞盤交還中間轉(zhuǎn)換機管理人員,并及時進行信息清除或格式化處理。
第六十二條
涉密計算機和涉密信息系統(tǒng)中的非涉密信息對外交換一般應當采用打印輸出紙質(zhì)文件方式進行,確需電子信息時在涉密計算機和涉密網(wǎng)絡中間機將上載信息刻錄到只讀光盤,并記錄上載過程,光盤存檔備案。
第八章
國際互聯(lián)網(wǎng)計算機管理
第六十三條 接入國際互聯(lián)網(wǎng)的計算機,開通前須由接入部門、單位提出申請,保 14 密辦審核,公司分管領導審批。開通、審批堅持“工作必須”的原則。
第六十四條 國際互聯(lián)網(wǎng)計算機實行專人負責、專機上網(wǎng)管理,嚴禁存儲、處理、傳遞涉密信息和內(nèi)部敏感信息。接入互聯(lián)網(wǎng)的計算機須建立使用登記制度。
第六十五條 上網(wǎng)信息實行“誰上網(wǎng)誰負責”的保密管理原則,信息上網(wǎng)必須經(jīng)過嚴格審查和批準,堅決做到“涉密不上網(wǎng),上網(wǎng)不涉密”。對上網(wǎng)信息進行擴充或更新,應重新進行保密審查。
第六十六條 任何部門、單位和個人不得在電子郵件、電子公告系統(tǒng)、聊天室、網(wǎng)絡新聞組、博客等上發(fā)布、談論、傳遞、轉(zhuǎn)發(fā)或抄送國家秘密信息。
第六十七條 從國際互聯(lián)網(wǎng)或其它公眾信息網(wǎng)下載程序和軟件工具等轉(zhuǎn)入涉密系統(tǒng),經(jīng)科技信息部審批后,按照信息交換及中間轉(zhuǎn)換機管理規(guī)定執(zhí)行。
第九章
便攜式計算機管理
第六十八條
便攜式計算機(包括涉密便攜式計算機和非涉密便攜式計算機)實行“誰擁有,誰使用,誰負責”的保密管理原則,使用者須與公司簽定保密承諾書。
第六十九條 涉密便攜式計算機根據(jù)工作需要確定密級,粘貼密級標識,按照涉密設備進行管理,保密辦備案后方可使用。
第七十條
便攜式計算機應具備防病毒、防非法外聯(lián)和身份認證(設置開機密碼口令)等安全保密防護措施。
第七十一條
禁止使用涉密便攜式計算機上國際互聯(lián)網(wǎng)和非涉密網(wǎng)絡;嚴禁涉密便攜式計算機與涉密信息系統(tǒng)互聯(lián)。
第七十二條
涉密便攜式計算機不得處理絕密級信息。未經(jīng)保密辦審批,嚴禁在涉密便攜式計算機中存儲涉密信息。處理、存儲涉密信息應在涉密移動存儲介質(zhì)上進行,并與涉密便攜式計算機分離保管。
第七十三條
禁止使用私有便攜式計算機處理辦公信息;嚴禁非涉密便攜式計算機存儲、處理涉密信息;嚴禁將涉密存儲介質(zhì)接入非涉密便攜式計算機使用。
第七十四條 公司配備專供外出攜帶的涉密便攜式計算機和涉密存儲介質(zhì),按照“集中管理、審批借用”的原則進行管理,建立使用登記制度。外出攜帶的涉密便攜式計算機須經(jīng)保密辦檢查后方可帶出公司,返回時須進行技術檢查。
第七十五條
因工作需要外單位攜帶便攜式計算機進入公司辦公區(qū)域,需辦理保密審批手續(xù)。
第十章
應急響應管理
第七十六條 為有效預防和處置涉密信息系統(tǒng)安全突發(fā)事件,及時控制和消除涉密信息系統(tǒng)安全突發(fā)事件的危害和影響,保障涉密信息系統(tǒng)的安全穩(wěn)定運行,科技信息部和財會部應分別制定相應應急響應預案,經(jīng)公司涉密信息系統(tǒng)安全保密領導小組審批后實施。
第七十七條 應急響應預案用于涉密信息系統(tǒng)安全突發(fā)事件。突發(fā)事件分為系統(tǒng)運行安全事件和泄密事件,根據(jù)事件引發(fā)原因分為災害類、故障類或攻擊類三種情況。
(一)災害事件:根據(jù)實際情況,在保障人身安全前提下,保障數(shù)據(jù)安全和設備安全。
(二)故障或攻擊事件:判斷故障或攻擊的來源與性質(zhì),關閉影響安全與穩(wěn)定的網(wǎng)絡設備和服務器設備,斷開信息系統(tǒng)與攻擊來源的網(wǎng)絡物理連接,跟蹤并鎖定攻擊來源的IP地址或其它網(wǎng)絡用戶信息,修復被破壞的信息,恢復信息系統(tǒng)。按照事件發(fā)生的性質(zhì)分別采用以下方案:
1、病毒傳播:及時尋找并斷開傳播源,判斷病毒的類型、性質(zhì)、可能的危害范圍。為避免產(chǎn)生更大的損失,保護計算機,必要時可關閉相應的端口,尋找并公布病毒攻擊 16 信息,以及殺毒、防御方法;
2、外部入侵:判斷入侵的來源,評價入侵可能或已經(jīng)造成的危害。對入侵未遂、未造成損害的,且評價威脅很小的外部入侵,定位入侵的IP地址,及時關閉入侵的端口,限制入侵的IP地址的訪問。對于已經(jīng)造成危害的,應立即采用斷開網(wǎng)絡連接的方法,避免造成更大損失和帶來的影響;
3、內(nèi)部入侵:查清入侵來源,如IP地址、所在區(qū)域、所處辦公室等信息,同時斷開對應的交換機端口,針對入侵方法調(diào)整或更新入侵檢測設備。對于無法制止的多點入侵和造成損害的,應及時關閉被入侵的服務器或相應設備;
4、網(wǎng)絡故障:判斷故障發(fā)生點和故障原因,能夠迅速解決的盡快排除故障,并優(yōu)先保證主要應用系統(tǒng)的運轉(zhuǎn);
5、其它未列出的不確定因素造成的事件,結(jié)合具體的情況,做出相應的處理。不能處理的及時咨詢,上報公司信息安全領導小組。
第七十八條 按照信息安全突發(fā)事件的性質(zhì)、影響范圍和造成的損失,將涉密信息系統(tǒng)安全突發(fā)事件分為特別重大事件(I級)、重大事件(II級)、較大事件(III級)和一般事件(IV級)四個等級。
(一)一般事件由科技信息部(或財會部)依據(jù)應急響應預案進行處置;
(二)較大事件由科技信息部(或財會部)、保密辦依據(jù)應急響應預案進行處置,及時向公司信息安全領導小組報告并提請協(xié)調(diào)處置;
(三)重大事件啟動應急響應預案,對突發(fā)事件進行處置,及時向公司黨政報告并提請協(xié)調(diào)處置;
(四)特別重大事件由公司報請中核集團公司對信息安全突發(fā)事件進行處置。第七十九條 發(fā)生突發(fā)事件(如涉密數(shù)據(jù)被竊取或信息系統(tǒng)癱瘓等)應按如下應急響應的基本步驟、基本處理辦法和流程進行處理:
(一)上報科技信息部和保密辦;
(二)關閉系統(tǒng)以防止造成數(shù)據(jù)損失;
(三)切斷網(wǎng)絡,隔離事件區(qū)域;
(四)查閱審計記錄尋找事件源頭;
(五)評估系統(tǒng)受損程度;
(六)對引起事件漏洞進行整改;
(七)對系統(tǒng)重新進行風險評估;
(八)由保密辦根據(jù)風險評估結(jié)果并書面確認安全后,系統(tǒng)方能重新運行;
(九)對事件類型、響應、影響范圍、補救措施和最終結(jié)果進行詳細的記錄;
(十)依照法規(guī)制度對責任人進行處理。
第八十條 科技信息部、財會部應會同保密辦每年組織一次應急響應預案演練,檢驗應急響應預案各環(huán)節(jié)之間的通信、協(xié)調(diào)、指揮等是否快速、高效,并對其效果進行評估,以使用戶明確自己的角色和責任。應急響應相關知識、技術、技能應納入信息安全保密培訓內(nèi)容,并記錄備案。
第十一章
人員管理
第八十一條
各部門、單位每年應組織開展不少于1次的全員信息安全保密知識技能教育與培訓,并記錄備案。
第八十二條
涉密人員離崗、離職,應及時調(diào)整或取消其訪問授權,并將其保管的涉密設備、存儲介質(zhì)全部清退并辦理移交手續(xù)。
第八十三條
承擔涉密信息系統(tǒng)日常管理工作的系統(tǒng)管理員、安全保密管理員、安全審計管理員應按重要涉密人員管理。
第十二章
督查與獎懲
第八十四條 公司每年應對涉密信息系統(tǒng)安全保密狀況、安全保密制度和措施的落實情況進行一次自查,并接受國家和上級單位的指導和監(jiān)督。涉密信息系統(tǒng)每兩年接受一次上級部門開展的安全保密測評或保密檢查,檢查結(jié)果存檔備查。
第八十五條 檢查涉密計算機和信息系統(tǒng)的保密檢查工具和涉密信息系統(tǒng)所使用的安全保密、漏洞檢查(取證)軟件等,應覆蓋保密檢查的項目,并通過國家保密局的檢測。安全保密檢查工具應及時升級或更新,確保檢查時使用最新版本。
第八十六條 各部門、單位應將員工遵守涉密計算機及信息系統(tǒng)安全保密管理制度的情況,納入保密自查、考核的重要內(nèi)容。對違反本規(guī)定造成失泄密的當事人及有關責任人,按公司保密責任考核及獎懲規(guī)定執(zhí)行。
第十三章
附
則
第八十七條 本規(guī)定由保密辦負責解釋與修訂。
第八十八條 本規(guī)定自發(fā)布之日起實施。原《計算機磁(光)介質(zhì)保密管理規(guī)定)[制度編號:(廠1908號)]、《涉密計算機信息系統(tǒng)保密管理規(guī)定》[制度編號:(2006)廠1911號]、《涉密計算機采購、維修、變更、報廢保密管理規(guī)定》[制度編號:(2007)廠1925號]、《國際互聯(lián)網(wǎng)信息發(fā)布保密管理規(guī)定》[制度編號:(2007)廠1926號]、《涉密信息系統(tǒng)信息保密管理規(guī)定》[制度通告:(2008)0934號]、《涉密信息系統(tǒng)安全保密管理規(guī)定》[制度通告:(2008)0935號]同時廢止。
![下載黨政辦公室計算機信息系統(tǒng)安全與保密管理工作初探[5篇范例]word格式文檔](http://static.xiexiebang.com/skin/default/images/icon_word.png){kind=icon}
點擊咨詢 