计算机信息系统保密管理规定

xxxxxx公司

计算机信息系统保密管理规定

编制：

审核：

批准：

xxxxx公司计算机信息系统保密管理规定

第一章总则

第一条为保护计算机信息系统处理的国家秘密信息安全，根据国保发（1998）1号文件精神，依照BMB17-2006《涉及国家秘密的信息系统分级保护技术要求》、BMB20-2007《涉及国家秘密的信息系统分级保护管理规范》的要求制定本规定。

第二条本规定适用于公司涉密信息系统的运行管理，规定所称的计算机信息系统由本单位的各类涉密计算机（便携式计算机、服务器、用户终端）、网络设备、外部设备、存储介质、安全保密产品等构成的人机系统。

第三条本规定包括：信息系统基本要求、台账、维修、报废、审计、安全保密防护、密码保护、存储介质、外出携带、互联网计算机使用等内容。

第四条计算机信息系统保密管理实行“积极防范、突出重点、分级负责、责任到人”的原则。严禁涉密信息系统直接或间接连接互联网及其他公共网络；严禁使用连接国际互联网或其他公共信息网络的计算机和信息设备进行存储和处理涉密信息。

第五条保密办公室负责公司各部门计算机信息系统安全工作的监督和检查，发现问题，及时提出并督促整改。各部门负责本部门计算机信息系统及涉密信息的安全保密工作。

第二章台账、维修、报废管理

第六条本单位的计算机和信息系统设备总台账由保密办公室负责统计、维护和管理，涵盖本单位的各类计算机（便携式计算机、服务器、用户终端）、网络设备、外部设备、存储介质、安全保密产品等。

第七条各部门应建立本部门计算机和信息系统分台账。由各部门负责统计、维护和管理。

第八条台账应以电子和文档版本形式存在，总台账和分台账内容应当吻合，并与实物相符，发现问题实时更新台账，保证台账与实物相符。

第九条台账信息按照设备分类，应包含以下信息：

㈠计算机台账应当包含：密级、放置地点、使用人、操作系统版本、安装时间、硬盘物理号、IP地址、MAC地址和使用情况（包含再用、停用、报废、销毁等）；见附表九。

㈡存储介质台账应当包含：责任人、名称、型号、密级、启用时间、标识和警示语以及销毁时间；见附表十。

㈢安全保密产品台账应包含：（名称、型号、数量、单位、责任人、证书有效期等。）见附件十一

第十条涉密计算机信息系统设备需要维修时，由设备责任人提出申请，由公司保密办计算机信息系统维护人员进行维修，如果需聘请外部人员到公司进行现场维修，需经公司主管领导批准后进行现场维修，维修时应将设备中的涉密信息转储后清除，并由设备责任人全过程进行监督。严禁维修人员恢复、读取和拷贝被维修设备中存储的涉密信息。

第十一条对于确实必须外送维修的，由设备责任人提出申请，公司主管领导批准后，保密办办理有关手续，拆除所有存储过涉密信息的硬件和固体妥善保管（如设备中存储过涉密信息的硬盘和固件不能拆除，应当办理审批手续），由保密办计算机信息系统管理人员派专人送到国家保密行政管理部门指定的具有涉密信息系统维修资质的单位进行维修。

第十二条严禁在涉密信息系统外部通过远程维护和远程桌面连接方式，对涉密计算机和信息设备进行维修和维护工作。维修应当建立维修日志和档案，对所有涉密设备的维修情况进行记录留证。

第十三条不再使用或无法使用的涉密计算机信息系统设备需要报废时，应当由设备管理人填写《xxxx公司涉密办公设备报废、销毁审批表》，上报保密办进行审核，由公司主管领导批准后实施。

第十四条在经过批准后，报废前应拆除所有存储过涉密信息的硬件和固体，如无法拆除，则应将设备整体进行报废。如需销毁，必须送到具有涉密信息系统销毁资质的单位进行销毁。

第十五条报废和销毁的涉密设备需要建立清单，还需要对其密级、经办人、采取措施、以及最终去向进行文档化记录。

第三章密级标识管理

第十六条计算机信息系统必须按照处理和存储信息的最高密级建立标识；设备标识中应包含设备密级、设备编号、主要用途、责任人等内容，且标识不易损毁和丢失，信息也应有密级标识，且与信息主题不可分割。标识应与台账信息相符。

第十七条密级标识颜色鲜明，主题、徽标、警示语明确突出，由公司保密办统一制作，并与台账信息相符。

第十八条标识粘贴在设备的显著位置，不得私自损坏、涂改或擦除。

第十九条未最后定稿的过程文件（处于起草、设计、编辑、修改过程中）和已完

成的电子文档、图表、图形、图像、数据，只要内容涉及国家秘密，首页就应当标注密级标识，首页无法直接标注秘密标识的，可以将密级标识作为文件名称的一部分进行标注。

第四章安全策略与审计

第二十条保密办按照公司涉密计算机及信息系统的实际情况建立文档化的安全保密策略文件，并经公司保密委批准后正式下发，并通过授课培训传达给涉密计算机和信息系统的全体管理和使用人员。

第二十一条保密办按照环境、系统和威胁变化情况以及风险分析的结果，在不降低涉密计算机和信息系统整体安全保密强度，确保国家秘密安全为原则的情况下，及时调整更新安全策略。

第二十二条保密办应当每个季度根据公司涉密计算机和信息系统运行情况和内部、外部威胁等，做出安全保密审计报告。

第二十三条保密办应当每年根据公司涉密计算机和信息系统运行情况和内部、外部威胁等，根据系统运行情况，做出安全保密风险分析报告。

第二十四条安全保密审计报告和风险分析报告应当依据安全保密策略通过可审计事件、异常事件和行为进行统计分析，保密办组织做出调整更新安全策略，并对涉密计算机及信息系统隐患和漏洞及时采取补救措施。

第五章安全保密技术防护管理

第二十五条涉密计算机及信息系统应当按存储和处理信息的相应密级进行管理和防护，严禁越级处理和存储涉密信息。

第二十六条涉密计算机显示器、投影仪显示屏幕的物理摆放位置不得正面向门、窗等其他容易被直视的位置，严防显示输出内容被非授权获取。涉密计算机必须配合红黑隔离电源使用，严防电磁泄漏。

第二十七条涉密计算机采用单人单机管理，谁使用谁负责的原则。

第二十八条涉密信息系统需要按照密级配置相应的安全防护策略和措施，配置身份鉴别、电磁泄露防护、入侵控制、违规外联、病毒防护等安全产品，安全保密产品应当采用国产设备，并拥有国家相关主管部门授权的评测机构的检测证书。

第二十九条涉密计算机应按身份鉴别规定设置开机密码，用户密码和屏保密码，密码长度不得少于8个字符，口令更换周期不得长于一个月；密码设置要求：密码应采