计算机和信息系统安全保密管理办法(标准版)
计算机保密管理制度
计算机保密管理制度第一章总则第一条为了保护计算机系统和数据安全,维护国家利益和社会公共利益,根据国家相关法律法规,制定本计算机保密管理制度。
第二条本制度适用于本单位所有计算机系统和数据的保密管理工作,适用于所有本单位工作人员。
第三条本制度的内容包括计算机系统的安全管理、数据传输与存储的安全管理、计算机使用与维护的安全管理和计算机网络的安全管理等。
第二章计算机系统的安全管理第四条本单位应制定计算机系统权限管理规定,对不同部门和岗位的工作人员分配不同的权限,确保信息的访问和使用仅限于特定人员;第五条本单位应定期备份计算机系统的数据,并将备份数据存储在安全可靠的地方,以备不时之需;第六条本单位应对计算机系统进行定期的安全检查,发现问题及时修复,确保计算机系统的正常运行;第七条本单位应建立计算机安全保护措施,包括但不限于防火墙、病毒查杀软件和入侵检测系统等。
第三章数据传输与存储的安全管理第八条本单位应建立加密通信机制,对数据传输进行加密,保障数据在传输过程中的安全;第九条本单位应建立合理的数据存储方案,确保数据存储在安全可靠的地方,并严格控制对数据的访问和使用;第十条本单位应对计算机系统进行及时的漏洞修补和安全更新,保证计算机系统的安全性;第十一条本单位应定期清理无用数据和临时文件,防止数据泄露和滥用。
第四章计算机使用与维护的安全管理第十二条本单位工作人员使用计算机应遵守使用规范,不得擅自安装非法软件和插件,不得私自进行硬件和软件的更改和升级;第十三条本单位应开展定期的计算机培训,提高工作人员对计算机使用和维护的安全意识和技能;第十四条本单位应建立计算机事故处理机制,及时应对计算机故障、数据丢失和网络攻击等问题;第十五条本单位应建立计算机维护记录,对计算机进行定期的维护和检修,确保计算机的正常运行和安全性。
第五章计算机网络的安全管理第十六条本单位应建立合理的网络拓扑结构,确保网络的安全和稳定运行;第十七条本单位应建立网络安全监测和预警机制,及时发现和应对网络攻击和异常行为;第十八条本单位应加强对网络设备和网络传输线路的保护,防止网络设备被非法侵入和破坏;第十九条本单位应建立网络访问控制机制,对外部网络访问进行合理的限制和控制;第二十条本单位应加强对网络信息的监控和审计,发现异常行为及时采取相应的措施。
信息安全保密管理制度(4篇)
信息安全保密管理制度第一章总则第一条为了加强对机构内部信息的保密管理,确保信息的安全性,促进信息资源的合理利用,提升机构的核心竞争力,制定本管理制度。
第二条本制度适用于本机构内部所有人员,包括全体员工、临时工、实习生和外包人员等。
第三条本制度的内容包括信息安全的目标与原则、责任分工与权限、信息资产的分类与评估、信息安全的管理措施、安全事件的监测与响应、信息安全的教育与培训、信息安全评审与监督、违反规定的处理等。
第四条机构应当建立信息安全保密管理制度的组织机构,明确各级负责人和各岗位人员的职责和权力。
第五条机构应当定期进行信息安全风险评估,及时发现和解决存在的风险问题,确保信息安全工作的顺利进行。
第二章信息安全的目标与原则第六条机构的信息安全目标是保护机构的信息资源安全,减少信息泄露和信息恶意篡改风险,提升机构的竞争能力和信誉度。
第七条信息安全管理的原则是保密性、完整性、可用性和责任原则。
第八条保密性原则是指机构要采取措施以确保信息不被未获授权的个人或组织所知悉和使用。
第九条完整性原则是指机构要采取措施以确保信息不被不正确或非授权的修改或篡改。
第十条可用性原则是指机构要采取措施以确保信息在需要时能够得到及时可靠地访问和使用。
第十一条责任原则是指机构要明确信息安全管理的责任分工,将信息安全工作纳入业务和绩效考核体系。
第三章责任分工与权限第十二条本机构设立信息安全保密委员会,由机构领导或其指派的负责人担任主任委员,其他相关部门负责人担任委员。
第十三条信息安全保密委员会的职责包括:(一)制定和修订信息安全保密管理制度;(二)组织实施信息安全风险评估;(三)制定和实施信息安全培训计划;(四)组织安全事件的监测与响应工作;(五)组织信息安全评审与监督;(六)协调相关部门间的信息安全工作。
第十四条本机构设立安全管理员,由机构内部专职人员担任,负责日常的信息安全管理工作,包括:(一)组织信息安全培训活动;(二)制定和实施信息安全管理措施;(三)监控和分析信息安全事件;(四)定期报告信息安全工作进展情况。
计算机网络安全和信息保密管理规定
计算机网络安全和信息保密管理规定1、为了保证公司计算机网络系统的稳定运行及网络数据的安全保密,维持安全可靠的计算机应用环境,特制定本规定。
2、凡使用公司计算机网络系统的员工都必须执行本规定。
3、在公司保密工作小组领导下,由办公室负责接入网络的安全保密管理工作。
办公室落实具体技术防范措施,负责设备、信息系统的安装调试和维护,并对用户指派信息维护员专门负责各部门的信息安全维护工作。
4、对接入公司网络系统的计算机及设备,必须符合一下规定:1)凡接入公司网络系统的计算机,只在需要使用光驱和打印机的网络管理员计算机上安装相关设备,其他计算机不得安装和使用光驱、软驱、USB卡、磁盘、磁带、打印机等输入、输出端口一律屏蔽和禁用。
2)凡接入公司办公网络的计算机,禁止使用任何网络设备,将计算机与国际互联网联结。
3)各部门的计算机均不得与其它办公系统相联结,如有信息传输的需要,可使用软盘、光盘、USB盘或活动硬盘等数据介质盘片,由网络管理员在装有相应外设的计算机上进行数据传输。
4)在未经许可的情况下,不得擅自对处计算机及其相关设备的硬件部分进行修改、改装或拆卸配置,包括添加光驱、软驱,挂接硬盘等读写设备,以及增加串口或并口外围设备,如扫描仪、打印机等。
4)非我公司的计算机及任何外设,不得接入我公司的网络系统。
5)严禁私自开启计算机机箱封条或机箱锁。
5、凡使用公司网络系统的员工,必须遵守以下规定;1)未经批准,严禁非本公司工作人员使用除计算机及任何相关设备。
2)对新上网使用办公网络系统的员工,由办公室负责上岗前的计算机网络设备系统安全及信息保密的技术培训工作。
3)公司计算机网络系统中凡属于国家保密资料或商业秘密的任何文件、图形等数据(如地形图等),未经批准,任何人严禁将其以任何形式(如数据形式:Internet、软盘、光盘、硬磁盘等;硬拷贝形式:图纸打印、复印、照片等)复制、传输或对外提供。
4)任何员工均不得超越权限侵入网络中未开放的信息,不得擅自修改入库数据资料和修改他人数据资料。
涉密计算机及信息系统安全和保密管理办法
涉密计算机及信息系统安全和保密管理方法涉密计算机及信息系统安全和保密管理方法一、总则为加强涉密计算机及信息系统的安全和保密管理,提高信息系统的安全和保密保障水平,依据有关法规和规定,结合本单位实际,订立本方法。
二、适用范围本方法适用于本单位使用的全部涉密计算机及信息系统的安全和保密管理。
三、保密责任本单位全部使用涉密计算机及信息系统的人员,都有保护国家隐秘、敬重学问产权和个人隐私的法律责任和职业道德。
本单位各级领导干部要带头做好保密工作,认真履行保密责任。
四、安全防范1、物理安全防范:涉密计算机及信息系统必需放置在专门的安全室内,保证独立的空间、电力和空调设施。
安全室内不得放置任何非涉密计算机以及用于外网的计算机设备,如需上网,必需设立独立的网络设备,经过严格的访问掌控。
2、网络安全防范:涉密计算机及信息系统必需与外网进行物理隔离,通过安全网关、防火墙等技术手段建立安全的网络环境。
网络设备必需经过密级检查和安装调试后投入使用,定期检查网络设备配置和漏洞,并适时更新补丁,做好安全审计。
3、组织安全防范:建立涉密计算机及信息系统安全保密管理制度,完善涉密信息取得、存储、传输和处理的事项和流程,健全管理体系和标准,保障信息安全和保密。
五、保密管理1、密级管理:本单位依据需要将涉密计算机及信息系统分为不同级别,其中涉密信息的级别应相应确定,设立专门的保密责任人负责各自级别的保密管理工作。
2、访问掌控:实行严格的访问掌控制度,全部使用涉密计算机及信息系统的人员必需先经过严格的安全审查,并签订保密协议后才能进入安全室,使用计算机及信息系统。
3、密码管理:全部用户必需使用强密码,定期更改密码,并保密本身的密码。
全部用户必需禁止将本身的密码泄漏给他人。
4、安全审计:对涉密计算机及信息系统进行定期的安全审计,包括系统漏洞的检查、身份认证的管理、登陆日志的审查等。
审计结果和处理情况要适时报告有关领导,适时发觉和解决安全问题。
信息安全等级保护管理办法(国家)
中华人民共和国计算机信息系统安全保护条例中华人民共和国国务院令第147号现发布《中华人民共和国计算机信息系统安全保护条例》,自发布之日起施行。
总理李鹏 1994年2月18日。
基本信息(1994年2月18日中华人民共和国国务院令第147号发布根据2011年1月8日《国务院关于废止和修改部分行政法规的决定》修订)目录第一章总则第二章安全保护制度第三章安全监督第四章法律责任第五章附则条例内容第一章总则第一条为了保护计算机信息系统的安全,促进计算机的应用和发展,保障社会主义现代化建设页脚内容1的顺利进行,制定本条例。
第二条本条例所称的计算机信息系统,是指由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。
第三条计算机信息系统的安全保护,应当保障计算机及其相关的和配套的设备、设施(含网络)的安全,运行环境的安全,保障信息的安全,保障计算机功能的正常发挥,以维护计算机信息系统的安全运行。
第四条计算机信息系统的安全保护工作,重点维护国家事务、经济建设、国防建设、尖端科学技术等重要领域的计算机信息系统的安全。
第五条中华人民共和国境内的计算机信息系统的安全保护,适用本条例。
未联网的微型计算机的安全保护办法,另行制定。
第六条公安部主管全国计算机信息系统安全保护工作。
国家安全部、国家保密局和国务院其他有关部门,在国务院规定的职责范围内做好计算机信息系统安全保护的有关工作。
第七条任何组织或者个人,不得利用计算机信息系统从事危害国家利益、集体利益和公民合法利益的活动,不得危害计算机信息系统的安全。
[2]第二章安全保护制度第八条计算机信息系统的建设和应用,应当遵守法律、行政法规和国家其他有关规定。
第九条计算机信息系统实行安全等级保护。
安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。
第十条计算机机房应当符合国家标准和国家有关规定。
涉密计算机及信息系统安全和保密管理办法(标准版)
( 安全管理 )单位:_________________________姓名:_________________________日期:_________________________精品文档 / Word文档 / 文字可改涉密计算机及信息系统安全和保密管理办法(标准版)Safety management is an important part of production management. Safety and production are inthe implementation process涉密计算机及信息系统安全和保密管理办法(标准版)第一条为加强公司涉密计算机及涉密计算机信息系统的安全保密管理,根据国家有关保密法规和铁道部的有关规定,结合哈佳铁路客运专线有限责任公司(以下简称“公司”)实际,制定本办法。
第二条本办法所称的涉密计算机,是指专门用于处理或存储国家秘密信息、收发文电、连接互联网的台式计算机;涉密计算机信息系统,是指专门用于处理国家秘密信息的计算机信息系统。
第三条为确保国家秘密、公司工程项目相关技术资料的安全,公司各部门或个人不得使用便携式计算机处理国家秘密信息。
第四条公司设保密领导小组,具体负责公司内部的涉密计算机及信息系统的安全保密管理工作,日常保密管理、监督职责如下:(一)审查、选定专人分别作为涉密计算机信息及信息系统的系统管理员、安全保密管理员和密钥口令管理员,要求职责清晰,分工明确。
(二)定期对涉密计算机、涉密计算机信息系统以及涉密移动存储介质的使用、保管情况进行安全保密检查,及时消除隐患。
(三)加强对有关人员的安全保密教育,建立健全保密规章制度,完善各项保密防范措施。
第五条涉密计算机日常管理人员是涉密计算机安全保密的责任人,其日常保密管理监督职责如下:(一)对计算机及软件安装情况进行登记备案,定期核查。
(二)设置开机口令,长度在8个字符以上,并定期更换,防止他人盗用和破译。
《信息安全等级保护管理办法》(全文)
7月24日,公安部网站发布四部门联合制定的《信息安全等级保护管理办法》,全文如下:第一章总则第一条为规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规,制定本办法。
第二条国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理.第三条公安机关负责信息安全等级保护工作的监督、检查、指导.国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。
国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。
涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。
国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。
第四条信息系统主管部门应当依照本办法及相关标准规范,督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作.第五条信息系统的运营、使用单位应当依照本办法及其相关标准规范,履行信息安全等级保护的义务和责任。
第二章等级划分与保护第六条国家信息安全等级保护坚持自主定级、自主保护的原则。
信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。
第七条信息系统的安全保护等级分为以下五级:第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益.第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全.第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
计算机及网络保密管理规定
计算机及网络保密管理规定一、加强计算机及其网络的保密管理,确保计算机及其网络处理信息的安全,根据《中华人民共和国保守国家秘密法》和国家保密局的有关文件精神,制定本规定。
二、计算机及其网络的保密的管理实行领导责任制。
单位应明确一位分管领导负责本单位计算机及其网络的保密管理工作,并确定各处(室)处长(主任)为本处(室)计算机爱理的第一责任人;保密工作机构负责对计算机网络安全管理员、系统管理员负责计算机及其网络安全保密技术措施的落实和日常管理工作。
三、建立涉密计算机登记备案制度。
各单位保密委员会应根据实际用途和所处进理信息的密级,将计算机分为涉密计算机和非涉密计算机,实行统一编号管理,明确专人负责,做到专机专用,并在计算机显示器的左上方贴相应的密级标识。
四、建设处理涉密信息的计算机网络,应选择经国家保密局批准并取得《涉及国家秘密的计算机信息系统集成资质证书》的集成单位(公司)承建。
五、处理涉密信息的计算机网络建成后,应根据国家有关规定,报保密工作部门进行保密审批。
未经保密审批的网络,不得处理国家秘密信息。
六、计算机保密管理必须做到“上网不涉密,涉密不上网”。
涉密计算机可处理国家秘密信息和内部工作信息,但不得与国际互联网或其他非涉密网络相连,必须实行于非涉密信息的搜索、查阅,但不得处理,传递、储存国家秘密信息。
七、建立健全上网信息的保密审查批制度。
各单位应根据国家保密法规,按照一定的工作程序,建立健全上网信息保密审查批制度,并落实上网信息保密审批领导责任制。
凡向国际互联网站点提供或发布的信息,必须经过保密审查批准。
八、涉密计算机要设置开机密码和屏幕保护密码。
处理秘密级信息的计算机及其网络,设置的开机密码或系统口令长度不少于八个字符,更换周期不长于一个月;处理机密级信息的计算机及其网络,设置的开机密码或系统口令长度不少于十个字符,更换周期不长一周;处理绝密级信息的计算机及其网络,应当采用一次性口令或生理特征等强认证措施。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
( 安全管理 )单位:_________________________姓名:_________________________日期:_________________________精品文档 / Word文档 / 文字可改计算机和信息系统安全保密管理办法(标准版)Safety management is an important part of production management. Safety and production are inthe implementation process计算机和信息系统安全保密管理办法(标准版)第一章总则第一条为确保公司计算机和信息系统的运行安全,确保国家秘密安全,根据国家有关规定和要求,结合工作实际情况,制定本办法。
第二条公司计算机和信息系统安全保密工作遵循“积极防范、突出重点、依法管理”的方针,切实加强领导,明确管理职责,落实制度措施,强化技术防范,不断提高信息安全保障能力和水平。
第二章组织机构与职责第三条计算机和信息系统安全保密管理工作贯彻“谁主管,谁负责”、“谁使用,谁负责”的原则,实行统一领导,分级管理,分工负责,有效监督。
第四条保密委员会全面负责计算机和信息系统安全保密工作的组织领导。
主要职责是:(一)审订计算机和信息系统安全保密建设规划、方案;(二)研究解决计算机和信息系统安全保密工作中的重大事项和问题;(三)对发生计算机和信息系统泄密事件及严重违规、违纪行为做出处理决定。
第五条保密管理部门负责计算机和信息系统的安全保密指导、监督和检查。
主要职责是:(一)指导计算机和信息系统安全保密建设规划、方案的编制及实施工作;(二)监督计算机和信息系统安全保密管理制度、措施的落实;(三)组织开展计算机和信息系统安全保密专项检查和技术培训;(四)参与计算机和信息系统安全保密的风险评估、分析及安全保密策略的制定工作。
第六条信息化管理部门负责计算机和信息系统的安全保密管理工作。
主要职责是:(一)负责计算机和信息系统安全保密建设规划、方案、制度的制订和实施;(二)负责计算机和信息系统安全保密技术措施的落实及运行维护管理;(三)负责建立、管理信息设备台帐;(四)负责计算机和信息系统安全保密策略的制定、调整、更新和实施;(五)定期组织开展风险评估、风险分析,提出相应的安全措施建议,并编制安全保密评估报告;(六)开展计算机和信息系统安全保密技术检查工作;(七)涉及计算机和信息系统有关事项的审查、审批;(八)计算机和信息系统安全保密的日常管理工作。
第七条公司应结合工作实际设定涉密计算机和信息系统的系统管理员、安全保密管理员、安全审计员,分别负责涉密计算机和信息系统的运行、安全保密和安全审计工作。
“三员”的权限设置应当相互独立、相互制约,安全保密管理员与安全审计员不得由一人兼任。
没有涉密信息系统,只使用单台涉密计算机的单位,应当配备安全保密管理员。
第八条涉密计算机和信息系统管理人员应当符合以下要求:(一)符合国家及集团公司对涉密人员的要求;(二)熟悉计算机和信息系统各项安全保密法律、法规和标准;(三)熟练掌握有关专业知识和业务技能;(四)通过国家有关部门的上岗培训,并获得上岗资格。
第三章涉密信息系统的建设管理第九条建设涉密信息系统必须依照国家有关规定、标准和规范进行,安全保密设施必须与涉密信息系统同步规划、同步建设、同步运行。
第十条建设涉密信息系统,应当在方案设计前,由保密委员会根据所建系统拟涉及国家秘密的最高密级确定保护等级。
第十一条涉密信息系统建设方案的设计应当选择具有相应涉密资质的单位承担,建设方案按照建设系统的对应密级进行定密和管理。
建设方案完成后,由保密办报请上级保密管理部门组织评审并备案。
第十二条涉密信息系统建设过程中,必须采取严格的安全保密管理措施。
系统集成、综合布线、系统服务、系统咨询、软件开发、工程监理等,应当选择具有相应资质的单位承担,并明确提出保密要求,签订保密协议。
涉及国家秘密的工程资料应当根据需要控制发放,并做出登记。
工程完工后,应当按登记如数收回。
施工现场应当采取措施,禁止无关人员进入。
第十三条涉密信息系统所采用的安全保密产品,必须选用通过国家相关主管部门授权测评机构检测合格的产品,并应当查验产品合格证书、产品检测报告中所描述的适用范围及其有效期。
第十四条涉密信息系统的测评工作统一由集团公司保密办委托国家涉密信息系统测评中心兵器分中心实施。
第十五条涉密信息系统经测评完成,取得涉密信息系统检测评估报告后,由上级保密管理部门向集团公司保密办正式提交《涉及国家秘密的信息系统投入使用申请书》,并经集团公司保密办审核批准后,报相关保密行政管理部门审批,领取《涉及国家秘密的信息系统使用许可证》。
第十六条新建涉密信息系统在投入运行前,应当经地方保密工作部门审批,在未取得《涉及国家秘密的信息系统使用许可证》前,不得投入使用。
在正式运行之前,不得存储和处理国家秘密信息。
第十七条涉密信息系统在设计、评审、施工及验收过程中发生失泄密事件或因有关工程信息资料泄露导致涉密信息系统防护措施失效、削弱的,属于建设单位责任的,由建设单位承担;属于其他环节责任的,由相关环节负责人负责。
第四章信息设备台帐与标识管理第十八条信息化管理部门应当根据实际,建立信息设备总台帐,内设机构或部门应当相应建立二级台帐。
信息设备台帐可按以下类别分类:(一)计算机,包括服务器、用户终端;(二)网络设备和外部设备,包括交换机、路由器、网关、网闸、VPN设备、打印机、制图(绘图)机、扫描仪、光盘刻录机(外接式)等;(三)安全保密产品,包括计算机病毒防护产品,密码产品及身份鉴别、访问控制、安全审计、入侵检测、边界防护和电磁泄漏发射防护等产品;(四)移动存储介质。
第十九条各类台帐应当包括以下内容:(一)计算机管理台帐:部门、责任人、名称型号、密级或用途、操作系统安装日期、硬盘序列号、IP地址、MAC地址、使用情况等;(二)网络设备和外部设备管理台帐:部门、责任人、名称、型号、使用情况等;(三)安全保密产品管理台帐:责任人、名称、型号、检测证书名称和编号、购置时间、使用情况等;(四)移动存储介质管理台帐:部门、责任人、名称、编号、序列号、密级或用途、使用情况等。
第二十条信息设备台帐管理工作实行专人负责,动态管理,并建立、健全信息设备从配置到销毁全过程的报告、审批和定期核验机制,确保信息设备台帐能够适时、准确的反映信息设备的客观情况。
第二十一条公司应对信息设备进行标识管理。
设备标识由公司统一制作。
标识内容应与台帐信息的主要内容相符,并保持完好。
不得故意损毁、涂改、撕揭或擦除。
计算机和信息系统中的服务器、用户终端、外部设备、存储介质、安全保密产品等,应当根据其处理和存储信息的最高密级或主要用途进行标识。
标识应当粘贴在明显位置,并与涉密信息的存储部件相关联。
移动存储介质如无法粘贴标识的,可以采取不可擦除的方式标注。
第五章计算机和信息系统的保密管理第二十二条计算机和信息系统的使用管理必须遵守如下规定:(一)严禁使用涉密计算机和信息系统连接国际互联网或公共信息网络;(二)严禁使用连接国际互联网或公共信息网络的计算机及其它非涉密计算机存储、处理涉密信息;(三)严禁将涉密计算机接入内部非涉密网络。
第二十三条涉密信息系统经安全保密技术测评,并正式投入运行后,如发生下列变更事项时,应当及时报告上级保密管理部门和负责审批的保密行政管理部门:(一)涉密等级;(二)连接范围;(三)环境设施;(四)主要应用;(五)安全保密责任管理单位。
由保密行政管理部门决定是否需要重新进行测评和审批。
第二十四条外部信息导入涉密计算机和信息系统的,应当通过中间转换机或经过国家相关部门批准的安全可靠的信息交换措施进行。
使用中间转换机转换信息的,中间转换机应当按涉密和非涉密分别设立,并严格按照相关标准的规定程序进行操作。
第二十五条涉及涉密计算机和信息系统的设备,应当由单位统一选配,统一安装,严格控制,规范使用。
第二十六条禁止在涉密计算机和信息系统中使用无线键盘、无线鼠标、无线网卡、无线路由器等具有无线功能的设备或产品。
第二十七条涉密计算机和信息系统应当根据其相应密级采取对应的身份鉴别、数字签名、访问控制、安全审计、信息加密、数据保护、介质管理、防违规外联等技术措施。
第二十八条涉密计算机和信息系统服务器、用户终端应当设置相关安全策略,设置原则是:关闭全部共享、与应用无关的所有端口、服务、链接和系统授权。
第二十九条涉密计算机和信息系统应当采取计算机病毒防护措施,定期对计算机病毒与恶意代码防护措施进行查验,并及时更新计算机病毒与恶意代码样本库。
更新周期为:涉密信息系统不超过3天,单台涉密计算机不超过15天。
第三十条各单位应建立统一的补丁程序分发安装机制,在补丁程序发布后3个月内及时安装,保证系统的安全性,对不能安装系统补丁程序的非正版操作系统,应当更换操作系统。
第三十一条下列事项必须报经信息化管理部门批准后由相关管理人员实施:(一)因系统崩溃、操作系统损坏等原因需重新安装操作系统的;(二)更改或清除涉密计算机和信息系统的移动存储介质及外部设备安装、使用等日志记录的;(三)因工作需要对涉密计算机和信息系统安装、扩展、缩减、拆卸软硬件的;(四)因工作需要卸载、修改涉密信息系统的安全技术程序、管理程序的。
第三十二条需经常安装的应用软件和软件工具,经信息化管理部门审批后,由系统管理员上传到指定的服务器或存储在一次性刻录光盘中,供涉密计算机和信息系统用户终端下载、安装使用。
第三十三条公司要加强对连接国际互联网计算机的管理和使用,应遵循以下原则:(一)未经批准,不得擅自以任何方式连接国际互联网;(二)公司集中使用的国际互联网计算机应当指定专人负责管理,分散使用的国际互联网计算机应当明确责任人,做好上网记录;(三)应制定国际互联网信息发布管理制度,明确需要通过保密审查的信息范围和审查程序。
审查一般应由拟发布信息的业务主管部门负责,业务主管部门把握不准的,由保密管理部门审查,单位业务主管领导审批;(四)公司应采取有效技术措施,对通过互联网或公共信息系统发送电子邮件等信息进行监控和记录。
第三十四条密码设备的使用和管理按照公司有关规定执行。
第六章便携式计算机和存储介质保密管理第三十五条建立健全便携式计算机和移动存储介质的管理制度和措施,根据工作实际,采取集中管理,指定专人负责。
第三十六条涉密便携式计算机应当拆除具有无线联网功能(如无线网卡、蓝牙、红外等)的硬件模块,如无法进行拆除的,不得作为涉密计算机使用。
第三十七条携带涉密便携式计算机和移动存储介质外出,应当履行审批手续和领用前状态检查;返还时,应当对外出使用情况进行技术检查。