(完整word版)涉密系统设计解决方案——三员管理

一、目的为确保公司信息系统安全、稳定运行，规范信息安全管理，明确信息系统管理员、安全保密管理员和安全审计员的职责，特制定本制度。

二、适用范围本制度适用于公司内部所有信息系统，包括但不限于网络、数据库、服务器等。

三、管理员角色及职责1. 系统管理员（1）负责系统日常维护、故障处理和升级。

（2）负责用户账号的创建、修改和删除。

（3）负责系统资源的分配和管理。

（4）负责系统安全策略的制定和实施。

2. 安全保密管理员（1）负责制定和实施公司信息安全保密策略。

（2）负责监督和管理公司信息系统的安全保密工作。

（3）负责组织安全培训和宣传。

（4）负责信息安全事故的调查和处理。

3. 安全审计员（1）负责对信息系统进行安全审计，发现安全隐患。

（2）负责对信息系统进行定期检查，确保系统安全。

（3）负责对信息安全事故进行调查，分析原因。

（4）负责对安全事件进行跟踪和总结。

四、管理制度1. 管理员职责分工（1）系统管理员负责系统日常维护，确保系统正常运行。

（2）安全保密管理员负责安全策略制定、监督和管理。

（3）安全审计员负责安全审计、检查和事故调查。

2. 管理员权限控制（1）系统管理员：具有系统操作、配置和监控权限。

（2）安全保密管理员：具有安全策略制定、监控和调查权限。

（3）安全审计员：具有安全审计、检查和事故调查权限。

3. 管理员培训与考核（1）公司应定期对管理员进行安全培训，提高安全意识。

（2）公司应定期对管理员进行考核，确保其具备相应的技能和素质。

4. 信息安全事件处理（1）发现信息安全事件，管理员应立即上报。

（2）安全保密管理员负责组织调查和处理信息安全事件。

（3）安全审计员负责跟踪和总结信息安全事件。

五、附则1. 本制度由公司信息管理部门负责解释。

2. 本制度自发布之日起施行。

3. 本制度如有未尽事宜，由公司信息管理部门根据实际情况予以补充和修订。

六、档案管理1. 本制度档案由信息管理部门负责归档。

2. 管理员职责分工、权限控制、培训与考核等信息应记录在案。

涉密三员管理制度上墙展板I.政策声明国家秘密的保密工作是国家安全事业的重要组成部分，也是国家利益的需要。

为了加强对国家秘密的保护，确保国家机密安全、防范泄密风险，特制定涉密三员管理制度，并将其上墙展示。

II.工作范围涉密三员指的是具有国家秘密技术资格的人员、涉密项目或设备的管理人员和国家秘密检查与评定的人员。

这些人员在日常工作中接触到国家秘密信息、承担着国家秘密保护义务。

III.管理原则1.最小必要原则：对于国家秘密的管理应该遵循最小必要原则，即只有需要知晓国家秘密信息和具备相应资质的人员才可以接触和使用这些信息，确保“谁知道、该知道、知道多少、至少知道”。

2.分级保护原则：国家秘密按照内容的重要程度和危害程度划分为绝密、机密、秘密三个级别，并采取不同的保密措施进行管理。

确保信息的保密等级与保密措施相匹配。

3.谁执法谁保密原则：工作单位内部的保密执法责任单位（人）、保密意识形态管理责任单位（人）、保密检查和评定责任单位（人）要明确，并做好相关工作。

IV.保密责任与义务1.保密责任：涉密三员必须履行保守国家秘密的法定义务，严格遵守国家有关国家秘密保密的法律法规，对知悉的或者掌握的涉密信息负有保密责任。

2.保密义务：涉密三员对获知的国家秘密信息，不得泄露给无权人员，不得在无权限范围内传阅、复制或传输涉密信息。

不得以私人名义使用或变相使用国家秘密信息。

V.管理措施1.保密培训：涉密三员在接触国家秘密前，必须经过国家秘密保密法规的培训，接受有关保密法规的教育和考核，确保具有一定的保密意识和法规素养。

2.许可审批：涉密三员需要按照工作需要，经过相关审批程序，取得相应的国家秘密使用许可证，才可接触、处理国家秘密信息。

3.技术控制：采取信息系统技术措施对国家秘密信息进行访问控制、传输控制、加密保护等，防止信息被泄露或非法获取。

4.准入审查：定期对涉密三员进行安全审查，排查身份风险和背景风险，确保涉密人员具备高度的政治信仰、个人品行，不受非法组织和境外势力渗透。

第1篇第一章总则第一条为了加强我单位的信息系统安全管理工作，保障信息系统安全稳定运行，根据《中华人民共和国网络安全法》及相关法律法规，结合我单位实际情况，特制定本制度。

第二条本制度所称系统安全三员，是指系统管理员、安全管理员和安全审计员。

三员职责明确，相互协作，共同维护信息系统安全。

第三条本制度适用于我单位所有信息系统，包括但不限于办公自动化系统、财务系统、人事系统、内部网站等。

第二章三员职责第四条系统管理员职责：1. 负责信息系统的日常维护和管理，确保系统正常运行；2. 负责系统用户账号的创建、修改和删除，严格控制用户权限；3. 定期对系统进行安全检查，发现安全隐患及时整改；4. 配合安全管理员和安全审计员开展信息安全管理工作；5. 定期备份系统数据，确保数据安全。

第五条安全管理员职责：1. 负责制定和实施信息系统安全策略，确保信息系统安全；2. 监督系统管理员和安全审计员的工作，确保安全措施得到有效执行；3. 定期开展信息安全培训，提高全体员工的安全意识；4. 及时发现和处理信息系统安全事件，减少安全风险；5. 定期向领导汇报信息安全工作情况。

第六条安全审计员职责：1. 负责对信息系统进行安全审计，发现安全隐患及时报告；2. 对系统管理员和安全管理员的操作进行监督，确保其按照规定执行；3. 定期检查系统日志，分析异常行为，防止安全事件发生；4. 参与安全事件调查，协助查明原因，提出改进措施；5. 定期向领导汇报安全审计工作情况。

第三章工作流程第七条用户管理：1. 系统管理员根据业务需求，为员工创建用户账号；2. 安全管理员审核用户账号权限，确保权限合理；3. 安全审计员定期检查用户账号权限，防止权限滥用。

第八条系统维护：1. 系统管理员负责系统日常维护，确保系统正常运行；2. 安全管理员监督系统管理员的工作，确保系统安全；3. 安全审计员定期检查系统维护记录，防止维护过程中出现安全问题。

第九条安全检查：1. 系统管理员定期对系统进行安全检查，发现安全隐患及时整改；2. 安全管理员监督系统管理员的安全检查工作；3. 安全审计员对安全检查结果进行审核，确保整改措施到位。

系统安全需求（三员）1.系统安全系统建设严格遵照《BMB17-2006 涉及国家秘密的信息系统分级保护技术要求》、《BMB20-2007 涉及国家秘密的信息系统分级保护管理规范》、《BMB22-2007 涉及国家秘密的信息系统分级保护测评指南》设计、开发、测试，以满足涉密信息系统分级保护技术要求。

1.1.系统安全防护要求按照国家标准相对应等级的防护要求，本项目从物理安全、运行安全、安全保密措施、安全保密管理等方面进行系统安全建设。

1.1.1.1.安全审计与监控系统具备完善安全审计功能，做好系统的安全审计，并且要充分利用数据库提供的安全审计功能，做好数据的安全审计。

审计的对象：文件。

保存及访问方式：包括数据处理的审计、人员的身份验证及登录等审计信息、管理人员的审计信息等。

具体要求：实现用户业务应用日志审计。

对用户授权、用户违规操作等的监控。

日志记录存储空间至少保证日志记录保存6个月。

1.1.2.安全保密管理要求1.1.2.1.管理人员协助指定人员负责本系统的系统管理、应用管理、安全管理、安全审计，并修订完善相关管理制度和管理流程。

1.1.2.2.运行维护管理制定运行维护管理制度，依据制度对人员、物理环境与设施、设备与介质、信息安全保密等方面进行规范。

人员管理包括：系统维护、人员授权、自身行为受控。

系统管理人员管理，系统使用人员管理。

防止非授权使用、非法自主访问知悉系统信息的系统受控等。

物理环境与设施运维管理包括：建立系统运行维护的管理制度和工作流程标准；负责系统的网络硬件设备、基础设施建设、系统平台和日常维护工作，保障网络畅通和系统正常运行；为相关项目实施和设备选型提供技术支持和保障；为信息化建设提供硬件和网络平台的技术支持、技术咨询和技术服务；设备与介质运维管理包括：设备防火、防水、物理损害措施；设备防火灭火正常检查；设备定期检查火灾隐患；供暖系统、空调等保障；设备电源保障；数据传输线路维护与保障；主机等设备保障；可移动数据保障；存储介质维护；磁盘磁带库访问的介质的维护等。

一、总则为加强本单位的安全保密工作，保障国家秘密和企业商业秘密的安全，根据《中华人民共和国保密法》及相关法律法规，结合本单位实际情况，特制定本制度。

二、制度内容1. 三员职责（1）保密员：负责本单位保密工作的组织、协调、指导和监督，确保保密工作落实到位。

（2）安全员：负责本单位安全工作的组织实施，对安全设施进行检查、维护，确保安全工作顺利进行。

（3）监督员：负责对保密员和安全员的工作进行监督，发现问题及时报告，并提出整改意见。

2. 保密工作要求（1）保密员应具备保密意识和保密技能，熟悉保密法律法规和保密技术。

（2）保密员应定期对保密工作进行自查自纠，确保保密措施落实到位。

（3）保密员应加强对涉密人员的保密教育，提高涉密人员的保密意识。

（4）保密员应定期组织保密检查，对发现的问题及时整改。

3. 安全工作要求（1）安全员应熟悉安全管理知识和技能，负责安全设施的检查、维护和更新。

（2）安全员应定期对安全设施进行检查，确保安全设施完好、有效。

（3）安全员应加强对员工的安全教育，提高员工的安全意识和安全技能。

（4）安全员应定期组织安全检查，对发现的问题及时整改。

4. 监督工作要求（1）监督员应熟悉保密和安全工作，具备较强的观察力和分析能力。

（2）监督员应定期对保密员和安全员的工作进行监督，发现问题及时报告。

（3）监督员应提出整改意见，并跟踪整改落实情况。

（4）监督员应定期向上级汇报监督工作情况。

三、奖惩措施1. 对认真履行职责、工作成绩显著的保密员、安全员和监督员，给予表彰和奖励。

2. 对违反本制度，造成失泄密事件或安全隐患的，依法依规追究责任。

3. 对失职渎职、玩忽职守的保密员、安全员和监督员，给予警告、记过、降职等处分。

四、附则1. 本制度自发布之日起施行。

2. 本制度由本单位保密委员会负责解释。

3. 本制度如与国家法律法规相抵触，以国家法律法规为准。

涉密系统设计解决方案——三员管理涉密系统设计是一项非常重要的工作，任何涉密系统的设计都需要确保其信息的保密性、完整性和可用性。

在具体的实施过程中，三员管理是一种常用的解决方案之一、本文将介绍涉密系统设计中的三员管理方案的基本思路和实施步骤。

一、三员管理方案的基本思路三员管理方案是一种相对成熟的涉密系统设计解决方案，它将涉密信息的管理分为三个角色，即管理员、操作员和审计员。

管理员负责系统的配置和权限管理，操作员负责信息的输入和处理，审计员负责对系统操作和访问进行监督和审计。

通过三员管理的方式，可以实现对涉密系统的有效控制和管理。

二、三员管理方案的实施步骤1.系统需求分析：在实施三员管理方案之前，需要对涉密系统的需求进行全面的分析和评估。

包括系统的功能需求、安全需求和性能需求等方面的考虑。

2.系统架构设计：在进行系统架构设计时，需要将三个角色的职责和权限进行明确划分。

管理员需要具备对系统的配置和权限管理的能力，操作员需要能够完成信息的输入和处理，审计员需要具备对系统操作和访问进行监督和审计的能力。

3.系统实施和配置：在系统实施和配置的过程中，需要为每个角色进行账号的创建和权限的设置。

管理员需要拥有最高的权限，可以对系统的配置和权限进行管理；操作员则只能进行信息的输入和处理；审计员只能对系统操作和访问进行审计。

4.系统运维和管理：在系统运维和管理的过程中，管理员需要定期对系统进行维护和升级，保证系统的稳定性和安全性；操作员需要严格按照规定的权限进行操作，确保系统的正常运行；审计员需要对系统的操作和访问进行监督和审计，保证系统的安全性和合规性。

5.安全策略和控制：在系统的设计和实施过程中，需要制定相应的安全策略和控制措施，例如身份认证、访问控制、数据加密等。

这些安全策略和控制措施可以有效防止未经授权的访问和恶意操作。

6.审计和监控：在系统运行过程中，需要对系统的操作和访问进行实时监控和审计。

这些监控和审计数据可以用于发现和防止潜在的安全风险和威胁。

442012年第2期论 坛保密法第二十三条规定，存储、处理国家秘密的计算机信息系统（以下简称涉密信息系统）按照涉密程度实行分级保护。

根据分级保护有关规定和国家保密标准要求，涉密信息系统应当配备系统管理员、安全保密管理员和安全审计员三类安全保密管理人员（简称为“三员”），分别负责系统运行、安全保密管理和安全审计工作。

“三员”担负维护系统安全、稳定、可靠运行的重要任务，对涉密信息系统和国家秘密安全具有重要作用。

　设立“三员”的必要性 “三员”是相对于超级管理员而提出的概念，旨在划分涉密信息系统管理权限，确保对系统的管理行为受到限制和监督。

一般来说，超级管理员对系统具有不受限制的完全访问权限，能够新建、删除各种用户和管理员账号，对硬盘文件进行各种操作，随意安装软件程序，任意修改系统和网络设置。

一旦超级管理员发生违规访问和操作，系统就没有任何安全可言。

因此，涉密信息系统必须删除超级管理员账号，将系统管理划分为“配置、授权、审计”三种相互独立、相互制约的权限，由系统管理员、安全保密管理员、安全审计员分别掌握。

以系统新增用户为例，比如，经批准系统将新增一个用户名为user的用户，可以访问机密级以下信息，具体操作是：系统管理员新建账号“user”；安全保密管理员为“user”账号授予机密级以下信息访问权限；安全审计员查看系统中系统管理员和安全保密管理员增加“user”账号并授权的操作记录，对照工作审批单进行审计，以确定系统管理员、安全保密管理员的操作是经过授权和批准的。

这样，对系统的一项配置须由两个管理角色配合才能生效，第三个管理角色进行监督和审计，避免了因管理权限过大而带来的安全保密风险。

涉密信息系统中的网络设备、安全保密设备、服务器和用户终端、操作系统、数据库、涉密业务应用系统的管理原则上都应由系统管理员和安全保密管理员配合完成，由安全审计员进行审计。

在实际管理过程中，如果从技术上可实现某项配置两人操作方可生效，则将该项配置分工于系统管理员和安全保密管理员来完成，并由安全审计员对操作日志进行审计。

一、目的为了加强公司内部信息安全保密管理，确保公司秘密信息安全，依据国家有关法律法规和公司实际情况，制定本制度。

二、适用范围本制度适用于公司内部所有涉及信息安全保密的部门和人员。

三、三员职责1. 系统管理员：负责公司信息系统的运行维护，确保系统安全稳定运行；负责用户账号管理，定期对系统进行安全检查和漏洞修复；负责对系统日志进行监控，发现异常情况及时报告。

2. 安全保密管理员：负责公司秘密信息的保密工作，制定保密制度，组织保密教育培训；负责对公司秘密信息进行分类、定密、解密、销毁等工作；负责对涉密人员进行资格审查和保密责任书的签订。

3. 安全审计员：负责对公司信息安全保密工作进行审计，对安全事件进行调查处理；负责对信息系统进行安全评估，提出改进措施；负责对保密制度执行情况进行监督检查。

四、安全保密管理措施1. 用户管理：系统管理员应严格执行用户管理制度，对用户进行实名认证，定期更换密码，限制用户权限，确保用户账号安全。

2. 密码管理：系统管理员应制定严格的密码策略，要求用户设置复杂密码，定期更换密码，并禁止使用弱密码。

3. 访问控制：安全保密管理员应根据用户职责和业务需求，合理设置用户权限，确保用户只能访问其授权范围内的信息。

4. 数据加密：安全保密管理员应对公司秘密信息进行加密处理，确保数据在传输和存储过程中的安全。

5. 信息安全培训：安全保密管理员应定期组织信息安全保密培训，提高员工的安全意识和保密技能。

6. 安全检查与审计：安全审计员应定期对信息系统进行安全检查，发现安全隐患及时报告，并对安全事件进行调查处理。

7. 保密制度执行：安全保密管理员应加强对保密制度执行情况的监督检查，对违反保密制度的行为进行严肃处理。

五、奖惩措施1. 对在信息安全保密工作中表现突出的个人和部门，给予表彰和奖励。

2. 对违反信息安全保密规定，造成严重后果的个人和部门，按照公司相关规定进行处罚。

六、附则1. 本制度由公司保密委员会负责解释。