商密网和信息安全综合防护系统运行管理规定完整版

公司管理制度制度通告：（2010）号批准：计算机和信息系统安全保密管理规定第一章总则第一条为加强公司计算机和信息系统（包括涉密信息系统和非涉密信息系统）安全保密管理，确保国家秘密及商业秘密的安全，根据国家有关保密法规标准和中核集团公司有关规定，制定本规定。

第二条本规定所称涉密信息系统是指由计算机及其相关的配套设备、设施构成的，按照一定的应用目标和规定存储、处理、传输涉密信息的系统或网络，包括机房、网络设备、软件、网络线路、用户终端等内容。

第三条涉密信息系统的建设和应用要本着“预防为主、分级负责、科学管理、保障安全”的方针，坚持“谁主管、谁负责，谁使用、谁负责”和“控制源头、归口管理、加强检查、落实制度”的原则，确保涉密信息系统和国家秘密信息安全。

第四条涉密信息系统安全保密防护必须严格按照国家保密标准、规定和集团公司文件要求进行设计、实施、测评审查与审批和验收；未通过国家审批的涉密信息系统，不得投入使用。

第五条本规定适用于公司所有计算机和信息系统安全保密管理工作。

第二章管理机构与职责2009 —05 —18发布2009 —05 —18实施第六条公司法人代表是涉密信息系统安全保密第一责任人，确保涉密信息系统安全保密措施的落实，提供人力、物力、财力等条件保障，督促检查领导责任制落实。

第七条公司保密委员会是涉密信息系统安全保密管理决策机构，其主要职责：（一）建立健全安全保密管理制度和防范措施，并监督检查落实情况；（二）协调处理有关涉密信息系统安全保密管理的重大问题，对重大失泄密事件进行查处。

第八条成立公司涉密信息系统安全保密领导小组，保密办、科技信息部（信息化）、党政办公室（密码）、财会部、人力资源部、武装保卫部和相关业务部门、单位为成员单位，在公司党政和保密委员会领导下，组织协调公司涉密信息系统安全保密管理工作。

第九条保密办主要职责：（一）拟定涉密信息系统安全保密管理制度，并组织落实各项保密防范措施；（二）对系统用户和安全保密管理人员进行资格审查和安全保密教育培训，审查涉密信息系统用户的职责和权限，并备案；（三）组织对涉密信息系统进行安全保密监督检查和风险评估，提出涉密信息系统安全运行的保密要求；（四）会同科技信息部对涉密信息系统中介质、设备、设施的授权使用的审查，建立涉密信息系统安全评估制度，每年对涉密信息系统安全措施进行一次评审；（五）对涉密信息系统设计、施工和集成单位进行资质审查，对进入涉密信息系统的安全保密产品进行准入审查和规范管理，对涉密信息系统进行安全保密性能检测；（六）对涉密信息系统中各应用系统进行定密、变更密级和解密工作进行审核；（七）组织查处涉密信息系统失泄密事件。

信息化系统安全运行管理制度模版第一章总则第一条为保证信息化系统的安全运行，规范信息化系统的管理，维护信息安全，制定本制度。

第二条本制度适用于本单位的信息化系统运行管理。

第三条信息化系统的安全运行管理是指本单位在信息化系统的运行过程中，通过制定安全策略、实施安全技术措施，保障信息化系统的安全、稳定和可信度。

第四条信息化系统指本单位在业务管理过程中所建立的、以计算机技术和通信技术为基础的、以处理和管理信息为目的的系统。

第五条本制度的实施要求本单位应当建立信息化系统的安全管理制度、进行信息安全管理，并采取必要的安全技术措施，确保信息化系统的安全运行。

第六条信息化系统的安全管理应当具有合法性、有效性、便捷性和完备性原则。

第七条本制度的实施责任单位是本单位的信息安全管理部门。

第八条本制度的实施由负责信息安全管理的相关人员负责。

第九条信息安全管理人员应当具备相应的技术能力，具有相关的安全知识和工作经验。

第十条信息安全管理人员应当对相关人员进行信息安全培训，提高其安全意识和技能。

第二章安全策略制定第十一条信息化系统的安全策略是指为确保信息化系统的安全，根据本单位的业务需求和信息技术的发展趋势，制定相应的安全规定和原则。

第十二条制定安全策略需要考虑的因素包括：本单位的信息资产、信息资源的特点和价值；信息安全的威胁和风险；信息安全的要求和目标等。

第十三条制定安全策略应当根据信息安全的风险和可接受程度进行评估，并确立相应的安全控制措施。

第十四条制定安全策略应当注重以下方面的内容：物理安全、网络安全、应用安全、数据安全、用户安全等。

第十五条制定安全策略应当根据本单位的业务特点和需求，综合考虑安全技术、管理控制和组织措施等方面的因素。

第十六条安全策略的制定应当符合国家、行业和地方的相关法律法规、标准和规范。

第三章安全技术措施第十七条为保证信息化系统的安全运行，应当采取相应的安全技术措施，包括但不限于：访问控制、身份认证、数据加密等。

信息系统运行使用管理规定1 目的为了保障信息系统安全、可靠、稳定运行，确保信息系统应用效果，制定本规定。

2 范围本规定适用于公司信息系统运行和使用管理。

3 职责3.1 企业管理部负责对公司信息系统的运行实施监管，负责维护信息系统运行平台，负责信息系统软件升级；系统使用单位负责日常维护管理和数据安全管理。

3.2 信息系统使用单位负责制定信息系统使用管理制度，严格按照系统操作要求规范使用信息系统。

4 管理程序4.1 用户管理信息系统用户分为系统管理员、部门管理员、业务操作员，并分别履行下列职责：a、系统管理员：负责信息系统运行平台维护管理；负责为信息系统用户设置权限；负责对部门管理员进行技术支持。

b、部门管理员：负责终端用户系统的安装、使用指导及日常维护；分配业务操作人员的使用权限；根据业务需要设定流程；对业务操作人员进行培训并及时解决业务操作人员遇到的问题。

c、业务操作员：负责严格按系统运行要求及时处理业务，确保数据准确完整。

4.2 安全管理4.2.1 信息系统用户实行一人一帐号，用户密码应严格保密并要定期更改。

因帐号和密码被他人盗用造成的后果由帐号持有人负责。

4.2.2 信息系统使用不得进行授权以外的非法操作。

4.2.3 系统使用人离开工作岗位时，必须及时退出系统。

4.2.4 凡岗位变动的信息系统用户，由系统管理员变更或注销帐号。

4.2.5 因工作需要变更使用权限的，由系统管理员负责变更其操作权限。

4.2.6 部门管理员负责对业务数据进行备份，确保数据安全。

应急处理4.3系统发生故障时，企业管理部必须及时处置并通知相关业务单位以降低由此造成的影响和损失。

相关业务单位必须采取措施确保不得影响正常业务开展，在系统恢复正常运行后及时将有关业务数据重新录入至信息系统。

信息网络管理规定1 目的为了加强和规范公司的网络管理，制定本规定。

2 范围本规定适用于公司信息网络的管理。

3 职责3.1 企业管理部是企业信息网络建设和管理的主体。

计算机及其网络保密管理规定计算机及其网络保密管理规定为了保护计算机和网络安全，维护国家利益和公共利益，加强对计算机及其网络的保密管理，依据《中华人民共和国保密法》和《中华人民共和国计算机信息系统安全保护条例》等相关法律法规，制定本规定。

第一章总则第一条为了规范计算机及其网络保密管理，维护国家信息安全和社会稳定，本规定适用于计算机及其网络保密管理工作。

第二条计算机及其网络保密管理应遵循“安全第一，预防为主，综合治理”的原则，坚持防范和解决问题相结合，全面加强计算机及其网络保密管理。

第三条计算机及其网络保密管理是指依法制定、实施和监督保护计算机及其网络安全，保障信息的机密性、完整性和可用性的措施和活动。

第四条计算机及其网络是指通过计算机及其网络进行信息处理、存储、传输、交换和使用的技术和装备。

第五条本规定所称计算机及其网络保密是指依法对计算机及其网络的信息进行保密。

第六条计算机及其网络保密管理部门应当履行保密职责，依法开展计算机及其网络保密管理工作，保障国家机密、商业秘密、个人隐私和其他重要信息的安全。

第二章计算机及其网络保密工作机制第七条计算机及其网络保密工作应当按照属地管理、分级保密、责任制等原则，建立健全计算机及其网络保密工作机制。

第八条计算机及其网络保密责任制是指各级保密责任人应当对保密工作负总责、分管责任、实施责任、考核责任，做到属地负责、部门负责、个人负责。

第九条各级保密机构应当建立健全计算机及其网络保密工作体系，制定计算机及其网络保密管理制度和规程，推动保密工作的开展，协调解决计算机及其网络保密工作中的问题。

第十条计算机及其网络保密工作应当与信息化建设同步推进，发挥科技和人才优势，加强信息安全防护和应急响应工作，做到安全运营、实时监控、快速响应。

第十一条实施计算机及其网络保密工作，应当遵守法律法规和保密制度，严格执行保密审批和管理程序，切实防范计算机病毒、木马、黑客和网络攻击等安全威胁。

第1篇第一章总则第一条为加强商务中心保密工作，保护国家秘密和企业秘密，维护商务中心的安全和利益，根据《中华人民共和国保守国家秘密法》和《中华人民共和国反间谍法》等相关法律法规，结合商务中心实际情况，制定本规定。

第二条本规定适用于商务中心所有员工、临时工作人员、合同工、实习生以及来访人员等。

第三条商务中心保密工作实行“统一领导、分级管理、责任到人、综合治理”的原则。

第四条商务中心保密工作应遵循以下原则：（一）依法保密，确保国家秘密和企业秘密的安全；（二）加强教育，提高全体员工的保密意识；（三）技术防范，提高保密工作的科技含量；（四）严格管理，确保保密制度落实到位。

第二章保密范围第五条商务中心保密范围包括：（一）国家秘密；（二）企业秘密；（三）其他需要保密的信息。

第六条国家秘密包括：（一）涉及国家安全和利益，经国家有关机关确认应当保密的事项；（二）外交、军事、科技、经济、文化、教育、卫生、体育等领域的重要事项；（三）其他经国家有关机关确认应当保密的事项。

第七条企业秘密包括：（一）商务中心的核心技术、商业秘密、技术秘密、经营秘密、管理秘密等；（二）商务中心与合作伙伴、客户、供应商等签订的合同、协议、保密协议等；（三）商务中心财务、人事、资产、招投标、采购、销售等内部信息；（四）其他涉及商务中心利益需要保密的事项。

第八条其他需要保密的信息包括：（一）商务中心内部会议、培训、考察等活动的相关资料；（二）商务中心对外宣传、广告、新闻发布等资料；（三）商务中心员工个人隐私信息；（四）其他需要保密的信息。

第三章保密措施第九条商务中心应采取以下保密措施：（一）建立健全保密制度，明确保密责任；（二）对涉密人员进行保密教育培训，提高保密意识；（三）对涉密信息进行分类管理，制定相应的保密措施；（四）加强技术防范，确保涉密信息的安全；（五）对泄密行为进行查处，追究相关责任。

第十条商务中心保密制度应包括以下内容：（一）保密工作组织机构及职责；（二）保密范围和保密等级；（三）涉密人员的管理；（四）涉密信息的管理；（五）保密技术防范措施；（六）泄密查处及责任追究。

公司计算机和信息系统保密管理制度第一章总则第一条为进一步加强公司计算机和信息系统保密管理工作，防范泄密事件发生，确保国家及公司秘密安全，根据《中华人民共和国计算机信息系统安全保密条例》，结合本公司实际，特制定本制度。

第二条本制度适用于公司各部门计算机和信息系统的保密管理。

第二章计算机和信息系统保密管理总体要求第三条公司计算机信息系统管理坚持“涉密机不上国际互联网，上国际互联网机不涉密”的原则。

第四条公司计算机实行分级保护。

计算机的分级保护是指涉密计算机的使用部门根据分级保护管理办法和有关标准，对涉密计算机分等级实施保护。

公司保密办根据该计算机的保护等级实施监督管理，确保计算机和信息的安全。

第五条涉密计算机分级保护管理应遵循“规范定密，准确定级；依据标准，同步建设；突出重点，确保核心；明确责任，加强监督”的原则。

第六条涉密计算机按照所处理的最高密级，由低到高划分为秘密、机密两个等级。

第七条公司规划和建设涉密计算机集中管理区域时，必须同步规划和落实安全保密措施。

涉密计算机集中管理区域建成后，由公司保密办组织相关单位、部门进行验收，验收达到安全保密要求的，才能处理国家秘密信息。

未达到保密要求的，不得处理涉密信息。

第八条涉密计算机集中管理区域内涉密计算机的安全防护产品，应当选择具有涉密资质的单位承担或参与涉密计算机的方案设计与实施、软件开发、系统服务、咨询、风险评估等。

公司保密办要对涉密计算机的防护方案进行备案。

第九条涉密计算机领导小组应当定期组织对涉密计算机的安全保密状况进行自评估。

检查分析由于系统需求及技术与管理因素变化而新出现的安全威胁，动态调整安全策略，适时补充和完善技术与管理措施，使涉密计算机保持与等级要求一致的防护水平。

第十条涉密计算机应当制定文档化的安全保密策略，并根据环境、系统和威胁变化情况及时调整更新；应当定期（机密级1个月、秘密级3个月）形成文档化的安全保密审计报告；每12个月根据综合审计日志，进行一次风险评估，形成文档化的风险分析报告，对存在的风险应当及时采取补救措施。

第一章总则第一条为加强本单位信息系统的安全管理，确保信息系统安全稳定运行，保障国家秘密、商业秘密和个人隐私安全，依据国家有关法律法规，结合本单位实际情况，特制定本制度。

第二条本制度适用于本单位所有信息系统及其相关人员，包括但不限于网络设备、服务器、存储设备、应用系统、数据库等。

第三条信息系统安全保障管理遵循以下原则：（一）统一领导，分级管理；（二）预防为主，防治结合；（三）技术与管理并重，持续改进；（四）全员参与，共同维护。

第二章组织机构与职责第四条成立信息系统安全工作领导小组，负责统一领导和协调本单位信息系统安全工作。

第五条信息系统安全工作领导小组下设以下机构：（一）信息系统安全管理办公室：负责组织实施本制度，协调各部门开展信息系统安全工作；（二）技术保障部门：负责信息系统安全技术的研发、实施和运维；（三）运维管理部门：负责信息系统安全运维管理，确保系统稳定运行；（四）培训与宣传部门：负责组织信息系统安全培训和宣传工作。

第六条各部门职责：（一）信息系统安全管理办公室：负责制定、修订和监督执行信息系统安全管理制度，组织开展信息系统安全检查和评估，协调处理信息系统安全事故；（二）技术保障部门：负责信息系统安全技术的研发、实施和运维，提供安全防护方案，确保信息系统安全稳定运行；（三）运维管理部门：负责信息系统安全运维管理，确保系统稳定运行，及时发现和处理安全隐患；（四）培训与宣传部门：负责组织信息系统安全培训和宣传工作，提高员工安全意识。

第三章安全措施第七条信息系统安全管理制度包括以下内容：（一）安全管理制度：包括用户管理、权限管理、访问控制、安全审计、数据备份与恢复等；（二）安全技术措施：包括防火墙、入侵检测系统、漏洞扫描、安全加密、安全审计等；（三）安全运维管理：包括系统监控、日志管理、故障处理、应急预案等；（四）安全培训与宣传：包括员工安全意识培训、安全知识普及、应急演练等。

第八条信息系统安全管理制度实施要求：（一）加强用户管理，严格控制用户权限，定期审查和清理用户账户；（二）加强访问控制，确保用户只能在授权范围内访问信息系统；（三）加强安全审计，记录用户操作行为，及时发现异常情况；（四）加强数据备份与恢复，确保信息系统数据安全；（五）加强安全运维管理，确保系统稳定运行；（六）加强安全培训与宣传，提高员工安全意识。

第一章总则第一条为确保公司信息系统的安全稳定运行，保障公司业务连续性和数据安全，根据国家有关法律法规和行业标准，结合公司实际情况，特制定本制度。

第二条本制度适用于公司所有信息系统，包括但不限于计算机硬件、网络设备、服务器、数据库、应用软件等。

第三条本制度旨在规范信息系统运行安全管理，提高安全防护能力，降低安全风险，确保信息系统安全、稳定、高效运行。

第二章组织与职责第四条成立信息系统安全管理委员会，负责制定、修订和监督执行本制度，统筹协调信息系统安全管理工作。

第五条设立信息系统安全管理办公室，负责本制度的组织实施、监督执行和日常管理工作。

第六条各部门、各岗位应按照本制度规定，履行信息系统安全职责，确保信息系统安全稳定运行。

第三章安全管理内容第七条硬件设施安全1. 定期对硬件设备进行检查、维护和更新，确保设备正常运行。

2. 严格控制硬件设备的使用权限，防止未授权访问和操作。

3. 对重要硬件设备进行物理隔离，防止设备被盗或损坏。

第八条网络安全1. 建立健全网络安全防护体系，确保网络设备、传输线路安全可靠。

2. 定期对网络设备进行安全检查和漏洞扫描，及时修复安全漏洞。

3. 严格控制网络访问权限，防止非法访问和入侵。

第九条数据库安全1. 建立健全数据库安全管理制度，确保数据库数据安全、完整和可用。

2. 对数据库进行分类分级管理，根据数据重要性设置不同安全等级。

3. 定期对数据库进行备份和恢复演练，确保数据安全。

第十条应用软件安全1. 严格按照软件开发规范进行应用软件开发，确保软件质量。

2. 定期对应用软件进行安全检查和漏洞扫描，及时修复安全漏洞。

3. 严格控制应用软件的使用权限，防止未授权访问和操作。

第四章安全事件处理第十一条安全事件报告1. 发现信息系统安全事件时，应及时报告信息系统安全管理办公室。

2. 报告内容包括：事件发生时间、地点、原因、影响范围等。

第十二条安全事件调查1. 信息系统安全管理办公室组织调查组，对安全事件进行调查。