计算机和信息系统安全保密管理规定
计算机和信息系统安全保密管理规定
公司管理制度制度通告:(2010)号批准:计算机和信息系统安全保密管理规定第一章总则第一条为加强公司计算机和信息系统(包括涉密信息系统和非涉密信息系统)安全保密管理,确保国家秘密及商业秘密的安全,根据国家有关保密法规标准和中核集团公司有关规定,制定本规定。
第二条本规定所称涉密信息系统是指由计算机及其相关的配套设备、设施构成的,按照一定的应用目标和规定存储、处理、传输涉密信息的系统或网络,包括机房、网络设备、软件、网络线路、用户终端等内容。
第三条涉密信息系统的建设和应用要本着“预防为主、分级负责、科学管理、保障安全”的方针,坚持“谁主管、谁负责,谁使用、谁负责”和“控制源头、归口管理、加强检查、落实制度”的原则,确保涉密信息系统和国家秘密信息安全。
第四条涉密信息系统安全保密防护必须严格按照国家保密标准、规定和集团公司文件要求进行设计、实施、测评审查与审批和验收;未通过国家审批的涉密信息系统,不得投入使用。
第五条本规定适用于公司所有计算机和信息系统安全保密管理工作。
第二章管理机构与职责2009 —05 —18发布2009 —05 —18实施第六条公司法人代表是涉密信息系统安全保密第一责任人,确保涉密信息系统安全保密措施的落实,提供人力、物力、财力等条件保障,督促检查领导责任制落实。
第七条公司保密委员会是涉密信息系统安全保密管理决策机构,其主要职责:(一)建立健全安全保密管理制度和防范措施,并监督检查落实情况;(二)协调处理有关涉密信息系统安全保密管理的重大问题,对重大失泄密事件进行查处。
第八条成立公司涉密信息系统安全保密领导小组,保密办、科技信息部(信息化)、党政办公室(密码)、财会部、人力资源部、武装保卫部和相关业务部门、单位为成员单位,在公司党政和保密委员会领导下,组织协调公司涉密信息系统安全保密管理工作。
第九条保密办主要职责:(一)拟定涉密信息系统安全保密管理制度,并组织落实各项保密防范措施;(二)对系统用户和安全保密管理人员进行资格审查和安全保密教育培训,审查涉密信息系统用户的职责和权限,并备案;(三)组织对涉密信息系统进行安全保密监督检查和风险评估,提出涉密信息系统安全运行的保密要求;(四)会同科技信息部对涉密信息系统中介质、设备、设施的授权使用的审查,建立涉密信息系统安全评估制度,每年对涉密信息系统安全措施进行一次评审;(五)对涉密信息系统设计、施工和集成单位进行资质审查,对进入涉密信息系统的安全保密产品进行准入审查和规范管理,对涉密信息系统进行安全保密性能检测;(六)对涉密信息系统中各应用系统进行定密、变更密级和解密工作进行审核;(七)组织查处涉密信息系统失泄密事件。
计算机信息系统保密管理制度
计算机信息系统保密管理制度
1、规划和建设涉密系统,应当同步规划、同步预算、同步建设相应的信息安全保密防范措施,并履行审批手续。
2、涉密计算机信息系统建设必须选择有涉密系统集成资质的单位承建,建成后经市保密部门验收合格方能投入使用。
3、计算机信息系统使用的信息安全保密防范措施或设备,应当是经有认证权的部门认证许可的产品。
4、涉密计算机房,应当设在有利于安全保密的场所,建立和健全机房管理制度。
5、涉密计算机系统或单机,不得直接或间接与国际互联网、公共信息网相联接,必须实行物理隔离;非涉密计算机信息系统不得采集、存储、处理、传输涉密信息。
6、涉密计算机信息系统更换或维修,应当在涉密场所进行,并有专人监督。
所更换的设备或配件,在未采取技术处理时,不得挪为他用。
7、对需报废的涉密载体、设备或配件,应当登记造册,经单位领导批准后,送市公文销毁站销毁。
8、对涉密计算机设备进行登记管理,粘贴涉密计算机标识。
涉密计算机保密制度及信息系统安全管理办法
涉密计算机保密制度及信息系统安全管理办法第一章总则第一条为了加强对涉密计算机及信息系统安全的管理,保护涉密计算机系统的安全性、保密性和稳定性,确保国家机关、军队、企业和其他有涉密计算机系统的单位的信息系统安全,制订本办法。
第二条本办法适用于涉密计算机及信息系统的安全管理,涉密计算机的使用、审计、维护、报废、拍卖和处置。
第三条涉密计算机是指具备发展涉密计算机技术能力,存储和处理核心领域国家秘密、商业秘密或其他敏感信息的计算机系统。
第四条涉密计算机及信息系统必须符合国家和军队的有关保密规定,接受安全审计,并应能经受未知攻击和压力测试。
第二章涉密计算机及信息系统的设立和使用第五条涉密计算机及信息系统必须经过严格的安全审查和备案,取得涉密计算机使用许可证。
第六条涉密计算机及信息系统的设立必须遵循以下原则:(一)根据业务需要,合理选择合适的涉密计算机设备和信息系统配置方案;(二)进行严格的安全审查和备案,确保设备和系统符合国家和军队的保密标准;(三)根据系统级别,进行设备运行状态监控和安全审计,并配备相应的安全管理人员。
第七条涉密计算机及信息系统的使用必须遵循以下原则:(一)建立严密的权限控制体系,确保只有经过授权的人员才能访问和操作系统;(二)加强对系统和数据的备份和恢复管理,确保系统和数据的安全性和完整性;(三)定期对涉密计算机及信息系统进行漏洞扫描和安全评估,及时修补和更新软件和系统补丁;(四)加强对用户行为的监控和审计,防止非法使用和信息泄露的行为。
第三章涉密计算机及信息系统的维护和报废第八条涉密计算机及信息系统的维护必须遵循以下原则:(一)建立完善的维护流程,及时修复设备和系统中的漏洞和故障;(二)建立严格的维护记录,对维护行为进行备案;(三)指定专门的维护人员,并对其进行必要的培训和考核;(四)建立设备和系统备份机制,确保在维护过程中数据的安全性和可用性。
第九条涉密计算机及信息系统的报废必须遵循以下原则:(一)建立完善的报废管理制度,对涉密计算机及信息系统的报废进行备案和审查;(二)在报废前,对涉密计算机及信息系统的存储设备进行数据清除,并进行安全检查;(三)将报废的涉密计算机及信息系统进行分类处理,并及时进行拍卖和处置;(四)对报废涉密计算机及信息系统进行安全销毁,确保数据的完全销毁和信息的保密性。
计算机和信息系统安全保密管理规定
计算机和信息系统安全保密管理规定1. 引言计算机和信息系统安全保密管理是指为了保护计算机和信息系统中的数据和资源,防止非授权访问和恶意攻击造成的损失,制定的一系列管理规定和措施。
本文档旨在规范计算机和信息系统安全保密管理,确保组织及其成员的信息资产安全。
2. 目标本文档的主要目标是:•确保计算机和信息系统的机密性,防止未经授权的访问;•确保计算机和信息系统的完整性,防止数据被篡改或损坏;•确保计算机和信息系统的可用性,防止服务中断或停止;•促进计算机和信息系统的合规性,符合相关法律法规和行业标准。
3. 安全保密管理责任3.1 信息资产管理责任所有组织成员均有责任保护和管理相关的信息资产。
信息资产管理责任包括但不限于:•确保信息资产的安全性,防止数据泄露和非授权访问;•制定有效的信息资产管理策略和措施;•审查和评估信息资产的风险,并采取相应的措施减轻或消除风险;•培训组织成员关于信息资产管理的知识和技能。
3.2 网络安全管理责任网络安全管理是保证计算机和信息系统安全的重要组成部分。
网络安全管理责任包括但不限于:•设计和建立安全的网络架构,保护计算机和信息系统免受网络攻击;•监测和检测网络流量,发现和阻止可能的网络攻击;•及时修补和更新网络设备和系统的漏洞;•建立网络安全应急响应机制,处理网络安全事故。
3.3 访问控制管理责任访问控制管理是防止非授权访问的重要手段。
访问控制管理责任包括但不限于:•建立和维护用户账户和权限管理系统,确保只有授权用户能够访问计算机和信息系统;•定期审查和评估用户账户和权限,及时删除或禁用不再需要的账户和权限;•限制和监控敏感数据的访问,确保数据的机密性和完整性;•定期备份数据,并存储在安全的地方,以防止数据丢失和损坏。
4. 安全保密措施4.1 密码策略密码是保护信息资产安全的重要手段之一。
密码策略应包括但不限于以下措施:•强制要求密码复杂度,包括长度、字母、数字和特殊字符的组合;•要求用户定期更换密码,并限制密码的重复使用;•禁止将密码写在容易被他人看到的地方;•采用多因素身份验证,提高密码安全性。
涉密计算机及信息系统安全和保密管理办法
涉密计算机及信息系统安全和保密管理办法一、总则第一条为了加强涉密计算机及信息系统的安全和保密管理,保障国家秘密的安全,根据《中华人民共和国保守国家秘密法》等相关法律法规,结合本单位实际情况,制定本办法。
第二条本办法适用于本单位内所有使用、管理涉密计算机及信息系统的部门和个人。
第三条涉密计算机及信息系统的安全和保密管理,应当遵循“突出重点、积极防范、确保安全、便利工作”的原则,实行分级保护,强化管理措施,落实责任制度。
二、涉密计算机及信息系统的确定与分类第四条本单位根据处理信息的最高密级,将涉密计算机及信息系统分为绝密级、机密级、秘密级。
第五条确定涉密计算机及信息系统的密级,应当按照国家有关规定,由本单位保密工作领导小组进行审定。
第六条涉密计算机及信息系统的密级一经确定,应当在其显著位置标明相应的密级标识。
三、涉密计算机及信息系统的建设与管理第七条涉密计算机及信息系统的建设应当符合国家有关保密规定和标准,具备相应的安全保密防护措施。
第八条建设涉密计算机及信息系统,应当选用国产设备和软件,并进行安全保密检测和评估。
第九条涉密计算机及信息系统的运行维护应当由本单位内部专门人员负责,严禁外部人员进行操作和维护。
第十条对涉密计算机及信息系统进行设备更新、软件升级、系统改造等,应当事先进行安全保密评估和审批。
四、涉密计算机及信息系统的使用第十一条使用者应当经过保密培训,并签订保密承诺书,明确保密责任和义务。
第十二条涉密计算机应当设定开机密码、登录密码等,密码应当定期更换,且复杂度符合保密要求。
第十三条严禁在涉密计算机上使用非涉密存储介质,严禁在非涉密计算机上使用涉密存储介质。
第十四条涉密计算机及信息系统应当与互联网及其他公共信息网络实行物理隔离,严禁连接无线网络。
第十五条涉密计算机及信息系统中的信息应当按照相应密级进行存储、处理和传输,不得擅自降低密级。
第十六条打印、复印涉密文件资料应当在专门的涉密设备上进行,并严格控制知悉范围。
关于加强党政机关计算机信息系统安全和保密管理的若干规定
关于加强党政机关计算机信息系统安全和保密管理的若干规定为加强党政机关计算机信息系统安全和保密管理,保障计算机信息系统和国家秘密的安全,现依据国家有关法律法规和政策,针对当前网络安全保密管理工作存在的突出问题和薄弱环节,制定本规定。
一、按照“谁主管谁负责、谁运行谁负责”的原则,各部门在其职责范围内,负责本单位计算机信息系统的安全和保密管理。
二、各级党政机关应当明确一名主要领导负责计算机信息系统安全和保密工作,指定一个工作机构具体负责计算机信息系统安全和保密综合管理。
各部门内设机构应当指定一名信息安全保密员。
三、计算机信息系统应当按照国家信息安全等级保护的要求实行分类分级管理。
四、涉及国家秘密的信息系统(以下简称涉密信息系统)应当按照国家保密法规和标准管理。
涉密信息系统的建设,应当与保密设施的建设同步进行,经保密工作部门审批后,才能投入使用。
五、涉及国家秘密的信息(以下简称涉密信息)应当在涉密信息系统中处理。
非涉密信息系统不得处理涉密信息。
涉密信息系统必须与互联网及其他公共信息网络实行物理隔离。
六、要加强对与互联网联接的信息网络的管理,采取有效措施,防止违规接入,防范外部攻击,并留存互联网访问日志。
七、计算机的使用管理应当符合下列要求:(一)对计算机及软件安装情况进行登记备案,定期核查;(二)设置开机口令,长度不得少于8个字符,并定期更换,防止口令被盗;(三)安装防病毒等安全防护软件,并及时进行升级;及时更新操作系统补丁程序;(四)不得安装、运行、使用与工作无关的软件;(五)严禁同一计算机既上互联网又处理涉密信息;(六)严禁使用含有无线网卡、无线鼠标、无线键盘等具有无线互联功能的设备处理涉密信息;(七)严禁将涉密计算机带到与工作无关的场所。
八、移动存储设备的使用管理应当符合下列要求:(一)实行登记管理;(二)移动存储设备不得在涉密信息系统和非涉密信息系统间交叉使用,涉密移动存储设备不得在非涉密信息系统中使用;(三)移动存储设备在接入本单位计算机信息系统之前,应当查杀病毒、木马等恶意代码;(四)鼓励采用密码技术等对移动存储设备中的信息进行保护;(五)严禁将涉密存储设备带到与工作无关的场所。
计算机信息系统保密管理规定范本
计算机信息系统保密管理规定范本一、总则1. 为了保护计算机信息系统的安全,防止未经授权的访问、使用、披露和篡改等行为,制定本规定。
2. 本规定适用于本公司及其所有部门、员工和外部合作伙伴等与本公司相关的范围。
二、基本原则1. 保密责任原则:所有参与计算机信息系统的人员都应承担保密责任,不得泄露任何机密信息。
2. 严格访问控制原则:未经授权的人员不得访问计算机信息系统,且已授权人员仅限于其工作职责范围内的访问。
3. 用途限制原则:计算机信息系统仅用于本公司业务相关的目的,任何非法、违规的使用行为均禁止。
4. 安全审计原则:对计算机信息系统进行定期安全审计,及时发现和解决潜在的安全问题。
5. 安全教育培训原则:对参与计算机信息系统的人员进行安全教育培训,提高其保密意识和安全知识。
三、保密管理措施1. 访问控制措施(1) 分配唯一账户和密码给计算机信息系统的每个授权人员。
(2) 设置严格的权限控制,根据不同职责和需求,给予不同人员不同的访问权限。
(3) 定期更新账户密码,并要求授权人员采用强密码规范。
(4) 禁止共享账户和密码,严禁借用他人账户进行操作。
(5) 使用双因素认证或其他更加安全的认证方式,提高系统的访问控制能力。
2. 数据加密措施(1) 对计算机信息系统中的重要数据进行加密,确保数据在传输和存储过程中不被非法获取。
(2) 对敏感信息进行脱敏处理,确保敏感信息在系统中的使用不暴露真实内容。
(3) 采用强加密算法和安全协议,保障数据传输的安全性。
3. 安全审计措施(1) 定期对计算机信息系统进行安全审计,发现潜在漏洞和安全威胁,并及时采取措施解决。
(2) 监控计算机信息系统的登录、操作和访问记录,排查异常操作和异常行为。
4. 安全教育培训措施(1) 定期组织计算机信息系统安全知识培训,提高员工的保密意识和安全素养。
(2) 向员工普及信息安全的基本知识,包括密码安全、网络钓鱼等常见安全威胁。
(3) 强调员工在使用计算机信息系统时的责任和义务,警示员工遵守规定,确保安全使用。
计算机网络安全和信息保密管理规定
计算机网络安全和信息保密治理规定1、为了保证公司计算机网络系统的稳定运行及网络数据的安全保密,维持安全牢靠的计算机应用环境,特制定本规定。
2、凡使用公司计算机网络系统的员工都必需执行本规定。
3、在公司保密工作小组领导下,由办公室负责接入网络的安全保密治理工作。
办公室落实具体技术防范措施,负责设备、信息系统的安装调试和维护,并对用户指派信息维护员特地负责各部门的信息安全维护工作。
4、对接入公司网络系统的计算机及设备,必需符合一下规定:1)凡接入公司网络系统的计算机,只在需要使用光驱和打印机的网络治理员计算机上安装相关设备,其他计算机不得安装和使用光驱、软驱、USB 卡、磁盘、磁带、打印机等输入、输出端口一律屏蔽和禁用。
2)凡接入公司办公网络的计算机,制止使用任何网络设备,将计算机与国际互联网联结。
3)各部门的计算机均不得与其它办公系统相联结,如有信息传输的需要,可使用软盘、光盘、USB 盘或活动硬盘等数据介质盘片,由网络治理员在装有相应外设的计算机上进展数据传输。
4)在未经许可的状况下,不得擅自对处计算机及其相关设备的硬件局部进展修改、改装或拆卸配置,包括添加光驱、软驱,挂接硬盘等读写设备,以及增加串口或并口外围设备,如扫描仪、打印机等。
4)非我公司的计算机及任何外设,不得接入我公司的网络系统。
5)严禁私自开启计算机机箱封条或机箱锁。
5、凡使用公司网络系统的员工,必需遵守以下规定;1)未经批准,严禁非本公司工作人员使用除计算机及任何相关设备。
2)对上网使用办公网络系统的员工,由办公室负责上岗前的计算机网络设备系统安全及信息保密的技术培训工作。
3)公司计算机网络系统中凡属于国家保密资料或商业隐秘的任何文件、图形等数据〔如地形图等〕,未经批准,任何人严禁将其以任何形式〔如数据形式:Internet、软盘、光盘、硬磁盘等;硬拷贝形式:图纸打印、复印、照片等〕复制、传输或对外供给。
4)任何员工均不得超越权限侵入网络中未开放的信息,不得擅自修改入库数据资料和修改他人数据资料。
关于公司计算机信息系统安全和保密管理工作的规定
关于公司计算机信息系统安全和保密管理工作的规定各部门:为了认真贯彻落实XX保密委《关于传发<全市XX组织开展互联网涉密及敏感信息检查清除活动实施方案>的通知》精神和要求,进一步加强公司各部门网络及计算机信息安全的保密管理,防止网上泄密事件发生,确保公司网络及计算机工作安全可靠,结合公司实际情况,现就进一步加强计算机信息系统安全和保密管理工作有关事宜规定如下:一、计算机操作人员必须遵守国家有关法律,任何人不得利用计算机从事违法活动。
二、按照“谁主管、谁负责”和“谁使用、谁负责”的原则,开展自查。
1.明确内网使用人责任,签订《职工信息安全保密责任书》,认真落实各项安全保密管理规章制度,积极参加各类安全保密学习和活动,知道“一机两用”违规行为的类型,不违反相关的制度规定。
2.严禁在互联网上发布公司涉密文件、资料、信息、数据。
未经主管领导批准,不得向外提供公司信息和资料,坚持做到“谁上网、谁负责”,“上网不涉密、涉密不上网”。
三、严禁公司内网计算机终端上操作事项。
1.内网计算机终端上违规处理、存储的国家秘密信息;2.内网移动存储介质中违规存储的国家秘密信息;3. 内网服务器上违规处理、存储的国家秘密信息;4. 内网网站上违规发布的国家秘密信息。
四、严禁公司互联网网计算机终端上操作事项。
1.互联网计算机终端上违规处理、存储的国家秘密和警务工作秘密信息;2.互联网移动存储介质中违规存储的国家秘密和警务工作秘密信息;3.互联网服务器上违规处理、存储的国家秘密和警务工作秘密信息;4.互联网上开设的网站中违规发布的国家秘密和警务工作秘密信息;5.互联网社会网站上开通的微博、电子邮箱等信息发布和传输平台中违规发布、存储的国家秘密和警务工作秘密信息。
五、专用于存储公司财务、工程设计方案、安保方案应急预案等资料和内部文件的计算机要由专人使用,并设置密码,禁止网络上的其它计算机访问,禁止访问互联网及其它外部网络系统。
计算机信息系统保密管理暂行规定
计算机信息系统保密管理暂行规定第一章总则第一条为了加强计算机信息系统的保密管理,确保国家秘密的安全,根据《中华人民共和国保守国家秘密法》等有关法律法规,制定本暂行规定。
第二条本规定适用于涉及国家秘密的计算机信息系统的建设、使用、维护和管理等活动。
第三条计算机信息系统保密管理工作应当遵循“积极防范、突出重点、确保安全、便利工作”的原则,实行分级保护,严格管理,责任到人。
第二章涉密计算机信息系统的建设第四条涉密计算机信息系统的规划、设计、建设应当符合国家保密规定和标准。
建设前,应当进行保密审查,并制定保密方案。
第五条涉密计算机信息系统应当采用国家保密行政管理部门批准的安全保密产品和设备,并按照规定进行检测和认证。
第六条涉密计算机信息系统的建设施工单位应当具有相应的保密资质,并与建设单位签订保密协议,明确保密责任和义务。
第七条涉密计算机信息系统建设完成后,应当经过保密行政管理部门的验收,合格后方可投入使用。
第三章涉密计算机信息系统的使用第八条涉密计算机信息系统应当明确专人负责管理和操作,使用者应当经过保密培训,签订保密承诺书。
第九条涉密计算机信息系统应当设置严格的用户身份认证和访问控制,禁止未经授权的用户访问。
第十条涉密计算机信息系统中的涉密信息应当按照密级进行分类、标识和存储,严格控制知悉范围。
第十一条禁止在涉密计算机信息系统与非涉密计算机信息系统之间交叉使用移动存储介质。
第十二条涉密计算机信息系统中的涉密信息需要输出的,应当按照规定进行审批和登记,并采取相应的保密措施。
第四章涉密计算机信息系统的维护第十三条涉密计算机信息系统的维护应当由本单位内部的专门技术人员负责,确需外部人员进行维护的,应当经过保密审查,并签订保密协议。
第十四条维护人员应当遵守保密规定,对维护过程中知悉的涉密信息严格保密。
第十五条涉密计算机信息系统需要进行升级、改造等变更的,应当按照规定进行保密审查和审批。
第十六条对涉密计算机信息系统的故障和安全事件,应当及时采取应急措施,并按照规定报告。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
计算机和信息系统安全保密管理规定第一章总则第一条为加强公司计算机和信息系统(包括涉密信息系统和非涉密信息系统)安全保密管理,确保国家秘密及商业秘密的安全,根据国家有关保密法规标准和中核集团公司有关规定,制定本规定。
第二条本规定所称涉密信息系统是指由计算机及其相关的配套设备、设施构成的,按照一定的应用目标和规定存储、处理、传输涉密信息的系统或网络,包括机房、网络设备、软件、网络线路、用户终端等内容。
第三条涉密信息系统的建设和应用要本着“预防为主、分级负责、科学管理、保障安全”的方针,坚持“谁主管、谁负责,谁使用、谁负责”和“控制源头、归口管理、加强检查、落实制度”的原则,确保涉密信息系统和国家秘密信息安全。
第四条涉密信息系统安全保密防护必须严格按照国家保密标准、规定和集团公司文件要求进行设计、实施、测评审查与审批和验收;未通过国家审批的涉密信息系统,不得投入使用。
第五条本规定适用于公司所有计算机和信息系统安全保密管理工作。
第二章管理机构与职责第六条公司法人代表是涉密信息系统安全保密第一责任人,确保涉密信息系统安全保密措施的落实,提供人力、物力、财力等条件保障,督促检查领导责任制落实。
第七条公司保密委员会是涉密信息系统安全保密管理决策机构,其主要职责:(一)建立健全安全保密管理制度和防范措施,并监督检查落实情况;(二)协调处理有关涉密信息系统安全保密管理的重大问题,对重大失泄密事件进行查处。
第八条成立公司涉密信息系统安全保密领导小组,保密办、科技信息部(信息化)、党政办公室(密码)、财会部、人力资源部、武装保卫部和相关业务部门、单位为成员单位,在公司党政和保密委员会领导下,组织协调公司涉密信息系统安全保密管理工作。
第九条保密办主要职责:(一)拟定涉密信息系统安全保密管理制度,并组织落实各项保密防范措施;(二)对系统用户和安全保密管理人员进行资格审查和安全保密教育培训,审查涉密信息系统用户的职责和权限,并备案;(三)组织对涉密信息系统进行安全保密监督检查和风险评估,提出涉密信息系统安全运行的保密要求;(四)会同科技信息部对涉密信息系统中介质、设备、设施的授权使用的审查,建立涉密信息系统安全评估制度,每年对涉密信息系统安全措施进行一次评审;(五)对涉密信息系统设计、施工和集成单位进行资质审查,对进入涉密信息系统的安全保密产品进行准入审查和规范管理,对涉密信息系统进行安全保密性能检测;(六)对涉密信息系统中各应用系统进行定密、变更密级和解密工作进行审核;(七)组织查处涉密信息系统失泄密事件。
第十条科技信息部、财会部主要职责是:(一)组织、实施涉密信息系统的规划、设计、建设,制定安全保密防护方案;(二)落实涉密信息系统安全保密策略、运行安全控制、安全验证等安全技术措施;每半年对涉密信息系统进行风险评估,提出整改措施,经涉密信息系统安全保密领导小组批准后组织实施,确保安全技术措施有效、可靠;(三)落实涉密信息系统中各应用系统进行用户权限设置及介质、设备、设施的授权使用、保管以及维护等安全保密管理措施;(四)配备涉密信息系统管理员、安全保密管理员和安全审计员,并制定相应的职责;“三员”角色不得兼任,权限设置相互独立、相互制约;“三员”应通过安全保密培训持证上岗;(五)落实计算机机房、配线间等重要部位的安全保密防范措施及网络的安全管理,负责日常业务数据及其他重要数据的备份管理;(六)配合保密办对涉密信息系统进行安全检查,对存在的隐患进行及时整改;(七)制定应急预案并组织演练,落实应急措施,处理信息安全突发事件。
第十一条党政办公室主要职责:按照国家密码管理的相关要求,落实涉密信息系统中普密设备的管理措施。
第十二条相关业务部门、单位主要职责:涉密信息系统的使用部门、单位要严格遵守保密管理规定,教育员工提高安全保密意识,落实涉密信息系统各项安全防范措施;准确确定应用系统密级,制定并落实相应的二级保密管理制度。
第十三条涉密信息系统配备系统管理员、安全保密管理员、安全审计员,其职责是:(一)系统管理员负责系统中软硬件设备的运行、管理与维护工作,确保信息系统的安全、稳定、连续运行。
系统管理员包括网络管理员、数据库管理员、应用系统管理员。
(二)安全保密管理员负责安全技术设备、策略实施和管理工作,包括用户帐号管理以及安全保密设备和系统所产生日志的审查分析。
(三)安全审计员负责安全审计设备安装调试,对各种系统操作行为进行安全审计跟踪分析和监督检查,以及时发现违规行为,并每月向涉密信息系统安全保密领导小组办公室汇报一次情况。
第三章系统建设管理第十四条规划和建设涉密信息系统时,按照涉密信息系统分级保护标准的规定,同步规划和落实安全保密措施,系统建设与安全保密措施同计划、同预算、同建设、同验收。
第十五条涉密信息系统规划和建设的安全保密方案,应由具有“涉及国家秘密的计算机信息系统集成资质”的机构编制或自行编制,安全保密方案必须经上级保密主管部门审批后方可实施。
第十六条涉密信息系统规划和建设实施时,应由具有“涉及国家秘密的计算机信息系统集成资质”的机构实施或自行实施,并与实施方签署保密协议,项目竣工后必须由保密办和科技信息部共同组织验收。
第十七条对涉密信息系统要采取与密级相适应的保密措施,配备通过国家保密主管部门指定的测评机构检测的安全保密产品。
涉密信息系统使用的软件产品必须是正版软件。
第四章信息管理第一节信息分类与控制第十八条涉密信息系统的密级,按系统中所处理信息的最高密级设定,严禁处理高于涉密信息系统密级的涉密信息。
第十九条涉密信息系统中产生、存储、处理、传输、归档和输出的文件、数据、图纸等信息及其存储介质应按要求及时定密、标密,并按涉密文件进行管理。
电子文件密级标识应与信息主体不可分离,密级标识不得篡改。
涉密信息系统中的涉密信息总量每半年进行一次分类统计、汇总,并在保密办备案。
第二十条涉密信息系统应建立安全保密策略,并采取有效措施,防止涉密信息被非授权访问、篡改,删除和丢失;防止高密级信息流向低密级计算机。
涉密信息远程传输必须采取密码保护措施。
第二十一条向涉密信息系统以外的单位传递涉密信息,一般只提供纸质文件,确需提供涉密电子文档的,按信息交换及中间转换机管理规定执行。
第二十二条清除涉密计算机、服务器等网络设备、存储介质中的涉密信息时,必须使用符合保密标准、要求的工具或软件。
第二节用户管理与授权第二十三条根据本部门、单位使用涉密信息系统的密级和实际工作需要,确定人员知悉范围,以此作为用户授权的依据。
第二十四条用户清单管理(一)科技信息部管理“研究试验堆燃料元件数字化信息系统”和“中核集团涉密广域网”用户清单;财会部管理“财务会计核算网”用户清单;(二)新增用户时,由用户本人提出书面申请,经本部门、单位审核,科技信息部、保密办审批后,由科技信息部备案并统一建立用户;“财务会计核算网”的用户由财会部统一建立;(三)删除用户时,由用户本人所在部门、单位书面通知科技信息部,核准后由安全保密管理员即时将用户在涉密信息系统内的所有帐号、权限废止;“财务会计核算网”密办审核,公司分管领导审批。
开通、审批坚持“工作必须”的原则。
第六十四条国际互联网计算机实行专人负责、专机上网管理,严禁存储、处理、传递涉密信息和内部敏感信息。
接入互联网的计算机须建立使用登记制度。
第六十五条上网信息实行“谁上网谁负责”的保密管理原则,信息上网必须经过严格审查和批准,坚决做到“涉密不上网,上网不涉密”。
对上网信息进行扩充或更新,应重新进行保密审查。
第六十六条任何部门、单位和个人不得在电子邮件、电子公告系统、聊天室、网络新闻组、博客等上发布、谈论、传递、转发或抄送国家秘密信息。
第六十七条从国际互联网或其它公众信息网下载程序和软件工具等转入涉密系统,经科技信息部审批后,按照信息交换及中间转换机管理规定执行。
第九章便携式计算机管理第六十八条便携式计算机(包括涉密便携式计算机和非涉密便携式计算机)实行“谁拥有,谁使用,谁负责”的保密管理原则,使用者须与公司签定保密承诺书。
第六十九条涉密便携式计算机根据工作需要确定密级,粘贴密级标识,按照涉密设备进行管理,保密办备案后方可使用。
第七十条便携式计算机应具备防病毒、防非法外联和身份认证(设置开机密码口令)等安全保密防护措施。
第七十一条禁止使用涉密便携式计算机上国际互联网和非涉密网络;严禁涉密便携式计算机与涉密信息系统互联。
第七十二条涉密便携式计算机不得处理绝密级信息。
未经保密办审批,严禁在涉密便携式计算机中存储涉密信息。
处理、存储涉密信息应在涉密移动存储介质上进行,并与涉密便携式计算机分离保管。
第七十三条禁止使用私有便携式计算机处理办公信息;严禁非涉密便携式计算机存储、处理涉密信息;严禁将涉密存储介质接入非涉密便携式计算机使用。
第七十四条公司配备专供外出携带的涉密便携式计算机和涉密存储介质,按照“集中管理、审批借用”的原则进行管理,建立使用登记制度。
外出携带的涉密便携式计算机须经保密办检查后方可带出公司,返回时须进行技术检查。
第七十五条因工作需要外单位携带便携式计算机进入公司办公区域,需办理保密审批手续。
第十章应急响应管理第七十六条为有效预防和处置涉密信息系统安全突发事件,及时控制和消除涉密信息系统安全突发事件的危害和影响,保障涉密信息系统的安全稳定运行,科技信息部和财会部应分别制定相应应急响应预案,经公司涉密信息系统安全保密领导小组审批后实施。
第七十七条应急响应预案用于涉密信息系统安全突发事件。
突发事件分为系统运行安全事件和泄密事件,根据事件引发原因分为灾害类、故障类或攻击类三种情况。
(一)灾害事件:根据实际情况,在保障人身安全前提下,保障数据安全和设备安(二)故障或攻击事件:判断故障或攻击的来源与性质,关闭影响安全与稳定的网络设备和服务器设备,断开信息系统与攻击来源的网络物理连接,跟踪并锁定攻击来源的IP地址或其它网络用户信息,修复被破坏的信息,恢复信息系统。
按照事件发生的性质分别采用以下方案:1、病毒传播:及时寻找并断开传播源,判断病毒的类型、性质、可能的危害范围。
为避免产生更大的损失,保护计算机,必要时可关闭相应的端口,寻找并公布病毒攻击信息,以及杀毒、防御方法;2、外部入侵:判断入侵的来源,评价入侵可能或已经造成的危害。
对入侵未遂、未造成损害的,且评价威胁很小的外部入侵,定位入侵的IP地址,及时关闭入侵的端口,限制入侵的IP地址的访问。
对于已经造成危害的,应立即采用断开网络连接的方法,避免造成更大损失和带来的影响;3、内部入侵:查清入侵来源,如IP地址、所在区域、所处办公室等信息,同时断开对应的交换机端口,针对入侵方法调整或更新入侵检测设备。
对于无法制止的多点入侵和造成损害的,应及时关闭被入侵的服务器或相应设备;4、网络故障:判断故障发生点和故障原因,能够迅速解决的尽快排除故障,并优先保证主要应用系统的运转;5、其它未列出的不确定因素造成的事件,结合具体的情况,做出相应的处理。