《信息系统和信息设备使用保密管理规定》

涉密信息系统与信息设备管理办法一、总则为了加强涉密信息系统与信息设备的管理，确保国家秘密的安全，根据国家有关法律法规和保密规定，结合本单位实际情况，制定本办法。

本办法适用于本单位内部涉及涉密信息系统与信息设备的使用、管理和维护等活动。

二、涉密信息系统管理（一）涉密信息系统的规划与建设1、涉密信息系统的建设应当符合国家保密标准和要求，经过保密行政管理部门的审批。

2、在规划和建设涉密信息系统时，应当充分考虑系统的安全性、可靠性和保密性，采用先进的技术和设备。

（二）涉密信息系统的运行与维护1、设立专门的管理机构和人员负责涉密信息系统的运行与维护，明确其职责和权限。

2、定期对涉密信息系统进行安全评估和风险排查，及时发现和解决安全隐患。

（三）用户管理与权限分配1、对使用涉密信息系统的用户进行严格的身份审查和登记，建立用户档案。

2、根据用户的工作需要和保密级别，合理分配系统使用权限，并定期进行审查和调整。

（四）数据管理与备份1、对涉密信息系统中的数据进行分类、分级管理，明确数据的密级和知悉范围。

2、定期对重要数据进行备份，并采取有效的存储和保护措施，确保数据的完整性和可用性。

三、涉密信息设备管理（一）涉密信息设备的采购与登记1、采购涉密信息设备应当选择具有相应保密资质的供应商，并按照规定程序进行审批。

2、对新采购的涉密信息设备进行登记，建立设备台账，记录设备的型号、编号、密级等信息。

（二）涉密信息设备的使用与保管1、使用者应当严格按照操作规程使用涉密信息设备，不得擅自改变设备的用途和配置。

2、涉密信息设备应当存放在安全可靠的场所，采取必要的防盗、防火、防潮等措施。

（三）涉密信息设备的维修与报废1、涉密信息设备的维修应当由具有保密资质的单位或人员进行，并在维修前进行数据备份和清除。

2、对报废的涉密信息设备，应当进行数据销毁和物理破坏处理，防止信息泄露。

四、网络与通信管理（一）网络连接与访问控制1、涉密信息系统应当与互联网等非涉密网络实行物理隔离。

第一章总则第一条为加强本单位的网络安全保密工作，保障信息系统安全稳定运行，防止国家秘密、商业秘密和个人隐私泄露，根据《中华人民共和国网络安全法》、《中华人民共和国保守国家秘密法》等相关法律法规，结合本单位实际情况，制定本制度。

第二条本制度适用于本单位所有信息系统、信息设备和存储设备，包括但不限于计算机、服务器、网络设备、移动存储设备等。

第三条本制度旨在规范信息系统安全保密管理，明确安全保密责任，提高全体员工的安全保密意识，确保信息系统安全稳定运行。

第二章组织与职责第四条成立信息系统安全保密工作领导小组，负责组织、协调、监督和指导本单位信息系统安全保密工作。

第五条信息安全管理部门负责本制度的组织实施和监督，具体职责如下：1. 制定和修订信息系统安全保密管理制度；2. 组织开展信息系统安全保密培训和宣传教育；3. 监督检查信息系统安全保密措施落实情况；4. 处理信息系统安全保密事件；5. 定期向上级领导汇报信息系统安全保密工作。

第六条各部门负责人对本部门信息系统安全保密工作负总责，具体职责如下：1. 组织实施本部门信息系统安全保密管理制度；2. 加强本部门员工信息系统安全保密意识教育；3. 配合信息安全管理部门开展信息系统安全保密检查和整改；4. 及时报告信息系统安全保密事件。

第三章安全保密措施第七条数据安全1. 对重要数据实行加密存储和传输，确保数据在存储、传输和使用过程中的安全；2. 定期对存储设备进行安全检查，确保数据不被非法访问和篡改；3. 建立数据备份制度，确保数据丢失或损坏时能够及时恢复。

第八条网络安全1. 采用防火墙、入侵检测系统等安全设备，防止网络攻击和非法访问；2. 定期对网络设备进行安全检查和更新，确保网络设备安全可靠；3. 对网络访问进行严格控制，限制非法访问和外部网络连接。

第九条访问控制1. 对信息系统进行分级管理，明确不同级别信息系统的访问权限；2. 对员工进行身份认证，确保访问人员具有相应的权限；3. 定期审查和调整员工访问权限，确保权限设置合理。

精心整理信息系统、信息设备和保密设施设备管理制度1.信息系统、信息设备和保密设施设备管理总则1)为了加强公司涉密计算机信息系统、信息设备的保密管理，防止和杜绝失泄密事件的发生，确保国家秘密安全，根据《中华人民共和国保守国家秘密法》、《保密本部门涉密信息系统的安全保密负主要责任。

2)公司保密办公室负责公司涉密信息系统、信息设备安全保密工作的指导、协调、监督、检查以及对失泄密事件的查处。

3)公司保密办公室设密钥管理员负责公司涉密信息系统、信息设备内部密码(密钥)的生成、分配和保密管理工作。

4)公司各涉密部门需设系统管理员、安全保密员，按有关保密规定和要求负责公司涉密计算机的管理及其设备的日常维护和维修工作，具体落实有关涉密计算机、信息设备的安全保密管理规定和措施。

3.涉密计算机的确定及变更1)公司涉密计算机实行申报登记制度。

凡涉及国家秘密的单位拟用于处理国家秘，经环境，按照涉密计算机申报登记程序，报公司保密办公室。

6)公司保密办公室对申请变更为非涉密计算机进行检查，收回硬盘，到具有处理资质的单位进行集中销毁，确认计算机内不包含任何形式的国家秘密信息后，批准变更，并注销涉密计算机编号。

4.管理制度公司涉密信息系统、信息设备的保密管理遵循“业务谁主管、保密谁负责”、“谁使用、谁负责”的原则，明确制度、分清职责、分级管理、逐级落实。

各部门主管领导负责本部门涉密计算机的保密管理工作，并负有领导责任。

同时，要指定人员具体负责涉密计算机的保密管理工作。

公司保密办公室对全公司涉密计算机的保密工作进行指导、协调、监督和检查。

并负责培训涉密计算机安全保密管理人员，查●数字证书机制；●密码口令。

密码口令长度不得少于十个字符，定期更换，采用大小写英文字母、数字和特殊字符等两者以上的组合。

密码(钥)应与计算机分离，妥善保管。

c)长时间离开终端时，客户端计算机应退出工作状态或关机。

下班后必须关机。

涉密计算机待机时间超过15分钟后，计算机应具备屏幕保护措施，在恢复使用时应有身份识别屏保机制。

第一章总则第一条为加强信息设备的安全保密管理，确保国家秘密信息安全，根据《中华人民共和国保守国家秘密法》及相关法律法规，结合我国实际情况，制定本制度。

第二条本制度适用于我国各级政府、企事业单位、社会团体及其他组织所使用的各类信息设备，包括但不限于计算机、服务器、移动存储设备、网络设备等。

第三条信息设备安全保密管理工作应遵循以下原则：1. 预防为主，防治结合；2. 系统管理，分级负责；3. 依法管理，技术保障；4. 实施监控，及时处置。

第二章信息设备安全保密管理职责第四条各级领导应高度重视信息设备安全保密工作，明确各部门、各岗位的职责，确保信息安全保密制度落到实处。

第五条信息设备管理部门负责：1. 制定信息设备安全保密管理制度，并组织实施；2. 对信息设备进行安全保密审查，确保符合国家有关保密规定；3. 对信息设备进行定期检查、维护和更新，确保其安全稳定运行；4. 对违反信息设备安全保密规定的，依法进行处理。

第六条信息设备使用部门负责：1. 严格执行信息设备安全保密管理制度，确保信息设备的安全稳定运行；2. 对使用的信息设备进行定期检查，发现安全隐患及时报告；3. 对信息设备的使用人员进行安全保密教育，提高其安全保密意识。

第三章信息设备安全保密管理措施第七条信息设备应按照国家有关保密规定进行分类管理，明确涉密等级，采取相应的保密措施。

第八条信息设备应安装安全保密软件，对涉密信息进行加密存储、传输和访问控制。

第九条信息设备应定期进行安全检查，及时发现并消除安全隐患。

第十条信息设备的使用人员应遵守以下规定：1. 不得擅自修改、删除或移动信息设备中的数据；2. 不得利用信息设备进行非法活动；3. 不得将信息设备带出工作场所；4. 不得将涉密信息复制、传播给无关人员。

第四章违规处理第十一条对违反信息设备安全保密规定的，依法进行处理，包括但不限于：1. 警告、通报批评；2. 纪律处分；3. 追究法律责任。

第五章附则第十二条本制度自发布之日起施行，由信息设备管理部门负责解释。

信息系统、信息设备和存储设备管理制度第一章总则第一条为了加强涉密计算机和信息系统的保密管理,确保国家秘密信息的安全,根据中华人民共和国保守国家秘密法和武器装备科研生产单位三级保密资格标准国保发〔2016〕43号等国家有关保密法规,结合公司的实际情况,制定本制度;第二条本制度适用于公司所有涉密信息设备和存储设备的保密管理;第三条涉密信息设备和存储设备是以计算机、打印机等为终端设备和存储设备,利用计算机技术进行涉及国家秘密信息采集、处理、存储和传输的设备、技术和管理的组合;第二章涉密计算机场地与设施安全管理第四条公司涉密计算机存放在保密室;第五条公司涉密计算机信息系统为单机涉密计算机信息系统,保密管理实行“控制源头、归口管理、逐级负责、确保安全”的原则;计算机信息系统不得使用无线网络设备上网,计算机信息系统与公司内部非涉密网络和互联网物理隔绝;第三章涉密计算机信息系统管理第六条公司涉密、非涉密计算机必须严格区分,涉密计算机必须登记在册,非涉密计算机严禁存储涉密信息;第七条涉密计算机及其使用的数据库必须设置口令,口令长度不得少于8个字符口令采用大小写英文字母、数字、字符混合方式,不得单独采用大小写英文字母、字符或数字设置口令;口令更改周期为一个月;第八条存储国家秘密信息的计算机应按所存储的最高密级文件标明密级,并按相应密级进行管理;第九条涉密计算机内的所有涉密文件、资料包括处于起草、设计、编辑、修改过程中的文档、图表、图形、数据必须全部进行密级标识;第十条计算机应安装经国家主管部门批准的正版杀毒软件,涉密计算机应由兼职计算机安全管理员定期查杀病毒,并保存病毒查杀记录；所有需拷贝或安装到涉密计算机中的信息或软件,均需经过杀毒后,才能拷贝;第十一条公司所有便携式计算机配置及使用情况必须登记在册；便携式计算机中严禁保存国家涉密信息;第十二条存储、处理涉密信息的可移动存储设备U盘或其他可移动硬盘由保密办负责编号、登记、保管,存有涉密信息的可移动存储设备应标明密级,并按相应密级的文件进行管理;如需使用可移动存储设备,统一向保密办借取,用完后及时归还;第十三条存储、处理过涉密信息的存储设备包括可移动备,不得改作普通存储设备使用;第十四条涉密信息不得在非涉密信息系统、企业网页、网站中发布,非涉密信息的发布必须经保密工作领导小组严格进行保密审查;第四章涉密设备更换、维修和销毁第十五条涉密设备的更换、维修必须对硬件设备进行保密安全处理,经公司保密工作领导批准方可进行,更换或维护的工作内容要记录在案;第十六条涉密设备如需出公司进行更换或维修,应先报告公司保密工作领导小组,经同意和进行保密安全处理后,才能带出公司,到上级保密工作部门审查批准的具有资质的单位进行;第十七条涉密设备的销毁必须在国家相关保密部门的指导下进行;第五章职责划分和保障措施第十八条公司保密工作领导小组对涉密计算机和信息系统管理工作进行领导、指导和监督;第十九条公司综合部负责组织施行计算机信息系统的审批,涉密设备的更换、维修和销毁;公司兼职计算机安全管理员进行涉密计算机管理,如口令设置、病毒查杀等工作,进行保密技术检查;第二十条保密办负责涉密计算机和存储设备的建账登记管理工作;第二十一条保密要害部位管理部门负责人对本部门涉密设备的使用负责;第二十二条对于违反涉密计算机和信息系统保密制度,造成泄密隐患和泄密事件的,公司将根据责任考核与奖惩制度进行处理;第六章附则第二十三条本制度由公司综合部负责解释;第二十四条本制度自下发之日起施行;。

公司计算机和信息系统保密管理制度第一章总则第一条为进一步加强公司计算机和信息系统保密管理工作，防范泄密事件发生，确保国家及公司秘密安全，根据《中华人民共和国计算机信息系统安全保密条例》，结合本公司实际，特制定本制度。

第二条本制度适用于公司各部门计算机和信息系统的保密管理。

第二章计算机和信息系统保密管理总体要求第三条公司计算机信息系统管理坚持“涉密机不上国际互联网，上国际互联网机不涉密”的原则。

第四条公司计算机实行分级保护。

计算机的分级保护是指涉密计算机的使用部门根据分级保护管理办法和有关标准，对涉密计算机分等级实施保护。

公司保密办根据该计算机的保护等级实施监督管理，确保计算机和信息的安全。

第五条涉密计算机分级保护管理应遵循“规范定密，准确定级；依据标准，同步建设；突出重点，确保核心；明确责任，加强监督”的原则。

第六条涉密计算机按照所处理的最高密级，由低到高划分为秘密、机密两个等级。

第七条公司规划和建设涉密计算机集中管理区域时，必须同步规划和落实安全保密措施。

涉密计算机集中管理区域建成后，由公司保密办组织相关单位、部门进行验收，验收达到安全保密要求的，才能处理国家秘密信息。

未达到保密要求的，不得处理涉密信息。

第八条涉密计算机集中管理区域内涉密计算机的安全防护产品，应当选择具有涉密资质的单位承担或参与涉密计算机的方案设计与实施、软件开发、系统服务、咨询、风险评估等。

公司保密办要对涉密计算机的防护方案进行备案。

第九条涉密计算机领导小组应当定期组织对涉密计算机的安全保密状况进行自评估。

检查分析由于系统需求及技术与管理因素变化而新出现的安全威胁，动态调整安全策略，适时补充和完善技术与管理措施，使涉密计算机保持与等级要求一致的防护水平。

第十条涉密计算机应当制定文档化的安全保密策略，并根据环境、系统和威胁变化情况及时调整更新；应当定期（机密级1个月、秘密级3个月）形成文档化的安全保密审计报告；每12个月根据综合审计日志，进行一次风险评估，形成文档化的风险分析报告，对存在的风险应当及时采取补救措施。

信息系统及信息设备使用保密管理制度（模板）为规范和加强计算机信息系统和计算机及存储介质、打印机、复印机、扫描仪、照相机等信息设备使用保密管理，确保国家秘密安全，制定本制度。

1、机关、单位应当建立信息系统和信息设备使用保密管理责任制。

机关、单位主要领导负总责，分管保密工作的领导负责具体组织协调，保密工作机构和信息化工作机构具体负责管理工作。

2、信息系统和信息设备按照存储、处理的信息是否涉及国家秘密，分为涉密信息系统和信息设备，非涉密信息系统和信息设备，实行分类管理。

集中存储、处理工作秘密的信息系统和信息设备，参照秘密级信息系统和信息设备管理。

3、涉密信息系统的规划、设计、建设、维护应当按照国家保密规定和标准要求进行，选择具有涉密信息系统集成资质的单位承担。

资质单位应当签订保密协议。

涉密信息系统的保密设施、设备应当与系统同步规划、同步建设、同步运行。

涉密信息系统投入使用前应当经过保密行政管理部门审查批准。

4、涉密信息系统使用管理应当指派专人负责，严格设定用户权限，严格控制涉密信息输出和互联网及其它公共信息输入。

涉密信息系统的密级、主要业务应用等发生改变时，应当及时报告保密行政管理部门。

5、涉密信息设备应当统一采购、登记、标识、配备，并明确涉密信息设备的使用管理责任人。

涉密信息设备的使用和保管场所应当安全可靠。

6、涉密信息设备使用人员、管理人员离职、离岗时，机关、单位应当收回其使用、管理的涉密信息设备，及时取消有关涉密信息设备的访问授权。

7、携带涉密信息设备外出，应当经过机关、单位批准和登记，并采取严格保护措施。

信息设备维修和销毁，应当在本单位内部或保密部门指定的单位进行。

8、涉密信息系统使用管理，严格禁止下列行为：⑴将涉密信息系统接入互联网及其他公共信息网络；⑵在非涉密信息系统中存储、处理和传输国家秘密信息；⑶在未经审批的涉密信息系统中存储、处理和传输国家秘密信息；⑷在低密级涉密信息系统中存储、处理、传输高密级信息；⑸擅自改变涉密信息系统的安全保密防护措施；9、信息设备使用管理，严格禁止下列行为：⑴将涉密信息设备接入互联网及其他公共信息网络；⑵使用非涉密信息设备存储、处理国家秘密；⑶在涉密计算机与非涉密计算机之间交叉使用存储介质；⑷使用低密级信息设备存储、处理高密级信息；⑸在未采取技术防护措施的情况下将互联网及其他公共信息网络上的数据复制到涉密信息设备；⑹在涉密计算机与非涉密计算机之间共用打印机、扫描仪等信息设备；⑺在涉密场所连接互联网的计算机上配备或安装麦克风、摄像头等音频视频输入设备；⑻使用具有无线互联功能或配备无线键盘、无线鼠标等无线外围装置的信息设备处理国家秘密；⑼擅自卸载涉密计算机上的安全保密防护软件或设备；⑽将涉密信息设备通过普通邮政或其他无保密措施的渠道邮寄、托运。

关于加强党政机关计算机信息系统安全和保密管理的若干规定为加强党政机关计算机信息系统安全和保密管理，保障计算机信息系统和国家秘密的安全，现依据国家有关法律法规和政策，针对当前网络安全保密管理工作存在的突出问题和薄弱环节，制定本规定。

一、按照“谁主管谁负责、谁运行谁负责”的原则，各部门在其职责范围内，负责本单位计算机信息系统的安全和保密管理。

二、各级党政机关应当明确一名主要领导负责计算机信息系统安全和保密工作，指定一个工作机构具体负责计算机信息系统安全和保密综合管理。

各部门内设机构应当指定一名信息安全保密员。

三、计算机信息系统应当按照国家信息安全等级保护的要求实行分类分级管理。

四、涉及国家秘密的信息系统（以下简称涉密信息系统）应当按照国家保密法规和标准管理。

涉密信息系统的建设，应当与保密设施的建设同步进行，经保密工作部门审批后，才能投入使用。

五、涉及国家秘密的信息（以下简称涉密信息）应当在涉密信息系统中处理。

非涉密信息系统不得处理涉密信息。

涉密信息系统必须与互联网及其他公共信息网络实行物理隔离。

六、要加强对与互联网联接的信息网络的管理，采取有效措施，防止违规接入，防范外部攻击，并留存互联网访问日志。

七、计算机的使用管理应当符合下列要求：（一）对计算机及软件安装情况进行登记备案，定期核查；（二）设置开机口令，长度不得少于8个字符，并定期更换，防止口令被盗；（三）安装防病毒等安全防护软件，并及时进行升级；及时更新操作系统补丁程序；（四）不得安装、运行、使用与工作无关的软件；（五）严禁同一计算机既上互联网又处理涉密信息；（六）严禁使用含有无线网卡、无线鼠标、无线键盘等具有无线互联功能的设备处理涉密信息；（七）严禁将涉密计算机带到与工作无关的场所。

八、移动存储设备的使用管理应当符合下列要求：（一）实行登记管理；（二）移动存储设备不得在涉密信息系统和非涉密信息系统间交叉使用，涉密移动存储设备不得在非涉密信息系统中使用；（三）移动存储设备在接入本单位计算机信息系统之前，应当查杀病毒、木马等恶意代码；（四）鼓励采用密码技术等对移动存储设备中的信息进行保护；（五）严禁将涉密存储设备带到与工作无关的场所。

计算机网络安全和信息保密治理规定1、为了保证公司计算机网络系统的稳定运行及网络数据的安全保密，维持安全牢靠的计算机应用环境，特制定本规定。

2、凡使用公司计算机网络系统的员工都必需执行本规定。

3、在公司保密工作小组领导下，由办公室负责接入网络的安全保密治理工作。

办公室落实具体技术防范措施，负责设备、信息系统的安装调试和维护，并对用户指派信息维护员特地负责各部门的信息安全维护工作。

4、对接入公司网络系统的计算机及设备，必需符合一下规定：1）凡接入公司网络系统的计算机，只在需要使用光驱和打印机的网络治理员计算机上安装相关设备，其他计算机不得安装和使用光驱、软驱、USB 卡、磁盘、磁带、打印机等输入、输出端口一律屏蔽和禁用。

2）凡接入公司办公网络的计算机，制止使用任何网络设备，将计算机与国际互联网联结。

3）各部门的计算机均不得与其它办公系统相联结，如有信息传输的需要，可使用软盘、光盘、USB 盘或活动硬盘等数据介质盘片，由网络治理员在装有相应外设的计算机上进展数据传输。

4）在未经许可的状况下，不得擅自对处计算机及其相关设备的硬件局部进展修改、改装或拆卸配置，包括添加光驱、软驱，挂接硬盘等读写设备，以及增加串口或并口外围设备，如扫描仪、打印机等。

4）非我公司的计算机及任何外设，不得接入我公司的网络系统。

5）严禁私自开启计算机机箱封条或机箱锁。

5、凡使用公司网络系统的员工，必需遵守以下规定；1）未经批准，严禁非本公司工作人员使用除计算机及任何相关设备。

2）对上网使用办公网络系统的员工，由办公室负责上岗前的计算机网络设备系统安全及信息保密的技术培训工作。

3）公司计算机网络系统中凡属于国家保密资料或商业隐秘的任何文件、图形等数据〔如地形图等〕，未经批准，任何人严禁将其以任何形式〔如数据形式：Internet、软盘、光盘、硬磁盘等；硬拷贝形式：图纸打印、复印、照片等〕复制、传输或对外供给。

4）任何员工均不得超越权限侵入网络中未开放的信息，不得擅自修改入库数据资料和修改他人数据资料。

信息系统、信息设备和保密设施设备管理制度（SA8000/BSCI/ICTI/RBA6.0）第一条信息系统本公司凡属涉密信息系统的新建、改建、扩建，其规划、建设、使用等都必须要符合国家有关保密规定的要求来进行。

涉密信息系统应当按照国家保密规定和标准，制定分级保护方案，采取身份鉴别、访问控制、安全审计、边界安全防护、信息流转控制等安全保密防护措施。

规划和建设涉密信息系统时，按照涉密信息系统分级保护标准的规定，同步规划和落实安全保密措施，系统建设与安全保密措施同计划、同预算、同建设、同验收。

涉密信息系统规划和建设的安全保密方案，应由具有“涉及国家秘密的计算机信息系统集成资质”的机构编制或自行编制，安全保密方案必须经上级保密主管部门审批后方可实施。

涉密信息系统规划和建设实施时，应由具有“涉及国家秘密的计算机信息系统集成资质”的机构实施或自行实施，并与实施方签署保密协议，项目竣工后必须由保密管理办公室组织验收。

对涉密信息系统要采取与密级相适应的保密措施，配备通过国家保密主管部门指定的测评机构检测的安全保密产品。

涉密信息系统使用的软件产品必须是正版软件。

第二条信息管理涉密信息系统的密级，按系统中所处理信息的最高密级设定，严禁处理高于涉密信息系统密级的涉密信息。

涉密信息系统中产生、存储、处理、传输、归档和输出的文件、数据、图纸等信息及其存储介质应按要求及时定密、标密，并按涉密文件进行管理。

电子文件密级标识应与信息主体不可分离，密级标识不得篡改。

涉密信息系统中的涉密信息总量每半年进行一次分类统计、汇总，并在保密办备案。

涉密信息系统应建立安全保密策略，并采取有效措施，防止涉密信息被非授权访问、篡改，删除和丢失；防止高密级信息流向低密级计算机。

涉密信息远程传输必须采取密码保护措施。

向涉密信息系统以外的单位传递涉密信息，一般只提供纸质文件，确需提供涉密电子文档的，按信息交换及中间转换机管理规定执行。

清除涉密计算机、服务器等网络设备、存储介质中的涉密信息时，必须使用符合保密标准、要求的工具或软件。