涉密计算机及信息系统安全和保密管理办法

涉密计算机保密管理制度涉密计算机保密管理制度第一条涉密计算机由办公室统一购买，并登记编号，建立台账，张贴标签，统一配发，专人负责，专机专用。

聘请相对固定的技术人员负责维护维修，并做好维修记录。

第二条涉及计算机必须设置具有高安全性的开机密码，并确保工作环境安全。

任何无关人员不得接触和使用涉密专用计算机。

涉密机必须安装杀毒软件，定时查杀病毒。

第三条涉及计算机存放于安全场所，与国际互联网和其他公共信息网必须实现物理隔离，不得安装无线键盘、无线鼠标、无线网卡灯设备。

第四条连接内网的计算机坚持“涉密信息不上网，上网信息不涉密”。

第五条涉密计算机不得安装与工作无关的软件程序，不得存放私人信息；与涉密机连接的打印机、复印机、扫描仪等设备，也不能与其他任何网络连接。

第六条涉密计算机确定密级后，不能处理高密集信息。

第七条涉密计算机只能使用涉密移动存储介质，非涉密计算机只能使用非涉密移动存储介质，不得交叉使用。

第八条用涉密计算机处理的信息在打印输出时，打印出的文件应当按照相应密级文件管理，打印过程中产生的残、次、废页等过程文件应按保密要求及时销毁。

非涉密计算机保密管理制度第一条非涉密机应由单位统一购买，登记编号，张贴标签，建立台账。

第二条非涉密计算机不得与涉密计算机相互连接使用，操作人员必须遵守国家有关法律法规。

连接互联网的计算机严禁浏览、下载、传播、发布违法信息；不接收来历不明的电子邮件。

第三条非涉密计算机不得制作、处理、存储、传递、发布涉密信息和文件资料。

第四条非涉密计算机只能使用非涉密移动存储介质。

第五条计算机操作人员调离时应将有关材料、档案、软件移交给其他工作人员；接替人员应对系统重新进行调整，重新设置用户密码。

第十七条机关、单位对承载国家秘密的纸介质、光介质、电磁介质等载体以及属于国家秘密的设备、产品，应当做出国家秘密标志。

第二十一条国家秘密载体的制作、收发、传递、使用、复制、保存、维修和销毁，应当符合国家保密规定。

涉密计算机管理制度为了保护国家信息安全，加强对涉密计算机的管理，制定了涉密计算机管理制度。

该制度由国家机关、企事业单位等使用涉密计算机的单位共同遵守，旨在确保涉密计算机的安全运行和信息的机密性、完整性和可用性。

以下是涉密计算机管理制度的主要内容：一、涉密计算机及其管理范围1.涉密计算机包括涉密服务器、涉密工作站、涉密移动终端和存储介质等。

涉密计算机管理范围包括所有单位内的涉密计算机设备。

2.涉密计算机管理应遵循“谁管理、谁负责、谁使用”的原则，明确涉密计算机的责任主体和权限。

二、涉密计算机的安全要求1.涉密计算机应放置在专用的涉密计算机机房或专用密闭场所，具备防火、防雷、防水、防磁、防尘等安全措施。

2.涉密计算机的操作系统、应用程序、安全防护软件等应使用正版授权软件，并定期进行安全更新和补丁升级。

3.涉密计算机的接口、设备，如USB接口、光驱等，应进行严格的授权和管理，禁止随意连接外部设备。

4.涉密计算机的网络接入应遵循网络安全规范，配置适当的防火墙和入侵检测系统，建立安全的网络隔离和访问控制。

三、涉密计算机的使用管理1.涉密计算机的使用应遵循“安装、配置、使用、维护、保密”五个阶段的管理流程，确保计算机的安全性。

2.涉密计算机的使用人员应经过涉密计算机安全培训和考核合格后方可使用，定期进行安全意识培训和技术培训。

3.涉密计算机的使用日志、操作记录、安全报告等应严格保存，并定期进行审计和检查。

四、涉密信息传输与存储1.涉密信息的传输应使用安全通信方式，如加密通信、VPN通信等，禁止使用不安全的网络协议和传输渠道。

2.涉密信息的存储应使用加密存储设备，存储介质要经过擦除或者销毁处理后再重新使用。

3.涉密信息的备份和恢复应按照规定的流程和安全策略，确保备份数据的密级与原数据一致。

五、涉密计算机的处置与报废1.涉密计算机的处置应按照国家有关规定进行，包括清除涉密信息、解除密级封锁、注销使用账号等。

2.涉密计算机的报废应经过涉密计算机管理部门的审批，并按照规定的程序进行处理。

涉密网络安全保密防护和管理随着信息化和工业化步伐的加快，互联网已经成为社会生活的重要组成部分，无纸化办公和网络化办公已经成为主流。

然而，一些政府机关、科研院所、军工企业等单位需要存储和处理大量涉密信息，对网络和信息系统的依赖性不断增强，泄密渠道和机会增加。

因此，网络保密管理尤其是涉密网络安全保密防护和管理工作成为保密工作的重中之重。

涉密网络安全保密隐患包括：违规外联、计算机端口滥用、权限失控、系统漏洞和人为因素。

违规外联是指一些工作人员为了便利，将计算机违规接入互联网，破坏了内外网的物理隔离，极有可能将病毒、木马、后门等带入内网，导致黑客入侵并把涉密计算机作为跳板，渗透到内部网络，给涉密网络带来非常严重的危害和后果。

计算机端口滥用是指涉密计算机的光驱、USB接口、红外接口等很容易被违规接入未经授权批准的外接设备，从而导致信息泄漏或涉密计算机感染病毒。

权限失控是指如果没有使用用户身份鉴别和权限控制措施，工作人员可以毫无障碍地调阅高于自身知悉范围内的涉密信息，从而导致泄密。

系统漏洞是指应用软件或操作系统软件在逻辑设计上的缺陷或错误，这些漏洞成为入侵者进入计算机或网络的一个“后门”，可通过植入木马、病毒等方式来攻击或控制整个计算机和网络，窃取其中的涉密信息。

人为因素包括保密意识不强、口令设置过于简单、没有定期升级系统软件或病毒库等，以及保密技术知识缺乏或操作失误导致的泄密。

为了保证涉密网络安全保密防护和管理，应该加强涉密网络的物理隔离，严格控制计算机的外联，禁止未经授权的外接设备，实施用户身份鉴别和权限控制措施，及时修补系统漏洞，定期升级系统软件和病毒库，加强保密意识教育和培训，提高工作人员的保密意识和技能。

涉密网络安全保密防护技术虚拟局域网技术是一种能够根据网络用户的位置、作用、部门或应用程序和协议来进行分组的技术。

这种技术能够避免病毒感染和黑客入侵。

虚拟局域网技术还可以对交换机端口进行灵活的划分操作，使得在涉密网络中网络设备的灵活移动成为可能。

一、总则为加强我单位计算机保密安全管理，确保国家秘密、商业秘密和个人隐私的安全，根据《中华人民共和国保守国家秘密法》、《中华人民共和国网络安全法》等相关法律法规，结合我单位实际情况，制定本制度。

二、适用范围本制度适用于我单位所有使用计算机及其网络系统的单位和个人，包括但不限于员工、临时工、实习生等。

三、保密责任1. 各部门负责人对本部门计算机保密安全工作负总责，确保本部门计算机保密安全工作落到实处。

2. 各部门应建立健全计算机保密安全责任制，明确各级人员保密责任。

3. 员工应自觉遵守计算机保密安全规定，履行保密义务。

四、保密措施1. 网络安全（1）严格执行网络安全管理制度，加强网络安全防护，确保网络系统安全稳定运行。

（2）定期对网络系统进行安全检查，及时修复漏洞，防止黑客攻击。

（3）加强网络安全意识教育，提高员工网络安全防护能力。

2. 信息安全（1）对涉密信息进行分类管理，按照国家秘密、商业秘密和个人隐私的不同等级进行保护。

（2）严格保密信息访问权限，确保只有授权人员才能访问涉密信息。

（3）对涉密信息进行加密存储和传输，防止信息泄露。

3. 计算机设备管理（1）涉密计算机实行专机专用，不得用于处理非涉密信息。

（2）严禁在涉密计算机上安装与保密工作无关的软件。

（3）对涉密计算机进行定期检查和维护，确保其正常运行。

4. 移动存储介质管理（1）严禁使用非法移动存储介质，如U盘、光盘等。

（2）涉密移动存储介质应进行统一购置、统一标识、严格登记、集中管理。

（3）严禁将涉密信息存储在私人移动存储介质上。

五、泄密事件处理1. 发生泄密事件时，立即启动应急预案，采取有效措施，防止事态扩大。

2. 对泄密事件进行调查，查明原因，依法依规进行处理。

3. 对泄露国家秘密、商业秘密和个人隐私的行为，依法追究责任。

六、附则1. 本制度由我单位保密工作领导小组负责解释。

2. 本制度自发布之日起施行。

3. 本制度如有未尽事宜，由保密工作领导小组根据实际情况进行修订。

公司计算机和信息系统保密管理制度第一章总则第一条为进一步加强公司计算机和信息系统保密管理工作，防范泄密事件发生，确保国家及公司秘密安全，根据《中华人民共和国计算机信息系统安全保密条例》，结合本公司实际，特制定本制度。

第二条本制度适用于公司各部门计算机和信息系统的保密管理。

第二章计算机和信息系统保密管理总体要求第三条公司计算机信息系统管理坚持“涉密机不上国际互联网，上国际互联网机不涉密”的原则。

第四条公司计算机实行分级保护。

计算机的分级保护是指涉密计算机的使用部门根据分级保护管理办法和有关标准，对涉密计算机分等级实施保护。

公司保密办根据该计算机的保护等级实施监督管理，确保计算机和信息的安全。

第五条涉密计算机分级保护管理应遵循“规范定密，准确定级；依据标准，同步建设；突出重点，确保核心；明确责任，加强监督”的原则。

第六条涉密计算机按照所处理的最高密级，由低到高划分为秘密、机密两个等级。

第七条公司规划和建设涉密计算机集中管理区域时，必须同步规划和落实安全保密措施。

涉密计算机集中管理区域建成后，由公司保密办组织相关单位、部门进行验收，验收达到安全保密要求的，才能处理国家秘密信息。

未达到保密要求的，不得处理涉密信息。

第八条涉密计算机集中管理区域内涉密计算机的安全防护产品，应当选择具有涉密资质的单位承担或参与涉密计算机的方案设计与实施、软件开发、系统服务、咨询、风险评估等。

公司保密办要对涉密计算机的防护方案进行备案。

第九条涉密计算机领导小组应当定期组织对涉密计算机的安全保密状况进行自评估。

检查分析由于系统需求及技术与管理因素变化而新出现的安全威胁，动态调整安全策略，适时补充和完善技术与管理措施，使涉密计算机保持与等级要求一致的防护水平。

第十条涉密计算机应当制定文档化的安全保密策略，并根据环境、系统和威胁变化情况及时调整更新；应当定期（机密级1个月、秘密级3个月）形成文档化的安全保密审计报告；每12个月根据综合审计日志，进行一次风险评估，形成文档化的风险分析报告，对存在的风险应当及时采取补救措施。

关于加强党政机关计算机信息系统安全和保密管理的若干规定为加强党政机关计算机信息系统安全和保密管理，保障计算机信息系统和国家秘密的安全，现依据国家有关法律法规和政策，针对当前网络安全保密管理工作存在的突出问题和薄弱环节，制定本规定。

一、按照“谁主管谁负责、谁运行谁负责”的原则，各部门在其职责范围内，负责本单位计算机信息系统的安全和保密管理。

二、各级党政机关应当明确一名主要领导负责计算机信息系统安全和保密工作，指定一个工作机构具体负责计算机信息系统安全和保密综合管理。

各部门内设机构应当指定一名信息安全保密员。

三、计算机信息系统应当按照国家信息安全等级保护的要求实行分类分级管理。

四、涉及国家秘密的信息系统（以下简称涉密信息系统）应当按照国家保密法规和标准管理。

涉密信息系统的建设，应当与保密设施的建设同步进行，经保密工作部门审批后，才能投入使用。

五、涉及国家秘密的信息（以下简称涉密信息）应当在涉密信息系统中处理。

非涉密信息系统不得处理涉密信息。

涉密信息系统必须与互联网及其他公共信息网络实行物理隔离。

六、要加强对与互联网联接的信息网络的管理，采取有效措施，防止违规接入，防范外部攻击，并留存互联网访问日志。

七、计算机的使用管理应当符合下列要求：（一）对计算机及软件安装情况进行登记备案，定期核查；（二）设置开机口令，长度不得少于8个字符，并定期更换，防止口令被盗；（三）安装防病毒等安全防护软件，并及时进行升级；及时更新操作系统补丁程序；（四）不得安装、运行、使用与工作无关的软件；（五）严禁同一计算机既上互联网又处理涉密信息；（六）严禁使用含有无线网卡、无线鼠标、无线键盘等具有无线互联功能的设备处理涉密信息；（七）严禁将涉密计算机带到与工作无关的场所。

八、移动存储设备的使用管理应当符合下列要求：（一）实行登记管理；（二）移动存储设备不得在涉密信息系统和非涉密信息系统间交叉使用，涉密移动存储设备不得在非涉密信息系统中使用；（三）移动存储设备在接入本单位计算机信息系统之前，应当查杀病毒、木马等恶意代码；（四）鼓励采用密码技术等对移动存储设备中的信息进行保护；（五）严禁将涉密存储设备带到与工作无关的场所。

中国人民解放军计算机信息系统安全保密规定第一章总则第一条为了加强军队计算机信息系统的安全保密,保障军队建设和军事行动的顺利进行,根据中国人民解放军保密条例和中国人民解放军技术安全保密条例,制定本规定;第二条本规定所称计算机信息系统,是指以计算机及其网络为主体、按照一定的应用目标和规则构成的用于处理军事信息的人机系统;计算机信息系统安全保密,是为防止泄密、窃密和破坏,对计算机信息系统及其所载的信息和数据、相关的环境与场所、安全保密产品的安全保护;第三条规定适用于军队涉及计算机信息系统的单位和人员;第四条军队计算机信息系统安全保密工作,实行保密委员会统一领导下的部门分工负责制,坚持行政管理与技术防范相结合;各级计算机信息系统建设主管部门,负责本级和所属计算机信息系统安全保密的规划和建设;各级密码主管部门,按照规定负责计算机信息系统所需密码系统的建设规划以及对密码设备和技术的研制开发管理;计算机信息系统的使用单位,负责上网信息的审批和日常安全保密管理工作;各级保密委员会办事机构,负责本级和所属计算机信息系统安全保密工作的组织协调和监督检查;解放军信息安全测评认证中心负责军队计算机信息系统安全技术和产品的测评认证工作;第五条军队计算机信息系统的安全保密建设,应当与计算机信息系统的总体建设同步规划,同步发展,其所需费用列入系统建设预算;第六条任何单位或者个人不得利用军队计算机信息系统从事危害国家、军队和公民合法权益的活动,不得危害军队计算机信息系统的安全和正常运行;第二章防护等级划分第七条军队计算机信息系统,按照下列规定划分防护等级：一处理绝密信息或者遭受攻击破坏后会给军队安全与利益造成特别严重损害的计算机信息系统,实行五级防护；二处理机密信息或者遭受攻击破坏后会给军队安全与利益造成严重损害的计算机信息系统,实行四级防护；三处理秘密信息或者遭受攻击破坏后会给军队安全与利益造成比较严重损害的计算机信息系统,实行三级防护；四处理军队内部信息或者遭受攻击破坏后会给军队安全与利益造成一定损害的计算机信息系统,实行二级防护；五接入军外信息网的计算机信息系统,实行一级防护;第八条军队计算机信息系统应当按照军队计算机信息系统安全防护标准见附录一,采取与其防护等级相应的防护措施,选用符合军用计算机安全评估准则的产品;因技术或者产品等原因,一时达不到防护标准要求的,必须采取有效的补救措施;第三章计算机及其网络第九条军队计算机及其网络的设计、研制、建设、运行、使用和维护应当满足规定的战术、技术条件下的安全保密要求;新建、改建重要计算机网络必须报上一级军事信息系统建设主管部门审批,并经军队技术安全保密检查机构检测评估;未通过检测评估的不得交付使用;第十条军队计算机及其网络应当尽量采取国产设备和软件;确需要采取境外产品时,应当按照安全保密要求进行技术改造;第十一条军队计算机及其网络的安装、调试和维修,应当由军内单位和人员承担;确需军外单位和人员承担时,必须经过师级以上单位批准,并指定专人陪同,工作结束后进行技术安全保密检查;第十二条军队计算机及其网络的设计、研制、建设和维修,不得使用国家和军队已明令禁用或者有严重安全保密缺陷的硬件和软件;第十三条用于处理内部信息和涉密信息的计算机及其网络,必须与国外、军外计算机及其网络实行物理隔绝,并不得出借、转让给军外单位或者个人;第十四条管理使用大型计算机信息系统的军队单位,应当设立安全保密小组;一般计算机信息系统,应当有负责安全保密日常工作的安全管理员;第十五条军队计算机信息系统操作人员、管理人员和安全保密人员以下统称计算机信息系统工作人员的涉密范围和访问权限,由业务主官部门按照权限分隔、相互制约与最小授权的原则确定;军队计算机信息系统工作人员上岗前应当经过安全保密培训,工作时佩带明显的标志,并遵守军队计算机信息系统工作人员安全保密守则见附录二;第十六条管理使用计算机信息系统的军队单位和人员,必须接受保密管理部门的监督检查;对检查中发现的问题,主管部门和使用单位应当及时解决;第四章信息与介质第十七条军队计算机信息系统中的涉密信息和重要数据,必须按照秘密性、完整性、可用性和安全性的要求进行生产、传递、存储和使用;第十八条军队计算机信息系统中的涉密信息,必须按照中国人民解放军保密条例的有关规定划定密级,并具有与该涉密信息不可分离的密级标记和出网标记;第十九条向军队计算机及其网络所在控制区外传输秘密信息,必须按照信息的密级采取加密措施；在控制区内传输秘密信息,视需要采取相应的加密措施;第二十条军队计算机信息系统中的涉密信息和重要数据,应当根据工作需要和最小授权原则进行存取,任何单位或者个人不得越权调阅、使用、修改、复制和删除;第二十一条用于存储涉密信息和重要数据的数据库,必须具备相应的安全保密防护措施;第二十二条军队计算机信息系统中重要的涉信息和数据,必须及时备份和异地存放,并按照其原密级采取相应的安全保护措施;第二十三条存储涉密信息的硬盘、软盘、光盘、磁带等介质,应当按照其中存放信息的最高密级划定秘密等级,并按照秘密载体安全保密要求进行管理;第二十四条处理过军队涉密信息或者重要数据的存储介质,不得转让或者出借给无关人员使用,不得私自带往境外,不得送往无安全保密保障的机构修理;已划定秘密等级的存储介质报废后,应当彻底销毁;第五章环境与场所第二十五条军队计算机信息系统所在的环境,必须符合国家和军队有关电磁环境的安全要求;对涉密或者重要的计算机信息系统,必须采取防电磁泄漏的措施;第二十六条集中设置计算机及其网络设备的场所,应当根据涉密程度、重要程度和周围环境状况,按照国家与军队的有关规定、标准进行建设管理,并划定带有明显标志的控制区;分散设置的涉密计算机及其网络设备,应当置于办公区域的安全部位,并采取相应的安全保密措施;第二十七条军队计算机信息系统的重要机房和网络设施,必须按照国家和军队的有关规定,与境外驻华机构、人员驻地和涉外建筑保持相应的安全距离,并不得共用电源、金属管线和通风管道;无法达到上述要求的,必须采取有效的防护措施;第二十八条新建涉密的大型机房,必须经过技术安全保密检查合格后方可使用;第六章安全保密产品第二十九条用于军队计算机信息系统安全保密防护与检测的硬件、软件和系统,必须选用军内或者国内研制开发并经解放军信息安全测评认证中心测评认证的产品；其中的密码技术和设备,必须符合国家和军队有关密码管理的政策和规定;经测评认证合格的安全保密产品,由解放军保密委员会技术安全检查办公室列入军队安全保密产品目录；需要在全军推广应用的,由解放军保密委员会批准;第三十条军队单位研制和开发安全保密产品,应当执行军队有关的规定和标准；军队暂无规定和标准的参照国家有关规定和标准执行;第三十一条专门用于军队计算机信息系统的安全保密产品,未经解放军保密委员会办事机构批准,不得对外宣传和销售;第七章应急处置第三十二条军队计算机信息系统在面临危险或者遭受攻击、破坏的情况下,必须采取安全保密应急处置行动;第三十三条军队计算机信息系统应急处置行动,由各级计算机信息系统主管部门组织实施；各级保密委员会技术安全检查办公室负责应急行动的协调与支援;第三十四条师级以上单位计算机信息系统主管部门应当指定安全保密应急组织,担负下列任务：一按照应急处置方案组织演练；二采取应急处置措施,实施应急处置计划,阻止侵袭蔓延,消除泄密、窃密隐患和破坏威胁；三查明侵袭破坏情况和威胁来源；四恢复系统正常运行；五上级赋予的其他任务;第三十五条军区级以上单位的技术安全检查办公室应当建立应急支援与协调组织,担负下列任务：一制定本级安全保密应急支援预案；二发布应急处置有关预警信息；三采取应急支援措施,实施应急计划；四查明侵袭破坏情况和威胁来源,必要时组织反击行动；五对指挥机关和部队有关的军事行动提供安全保密应急支援；六上级赋予的其他任务;第三十六条计算机信息系统工作人员发现针对军队计算机信息系统的恶意攻击、黑客侵袭、计算机病毒危害、网上窃密及破坏、电磁攻击以及其他重大破坏活动或者征候时,应当立即报告计算机信息系统主管部门和本级保密委员会办事机构,并采取相应的应急措施;第八章奖励与处分第三十七条符合下列条件之一的单位和人员,依照中国人民解放军纪律条令的有关规定,给予奖励：一在计算机信息系统安全保密理论研究和法规标准制定方面做出重要贡献的；二研究、开发计算机信息系统安全保密技术、产品、设施取得重要成果的；三在计算机信息系统安全保密检查、检测手段和方法方面有发明创造的；四及时发现或者有效消除计算机信息系统安全保密重大缺陷或者隐患的；五在紧急情况下保护计算机信息系统安全免遭损失的；六在计算机信息系统安全保密工作的其他方面做出显着成绩的;第三十八条有下列情形之一的,依照中国人民解放军纪律条令的有关规定,对负有直接责任的主管人员和其他直接责任人员给予处分；构成犯罪的,依法追究刑事责任：一侵袭计算机信息系统的；二非法删除、修改、增加、干扰计算机信息系统的功能、数据、程序,造成严重后果的；三制造、传播计算机病毒等破坏性程序,影响计算机信息系统正常运行的；四发现计算机信息系统安全保密隐患或者计算机病毒及其他破坏性威胁,不及时报告或者不采取措施,造成严重后果的；五泄漏军队计算机信息系统安全保密防护技术、方法、措施、产品性能、效果和应用范围,造成后果的；六使用已经禁用或者不符合规定的计算机信息系统、安全保密产品,造成严重安全保密隐患的；七其他危害计算机信息系统安全保密的;第九章附则第三十九条中国人民武装警察部队的计算机信息系统安全保密工作参照本规定执行;第四十条本规定由中国人民解放军保密委员会负责解释;第四十一条本规定自发布之日起施行;附录军队计算机信息系统安全防护标准军队计算机网络安全保密守则。