計算機和信息系統安全保密管理辦法
第一章?總?則
第一條?為確保公司計算機和信息系統的運行安全,確保國家秘密安全,根據國家有關規定和要求,結合工作實際情況,制定本辦法。
第二條?公司計算機和信息系統安全保密工作遵循“積極防范、突出重點、依法管理”的方針,切實加強領導,明確管理職責,落實制度措施,強化技術防范,不斷提高信息安全保障能力和水平。
第二章?組織機構與職責
第三條?計算機和信息系統安全保密管理工作貫徹“誰主管,誰負責”、“誰使用,誰負責”的原則,實行統一領導,分級管理,分工負責,有效監督。
第四條?保密委員會全面負責計算機和信息系統安全保密工作的組織領導。主要職責是:
(一)審訂計算機和信息系統安全保密建設規劃、方案;
(二)研究解決計算機和信息系統安全保密工作中的重大事項和問題;
(三)對發生計算機和信息系統泄密事件及嚴重違規、違紀行為做出處理決定。
第五條?保密管理部門負責計算機和信息系統的安全保密指導、監督和檢查。主要職責是:
(一)指導計算機和信息系統安全保密建設規劃、方案的編制及實施工作;
(二)監督計算機和信息系統安全保密管理制度、措施的落實;
(三)組織開展計算機和信息系統安全保密專項檢查和技術培訓;
(四)參與計算機和信息系統安全保密的風險評估、分析及安全保密策略的制定工作。
第六條?信息化管理部門負責計算機和信息系統的安全保密管理工作。主要職責是:
(一)負責計算機和信息系統安全保密建設規劃、方案、制度的制訂和實施;
(二)負責計算機和信息系統安全保密技術措施的落實及運行維護管理;
(三)負責建立、管理信息設備臺帳;
(四)負責計算機和信息系統安全保密策略的制定、調整、更新和實施;
(五)定期組織開展風險評估、風險分析,提出相應的安全措施建議,并編制安全保密評估報告;
(六)開展計算機和信息系統安全保密技術檢查工作;
(七)涉及計算機和信息系統有關事項的審查、審批;
(八)計算機和信息系統安全保密的日常管理工作。
第七條?公司應結合工作實際設定涉密計算機和信息系統的系統管理員、安全保密管理員、安全審計員,分別負責涉密計算機和信息系統的運行、安全保密和安全審計工作。“三員”的權限設置應當相互獨立、相互制約,安全保密管理員與安全審計員不得由一人兼任。
沒有涉密信息系統,只使用單臺涉密計算機的單位,應當配備安全保密管理員。
第八條?涉密計算機和信息系統管理人員應當符合以下要求:
(一)符合國家及集團公司對涉密人員的要求;
(二)熟悉計算機和信息系統各項安全保密法律、法規和標準;
(三)熟練掌握有關專業知識和業務技能;
(四)通過國家有關部門的上崗培訓,并獲得上崗資格。
第三章?涉密信息系統的建設管理
第九條?建設涉密信息系統必須依照國家有關規定、標準和規范進行,安全保密設施必須與涉密信息系統同步規劃、同步建設、同步運行。
第十條?建設涉密信息系統,應當在方案設計前,由保密委員會根據所建系統擬涉及國家秘密的最高密級確定保護等級。
第十一條?涉密信息系統建設方案的設計應當選擇具有相應涉密資質的單位承擔,建設方案按照建設系統的對應密級進行定密和管理。建設方案完成后,由保密辦報請上級保密管理部門組織評審并備案。
第十二條?涉密信息系統建設過程中,必須采取嚴格的安全保密管理措施。系統集成、綜合布線、系統服務、系統咨詢、軟件開發、工程監理等,應當選擇具有相應資質的單位承擔,并明確提出保密要求,簽訂保密協議。涉及國家秘密的工程資料應當根據需要控制發放,并做出登記。工程完工后,應當按登記如數收回。施工現場應當采取措施,禁止無關人員進入。
第十三條?涉密信息系統所采用的安全保密產品,必須選用通過國家相關主管部門授權測評機構檢測合格的產品,并應當查驗產品合格證書、產品檢測報告中所描述的適用范圍及其有效期。
第十四條?涉密信息系統的測評工作統一由集團公司保密辦委托國家涉密信息系統測評中心兵器分中心實施。
第十五條?涉密信息系統經測評完成,取得涉密信息系統檢測評估報告后,由上級保密管理部門向集團公司保密辦正式提交《涉及國家秘密的信息系統投入使用申請書》,并經集團公司保密辦審核批準后,報相關保密行政管理部門審批,領取《涉及國家秘密的信息系統使用許可證》。
第十六條?新建涉密信息系統在投入運行前,應當經地方保密工作部門審批,在未取得《涉及國家秘密的信息系統使用許可證》前,不得投入使用。在正式運行之前,不得存儲和處理國家秘密信息。
第十七條?涉密信息系統在設計、評審、施工及驗收過程中發生失泄密事件或因有關工程信息資料泄露導致涉密信息系統防護措施失效、削弱的,屬于建設單位責任的,由建設單位承擔;屬于其他環節責任的,由相關環節負責人負責。
第四章?信息設備臺帳與標識管理
第十八條?信息化管理部門應當根據實際,建立信息設備總臺帳,內設機構或部門應當相應建立二級臺帳。信息設備臺帳可按以下類別分類:
(一)計算機,包括服務器、用戶終端;
(二)網絡設備和外部設備,包括交換機、路由器、網關、網閘、VPN設備、打印機、制圖(繪圖)機、掃描儀、光盤刻錄機(外接式)等;
(三)安全保密產品,包括計算機病毒防護產品,密碼產品及身份鑒別、訪問控制、安全審計、入侵檢測、邊界防護和電磁泄漏發射防護等產品;
(四)移動存儲介質。
第十九條?各類臺帳應當包括以下內容:
(一)計算機管理臺帳:部門、責任人、名稱型號、密級或用途、操作系統安裝日期、硬盤序列號、IP地址、MAC地址、使用情況等;
(二)網絡設備和外部設備管理臺帳:部門、責任人、名稱、型號、使用情況等;
(三)安全保密產品管理臺帳:責任人、名稱、型號、檢測證書名稱和編號、購置時間、使用情況等;
(四)移動存儲介質管理臺帳:部門、責任人、名稱、編號、序列號、密級或用途、使用情況等。
第二十條?信息設備臺帳管理工作實行專人負責,動態管理,并建立、健全信息設備從配置到銷毀全過程的報告、審批和定期核驗機制,確保信息設備臺帳能夠適時、準確的反映信息設備的客觀情況。
第二十一條?公司應對信息設備進行標識管理。設備標識由公司統一制作。
標識內容應與臺帳信息的主要內容相符,并保持完好。不得故意損毀、涂改、撕揭或擦除。計算機和信息系統中的服務器、用戶終端、外部設備、存儲介質、安全保密產品等,應當根據其處理和存儲信息的最高密級或主要用途進行標識。標識應當粘貼在明顯位置,并與涉密信息的存儲部件相關聯。
移動存儲介質如無法粘貼標識的,可以采取不可擦除的方式標注。
第五章?計算機和信息系統的保密管理
第二十二條?計算機和信息系統的使用管理必須遵守如下規定:
(一)嚴禁使用涉密計算機和信息系統連接國際互聯網或公共信息網絡;
(二)嚴禁使用連接國際互聯網或公共信息網絡的計算機及其它非涉密計算機存儲、處理涉密信息;
(三)嚴禁將涉密計算機接入內部非涉密網絡。
第二十三條?涉密信息系統經安全保密技術測評,并正式投入運行后,如發生下列變更事項時,應當及時報告上級保密管理部門和負責審批的保密行政管理部門:
(一)涉密等級;
(二)連接范圍;
(三)環境設施;
(四)主要應用;
(五)安全保密責任管理單位。
由保密行政管理部門決定是否需要重新進行測評和審批。
第二十四條?外部信息導入涉密計算機和信息系統的,應當通過中間轉換機或經過國家相關部門批準的安全可靠的信息交換措施進行。使用中間轉換機轉換信息的,中間轉換機應當按涉密和非涉密分別設立,并嚴格按照相關標準的規定程序進行操作。
第二十五條?涉及涉密計算機和信息系統的設備,應當由單位統一選配,統一安裝,嚴格控制,規范使用。
第二十六條?禁止在涉密計算機和信息系統中使用無線鍵盤、無線鼠標、無線網卡、無線路由器等具有無線功能的設備或產品。
第二十七條?涉密計算機和信息系統應當根據其相應密級采取對應的身份鑒別、數字簽名、訪問控制、安全審計、信息加密、數據保護、介質管理、防違規外聯等技術措施。
第二十八條?涉密計算機和信息系統服務器、用戶終端應當設置相關安全策略,設置原則是:關閉全部共享、與應用無關的所有端口、服務、鏈接和系統授權。
第二十九條?涉密計算機和信息系統應當采取計算機病毒防護措施,定期對計算機病毒與惡意代碼防護措施進行查驗,并及時更新計算機病毒與惡意代碼樣本庫。更新周期為:涉密信息系統不超過3天,單臺涉密計算機不超過15天。
第三十條?各單位應建立統一的補丁程序分發安裝機制,在補丁程序發布后3個月內及時安裝,保證系統的安全性,對不能安裝系統補丁程序的非正版操作系統,應當更換操作系統。
第三十一條?下列事項必須報經信息化管理部門批準后由相關管理人員實施:
(一)因系統崩潰、操作系統損壞等原因需重新安裝操作系統的;
(二)更改或清除涉密計算機和信息系統的移動存儲介質及外部設備安裝、使用等日志記錄的;
(三)因工作需要對涉密計算機和信息系統安裝、擴展、縮減、拆卸軟硬件的;
(四)因工作需要卸載、修改涉密信息系統的安全技術程序、管理程序的。
第三十二條需經常安裝的應用軟件和軟件工具,經信息化管理部門審批后,由系統管理員上傳到指定的服務器或存儲在一次性刻錄光盤中,供涉密計算機和信息系統用戶終端下載、安裝使用。
第三十三條公司要加強對連接國際互聯網計算機的管理和使用,應遵循以下原則:
(一)未經批準,不得擅自以任何方式連接國際互聯網;
(二)公司集中使用的國際互聯網計算機應當指定專人負責管理,分散使用的國際互聯網計算機應當明確責任人,做好上網記錄;
(三)應制定國際互聯網信息發布管理制度,明確需要通過保密審查的信息范圍和審查程序。審查一般應由擬發布信息的業務主管部門負責,業務主管部門把握不準的,由保密管理部門審查,單位業務主管領導審批;
(四)公司應采取有效技術措施,對通過互聯網或公共信息系統發送電子郵件等信息進行監控和記錄。
第三十四條?密碼設備的使用和管理按照公司有關規定執行。
第六章?便攜式計算機和存儲介質保密管理
第三十五條?建立健全便攜式計算機和移動存儲介質的管理制度和措施,根據工作實際,采取集中管理,指定專人負責。
第三十六條?涉密便攜式計算機應當拆除具有無線聯網功能(如無線網卡、藍牙、紅外等)的硬件模塊,如無法進行拆除的,不得作為涉密計算機使用。
第三十七條?攜帶涉密便攜式計算機和移動存儲介質外出,應當履行審批手續和領用前狀態檢查;返還時,應當對外出使用情況進行技術檢查。
第三十八條?外出攜帶涉密便攜式計算機和移動存儲介質要確保安全,全程有效控制。同時攜帶涉密便攜式計算機和移動存儲介質時,二者應分開保管。
第三十九條?不得使用低密級便攜式計算機和移動存儲介質存儲、處理高密級信息;不得在低密級計算機上使用高密級移動存儲介質。
第四十條?在涉密計算機和信息系統內使用的存儲介質應當采取有效的技術控制措施,確保未經授權的移動存儲介質不能在涉密計算機和信息系統中使用。
第四十一條?在使用便攜式計算機和移動存儲介質時不得有下列行為:
(一)在非涉密便攜式計算機和移動存儲介質中存儲、處理涉密信息的;
(二)涉密移動存儲介質在非涉密計算機和信息系統中使用的;
(三)將非涉密和個人具有存儲功能的介質和設備接入涉密計算機和信息系統的;
(四)私自攜帶涉密便攜式計算機和移動存儲介質外出的;
(五)移動存儲介質在涉密計算機、信息系統和非涉密計算機、信息系統之間交叉使用的。
第四十二條?涉密移動存儲介質不得降為非涉密移動存儲介質使用。
第七章?信息安全保密管理
第四十三條?涉密計算機和信息系統中的涉密信息應當標明密級,密級標識不得與正文分離。標注方式應當遵行以下原則:
(一)處于起草、設計、編輯、修改過程中和已完成的電子文檔、圖表、圖形、圖像、數據等,只要內容涉及國家秘密,在首頁應當標明密級;
(二)電子數據文件、圖表、圖形、圖像等涉密信息在首頁無法直接標注密級標識的,可將密級標識作為文件名稱的一部分進行標注;
(三)涉及國家秘密的程序、數據庫文件、數據文件、視頻文件等,在軟件運行首頁、數據視圖首頁和影像播映首頁應當標注密級。
第四十四條?涉密計算機和信息系統應當采取有效的技術控制措施,禁止涉密信息非授權輸出。涉密信息系統中涉密信息輸出點要按照最小化原則設置。指定專人負責。
第四十五條?涉密信息遠程傳輸應當按照國家有關規定采取密碼保護措施,存儲與傳輸、使用的加密措施應當與涉密信息的密級相適應,并得到國家主管部門批準。
第四十六條?密鑰的管理和使用應符合國家有關安全保密規定,并接受國家相關主管部門的指導和監督。
第四十七條?公司應當制定完善的涉密信息備份制度,并采取有效的防盜、防災措施,保證備份的安全。
第四十八條?涉密計算機軟硬件配置情況及本身有涉密內容的各種應用軟件等信息,不得進行公開學術交流,不得公開發表。
第八章?維修、報廢與銷毀
第四十九條?涉密計算機和信息系統服務器、用戶終端、外部設備、存儲介質發生故障時,使用部門應當向信息管理部門提出維修申請,經批準后維修。涉密計算機和信息系統、存儲介質維修應當遵循以下原則:
(一)現場維修時,一般應當由公司內部維修人員實施;需外部人員到現場維修時,維修過程中應當由有關人員旁站陪同;禁止維修人員恢復、讀取和復制被維修設備中的涉密信息;禁止通過遠程連接,對涉密計算機和信息系統進行維修和維護工作;
(二)需要帶離現場進行維修的,應當拆除所有可能存儲過涉密信息的硬件和固件。維修地點在公司內部的,應在符合保密要求的維修場所進行;維修地點在外部的,應與維修單位和維修人員簽訂保密協議;
(三)設備中存儲過涉密信息的硬件和固件不能拆除或發生故障時,如不能保證安全的,應當按照涉密載體銷毀要求予以銷毀;確需維修時,送至具有涉密信息系統數據恢復資質的單位進行維修,并由專人負責取送;
(四)信息化管理部門應當建立維修日志和檔案,并將所有涉密設備維修情況記錄在案,記錄內容應包括維修單位、維修人、故障現象、保密措施、維修內容、維修結果、監督檢查等。
第五十條?禁止將未經安全技術處理的退出使用的涉密計算機、涉密存儲設備贈送、出售、丟棄或改作其他用途。如將退出使用的涉密計算機、涉密存儲設備贈送、出售、丟棄或改作其他用途時,應當經信息化管理部門審批,拆除涉密存儲部件和固件上交保密辦進行銷毀處理。
第五十一條?保密管理部門應建立報廢、銷毀涉密設備和存儲介質臺帳。報廢、銷毀涉密設備和存儲介質應當履行清點、登記、審批手續,并將涉密設備和存儲介質的密級、型號規格、經辦人、采取的方法措施以及最終去向等情況記錄在案并歸檔。
第九章?場所的安全保密
第五十二條?安裝、使用涉密計算機信息系統的場所,應與境外機構駐地和人員住所保持相應的安全距離,并根據所處理信息的涉密程度設立必要的控制區域,未經批準無關人員不得進入。
第五十三條?安裝、使用涉密計算機信息系統的場所應當每半年或根據需要,由公司保密管理部門組織安全保密技術檢查。
第五十四條?安裝、使用涉密計算機和信息系統的場所采取的電磁泄漏發射防護措施應當滿足BMB5-2000《涉密信息設備使用現場的電磁泄漏發射防護要求》,有關設備或技術措施應得到國家保密行政管理部門或國家安全部門的認可。
第五十五條?安裝、使用涉密計算機信息系統場所的其它物理安全要求,應符合國家有關安全保密管理要求,保密級別按系統中的最高密級設定。
第五十六條?涉密計算機信息系統的中心機房和密碼機房應列為保密要害部位進行管理,建立健全相應安全保密制度和采取有效的出入控制措施。
第十章?監督管理
第五十七條?對違反本辦法使用涉密信息系統的部門和個人,保密辦責令其限期整改。對拒不整改的,停止使用,由單位給予處罰。
第五十八條?保密管理部門和信息化管理部門要經常對涉密計算機和信息系統、存儲介質的使用、管理情況進行檢查。對違反保密管理規定的,及時做出處理。造成失泄密的,要給予相關責任人行政處分和經濟處罰,情節嚴重的,應依據國家有關法律追究有關領導和直接責任人的法律責任。
第五十九條?發現涉密信息設備、移動存儲介質遺失、被盜,在全力查找、追繳的同時,報告上級保密管理部門和當地保密行政管理部門,并采取積極有效的措施減少失泄密隱患。
第十一章?附?則
第六十條?本辦法由公司保密辦負責解釋。
第六十一條?本辦法自*****年**月***日起執行。
篇2:車站計算機設備安全管理制度
1、計算機操作者必須具有一定的計算機基礎知識。
2、嚴禁隨意變動設備連接,嚴禁帶電情況下插接和斷開非USB接口的外圍設備。
3、嚴禁采取直接斷開電源的方式關閉算機。
4、嚴禁在無人狀態下使打印機工作,在打印機帶電的情況下,嚴禁人為拉動打印頭。
5、隨時做好設備的清潔衛生工作。
6、做好微機保養工作,嚴禁其他部門人員使用微機系統。
7、計算機設備出現故障后,交由技術人員處理,其他人員不得拆卸。
篇3:安全監控系統計算機病毒防范制度
第一條對計算機病毒的防范應以預防為主,事后處理為輔。
第二條計算機病毒防范工作由信息技術中心統一協調組織實施。
第三條信息技術中心應設系統安全管理員,專門負責病毒防范的管理工作,并要求其掌握常見計算機病毒的防護處理知識和必要的技術手段,了解、跟蹤當前計算機病毒的流行趨勢和有效對策。
第四條監控系統使用的防病毒軟件,必須是經過公安部門認證的產品,對防病毒軟件的病毒碼必須及時進行升級和更新。
第五條各礦新增的監控服務器,必須經信息中心檢查、登記備案后才能使用,以防隨機帶來的病毒
第六條定期查殺毒,定期查殺毒周期不能超過一周:對易受病毒感染的機器,必須啟用實時殺毒并每天查毒。定期對網絡進行安全檢查,發現問題,及時解決,并記錄存檔。
第七條監控服務器要盡量做到專機專用,特別是具有讀寫權限、身份確認功能的認證服務器一定要專用;對共享的網絡文件服務器,應特別加以維護,控制讀寫權限,不在服務器上運行無關軟件程序。
第八條監控服務器要定期進行計算機病毒檢查,系統中的程序要定期進行比較測試和分析;發現病毒立即處理并通知上級管理人員。
第九條嚴禁使用來歷不明的光盤、U盤、硬盤,對外來光盤、U盤、硬盤,使用前必須要進行病毒檢測,確認無病毒后方可使用。
第十條如果發現監控服務器感染病毒,必須馬上將受感染的機器與計算機網絡隔離,防止病毒擴散,同時迅速對網絡和所有工作站進行查殺毒。
第十一條經常對硬盤上的重要數據文件進行備份,以備受病毒侵害后,能恢復數據。
第十二條各礦監控負責人每月月初搜集整理在內部網上發布當月的病毒動態,內容包括當月可能發作的病毒名稱、發作日期、可能造成的危害、推薦使用的殺毒軟件。
第十三條未經專門管理人員許可,擅自安裝新軟件或嚴重違反使用規定而導致服務器及其相關輔件損壞的,將按照有關規定追究其相應的責任。