计算机信息系统保密管理规定Word格式.docx

1、（名称、型号、数量、单位、责任人、证书有效期等。）见附件十一第十条 涉密计算机信息系统设备需要维修时，由设备责任人提出申请，由公司保密办计算机信息系统维护人员进行维修，如果需聘请外部人员到公司进行现场维修，需经公司主管领导批准后进行现场维修，维修时应将设备中的涉密信息转储后清除，并由设备责任人全过程进行监督。严禁维修人员恢复、读取和拷贝被维修设备中存储的涉密信息。第十一条 对于确实必须外送维修的，由设备责任人提出申请，公司主管领导批准后，保密办办理有关手续，拆除所有存储过涉密信息的硬件和固体妥善保管（如设备中存储过涉密信息的硬盘和固件不能拆除，应当办理审批手续），由保密办计算机信息系统管理人员

2、派专人送到国家保密行政管理部门指定的具有涉密信息系统维修资质的单位进行维修。第十二条 严禁在涉密信息系统外部通过远程维护和远程桌面连接方式，对涉密计算机和信息设备进行维修和维护工作。维修应当建立维修日志和档案，对所有涉密设备的维修情况进行记录留证。第十三条 不再使用或无法使用的涉密计算机信息系统设备需要报废时，应当由设备管理人填写xxxx公司涉密办公设备报废、销毁审批表，上报保密办进行审核，由公司主管领导批准后实施。第十四条 在经过批准后，报废前应拆除所有存储过涉密信息的硬件和固体，如无法拆除，则应将设备整体进行报废。如需销毁，必须送到具有涉密信息系统销毁资质的单位进行销毁。第十五条 报废和销

3、毁的涉密设备需要建立清单，还需要对其密级、经办人、采取措施、以及最终去向进行文档化记录。第三章 密级标识管理 第十六条 计算机信息系统必须按照处理和存储信息的最高密级建立标识；设备标识中应包含设备密级、设备编号、主要用途、责任人等内容，且标识不易损毁和丢失，信息也应有密级标识，且与信息主题不可分割。标识应与台账信息相符。 第十七条 密级标识颜色鲜明，主题、徽标、警示语明确突出，由公司保密办统一制作，并与台账信息相符。 第十八条 标识粘贴在设备的显著位置，不得私自损坏、涂改或擦除。 第十九条 未最后定稿的过程文件（处于起草、设计、编辑、修改过程中）和已完成的电子文档、图表、图形、图像、数据，只要

4、内容涉及国家秘密，首页就应当标注密级标识，首页无法直接标注秘密标识的，可以将密级标识作为文件名称的一部分进行标注。第四章 安全策略与审计第二十条 保密办按照公司涉密计算机及信息系统的实际情况建立文档化的安全保密策略文件，并经公司保密委批准后正式下发，并通过授课培训传达给涉密计算机和信息系统的全体管理和使用人员。第二十一条 保密办按照环境、系统和威胁变化情况以及风险分析的结果，在不降低涉密计算机和信息系统整体安全保密强度，确保国家秘密安全为原则的情况下，及时调整更新安全策略。第二十二条 保密办应当每个季度根据公司涉密计算机和信息系统运行情况和内部、外部威胁等，做出安全保密审计报告。第二十三条 保

5、密办应当每年根据公司涉密计算机和信息系统运行情况和内部、外部威胁等，根据系统运行情况，做出安全保密风险分析报告。第二十四条 安全保密审计报告和风险分析报告应当依据安全保密策略通过可审计事件、异常事件和行为进行统计分析，保密办组织做出调整更新安全策略，并对涉密计算机及信息系统隐患和漏洞及时采取补救措施。第五章 安全保密技术防护管理第二十五条 涉密计算机及信息系统应当按存储和处理信息的相应密级进行管理和防护，严禁越级处理和存储涉密信息。第二十六条 涉密计算机显示器、投影仪显示屏幕的物理摆放位置不得正面向门、窗等其他容易被直视的位置，严防显示输出内容被非授权获取。涉密计算机必须配合红黑隔离电源使用，

6、严防电磁泄漏。第二十七条 涉密计算机采用单人单机管理，谁使用谁负责的原则。第二十八条 涉密信息系统需要按照密级配置相应的安全防护策略和措施，配置身份鉴别、电磁泄露防护、入侵控制、违规外联、病毒防护等安全产品，安全保密产品应当采用国产设备，并拥有国家相关主管部门授权的评测机构的检测证书。 第二十九条 涉密计算机应按身份鉴别规定设置开机密码，用户密码和屏保密码，密码长度不得少于8个字符，口令更换周期不得长于一个月；密码设置要求：密码应采用组成复杂，不易猜测的口令，应包含大小写英文字母、数字、特殊字符中两者以上的组合；BIOS不支持的两者以上组合的依照BIOS规则设定。第三十条 计算机和信息系统必须

7、采取计算机病毒与恶意代码防护措施，并且需要定期对计算机设备上的病毒与恶意代码措施进行查验，及时处理计算机隔离区和未被删除的病毒。第三十一条 计算机和信息系统必须及时对操作系统、数据库系统、应用系统安装补丁程序；补丁程序的安装应在补丁程序发布后三个月内及时安装，以确保系统安全。第三十二条 计算机和信息系统的补丁程序、杀毒软件病毒库以及恶意代码库的升级、安装、分发由保密办人员负责，禁止擅自安装更新。第三十三条 涉密计算机和信息系统的信息输出（打印、拷贝）必须经过审批、登记后在保密办专人进行集中打印或输出；信息输入必须经过中间机，由保密办专人负责管理，并且进行审批登记。第三十四条 涉密计算机和信息系

8、统禁止任何软硬件的扩展、延伸、缩减、拆卸；如确因工作需要安装软硬件，必须经过审批，在安装前先进行计算机病毒和恶意代码查杀。第三十五条 涉密计算机和信息系统禁止使用任何无线传输联网硬件，禁止使用无线鼠标、无线键盘等具有无线功能的外部设备，如果设备存在则必须拆除，无法拆除的计算机严禁作为涉密计算机和信息系统的用户终端使用。第三十六条 涉密计算机和信息系统在需要对其进行密级变更时需要履行密级变更审批手续，在降级时需要更换涉密存储介质；涉密计算机系统需要重新安装操作系统需要审批手续。第三十七条 涉密便携式计算机禁止存储涉密信息，如需处理涉密信息则需使用涉密移动存储介质存储涉密信息，外出携带需要做到机盘

9、分立。第六章 存储介质管理第三十八条 移动存储介质由公司进行统一采购，由保密办建立台账清单，进行统一编号、标识和密级划分与管理，需要使用时到保密办办理借用手续，使用完毕需及时归还；严禁使用未经保密办确认统一编号的移动存储介质。第三十九条 涉密计算机和信息系统内使用的移动存储介质应当与主机进行有效的技术绑定，禁止非涉密存储介质存储涉密信息，禁止在非涉密计算机上使用涉密存储介质。第四十条 传递存储介质时，应当严格履行清点、登记、编号、签收、回执手续，并检查介质中是否存在不属于传递范围的涉密信息，由专人进行传递。第四十一条 移动存储介质应按照存储信息的最高密级进行管理，若存储低密级信息应按照原有密级

10、进行管理，严禁存储高于自身密级的信息，严禁涉密移动存储介质在非秘或公共信息系统中使用。第四十二条 严禁涉密移动存储介质中存储与工作无关的信息；严禁将涉密移动存储介质带出办公区域；严禁外来存储介质接入公司系统，数据必须经过中间机进行中转；严禁将个人具有存储功能的介质和设备直接接入涉密计算机和信息系统。第四十三条 严禁涉密计算机信息系统设备利用USB等其他外部接口连接手机、照相机、MP3等有存储功能的设备进行充电等操作。第四十四条 对已标明密级的存储介质，不能降低密级使用，不再使用的应上交统一销毁；移动存储介质的报废要认真核对集中上缴有关单位进行销毁。第七章 信息交换管理 第四十五条 信息交换必须

11、通过中间计算机上转换。中间计算机必须为独立运行的专用计算机，是专门实现涉密计算机和信息系统与其他计算机和信息系统之间的信息交换为目的的计算机。 第四十六条 涉密中间机主要处理其他涉密信息系统或涉密存储介质到内部涉密信息系统的信息交换。非涉密中间机处理从国际互联网、公共网络和非涉密信息系统到内部涉密计算机和信息系统之间进行信息交换。 第四十七条 从涉密计算机信息系统输出信息，通过指定的计算机直接刻录成光盘输出，涉密信息系统中的非涉密信息需要对外交换时，应当输出纸介质文件，如确需使用电子文档输出时，应当采取刻录一次性写入光盘的方式进行。 第四十八条 从国际互联网、公共网络和非涉密信息系统数据导入涉

12、密信息系统时，需要填写审批单，注明信息的名称、来源和用途等，经保密办批准后将信息导入到非涉密中间机，拔除导入信息存储介质，进行计算机病毒与恶意代码、间谍软件、木马程序的查杀，然后将信息刻录到一次性写入光盘，导入到涉密计算机信息系统中，记录导入过程，审批单、操作记录和光盘应当存档备案。 第四十九条 涉密计算机或涉密信息系统之间进行信息交换时，可使用采取技术防护措施的涉密移动存储介质进行交换。 第五十条 中间计算机必须与任何计算机和信息系统实现物理隔离并独立运行，安装防病毒软件和恶意代码查杀工具，并及时升级，以确保安全。中间计算机安装在保密办公室，由专人负责，使用必须进行登记。第八章 外出携带管理

13、第五十一条 为方便外出处理涉密信息，公司配置一台便携式计算机和涉密移动存储介质组成外出携带涉密设备。第五十二条 外出便携式计算机内不得存储涉密信息，处理涉密信息必须存放在涉密移动存储介质中，与涉密便携式计算机做到机盘分离保管。第五十三条 外出携带涉密设备由保密办公室管理,外出遵循“谁使用谁负责”的原则，未经批准不得转借其他单位（部门）或个人使用。 第五十四条 外出携带涉密设备按所处理信息的最高密级标识密级，并按相应密级进行管理与防护。 第五十五条 确因工作需要携带外出涉密设备按下列要求办理： 携带人填写xxxxxxx公司外出携带涉密设备出公司审批表； 报本部门领导审查； 报保密办进行保密检查,

14、检测内容如下： 机内是否存储涉密信息； 存储介质是否存有与任务无关的涉密信息，与本次任务无关的信息必须清除； 公司主管领导批准； 保密办办理出门手续并进行保密提醒教育； 返回公司当日到保密办进行保密复检，复检内容如下： 外出期间是否上过互联网； 存储介质的涉密信息是否丢失等。第五十六条 经批准外出携带涉密设备外出执行任务的，责任人必须将涉密存储介质与便携式计算机分开保管，严防被盗或丢失。第五十七条 携带涉密便携式计算机或存储介质中的信息必须与执行任务项符合，凡与本次执行任务无关的信息必须清除。 第五十八条 严禁携带涉密便携式计算机及其存储介质探亲访友、参观、购物或旅游。第九章 安全保密管理人员

15、第五十九条 计算机信息系统安全保密工作实行领导责任制，公司涉密计算机和信息系统为单机，保密办设置涉密计算机安全保密管理员。安全保密管理员主要负责涉密计算机和信息系统的运行安全工作，计算机安全保密管理员需通过安全保密培训,持证上岗。 第六十条 各部门设置专门的涉密人员管理本部门的涉密单机；便携式涉密计算机由保密办专人进行保管；涉密移动存储介质由保密办专人进行管理。第一十章 互联网计算机管理 第六十一条 因工作需要申请接入互联网的计算机，按下列要求办理： 申请部门填写xxxxxxx公司计算机接入互联网审批表； 报保密办公室进行涉密审查； 报公司主管领导审批； 保密办备案登记，并办理“国际互联网准入

16、证”实行“一机一证”管理。 第六十二条 未经批准上互联网的计算机，不得上互联网；经批准上互联网的计算机，使用管理部门需设专人管理。 第六十三条 上网信息保密管理坚持“谁上网谁负责”和“谁批准谁负责”的原则，向国际互联网站点提供或发布信息，按下列要求办理： 申请部门填写xxxxxx公司上互联网提供和发布信息保密审批单； 保密办备案存档，并对上网行为进行登记。 第六十四条 经批准发布的信息，谁发布谁管理，并进行严格的登记，发电子邮件等同提供或发布信息管理。 第六十五条 严禁上互联网计算机处理、存储、传递涉密信息，涉密信息一律不准向国际互联网站点提供或发布。第六十六条 从互联网下载的信息和软件由保密

17、办指定专人进行操作，进行统一下载和分发，个人需要使用互联网下载或查询软件和信息，应当履行登记手续。第一十一章 奖惩 第六十七条 在执行本规定中做出显著成绩的部门和个人，给予奖励；违反本规定的部门和人员给予处罚；奖惩按xxxxxxxx公司保密奖惩规定执行。第一十二章 附则 第六十八条 本规定由公司保密办计算机安全保密管理员负责解释，保密办按照职责范围对本规定执行情况进行监督和管理。 第六十九条 本规定从下发之日起执行。附表：一、 xxxxxx公司涉密计算机审批表二、 xxxxxxx公司涉密优盘活动硬盘下载涉密信息用途登记表三、 xxxxxxx公司便携式计算机出公司审批表四、 xxxxxxx公司计

18、算机接入互联网审批表五、 xxxxxxx公司涉密办公设备维修记录表六、 xxxxxx公司涉密办公设备报废、销毁审批表七、 xxxxxxx公司涉密计算机密级变更审批表八、 xxxxxxx公司涉密计算机操作系统重置审批表九、 xxxxxxx公司计算机台账一十、 xxxxxx公司存储介质台账一十一、 xxxxxxx公司安全保密产品台账附件一xxxxxx公司涉密计算机审批表编 号： 序 号：所属部门： 涉密编号：规 格台 式 便携式 使用人责任人型 号用 途硬盘ID操作系统版本放置位置安装时间网络状态单机 联网 IP MAC 涉密信息及密级涉密信息密级本部门领导意见签名：年月日保密办意见保密委备注注：

19、此表存保密办附件二xxxxxxx公司涉密优盘、活动硬盘下载涉密信息用途登记表编号： 部门： 序号：序号时间何介质下载编号下载涉密信息的名称、内容用途下载人签名附件三xxxxxxx公司便携式计算机出公司审批表申请部门： 时间：携带出公司时间目的地便携机品牌型号涉密存储介质型号容量外出理由涉密事项密级保密措施部门领导 年 月 日技术部网络管理员检测结果1 机内是否存储涉密信息。（）2 存储介质是否存有与任务无关的涉密信息。公司主管领导意见 年月日便携式计算机回公司后复检记录表部门回公司日期便携式机涉密编号存储介质涉密编号出公司后有无异常情况网管复检记录1机内地是否存储涉密信息（）2外出期间是否上过

20、互联网（）3存储介质涉密信息是否丢失（） 签字： 年月日附件四xxxxxxx公司计算机接入互联网审批表部门：计算机牌号联接方式拨入电话本机电话计算机管理人接入日期填表人年月日用途技术部网络管理员意见公司领导意见保密办意见备注此表交保密办存档。附件五xxxxx公司涉密办公设备维修记录表 年月日设备名称密级负责人设备管理人维修时间维修方式维修人姓名单位情况全称地址电话原因记录记录人签名：年月日此表由设备管理人存保密办存档。附件六xxxxxx公司涉密办公设备报废、销毁审批表 年月日报废销毁原因本部门 签名：意见 年月日销毁监销人签名： 年月日报废经办人签名：附件七xxxxxx公司涉密计算机密级变更审批表处理涉密信息及密级台式 便携式 变更方式升 级 降 级 变更原因采用技术手段附件八xxxxxx公司涉密计算机操作系统重置审批表 涉密编号：重置原因操作方式涉密信息处置方式安装人操作记录附件九xxxxxxx公司计算机台账使用部门硬盘物理号IPMAC主要用途放置地点使用情况附件十xxxxx公司存储介质台账名称容量序列号介质格式附件十一xxxxxxx公司安全保密产品台账型号数量单位产品有效期