六涉密信息系统与信息设备管理办法.docx

1、六涉密信息系统与信息设备管理办法（内部资料，注意保密）涉密信息系统与信息设备管理办法云南邮电工程有限公司二O 一七年三月第一章总则 3第二章信息系统保密管理 3第三章保密设施设备的管理 8第四章附则 9附件一涉密计算机和涉密移动存储介质维修、报废审批表 10附件二涉密信息设备维修（报废）记录表 11附件三涉密计算机查杀病毒及病毒库升级登记表 12附件四携带涉密便携式计算机、移动存储介质外出申请审批表 13云南邮电工程有限公司信息系统、信息设备和保密设施设备管理制度第一章总则第一条为了加强信息系统、信息设备和保密设施设备的管理， 确保国家、企业秘密的安全，根据相关保密法律法规及其他相关规定, 特

2、制定本制度。第二章信息系统保密管理第二条公司对存储、处理国家秘密的计算机信息系统（以下简称涉 密信息系统）按照涉密程度实行分级保护。第三条公司涉密信息系统按照系统规划设计处理信息的最高密级，划分为绝密、机密和秘密三个级别，对不同级别的涉密信息系统 采取相应的安全保密防护措施。集中处理工作秘密的信息系统，应当 参照秘密级信息系统进行保护。第四条公司的涉密信息系统必须按照国家保密局制定的涉及国家秘密的信息系统分级保护技术要求、 涉及国家秘密的信息系 统分级保护方案设计指南、涉及国家秘密的信息系统分级保护管 理规范等国家保密标准配备符合国家保密标准的设施、设备。第五条公司的涉密信息系统投入使用必须经

3、检查合格。根据涉 及国家秘密的信息系统审批管理规定，涉密信息系统投入使用前必 须经过系统测评和系统审批，符合涉密信息系统分级保护要求后， 方 可投入使用。第六条本企业涉密信息系统应能识别终端， 以查出非法用户的位置，能跟踪各种非法请求并记录某些文件的使用情况。第七条公司应当加强对涉密计算机、信息设备、存储介质的管 理，任何组织和个人需遵循以下规则：（一） 涉密信息设备维修、报废管理1、 建立涉密信息设备的售后商家名录，并对售后商家的资格进行核查，当涉密信息设备需要维修时，只能送到指定的维 修商家进行维修。如必须有外来人员进行修理时，应有保密办 人员全程陪同，必须指定专人负责，对维修人员、维修对

4、象、 维修内容、维修前后状况进行监督并详细记录。2、 涉密信息设备需要报废时，应填写涉密信息设备与介 质报废审批表，送交保密行政管理部门设立的销毁工作机构或 者保密行政管理部门指定的公司销毁，彻底清除其中的涉密信 息后，对涉密信息存储部件和介质进行清点、登记、销毁。（二） 涉密信息与使用的涉密信息设备密级必须相匹配， 不得使用低密级涉密信息设备存储、处理高密级涉密信息；（三） 涉密计算机应按国家保密技术标准， 采取相应的技术防范措施 （ 身份认证、访问控制、加密存贮和安全跟踪审计 等 ）；（ 四 ） 涉密计算机不允许联接互联网， 内网终端因工作需要上互 联网的， 须按企业内部审批流程， 经本部

5、门保密负责人同 意并安装隔离卡，确保涉密计算机与互联网的物理隔离； 涉密计算机在不能有效与互联网进行物理隔离的情况下， 不允许联接互联网。（ 五） 涉密计算机必须拆除具有无线联网功能的硬件模块， 涉密计算 机不得使用无线外围装置的信息设备；（ 六 ） 涉密计算机不得外联， 并通过相关的软件实施外联监控措 施；涉密计算机必须采取移动存储介质技术管控措施；（ 七 ） 涉密计算机必须使用登记在册的涉密信息设备存储、 处理 涉密信息， 涉密计算机与非涉密计算机不得交叉使用移动 存储介质；涉密计算机必须单独使用打印机、扫描仪，不 能与非涉密计算机之间共用， 确保涉密信息打印、 刻录等 输出相对集中、有效

6、控制，并采取相应的审计措施。（ 八 ） 携带涉密信息设备和介质外出， 不能只做登记处理， 必须 报公司保密工作领导小组批准， 未获批准携带涉密信息设 备和介质外出， 公司将对携带人员和保密办公室人员实行 惩罚机制；外出时，应对涉密信息进行加密存贮，并有专 人对涉密信息设备和介质进行严格管理， 采取相应的保护5 / 13措施，保证其始终处于有效控制之下，防止出现丢失、被 盗、被毁以及泄密等情况； 涉密信息设备及移动存储介质 带出前和带出后归还都应该进行保密检查。（ 九） 计算机、交换机、路由器、服务器等的口令应加密存贮。 员工必须遵循口令的使用规则，同时必须对口令的产生、 登记、更换期限实行严格

7、管理；（ 十 ） 不得随意将未经安全技术处理的退出使用的涉密计算机、 涉密 存储设备赠送、出售、丢弃或者改作其他用途。第八条 计算机数据备份及日志清理规范（一） 需要备份的数据包括：系统配置、数据库、业务流程、应用程 序等重要数据，特别是私有的、不可从另外的地方恢复的数据；（二） 每 季度做一次完全备份， 包括第一条里列出的所有数据。 每月 做一次数据库备份， 并在备份数据文件名称中加入日期进行标 识；（三） 当数据有很大的改变时或有重大数据库修改动作时必须立刻 做好数据备份；（四）备份的时候碰到技术难题， 杜绝盲目操作， 避免造成事故，必 要时提请厂商提供现场的数据库备份支持服务工作。第九条

8、 安全保密防护措施安全保密产品必须是经国家保密局检测合格的， 所有涉密的安全产品必须在具有相应涉密设备销售资质的代理商处购买。第十条 计算机病毒防治规范计算机病毒防护产品必须经公安机关批准， 密码产品必须经国家 密码管理部门批准。 所有涉密的计算机病毒防护产品、 密码产品必须 在具有相应涉密设备销售资质的代理商处购买。（一） 定期升级病毒和恶意代码样本库， 定期进行病毒和恶意代码查 杀；（二） 共享目录要设置密码。 不是一定需要共享的就不要共享， 尽量 不要设置共享目录的写权限；（三） 以防为主，切断所有可能的病毒源。 不能在网上下载没有可靠 来源的软件或其他东西， 不能在系统内部的机器上使用

9、没有可 靠来源的光盘或软盘；（四） 切 断系统与外部 internet 的连接。对确实需要上网的维护工 作机，要和系统在不同的网段， 采用双网卡连接， 并做好病毒 防范。第十一条 技术保障规范（一） 设备故障或出现问题时，相关人员必须以最快的方式赶赴现场， 及时查找事故原因， 解决问题。 由于个人原因延迟到场导致重 特大事故发生，应对当事人追究责任；（二） 发 生事故或出现意外情况及时上报各级领导和相关部门， 并详细记录整个事件过程， 分析事故原因， 找出解决办法， 争取杜 绝类似事件发生第三章保密设施设备的管理第十二条 复印机保密管理一） 复印机必须指定思想好、 忠诚老实、 工作认真负责的人

10、员专门 管理及操作；二） 不得利用内部复印机擅自复印国家秘密载体 （包括国家秘密文 件、资料、图表等），确因工作需要复制时，须经制文机关或 其授权单位批准后方可复印；三） 代外单位复印国家秘密载体时，应对委托单位名称、批准人、 经办人、复制载体名称、密级、保密期限、复印日期、份数等 项目进行详细登记，以备后查；四） 不准复印货币、 各种有价证券以及反动淫秽作品。 对复印机要 重视保密管理，定期进行保密检查， 发现违反保密规定使用复 印机造成泄密事件， 除对当事人追究责任外， 还要追究有关领 导责任。第十三条 传真机保密管理一） 传真机必须指定思想好， 保密观念强， 工作认真负责的人专门 管理和

11、操作；二） 利用传真机传输国家秘密载体 （指密件、密报、资料、图表等） 必须利用加密装置，并且必须履行审批登记制度；三） 传真机的管理使用情况列入保密检查的内容， 定期检查， 发现 问题及时解决；（四）在传真机上加装其他部件或向境外传输信息，必须经保密委批准。第四章附则第十四条 本制度由公司保密委员会负责解释、补充和修改第十五条 本制度由公布之日起实施。附件一涉密计算机和涉密移动存储介质维修、报废审批表申请部门:类型涉密台式计算机涉密便携式计算机涉密移动存储介质品牌型号密级启用时间涉密编号使用人事项维修更换报废保密负责人维修、更换、报废理由申请部门负责人（签字）：年月日办公室意见负责人（签字）

12、：年月日分管中心领导审批意见负责人（签字）：年月日中心主任审批意见负责人（签字）：单位（盖章）年月日附件二涉密信息设备维修（报废）记录表时间受控编号负责人处理状态备注附件二涉密计算机查杀病毒及病毒库升级登记表部门计算机机编号使用人时间杀毒软件名称病毒库版本病毒库来源是否查到病毒病毒名称、数量处理结果注：1.涉密计算机必须配备经过国家和地方安全保密部门或安全部门许可的查、 杀病毒软件；2.每周对涉密计算机病毒进行一次查、杀检查；3.每周升级查、杀计算机病毒软件的病毒库4. 禁止在线或使用非涉密介质升级防病毒软件病毒库，推荐使用光盘刻录所需文件附件四携带涉密便携式计算机、移动存储介质外出申请审批表申请人所在部门计算机密级设备编号计算机型号硬盘序歹片去往单位申请使用 年 月曰至时间 年 月 日带出前 设备状态开放光驱 全盘杀毒 存储涉密文件未开放打印端口 升级病毒库 有效身份认证更新系统补丁 增加开放服务携带涉密信息 存储介质类型未携带光盘 （编号： 密级： ） USB介质（介质型号： 密级： 保密编号： ）电子 涉密文档 详细情况文件名称密级文件类型用途携带外出 事由申请人签字：课题组负责人 审批意见签字： 年 月 日所在单位领导 审批意见（签 字、盖章）年 月 日保密办 审批意见年 月 日