计算机和信息系统安全保密管理办法.docx
《计算机和信息系统安全保密管理办法.docx》由会员分享,可在线阅读,更多相关《计算机和信息系统安全保密管理办法.docx(10页珍藏版)》请在冰点文库上搜索。
计算机和信息系统安全保密管理办法
计算机和信息系统安全保密管理办法
第一章、总、则
第一条、为确保公司计算机和信息系统的运行平安,确保国家隐秘平安,按照国家有关规定和要求,结合工作实际状况,制定本方法。
第二条、公司计算机和信息系统平安保密工作遵循“乐观防范、突出重点、依法管理”的方针,切实加强领导,明确管理职责,落实制度措施,强化技术防范,不断提高信息平安保障实力和水平。
第二章、组织机构与职责
第三条、计算机和信息系统平安保密管理工作贯彻“谁主管,谁负责”、“谁使用,谁负责”的原则,采取统一领导,分级管理,分工负责,有效监督。
第四条、保密委员会全面负责计算机和信息系统平安保密工作的组织领导。
主要职责是:
(一)审订计算机和信息系统平安保密建设规划、计划;
(二)讨论解决计算机和信息系统平安保密工作中的重大事项和问题;
(三)对发生计算机和信息系统泄密事情及严峻违规、违纪行为做出处理打算。
第五条、保密管理部门负责计算机和信息系统的平安保密指导、监督和检查。
主要职责是:
(一)指导计算机和信息系统平安保密建设规划、计划的编制及实施工作;
(二)监督计算机和信息系统平安保密管理制度、措施的落实;
(三)组织开展计算机和信息系统平安保密专项检查和技术培训;
(四)参加计算机和信息系统平安保密的风险评估、分析及平安保密策略的制定工作。
第六条、信息化管理部门负责计算机和信息系统的平安保密管理工作。
主要职责是:
(一)负责计算机和信息系统平安保密建设规划、计划、制度的制订和实施;
(二)负责计算机和信息系统平安保密技术措施的落实及运行维护管理;
(三)负责建立、管理信息设备台帐;
(四)负责计算机和信息系统平安保密策略的制定、调节、更新和实施;
(五)定期组织开展风险评估、风险分析,提出相应的平安措施建议,并编制平安保密评估报告;
(六)开展计算机和信息系统平安保密技术检查工作;
(七)涉及计算机和信息系统有关事项的审查、审批;
(八)计算机和信息系统平安保密的日常管理工作。
第七条、公司应结合工作实际设定涉密计算机和信息系统的系统管理员、平安保密管理员、平安审计员,分离负责涉密计算机和信息系统的运行、平安保密和平安审计工作。
“三员”的权限设置应该互相自立、互相制约,平安保密管理员与平安审计员不得由一人兼任。
没有涉密信息系统,只使用单台涉密计算机的单位,应该配备平安保密管理员。
第八条、涉密计算机和信息系统管理人员应该符合以下要求:
(一)符合国家及集团公司对涉密人员的要求;
(二)认识计算机和信息系统各项平安保密法律、规矩和标准;
(三)娴熟把握有关专业学问和业务技能;
(四)通过国家有关部门的上岗培训,并获得上岗资历。
第三章、涉密信息系统的建设管理
第九条、建设涉密信息系统必需依照国家有关规定、标准和规范举行,平安保密设施必需与涉密信息系统同步规划、同步建设、同步运行。
第十条、建设涉密信息系统,应该在计划设计前,由保密委员会按照所建系统拟涉及国家隐秘的最高密级确定庇护等级。
第十一条、涉密信息系统建设计划的设计应该挑选具有相应涉密资质的单位担当,建设计划根据建设系统的对应密级举行定密和管理。
建设计划完成后,由保密办报请上级保密管理部门组织评审并备案。
第十二条、涉密信息系统建设过程中,必需实行严格的平安保密管理措施。
系统集成、综合布线、系统服务、系统询问、软件开发、工程监理等,应该挑选具有相应资质的单位担当,并明确提出保密要求,签订保密协议。
涉及国家隐秘的工程资料应该按照需要控制发放,并做出记下。
工程完工后,应该按记下如数收回。
施工现场应该实行措施,禁止无关人员进入。
第十三条、涉密信息系统所采纳的平安保密产品,必需选用通过国家相关主管部门授权测评机构检测合格的产品,并应该查验产品合格证书、产品检测报告中所描述的适用范围及其有效期。
第十四条、涉密信息系统的测评工作统一由集团公司保密办托付国家涉密信息系统测评中央兵器分中央实施。
第十五条、涉密信息系统经测评完成,取得涉密信息系统检测评估报告后,由上级保密管理部门向集团公司保密办正式提交《涉及国家隐秘的信息系统投入使用申请书》,并经集团公司保密办审核批准后,报相关保密行政管理部门审批,领取《涉及国家隐秘的信息系统使用许可证》。
第十六条、新建涉密信息系统在投入运行前,应该经地方保密工作部门审批,在未取得《涉及国家隐秘的信息系统使用许可证》前,不得投入使用。
在正式运行之前,不得存储和处理国家隐秘信息。
第十七条、涉密信息系统在设计、评审、施工及验收过程中发生失泄密事情或因有关工程信息资料泄露导致涉密信息系统防护措施失效、减弱的,属于建设单位责任的,由建设单位担当;属于其他环节责任的,由相关环节负责人负责。
第四章、信息设备台帐与标识管理
第十八条、信息化管理部门应该按照实际,建立信息设备总台帐,内设机构或部门应该相应建立二级台帐。
信息设备台帐可按以下类别分类:
(一)计算机,包括服务器、用户终端;
(二)网络设备和外部设备,包括交换机、路由器、网关、网闸、VPN设备、打印机、制图(绘图)机、扫描仪、光盘刻录机(外接式)等;
(三)平安保密产品,包括计算机病毒防护产品,密码产品及身份鉴别、拜访控制、平安审计、入侵检测、边界防护和电磁泄漏放射防护等产品;
(四)移动存储介质。
第十九条、各类台帐应该包括以下内容:
(一)计算机管理台帐:
部门、责任人、名称型号、密级或用途、操作系统安装日期、硬盘序列号、IP地址、MAC地址、使用状况等;
(二)网络设备和外部设备管理台帐:
部门、责任人、名称、型号、使用状况等;
(三)平安保密产品管理台帐:
责任人、名称、型号、检测证书名称和编号、购置时光、使用状况等;
(四)移动存储介质管理台帐:
部门、责任人、名称、编号、序列号、密级或用途、使用状况等。
第二十条、信息设备台帐管理工作采取专人负责,动态管理,并建立、健全信息设备从配置到销毁全过程的报告、审批和定期核验机制,确保信息设备台帐能够适时、精确的反映信息设备的客观状况。
第二十一条、公司应对信息设备举行标识管理。
设备标识由公司统一制作。
标识内容应与台帐信息的主要内容相符,并保持完好。
不得有意损毁、涂改、撕揭或擦除。
计算机和信息系统中的服务器、用户终端、外部设备、存储介质、平安保密产品等,应该按照其处理和存储信息的最高密级或主要用途举行标识。
标识应该粘贴在显然位置,并与涉密信息的存储部件相关联。
移动存储介质如无法粘贴标识的,可以实行不行擦除的方式标注。
第五章、计算机和信息系统的保密管理
第二十二条、计算机和信息系统的使用管理必需遵守如下规定:
(一)严禁使用涉密计算机和信息系统衔接国际互联网或公共信息网络;
(二)严禁使用衔接国际互联网或公共信息网络的计算机及其它非涉密计算机存储、处理涉密信息;
(三)严禁将涉密计算机接入内部非涉密网络。
第二十三条、涉密信息系统经平安保密技术测评,并正式投入运行后,如发生下列变更事项时,应该准时报告上级保密管理部门和负责审批的保密行政管理部门:
(一)涉密等级;
(二)衔接范围;
(三)环境设施;
(四)主要应用;
(五)平安保密责任管理单位。
由保密行政管理部门打算是否需要重新举行测评和审批。
第二十四条、外部信息导入涉密计算机和信息系统的,应该通过中间转换机或经过国家相关部门批准的平安牢靠的信息交换措施举行。
使用中间转换机转换信息的,中间转换机应该按涉密和非涉密分离设立,并严格根据相关标准的规定程序举行操作。
第二十五条、涉及涉密计算机和信息系统的设备,应该由单位统一选配,统一安装,严格控制,规范使用。
第二十六条、禁止在涉密计算机和信息系统中使用无线键盘、无线鼠标、无线网卡、无线路由器等具有无线功能的设备或产品。
第二十七条、涉密计算机和信息系统应该按照其相应密级实行对应的身份鉴别、数字签名、拜访控制、平安审计、信息加密、数据庇护、介质管理、防违规外联等技术措施。
第二十八条、涉密计算机和信息系统服务器、用户终端应该设置相关平安策略,设置原则是:
关闭所有分享、与应用无关的全部端口、服务、链接和系统授权。
第二十九条、涉密计算机和信息系统应该实行计算机病毒防护措施,定期对计算机病毒与恶意代码防护措施举行查验,并准时更新计算机病毒与恶意代码样本库。
更新周期为:
涉密信息系统不超过3天,单台涉密计算机不超过15天。
第三十条、各单位应建立统一的补丁程序分发安装机制,在补丁程序发布后3个月内准时安装,保证系统的平安性,对不能安装系统补丁程序的非正版操作系统,应该更换操作系统。
第三十一条、下列事项必需报经信息化管理部门批准后由相关管理人员实施:
(一)因系统崩溃、操作系统损坏等缘由需重新安装操作系统的;
(二)更改或清除涉密计算机和信息系统的移动存储介质及外部设备安装、使用等日志记录的;
(三)因工作需要对涉密计算机和信息系统安装、扩展、缩减、拆卸软硬件的;
(四)因工作需要卸载、修改涉密信息系统的平安技术程序、管理程序的。
第三十二条需常常安装的应用软件和软件工具,经信息化管理部门审批后,由系统管理员上传到指定的服务器或存储在一次性刻录光盘中,供涉密计算机和信息系统用户终端下载、安装使用。
第三十三条公司要加强对衔接国际互联网计算机的管理和使用,应遵循以下原则:
(一)未经批准,不得擅自以任何方式衔接国际互联网;
(二)公司集中使用的国际互联网计算机应该指定专人负责管理,簇拥使用的国际互联网计算机应该明确责任人,做好上网记录;
(三)应制定国际互联网信息发布管理制度,明确需要通过保密审查的信息范围和审查程序。
审查普通应由拟发布信息的业务主管部门负责,业务主管部门掌握不准的,由保密管理部门审查,单位业务主管领导审批;
(四)公司应实行有效技术措施,对通过互联网或公共信息系统发送电子邮件等信息举行监控和记录。
第三十四条、密码设备的使用和管理根据公司有关规定执行。
第六章、便携式计算机和存储介质保密管理
第三十五条、建立健全便携式计算机和移动存储介质的管理制度和措施,按照工作实际,实行集中管理,指定专人负责。
第三十六条、涉密便携式计算机应该拆除具有无线联网功能(如无线网卡、蓝牙、红外等)的硬件模块,如无法举行拆除的,不得作为涉密计算机使用。
第三十七条、携带涉密便携式计算机和移动存储介质外出,应该履行审批手续和领用前状态检查;返还时,应该对外出访用状况举行技术检查。
第三十八条、外出携带涉密便携式计算机和移动存储介质要确保安全,全程有效控制。
同时携带涉密便携式计算机和移动存储介质时,二者应分开保管。
第三十九条、不得使用低密级便携式计算机和移动存储介质存储、处理高密级信息;不得在低密级计算机上使用高密级移动存储介质。
第四十条、在涉密计算机和信息系统内使用的存储介质应该实行有效的技术控制措施,确保XX的移动存储介质不能在涉密计算机和信息系统中使用。
第四十一条、在使用便携式计算机和移动存储介质时不得有下列行为:
(一)在非涉密便携式计算机和移动存储介质中存储、处理涉密信息的;
(二)涉密移动存储介质在非涉密计算机和信息系统中使用的;
(三)将非涉密和个人具有存储功能的介质和设备接入涉密计算机和信息系统的;
(四)私自携带涉密便携式计算机和移动存储介质外出的;
(五)移动存储介质在涉密计算机、信息系统和非涉密计算机、信息系统之间交错使用的。
第四十二条、涉密移动存储介质不得降为非涉密移动存储介质使用。
第七章、信息平安保密管理
第四十三条、涉密计算机和信息系统中的涉密信息应该标明密级,密级标识不得与正文分别。
标注方式应该遵行以下原则:
(一)处于起草、设计、编辑、修改过程中和已完成的电子文档、图表、图形、图像、数据等,只要内容涉及国家隐秘,在首页应该标明密级;
(二)电子数据文件、图表、图形、图像等涉密信息在首页无法直接标注密级标识的,可将密级标识作为文件名称的一部分举行标注;
(三)涉及国家隐秘的程序、数据库文件、数据文件、视频文件等,在软件运行首页、数据视图首页和影像播映首页应该标注密级。
第四十四条、涉密计算机和信息系统应该实行有效的技术控制措施,禁止涉密信息非授权输出。
涉密信息系统中涉密信息输出点要根据最小化原则设置。
指定专人负责。
第四十五条、涉密信息远程传输应该根据国家有关规定实行密码庇护措施,存储与传输、使用的加密措施应该与涉密信息的密级相适应,并得到国家主管部门批准。
第四十六条、密钥的管理和使用应符合国家有关平安保密规定,并接受国家相关主管部门的指导和监督。
第四十七条、公司应该制定完美的涉密信息备份制度,并实行有效的防盗、防灾措施,保证备份的平安。
第四十八条、涉密计算机软硬件配置状况及本身有涉密内容的各种应用软件等信息,不得举行藏匿学术沟通,不得藏匿发表。
第八章、修理、报废与销毁
第四十九条、涉密计算机和信息系统服务器、用户终端、外部设备、存储介质发生故障时,使用部门应该向信息管理部门提出修理申请,经批准后修理。
涉密计算机和信息系统、存储介质修理应该遵循以下原则:
(一)现场修理时,普通应该由公司内部修理人员实施;需外部人员到现场修理时,修理过程中应该由有关人员旁站伴随;禁止修理人员恢复、读取和复制被修理设备中的涉密信息;禁止通过远程衔接,对涉密计算机和信息系统举行修理和维护工作;
(二)需要带离现场举行修理的,应该拆除全部可能存储过涉密信息的硬件和固件。
修理地点在公司内部的,应在符合保密要求的修理场所举行;修理地点在外部的,应与修理单位和修理人员签订保密协议;
(三)设备中存储过涉密信息的硬件和固件不能拆除或发生故障时,如不能保证平安的,应该根据涉密载体销毁要求予以销毁;确需修理时,送至具有涉密信息系统数据恢复资质的单位举行修理,并由专人负责取送;
(四)信息化管理部门应该建立修理日志和档案,并将全部涉密设备修理状况记录在案,记录内容应包括修理单位、修理人、故障现象、保密措施、修理内容、修理结果、监督检查等。
第五十条、禁止将未经平安技术处理的退出访用的涉密计算机、涉密存储设备赠送、出售、丢弃或改作其他用途。
如将退出访用的涉密计算机、涉密存储设备赠送、出售、丢弃或改作其他用途时,应该经信息化管理部门审批,拆除涉密存储部件和固件上交保密办举行销毁处理。
第五十一条、保密管理部门应建立报废、销毁涉密设备和存储介质台帐。
报废、销毁涉密设备和存储介质应该履行清点、记下、审批手续,并将涉密设备和存储介质的密级、型号规格、经办人、实行的办法措施以及终于去向等状况记录在案并归档。
第九章、场所的平安保密
第五十二条、安装、使用涉密计算机信息系统的场所,应与境外机构驻地和人员住宅保持相应的平安距离,并按照所处理信息的涉密程度设立须要的控制区域,未经批准无关人员不得进入。
第五十三条、安装、使用涉密计算机信息系统的场所应该每半年或按照需要,由公司保密管理部门组织平安保密技术检查。
第五十四条、安装、使用涉密计算机和信息系统的场所实行的电磁泄漏放射防护措施应该满足BMB5-2000《涉密信息设备使用现场的电磁泄漏放射防护要求》,有关设备或技术措施应得到国家保密行政管理部门或国家平安部门的认可。
第五十五条、安装、使用涉密计算机信息系统场所的其它物理平安要求,应符合国家有关平安保密管理要求,保密级别按系统中的最高密级设定。
第五十六条、涉密计算机信息系统的中央机房和密码机房应列为保密要害部位举行管理,建立健全相应平安保密制度和实行有效的出入控制措施。
第十章、监督管理
第五十七条、对违背本方法使用涉密信息系统的部门和个人,保密办责令其限期整改。
对拒不整改的,停止使用,由单位赋予处罚。
第五十八条、保密管理部门和信息化管理部门要常常对涉密计算机和信息系统、存储介质的使用、管理状况举行检查。
对违背保密管理规定的,准时做出处理。
造成失泄密的,要赋予相关责任人行政处分和经济处罚,情节严峻的,应依据国家有关法律追究有关领导和直接责任人的法律责任。
第五十九条、发觉涉密信息设备、移动存储介质遗失、被盗,在全力查找、追缴的同时,报告上级保密管理部门和当地保密行政管理部门,并实行乐观有效的措施削减失泄密隐患。
第十一章、附、则
第六十条、本方法由公司保密办负责解释。
第六十一条、本方法自XXXXX年XX月XXX日起执行。
升级会员 