保密信息等级分类及授权管理办法三篇.docx
《保密信息等级分类及授权管理办法三篇.docx》由会员分享,可在线阅读,更多相关《保密信息等级分类及授权管理办法三篇.docx(11页珍藏版)》请在冰点文库上搜索。
保密信息等级分类及授权管理办法三篇
保密信息等级分类及授权管理办法三篇
篇一:
保密信息等级分类及授权管理办法
第一章总则
第一条为切实加强XX有限公司(以下简称“公司”)的信息安全工作,防范和杜绝各种泄密事件的发生,保护和合理利用公司秘密,确保公司信息披露的公平、公正,保障公司及其他利益相关者的合法权益不受侵犯,根据有关法律、法规并结合公司实际,制定本管理办法。
第二条保密信息是指不为公众所知悉,关系公司利益,具有实用性并经公司采取保密措施保护的技术信息、经营信息、客户信息和管理信息等,在一定时间内只限一定范围人员知悉的信息。
第三条公司各部门以及全体职员都有保守公司秘密的义务,都应做好信息保密工作。
第四条信息保密工作,实行积极防范、突出重点、既确保秘密又便于工作,并充分履行信息披露义务的方针。
第二章保密信息范围和密级确定
第五条保密信息包括但不限于以下事项和行为:
(一)涉及公司经营管理、运作和决策,或对公司利益有重大影
响,一旦泄密将给公司带来损失或失去潜在收益的信息;
(二)包括以书面和电子等方式存在的各种信息;
(3)其他与公司相关的需要保密的信息。
第六条保密信息的密级分为“绝密”、“机密”、“秘密”三个等级。
(一)绝密是最重要的公司秘密,泄露会使公司的利益遭受特别严重的损害,主要包括:
公司的发展规划、经营战略、客户信息资料及相关内容、交易系统信息数据、商务谈判内容及载体,正式合同和协议文书、未开标的投标文件、未公开的重大投资决策、尚未确定的公司重要人事调整及安排等,以及按《档案法》规定属于绝密级别的各种档案;
(二)机密是重要的公司秘密,泄露会使公司利益遭受到严重的损害,如、财务报表、统计资料、重要会议记录、公司经营情况等,以及按《档案法》规定属于机密级别的各种档案;
(三)秘密是一般的公司秘密,泄露会使公司的利益遭受损害,如公司人事档案、合同、协议、薪金制度,人力资源对管理人员的考评材料等,以及按《档案法》规定属于秘密级别的各种档案。
第七条定级方法
由文件生成部门负责人确定文件的密级程度、保密期限和起止日期,并在文件的右上角标明。
属公司秘密事项但不能标明密级的,由涉密部门负责人口头通知接触范围内的人员,进行授权。
保密期限届满,自行解密或经批准,提前解密。
第八条属于公司秘密的载体(如图纸、资料、录音、录象、软盘、光盘、硬盘等),应当依据本制度第六条、第七条的规定进行相应标注。
保密期限届满,自行解密或经批准,提前解密。
第三章主要涉密部门、人员范围及授权管理
第九条公司主要涉密部门包括:
总裁室、总裁办、技术部、运行监测部、交易部、结算部、合规稽核部、会员发展部、会员服务部、行政部、人力资源部、企划部、财务中心、信息中心、战略规划中心等部门。
第十条公司主要涉密人员包括:
(1)公司董事、监事、中高级管理人员;
(2)列入主要涉密部门的全体员工;
(3)负责保密事项制作、保管的人员;
(四)公司主要涉密部门根据需要临时或专门指定的部门或岗位人员;
(五)公司临时聘用的接触涉密工作的外部工作人员,如法律顾问、财务顾问等。
公司可根据保密信息的具体情况,要求涉密人员签署保密协议。
第十一条各部门负责人为本部门的保密工作负责人,信息中心为公司保密工作管理部门,负责监督和检查各部门的保密工作;组织解决密级不明确或者有争议的事项并负责组织处理公司的泄密事件。
第十二条保密工作授权管理:
(一)绝密事项(含载体),由绝密事项生成部门指定专人负责做好标识,妥善保管,并建好记录、台帐,定期统一移交信息中心档案室管理。
绝密事项的发放、传阅均需经相关公司领导批准,并应限制在一定时间内返还保管。
绝密事项允许知悉的范围是公司董事、监事、中高级管理人员、绝密事项形成的相关人员,及董事、监事、高级管理人员认为需要让其知悉的对象;
(二)机密事项(含载体),由机密事项生成部门指定专人负责做好标识,妥善保管,并建好记录、台帐,定期统一移交信息中心档案室管理。
机密事项的发放,传阅需经相关公司领导或其授权的部门经理批准,并应限制在一定时间内返还保管。
机密事项允许知悉的范围是公司董事、监事、高级管理人员、机密事项形成的相关人员,及董事、监事、高级管理人员、机密事项形成的负责人认为需要让其知悉的对象;
(三)秘密事项(含载体),由秘密事项生成部门指定专人负责做好标识,妥善保管,并建好记录、台帐,定期统一移交信息中心档案室管理。
机密事项的发放,传阅需经部门经理或部门经理以上领导
批准,并应限制在一定时间内返还保管。
秘密事项允许知悉的范围是公司董事、监事、高级管理人员、秘密事项形成的相关人员,及董事、监事、高级管理人员、秘密事项形成的负责人认为需要让其知悉的对象。
第四章保密管理
第十三条员工在公司任职期间的工作成果归公司所有,并按照保密协定及本制度进行管理
第十三条传阅保密材料由机要人员统一掌握,划定传阅范围,不得自行扩大,不得让无关人员查看,控制传阅文件的交接,以防丢失。
第十四条不得擅自翻印、复印、传抄秘密文件、资料;不得在公共场所谈论秘密事项,不得在私人通讯中涉及秘密内容。
保密材料复印件应视同原件管理,复印过程的废页应及时销毁。
第十五条保密材料严格按照批准的份数打印,不得擅自多印多留,草稿视同原件一样管理,打印过程形成的废页、废件应及时销毁。
第十六条传递保密材料要有保密措施,传递应专送,不得办理无关事项,密件不得携入不利于保密的场所。
第十七条做好通讯中的保密工作,不在无保密措施的电话、传真机上传递保密材料。
第十八条做好公司重要会议的保密工作,会址应选择有利于保密的地方,严格控制无关人员进入,严禁滥发会议文件,会后检查有
无遗漏材料。
第十九条做好办公自动化中的保密工作,对保密材料加设浏览和下载权限。
第五章泄密的处理
第二十条泄密是指下列行为之一:
(1)使公司秘密被不应知悉者知悉的;
(二)使公司秘密超过了限定的接触范围,而不能证明未被不应知悉者知悉的。
第二十一条公司发生或者发现泄密事件,应当在知悉泄密事件后及时报告信息中心和分管领导处。
第二十二条发生泄密事件的部门,应根据情况及时采取补救措施,最大限度减少泄密造成的损失。
处置泄密事件,应做到如下几点:
(一)任何部门和个人应积极配合有关部门查明事发原因;
(2)应对责任人进行处理,以增强保密意识;
(三)采取纠正和预防措施,防止类似泄密事件的再次发生。
第六章责任与奖惩
第二十三条符合下列情形之一者,公司对有关部门或人员给予表彰或奖励:
(一)及时举报泄密事件,且避免可能由此造成公司损失的;
(3)非责任人及时采取补救措施,避免或最大限度减少泄密造成损失的;
(三)在改进保密技术、保密措施等方面取得显著成绩的。
第二十四条出现下列情况之一者,给予警告,或采取适当的经济处罚:
(一)泄露公司秘密,尚未造成严重后果或经济损失的;
(2)已泄露公司秘密但采取了补救措施的。
第二十五条出现下列情况之一者,应予以辞退,情节严重的,将依法追究相关法律责任:
(一)故意或过失泄露公司秘密,造成严重后果或重大经济损失的;
(二)违反本制度规定,为他人窃取、刺探、收买或提供公司秘密的;
(三)利用职权强制他人违反保密规定的。
第七章附则
第二十六条本管理办法未尽事宜,按国家相关法律规定办理。
第二十七条本管理办法解释权属信息中心
第二十八条本办法自印发之日起施行。
篇二:
保密信息等级分类及授权管理办法
一、组织机构及职责
成立信息安全和保密管理工作领导小组,负责局内信息安全和保密管理工作。
组长由李荣春副局长担任。
副组长由陈旺玉副局长、江祖斌总规划师、汤陈健纪检组组长、魏鼎副调研员、陈幼祥副调研员办公室主任担任。
成员由各相关科室负责人组成。
领导小组下设信息安全和保密办公室,挂靠局办公室,由陈幼祥同志兼任主任,同时抽调郑宜美、薛赞钊、丁伏容、丁婷、陈锦斌等5位同志为信息安全和保密办公室成员,负责信息安全和保密工作日常运作与联络。
二、人员管理
(一)重要岗位信息安全和保密责任
1、对重要岗位指定专人负责接入网络的安全管理,并对上网信息进行保密检查,切实做好保密防范工作。
2、重要岗位中的涉密信息不得在与国际网络联网的计算机系统中存储,处理和传输,严格做到“涉密不上网,上网不涉密”。
3、重要岗位工作人员要加强网络监控,若发现计算机或网络遭到大规模的攻击,要及时向局领导汇报,并依据有关规定处理。
如发现资料泄露的情况,在采取应急措施的同时,应及时将情况上报市网络与信息安全协调小组和局领导。
4、重要岗位的重要资料要做好备份,以防止资料遗失、损毁。
5、重要岗位工作人员要遵守局信息储存、清除和备份的制度,定期开展信息安全检查,及时更新系统漏洞补丁,升级杀毒软件。
6、信息安全和保密办公室要组织各科室加强机关重要岗位的信息安全和保密管理情况的监督,定期进行检查,提高泄密隐患发现能力和泄密事件处置能力,共同做好信息安全和保密工作。
(二)人员离岗离职时信息安全管理规定
机关工作人员离岗离职,有关科室应即时取消其计算机涉密信息系统访问授权,收回计算机、移动存储设备等相关物品。
三、信息安全、保密管理
(一)计算机及软件备案管理制度
1、购买计算机及相关公文处理设备须由局办公室统一组织购买或接受捐赠,并由信息安全和保密办公室对计算机及相关设备的有关信息参数登记备案后统一发放。
2、信息安全和保密办公室要建立完整的计算机及网络设备技术档案,定期对计算机及软件安装情况进行检查和登记备案。
3、计算机要安装正版信息安全防护软件,及时升级更新操作系统漏洞补丁与信息安全软件。
4、拒绝使用来历不明的软件和光盘。
凡需引入使用的软件,均须首先防止病毒传染。
(二)计算机安全使用与保密管理规定
1、计算机信息系统应当按照国家保密法标准和国家信息安全等级保护的要求实行分类分级管理,并与保密设施同步规划、同步建设。
2、办公用计算机局域网分为内网、外网。
内网运行政府OA系统软件,专用于公文的处理和交换,属涉密网;外网专用于各部门和个人浏览国际互联网,属非涉密网。
内、外网采用双线路,实行物理隔离。
3、测绘院(筹)用于存储测绘资料、档案等电子资料的计算机必须与内、外网(含政府专网)实行物理隔离,不得联入任何网络。
4、涉及机关工作秘密的信息(以下简称涉密信息)应当在规定的涉密信息系统中处理。
严禁同一计算机既上互联网又处理涉密信息
5、未经申报同意,局机关所有办公计算机不得修改上网IP地址、网关、DNS服务器、子网掩码等设置。
6、严禁使用含有无线网卡、无线鼠标、无线键盘等具有无线互联功能的设备处理涉密信息。
7、严禁将办公计算机带到与工作无关的场所,确因工作需要需携带有涉密信息的手提电脑外出的,必须做好备案登记,并确保涉密信息安全。
(三)用户密码安全保密管理规定
1、用户密码管理的范围是指涉密计算机所使用的密码。
2、涉密计算机设置的密码长度要大于等于5个字符,密码要定期更换。
3、涉密计算机需要设置操作系统开机登录和屏幕保护等多个密码保护方式。
(四)涉密移动存储设备的使用管理
1、涉密移动存储设备由信息安全和保密办公室负责登记备案后,由各科室负责人负责管理,做到专人专用。
2、严禁涉密移动存储设备在内、外网之间交叉使用。
3、移动存储设备在接入本部门计算机信息系统之前,
应查杀病毒、木马等恶意代码。
4、严禁将涉密存储设备带到与工作无关的场所。
(五)数据复制操作管理规定
1、将互联网上的信息复制到内网时,应采取严格的技术防护措施,查杀病毒、木马等恶意代码,严防病毒等传播。
2、使用移动存储设备从内网向外网复制数据时,应当采取严格的保密措施,防止泄密。
3、复制和传递密级电子文档,应当严格按照复制和传递同等密级纸质文件的有关规定办理。
不得在外网传递、转发或抄送涉密信息。
4、各科室因工作需要向外网公开内部信息资料时,必须由该科室负责人审核、有关领导同意后交由相关负责人统一发布。
(六)计算机、存储介质、及相关设备维修、维护、报废、销毁管理规定
1、计算机、存储介质及相关设备维修、维护、报废、销毁由信息安全和保密办公室负责,按保密要求实行定点维修。
需外请维修的,要派专人全程监督;需外送维修的,应由信息安全和保密办公室拆除信息存储部件,以防止存储资料泄密。
2、办公计算机、存储介质及相关设备在变更用途时,必须进行严格的消磁技术处理。
3、机关使用的计算机、存储介质及相关设备报废、销毁时,应拆除存储部件,由信息安全和保密办公室按有关要求统一销毁,同时作好备案登。
(七)上网发布信息保密规定
1、局网站信息内容的更新由信息安全和保密办公室工作人员完成。
凡上网的信息,上网前必须经过保密审查,报分管领导审批,严格按照"谁主管,谁负责","谁主办,谁负责"的原则,落实责任制,明确责任人和职责。
2、凡以提供网上信息服务为目的而采集的信息,除在其它新闻媒体上已公开发表的,组织者在上网发布前,应当征得提供信息单位的同意。
凡对网上信息进行扩充或更新,应当认真执行信息保密审核制度。
3、涉密人员在其它场所上国际互联网时,要提高保密意识,不得在聊天室、电子公告系统、网络新闻上发布、谈论和传播国家秘密信息。
4、使用电子函件或其他方式进行网上信息交流时,应当遵守国家保密规定,不得利用电子函件传递、转发或抄送国家秘密信息。
四、应急管理
(一)应急措施
1、网站出现非法信息的应急处理。
发现我局网站出现非法信息时,发现人应第一时间向网站管理员报告。
网站管理员应迅速清除非法信息,做好记录,同时向领导汇报情况。
如认为事态严重,应向公安部门报警。
2、网站无法正常打开的应急处理。
发现我局网站不能正常打开时,发现人应第一时间向网站管理员报告。
若故障无法处理,应立即通知网站建设方处理。
待故障处理完成并经过测试后,恢复系统的正常运行。
3、黑客入侵的应急处理。
当发现我局网站有网页内容被篡改,或发现有黑客正在进行攻击时,应立即通知服务方将网站服务器从网络中隔离出来,并向领导报告。
若系统已被破坏,应立即通知网站建设方恢复与重建系统。
如认为事态严重,应向公安部门报警。
4、网站程序遭破坏性攻击的应急处理。
网站应做好备份工作,并将备份保存在安全的地方。
一旦网站遭到破坏性攻击,应立即向领导报告,同时通知网站建设方。
网站建设方负责检查系统日志等资料,确定攻击来源,恢复系统和数据。
如认为事态严重,应向公安部门报警。
5、网站数据库崩溃的应急处理。
网站建设方每月至少备份一次网站数据,并将备份保存在安全的地方。
一旦数据库崩溃,立即通知网站建设方负责进行数据恢复。
(二)应急管理的后期处置
在应急处置工作结束后,要迅速采取有效措施,尽快查明原因,对事件造成的损失和影响以及恢复重建能力进行分析评估,认真制定恢复重建计划,并迅速组织实施。
五、责任追究
信息安全和保密办公室要加强本局信息安全和保密管理情况的监督,定期开展检查,发现问题及时纠正。
计算机信息系统使用、管理人员违反本制度,情节较轻的,应予以批评教育;情节严重,造成安全和泄密隐患的,按有关规定处理。
违反本制度泄漏国家秘密的,按照有关规定给予处分;构成犯罪的,依法追究刑事责任.
篇三:
保密信息等级分类及授权管理办法
一个计算机信息系统是否属于涉密信息系统,主要是看其系统里面的信息是否有涉及国家秘密的信息,不论其中的涉密信息是多还是少,只要是有(即存储、处理或传输了涉密信息),这个信息系统就是涉密信息系统。
但并非所有的涉密系统都是高安全等级的计算机信息系统;也并非所有的高安全等级的计算机信息系统都是涉密信息系统。
比如,一些企业的计算机信息系统为保护其商业秘密而采取了许多安全保密的技术和管理措施,达到了较高的安全等级,但由于其中没有涉及国家秘密的信息,就不能算是涉密信息系统;而有一些党政机关的涉密网,范围很小,只在一间或几间房内的若干台计算机联网,采取了较封闭的物理安全措施,与外界物理隔离,虽然没有采用更多的安全保密技术,系统安全等级并不是很高,但由于管理严密、安全可控,系统中又运行了国家秘密信息,这些系统就属于涉密信息系统。
——将涉密系统按照涉密程度分为绝密级、机密级、秘密级,实行分级保护。
分级保护针对的是涉密信息系统,根据涉密信息的涉密等级,涉密信息系统的重要性,遭到破坏后对国计民生造成的危害性,以及涉密信息系统必须达到的安全保护水平划分为秘密级、机密级和绝密级三个等级。
国家保密局专门对涉密信息系统如何进行分级保护制定了一系列的管理办法和技术标准,目前,正在执行的两个分级保护的国家保密标准是
BMB17《涉及国家秘密的信息系统分级保护技术要求》
BMB20《涉及国家秘密的信息系统分级保护管理规范》。
国家保密科技测评中心是我国唯一的涉密信息系统安全保密测评机构。
——对涉密信息系统采取技术保护。
修订草案规定:
涉密信息系统应当按照国家保密标准配备保密设施、设备。
保密设施、设备应当与涉密信息系统同步规划,同步建设,同步运行。
涉密信息系统投入使用前,应当经设区的市级以上保密行政管理部门检查合格。
——对涉密信息系统中应当遵守的保密行为做了严格规范,修订草案规定:
不得将涉密计算机、涉密存储设备接入互联网及其他公共信息网络;不得在未采取防护措施的情况下,在涉密信息系统与互联网及其他公共信息网络之间进行信息交换;不得使用非涉密计算机、非涉密存储设备存储和处理国家秘密信息;不得擅自卸载涉密信息系统的安全技术程序、管理程序;不得将未经安全技术处理退出使用的涉密计算机、涉密存储设备赠送、出售、丢弃;不得在未采取保密措施的有线和无线通信、互联网及其他公共信息网络中传递国家秘密。
根据国家保密局在《涉及国家秘密的信息系统分级保护测评指南》中对具体的技术及管理指标都有明确的要求,我就涉密信息系统分级关键部位简要阐述:
一、硬件隔离
首先涉密单位的涉密设备,包括计算机终端,传真集,IP电话,复印机及移动存储设备等禁止接触除涉密网络以外的任何设备和网络。
其次,涉密单位应该禁止一切无线传输设备,比如无线鼠标、键盘等外设还有笔记本无线及蓝牙等连网模块。
二、安保产品的选择
涉密信息系统中使用的安全保密产品一定要选用通过国家相关主管部门授权的测评机构检测通过的国产设备。
这样的产品对以后涉密网络系统的稳定运行起到相当大的作用。
三、涉密网络物理环境
涉密网络周边的环境要求安全域边界要明确,域之间的通信可控;禁止高密级信息由高等级安全域流向低等级安全域。
一般采用防火墙、隔离网闸等边界安全设备或采用VLAN的方式划分不同安全域,对信息流向的控制,一般采用关键字过沱的手段。
四、机密级别划分
涉密网络中的信息都应有相应的密级标识,一般分为为非密、秘密、机密、绝密四个级别。
对不同级别的信息应该有不同的保密措施。
五、硬件身份验证
首先,要对信息系统中的涉密服务器、终端以及应用程序的木地和远程登录进行用户身份鉴别,二是要对安全保密设备的本地和远程配置等操作也要进行用户身份鉴别,具体应根据自身特点采用不同的身份鉴别方式,其次,要采取多种技术手段确保身份鉴别的有效性、唯一性,如做好口令、密钥的管理工作,加强对系统管理员操作的审计等。
六、访问控制
做好控制访问,对涉密系统的用户,必须实行用户与账号的一一对应,对涉密信息,要做到信息的分类管理及授权访问。
七、加密传输信息
涉密网络在进行远程传输信息时,应采取加密保护措施,有专网或专门的涉密网络传输时也应该给信息进行加密,因为传输线路在外围环境中也有可能泄密。
八、电磁泄露防护
涉密网络在应采取电源隔离防护装置和电磁干扰器等电磁泄露发射防护措施。
涉密单位应在核心涉密机房建立电磁屏蔽室、配置红黑电源隔离插座、加装线路传导干扰仪等。
通过这些措施来减少泄密事件的发生。
九、资质单位的选择
涉密单位涉密网络建设时,应在各级保密z作部门的指导与监督下,按照《涉及国家秘密的计算机信息系统集成资质管理办法》有关要求选择好有资质的单位。
按照要求完成网络建设和风险评估。
十、管理机构职贵和管理制度
涉密单位保密办或相关负责保密的部门要有明确的职责。
其职责内容应包括涉密信息系统安全保密管理的各个方面。
概括起来,就是组织指导、制订策略和制度、进行检查与评估、开展教育与培训、确定涉密人员职责和权限、日常管理和监督检查、对外协调与联系等,同时对涉密网络管理人员要分工明确。
涉密单位涉密网络应建立相应的安全保密责任制度,明确岗位职责并实行领导责任制度,层层落实,责任到人,从人员、物理设施与环境、设备与介质、运行与开发和信息保密五个方面制订相应的安全保密工作制度。
现在很多涉密单位的涉密网络都在建设,在做好分级保护的同时,一定要做好分级保护中的关键技术,从细节做起,让我们不再泄密。
升级会员 