计算机信息系统保密管理规定.docx
《计算机信息系统保密管理规定.docx》由会员分享,可在线阅读,更多相关《计算机信息系统保密管理规定.docx(20页珍藏版)》请在冰点文库上搜索。
计算机信息系统保密管理规定
xxxxxx公司
计算机信息系统保密管理规定
编制:
审核:
批准:
xxxxx公司计算机信息系统保密管理规定
第一章总则
第一条为保护计算机信息系统处理的国家秘密信息安全,根据国保发(1998)1号文件精神,依照BMB17-2006《涉及国家秘密的信息系统分级保护技术要求》、BMB20-2007《涉及国家秘密的信息系统分级保护管理规范》的要求制定本规定。
第二条本规定适用于公司涉密信息系统的运行管理,规定所称的计算机信息系统由本单位的各类涉密计算机(便携式计算机、服务器、用户终端)、网络设备、外部设备、存储介质、安全保密产品等构成的人机系统。
第三条本规定包括:
信息系统基本要求、台账、维修、报废、审计、安全保密防护、密码保护、存储介质、外出携带、互联网计算机使用等内容。
第四条计算机信息系统保密管理实行“积极防范、突出重点、分级负责、责任到人”的原则。
严禁涉密信息系统直接或间接连接互联网及其他公共网络;严禁使用连接国际互联网或其他公共信息网络的计算机和信息设备进行存储和处理涉密信息。
第五条保密办公室负责公司各部门计算机信息系统安全工作的监督和检查,发现问题,及时提出并督促整改。
各部门负责本部门计算机信息系统及涉密信息的安全保密工作。
第二章台账、维修、报废管理
第六条本单位的计算机和信息系统设备总台账由保密办公室负责统计、维护和管理,涵盖本单位的各类计算机(便携式计算机、服务器、用户终端)、网络设备、外部设备、存储介质、安全保密产品等。
第七条各部门应建立本部门计算机和信息系统分台账。
由各部门负责统计、维护和管理。
第八条台账应以电子和文档版本形式存在,总台账和分台账内容应当吻合,并与实物相符,发现问题实时更新台账,保证台账与实物相符。
第九条台账信息按照设备分类,应包含以下信息:
㈠计算机台账应当包含:
密级、放置地点、使用人、操作系统版本、安装时间、硬盘物理号、IP地址、MAC地址和使用情况(包含再用、停用、报废、销毁等);见附表九。
㈡存储介质台账应当包含:
责任人、名称、型号、密级、启用时间、标识和警示语以及销毁时间;见附表十。
㈢安全保密产品台账应包含:
(名称、型号、数量、单位、责任人、证书有效期等。
)见附件十一
第十条涉密计算机信息系统设备需要维修时,由设备责任人提出申请,由公司保密办计算机信息系统维护人员进行维修,如果需聘请外部人员到公司进行现场维修,需经公司主管领导批准后进行现场维修,维修时应将设备中的涉密信息转储后清除,并由设备责任人全过程进行监督。
严禁维修人员恢复、读取和拷贝被维修设备中存储的涉密信息。
第十一条对于确实必须外送维修的,由设备责任人提出申请,公司主管领导批准后,保密办办理有关手续,拆除所有存储过涉密信息的硬件和固体妥善保管(如设备中存储过涉密信息的硬盘和固件不能拆除,应当办理审批手续),由保密办计算机信息系统管理人员派专人送到国家保密行政管理部门指定的具有涉密信息系统维修资质的单位进行维修。
第十二条严禁在涉密信息系统外部通过远程维护和远程桌面连接方式,对涉密计算机和信息设备进行维修和维护工作。
维修应当建立维修日志和档案,对所有涉密设备的维修情况进行记录留证。
第十三条不再使用或无法使用的涉密计算机信息系统设备需要报废时,应当由设备管理人填写《xxxx公司涉密办公设备报废、销毁审批表》,上报保密办进行审核,由公司主管领导批准后实施。
第十四条在经过批准后,报废前应拆除所有存储过涉密信息的硬件和固体,如无法拆除,则应将设备整体进行报废。
如需销毁,必须送到具有涉密信息系统销毁资质的单位进行销毁。
第十五条报废和销毁的涉密设备需要建立清单,还需要对其密级、经办人、采取措施、以及最终去向进行文档化记录。
第三章密级标识管理
第十六条计算机信息系统必须按照处理和存储信息的最高密级建立标识;设备标识中应包含设备密级、设备编号、主要用途、责任人等内容,且标识不易损毁和丢失,信息也应有密级标识,且与信息主题不可分割。
标识应与台账信息相符。
第十七条密级标识颜色鲜明,主题、徽标、警示语明确突出,由公司保密办统一制作,并与台账信息相符。
第十八条标识粘贴在设备的显著位置,不得私自损坏、涂改或擦除。
第十九条未最后定稿的过程文件(处于起草、设计、编辑、修改过程中)和已完成的电子文档、图表、图形、图像、数据,只要内容涉及国家秘密,首页就应当标注密级标识,首页无法直接标注秘密标识的,可以将密级标识作为文件名称的一部分进行标注。
第四章安全策略与审计
第二十条保密办按照公司涉密计算机及信息系统的实际情况建立文档化的安全保密策略文件,并经公司保密委批准后正式下发,并通过授课培训传达给涉密计算机和信息系统的全体管理和使用人员。
第二十一条保密办按照环境、系统和威胁变化情况以及风险分析的结果,在不降低涉密计算机和信息系统整体安全保密强度,确保国家秘密安全为原则的情况下,及时调整更新安全策略。
第二十二条保密办应当每个季度根据公司涉密计算机和信息系统运行情况和内部、外部威胁等,做出安全保密审计报告。
第二十三条保密办应当每年根据公司涉密计算机和信息系统运行情况和内部、外部威胁等,根据系统运行情况,做出安全保密风险分析报告。
第二十四条安全保密审计报告和风险分析报告应当依据安全保密策略通过可审计事件、异常事件和行为进行统计分析,保密办组织做出调整更新安全策略,并对涉密计算机及信息系统隐患和漏洞及时采取补救措施。
第五章安全保密技术防护管理
第二十五条涉密计算机及信息系统应当按存储和处理信息的相应密级进行管理和防护,严禁越级处理和存储涉密信息。
第二十六条涉密计算机显示器、投影仪显示屏幕的物理摆放位置不得正面向门、窗等其他容易被直视的位置,严防显示输出内容被非授权获取。
涉密计算机必须配合红黑隔离电源使用,严防电磁泄漏。
第二十七条涉密计算机采用单人单机管理,谁使用谁负责的原则。
第二十八条涉密信息系统需要按照密级配置相应的安全防护策略和措施,配置身份鉴别、电磁泄露防护、入侵控制、违规外联、病毒防护等安全产品,安全保密产品应当采用国产设备,并拥有国家相关主管部门授权的评测机构的检测证书。
第二十九条涉密计算机应按身份鉴别规定设置开机密码,用户密码和屏保密码,密码长度不得少于8个字符,口令更换周期不得长于一个月;密码设置要求:
密码应采用组成复杂,不易猜测的口令,应包含大小写英文字母、数字、特殊字符中两者以上的组合;BIOS不支持的两者以上组合的依照BIOS规则设定。
第三十条计算机和信息系统必须采取计算机病毒与恶意代码防护措施,并且需要定期对计算机设备上的病毒与恶意代码措施进行查验,及时处理计算机隔离区和未被删除的病毒。
第三十一条计算机和信息系统必须及时对操作系统、数据库系统、应用系统安装补丁程序;补丁程序的安装应在补丁程序发布后三个月内及时安装,以确保系统安全。
第三十二条计算机和信息系统的补丁程序、杀毒软件病毒库以及恶意代码库的升级、安装、分发由保密办人员负责,禁止擅自安装更新。
第三十三条涉密计算机和信息系统的信息输出(打印、拷贝)必须经过审批、登记后在保密办专人进行集中打印或输出;信息输入必须经过中间机,由保密办专人负责管理,并且进行审批登记。
第三十四条涉密计算机和信息系统禁止任何软硬件的扩展、延伸、缩减、拆卸;如确因工作需要安装软硬件,必须经过审批,在安装前先进行计算机病毒和恶意代码查杀。
第三十五条涉密计算机和信息系统禁止使用任何无线传输联网硬件,禁止使用无线鼠标、无线键盘等具有无线功能的外部设备,如果设备存在则必须拆除,无法拆除的计算机严禁作为涉密计算机和信息系统的用户终端使用。
第三十六条涉密计算机和信息系统在需要对其进行密级变更时需要履行密级变更审批手续,在降级时需要更换涉密存储介质;涉密计算机系统需要重新安装操作系统需要审批手续。
第三十七条涉密便携式计算机禁止存储涉密信息,如需处理涉密信息则需使用涉密移动存储介质存储涉密信息,外出携带需要做到机盘分立。
第六章存储介质管理
第三十八条移动存储介质由公司进行统一采购,由保密办建立台账清单,进行统一编号、标识和密级划分与管理,需要使用时到保密办办理借用手续,使用完毕需及时归还;严禁使用未经保密办确认统一编号的移动存储介质。
第三十九条涉密计算机和信息系统内使用的移动存储介质应当与主机进行有效的技术绑定,禁止非涉密存储介质存储涉密信息,禁止在非涉密计算机上使用涉密存储介质。
第四十条传递存储介质时,应当严格履行清点、登记、编号、签收、回执手续,并检查介质中是否存在不属于传递范围的涉密信息,由专人进行传递。
第四十一条移动存储介质应按照存储信息的最高密级进行管理,若存储低密级信息应按照原有密级进行管理,严禁存储高于自身密级的信息,严禁涉密移动存储介质在非秘或公共信息系统中使用。
第四十二条严禁涉密移动存储介质中存储与工作无关的信息;严禁将涉密移动存储介质带出办公区域;严禁外来存储介质接入公司系统,数据必须经过中间机进行中转;严禁将个人具有存储功能的介质和设备直接接入涉密计算机和信息系统。
第四十三条严禁涉密计算机信息系统设备利用USB等其他外部接口连接手机、照相机、MP3等有存储功能的设备进行充电等操作。
第四十四条对已标明密级的存储介质,不能降低密级使用,不再使用的应上交统一销毁;移动存储介质的报废要认真核对集中上缴有关单位进行销毁。
第七章信息交换管理
第四十五条信息交换必须通过中间计算机上转换。
中间计算机必须为独立运行的专用计算机,是专门实现涉密计算机和信息系统与其他计算机和信息系统之间的信息交换为目的的计算机。
第四十六条涉密中间机主要处理其他涉密信息系统或涉密存储介质到内部涉密信息系统的信息交换。
非涉密中间机处理从国际互联网、公共网络和非涉密信息系统到内部涉密计算机和信息系统之间进行信息交换。
第四十七条从涉密计算机信息系统输出信息,通过指定的计算机直接刻录成光盘输出,涉密信息系统中的非涉密信息需要对外交换时,应当输出纸介质文件,如确需使用电子文档输出时,应当采取刻录一次性写入光盘的方式进行。
第四十八条从国际互联网、公共网络和非涉密信息系统数据导入涉密信息系统时,需要填写审批单,注明信息的名称、来源和用途等,经保密办批准后将信息导入到非涉密中间机,拔除导入信息存储介质,进行计算机病毒与恶意代码、间谍软件、木马程序的查杀,然后将信息刻录到一次性写入光盘,导入到涉密计算机信息系统中,记录导入过程,审批单、操作记录和光盘应当存档备案。
第四十九条涉密计算机或涉密信息系统之间进行信息交换时,可使用采取技术防护措施的涉密移动存储介质进行交换。
第五十条中间计算机必须与任何计算机和信息系统实现物理隔离并独立运行,安装防病毒软件和恶意代码查杀工具,并及时升级,以确保安全。
中间计算机安装在保密办公室,由专人负责,使用必须进行登记。
第八章外出携带管理
第五十一条为方便外出处理涉密信息,公司配置一台便携式计算机和涉密移动存储介质组成外出携带涉密设备。
第五十二条外出便携式计算机内不得存储涉密信息,处理涉密信息必须存放在涉密移动存储介质中,与涉密便携式计算机做到机盘分离保管。
第五十三条外出携带涉密设备由保密办公室管理,外出遵循“谁使用谁负责”的原则,未经批准不得转借其他单位(部门)或个人使用。
第五十四条外出携带涉密设备按所处理信息的最高密级标识密级,并按相应密级进行管理与防护。
第五十五条确因工作需要携带外出涉密设备按下列要求办理:
㈠携带人填写《xxxxxxx公司外出携带涉密设备出公司审批表》;
㈡报本部门领导审查;
㈢报保密办进行保密检查,检测内容如下:
⒈ 机内是否存储涉密信息;
⒉ 存储介质是否存有与任务无关的涉密信息,与本次任务无关的信息必须清除;
㈣公司主管领导批准;
㈤保密办办理出门手续并进行保密提醒教育;
㈥返回公司当日到保密办进行保密复检,复检内容如下:
⒈ 机内是否存储涉密信息;
⒉ 外出期间是否上过互联网;
⒊ 存储介质的涉密信息是否丢失等。
第五十六条经批准外出携带涉密设备外出执行任务的,责任人必须将涉密存储介质与便携式计算机分开保管,严防被盗或丢失。
第五十七条携带涉密便携式计算机或存储介质中的信息必须与执行任务项符合,凡与本次执行任务无关的信息必须清除。
第五十八条严禁携带涉密便携式计算机及其存储介质探亲访友、参观、购物或旅游。
第九章安全保密管理人员
第五十九条计算机信息系统安全保密工作实行领导责任制,公司涉密计算机和信息系统为单机,保密办设置涉密计算机安全保密管理员。
安全保密管理员主要负责涉密计算机和信息系统的运行安全工作,计算机安全保密管理员需通过安全保密培训,持证上岗。
第六十条各部门设置专门的涉密人员管理本部门的涉密单机;便携式涉密计算机由保密办专人进行保管;涉密移动存储介质由保密办专人进行管理。
第一十章互联网计算机管理
第六十一条因工作需要申请接入互联网的计算机,按下列要求办理:
㈠申请部门填写《xxxxxxx公司计算机接入互联网审批表》;
㈡报本部门领导审查;
㈢报保密办公室进行涉密审查;
㈣报公司主管领导审批;
㈤保密办备案登记,并办理“国际互联网准入证”实行“一机一证”管理。
第六十二条未经批准上互联网的计算机,不得上互联网;经批准上互联网的计算机,使用管理部门需设专人管理。
第六十三条上网信息保密管理坚持“谁上网谁负责”和“谁批准谁负责”的原则,向国际互联网站点提供或发布信息,按下列要求办理:
㈠申请部门填写《xxxxxx公司上互联网提供和发布信息保密审批单》;
㈡报本部门领导审查;
㈢报保密办公室进行涉密审查;
㈣报公司主管领导审批;
㈤保密办备案存档,并对上网行为进行登记。
第六十四条经批准发布的信息,谁发布谁管理,并进行严格的登记,发电子邮件等同提供或发布信息管理。
第六十五条严禁上互联网计算机处理、存储、传递涉密信息,涉密信息一律不准向国际互联网站点提供或发布。
第六十六条从互联网下载的信息和软件由保密办指定专人进行操作,进行统一下载和分发,个人需要使用互联网下载或查询软件和信息,应当履行登记手续。
第一十一章奖惩
第六十七条在执行本规定中做出显著成绩的部门和个人,给予奖励;违反本规定的部门和人员给予处罚;奖惩按《xxxxxxxx公司保密奖惩规定》执行。
第一十二章附则
第六十八条本规定由公司保密办计算机安全保密管理员负责解释,保密办按照职责范围对本规定执行情况进行监督和管理。
第六十九条本规定从下发之日起执行。
附表:
一、《xxxxxx公司涉密计算机审批表》
二、《xxxxxxx公司涉密优盘 活动硬盘 下载涉密信息用途登记表》
三、《xxxxxxx公司便携式计算机出公司审批表》
四、《xxxxxxx公司计算机接入互联网审批表》
五、《xxxxxxx公司涉密办公设备维修记录表》
六、《xxxxxx公司涉密办公设备报废、销毁审批表》
七、《xxxxxxx公司涉密计算机密级变更审批表》
八、《xxxxxxx公司涉密计算机操作系统重置审批表》
九、《xxxxxxx公司计算机台账》
一十、《xxxxxx公司存储介质台账》
一十一、《xxxxxxx公司安全保密产品台账》
附件一
xxxxxx公司涉密计算机审批表
编号:
序号:
所属部门:
涉密编号:
规格
台式□便携式□
使用人
责任人
型号
用途
硬盘ID
操作系统版本
放置位置
安装时间
网络状态
单机□联网□IPMAC
涉密信息及密级
涉密信息
密级
本部门领导意见
签名:
年 月 日
保密办
意见
签名:
年 月 日
保密委
意见
签名:
年 月 日
备注
注:
此表存保密办
附件二
xxxxxxx公司涉密优盘、活动硬盘下载涉密信息用途登记表
编号:
部门:
序号:
序号
时间
何介质下载
编号
密级
下载涉密信息的名称、内容
密级
用途
下载人签名
附件三
xxxxxxx公司便携式计算机出公司审批表
编号:
序号:
申请部门:
时间:
携带
责任人
出公司时间
目的地
便携机品牌型号
涉密
编号
密级
存储介质型号容量
涉密
编号
密级
外出理由
涉密事项密级
保密措施
部门领导
意见
签名:
年月日
技术部网络管理员检测结果
1.机内是否存储涉密信息。
( )
2.存储介质是否存有与任务无关的涉密信息。
( )
签名:
年月日
公司主管
领导意见
签名:
年 月 日
保密办
意见
签名:
年 月 日
注:
此表存保密办
便携式计算机回公司后复检记录表
部 门
携带
责任人
回公司日期
便携式机
涉密编号
存储介质涉密编号
出公司后有无异常情况
网管复检记录
1.机内地是否存储涉密信息( )
2.外出期间是否上过互联网( )
3.存储介质涉密信息是否丢失( )
签字:
年 月 日
附件四
xxxxxxx公司计算机接入互联网审批表
编号:
序号:
部门:
年 月 日
计算机牌号
联接方式
拨入电话
本机电话
计算机管理人
放置位置
接入日期
填表人
年 月 日
用 途
本部门领导意见
签名:
年 月 日
技术部网络管理员意见
签名:
年 月 日
公司领导意见
签名:
年 月 日
保密办意见
签名:
年 月 日
备 注
注:
此表交保密办存档。
附件五
xxxxx公司涉密办公设备维修记录表
编号:
序号:
部门:
年 月 日
设备名称
涉密编号
密 级
部 门
负责人
设 备
管理人
维 修
时 间
维修方式
维修人
姓 名
维 修
单 位
情 况
全 称
地 址
电 话
维 修
原 因
维 修
情 况
记 录
记录人签名:
年 月 日
备 注
注:
此表由设备管理人存保密办存档。
附件六
xxxxxx公司涉密办公设备报废、销毁审批表
编号:
序号:
部门:
年 月 日
设备名称
涉密编号
密级
设 备
管理人
报废□
销毁□
原因
本部门
意见
签名:
年 月 日
保密办
意见
签名:
年 月 日
保密委
意 见
签名:
年 月 日
销 毁
情 况
记 录
监销人签名:
年 月 日
报 废
情 况
记 录
经办人签名:
年 月 日
备 注
注:
此表存保密办
附件七
xxxxxx公司涉密计算机密级变更审批表
编号:
序号:
规格
涉密编号
责任人
处理涉密信息及密级
台式□
便携式□
用途
变更方式
升级□降级□
变更原因
采用技术手段
本部门领导意见
签名:
年 月 日
保密办
意见
签名:
年 月 日
保密委
意见
签名:
年 月 日
备注
注:
此表存保密办
附件八
xxxxxx公司涉密计算机操作系统重置审批表
编号:
序号:
所属部门:
涉密编号:
规格
使用人
责任人
处理涉密信息及密级
台式□
便携式□
重置原因
操作方式
涉密信息处置方式
本部门领导意见
签名:
年 月 日
保密办
意见
签名:
年 月 日
安装人操作记录
签名:
年 月 日
备注
注:
此表存保密办
附件九
xxxxxxx公司计算机台账
编号:
部门:
序号:
序号
编号
密级
使用部门
使用人
责任人
硬盘物理号
操作系统版本
安装时间
IP
MAC
主要用途
放置地点
使用情况
附件十
xxxxx公司存储介质台账
编号:
部门:
序号:
序号
使用人
名称
容量
序列号
密级
编号
介质格式
使用情况
备注
附件十一
xxxxxxx公司安全保密产品台账
编号:
部门:
序号:
序号
名称
型号
数量
单位
责任人
产品有效期
备注
升级会员 