计算机信息系统保密管理制度.docx
《计算机信息系统保密管理制度.docx》由会员分享,可在线阅读,更多相关《计算机信息系统保密管理制度.docx(18页珍藏版)》请在冰点文库上搜索。
计算机信息系统保密管理制度
计算机信息保密管理制度
文件发放范围:
单位领导层、所有部门
文件内容
一、目的------------------------------------------------------------------------------2
二、适用范围--------------------------------------------------------------------------2
三、职责------------------------------------------------------------------------------2
四、定义------------------------------------------------------------------------------2
五、相关文件--------------------------------------------------------------------------2
六、内容-----------------------------------------------------------------------------3
七、历史修订记录和原因--------------------------------------------------------------11
八、附录-----------------------------------------------------------------------------12
【目的】明确各有关部门信息系统保密的职责,理顺相关业务流程,规范工作行为。
【适用范围】适用于单位计算机信息系统(包括办公自动化、监控系统、软件系统、网络系统、自动化控制系统、门禁系统、视频监控系统、售饭系统等软硬件)的保密及安全管理。
【职责】
1.计算机中心职责
.单位计算机信息保密体系的建设,包括制度建设、计算机信息保密技术措施的实施、日常计算机信息保密体系运行情况的监督检查等。
.制定单位完善的计算机信息保密管理制度,并组织各部门执行,根据执行情况和我行计算机信息安全状况进行及时修订完善。
.根据单位计算机信息安全现状,采取必要的技术手段,进行单位计算机信息安全系统建设,保障单位计算机信息安全。
.日常组织各部门计算机管理员进行计算机信息安全现场检查,包括制度执行情况、计算机操作人员网络行为、各种计算机系统安全情况等。
2.各部门职责
.监督检查本部门计算机涉密信息状况,具体执行单位计算机信息保密管理制度,保障本部门计算机涉密信息处于可控状态。
【定义】
信息系统:
是指应用计算机相关技术开发出来的各种计算机软件,这些软件组织在一起共同完成某种信息的采集、加工处理和特定输出,以达到这些信息所代表的具体事物流程的数据化高效管理。
其包括计算机单机软件系统、计算机网络多用户软件系统和自动化控制系统。
计算机保密信息:
在单位《技术保密管理规定》中规定的,所有进入公司计算机系统处理的涉密信息。
【相关文件】《单位技术管理规定》。
【内容】
1.计算机涉密信息日常管理机制
计算机涉密信息采取归口管理,分级负责的原则,信息中心为计算机涉密信息归口管理部门,采取有效管理及技术措施将涉密信息控制在可控范围内。
各部门正职、各部门信息安全员、计算机操作人员逐级负责。
各部门正职(或负责本部门全面工作的人员)为本部门计算机信息安全第一负责人。
负责本部门计算机信息安全全面管理工作。
部门计算机信息安全第一负责人指派计算机管理员作为本部门信息安全员,各部门信息安全员对本部门计算机涉密信息状况具有监督检查权,负责随机检查本部门计算机涉密信息管理及技术措施执行情况,发现涉密信息不安全因素及时上报部门正职(或主管本部门全面工作人员),同时组织整改。
各部门须建立本部门《计算机涉密信息台帐》(附录一),此台帐由各部门指定的信息安全员统一负责更新维护。
各部门信息安全员负责具体组织本部门涉密人员进行计算机涉密信息辨识,并依据单位《技术保密管理规定》对计算机涉密信息进行分类,及时登记《计算机涉密信息台帐》(附录一)。
各部门计算机操作人员须有高度的信息保密意识和责任感,计算机涉密信息的直接操作人员为直接涉密人员(如成本管理员、质量技术人员、生产管理人员等),须掌握必要的计算机安全知识。
发现重大计算机涉密行为及漏洞,知情人须及时向部门正职(或代理部门全面工作人员)进行汇报,各部门正职及时向公司相关领导汇报,以便最大限度挽回损失。
信息中心各片区信息管理员日常巡检中负责检查各部门计算机系统及操作人员网络行为,对于发现的信息安全隐患及时向计算机中心主任汇报,并提出通报考核意见。
信息中心定期组织进行公司各部门计算机涉密信息管理联合检查,对不符合保密要求的提出整改及通报考核意见。
对于较大信息安全隐患,制定整改措施,报单位领导审批。
信息中心须不断了解业内先进计算机系统保密技术,通过配备必要的技术检查监管系统,不断实施改进我行计算机系统安全环境。
2.计算机涉密信息的来源、日常存储、传送及销毁。
计算机涉密信息的来源。
2.1.1涉密信息进入计算机系统方式包括文档录入、移动存储设备拷贝存入、网络拷贝存入、现场仪器仪表自动采集、手工录入信息系统等等。
计算机涉密信息的存储。
2.2.1各部门针对本部门各个涉密岗位工作特点,在本制度的规定的原则和条款基础上,制定本部门每种计算机涉密信息存储详细规定。
各部门的规定须遵循存储权限清晰(要求控制在涉密人员范围内),方式明确(如硬盘存储,光盘存储等)不得随意拷贝存储、便于工作的原则。
2.2.2涉密文档文件(包括文字文档、影音文件、图片照片文件、压缩文件、动画演示文件等一切以文件方式存储的信息)须由本部门信息安全员定期统一刻录或打印,送交档案室归档存储。
2.2.3涉密电子文档文件在归档前,操作人员须将其加密保存,不得交与未授权人员查阅处理。
2.2.4涉密电子文档文件操作人员须每周将定稿文档提交部门信息安全员归档保存,由本部门信息安全员定期交档案室归档。
2.2.5计算机涉密信息中所有涉密文档文件须加密保存,密码复杂度须符合字母加数字加特殊字符形式,长度最少六位。
2.2.6涉密信息系统数据库或裸设备等应用系统后台数据须由计算机中心系统管理人员备份存储,并定期刻录归档,其它任何人不得随意转出数据库系统数据。
2.2.7移动存储介质未经审批不得在上海单位主机上使用。
2.2.8涉密信息只能由本部门信息安全员按归档需要统一刻录归档,其他人员不得刻录或以任何方式拷贝储存。
计算机涉密信息的传送。
单位内部流转:
各部门须为《计算机涉密信息台帐》中每种涉密信息流转制定严格的流转流程并培训,以保证计算机涉密信息严格控制在工作需要的涉密工作人员范围内流转。
2.3.2涉密信息外发:
各部门须对本部门每种涉密信息制定严格的涉密信息外发审批流程(《计算机涉密信息外发审批单》附录二),须经至少公司级领导审批通过方可外发。
核心机密和重要机密需要外发的,须经公司总经理审批通过。
2.3.3涉密信息外发时,须与接收单位或个人约定保密协议,电子文档外发须留有屏幕截图等技术手段留下存根,移动存储介质或纸质文件等介质外发须有对方签字的存根或其它可供查证的存根,以便日后查证。
2.3.4计算机涉密信息打印、复印、扫描须经审批(《计算机涉密信息打印(复印)审批单》附录三)。
且打印人员要严格按照审批的打印、复印份数,不得留有额外副本。
过程由信息安全员监督。
2.3.5计算机涉密信息打印件须控制在《计算机涉密信息台帐》中登记的涉密人员范围内流转。
若打印件需外发,须填写《计算机涉密信息外发审批单》进行审批通过。
2.3.6各部门信息安全员负责涉密信息存储介质的管理,外来存储介质不得在公司计算机上使用。
用于统一归档的存储介质(如移动硬盘、光盘、纸质打印复印件等)不得交与无浏览权限的人员查看浏览。
计算机涉密信息的销毁
2.4.1
2.4.2部门信息安全员负责对本部门报废计算机上涉密信息进行销毁删除。
2.4.3各部门信息安全员负责监督涉密信息的销毁,确保不留有拷贝副本。
3.计算机涉密信息权限管理
各部门依照本制度2.3.1条款要求,结合本部门涉密人员工作需要,制定计算机涉密信息流转流程。
在流程制定过程中,要充分考虑各个环节的涉密人员权限。
登记《涉密人员涉密信息权限表》附录四。
各部门信息安全员负责本部门计算机系统(包括所有操作系统及应用系统)账户管理,信息安全员须依据申请人的工作职责,授予其审批通过的系统权限。
并登记更新《涉密人员涉密信息权限表》。
各部门计算机操作人员发生岗位变更、离岗离职等,部门信息安全员负责将系统账号及时进行权限变更及注销。
管理权限在计算机中心的,及时申报信息中心系统管理员进行权限变更及注销工作。
同时更新《涉密人员涉密信息权限表》。
各部门及档案室须建立归档的涉密信息查阅登记审批制度,对超权限又因工作需要确需查阅涉密信息的人员进行权限审核,审批通过并登记后方可浏览查阅。
查阅人须对该涉密信息保密负责。
对于未超权限需要查阅归档涉密信息的,仍需进行登记。
(《计算机涉密信息查(借)阅审批单》附录五《计算机涉密信息查(借)阅登记表》附录六)
4.计算机涉密人员管理
计算机涉密人员施行登记备案制度,各部门建立涉密人员档案。
(《计算机涉密人员档案》(附录七))
当涉密人员发生内岗位变更,档案随人员调入调出变更更新。
计算机涉密人员因离职等调出本单位,部门要进行涉密信息行为审计,具体核实是否有相关涉密资料被拷贝,个人办公涉密计算机上的涉密信息是否完整无缺等等,核实个人手上无单位涉密资料,并做好涉密工作交接,方可签字放行。
计算机信息涉密人员对计算机涉密信息有保密责任,不得将涉密信息公示给没有权限或未得审批人员。
5.计算机的使用
设备使用
5.1.1离开办公区域,便携机及其他移动计算设备、存储设备应该存放在文件柜等安全的地方。
5.1.2须严格按照单位的配置实用计算机配件。
禁止私自安装、使用声卡、音箱、MODEM、光驱、光盘、话筒、硬盘、移动硬盘、无线网卡、路由器、交换机等信息设备。
存储介质
5.2.1涉密存储介质是指存储了涉密信息的硬盘、光盘、软盘、磁带、移动硬盘及U盘等。
5.2.2严禁在单位计算机上随意使用移动存储设备,因工作需要向存储介质上拷贝涉密信息时,应填写《涉密存储介质使用情况登记表》,经部门负责人或公司授权人员批准。
5.2.3存有涉密信息的存储介质不得转借他人,不得带出工作区,下班后存放在本单位指定的柜中。
5.2.4需归档的涉密存储介质,应连同《涉密存储介质使用情况登记表》一起及时归档。
5.2.5各部门负责管理其使用的各类涉密存储介质,应当根据有关规定视同纸制文件,按相应文件进行分级管理,严格执行借阅、使用、保管及销毁制度。
5.2.6各种存储介质,未经允许或者未经管理员注册的计算机信息媒体或载体,禁止私自携带离开公司。
在公司内计算机上使用移动存储介质必须向部门信息安全员借用专用的内网授权USB存储设备,信息安全员须进行详细的登记和使用记录,包括借用人、使用用途与使用时间等。
5.2.7公司因一些原因而暂时不用的电子文档、电子数据应由使用部门统一汇总,形成较固定的存储形式(如刻录成DVD),由使用部门封存后交公司档案室贴封保存,启用需经公司领导签字同意。
这些电子文档、电子数据在原计算机中删除。
笔记本电脑使用
5.3.1、公司笔记本电脑公司公用、部门级使用、个人使用。
“谁使用,谁负责”的原则,做好密笔记本电脑的保密管理工作,防止笔记本电脑失控或丢失后被破译,必须采取开机状态身份鉴别。
对于经常携带外出的笔记本电脑要采取保密措施。
论从何种渠道得来的笔记本电脑都要经过登记、备案。
私人笔记本电脑出入单位以及外单位人员携带笔记本电脑来办理工作,须履行登记、办理携带手续后方可通行。
信息系统的和自动化控制系统维护与报废
5.4.1计算机等信息系统出现故障后应填写故障申请,由IT维护人员负责,严谨员工私自开启计算机机箱。
5.4.2禁止员工使用他人的计算机。
公用计算机应指定专人管理,使用者应及时删除相关信息。
5.4.3存有公司重要技术文档或经营管理文档的电脑和服务器应指定专人管理。
5.4.4计算机使用人发生变更,应由资产管理部门提出申请,计算机中心对硬盘进行格式化和重装系统,计算机报废统一由计算机中心对硬盘进行低级格式化,以上操作应作记录并经双人复核。
5.4.5凡需外送修理的涉密设备,必须经主管领导批准,并将涉密信息进行不可恢复性删除处理后方可实施。
5.4.6涉密计算机的报废交主管领导监督专人负责定点销毁,外卖时确保所有数据已经不可恢复,应有记录并经双人复核。
6网络连接和网络安全
网络连接:
IP地址设置为手动设定方式,网络标准协议为TCP/IP;严禁隐藏和伪造上网终端基本信息,严禁员工擅自更改IP地址,严禁员工安装启动公司标准协议以外的其他网络协议。
6.1.1未经批准计算机一律不许接入公司局域网和互联网,如有特殊工作需求,须事先提出申请报主管领导批准后方可实施,并安装物理隔离卡,在相关工作完成后撤掉网络。
经过批准,在与外部网络直接连接时,必须与内部网络断开连接。
要坚持“谁上网,谁负责”的原则,各部门由部门负责人负责严格审查上网机器资格工作,并报计算机中心开通。
6.1.2在与国际互联网相连的信息设备上不得存储、处理和传输任何涉密信息。
6.1.3未经批准,严禁私自设立拨号接入服务。
严禁拨号到公司外部网络。
网络使用安全
6.2.1禁止在公司网络上擅自设立各种形式的服务。
如:
Web,BBS,DHCP等;
6.2.2禁止下载、制造、传播与工作无关的文件;
6.2.3未经批准,禁止使用FTP或TFTP;
6.2.4禁止利用公司网络私自订阅电子杂志;
6.2.5禁止发送、转发垃圾邮件或其他与工作无关的电子邮件;
6.2.6禁止利用公司网络资源进行任何与工作无关的事,公司网络资源24小时只能用于工作;
6.2.7登陆办公自动化软件在员工入职时,由部门秘书申请,计算机中心统一分配。
员工在工作岗位调动或离职时,应向部门秘书移交各类权限及密码;NOTES授权用户应妥善保管用户名与密码,不得泄露给他人,因转借或泄漏密码出现违规行为,该授权用户需接受处罚。
6.2.8员工不得随意在网上建立共享目录,因工作需要建立的共享目录,必须设置共享口令,工作任务结束后应及时取消共享;
6.2.9所有员工的上网行为(包括QQ\MSN聊天信息与文件发送、浏览网页、WEB邮件、FTP上传等)公司都将进行监控与信息备份。
员工离职或者调离所在部门的时候,必须通过信息安全管理人员进行信息安全离职审计,确认在职期间没有违反本管理规定的行为后,方可以办理相关手续。
7系统安全及病毒防治
信息系统安全
7.1.1信息系统指由计算机中心专人维护的服务器、交换机、路由器、自动化控制系统网络设备等公司公用的基础计算机信息设施;
7.1.2操作人员应随时监控计算机信息运行状况,发现异常情况应立即按照操作规程进行操作,并及时上报和详细记录;
7.1.3非计算机信息机房工作人员未经许可不得擅自上机操作和对运行设备及各种配置进行更改;
7.1.4计算机信息工作人员应严格执行信息系统账号和口令标准,操作密码三个月更改一次;
7.1.5计算机信息工作人员应恪守保密制度,不得擅自泄露各种信息资料与数据;
7.1.6操作系统和数据库等软件的超级用户密码由系统管理员(两人)掌握,其中一人为主要操作人员,另外一个备用,服务器等操作应由两人同时在场,并做好相关记录。
计算机上存储文档安全
7.2.1通过文档安全管理系统和集团公司管理制度相结合确保计算机上存储文档的安全;
7.2.2每个员工计算机上必须部署文档安全管理系统代理端,未经允许不得随意卸载。
如系统故障需重装操作系统应及时向文档安全管理系统管理员提交申请。
7.2.3未能正常安装文档安全管理系统代理端的员工不能共享企业现有资源,如:
OA系统禁止登录;
7.2.4对员工日常工作生成的文件进行强制性透明加密。
生成的加密文件只能在本地计算机和同部门计算机上使用。
7.2.5加密文件不能在跨部门的计算机上使用;如需跨部门使用文件需通过文档安全管理系统授权后使用;
7.2.6加密文件通过E-MAIL、QQ、U盘等方式发送到内部办公环境之外的计算机上都不能正常使用;
7.2.7员工私自把笔记本带出到办公环境之外,笔记本上的文件都不能正常使用;
7.2.8由于工作原因需要将文件或笔记本带出办公环境之外使用,需通过文档安全管理系统提供的审批流程经主管部门经理审批同意后方可外出;
7.2.9文档安全管理系统服务器需配置专人专管,非管理人员不得私自使用。
病毒防治
7.3.1计算机用户必须安装公司规定的防毒软件;
7.3.2每周升级和查、杀计算机病毒软件的病毒样本。
确保病毒样本始终处于最新版本;
7.3.3不要打开来历不明的邮件,防治病毒感染;
7.3.4计算机用户不得安装公司规定之外的防毒软件;
7.3.5任何个人不得私自发布计算机病毒疫情;
7.3.6严禁员工编写、收集、编译、传播、运行计算机病毒、黑客软件;
7.3.7在公司发布最新版杀毒软件之后,计算机用户要及时升级杀毒软件、更新病毒库;
7.3.8严禁使用未经公司批准的软件,特殊需求需安装其他软件须向部门长申请并由计算机中心授权安装。
8自动化控制系统
公司所有自动化控制系统应至少分成维护工程师级、工艺工程师级、操作员级三级,所有操作级别分为不同的用户和口令,并有操作记录。
维护和操作要求双人复核并记录。
所有自动化控制系统的重装系统、修改控制程序、升级控制程序等要经负责人和计算机中心负责人审核批准,重要的控制系统应由公司主管领导审批。
发生故障的自动化控制系统存储硬盘要经双人确认并记录,确保数据不可恢复后方可报废。
作为备份的自动化控制系统存储硬盘要封存,确实需要使用时需双人复核。
公司因一些原因而暂时不用计算机控制系统应由使用部门和计算机中心一起封存,双方做记录,存放在控制系统现场或计算机中心库房中,启用需经公司领导签字同意。
9公司对外宣传网站
公司对外宣传网站内容要经办公司室审核通过后方可上网。
10公司门禁系统记录、人员进出管理系统记录、视频监控系统录像、售饭系统刷卡记录等等,有关部门如需查阅或申请注册用户,需经主管部门和公司领导审批通过后方可查询,监控系统录像查询权限需经公司生产部门、安保部门和公司领导审批。
电子文档须经公司主管领导审批通过后方可拷贝。
【历史修订记录和原因】
文件修订历史
文件编号
版本号
修订原因
执行日期
SOP-A/XX/12/007-00
00
新文件
附录一:
计算机涉密信息台帐
序号
涉密信息(或文档)名称
泄密后果分析
泄密环节风险分析
直接涉密人员
管理及技术控制措施
保密级别(核心、重要、一般)
流程编码及名称(单位内部流转流程,外发审批流程)
附录二:
涉密信息外发审批单
部门:
发件人:
发件人岗位:
收件人(单位):
需外发涉密信息:
涉密级别:
□核心
□重要
□一般
外发涉密信息详尽理由:
外发方式:
□电子邮件(收发人邮箱地址)
□邮寄/手动移交光盘、U盘、移动硬盘等其它存储介质。
□邮寄/手动移交打印(复印)件
□传真(对方传真号码)
□其他
是否已与收件人有保密约定(附后):
□是□否
可供查证的存根:
部门信息安全员
部门主管审批
单位主管领导审批
单位领导审批
(复核签字)
年月日
(签字盖章)
年月日
(签字)
年月日
(签字)
年月日
附录三:
计算机涉密信息打印(复印)审批单
部门:
打印(复印)人:
打印(复印)人岗位:
打印(复印份数):
需打印的涉密信息:
涉密级别:
□核心
□重要
□一般
打印(复印)理由:
部门信息安全员
部门主管审批
单位主管领导审批
单位领导审批
(复核签字)
年月日
(签字盖章)
年月日
(签字)
年月日
(签字)
年月日
附录四:
***(部门)人员权限表
姓名
信息系统账户
岗位角色描述
计算机系统
人员权限
涉密信息描述
附录五:
计算机涉密信息查(借)阅审批单
部门
查(借)阅人
查(借)阅人岗位:
需外发涉密信息:
涉密级别:
□核心
□重要
□一般
涉密信息查(借)阅理由:
部门信息安全员
部门主管审批
单位主管领导审批
单位领导审批
(复核签字)
年月日
(签字盖章)
年月日
(签字)
年月日
(签字)
年月日
注:
①此表格适合超权限查阅涉密信息的公司内部人员。
②一般涉密信息须单位主管领导审批即可,核心及重要涉密信息外发须单位领导审批。
附录六:
计算机涉密信息查(借)阅登记表
查阅人姓名
部门
查阅时间
涉密信息
涉密级别
备注
附录七:
计算机涉密人员档案
姓名
性别
年龄
学
升级会员 