涉密信息系统与信息设备管理办法.docx
《涉密信息系统与信息设备管理办法.docx》由会员分享,可在线阅读,更多相关《涉密信息系统与信息设备管理办法.docx(9页珍藏版)》请在冰点文库上搜索。
涉密信息系统与信息设备管理办法
(内部资料,注意保密)
涉密信息系统与信息设备管理办法
云南邮电工程有限公司
二O一七年三月
云南邮电工程有限公司
信息系统、信息设备和保密设施设备管理制度
第一章总则
第一条为了加强信息系统、信息设备和保密设施设备的管理,确保国家、企业秘密的安全,根据相关保密法律法规及其他相关规定,特制定本制度。
第二章信息系统保密管理
第二条公司对存储、处理国家秘密的计算机信息系统(以下简称涉密信息系统)按照涉密程度实行分级保护。
第三条公司涉密信息系统按照系统规划设计处理信息的最高密级,划分为绝密、机密和秘密三个级别,对不同级别的涉密信息系统采取相应的安全保密防护措施。
集中处理工作秘密的信息系统,应当参照秘密级信息系统进行保护。
第四条公司的涉密信息系统必须按照国家保密局制定的《涉及国家秘密的信息系统分级保护技术要求》、《涉及国家秘密的信息系统分级保护方案设计指南》、《涉及国家秘密的信息系统分级保护管理规范》等国家保密标准配备符合国家保密标准的设施、设备。
第五条公司的涉密信息系统投入使用必须经检查合格。
根据《涉及国家秘密的信息系统审批管理规定》,涉密信息系统投入使用前必须经过系统测评和系统审批,符合涉密信息系统分级保护要求后,方可投入使用。
第六条本企业涉密信息系统应能识别终端,以查出非法用户的位置,能跟踪各种非法请求并记录某些文件的使用情况。
第七条公司应当加强对涉密计算机、信息设备、存储介质的管理,任何组织和个人需遵循以下规则:
(一)涉密信息设备维修、报废管理
1、建立涉密信息设备的售后商家名录,并对售后商家的资格进行核查,当涉密信息设备需要维修时,只能送到指定的维修商家进行维修。
如必须有外来人员进行修理时,应有保密办人员全程陪同,必须指定专人负责,对维修人员、维修对象、维修内容、维修前后状况进行监督并详细记录。
2、涉密信息设备需要报废时,应填写《涉密信息设备与介质报废审批表》,送交保密行政管理部门设立的销毁工作机构或者保密行政管理部门指定的公司销毁,彻底清除其中的涉密信息后,对涉密信息存储部件和介质进行清点、登记、销毁。
(二)涉密信息与使用的涉密信息设备密级必须相匹配,不得使用低密级涉密信息设备存储、处理高密级涉密信息;
(三)涉密计算机应按国家保密技术标准,采取相应的技术防范措施(身份认证、访问控制、加密存贮和安全跟踪审计等);
(四)涉密计算机不允许联接互联网,内网终端因工作需要上互联网的,须按企业内部审批流程,经本部门保密负责人同意并安装隔离卡,确保涉密计算机与互联网的物理隔离;涉密计算机在不能有效与互联网进行物理隔离的情况下,不允许联接互联网。
(五)涉密计算机必须拆除具有无线联网功能的硬件模块,涉密计算机不得使用无线外围装置的信息设备;
(六)涉密计算机不得外联,并通过相关的软件实施外联监控措施;涉密计算机必须采取移动存储介质技术管控措施;
(七)涉密计算机必须使用登记在册的涉密信息设备存储、处理涉密信息,涉密计算机与非涉密计算机不得交叉使用移动存储介质;涉密计算机必须单独使用打印机、扫描仪,不能与非涉密计算机之间共用,确保涉密信息打印、刻录等输出相对集中、有效控制,并采取相应的审计措施。
(八)携带涉密信息设备和介质外出,不能只做登记处理,必须报公司保密工作领导小组批准,未获批准携带涉密信息设备和介质外出,公司将对携带人员和保密办公室人员实行惩罚机制;外出时,应对涉密信息进行加密存贮,并有专人对涉密信息设备和介质进行严格管理,采取相应的保护措施,保证其始终处于有效控制之下,防止出现丢失、被盗、被毁以及泄密等情况;涉密信息设备及移动存储介质带出前和带出后归还都应该进行保密检查。
(九)计算机、交换机、路由器、服务器等的口令应加密存贮。
员工必须遵循口令的使用规则,同时必须对口令的产生、登记、更换期限实行严格管理;
(一十)不得随意将未经安全技术处理的退出使用的涉密计算机、涉密存储设备赠送、出售、丢弃或者改作其他用途。
第八条计算机数据备份及日志清理规范
(一)需要备份的数据包括:
系统配置、数据库、业务流程、应用程序等重要数据,特别是私有的、不可从另外的地方恢复的数据;
(二)每季度做一次完全备份,包括第一条里列出的所有数据。
每月做一次数据库备份,并在备份数据文件名称中加入日期进行标识;
(三)当数据有很大的改变时或有重大数据库修改动作时必须立刻做好数据备份;
(四)备份的时候碰到技术难题,杜绝盲目操作,避免造成事故,必要时提请厂商提供现场的数据库备份支持服务工作。
第九条安全保密防护措施
安全保密产品必须是经国家保密局检测合格的,所有涉密的安全产品必须在具有相应涉密设备销售资质的代理商处购买。
第十条计算机病毒防治规范
计算机病毒防护产品必须经公安机关批准,密码产品必须经国家密码管理部门批准。
所有涉密的计算机病毒防护产品、密码产品必须在具有相应涉密设备销售资质的代理商处购买。
(一)定期升级病毒和恶意代码样本库,定期进行病毒和恶意代码查杀;
(二)共享目录要设置密码。
不是一定需要共享的就不要共享,尽量不要设置共享目录的写权限;
(三)以防为主,切断所有可能的病毒源。
不能在网上下载没有可靠来源的软件或其他东西,不能在系统内部的机器上使用没有可靠来源的光盘或软盘;
(四)切断系统与外部internet的连接。
对确实需要上网的维护工作机,要和系统在不同的网段,采用双网卡连接,并做好病毒防范。
第十一条技术保障规范
(一)设备故障或出现问题时,相关人员必须以最快的方式赶赴现场,及时查找事故原因,解决问题。
由于个人原因延迟到场导致重特大事故发生,应对当事人追究责任;
(二)发生事故或出现意外情况及时上报各级领导和相关部门,并详细记录整个事件过程,分析事故原因,找出解决办法,争取杜绝类似事件发生。
第三章保密设施设备的管理
第十二条复印机保密管理
(一)复印机必须指定思想好、忠诚老实、工作认真负责的人员专门管理及操作;
(二)不得利用内部复印机擅自复印国家秘密载体(包括国家秘密文件、资料、图表等),确因工作需要复制时,须经制文机关或其授权单位批准后方可复印;
(三)代外单位复印国家秘密载体时,应对委托单位名称、批准人、经办人、复制载体名称、密级、保密期限、复印日期、份数等项目进行详细登记,以备后查;
(四)不准复印货币、各种有价证券以及反动淫秽作品。
对复印机要重视保密管理,定期进行保密检查,发现违反保密规定使用复印机造成泄密事件,除对当事人追究责任外,还要追究有关领导责任。
第十三条传真机保密管理
(一)传真机必须指定思想好,保密观念强,工作认真负责的人专门管理和操作;
(二)利用传真机传输国家秘密载体(指密件、密报、资料、图表等)必须利用加密装置,并且必须履行审批登记制度;
(三)传真机的管理使用情况列入保密检查的内容,定期检查,发现问题及时解决;
(四)在传真机上加装其他部件或向境外传输信息,必须经保密委批准。
第四章附则
第十四条本制度由公司保密委员会负责解释、补充和修改。
第十五条本制度由公布之日起实施。
附件一涉密计算机和涉密移动存储介质维修、报废审批表
申请部门:
类型
□涉密台式计算机
□涉密便携式计算机
□涉密移动存储介质
品牌型号
密级
启用时间
涉密编号
使用人
事项
□维修□更换□报废
保密负责人
维修、更换、报废理由
申请部门负责人(签字):
年月日
办公室
意见
负责人(签字):
年月日
分管中心领导审批意见
负责人(签字):
年月日
中心主任
审批意见
负责人(签字):
单位(盖章)
年月日
附件二涉密信息设备维修(报废)记录表
时间
受控编号
负责人
处理状态
备注
附件三涉密计算机查杀病毒及病毒库升级登记表
部门
计算机机编号
使用人
时间
杀毒软件名称
病毒库版本
病毒库来源
是否查到病毒
病毒名称、数量
处理结果
注:
1.涉密计算机必须配备经过国家和地方安全保密部门或安全部门许可的查、杀病毒软件;
2.每周对涉密计算机病毒进行一次查、杀检查;
3.每周升级查、杀计算机病毒软件的病毒库
4.禁止在线或使用非涉密介质升级防病毒软件病毒库,推荐使用光盘刻录所需文件。
附件四携带涉密便携式计算机、移动存储介质外出申请审批表
申请人
所在部门
计算机密级
设备编号
计算机型号
硬盘序列号
去往单位
申请使用时间
年月日至
年月日
带出前
设备状态
☞开放光驱□全盘杀毒□存储涉密文件
☞未开放打印端口□升级病毒库□有效身份认证
□更新系统补丁□增加开放服务
携带涉密信息存储介质类型
□未携带
□光盘(编号:
密级:
)
□USB介质
(介质型号:
密级:
保密编号:
)
电子
涉密文档
详细情况
文件名称
密级
文件类型
用途
携带外出
事由
申请人签字:
课题组负责人审批意见
签字:
年月日
所在单位领导审批意见(签字、盖章)
年月日
保密办
审批意见
年月日
升级会员 