电子涉密信息保密管理细则.docx
《电子涉密信息保密管理细则.docx》由会员分享,可在线阅读,更多相关《电子涉密信息保密管理细则.docx(12页珍藏版)》请在冰点文库上搜索。
电子涉密信息保密管理细则
电子涉密信息保密管理细则
第一章总则
第一条为加强公司电子涉密信息管理工作,防止信息失密和泄密,根据《天津市电力公司电子涉密信息保密管理规定》、《天津市电力公司保密工作管理办法》、《天津市电力公司信息系统安全管理实施细则》、《天津市电力公司行政处分及经济处罚规定》、《天津市电力公司安全生产奖惩规定》以及《天津市XX供电有限公司终端信息安全保密管理办法》、《天津市XX供电有限公司安全生产奖惩规定》及公司相关信息安全管理制度,制定本细则。
第二条本细则适用于公司所属各部门(以下简称“各部门”)。
第三条本细则所称计算机设备,包括PC计算机、笔记本电脑、PDA、移动硬盘、U盘等所有带有存储功能的电子设备。
第四条本细则所称电子涉密信息是指:
(一)公司内部各信息系统发布、流转、处理、使用的属于《国家电网公司国家秘密企业秘密目录》中商密(一、二级)、工作秘密以及其他与生产、经营、管理相关具有保密价值的各类重要信息,包括财务、营销、生产、工资薪酬、人事档案等。
(二)属于《国家电网公司国家秘密企业秘密目录》中所列的存储于计算机设备的电子涉密信息。
上述电子涉密信息的保密管理应同时遵守《天津市电力公司保密工作管理办法》的规定。
第五条本细则所称电子涉密信息存储设备是指存储、处理、传递公司电子涉密信息的计算机设备。
涉密计算机指所有存储、处理、传递电子涉密信息的计算机。
第六条本细则所称国家电网公司专用移动存储介质,简称国网U盘,分为保密区和交换区,公司电子涉密信息在离开信息内网或涉密计算机进行信息交换时,必须将电子涉密信息存放在保密区。
第二章职责与分工
第七条公司信息化领导小组对信息系统电子涉密信息安全保密管理负责:
(一)负责制定信息系统安全管理方针;
(二)负责对公司信息系统重大安全事件进行决策和协调;
(三)负责对各专业管理部门的信息系统电子涉密信息的管理工作进行监督。
第八条公司保密委员会(简称保密委)依据《天津市电力公司保密工作管理办法》对信息系统电子涉密信息安全保密管理负责:
(一)组织、审查和监督公司内保密制度的实施工作,对不符合保密管理规定的上网信息进行监督,责成保密办公室和运维检修部统一处理;
(二)对信息系统电子涉密信息失密、泄密事件联合运维检修部进行调查并提出处理意见。
第九条公司办公室(保密办公室)依据《天津市电力公司保密工作管理办法》对信息系统电子涉密信息安全保密管理负责:
(一)对公司电子涉密信息管理情况进行审查、检查、监督、提出改进意见,并督促整改;
(二)协同有关单位做好网络和信息系统的保密工作,协同有关部门查处失密、泄密事件等。
第十条运维检修部作为网络和信息系统归口管理部门:
(一)负责公司信息内网与信息外网的安全保密管理;
(二)负责制定和组织落实安全保密技术措施,对存储、处理、传输电子涉密信息的保密措施提供技术保障,保障网络的运行安全和信息安全;
(三)对发生信息系统失密、泄密事件进行调查,提供信息系统运行数据和日志,对相关责任部门和人员提出处理意见;
(四)负责对公司信息系统电子涉密信息的安全管理落实情况进行技术监督。
第十一条人力资源部根据失密、泄密事件调查结果和保密、信息机构提出的处理意见,按照公司规定予以处罚。
第十二条各专业管理部门负责本专业电子涉密信息的保密管理,具体职责:
(一)负责对本专业的上网电子涉密信息进行审查,对电子涉密信息及其载体实施保密管理,需采取特殊技术手段予以保密的,负责向运维检修部进行申请;
(二)负责提出本部门工作中产生的电子涉密信息的密级和范围;
(三)组织涉及本专业信息系统开发、技术服务的外部人员签订保密协议,与外部厂商签订信息系统开发、技术服务合同保密补充条款;
(四)根据《天津市电力公司信息系统权限管理规定》,负责本专业涉及电子涉密信息的信息系统的权限分配与管理;
(五)负责对本专业信息系统电子涉密信息赋权与被赋权人员进行安全保密教育;
(六)对委托发布信息的部门、单位进行登记,所提供的电子涉密信息内容必须经保密委审查后予以发布。
第十三条信息通信运维班负责落实公司有关信息系统运行安全的各项技术措施,负责对运维检修部及有关部门的监督检查工作提供技术保障。
第十四条各部门负责本部门电子涉密信息的管理:
(一)负责对本部门的上网电子涉密信息进行审查,落实电子涉密信息保密管理细则;
(二)协助对本部门发生的失密、泄密事件进行调查。
第三章失密、泄密责任主体
第十五条电子涉密信息保密管理工作实行责任制,电子涉密信息的保密责任纳入公司各部门、各单位签订的《保密工作责任书》。
第十六条运维检修部对发生公司信息系统电子涉密信息失密、泄密事件负管理责任。
对未履行公司信息系统安全策略、信息系统运维人员不履行职责等导致的失密、泄密事件负直接责任。
第十七条电子涉密信息责任部门对电子涉密信息失密、泄密事件负管理责任。
对本专业信息系统未执行权限管理规定、信息系统运维人员违规操作等导致的失密、泄密事件负直接责任。
第十八条除公司收文外,电子涉密信息(文件)发布部门为第一保密责任部门,委托发布电子涉密信息的,委托部门与发布部门为连带保密责任部门。
第十九条各部门对本部门发布、使用、传递电子涉密信息发生的失密、泄密事件负责。
各部门负责人为保密责任第一责任人。
第二十条各部门必须接受公司保密委的安全保密监督、检查、指导、培训,协助相关上级部门和公司查处涉及信息网络、计算机设备的违法、违规行为。
第二十一条违反公司保密规定,获取、利用、传播电子涉密信息的人员为直接责任人:
(一)在公司信息内网、信息外网或互联网发布、传播国家秘密信息;
(二)在公司信息外网或互联网发布、传播公司电子涉密信息;
(三)非法使用他人信息系统权限、密码获取电子涉密信息,并以自己或他人名义发布、传播的;
(四)将自己掌握、了解、保管的公司电子涉密信息告知第三人予以发布、传播的;
(五)非法使用他人计算机设备中存储的电子涉密信息为个人目的使用、发布、传播的。
计算机设备保管人和信息系统访问权限所有者负间接责任;信息系统电子涉密信息的责任部门负管理责任。
第四章电子涉密信息密级和范围确定
第二十二条各部门对工作中产生的电子涉密信息,依据《天津市电力公司保密工作管理办法》,确定密级并标明密级和保密期限。
第二十三条公司办公室收文时,按照来文标注的密级确定密级。
来文密级标为国家秘密的不得上传信息系统,来文密级虽不属于国家秘密,但保密办公室认为必要的,可按照国家秘密采取保密措施。
第五章电子涉密信息发布要求
第二十四条凡列为公司涉密事项的,承办人在起草、制作上网信息时,依据《天津市电力公司保密工作管理办法》进行密级标注。
第二十五条电子涉密信息不得上传至公司信息外网和互联网,属于国家秘密的任何信息一律不得上传至公司各类信息系统、信息内网、信息外网及互联网。
第二十六条电子涉密信息发布部门对发布信息的真实性负责,对电子涉密信息使用范围有特别要求的,应在发布电子涉密信息时对相关部门进行提示。
第二十七条电子涉密信息在公司信息内网发布,必须报经公司保密委审查同意,并具有完善的技术安全保密保护措施。
第六章电子涉密信息系统运行要求
第二十八条电子涉密信息系统运行要求:
(一)对电子涉密信息应当采取系统访问控制、数据保护和系统安全保密监控管理等技术措施,对电子涉密信息访问的权限控制应采取最小化原则,禁止越权操作,未采取技术安全保密措施或权限控制的信息系统不得接入公司信息内网或信息外网运行;
(二)具有电子涉密信息的信息系统应当采取详细的日志记录模块,记录使用人进入系统的帐号、计算机IP地址、MAC地址及全部操作过程;
(三)有权访问者对电子涉密信息进行再传递、复制时,应按公司有关保密规定执行。
第二十九条涉密计算机运行要求:
(一)涉密计算机禁止接入公司信息外网和互联网,必须与公共信息网络实行物理隔离;
(二)严禁在非涉密计算机、信息外网计算机和互联网上存储、处理、传递公司电子涉密信息;
(三)严禁电子涉密信息存储在涉密计算机和非涉密计算机、互联网上交叉使用;
(四)存储电子涉密信息的计算机设备必须安装防病毒软件,并采取防火墙、主机加固等必须的安全技术手段,做到定期杀毒、升级病毒库,更新操作系统安全补丁,拆除无线网卡或关闭无线上网、蓝牙等功能,禁止运行游戏软件或来路不明的第三方软件;
(五)设置计算机设备BIOS、操作系统、屏幕保护等口令,长度不得少于10位,密码为字母、数字、字符大小写等组合,每三个月进行更换;
(六)涉密计算机的摆放不应屏幕朝向窗户或过道;
(七)未经允许不得携带涉密计算机离开办公场所,如需离开必须将电子涉密信息存放在国网U盘的保密区,并与非涉密计算机分开保存;
(八)涉密人员必须每三个月更换信息系统账号口令,岗位变化应该首先更换口令,并加强口令强度,复杂度必须以数字、字母、字符、大写、小写混合,长度大于等于10位,必要情况下可申请配置RSA动态口令。
第三十条电子涉密信息存储设备因设备维护原因需要到公司外部进行维修、软硬件升级、逾期报废等工作,必须先交送运维检修部,经运维检修部报送上级管理部门通过技术手段(消磁、粉碎等)进行设备脱密处理后方可进行。
第三十一条公司信息系统数据运行安全、保密的其它管理要求按照《天津市电力公司信息系统安全管理实施细则》和《天津市XX供电有限公司终端信息安全保密管理办法》执行。
第七章电子涉密信息备案要求
第三十二条各部门发布电子涉密信息实行信息发布负责制,各部门应严格上网信息的安全审核、监督和管理,负责对在信息内网、信息外网和互联网发布的信息进行分级审核、监督和管理,不得泄露国家和公司的秘密,不得散布不健康和非法的信息,禁止滥用网络资源。
第三十三条各部门需发布电子涉密信息时,委托部门应向运维检修部领取《电子商密信息发布备案表》,提交公司保密委和运维检修部备案,并由运维检修部提交上级管理部门备案。
第八章保密监督检查
第三十四条公司保密委协调组织有关部门,配合上级保密委不定期对上网电子涉密信息责任单位、部门进行检查,提出整改意见,并做出详细记录存档备查。
第三十五条运维检修部协调组织有关部门,配合上级管理部门抽查信息系统涉及电子涉密信息的存储、处理、传递情况。
第三十六条运维检修部负责依据公司信息系统电子涉密信息的安全管理要求,对各单位落实情况进行技术监督和检查。
第九章罚则
第三十七条违反本细则规定,造成国家秘密信息失密、泄密,构成犯罪的,移交司法机关依法追究刑事责任。
第三十八条涉及违反公司信息安全保密制度,造成公司企业秘密丢失泄密、敏感信息泄露,构成信息系统事故的,依据《天津市电力公司电子涉密信息保密管理规定》对直接责任人、间接责任人及连带责任人给予相应行政及经济处罚:
(一)造成公司严重损失和影响、情节严重的,或构成信息系统一级事故的,视情节轻重,对直接责任人给予留用察看一年或开除处分;对间接责任人给予行政降级或撤职处分,同时停发奖金六个月,给予下岗处理;对事故单位负责人给予记过处分,同时停发奖金四个月;对有关职能部门负责人给予记过处分,同时停发奖金四个月。
(二)造成公司较大损失和影响、情节较重,或构成信息系统二级事故的,视情节轻重,对直接责任人给予行政降级或撤职处分,同时停发六个月奖金,给予下岗处理;对间接责任人给予行政记大过或记过处分,同时停发奖金四到六个月,给予下岗处理;对事故单位负责人给予警告处分,同时停发奖金二个月;对有关职能部门负责人给予警告处分,同时停发奖金二个月。
(三)造成公司一般损失和影响、情节较轻,或构成信息系统三级事故的,视情节轻重,对直接责任人给予记大过或记过处分,同时停发奖金四到六个月,给予下岗处理;对间接责任人给予警告或记过处分,同时停发奖金二到四个月;对事故单位负责人给予警告处分,同时停发奖金二个月;对有关职能部门负责人给予警告处分,同时停发奖金二个月。
第三十九条行政处分、经济处罚程序、行政处分运用规则按照《天津市电力公司行政处分及经济处罚规定》第一章第三、四节执行。
第十章附则
第四十条本细则由运维检修部负责解释。
第四十一条本细则自2012年4月25日起执行。
附1:
电子商密信息发布备案单
编号:
申请单位
申请人
发布信息网站
服务器名
IP地址
DNS
容量
存储方式
□数据库□文件
存储路径
发布实施单位
发布实施单位类别
□系统内□合作开发商
申请发布时间
信息有效期间
访问权限
只读:
____________________________________________________________
更改:
____________________________________________________________
禁止访问:
________________________________________________________
其它(需注明):
____________________________________________________
信息类别
□新闻□专业信息□政治信息□企业形象□其他_________
信息内容
(如有附件,列出附件清单并提供存储介质)
专业部门审核意见
签字盖章日期
信息系统主管部门审核意见
签字盖章日期
附2:
升级会员 