信息安全保密管理规定.doc

《信息安全保密管理规定.doc》由会员分享，可在线阅读，更多相关《信息安全保密管理规定.doc（21页珍藏版）》请在咨信网上搜索。

保密等级 公开 文档名称 信息安全保密管理规定 文档编号 JSCA -B-009-2012 发布组织 JSCA信息安全工作小组 发布日期 2012年2月13日 执行日期 2012年2月13日 版 本 号 V.1 信息安全保密管理规定 批准人签字 审核人签字 制订人签字 卞永华 日期：2012/2/13 程国青 日期：2012/2/8 周燕 日期：2012/2/1 江苏省电子商务服务中心有限责任公司 变更履历 序号 版本编号 简要说明(变更内容、变更位置、变更原因和变更范围) 变更日期 变更人 审核人 批准人 批准日期 1 V.1 组织名称和架构变更 2012-2-1 周燕 程国青 卞永华 2012-2-13 目录 1.目的 1 2.适用范围 1 3.引用标准/名词定义 1 4.职责 1 5.内容及要求 1 5.1计算机信息分类标准 1 5.2计算机信息分类表 2 5.3计算机信息分类标识管理 5 5.4计算机信息分类的安全管理 5 5.5计算机信息分类安全管理的实施 12 5.6计算机设备安全保密总则 13 5.7计算机上网安全保密管理规定 14 5.8涉密存储介质保密管理规定 14 5.9计算机维修维护管理规定 15 5.10用户密码安全保密管理规定 16 5.11笔记本电脑安全保密管理规定 16 5.12涉密电子文件保密管理规定 17 5.13涉密计算机系统病毒防治管理规定 18 6. 表单 18 7.参考文件/表单 18 1.目的 为保护计算机信息系统处理的江苏CA秘密安全，特制定本规定。 2.适用范围 本规定适用于采集、存储、处理、传输、输出江苏CA秘密信息的计算机系统。 3.引用标准/名词定义 《中华人民共和国保守秘密法》、《中华人民共和国计算机信息系统安全保护条例》 4.职责 管理中心主管江苏CA计算机系统的保密工作。各部门主管本部门的计算机信息系统的保密工作 5.内容及要求 5.1计算机信息分类标准 5.1.1绝密信息 绝密信息是指那些具有最高安全级别，对公司计算机系统和业务系统的正常和安全运行起到至关重要作用的信息。绝密信息一旦对被非法访问或篡改，会导致灾难性的影响，并且这种影响在短时期内是不可恢复的。 5.1.2机密信息 机密信息是指那些必须在公司使用，并且有严格访问控制的信息。任何对机密信息的非法访问、修改或删除会严重影响公司计算机系统的安全，但这种影响是可以在短时期内恢复的。 5.1.3秘密信息 秘密信息通常是指那些只供内部使用的计算机信息资料，任何对秘密信息的非法访问、修改或删除可能会对公司计算机系统地安全造成一定的影响，但不可能是严重的或不可恢复的。 5.1.4公开信息 公开信息是指可以公共访问和对外发布的信息，并且公开信息可以自由发布而不会产生任何安全问题。 5.2计算机信息分类表 计算机信息分类 举例说明 n 公开信息 n 公司公共信息 n 公司介绍 n 公司组织结构 n 业务介绍 n 公司地点信息 n 公司新闻稿 n 公司年报（审计报告、资产负债表和损益报告等） n 公司各业务公共信息 n 江苏省安全CA认证网关数字证书认证 n 江苏省CA安全认证网关 SSL VPN n 公司对外政策 n 电子认证业务规则 n 电子认证服务管理方法 n 中华人民共和国电子签名法 n 商务密码管理条例 n 中华人民共和国认证认可条例 n 驱动集合包软件使用协议 秘密信息 公司计算机信息安全规定 n 计算机信息安全管理规范 n 计算机信息安全技术规范 n 计算机信息安全操作规定 n 其它计算机信息安全相关规章制度 计算机信息系统操作和维护资料 n 用户操作手册 n 技术支持资料 n 管理员操作手册 n 安装软件和安装配置手册 n 硬件和软件资产清单 n 计算机信息系统供应商服务协议（SLA ） n 系统补丁软件和相关安装资料 n 操作培训资料 n 相关参考资料 n 相关操作和维护记录 n 数据库数据结构资料 其他 n 内部通知 n 内部发行的各种文件 n 内部网站上供内部员工下载的各类资料 n 内部会议记录 n 内部普通工作电子邮件 机密信息 客户信息 内部员工的个人隐私 n 个人履历 n 个人档案 n 学历背景 n 个人财政情况 n 个人电子邮件 计算机信息系统相关 n 一般用户和操作员帐号和口令 n 业务应用程序开发相关技术资料 n 计算机信息系统安全审计数据和相关报告 n 计算机信息系统初始备份（不包括任何业务和办公数据） 计算机信息系统设计和实施资料 n 网络拓扑图（LAYER2和LAYER3） n 网络布线图 n 系统流程图 n 系统设计方案（包括系统升级） n 系统实施方案（包括系统升级） n 系统安装配置细则（软件、硬件和网络等） n 系统测试方案和测试报告 内部运营信息 n 财务数据 n 内部运营审计报告 n 内部人事资料 n 客户相关资料 n 市场营销相关资料 其他 n 公司文件或通知 n 上级部门所发的各种文件 绝密信息 计算机信息系统相关 n 所有系统管理员帐号和口令 n 所有计算机信息安全员帐号和口令 n 业务数据库管理员帐号和口令 n 行内加密设备的密钥以及有关管理员帐号和口令 n 业务和办公系统和数据库的数据备份 业务数据 n 对私业务数据（包括个人用户帐号信息） n 对公业务数据（包括企业用户帐号信息） n 内部业务的决策、计划、调研、统计等相关资料 n 行内商业秘密 其它 n 国家保密局规定的国家机密信息 n 有关国家金融机密数据 5.3计算机信息分类标识管理 对不同安全类别的计算机信息进行明确的标识，有助于内部相关人员依照公司有关计算机信息安全规章制度进行具体操作和处理，从而最大限度地降低了由于人为的误操作所带来的安全隐患的概率。 5.3.1分类标识的原则 a.所有计算机信息安全分类标识必须正确反应该计算机信息的安全防护级别，技术中心对公司计算机信息安全分类有最终决定权。 b.计算机信息安全分类标识务必详尽，而且其内容和格式在行内必须统一。 c.对所有的计算机信息安全分类标识，必须由专人作定期更新维护（每1年一次）。 d.一般采用标签方式对计算机信息进行安全分类标识，但是对以电子格式的数据和文档则可以采用有关电子方式进行安全分类标识，例如强制性的“安全声明”（BANNER）、安全警告提示窗口、加入安全分类信息到电子文档的属性中等。 5.3.2分类标识的内容 计算机信息安全分类标识必须包括并不仅限于下列信息： a.简单描述或内部编号 b.创建日期和最后修改日期 c.版本控制信息 d.安全类别和相关操作处理规章制度的“链接” e.专管人员或专管部门 5.4计算机信息分类的安全管理 5.4.1公开信息 操作类别 安全管理规定 向第三方公开 n 硬件和软件维护 n 系统集成 n 公共信息可以向第三方人员或公司公开，并允许对外进行发布，但是要注明公共信息的来源出处。 口头传递 n 会议 n 电话录音 n 手机 n 电话 n 公开谈话 没有特殊安全规定。 通过电子通讯手段传递 n 互联网服务 n 电子邮件 n 传真 n 内部网络 n 手机短信息 n 在发送传真时，应当有传真封面，并注明发件人（部门）、收件人（部门）等信息。 复制拷贝 n 复印 n 电子拷贝 n 数据备份 没有特殊安全规定。 存储 n 电子邮件 n 电子文档 n 打印文档 没有特殊安全规定。 作废处理 n 非写存储介质 n 可写存储介质 n 纸张 n 硬件设备 n 存有公共信息的磁盘可以不经过格式化或覆盖操作，并可以直接使用。 n 纸张可以直接再利用。 5.4.2秘密信息 操作类别 安全管理规定 向第三方公开 n 硬件和软件维护 n 系统集成 n 有关项目负责人员需要向公司技术中心总监，提出申请，经批准后方可执行，并且必须事先和第三方签订“保密协议”。 口头传递 n 会议 n 电话录音 n 手机 n 电话 n 公开谈话 n 只限于在公司内部发布。 n 所有公司员工，未经相关授权，禁止以任何口头方式向非公司人员或非相关人员透露内部计算机信息。 通过电子通讯手段传递 n 互联网服务 n 电子邮件 n 传真 n 内部网络 n 手机短信息 n 只限于在公司内部进行。 n 所有公司员工，未经相关授权，禁止以任何电子手段向非公司人员或非相关人员透露内部计算机信息。 n 所有电子通讯系统必须设有身份验证（用户身份验证或设备身份验证）和审计机制。 复制拷贝 n 复印 n 电子拷贝 n 数据备份 n 经由相关部门主管同意后，可以对内部信息进行复制拷贝，但是必须遵循“谁复制，谁负责”的原则，防止在复制过程中产生安全隐患。 n 数据备份必须存放在指定的地点，并由专人负责安全存放。 存储 n 电子邮件 n 电子文档 n 打印文档 n 必须对信息进行标识，注明信息的密级是内部信息。 n 应当存放在规定的地点或网络驱动器，以便统一管理。 n 内部员工应对本人拥有的内部信息拷贝妥善保管。 作废处理 n 非写存储介质 n 可写存储介质 n 纸张 n 硬件设备 n 纸张文件必须粉碎。 n 可写存储介质必须格式化（初始化）后方可重新使用。 n 非写存储介质必须进行物理销毁。 n 硬件设备必须事先进行完全初始化。 5.4.3机密信息 操作类别 安全管理规定 向第三方公开 n 硬件和软件维护 n 系统集成 n 一般禁止向任何第三方透露公司秘密信息，如有特殊情况，则需要公司领导书面批准，并且必须事先和第三方签订严格的保密条款（需要专业律师介入）后方可进行。 口头传递 n 会议 n 电话录音 n 手机 n 电话 n 公开谈话 n 禁止以任何口头方式向非相关人员透露公司秘密信息。 n 禁止在公共场合，讨论任何有公司秘密信息。 通过电子通讯手段传递 n 互联网服务 n 电子邮件 n 传真 n 内部网络 n 手机短信息 n 禁止以任何电子通讯手段向非相关人员透露公司秘密信息。 n 不得利用电子通讯系统传递、转发或抄送公司秘密信息。所有需要通过电子通讯手段的公司秘密信息，必须事先提出申请，上报管理中心批准后方可实施。并且传递时需进行加密处理，而且加密系统必须有国家有关部门的认证许可并经过公司领导及技术中心一致认可后方可上线使用。 n 所有电子通讯系统必须设有身份验证（用户身份验证或设备身份验证） 复制拷贝 n 复印 n 电子拷贝 n 数据备份 n 一般禁止对秘密信息进行复印或电子拷贝，如有特殊需要，经由技术中心总监书面同意后，再由计算机安全员进行具体操作，并亲自交付接收人手中。 n 数据备份建议进行加密处理 具体数据备份操作员不得知道用于加密数据备份的密钥或口令。 ，集中存放在有防火和防磁级别的保险柜中。并进行异地备份。备份介质必须标明备份日期、备份内容和相应密级以及根据有关规定确定保密期限。严格控制知悉此备份的人数，做好登记后进保密柜保存。未经许可严禁私自复制、转储和借阅。 n 严格控制数据备份的份数，并对每份备份作详细的记录备案。每周做增量备份，每月做全量备份。 n 任何对秘密信息的复制拷贝，都必须记录备案。 存储 n 电子邮件 n 电子文档 n 打印文档 n 必须对信息进行标识，注明信息的密级是秘密信息。 n 所有电子文档（包括电子邮件和其附件）必须进行加密处理，并应当存放在规定的网络驱动器，以便统一管理。 n 打印文档或电子文档的存储介质，不得转借他人，不得带出工作区，必须存放在保险柜中妥善保管。因工作需要必须携带出工作区的，需经主管领导批准，并报管理中心登记备案，返回后要经管理中心审查注销。 作废处理 n 非写存储介质 n 可写存储介质 n 纸张 n 硬件设备 n 纸张文件必须粉碎。 n 可写存储介质必须格式化和覆盖后方可重新使用。 n 非写存储介质必须进行物理销毁。 n 硬件设备必须事先进行完全初始化。 n 任何需要重新使用的存储介质或硬件设备，需要由计算机安全员进行验收，确定没有任何敏感数据遗留后方可继续使用。 n 任何作废的存储介质或硬件设备，需要由计算机安全员进行验收，在确定没有任何敏感数据遗留后，交付专门部门进行相关处理。 5.4.4绝密信息 操作类别 安全管理规定 向第三方公开 n 硬件和软件维护 n 系统集成 n 严禁向任何第三方透露公司机密信息。 口头传递 n 会议 n 电话录音 n 手机 n 电话 n 公开谈话 n 严禁以任何口头方式向非相关人员透露公司机密信息。 n 严禁在公共场合，讨论任何公司机密信息。 通过电子通讯手段传递 n 互联网服务 n 电子邮件 n 传真 n 内部网络 n 手机短信息 n 严禁以任何电子通讯手段向非相关人员透露公司机密信息。 n 严禁使用任何公共网络传递公司机密信息，不管信息有否加密。 n 只能在专用网络中传递经过加密的公司机密信息，而且加密系统必须有国家有关部门的认证许可并经公司领导及技术中心总监一致认可后方可上线使用。 n 所有电子通讯系统必须设有身份验证（用户身份验证或设备身份验证）。 复制拷贝 n 复印 n 电子拷贝 n 数据备份 n 严禁对机密信息进行复印或电子拷贝。 n 数据备份必须进行加密处理 具体数据备份操作员不得知道用于加密数据备份的密钥或口令。 ，集中存放在有防火和防磁级别的保险柜中。并进行异地备份。备份介质必须标明备份日期、备份内容和相应密级以及根据有关规定确定保密期限。严格控制知悉此备份的人数，做好登记后进保密柜保存。未经许可严禁私自复制、转储和借阅。 n 严格控制数据备份的份数，并对每份备份作详细的记录备案。每周做增量备份，每月做全量备份 存储 n 电子邮件 n 电子文档 n 打印文档 n 必须对信息进行标识，注明信息的密级是机密信息。 n 所有电子文档（包括电子邮件和其附件）必须进行加密处理，并由专人存放在有严格物理访问控制的存储设备中，以便统一管理。 n 打印文档或电子文档的存储介质，不得转借他人，不得带出工作区，必须存放在有严格物理访问控制的保险柜中妥善保管。 作废处理 n 非写存储介质 n 可写存储介质 n 纸张 n 硬件设备 n 纸张文件必须粉碎。 n 可写存储介质必须格式化和覆盖后方可重新使用。 n 非写存储介质必须进行物理销毁。 n 硬件设备必须事先进行完全初始化。 n 任何需要重新使用的存储介质或硬件设备，需要由技术中心进行验收，确定没有任何敏感数据遗留后方可继续使用。 n 任何作废的存储介质或硬件设备，需要由技术中心进行验收，在确定没有任何敏感数据遗留后，提交公司领导人进行报批，经核准后方可由专门部门进行相关处理。 5.5计算机信息分类安全管理的实施 5.5.1实施工作流程 本管理制度是由技术中心主要负责制订，并送交公司领导审批。经审批通过后，由技术中心统一负责、计算机信息安全员分管负责，并在相关技术中心人员的协助下完成具体实施工作。整个工作流程如下所示： 公司领导 审核/核准计算机信息 分类安全管理制度 制定/修改计算机信息 分类安全管理制度 技术中心 协助执行 情况汇报 组织领导 计算机信息 安全管理员 相关技术中心人员 5.5.2更新维护要求 技术中心负责人员安全管理制度的维护工作。当制订计算机信息分类安全管理制度的依据发生变化时，例如发生重大安全事故、出现新的安全弱点等，需要对计算机信息分类安全管理制度进行相应的审查和评估。同时，技术中心还需要对计算机信息分类安全管理制度进行每年一次的定期评估，以确保其内容的有效性，准确性和完整性。 5.5.3奖励和处罚 计算机信息分类安全管理制度将由计算机信息安全员进行具体分管负责，并把执行情况向技术中心总监汇报，并由技术中心总监直接呈报给公司领导作为公司各部门年度目标责任制考核的内容之一。对执行制度好、计算机安全工作成绩显著的部门和个人，将给与表彰和适当奖励；对违反本安全管理制度的、计算机安全工作存在不足或有安全隐患的部门，由技术中心发出书面整改通知，限期整改；对刻意不执行本安全管理制度、漠视计算机安全工作和存在安全隐患而没有及时整改的，以至造成重大安全事故和案件的，将追究部门主要负责人和直接责任者的责任，构成犯罪的，将依法追究其刑事责任。 5.6计算机设备安全保密总则 5.6.1各涉密部门应建立设备台帐档案，用以记录设备的原始资料、运行过程中的维修、升级和变更等情况，设备的随机资料（含磁介质、光盘等）及保修（单）卡由各涉密部门自行保管。 5.6.2计算机密级类别的设定，由管理中心根据实际工作需要，以储存信息的最高密级设定计算机密级，并由管理中心负责按保密规定粘贴密级标识。 5.6.3 要设专人对计算机设备进行管理。计算机资源原则上只能用于本单位的正常工作，禁止利用计算机资源从事与工作无关的活动。 5.6.4承担涉密事项处理的计算机应专机专用，专人管理，严格控制，不得他人使用。 5.6.5禁止使用涉密计算机上国际互联网或其它非涉密信息系统；禁止在非涉密计算机系统上处理涉密信息. 5.6.6对领导和重要部门处理涉密信息的计算机安装物理隔离卡。未安装物理隔离卡的涉密计算机严禁连接国际互联网。 5.6.7涉密计算机系统的软件配置情况及本身有涉密内容的各种应用软件，不得进行外借和拷贝。 5.6.8不得将涉密存储介质带出办公场所，如因工作需要必须带出的，需履行相应的审批和登记手续。 5.6.9未经许可，任何私人的光盘、软盘、U盘不得在涉密计算机设备上使用；涉密计算机必需安装防病毒软件并定期升级。 5.6.10各部门产生的涉密信息其输出需经本部门主管领导签字审批，由专人进行操作，并登记、备案，对输出的涉密信息按相应密级进行管理。 5.6.11涉密信息除制定完善的备份制度外，必须采取有效的防盗、防火措施，保证备份的安全保密，并做好异地保存。 5.7计算机上网安全保密管理规定 5.7.1未经批准涉密计算机一律不许上互联网。如有特殊需求，必须事先提出申请，并报管理中心批准后方可实施，上网涉密计算机必需安装物理隔离卡。 5.7.2要坚持“谁上网，谁负责”的原则，各部门要有一名领导负责此项工作，信息上网必须经过单位领导严格审查，并经主管领导批准。 5.7.3国际互联网必须与涉密计算机系统实行物理隔离 5.7.4在与国际互联网相连的信息设备上不得存储、处理和传输任何涉密信息。 5.7.5应加强对上网人员的保密意识教育，提高上网人员保密观念，增强防范意识，自觉执行保密规定。 5.7.6涉密人员在其它场所上国际互联网时，要提高保密意识，不得在聊天室、电子公告系统、网络新闻上发布、谈论和传播公司秘密信息。使用电子函件进行网上信息交流，应当遵守保密管理规定，不得利用电子函件传递、转发或抄送公司秘密信息。 5.8涉密存储介质保密管理规定 5.8.1涉密存储介质是指存储了涉密信息的硬盘、光盘、软盘、移动硬盘及U盘等。 5.8.2有涉密存储介质的部门需填写和保管《涉密存储介质登记表》（JSCA-B-009-2012-01），并将登记表的复制件报办公室登记、备案并及时报告变动情况。 5.8.3因工作需要向存储介质上拷贝涉密信息时，应填写《涉密存储介质使用情况登记表》（JSCA-B-009-2012-02），经公司领导批准，同时在介质上按信息的最高密级标明密级。 5.8.4存有涉密信息的存储介质不得接入或安装在非涉密计算机或低密级的计算机上，不得转借他人，不得带出工作区，下班后存放在公司指定的密码柜中。 5.8.5因工作需要必须携带出工作区的，需填写《涉密存储介质外出携带登记表》（JSCA-B-009-2012-03），经主管领导批准，并报管理中心登记备案，返回后要经管理中心审查注销。 5.8.6复制涉密存储介质，须经公司领导批准，且每份介质各填一份《涉密存储介质使用情况登记表》，并赋予不同编号。 5.8.7需归档的涉密存储介质，应连同《涉密存储介质使用情况登记表》一起及时归档。 5.8.8各部门负责管理其使用的各类涉密存储介质，应当根据有关规定确定密级及保密期限，并视同纸制文件，按相应密级的文件进行分密级管理，严格借阅、使用、保管及销毁制度。借阅、复制、传递和清退等必须严格履行手续，不能降低密级使用。 5.8.9涉密存储介质的维修应保证信息不被泄露，由各涉密部门负责人负责。需外送维修的，要经领导批准，到公司指定的维修点维修，并有专人在场。 5.8.10不再使用的涉密存储介质应由使用者提出报告，由公司领导批准后，交管理中心负责销毁。 5.9计算机维修维护管理规定 5.9.1涉密计算机系统进行维护检修时，须保证所存储的涉密信息不被泄露，对涉密信息应采取涉密信息转存、删除、异地转移存储媒体等安全保密措施。无法采取上述措施时，公司计算机系统维护人员必须在维修现场，对维修人员、维修对象、维修内容、维修前后状况进行监督并做详细记录。 5.9.2各涉密部门应将本部门设备的故障现象、故障原因、扩充情况记录在设备的维修档案记录本上。 5.9.3凡需外送修理的涉密设备，必须经管理中心和主管领导批准，并将涉密信息进行不可恢复性删除处理后方可实施。 5.9.4高密级设备调换到低密级部门使用，要进行降密处理，并做好相应的设备转移和降密记录。 5.9.5由技术中心负责公司计算机软件的安装和设备的维护维修工作，严禁使用者私自安装计算机软件和擅自拆卸计算机设备。 5.9.6涉密计算机的报废由管理中心专人负责定点销毁。 5.10用户密码安全保密管理规定 5.10.1用户密码管理的范围是指公司所有涉密计算机所使用的密码。 5.10.2机密级涉密计算机的密码管理由管理中心总监负责，秘密级涉密计算机的密码管理由使用人负责。 5.10.3用户密码使用规定： a．密码必须由数字、字符和特殊字符组成； b．秘密级计算机设置的密码长度不能少于8个字符，密码更换周期不得多于30天； c．机密级计算机设置的密码长度不得少于10个字符，密码更换周期不得超过7天； . 涉密计算机需要分别设置BIOS、操作系统开机登录和屏幕保护三个密码。 5.10.4密码的保存 a．秘密级计算机设置的用户密码由使用人自行保存，严禁将自用密码转告他人；若工作需要必须转告，应请示本单位负责人认可； b. 机密级计算机设置的用户密码须登记造册，并将密码本存放于保密柜内，由管理中心管理。 5.11笔记本电脑安全保密管理规定 5.11.1笔记本电脑密级类别的设定，须经各部门、个人申请，领导批准，以储存信息的最高密级设定密级，按保密规定粘贴密级标识，按规定做好计算机标密工作。 5.11.2部门或个人的涉密笔记本电脑严禁联接国际互联网，对于使用涉密信息的笔记本电脑的部门或个人设专人管理，明确“谁使用，谁负责”的原则，做好部门或个人涉密笔记本电脑的保密管理工作，防止涉密笔记本电脑失控或丢失后被破译，必须采取开机状态身份鉴别。对于经常携带外出的涉密笔记本电脑要采取保密措施。 5.11.3涉密笔记本电脑中的涉密信息不得存入硬盘，要存入软盘、移动硬盘U盘等移动存储介质，必须定期清理，与涉密笔记本电脑分离保管。 5.11.4管理中心和各部门主管领导对本部门涉密笔记本电脑的型号、配置、密级、责任人、使用人、使用情况、去向等要清楚，并制定相关的涉密笔记本电脑安全保密管理制度。 5.11.5严禁擅自将存储有公司秘密信息的涉密笔记本电脑带出办公场所。确因工作需要，必须携带时，需经部门和公司主管领导审批，到管理中心办理手续,填写《外出携带笔记本电脑审批表》（JSCA-B-009-2012-04）。涉外活动中，须携带笔记本电脑的，涉密信息应保存在移动存储介质中，该介质要随身保管，不得失控，并要求移动介质与主机分离携带，并对涉密信息进行备份、存档。 5.11.6由管理中心负责涉密笔记本电脑的登记、备案工作，要求各部门无论从何种渠道得来的涉密笔记本电脑都要经过登记、备案。私人笔记本电脑出入公司以及外单位人员携带笔记本电脑来公司工作，须履行登记、办理携带手续后方可通行。 5.11.7笔记本电脑不得擅自借用，由于工作需要借用，需经主管领导批准，部门登记、备案，并对涉密信息进行处理。 5.11.8对涉密笔记本电脑的维修，须对涉密信息进行处理并到管理中心备案。 5.12涉密电子文件保密管理规定 5.12.1涉密电子文件是指在计算机系统中生成、存储、处理的机密、秘密和内部的文件、图纸、程序、数据、声像资料等。 5.12.2电子文件的密级按其所属项目的最高密级界定，其生成者应按密级界定要求标定其密级，并将文件存储在相应的目录下。 5.12.3各用户需在本人的计算机系统中创建“机密级文件”、“秘密级文件”、“内部文件”三个目录，将系统中的电子文件分别存储在相应的目录中。 5.12.4电子文件要有密级标识，电子文件的密级标识不能与文件的正文分离，一般标注于正文前面。 5.12.5电子文件必须定期、完整、真实、准确地存储到不可更改的介质上，并集中保存，然后从计算机上彻底删除。 5.12.6各部门自用信息资料由本部门管理员定期做好备份，备份介质必须标明备份日期、备份内容以及相应密级，严格控制知悉此备份的人数，做好登记后进保密柜保存。 5.12.7各部门要对备份电子文件进行规范的登记管理。每周做增量备份，每月做全量备份；备份可采用磁盘、光盘、移动硬盘、U盘等存储介质。 5.12.8涉密文件和资料的备份应严加控制。未经许可严禁私自复制、转储和借阅。对存储涉密信息的磁介质应当根据有关规定确定密级及保密期限，并视同纸制文件，分密级管理，严格借阅、使用、保管及销毁制度。 5.12.9备份文件和资料保管地点应有防火、防热、防潮、防尘、防磁、防盗设施，并进行异地备份。 5.13涉密计算机系统病毒防治管理规定 5.13.1涉密计算机必须安装经过国家安全保密部门许可的查、杀病毒软件。 5.13.2每周升级和查、杀计算机病毒软件的病毒样本。确保病毒样本始终处于最新版本，同时将升级记录登记备案。 5.13.3绝对禁止涉密计算机在线升级防病毒软件病毒库，同时对离线升级包的来源进行登记。 5.13.4每周对涉密计算机病毒进行一次查、杀检查，并将查、杀结果登记造册。 5.13.5涉密计算机应限制信息入口，如软盘、光盘、U盘、移动硬盘等的使用。 5.13.6对必须使用的外来介质（磁盘、光盘，U盘、移动硬盘等），必须先进行计算机病毒的查、杀处理，然后才可使用。 5.13.7对于因未经许可而擅自使用外来介质导致严重后果的，要严格追究相关人员的责任。 6. 表单 序 表单名称 表单编号 存放地点 年限 01 《涉密存储介质登记表》 JSCA-B-009-2012-01 部门 三年 02 《涉密存储介质使用情况登记表》 JSCA -B-009-2012-02 部门 三年 03 《涉密存储介质外出携带登记表》 JSCA -B-009-2012-03 部门 三年 04 《外出携带笔记本电脑审批表》 JSCA -B-009-2012-04 部门 三年 7.参考文件/表单 《中华人民共和国保守秘密法》、《中华人民共和国计算机信息系统安全保护条例》