计算机和信息系统安全保密管理规定.doc
《计算机和信息系统安全保密管理规定.doc》由会员分享,可在线阅读,更多相关《计算机和信息系统安全保密管理规定.doc(21页珍藏版)》请在咨信网上搜索。
1、信息系统安全保密管理制度第一章 总 则第一条 为加强公司信息化系统(包括涉密信息系统和非涉密信息系统)安全保密管理,确保国家秘密及公司商业秘密的安全,根据国家有关保密法规标准和中国华电集团公司有关规定,特制定本规定。第二条 本规定所称涉密信息系统是指由计算机及其相关的配套设备、设施构成的,按照一定的应用目标和规定存储、处理、传输涉密信息的系统或网络,包括机房、网络设备、软件、网络线路、用户终端、存储介质等内容。第三条 涉密信息系统的建设和应用要本着“预防为主、分级负责、科学管理、保障安全”的方针,坚持“谁主管、谁负责,谁使用、谁负责”和“控制源头、归口管理、加强检查、落实制度”的原则,确保涉密
2、信息系统和国家秘密信息安全。第四条 涉密信息系统安全保密防护必须严格按照国家保密标准、规定和集团公司文件要求进行设计、实施、测评审查与审批和验收;未通过国家审批的涉密信息系统,不得投入使用。第五条 本规定适用于公司所有信息系统安全保密管理工作。第二章 组织机构与职责第六条 公司成立信息系统安全保密组织机构,人员结构与信息化领导小组和办公室成员相同,信息化领导小组成员即为信息系统安全保密领导小组成员,信息化办公室成员即为信息系统安全保密办公室成员。1、信息系统安全保密领导小组组 长: 副组长: 组员:2、信息系统安全保密办公室主 任:副主任:成 员:第七条 信息系统安全保密领导小组主要职责 公司
3、信息系统安全保密领导小组是涉密信息系统安全保密管理决策机构,其主要职责:(一)建立健全信息系统安全保密管理制度,并监督检查落实情况;(二)协调处理有关涉密信息系统安全保密管理的重大问题,对重大失泄密事件进行查处。第八条 信息系统安全保密办公室(简称保密办)主要职责:(一)拟定信息系统安全保密管理制度,并组织落实各项保密防范措施;(二)对系统用户和安全保密管理人员进行资格审查和安全保密教育培训,审查涉密信息系统用户的职责和权限,并备案;(三)组织对涉密信息系统进行安全保密监督检查和风险评估,提出涉密信息系统安全运行的保密要求;(四)会同信息中心对涉密信息系统中介质、设备、设施的授权使用的审查,建
4、立涉密信息系统安全评估制度,每年对涉密信息系统安全措施进行一次评审;(五)对涉密信息系统设计、施工和集成单位进行资质审查,对进入涉密信息系统的安全保密产品进行准入审查和规范管理,对涉密信息系统进行安全保密性能检测;(六)对涉密信息系统中各应用系统进行定密、变更密级和解密工作进行审核;(七)组织查处涉密信息系统失泄密事件。第十条 办公室(信息中心)主要职责是:(一)组织、实施涉密信息系统的规划、设计、建设,制定安全保密防护方案;(二)落实涉密信息系统安全保密策略、运行安全控制、安全验证等安全技术措施;每半年对涉密信息系统进行风险评估,提出整改措施,经涉密信息系统安全保密领导小组批准后组织实施,确
5、保安全技术措施有效、可靠;(三)落实涉密信息系统中各应用系统进行用户权限设置及介质、设备、设施的授权使用、保管以及维护等安全保密管理措施;(四)配备涉密信息系统管理员、安全保密管理员和安全审计员,并制定相应的职责;“三员”角色不得兼任,权限设置相互独立、相互制约;“三员”应通过安全保密培训持证上岗;(五)落实计算机机房、配线间等重要部位的安全保密防范措施及网络的安全管理,负责日常业务数据及其他重要数据的备份管理;(六)配合保密办对涉密信息系统进行安全检查,对存在的隐患进行及时整改; (七)制定应急预案并组织演练,落实应急措施,处理信息安全突发事件。(八)按照国家密码管理的相关要求,落实涉密信息
6、系统中普密设备的管理措施。第十二条 相关业务部门、班组主要职责:涉密信息系统的使用部门、班组要严格遵守保密管理规定,教育员工提高安全保密意识,落实涉密信息系统各项安全防范措施;准确确定应用系统密级,制定并落实相应的二级保密管理制度。第十三条 涉密信息系统配备系统管理员、安全保密管理员、安全审计员,其职责是:(一)系统管理员负责系统中软硬件设备的运行、管理与维护工作,确保信息系统的安全、稳定、连续运行。系统管理员包括网络管理员、数据库管理员、应用系统管理员。(二)安全保密管理员负责安全技术设备、策略实施和管理工作,包括用户帐号管理以及安全保密设备和系统所产生日志的审查分析。(三)安全审计员负责安
7、全审计设备安装调试,对各种系统操作行为进行安全审计跟踪分析和监督检查,以及时发现违规行为,并每月向涉密信息系统安全保密领导小组办公室汇报一次情况。第三章 系统建设管理第十四条 规划和建设涉密信息系统时,按照涉密信息系统分级保护标准的规定,同步规划和落实安全保密措施,系统建设与安全保密措施同计划、同预算、同建设、同验收。第十五条 涉密信息系统规划和建设的安全保密方案,应由具有“涉及国家秘密的计算机信息系统集成资质”的机构编制或自行编制,安全保密方案必须经上级保密主管部门审批后方可实施。第十六条 涉密信息系统规划和建设实施时,应由具有“涉及国家秘密的计算机信息系统集成资质”的机构实施或自行实施,并
8、与实施方签署保密协议,项目竣工后必须由保密办和科技信息部共同组织验收。第十七条 对涉密信息系统要采取与密级相适应的保密措施,配备通过国家保密主管部门指定的测评机构检测的安全保密产品。涉密信息系统使用的软件产品必须是正版软件。第四章 信息管理第一节 信息分类与控制第十八条 涉密信息系统的密级,按系统中所处理信息的最高密级设定,严禁处理高于涉密信息系统密级的涉密信息。第十九条 涉密信息系统中产生、存储、处理、传输、归档和输出的文件、数据、图纸等信息及其存储介质应按要求及时定密、标密,并按涉密文件进行管理。电子文件密级标识应与信息主体不可分离,密级标识不得篡改。涉密信息系统中的涉密信息总量每半年进行
9、一次分类统计、汇总,并在保密办备案。第二十条 涉密信息系统应建立安全保密策略,并采取有效措施,防止涉密信息被非授权访问、篡改,删除和丢失;防止高密级信息流向低密级计算机。涉密信息远程传输必须采取密码保护措施。第二十一条 向涉密信息系统以外的单位传递涉密信息,一般只提供纸质文件,确需提供涉密电子文档的,按信息交换及中间转换机管理规定执行。第二十二条 清除涉密计算机、服务器等网络设备、存储介质中的涉密信息时,必须使用符合保密标准、要求的工具或软件。第二节 用户管理与授权第二十三条 根据本部门、单位使用涉密信息系统的密级和实际工作需要,确定人员知悉范围,以此作为用户授权的依据。第二十四条 用户清单管
10、理(一)科技信息部管理“研究试验堆燃料元件数字化信息系统”和“中核集团涉密广域网”用户清单;财会部管理“财务会计核算网”用户清单;(二)新增用户时,由用户本人提出书面申请,经本部门、单位审核,科技信息部、保密办审批后,由科技信息部备案并统一建立用户;“财务会计核算网”的用户由财会部统一建立;(三)删除用户时,由用户本人所在部门、单位书面通知科技信息部,核准后由安全保密管理员即时将用户在涉密信息系统内的所有帐号、权限废止;“财务会计核算网”的删除用户由财会部统一删除用户帐号、权限。第二十五条 用户标识符管理(一)用户登录系统时所使用的用户身份标识,由用户本人提出书面申请,经本部门、单位审核,科技
11、信息部、保密办审批后,由系统管理员产生,并确保用户标识在此系统生命周期中的唯一性;(二)安全保密管理员每月一次检查与用户身份标识相关的日志,发现异常情况,应及时向保密办报告。第二十六条 用户授权管理(一)涉密信息系统用户授权应遵循最小授权分配原则,安全保密管理员对所有用户的权限明细文档化;(二)安全审计员每月审查权限列表,发现异常情况,应及时向保密办报告。第三节 信息系统互联第二十七条 涉密信息系统必须与国际互联网和其它公共信息系统实行物理隔离。禁止将涉密计算机和涉密信息系统直接接入公司内部非涉密信息系统,确因工作需要接入时必须采用符合保密标准的信息隔离交换系统进行必要的边界控制措施。第五章
12、运行维护管理第二十八条 涉密信息系统投入运行前,应当经过国家保密工作部门审批,未经审批的涉密信息系统不得处理涉密信息。第二十九条 涉密信息系统应与用户终端实施IP-MAC,并随人员、岗位等变化及时调整。涉密信息系统的用户终端、服务器等设备设施应进行安全加固,关闭不必要的帐户、服务和端口,并设置规范的口令策略。涉密设备(导线)与外网、通讯设备(导线)和其他导体的隔离应符合保密要求。第三十条 涉密信息系统与国际互联网、公众信息网络等非涉密信息系统(以下简称外网)的信息交换,按信息交换及中间转换机管理规定执行。第三十一条 禁止使用非涉密信息系统(包括非涉密单机)存储和处理涉密信息。第三十二条 建立健
13、全防病毒软件(含木马查杀)升级、打补丁机制,及时升级病毒和恶意代码样本库,进行病毒和恶意代码查杀,及时安装操作系统、数据库和应用系统的补丁程序。防病毒软件应使用经国家主管部门批准的防病毒软件。第三十三条 未经科技信息部审批,禁止对涉密信息系统格式化或重装操作系统,禁止删除涉密信息系统的移动存储介质及外部设备(包括服务器等网络设备)等日志记录。第三十四条 涉密应用软件开发及运行维护必须选择具有相关保密资质的单位承担,并与之签订保密协议书,协议书必须经保密办审查备案,明确保密要求,防止国家秘密的泄露。第三十五条 涉密信息系统中的信息输出应当集中管理,有效控制,建立集中打印控制机制。第三十六条 涉密
14、信息系统用户终端不准安装、运行、使用与工作无关的软件,严禁安装具有无线通讯功能的软件。未经科技信息部审批,用户终端禁止安装或拆卸硬件设备和软件及更改系统设置。用户终端的应用软件安装情况登记备案,每季度进行一次核查。第三十七条 涉密设备严禁具有无线互联功能,不能安装红外接口、无线网卡、无线鼠标、无线键盘等。第三十八条 对集中存放涉密信息系统服务器、交换机等涉密设备的场所列入保密要害部位管理,建立出入登记、外来人员审查等管理制度。第三十九条 涉密信息系统应采取身份鉴别、访问控制和安全审计等技术保护措施。第四十条 涉密信息系统建立文档化的安全保密策略,并根据环境、系统和威胁变化情况及时调整更新安全保
15、密策略。第四十一条 涉密信息系统建立文档化的安全保密审计报告,机密级1个月、秘密级3个月进行一次审计日志收集、整理、分析,按要求形成文档化安全审计报告并备案。第四十二条 涉密信息系统建立文档化的风险评估分析报告,每半年根据系统综合日志进行一次风险评估(自评估或检查评估),形成文档化的风险分析报告,对存在的风险及时采取补救措施。第四十三条 涉密信息系统建立实时入侵检测系统,做到实时监测系统网络设备、终端和服务器的各种攻击行为。应具有漏洞扫描技术,以提前警告网络系统中系统的弱点所在,防止黑客入侵和内部人员的误用。第四十四条 涉密信息系统使用国家有关主管部门批准的检测工具对系统进行安全保密性能检测,
16、检测工具版本应及时更新、升级。第六章 设备与介质管理第四十五条 计算机和信息系统设备包括:网络设备、服务器、用户终端(台式计算机、便携式计算机、工业控制机等)、扫描仪、打印输出设备及网络安全保密产品等;介质包括:纸介质、存储介质及其它记录载体(如计算机硬盘、光盘、移动硬盘、优盘、软盘和录音带、录像带、数码相机存储卡等)。第四十六条 接入涉密信息系统的设备和介质称为涉密设备和涉密存储介质,并按统一技术要求和部署方式进行管理。涉密设备和存储介质应与国际互联网和其他公众信息网络实行物理隔离;系统内的设备、介质、设施根据其处理信息的最高密级标明涉密等级和主要用途。第四十七条 计算机和信息系统中使用的设
17、备、存储介质应遵循“统一购置、统一标识、严格登记、规范管理”的原则,严格执行国家秘密载体保密管理规定。第四十八条 各部门、单位指定专人负责涉密设备和介质的日常管理工作,建立存储介质登记备案、定期核查与信息清理制度。保密办对涉密设备的采购、使用、维修、变更、报废负有指导、监督、检查的职责,对存储介质归口管理。第一节 设备管理第四十九条 采购管理(一)涉密设备选用国产设备,涉密系统集成与系统服务、安全产品的采购,不得进行公开招标,须在具有资质的单位和经国家主管部门批准范围内选择,且供方应具有完备的资质证明和良好的信誉,以及长期供货和代维护能力;(二)采购部门不得向供应方透露涉密设备的最终用户;(三
18、)采购的计算机,统一不配备光驱、软驱、视频设备及具有无线互联功能的无线键盘、无线鼠标、红外接口、无线网卡等。确因工作需要配备的,经保密办审批后配发;(四)科技信息部做好资产清单和台帐管理,涉密设备需在保密办备案并粘贴密级标识后投入使用。台帐注明涉密设备使用人、安全责任人、安全分类以及资产所在的位置,并且每半年对涉密设备清查核对一次。第五十条 使用管理(一)各部门、单位建立涉密设备、打印机等准入审批、使用登记、销毁等备案制度。(二)涉密设备的电磁泄露发射应符合国家有关保密标准,并采取相应防护措施。涉密设备和传输线路应符合红黑隔离要求,并采取电源滤波防护措施。(三)用户终端登录识别技术应采用以下二
19、种方式之一:1、数字证书机制采用USBKey与PIN口令相结合的方式进行身份鉴别,口令长度设置不少于十位。USBKey按机密级密件管理,应及时修改初始的PIN码,并将USBKey妥善保管。2、密码口令。机密级密码口令长度不得少于十个字符,每周至少更换一次;秘密级密码口令长度不得少于八个字符,每月至少更换一次;口令采用大小写英文字母、数字和特殊字符等两者以上的组合。(四)在其他信息系统使用过的设备以及新增设备接入涉密计算机和信息系统之前,应进行病毒(含木马)及恶意代码的检测、查杀。第五十一条 维修管理(一)涉密设备维修时,应向科技信息部提出申请,科技信息部对维修的涉密设备检查诊断后,作出公司内维
20、修或外出维修的判断,并通知部门、单位;(二)涉密设备维修原则上来公司现场维修,维修时应有专人现场监管;(三)涉密设备外出维修时,对涉密设备预先采取保密措施,拆除存储部件,并有专人在场监控维修全过程;外出维修的涉密设备,原则上不能在外存放,当日未维修完毕的应带回公司存放,次日再送出去维修;涉密设备维修时应与维修单位签订保密协议;(四)涉密设备确需恢复存储的数据、信息时,应经保密办审批后在具有涉密数据恢复资质的单位进行;(五)维修时更换下的硬盘、存储卡,必须将旧件按涉密载体进行管理,禁止将旧件抵价维修或随意抛弃;(六)维修的涉密设备应做好维修情况记录,存档备查。第五十二条 变更管理(一)涉密设备变
21、更用途时,应事先提出变更申请并清除其存储的涉密信息,经保密办审核批准后办理变更。变更程序是:1、公司内部门、单位之间调配涉密设备,由科技信息部提出变更调配计划并作技术支持,接收单位办理变更手续并到保密办变更涉密设备台帐;2、部门、单位内部调整变更涉密设备,由部门、单位领导批准,并通知保密办变更涉密计算机台帐;3、调配变更后的涉密设备要及时确定密级,并粘贴密级标识。(二)涉密设备变更密级,遵循如下保密规定:1、绝密级设备不得进行变更;2、不变更使用人及使用部门、单位,升密时存储介质(包括硬盘、储存卡)可不更换,降密或脱密时必须更换存储介质;3、变更使用人或使用部门、单位,升密、降密必须更换存储介
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 计算机 信息系统 安全保密 管理 规定
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【w****g】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【w****g】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。