涉密信息系统安全保密管理制度.docx

《涉密信息系统安全保密管理制度.docx》由会员分享，可在线阅读，更多相关《涉密信息系统安全保密管理制度.docx（20页珍藏版）》请在课桌文档上搜索。

1、涉密信息系统安全保密管理制度一、为保障局内计算机信息系统安全，防止计算机网络失密泄密事件发生，根据中华人民共和国计算机信息系统安全保护条例及有关法律法规，结合本局实际制定本局的安全保密制度。二、为防止病毒造成严重后果，对外来光盘、软件要严格管理，原则上不允许外来光盘、软件在局内局域网计算机上使用。确因工作需要使用的，事先必须进行防（杀）毒处理，证实无病毒感染后，方可使用。三、严格限制接入网络的计算机设定为网络共享或网络共享文件，确因工作需要，要在做好安全防范措施的前提下设置,确保信息安全保密。四、为防止黑客攻击和网络病毒的侵袭，接入网络的计算机一律安装杀毒软件，及时更新系统补丁和定时对杀毒软件

2、进行升级，并安装必要的局域网ARP拦截防火墙。五、本局酝酿或规划重大事项的材料，在保密期间，将有关涉密材料保存到非上网计算机上。六、各科室禁止将涉密办公计算机擅自联接国际互联网。七、保密级别在秘密以下的材料可通过电子信箱、QQ或MSN传递和报送，严禁保密级别在秘密以上（含秘密）的材料通过电子信箱、QQ或MSN传递和报送。一、岗位管理制度：（一）计算机上网安全保密管理规定1、未经批准涉密计算机一律不许上互联网，如有特殊需求，必须事先提出申请报主管领导批准后方可实施，并安装物理隔离卡，在相关工作完成后撤掉网络。2、要坚持“谁上网，谁负责”的原则，各科室科长负责严格审查上网机器资格工作，并报主管领导

3、批准。3、国际互联网必须与涉密计算机系统实行物理隔离。4、在与国际互联网相连的信息设备上不得存储、处理和传输任何涉密信息。5、加强对上网人员的保密意识教育，提高上网人员保密观念，增强防范意识，自觉执行保密规定。（二）涉密存储介质保密管理规定1、涉密存储介质是指存储了涉密信息的硬盘、光盘、软盘、移动硬盘及U盘等。2、有涉密存储介质的科室需妥善保管，且需填写“涉密存储介质登记表3、存有涉密信息的存储介质不得接入或安装在非涉密计算机或低密级的计算机上，不得转借他人，不得带出工作区，下班后存放在本单位指定的柜中。4、各科室负责管理其使用的各类涉密存储介质，应当根据有关规定确定密级及保密期限，并视同纸制

4、文件，按相应密级的文件进行分密级管理，严格借阅、使用、保管及销毁制度。借阅、复制、传递和清退等必须严格履行手续，不能降低密级使用。5、涉密存储介质的维修应保证信息不被泄露，需外送维修的要经主管领导批准，维修时要有涉密科室科长在场。6、不再使用的涉密存储介质应由使用者提出报告，由单位领导批准后，交主管领导监督专人负责定点销毁。二、人员管理制度及操作规程：（一）计算机维修维护管理规定1、涉密计算机系统进行维护检修时，须保证所存储的涉密信息不被泄露，对涉密信息应采取涉密信息转存、删除、异地转移存储媒体等安全保密措施。无法采取上述措施时，涉密科室科长必须在维修现场，对维修人员、维修对象、维修内容、维修

5、前后状况进行监督并做详细记录。2、各涉密科室应将本科室设备的故障现象、故障原因、扩充情况记录在设备的维修档案记录本上。3、凡需外送修理的涉密设备，必须经主管领导批准，并将涉密信息进行不可恢复性删除处理后方可实施。4、高密级设备调换到低密级单位使用，要进行降密处理,并做好相应的设备转移和降密记录。5、由办公室指定专人负责各涉密科室计算机软件的安装和设备的维护维修工作，严禁使用者私自安装计算机软件和擅自拆卸计算机设备。6、涉密计算机的报废交主管领导监督专人负责定点销毁。(二)用户密码安全保密管理规定1、用户密码管理的范围是指本局所有涉密计算机所使用的密码。2、机密级涉密计算机的密码管理由涉密科室负

6、责人负责,秘密级涉密计算机的密码管理由使用人负责。3、用户密码使用规定。(1)密码必须由数字、字符和特殊字符组成；(2)秘密级计算机设置的密码长度不能少于8个字符，密码更换周期不得多于30天;（3）机密级计算机设置的密码长度不得少于1（）个字符，密码更换周期不得超过7天；4、密码的保存。（1）秘密级计算机设置的用户密码由使用人自行保存，严禁将自用密码转告他人；若工作需要必须转告，应请示主管领导认可。（2）机密级计算机设置的用户密码须登记造册，并将密码本存放于保密柜内，由科室主任、科长管理。（三）涉密电子文件保密管理规定1、涉密电子文件是指在计算机系统中生成、存储、处理的机密、秘密和内部的文件、

7、图纸、程序、数据、声像资料等。2、电子文件的密级按其所属项目的最高密级界定，其生成者应按密级界定要求标定其密级，并将文件存储在相应的目录下。3、各用户需在本人的计算机系统中创建“机密级文件”、“秘密级文件”、内部文件三个目录，将系统中的电子文件分别存储在相应的目录中。4、电子文件要有密级标识，电子文件的密级标识不能与文件的正文分离，一般标注于正文前面。5、电子文件必须定期、完整、真实、准确地存储到不可更改的介质上，并集中保存，然后从计算机上彻底删除。6、各涉密科室自用信息资料要定期做好备份，备份介质必须标明备份日期、备份内容以及相应密级，严格控制知悉此备份的人数，做好登记后进保密柜保存。7、各

8、科室要对备份电子文件进行规范的登记管理。备份可采用磁盘、光盘、移动硬盘、U盘等存储介质。8、涉密文件和资料的备份应严加控制。未经许可严禁私自复制、转储和借阅。对存储涉密信息的磁介质应当根据有关规定确定密级及保密期限，并视同纸制文件，分密级管理，严格借阅、使用、保管及销毁制度。9、备份文件和资料保管地点应有防火、防热、防潮、防尘、防磁、防盗设施，并进行异地备份。（四）涉密计算机系统病毒防治管理规定1、涉密计算机必须安装经过国-家-安-全保密部门许可的查、杀病毒软件。2、每周升级和查、杀计算机病毒软件的病毒样本。确保病毒样本始终处于最新版本。4、每周对涉密计算机病毒进行一次查杀检查。5、涉密计算机

9、应限制信息入口，如软盘、光盘、U盘、移动硬盘等的使用。6、对必须使用的外来介质（磁盘、光盘，U盘、移动硬盘等），必须先进行计算机病毒的查、杀处理，然后才可使用。7、对于因未经许可而擅自使用外来介质导致严重后果的,要严格追究相关人员的责任。（五）上网发布信息保密规定1、上网信息的保密管理坚持“谁发布谁负责”的原则。凡向国际联网或本单位的网站提供或发布信息，必须经过保密审查批准，报主管领导审批。提供信息的单位应当按照一定的工作程序，健全信息保密审批制度。2、凡以提供网上信息服务为目的而采集的信息，除在其它新闻媒体上已公开发表的，组织者在上网发布前，应当征得提供信息单位的同意。凡对网上信息进行扩充或

10、更新，应当认真执行信息保密审核制度。3、涉密人员在其它场所上国际互联网时，要提高保密意识，不得在聊天室、电子公告系统、网络新闻上发布、谈论和传播国家秘密信息。4、使用电子函件进行网上信息交流，应当遵守国家保密规定，不得利用电子函件传递、转发或抄送国家秘密信息。2015年3月1日涉密信息系统安全保密管理制度篇2一、计算机信息系统保密管理1、涉密计算机系统保密建设方案应经过市委保密委员会的审查批准，未经审批不得投入运行。2、进入涉密计算机系统应进行身份鉴别，要按要求设置并定期更新涉密系统口令。3、涉密计算机系统应当与国际互联网物理隔离。严禁以任何方式将涉密计算机联入国际互联网或其他非涉密计算机系统

11、。4、涉密计算机系统工作场所应作为保密要害部位进行管理。5、机关工作人员不得越权访问涉密信息。6、涉密计算机系统安全保密管理-员、密钥管-理-员和系统管-理-员应由不同人员担任，并且职责明确。二、涉密计算机使有管理1、承担涉密事项处理的计算机应专机专用，专人管理，格控制，不得他人使用。2、禁止使用涉密计算机上国际互联网或其它非涉密信息系统。3、严格一机两用操作程序，未安装物理隔离卡的涉密计算机严禁连接国际互联网或其它非涉密信息系统。4、涉密计算机系统的软件配置情况及本身有涉密内容的各种应用软件，不得进行外借和拷贝。5、未经许可，任何私人的光盘、软盘、U盘不得在涉密计算机机设备上使用；涉密计算机

12、必需安装防毒软件并定期升级。三、笔记本电脑使用管理1、涉密笔记本电脑由办公室统一管理，使用时必须履行登记手续。2、涉密笔记本电脑严禁安装无线网卡等无线设备，严禁联接国际互联网。3、涉密笔记本电脑限委机关工作人员使用，禁止将涉密笔记本电脑借与他人。4、涉密笔记本电脑中的涉密信息不得存入硬盘，要存入软盘、移动硬盘、U盘等移动存储介质，必须定期清理，与涉密笔记本电脑分离保管。5、不准携带储涉密信息的笔记本电脑出国或去公共场所,确因工作需要携带的，必须办理相关审批手续。四、移动存储介质使用管理1、涉密存储介质由办公室统一管理，使用时必须履行登记手续。2、涉密存储介质应按存储信息的最高密级标注密级，并按

13、相同密级的秘密载体管理。3、禁止将涉密存储介质接入非涉密计算机使用。4、不得将涉密存储价质带出办公场所，如因工作需要必须带出的，需履行相应的审批和登记手续。5、个人使用的U盘等移动存储介质，不得存储涉密信息,因工作需要必须使用的，使用后要及时消除密信息。五、数码复钱机、多功能一体机使用管理1、数码复印机、多功能一体机必须指定专人使用，其他任何人未经许可，不得使用。2、处理涉密信息的数码复印机、多功能一体机不得连接普通电话线，不得与委局域网连接。3、复制涉密文件、资料、图纸等必须严格履行审批手续,复制件必须按密件处理，不得降低密级使用。4、处理涉密信息完毕后，必须立即销毁存储的涉密信息。六、国际

14、互联网上发布信息保密制度1、在国际互联网上发布信息必须由办公室统一管理，指定专人负责操作，其它科室和个人不得擅自在互联网上发布涉及工作内容的任何信息。2、在国际互联网上发布涉及工作内容的信息必须履行审批手续，必须由市建设保密领导小组审查后，交一把手书记签批手方可发布。3、严禁将任何涉密文件、信息等发布到国际互联网上。4、严禁将案件、信访信息发布到国际互关风上。本制度从发文之日起执行。涉密信息系统安全保密管理制度篇3第一章总则第一条*计算机信息系统是全县农村信用社发展各项业务的核心技术手段，为了保护计算机网络系统的安全，根据中华人民共和国保守国家秘密法、计算机信息系统保密暂行规定等法律、法规制订

15、本办法。第二条本办法所称的计算机信息系统，是指由计算机、网络设备、数据信息以及其相关配套的设备、设施构成的，按照一定的应用目标和规则对数据信息进行采集、加工、存储、传输、检索等处理的人机系统。第三条本办法下列用语的含义。计算机信息系统安全是指计算机信息系统的硬件、软件、网络和数据的安全必须受到保护，不因自然的和人为的原因而遭到破坏、更改和丢失，以保证计算机信息系统能连续正常运行。计算机信息系统保密是指对涉及*商密的包括但不限于计算机信息系统的软件、硬件、系统数据信息、技术开发文档、管理及操作规定、自有知识产权产品等资料、信息保守秘密，包括利用密码技术对信息进行加密处理，防止信息非法泄露，保障*

16、的利益。第四条计算机信息系统的安全保密，指保障计算机、数据信息网络及其相关的和配套的设备、设施的安全，保障运行环境（机房）的安全，保障信息的安全，保障计算机和网络功能的正常发挥，防止工作或政治因素造成的失密、泄密，防止人为或自然灾害等造成的破坏，以及防止利用计算机犯罪等。第五条*计算机网络系统安全领导小组（以下简称“计算机安全领导小组”）的领导下，科技部门按相关管理规定,负责计算机信息系统安全保密工作。第六条*（以下简称“*）各部室必须指定专人负责本部门有关信息系统的安全保密工作，其主要职责是:（一）定期向*保密委报告安全保密工作情况；（二）督促本部门安全保密措施的贯彻执行；（三）组织安全保密

17、检查；（四）进行安全保密教育。第七条任何单位和个人，不得利用计算机网络系统从事或危害农村信用社利益的活动，不得危害计算机网络系统的安全。第二章计算机及网络系统第八条设备选型、购置须经充分论证，做好验收，对密钥、密码、参数等信息应做好接交保管，网络设备要特别关注其保密性能。第九条购入的计算机网络安全设备，必须经国家有关部门进行安全、保密认证，系统运行期间，不得随意更改其系统配置。第十条建立常规硬件系统维护管理制度，保持维护计算机和网络设备、工具和资料处于良好状态，备件应有库存帐，可随时查阅，并根据具体情况补充和更新。防止重大事故，应有应急处理的措施。第十一条各级操作人员必须进行必要的安全保密培训

18、，在职责范围内严格按相关操作规程进行操作。第十二条应用系统软件、数据应有备份；有故障时能及时采取措施进行处理，并应对工作人员定期进行训练和演习。第十三条应用系统在设计上严格控制涉密文件信息查询、检索的人员范围，严格管理用户使用权限。系统软硬件一经安装、调试、正式运行，各部（室）、*、*未经*科技部门许可，不得自行对其更改配置。第十四条制定设备、软件管理细则，应用软件开发要严格按照有关规定执行。第十五条计算机操作（或应用）系统版本的更新、升级须拟出方案，应用系统须经过严测试，凭更新、升级方案和测试报告，经科技部门负责人批准后由系统维护人员进行，应用系统的文档资料，无关人员一律不得查阅。第十六条传

19、输秘密以上级别的信息时，通信两端设备需在相应安全环境中，对所传输数据，要采取加密措施。第三章介质、资料的管理第十七条应用系统使用、产生的介质（磁性存储介质、电子存储介质、光存储介质等）或资料（纸质文档、电子文档、程序等）要按其重要性进行分类，对存放有关键或重要数据的介质和资料，应复制必要的份数，并分别存放在不同的安全地方，建立严格的保密保管制度。第十八条保留在机房内的介质或资料，应为系统有效运行所必需的最少数量，除此之外，不应保留在机房内。第十九条存放介质、资料的库房，必须设有防火、防潮、防高温、防震、防电磁场、防静电及防盗等的设施。第二十条介质（资料）库，应设专人负责登记保管，未经批准，不得

20、向第三方提供。第二十一条系统内有关人员在使用介质（资料）期间，应严格按国家相关保密规定进行控制，不得转借或复制，需要使用或复制的须经相关领导批准。第二十二条库房保管人对所有介质（资料）应定期检查，根据介质的安全保存期限，及时更新复制。损坏、废弃或过期的介质（资料）应由专人负责处理，秘密级以上的介质（资料）在超过保密期或废弃不用时，要及时销毁。第二十三条机密数据处理作业结束时，应及时清除存储器、联机磁带、磁盘及其它介质上有关作业的程序和数据，应及时销毁废弃的打印纸。第四章计算机及网络系统的环境第二十四条机房环境的选择，应符合国家标准GB2887计算机站场地技术要求的有关规定。机房主体结构应具有与

21、其第二十五条机房选点尽量避开便于驻留无关人员的场所。第二十六条计算机系统设备场地，应具备应急照明供电；应急报警设施，应急安全断电线路。第二十七条在计算机房、办公设施、通讯及动力设施附近施工危害计算机信息系统安全的，由*会同有关单位进行交涉。第二十八条制定机房出入管理制度，对每个工作人员授予不同权限，规定活动区域。设立值班人员负责监督制度的执行和安全保卫工作。第五章安全保密制度第二十九条计算机信息系统的建设和应用，应当遵守国家有关法律、行政法规和*其它有关规定。第三十条计算机信息系统实行安全等级保护。存储国家秘密信息的计算机，应按所存储信息的最高密级标明，并按相应密级的文件进行管理，采取相应的保

22、密措施。机密级及以上国家秘密信息不得进入计算机信息系统。安全等级的划分标准和安全等级保护的具体办法由省清算中心制定。第三十一条计算机机房、办公、防雷、消防、通讯及供配电设施应当符合国家标准和国家有关规定。在上述设施附近施工，不得危害计算机网络系统的安全。因施工危害计算机信息系统安全的，由相关部门与施工单位进行交涉。第三十二条要求接入国际互联网的计算机，由使用部门提出申请，经科技部门按规定审核后，报分管领导审批。第三十三条携带或邮寄计算机介质（资料）的，应当如实向*计算机安全领导小组申报。第三十四条对计算机信息系统中发生的案件，应按规定及时向*及相关部门报告。第三十五条联网计算机应定期进行查、杀

23、病毒操作，发现计算机新病毒，应按照规定及时向*计算机病毒防治工作小组报告。第六章人员内控管理第三十六条人员审查。人员的审查必须根据计算机网络系统所规定的安全等级来确定审查标准。凡接触系统安全三级以上信息系统的所有人员,必须按机要人员的条件进行审查。第三十七条关键岗位人选。对计算机信息系统的关键岗位人选，如安全负责人、系统管-理-员等，不仅需要进行严格的政审，还要考核其业务能力,以保证这部分人员可信可靠，能胜任本职工作。关键岗位人员要实行定期强制休假制度。第三十八条人员培训。计算机信息系统上岗的所有工作人员，均需由有关部门组织上岗培训，包括计算机及网络操作、维护培训、应用软件操作培训、计算机网络

24、系统安全课程及保密教育培训，经培训合格的人员持证上岗。第三十九条人员考核。人事部门要定期组织有关方面人员对计算机网络系统所有的工作人员从政治思想、业务水平、工作表现、遵守安全规程等方面进行考核，对于考核发现有违反安全法规行为的人员或发现不适于接触计算机网络系统的人员要及时调离岗位，不应让其再接触系统，对情节严重的应追究其法律责任。第四十条签订保密协议。对于所有进入计算机网络系统工作的人员，均应签订保密契约，承诺其对系统应尽的安全保密义务，保证在岗工作期间和离岗后均不得违反保密契约，泄漏系统秘密。对违反保密契约的，应有惩处条款。对接触机密信息的人员，应规定在离岗后的多长时期内不得离境。第四十一条

25、人员调离。对调离人员，特别是因不适合安全管理要求被调离的人员,必须严格办理调离手续。进行调离谈话，承诺其调离后的保密义务，交还所有钥匙及证件，退还全部技术手册、软件及有关资料。更换系统口令和用户名。自调离决定通知之日起，必须立即进行上述工作，不得拖延。第七章操作安全管理第四十二条系统操作安全管理目标。系统操作是指对计算机信息系统开发、操作、维护、系统管理等人员的行为或活动。全县农村信用社计算机信息系统操作安全管理的目标是：（一）对系统管理及系统操作均应进行有效的监督或监控;（二）所有接触系统的人员均应承担与其工作性质相应的安全责任。第四十三条计算机操作人员分类。对计算机信息系统的操作人员，应根

26、据计算机信息系统有限职责、有限使用授权原则进行分类。（一）营业网点操作员、管理人员。（二）事后监督系统操作员、管理人员。（三）办公自动化系统操作、管理人员。（四）网络及硬件维护人员。（五）系统运行维护人员。（六）中心系统管理人员。（七）安全管理人员。第四十四条系统操作控制管理。（一）应按照分工负责、互相制约的原则制定各类系统操（二）各类人员在履行职责时要按规定行事，不得从事超越自己职责以外的任何操作。（三）在对生产系统和监督系统进行系统维护、恢复、强行更改数据时，至少应有两名操作人员在场、并进行详细的登记及签名。（四）系统稽核人员、安全管理人员有权对生产系统进行监督与核查，但该过程必须履行必要

27、的手续和按照一定的程序进行。（五）应为长期从事计算机工作的人员创造合适的人机工作环境。使他们享有相应的劳动保护，定期进行专门体检，保持身心健康。第八章安全保密监督第四十五条科技部门对计算机信息系统安全保密工作，行使下列监督职权：（一）监督、检查、指导计算机信息系统安全保密工作；（二）检查危害计算机信息系统安全的违规事件；（三）履行计算机信息系统安全保密工作的其它监督职责。第四十六条科技部门发现影响计算机信息系统安全保密的隐患时，应当及时通知*安全领导小组采取安全保护措施，在紧急情况下，有权直接先采取必要的措施，然后再向领导报告，遇有重大问题，可以要求召集计算机安全领导小组成员会议商议对策。第九

28、章奖励和惩处第四十七条违反本办法的规定，有下列行为之一的，由计算机安全领导小组处以警告或者停机整顿，严重的应依据中华人民共和国保守国家秘密法的有关条款进行处理并追究单位领导的责任。（一）违反计算机信息系统安全等级制度，危害计算机信息系统安全的；（二）不按照本办法规定时间报告计算机信息系统中发生的案件的；（三）接到有关要求改进安全保密状况的通知后，在限期内不予改进的；（四）对本办法贯彻不力，造成事故隐患，影响系统正常运行的；（五）违反本办法造成严重损失或造成重大失泄密的。第四十八条对于引入计算机病毒以及其他有害数据危害计算机信息系统安全的，或者未经许可使用计算机信息系统安全专用产品的单位和个人，由*给予严肃处理。