信息系統(tǒng)安全管理制度匯編(6篇)

包括哪些

我們的信息系統(tǒng)安全管理制度旨在保護公司的核心數(shù)據(jù)和業(yè)務流程，確保其免受惡意攻擊、內(nèi)部疏忽和意外損失。這一制度涵蓋以下幾個關鍵領域：

1. 安全策略與政策：明確信息安全的目標、責任和準則，規(guī)定員工在處理敏感信息時的行為規(guī)范。

2. 訪問控制：通過身份驗證、授權和審計，限制對系統(tǒng)資源的訪問，防止未經(jīng)授權的訪問和濫用。

3. 數(shù)據(jù)保護：實施加密、備份和恢復措施，確保數(shù)據(jù)的完整性和保密性。

4. 網(wǎng)絡安全：保護網(wǎng)絡基礎設施，防止病毒、黑客攻擊和拒絕服務攻擊。

5. 系統(tǒng)安全：維護操作系統(tǒng)、應用程序和硬件的安全，及時更新補丁，消除潛在風險。

6. 應急響應：建立應對安全事件的流程，快速識別、報告和解決安全問題。

7. 審計與監(jiān)控：定期進行安全審計，監(jiān)控系統(tǒng)活動，及時發(fā)現(xiàn)異常行為。

培訓內(nèi)容

為了確保所有員工理解和遵守這些制度，我們將開展以下培訓活動：

1. 安全意識培訓：教育員工識別和防范各種威脅，如網(wǎng)絡釣魚、社會工程學等。

2. 技術培訓：教授員工如何正確使用安全工具，如防病毒軟件、防火墻設置等。

3. 應急響應演練：模擬安全事件，訓練員工快速有效地響應和處理。

4. 定期復習：更新信息安全知識，強化員工的安全意識和技能。

應急預案

面對可能的安全威脅，我們已經(jīng)制定了詳盡的應急預案：

1. 事件響應計劃：定義事件分類、報告機制和責任人，確保快速響應。

2. 數(shù)據(jù)恢復計劃：設立備份策略，確保關鍵數(shù)據(jù)能在短時間內(nèi)恢復。

3. 通信策略：設定內(nèi)部和外部溝通渠道，保證信息透明，減少恐慌。

4. 法律和合規(guī)考慮：了解并遵守相關法規(guī)，以應對可能的法律后果。

5. 后事件審查：事件解決后進行復盤，找出漏洞，改進安全措施。

重要性

信息系統(tǒng)安全不僅是技術問題，更是公司生存和發(fā)展的基石。一次嚴重的安全事件可能導致數(shù)據(jù)丟失、業(yè)務中斷、信譽受損甚至法律糾紛。因此，我們必須將信息安全融入日常運營，將其視為企業(yè)戰(zhàn)略的一部分。通過實施上述管理制度，我們旨在創(chuàng)建一個安全、可靠的信息環(huán)境，保護公司的核心資產(chǎn)，確保業(yè)務的持續(xù)穩(wěn)定運行，同時也為客戶提供信任和保障。每一位員工都應認識到自己的角色，共同守護我們的信息安全長城。

信息系統(tǒng)安全管理制度范文

第1篇 電子信息系統(tǒng)安全管理制度

為提高公司信息系統(tǒng)的可靠性、穩(wěn)定性、安全性,降低人為因素導致信息系統(tǒng)失效的可能性,形成良好的信息傳遞渠道,特制定本規(guī)范。

1. 機房管理規(guī)范

1.1非工作人員不得進出機房。工作人員出入機房注意鎖好房門,未經(jīng)上級批準,禁止將機房相關鑰匙、密碼等物品或信息外露給其它人員,同時有責任對信息保密。

1.2機房工作人員必須熟知機房內(nèi)設備的基本安全操作和規(guī)則。定期檢查機房的防曬、防水、防潮;檢查、整理硬件物理連接線路;定期檢查硬件運作狀態(tài)(如設備指示燈)。不得亂拉亂接電線,應選用安全、有保證的供電、用電器材,嚴禁隨意對設備斷電、更改設備供電線路,嚴禁隨意串接、并接、搭接各種供電線路。

1.3機房內(nèi)禁止吃食物、抽煙、隨地吐痰,對于意外或工作過程中弄污地板和其它物品的,必須及時采取措施清理干凈;禁止在服務器上進行試驗性質(zhì)的軟件調(diào)試,禁止在服務器隨意安裝軟件。

1.4機房工作人員必須定期檢查軟件的運行狀況、定期調(diào)閱軟件運行日志記錄,進行數(shù)據(jù)和軟件日志備份,做好硬件設備的維護保養(yǎng)工作。

1.5任何人均不得在服務器、交換設備等核心設備上進行與工作無關的任何操作。未經(jīng)上級允許,更不允許他人操作機房內(nèi)部的設備。

2. 計算機操作人員管理規(guī)范

2.1計算機操作員應具備計算機基礎知識,熟練使用windows、office、長安福特dms系統(tǒng)及常用軟件,并對其所使用的計算機軟、硬件負有維護保管責任。

2.2任何員工未經(jīng)授權,不得修改計算機軟硬件設置。嚴禁在工作機共享文件,員工所掌握的工作數(shù)據(jù)、文件等均屬公司所有,嚴禁拷貝、傳播、修改、破壞。凡違反網(wǎng)絡操作規(guī)程,影響網(wǎng)絡運行者罰款100元。

2.3計算機操作人員離開工作區(qū)域時應保證重要文件、資料、設備、數(shù)據(jù)處于安全保護狀態(tài);個人的工作文件應隨時做好安全存放與備份,不得將個人工作文件存放于“c盤我的文檔”。如有問題及時聯(lián)系系統(tǒng)管理員,與系統(tǒng)管理員一同維護好日常網(wǎng)絡的安全運行。

2.4計算機操作人員每次開機確保病毒實時監(jiān)測程序和黑客防火墻程序的正常運行;日常工作中注意保持計算機等相關設備的清潔,下班時務必關掉所有辦公設備的電源。

3. 計算機系統(tǒng)安全性維護

3.1計算機信息系統(tǒng)操作人員不得擅自進行系統(tǒng)軟件的刪除、拷貝、修改等操作,不得擅自升級、改變系統(tǒng)軟件版本或更換系統(tǒng)軟件,不得擅自改變軟件系統(tǒng)環(huán)境配置。

3.2硬件設備的更新、擴充、修復等工作應當由相關人員提出申請,報上級主管負責人審批。未經(jīng)允許,不得擅自拆裝硬件設備。

3.3在使用任何外來的光盤,u盤,移動硬盤等外來媒體的文件前,必須進行殺毒;嚴禁瀏覽任何非法網(wǎng)站、黑客網(wǎng)站及不健康的網(wǎng)站,嚴禁下載帶有附件的不明郵件;

3.4系統(tǒng)管理人員負責長安福特dms系統(tǒng)工作權限的設置,員工只能使用自己的工作權限,嚴禁盜用他人用戶名與密碼,嚴格執(zhí)行工作流程;長安福特dms系統(tǒng)上使用的密碼一經(jīng)啟用,不得隨意修改、公開,并需在行政部做備份,如需修改須事先告知行政部。

3.5各部門如有計算機操作員人員更替,必須及時通知行政部,系統(tǒng)管理員注銷或開設新用戶。

3.6系統(tǒng)管理人員須嚴格管理公司無限網(wǎng)絡的使用,接入密碼要經(jīng)常更新,以保證無線網(wǎng)絡的安全;

第2篇 人民醫(yī)院信息系統(tǒng)安全管理制度

人民醫(yī)院信息系統(tǒng)安全管理制度

一、信息系統(tǒng)安全包括:軟件安全和硬件網(wǎng)絡安全兩部分。

二、計算機中心人員必須采取有效的方法和技術,防止信息系統(tǒng)數(shù)據(jù)的丟失、破壞和失密;硬件破壞、失效等災難性故障。

三、對系統(tǒng)用戶的訪問模塊、訪問權限由使用單位負責人提出,交信息化領導小組核準后,由計算機中心人員給予配置并存檔,以后變更必須報批后才能更改,計算機中心做好變更日志存檔。

四、系統(tǒng)管理人員應熟悉并嚴格監(jiān)督數(shù)據(jù)庫使用權限、用戶密碼使用情況,定期更換用戶口令或密碼。網(wǎng)絡管理員、系統(tǒng)管理員、操作員調(diào)離崗位后一小時內(nèi)由班組長監(jiān)督檢查更換新的密碼;廠方調(diào)試人員調(diào)試維護完成后一小時內(nèi),由系統(tǒng)管理員關閉或修改其所用帳號和密碼。

五、計算機中心人員要主動對網(wǎng)絡系統(tǒng)實行監(jiān)控、查詢,及時對故障進行有效隔離、排除和恢復工作,以防災難性網(wǎng)絡風暴發(fā)生。

六、網(wǎng)絡系統(tǒng)所有設備的配置、安裝、調(diào)試必須由計算機中心人負責,其他人員不得隨意拆卸和移動。

七、上網(wǎng)操作人員必須嚴格遵守計算機及其他相關設備的操作規(guī)程,禁止其他人員進行與系統(tǒng)操作無關的工作。

八、嚴禁自行安裝軟件,特別是游戲軟件,禁止在工作用電腦上打游戲。

九、所有進入網(wǎng)絡的軟盤、光盤、u盤等其他存貯介質(zhì),必須經(jīng)過計算機中心負責人同意并查毒,未經(jīng)查毒的存貯介質(zhì)絕對禁止上網(wǎng)使用,對造成“病毒”蔓延的有關人員,將對照《計算機信息系統(tǒng)處罰條例》進行相應的經(jīng)濟和行政處罰。

十、在醫(yī)院還沒有有效解決網(wǎng)絡安全(未安裝防火墻、高端殺毒軟件、入侵檢測系統(tǒng)和堡壘主機)的情況下,內(nèi)外網(wǎng)獨立運行,所有終端內(nèi)外網(wǎng)不能混接,嚴禁外網(wǎng)用戶通過u盤等存貯介質(zhì)拷貝文件到內(nèi)網(wǎng)終端。

十一、內(nèi)網(wǎng)用戶所有文件傳遞,一律通過網(wǎng)上辦公系統(tǒng)和ftp服務器專門的上載、下載區(qū)進行,不得利用軟盤、光盤和u盤等存貯介質(zhì)進行拷貝。

十二、保持計算機硬件網(wǎng)絡設備清潔衛(wèi)生,做好防塵、防水、防靜電、防磁、防輻射、防鼠等安全工作。

十三、計算機中心人員有權監(jiān)督和制止一切違反安全管理的行為。

第3篇 集團信息系統(tǒng)安全管理細則

第一條 目的

為了保護集團計算機信息系統(tǒng)安全,規(guī)范信息系統(tǒng)管理,合理利用系統(tǒng)資源,推進集團信息化建設,促進計算機的應用和發(fā)展,保障集團信息系統(tǒng)的正常運行,充分發(fā)揮信息系統(tǒng)在企業(yè)管理中的作用,更好地為集團運營服務。根據(jù)《中華人民共和國國計算機信息系統(tǒng)安全保護條例》及有關法律、法規(guī),結合集團實際情況,制定本細則。

第二條 術語與定義

(一) 信息系統(tǒng)安全管理范圍:業(yè)務軟件系統(tǒng)信息安全、硬件網(wǎng)絡信息安全。

(二) 系統(tǒng)管理員:是集團信息化管理系統(tǒng)建設的主要執(zhí)行者,負責系統(tǒng)的設備保障、運行監(jiān)測、及時維護、數(shù)據(jù)備份以及信息系統(tǒng)規(guī)劃、計劃、方案的起草工作;同時,負責集團信息化管理系統(tǒng)和各工作站系統(tǒng)軟件、應用軟件的安裝、調(diào)試和維護工作;

第三條 適用范圍

本細則適用于集團信息系統(tǒng)安全管理。

第四條 系統(tǒng)服務器和網(wǎng)絡設備管理方法:

(一) 服務器和各網(wǎng)絡設備的放置詳見《機房管理細則》第五條的第三項;

(二) 非集團指定系統(tǒng)管理員,未經(jīng)批準不得對服務器和各網(wǎng)絡設備進行硬件維護、軟件安裝卸載等操作;

(三) 保證服務器和各網(wǎng)絡設備24小時不間斷正常工作,不得在服務器專用電路上加載其它用電設備;

(四) 非工作需要,內(nèi)網(wǎng)服務器嚴禁直接接入因特網(wǎng),并安裝好殺毒軟件,做好病毒防范,杜絕病毒感染。

第五條 業(yè)務軟件系統(tǒng)信息安全:

(一) 帳戶申請:對符合開通帳戶的申請人,根據(jù)權責對軟件所負責管理的職能歸屬部門進行申請,經(jīng)該主責部門同意后,轉(zhuǎn)信息管理部系統(tǒng)管理員處備案;

(二) 帳戶刪除:對于離職人員,在辦理工作交接時。由離職人員的主管通過辦公平臺向業(yè)務軟件主責部門提交刪除離職人員相關業(yè)務軟件帳戶的申請。經(jīng)該主責部門同意后,轉(zhuǎn)信息管理部系統(tǒng)管理員處備案;

(三) 操作人員應該嚴格保密帳戶信息,如因故意或過失造成信息泄漏的,將根據(jù)《員工獎懲管理細則》追究其相關責任;

(四) 系統(tǒng)管理人員應熟悉并嚴格監(jiān)督數(shù)據(jù)庫使用權限、用戶密碼使用情況,適時更換、更新用戶帳號或密碼。

第六條 網(wǎng)絡信息安全:

(一) 系統(tǒng)管理員要主動對網(wǎng)絡系統(tǒng)實行監(jiān)控、查詢,及時對故障進行有效隔離、排除和恢復工作,以防災難性網(wǎng)絡風暴發(fā)生;

(二) 網(wǎng)絡系統(tǒng)所有設備的配置、安裝、調(diào)試必須由系統(tǒng)管理員負責,其它人員不得隨意拆卸和移動;

(三) 所有上網(wǎng)操作人員必須嚴格遵守計算機及其它相關設備的操作規(guī)程,禁止其它人員進行與系統(tǒng)操作無關的工作;

(四) 在管理員還沒有有效解決網(wǎng)絡安全(未安裝防火墻、殺毒軟件)的情況下,內(nèi)外網(wǎng)獨立運行,所有終端內(nèi)外網(wǎng)不能混接,嚴禁外網(wǎng)用戶通過u盤等存貯介質(zhì)拷貝文件到內(nèi)網(wǎng)終端。

第七條 資料備份工作方法:

(一) 數(shù)據(jù)備份關系到整個集團信息化管理系統(tǒng)的正常運轉(zhuǎn),影響到集團正常的運營秩序,必須嚴格執(zhí)行;

(二) 數(shù)據(jù)庫服務器每周日做一次數(shù)據(jù)備份;

(三) 備份的數(shù)據(jù)存儲于專門的硬盤內(nèi),備份必需以覆蓋的形式存儲,確保數(shù)據(jù)不會遺漏;

(四) 所有重要數(shù)據(jù)、信息化管理系統(tǒng)源程序要刻錄成光盤存盤;

(五) 若遇重大程序更新、修改,必須在程序更新、修改前要做好數(shù)據(jù)的備份工作;

(六) 上傳到集團網(wǎng)站上提供給查詢的數(shù)據(jù)必須每日定時更新,確保查詢數(shù)據(jù)的準確性;

(七) 系統(tǒng)管理員若遇重大程序更新、修改,必須填寫工作日志;

(八) 非共享的文件不能設置成網(wǎng)絡共享,提供共享使用的文檔必須設置相應權限,由于沒有安全設置相應權限而造成本單位數(shù)據(jù)丟失的情況,后果自負。

第八條 管理員有權制止一切違反安全管理的行為。

第九條 本細則的解釋權屬于運營管理中心信息管理部。

第十條 本細則由運營管理中心信息管理部進行起草與修訂,由總裁辦公會審核,執(zhí)行總裁批準后發(fā)布。

第十一條 本細則自發(fā)布之日起生效,集團原有相關規(guī)定、通知、辦法等同時廢止。

第4篇 信息系統(tǒng)安全管理制度

為進一步規(guī)范公司管理,防范企業(yè)涉密資料以及涉密數(shù)據(jù)外泄,經(jīng)過公司研究決定,從即日起,規(guī)范相關關鍵信息、賬戶的管理。公司根據(jù)現(xiàn)在公司的管理需求,統(tǒng)一收回所有公司信息管理賬號,集中管理,專人保管。各個部門如要使用可填寫賬戶使用申請單。

具體管理辦法如下:

第一章 總 則

第一條 為加強公司用戶賬號管理,規(guī)范用戶賬號的使用,提高信息系統(tǒng)使用安全性,特制定本制度。

第二條 本制度中系統(tǒng)賬號是指應用層面及系統(tǒng)層面(平臺、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、信息管理系統(tǒng)、防火墻及其它網(wǎng)絡設備)的用戶賬號。

第三條 本規(guī)定所指賬號管理包括:

1、應用層面用戶賬號的申請、審批、分配、刪除/禁用等的管理

2、系統(tǒng)層面用戶賬號的申請、審批、分配、刪除/禁用等的管理

3、用戶賬號密碼的管理。

第四條 系統(tǒng)擁有部門負責建立《崗位權限對照表》(附件一),制定工作崗位與系統(tǒng)權限的對應關系和互斥原則,對具體崗位做出具體的權限管理規(guī)定。

第五條 信息管理中心根據(jù)系統(tǒng)擁有部門提交的《崗位權限對照表》增加系統(tǒng)崗位權限控制。

第六條 用戶賬號申請、審批及設置由不同人員負責。

第七條 各信息系統(tǒng)需設置超級管理員、系統(tǒng)管理員、系統(tǒng)管理監(jiān)督員和普通用戶。超級管理員、系統(tǒng)管理員與系統(tǒng)管理監(jiān)督員不能由同一人擔任,并不能是系統(tǒng)操作用戶。

1、超級管理員:負責按照領導審定的《信息系統(tǒng)權限申請表》(附件二)進入系統(tǒng)管理員的授權管理。

2、系統(tǒng)管理員:負責按照領導審定的授權進行錄入,并對系統(tǒng)運行狀況以及系統(tǒng)用戶數(shù)據(jù)錄入進行管理。系統(tǒng)管理員應對錄入的授權和系統(tǒng)運行狀態(tài)建立臺帳,定期向系統(tǒng)管理監(jiān)督備案。

3、系統(tǒng)管理監(jiān)督員:負責對錄入的數(shù)據(jù)和授權進行監(jiān)督,并建立用戶權限臺帳,定期對系統(tǒng)管理員錄入的授權和系統(tǒng)運行狀態(tài)以及用戶錄入數(shù)據(jù)進行監(jiān)督檢查。

4、普通用戶:負責對系統(tǒng)進行業(yè)務層面的操作。

第八條 信息管理中心將定期抽取系統(tǒng)崗位和用戶清單進行檢查,發(fā)現(xiàn)可疑授權、可疑使用將根據(jù)實際情況予以通報修正,并將檢查結果記入信息化年度考核中。

第二章 普通賬號管理

第九條 申請人使用統(tǒng)一規(guī)范的《信息系統(tǒng)權限申請表》(附件二)提出用戶賬號創(chuàng)建、修改、禁用、啟用等申請。

第十條 賬號申請人所屬部門負責人及系統(tǒng)擁有部門負責人根據(jù)《崗位權限對照表》審核申請人所申請的權限是否與其崗位一致,確保權限分配的合理性、必要性和符合職責分工的要求。

第十一條 在受理申請時,權限管理人員根據(jù)申請配置權限,在系統(tǒng)條件具備的情況下,給用戶分配獨有的用戶賬號或禁用用戶賬號權限,以使用戶對其行為負責。一旦分配好賬號,用戶不得使用他人賬號或者允許他人使用自己的賬號。

第十二條 新員工入職或員工崗位發(fā)生變化時,應主動申請所需系統(tǒng)的賬號及權限。

第十三條 人員離職的情況下,該員工的賬戶應當被及時的禁用。離職人員的離職手續(xù)辦理完畢后。員工所屬部門以書面方式通知系統(tǒng)管理部門,由系統(tǒng)管理部門實施用戶帳戶及權限的回收操作。

第十四條 賬號管理人員建立各種賬號的文檔記錄,記錄用戶賬號的相關信息,并在賬號變動時同時更新此記錄。

第三章 特權賬號和超級用戶賬號管理

第十五條 特權賬號指在系統(tǒng)中有專用權限的賬號,如備份賬號、權限管理賬號、系統(tǒng)維護賬號等。超級用戶賬號指系統(tǒng)中最高權限賬號,如administrator(或admin)、root等管理員賬號。

第十六條 只有經(jīng)授權的用戶才可使用特權賬號和超級用戶賬號,嚴禁共享賬號。

第十七條 信息系統(tǒng)管理部門每季度查看系統(tǒng)日志,監(jiān)督特權賬號和超級用戶賬號使用情況,并填寫《系統(tǒng)日志審閱表》(附件三)。

第十八條 盡量避免特權賬號和超級用戶賬號的臨時使用,確需使用時必須履行正規(guī)的申請及審批流程,并保留相應的文檔。

第十九條 臨時使用超級用戶賬號必須有監(jiān)督人員在場記錄其工作內(nèi)容。

第二十條 超級用戶帳戶必須由信息管理中心管理(如沒有超級管理員,信息管理中心必須掌握系統(tǒng)管理員權限)。系統(tǒng)管理員和系統(tǒng)管理監(jiān)督員可通過信息管理中心與系統(tǒng)擁有部門協(xié)商管理(如系統(tǒng)管理員由系統(tǒng)擁有部門管理,《信息系統(tǒng)權限申請表》必須以郵件方式電子文檔交予信息管理中心備案便于監(jiān)督審核)。

第二十一條 信息化各系統(tǒng)交使用單位驗收合格后,必須由信息管理中心和系統(tǒng)擁有部門共同督促系統(tǒng)開發(fā)方刪除臨時測試帳戶。

第四章 用戶賬號及權限審閱

第二十二條 系統(tǒng)擁有部門指定專人負責每季度對系統(tǒng)應用層面賬號及權限進行審閱,并填寫《信息系統(tǒng)權限清理清單》(附件四)。

第二十三條 信息管理中心指定專人負責每季度對系統(tǒng)層面賬號及權限進行審閱,并填寫《信息系統(tǒng)權限清理清單》。

第二十四條 員工離職后,賬號管理人員及時禁用或刪除離職人員所使用的賬號。如果離職人員是系統(tǒng)管理員,則及時更改特權賬號或超級用戶口令。

第五章 用戶賬號口令管理

第二十五條 用戶賬號口令發(fā)放要嚴格保密,用戶必須及時更改初始口令。

第二十六條 用戶賬號口令最小長度為6位(系統(tǒng)超級用戶、管理員和監(jiān)督員口令最小長度為8位),并具有一定復雜度。

第二十七條 用戶賬號口令必須嚴格保密,并定期進行更改,密碼更新周期不得超過90天。

第二十八條 嚴禁共享個人用戶賬號口令。

第六章 附則

第二十九條 本制度與公司相關標準、規(guī)范相沖突時,應按照公司相關標準、規(guī)范執(zhí)行。

第三十條 本制度適用于由信息管理中心歸口管理的所有系統(tǒng)。

第三十一條 本制度由信息管理中心起草并解釋。

第三十二條 本制度從發(fā)布之日起施行。

第5篇 內(nèi)部控制信息系統(tǒng)安全管理制度

第一章 總則3

第二章 系統(tǒng)管理人員的職責3

第三章 機房管理制度4

第四章 系統(tǒng)管理員工作細則4

第五章 安全保密管理員工作細則7

第六章 密鑰管理員工作細則9

第七章 計算機信息系統(tǒng)應急預案10

第八章 附則10

第一章 總則

第1條依據(jù)《中華人民共和國國保守國家秘密法》和有關保密規(guī)定,為進一步加強中船信息公司計算機信息系統(tǒng)安全保密管理,并結合用戶單位的實際情況,制定本制度。

第2條計算機信息系統(tǒng)包括:涉密計算機信息系統(tǒng)和非涉密計算機信息系統(tǒng)。其中,涉密計算機信息系統(tǒng)指以計算機或者計算機網(wǎng)絡為主體,按照一定的應用目標和規(guī)則構成的處理涉密信息的人機系統(tǒng)。

第3條涉密計算機信息系統(tǒng)的保密工作堅持積極防范、突出重點,既確保國家秘密安全又有利于信息化發(fā)展的方針。

第4條涉密計算機信息系統(tǒng)的安全保密工作實行分級保護與分類管理相結合、行政管理與技術防范相結合、防范外部與控制內(nèi)部相結合的原則。

第5條涉密計算機信息系統(tǒng)的安全保密管理,堅持“誰使用,誰負責”的原則,同時實行主要領導負責制。

第二章 系統(tǒng)管理人員的職責

第6條用戶單位的涉密計算機信息系統(tǒng)的管理由用戶保密單位負責,具體技術工作由中船信息承擔,設置以下安全管理崗位:系統(tǒng)管理員、安全保密管理員、密鑰管理員。

第7條系統(tǒng)管理員負責信息系統(tǒng)和網(wǎng)絡系統(tǒng)的運行維護管理,主要職責是:信息系統(tǒng)主機的日常運行維護;信息系統(tǒng)的系統(tǒng)安裝、備份、維護;信息系統(tǒng)數(shù)據(jù)庫的備份管理; 應用系統(tǒng)訪問權限的管理;網(wǎng)絡設備的管理;網(wǎng)絡的線路保障;網(wǎng)絡服務器平臺的運行管理,網(wǎng)絡病毒入侵防范。

第8條安全保密管理員負責網(wǎng)絡信息系統(tǒng)的安全保密技術管理,主要職責是:網(wǎng)絡信息安全策略管理;網(wǎng)絡信息系統(tǒng)安全檢查;涉密計算機的安全管理;網(wǎng)絡信息系統(tǒng)的安全審計管理;違規(guī)外聯(lián)的監(jiān)控。

第9條密鑰管理員負責密鑰的管理,主要職責是:身份認證系統(tǒng)的管理;密鑰的制作;密鑰的更換;密鑰的銷毀。

第10條對涉密計算機信息系統(tǒng)安全管理人員的管理要遵循“從不單獨原則”、“責任分散原則”和“最小權限原則”。

第11條新調(diào)入或任用涉密崗位的系統(tǒng)管理人員,必須先接受保密教育和網(wǎng)絡安全保密知識培訓后方可上崗工作。

第12條保密單位負責定期組織系統(tǒng)管理人員進行保密法規(guī)知識的宣傳教育和培訓工作。

第三章 機房管理制度

第13條出入機房要有登記記錄。非機房工作人員不得進入機房。外來人員進機房參觀需經(jīng)保密辦批準,并有專人陪同。

第14條進入機房人員不得攜帶任何易燃、易爆、腐蝕性、強電磁、輻射性、流體物質(zhì)、食品等對設備正常運行構成威脅的物品。嚴禁在機房內(nèi)吸煙。嚴禁在機房內(nèi)堆放與工作無關的雜物。

第15條機房內(nèi)不得使用無線通訊設備,禁止拍照和攝影。

第16條各類技術檔案、資料由專人妥善保管并定期檢查。

第17條機房內(nèi)應按要求配置足夠量的消防器材,并做到三定(定位存放、定期檢查、定時更換)。加強防火安全知識教育,做到會使用消防器材。加強電源管理,嚴禁亂接電線和違章用電。發(fā)現(xiàn)火險隱患,及時報告,并采取安全措施。

第18條機房應保持整潔有序,地面清潔。設備要排列整齊,布線要正規(guī),儀表要齊備,工具要到位,資料要齊全。機房的門窗不得隨意打開。

第19條每天上班前和下班后對機房做日常巡檢,檢查機房環(huán)境、電源、設備等并做好相應記錄(見表一)。

第20條機房大門必須隨時關閉上鎖。機房鑰匙由集團公司保密辦管理。

第21條機房門禁磁卡(以下簡稱門禁卡)由信息中心管理。

第22條門禁卡的發(fā)放范圍是:系統(tǒng)管理員、安全保密管理員和密鑰管理員。

第23條對臨時進入機房工作的人員,不再發(fā)放門禁卡,在向用戶單位保密部門提出申請得到批準后,由安全保密管理員陪同進入機房工作。

第24條門禁卡應妥善保管,不得遺失和互相借用。

第25條門禁卡遺失后,應立即上報信息中心,同時寫出書面說明。

第四章 系統(tǒng)管理員工作細則

第一節(jié) 系統(tǒng)主機維護管理辦法

第26條系統(tǒng)主機由系統(tǒng)管理員負責維護,未經(jīng)允許任何人不得對系統(tǒng)主機進行操作。

第27條根據(jù)系統(tǒng)設計方案和應用系統(tǒng)運行要求進行主機系統(tǒng)安裝、調(diào)試,建立系統(tǒng)管理員賬戶,設置管理員密碼,建立用戶賬戶,設置系統(tǒng)策略、用戶訪問權利和資源訪問權限,并根據(jù)安全風險最小化原則及運行效率最大化原則配置系統(tǒng)主機。

第28條建立系統(tǒng)設備檔案(見表二)、包括系統(tǒng)主機詳細的技術參數(shù),如:品牌、型號、購買日期、序列號、硬件配置信息、軟件配置信息、網(wǎng)絡配置信息、系統(tǒng)配置信息,妥善保管系統(tǒng)主機保修卡,在系統(tǒng)主機軟硬件信息發(fā)生變更時對設備檔案進行及時更新。

第29條每周修改系統(tǒng)主機管理員密碼,密碼長度不得低于八位,要求有數(shù)字、字母并區(qū)分大小寫。

第30條每周通過系統(tǒng)性能分析軟件對系統(tǒng)主機進行運行性能分析,并做詳細記錄(見表四),根據(jù)分析情況對系統(tǒng)主機進行系統(tǒng)優(yōu)化,包括磁盤碎片整理、系統(tǒng)日志文件清理,系統(tǒng)升級等。

第31條每周對系統(tǒng)日志、系統(tǒng)策略、系統(tǒng)數(shù)據(jù)進行備份,做詳細記錄(見表四)。

第32條每天檢查系統(tǒng)主機各硬件設備是否正常運行,并做詳細記錄(見表五)。

第33條每天檢查系統(tǒng)主機各應用服務系統(tǒng)是否運行正常,并做詳細記錄(見表五)。

第34條每周下載安裝最新版的系統(tǒng)補丁,對系統(tǒng)主機進行升級,做詳細記錄(見表四)。

第35條每天記錄系統(tǒng)主機運行維護日記,對系統(tǒng)主機運行情況進行總結。

第36條在系統(tǒng)主機發(fā)生故障時應及時通知用戶,用最短的時間解決故障,保證系統(tǒng)主機盡快正常運行,并對系統(tǒng)故障情況做詳細記錄(見表六)。

第37條每月對系統(tǒng)主機運行情況進行總結、并寫出系統(tǒng)主機運行維護月報,上報保密辦。

第二節(jié) 信息系統(tǒng)運行維護管理辦法

第38條信息系統(tǒng)(辦公自動化系統(tǒng)和檔案管理系統(tǒng))的運行維護由系統(tǒng)管理員負責維護,未經(jīng)允許任何人不得對信息系統(tǒng)進行任何操作。

第39條根據(jù)信息系統(tǒng)的設計要求及實施細則安裝、調(diào)試、配置信息系統(tǒng),建立信息系統(tǒng)管理員賬號,設置管理員密碼,密碼要求由數(shù)字和字母組成,區(qū)分大小寫,密碼長度不得低于8位,。

第40條對信息系統(tǒng)的基本配置信息做詳細記錄,包括系統(tǒng)配置信息、用戶帳戶名稱,系統(tǒng)安裝目錄、數(shù)據(jù)文件存貯目錄,在信息系統(tǒng)配置信息發(fā)生改變時及時更新記錄(見表三)。

第41條每周對信息系統(tǒng)系統(tǒng)數(shù)據(jù)、用戶id文件、系統(tǒng)日志進行備份,并做詳細記錄(見表四),備份介質(zhì)交保密辦存檔。

第42條當信息系統(tǒng)用戶發(fā)生增加、減少、變更時,新建用戶帳戶,新建用戶郵箱,需經(jīng)保密單位審批,并填寫系統(tǒng)用戶申請單或系統(tǒng)用戶變更申請單(見表七),審批通過后,由系統(tǒng)管理員進行操作,并做詳細記錄。

第43條根據(jù)用戶需求設置信息系統(tǒng)各功能模塊訪問權限,并提交保密辦審批。

第44條每天檢查信息系統(tǒng)各項應用功能是否運行正常,并做詳細記錄(見表五)。

第45條在信息系統(tǒng)發(fā)生故障時,應及時通知用戶,并用最短的時間解決故障,保證信息系統(tǒng)盡快正常運行,并對系統(tǒng)故障情況做詳細記錄(見表六)。

第46條每天記錄信息系統(tǒng)運行維護日志,對信息系統(tǒng)運行情況進行總結。

第47條每月對信息系統(tǒng)運行維護情況進行總結,并寫出信息系統(tǒng)維護月報,并上報保密辦。

第三節(jié) 網(wǎng)絡系統(tǒng)運行維護管理辦法

第48條網(wǎng)絡系統(tǒng)運行維護由系統(tǒng)管理員專人負責,未經(jīng)允許任何人不得對網(wǎng)絡系統(tǒng)進行操作。

第49條根據(jù)網(wǎng)絡系統(tǒng)設計方案和實施細則安裝、調(diào)試、配置網(wǎng)絡系統(tǒng),包括交換機配置、路由器配置,建立管理員賬號,設置管理員密碼,并關閉所有遠程管理端口。

第50條建立系統(tǒng)設備檔案(見表二),包括交換機、路由器的品牌、型號、序列號、購買日期、硬件配置信息,詳細記錄綜合布線系統(tǒng)信息配置表,交換機系統(tǒng)配置,路由器系統(tǒng)配置,網(wǎng)絡拓撲機構圖,vlan劃分表,并在系統(tǒng)配置發(fā)生變更時及時對設備檔案進行更新。

第51條每天檢查網(wǎng)絡系統(tǒng)設備(交換機、路由器)是否正常運行。

第52條每周對網(wǎng)絡系統(tǒng)設備(交換機、路由器)進行清潔。

第53條每周修改網(wǎng)絡系統(tǒng)管理員密碼。

第54條每周檢測網(wǎng)絡系統(tǒng)性能,包括數(shù)據(jù)傳輸?shù)姆€(wěn)定性、可靠性、傳輸速率。

第55條網(wǎng)絡變更后進行網(wǎng)絡系統(tǒng)配置資料備份。

第56條當網(wǎng)絡系統(tǒng)發(fā)生故障時,應及時通知用戶,并在最短的時間內(nèi)解決問題,保證網(wǎng)絡系統(tǒng)盡快正常運行,并對系統(tǒng)故障情況作詳細記錄(見表六)。

第57條每月對網(wǎng)絡系統(tǒng)運行維護情況進行總結,并作出網(wǎng)絡系統(tǒng)運行維護月報。

第四節(jié) 終端電腦運行維護管理辦法

第58條終端電腦的維護由系統(tǒng)管理員負責,未經(jīng)允許任何人不得對終端電腦進行維護操作。

第59條根據(jù)用戶應用需求和安全要求安裝、調(diào)試電腦主機,安裝操作系統(tǒng)、應用軟件、殺毒軟件、技防軟件,。

第60條建立系統(tǒng)設備檔案(見表二)、包括電腦的品牌、型號、購買日期、序列號、硬件配置信息、軟件配置信息、網(wǎng)絡配置信息、系統(tǒng)配置信息,在電腦主機軟硬件信息發(fā)生變更時對設備檔案進行及時更新。

第61條在電腦主機發(fā)生故障時應及時進行處理,備份用戶文件,用最短的時間解決故障,保證電腦主機盡快能夠正常運行,并對電腦主機故障情況做詳細記錄(見表六),涉及存儲介質(zhì)損壞,直接送交保密辦處理。

第五節(jié) 網(wǎng)絡病毒入侵防范管理辦法

第62條網(wǎng)絡病毒入侵防護系統(tǒng)由系統(tǒng)管理員專人負責,任何人未經(jīng)允許不得進行此項操作。

第63條根據(jù)網(wǎng)絡系統(tǒng)安全設計要求安裝、配置瑞星網(wǎng)絡病毒防護系統(tǒng),包括服務器端系統(tǒng)配置和客戶機端系統(tǒng)配置,開啟客戶端防病毒系統(tǒng)的實時監(jiān)控。

第64條每日監(jiān)測防病毒系統(tǒng)的系統(tǒng)日志,檢測是否有病毒入侵、安全隱患等,對所發(fā)現(xiàn)的問題進行及時處理,并做詳細記錄(見表八)。

第65條每周登陸防病毒公司網(wǎng)站,下載最新的升級文件,對系統(tǒng)進行升級,并作詳細記錄(見表九)。

第66條每周對網(wǎng)絡系統(tǒng)進行全面的病毒查殺,對病毒查殺結果做系統(tǒng)分析,并做詳細記錄(見表十)。

第67條每日瀏覽國家計算機病毒應急處理中心網(wǎng)站,了解最新病毒信息發(fā)布情況,及時向用戶發(fā)布病毒預警和預防措施。

第五章 安全保密管理員工作細則

第一節(jié) 網(wǎng)絡信息安全策略管理辦法

第68條網(wǎng)絡安全策略管理由安全保密管理員專職負責,未經(jīng)允許任何人不得進行此項操作。

第69條根據(jù)網(wǎng)絡信息系統(tǒng)的安全設計要求及主機審計系統(tǒng)數(shù)據(jù)的分析結果,制定、配置、修改、刪除主機審計系統(tǒng)的各項管理策略,并做記錄(見表十一)。

第70條根據(jù)網(wǎng)絡信息系統(tǒng)的安全設計要求制定、配置、修改、刪除網(wǎng)絡安全評估分析系統(tǒng)的各項管理策略,并做記錄(見表十一)。

第71條根據(jù)網(wǎng)絡信息系統(tǒng)的安全設計要求制定、配置、修改、刪除入侵檢測系統(tǒng)的各項管理策略,并做記錄(見表十一)。

第72條根據(jù)網(wǎng)絡信息系統(tǒng)的安全設計要求制定、配置、修改、刪除、內(nèi)網(wǎng)主機安全監(jiān)控與審計系統(tǒng)的各項管理策略,并做記錄(見表十一)。

第73條每周對網(wǎng)絡信息系統(tǒng)安全管理策略進行數(shù)據(jù)備份,并作詳細記錄(見表十二)。

第74條網(wǎng)絡信息安全技術防護系統(tǒng)(主機審計系統(tǒng)、漏洞掃描系統(tǒng)、防病毒系統(tǒng)、內(nèi)網(wǎng)主機安全監(jiān)控與審計系統(tǒng))由網(wǎng)絡安全保密管理員統(tǒng)一負責安裝和卸載。

第二節(jié) 網(wǎng)絡信息系統(tǒng)安全檢查管理辦法

第75條網(wǎng)絡信息系統(tǒng)安全檢查由安全保密管理員專職負責執(zhí)行,未經(jīng)允許任何人不得進行此項操作。

第76條每天根據(jù)入侵檢測系統(tǒng)的系統(tǒng)策略檢測、審計系統(tǒng)日志,檢查是否有網(wǎng)絡攻擊、異常操作、不正常數(shù)據(jù)流量等,對異常情況做及時處理,遇有重大安全問題上報保密辦,并做詳細記錄(見表十三)。

第77條每周登陸入侵檢測系統(tǒng)產(chǎn)品網(wǎng)站,下載最新升級文件包,對系統(tǒng)進行更新,并做詳細記錄(見表十四)。

第78條每月通過漏洞掃描系統(tǒng)對網(wǎng)絡系統(tǒng)終端進行安全評估分析,并對掃描結果進行分析,及時對終端系統(tǒng)漏洞及安全隱患進行處理,作詳細記錄(見表十五),并將安全評估分析報告上報保密辦。

第79條每周登錄全評估產(chǎn)品網(wǎng)站,下載最新升級文件包,對系統(tǒng)進行更新,并作詳細記錄(見表十六)。

第80條每周備份入侵檢測系統(tǒng)和漏洞掃描系統(tǒng)的審計信息,并作詳細記錄(見表十七)。

第三節(jié) 涉密計算機安全管理辦法

第81條涉密計算機安全管理由安全保密管理員專人負責,未經(jīng)允許任何人不得進行此項操作。

第82條根據(jù)網(wǎng)絡系統(tǒng)安全設計要求制定、修改、刪除涉密計算機安全審計策略,包括打印控制策略、外設輸入輸出控制策略、應用程序控制策略,并做記錄。

第83條每日對涉密計算機進行安全審計,及時處理安全問題,并做詳細記錄(見表十八),遇有重大問題上報保密部門。

第84條涉密計算機的新增、變更、淘汰需經(jīng)保密部門審批,審批通過后由安全保密管理員統(tǒng)一進行操作,并做詳細記錄(見表十八)。

第85條新增涉密計算機聯(lián)入涉密網(wǎng)絡,需經(jīng)保密辦審批,由安全保密管理員統(tǒng)一進行操作,并做詳細記錄(見表十八)。

第四節(jié) 安全審計管理辦法

第86條網(wǎng)絡信息安全審計系統(tǒng)由安全保密管理員負責,未經(jīng)允許任何人不得進行此項操作。

第87條根據(jù)網(wǎng)絡系統(tǒng)主機安全設計要求安裝、配置、管理主機安全審計系統(tǒng),制定審計規(guī)則,包括系統(tǒng)運行狀態(tài)、用戶登錄信息,網(wǎng)絡文件共享操作等。

第88條每日查看安全審計系統(tǒng)信息,對審計結果進行分析整理,及時處理所發(fā)生的設備安全問題,并做詳細記錄(見表十九)。

第89條每周備份設備安全審計系統(tǒng)審計信息,并做詳細記錄(見表二十)。

第90條每月對主機安全審計系統(tǒng)記錄信息進行分析總結,并向保密部門提交分析報告。

第五節(jié) 違規(guī)聯(lián)接管理辦法

第91條違規(guī)外聯(lián)管理系統(tǒng)(北信源安全補丁管理軟件)由安全保密管理員負責,未經(jīng)允許任何人不得進行此項操作。

第92條根據(jù)網(wǎng)絡信息系統(tǒng)安全管理要求安裝、配置違規(guī)外聯(lián)管理系統(tǒng)策略,包括聯(lián)網(wǎng)涉密電腦,單機涉密電腦,便攜式涉密電腦。

第93條每日檢查違規(guī)外聯(lián)系統(tǒng)審計信息,查看聯(lián)網(wǎng)涉密電腦是否有違規(guī)外聯(lián)操作。

第94條每月檢查單機涉密電腦、便攜式電腦是否有違規(guī)外聯(lián)操作。

第95條每三個月協(xié)助保密辦進行所有涉密電腦巡檢,檢查是否存在違規(guī)外聯(lián)操作,并做詳細記錄。

第96條每日通過違規(guī)外聯(lián)系統(tǒng)檢查網(wǎng)絡系統(tǒng)是否有非法主機聯(lián)入,并做詳細記錄。

第六章 密鑰管理員工作細則

第97條身份認證系統(tǒng)由密鑰管理員專人負責,未經(jīng)允許任何人不得進行此項操作。

第98條每日檢查身份認證系統(tǒng)是否正常運行。

第99條負責向用戶單位派發(fā)安全鑰匙,用戶需填寫審批表,并提交保密部門審批(見表二十一)。

第100條根據(jù)用戶需求,見保密部門審批單要求,制作、修改、注銷證書(見表七)。

第101條負責為每臺計算機安裝主機登錄系統(tǒng)。

第102條負責主機登錄系統(tǒng)、身份認證系統(tǒng)的系統(tǒng)維護。

第七章 計算機信息系統(tǒng)應急預案

第103條系統(tǒng)管理人員參與制定各種意外事件處置預案,并具體執(zhí)行,包括火災、停電、設備故障等,每年進行預案演練。

第104條遇到火災應根據(jù)火情采取以下措施:

1.如火情較輕時,應立即切斷機房總電源,并迅速用消防器材,力爭把火撲滅、控制在初期階段,同時上報集團保衛(wèi)部門。

2.如火情嚴重應迅速撥打報警電話“119”,同時通知集團保衛(wèi)部門,聽從消防工作人員的現(xiàn)場指揮,協(xié)助處理有關事項。

第105條如遇機房突發(fā)性停電,應迅速通知用戶,同時關閉設備電源,來電后,及時通知用戶,并檢測設備是否正常運行。

第106條系統(tǒng)出現(xiàn)災難性故障時,系統(tǒng)管理員應立刻通知部門主管,制定詳細的系統(tǒng)恢復方案。

第107條遇緊急情況,值班員應立即通知保密辦和系統(tǒng)管理員,保持24小時通訊暢通,隨時處理緊急事件。

第108條線路故障應立即撥打線路故障電話“112”,同時上報部門主管,協(xié)助電信部門查找故障原因,盡快使線路恢復正常。

第八章 附則

第109條本管理制度自發(fā)布之日起執(zhí)行,未盡事宜以用戶單位的《保密工作管理實施辦法》為準。

第110條本制度每年度審訂一次,本制度所有表格請見附錄。

第6篇 計算機和信息系統(tǒng)安全保密管理辦法

第一章 總 則

第一條 為確保公司計算機和信息系統(tǒng)的運行安全,確保國家秘密安全,根據(jù)國家有關規(guī)定和要求,結合工作實際情況,制定本辦法。

第二條 公司計算機和信息系統(tǒng)安全保密工作遵循“積極防范、突出重點、依法管理”的方針,切實加強領導,明確管理職責,落實制度措施,強化技術防范,不斷提高信息安全保障能力和水平。

第二章 組織機構與職責

第三條 計算機和信息系統(tǒng)安全保密管理工作貫徹“誰主管,誰負責”、“誰使用,誰負責”的原則,實行統(tǒng)一領導,分級管理,分工負責,有效監(jiān)督。

第四條 保密委員會全面負責計算機和信息系統(tǒng)安全保密工作的組織領導。主要職責是:

(一)審訂計算機和信息系統(tǒng)安全保密建設規(guī)劃、方案;

(二)研究解決計算機和信息系統(tǒng)安全保密工作中的重大事項和問題;

(三)對發(fā)生計算機和信息系統(tǒng)泄密事件及嚴重違規(guī)、違紀行為做出處理決定。

第五條 保密管理部門負責計算機和信息系統(tǒng)的安全保密指導、監(jiān)督和檢查。主要職責是:

(一)指導計算機和信息系統(tǒng)安全保密建設規(guī)劃、方案的編制及實施工作;

(二)監(jiān)督計算機和信息系統(tǒng)安全保密管理制度、措施的落實;

(三)組織開展計算機和信息系統(tǒng)安全保密專項檢查和技術培訓;

(四)參與計算機和信息系統(tǒng)安全保密的風險評估、分析及安全保密策略的制定工作。

第六條 信息化管理部門負責計算機和信息系統(tǒng)的安全保密管理工作。主要職責是:

(一)負責計算機和信息系統(tǒng)安全保密建設規(guī)劃、方案、制度的制訂和實施;

(二)負責計算機和信息系統(tǒng)安全保密技術措施的落實及運行維護管理;

(三)負責建立、管理信息設備臺帳;

(四)負責計算機和信息系統(tǒng)安全保密策略的制定、調(diào)整、更新和實施;

(五)定期組織開展風險評估、風險分析,提出相應的安全措施建議,并編制安全保密評估報告;

(六)開展計算機和信息系統(tǒng)安全保密技術檢查工作;

(七)涉及計算機和信息系統(tǒng)有關事項的審查、審批;

(八)計算機和信息系統(tǒng)安全保密的日常管理工作。

第七條 公司應結合工作實際設定涉密計算機和信息系統(tǒng)的系統(tǒng)管理員、安全保密管理員、安全審計員,分別負責涉密計算機和信息系統(tǒng)的運行、安全保密和安全審計工作?！叭龁T”的權限設置應當相互獨立、相互制約,安全保密管理員與安全審計員不得由一人兼任。

沒有涉密信息系統(tǒng),只使用單臺涉密計算機的單位,應當配備安全保密管理員。

第八條 涉密計算機和信息系統(tǒng)管理人員應當符合以下要求:

(一)符合國家及集團公司對涉密人員的要求;

(二)熟悉計算機和信息系統(tǒng)各項安全保密法律、法規(guī)和標準;

(三)熟練掌握有關專業(yè)知識和業(yè)務技能;

(四)通過國家有關部門的上崗培訓,并獲得上崗資格。

第三章 涉密信息系統(tǒng)的建設管理

第九條 建設涉密信息系統(tǒng)必須依照國家有關規(guī)定、標準和規(guī)范進行,安全保密設施必須與涉密信息系統(tǒng)同步規(guī)劃、同步建設、同步運行。

第十條 建設涉密信息系統(tǒng),應當在方案設計前,由保密委員會根據(jù)所建系統(tǒng)擬涉及國家秘密的最高密級確定保護等級。

第十一條 涉密信息系統(tǒng)建設方案的設計應當選擇具有相應涉密資質(zhì)的單位承擔,建設方案按照建設系統(tǒng)的對應密級進行定密和管理。建設方案完成后,由保密辦報請上級保密管理部門組織評審并備案。

第十二條 涉密信息系統(tǒng)建設過程中,必須采取嚴格的安全保密管理措施。系統(tǒng)集成、綜合布線、系統(tǒng)服務、系統(tǒng)咨詢、軟件開發(fā)、工程監(jiān)理等,應當選擇具有相應資質(zhì)的單位承擔,并明確提出保密要求,簽訂保密協(xié)議。涉及國家秘密的工程資料應當根據(jù)需要控制發(fā)放,并做出登記。工程完工后,應當按登記如數(shù)收回。施工現(xiàn)場應當采取措施,禁止無關人員進入。

第十三條 涉密信息系統(tǒng)所采用的安全保密產(chǎn)品,必須選用通過國家相關主管部門授權測評機構檢測合格的產(chǎn)品,并應當查驗產(chǎn)品合格證書、產(chǎn)品檢測報告中所描述的適用范圍及其有效期。

第十四條 涉密信息系統(tǒng)的測評工作統(tǒng)一由集團公司保密辦委托國家涉密信息系統(tǒng)測評中心兵器分中心實施。

第十五條 涉密信息系統(tǒng)經(jīng)測評完成,取得涉密信息系統(tǒng)檢測評估報告后,由上級保密管理部門向集團公司保密辦正式提交《涉及國家秘密的信息系統(tǒng)投入使用申請書》,并經(jīng)集團公司保密辦審核批準后,報相關保密行政管理部門審批,領取《涉及國家秘密的信息系統(tǒng)使用許可證》。

第十六條 新建涉密信息系統(tǒng)在投入運行前,應當經(jīng)地方保密工作部門審批,在未取得《涉及國家秘密的信息系統(tǒng)使用許可證》前,不得投入使用。在正式運行之前,不得存儲和處理國家秘密信息。

第十七條 涉密信息系統(tǒng)在設計、評審、施工及驗收過程中發(fā)生失泄密事件或因有關工程信息資料泄露導致涉密信息系統(tǒng)防護措施失效、削弱的,屬于建設單位責任的,由建設單位承擔;屬于其他環(huán)節(jié)責任的,由相關環(huán)節(jié)負責人負責。

第四章 信息設備臺帳與標識管理

第十八條 信息化管理部門應當根據(jù)實際,建立信息設備總臺帳,內(nèi)設機構或部門應當相應建立二級臺帳。信息設備臺帳可按以下類別分類:

(一)計算機,包括服務器、用戶終端;

(二)網(wǎng)絡設備和外部設備,包括交換機、路由器、網(wǎng)關、網(wǎng)閘、vpn設備、打印機、制圖(繪圖)機、掃描儀、光盤刻錄機(外接式)等;

(三)安全保密產(chǎn)品,包括計算機病毒防護產(chǎn)品,密碼產(chǎn)品及身份鑒別、訪問控制、安全審計、入侵檢測、邊界防護和電磁泄漏發(fā)射防護等產(chǎn)品;

(四)移動存儲介質(zhì)。

第十九條 各類臺帳應當包括以下內(nèi)容:

(一)計算機管理臺帳:部門、責任人、名稱型號、密級或用途、操作系統(tǒng)安裝日期、硬盤序列號、ip地址、mac地址、使用情況等;

(二)網(wǎng)絡設備和外部設備管理臺帳:部門、責任人、名稱、型號、使用情況等;

(三)安全保密產(chǎn)品管理臺帳:責任人、名稱、型號、檢測證書名稱和編號、購置時間、使用情況等;

(四)移動存儲介質(zhì)管理臺帳:部門、責任人、名稱、編號、序列號、密級或用途、使用情況等。

第二十條 信息設備臺帳管理工作實行專人負責,動態(tài)管理,并建立、健全信息設備從配置到銷毀全過程的報告、審批和定期核驗機制,確保信息設備臺帳能夠適時、準確的反映信息設備的客觀情況。

第二十一條 公司應對信息設備進行標識管理。設備標識由公司統(tǒng)一制作。

標識內(nèi)容應與臺帳信息的主要內(nèi)容相符,并保持完好。不得故意損毀、涂改、撕揭或擦除。計算機和信息系統(tǒng)中的服務器、用戶終端、外部設備、存儲介質(zhì)、安全保密產(chǎn)品等,應當根據(jù)其處理和存儲信息的最高密級或主要用途進行標識。標識應當粘貼在明顯位置,并與涉密信息的存儲部件相關聯(lián)。

移動存儲介質(zhì)如無法粘貼標識的,可以采取不可擦除的方式標注。

第五章 計算機和信息系統(tǒng)的保密管理

第二十二條 計算機和信息系統(tǒng)的使用管理必須遵守如下規(guī)定:

(一)嚴禁使用涉密計算機和信息系統(tǒng)連接國際互聯(lián)網(wǎng)或公共信息網(wǎng)絡;

(二)嚴禁使用連接國際互聯(lián)網(wǎng)或公共信息網(wǎng)絡的計算機及其它非涉密計算機存儲、處理涉密信息;

(三)嚴禁將涉密計算機接入內(nèi)部非涉密網(wǎng)絡。

第二十三條 涉密信息系統(tǒng)經(jīng)安全保密技術測評,并正式投入運行后,如發(fā)生下列變更事項時,應當及時報告上級保密管理部門和負責審批的保密行政管理部門:

(一)涉密等級;

(二)連接范圍;

(三)環(huán)境設施;

(四)主要應用;

(五)安全保密責任管理單位。

由保密行政管理部門決定是否需要重新進行測評和審批。

第二十四條 外部信息導入涉密計算機和信息系統(tǒng)的,應當通過中間轉(zhuǎn)換機或經(jīng)過國家相關部門批準的安全可靠的信息交換措施進行。使用中間轉(zhuǎn)換機轉(zhuǎn)換信息的,中間轉(zhuǎn)換機應當按涉密和非涉密分別設立,并嚴格按照相關標準的規(guī)定程序進行操作。

第二十五條 涉及涉密計算機和信息系統(tǒng)的設備,應當由單位統(tǒng)一選配,統(tǒng)一安裝,嚴格控制,規(guī)范使用。

第二十六條 禁止在涉密計算機和信息系統(tǒng)中使用無線鍵盤、無線鼠標、無線網(wǎng)卡、無線路由器等具有無線功能的設備或產(chǎn)品。

第二十七條 涉密計算機和信息系統(tǒng)應當根據(jù)其相應密級采取對應的身份鑒別、數(shù)字簽名、訪問控制、安全審計、信息加密、數(shù)據(jù)保護、介質(zhì)管理、防違規(guī)外聯(lián)等技術措施。

第二十八條 涉密計算機和信息系統(tǒng)服務器、用戶終端應當設置相關安全策略,設置原則是:關閉全部共享、與應用無關的所有端口、服務、鏈接和系統(tǒng)授權。

第二十九條 涉密計算機和信息系統(tǒng)應當采取計算機病毒防護措施,定期對計算機病毒與惡意代碼防護措施進行查驗,并及時更新計算機病毒與惡意代碼樣本庫。更新周期為:涉密信息系統(tǒng)不超過3天,單臺涉密計算機不超過15天。

第三十條 各單位應建立統(tǒng)一的補丁程序分發(fā)安裝機制,在補丁程序發(fā)布后3個月內(nèi)及時安裝,保證系統(tǒng)的安全性,對不能安裝系統(tǒng)補丁程序的非正版操作系統(tǒng),應當更換操作系統(tǒng)。

第三十一條 下列事項必須報經(jīng)信息化管理部門批準后由相關管理人員實施:

(一)因系統(tǒng)崩潰、操作系統(tǒng)損壞等原因需重新安裝操作系統(tǒng)的;

(二)更改或清除涉密計算機和信息系統(tǒng)的移動存儲介質(zhì)及外部設備安裝、使用等日志記錄的;

(三)因工作需要對涉密計算機和信息系統(tǒng)安裝、擴展、縮減、拆卸軟硬件的;

(四)因工作需要卸載、修改涉密信息系統(tǒng)的安全技術程序、管理程序的。

第三十二條 需經(jīng)常安裝的應用軟件和軟件工具,經(jīng)信息化管理部門審批后,由系統(tǒng)管理員上傳到指定的服務器或存儲在一次性刻錄光盤中,供涉密計算機和信息系統(tǒng)用戶終端下載、安裝使用。

第三十三條 公司要加強對連接國際互聯(lián)網(wǎng)計算機的管理和使用,應遵循以下原則:

(一)未經(jīng)批準,不得擅自以任何方式連接國際互聯(lián)網(wǎng);

(二)公司集中使用的國際互聯(lián)網(wǎng)計算機應當指定專人負責管理,分散使用的國際互聯(lián)網(wǎng)計算機應當明確責任人,做好上網(wǎng)記錄;

(三)應制定國際互聯(lián)網(wǎng)信息發(fā)布管理制度,明確需要通過保密審查的信息范圍和審查程序。審查一般應由擬發(fā)布信息的業(yè)務主管部門負責,業(yè)務主管部門把握不準的,由保密管理部門審查,單位業(yè)務主管領導審批;

(四)公司應采取有效技術措施,對通過互聯(lián)網(wǎng)或公共信息系統(tǒng)發(fā)送電子郵件等信息進行監(jiān)控和記錄。

第三十四條 密碼設備的使用和管理按照公司有關規(guī)定執(zhí)行。

第六章 便攜式計算機和存儲介質(zhì)保密管理

第三十五條 建立健全便攜式計算機和移動存儲介質(zhì)的管理制度和措施,根據(jù)工作實際,采取集中管理,指定專人負責。

第三十六條 涉密便攜式計算機應當拆除具有無線聯(lián)網(wǎng)功能(如無線網(wǎng)卡、藍牙、紅外等)的硬件模塊,如無法進行拆除的,不得作為涉密計算機使用。

第三十七條 攜帶涉密便攜式計算機和移動存儲介質(zhì)外出,應當履行審批手續(xù)和領用前狀態(tài)檢查;返還時,應當對外出使用情況進行技術檢查。

第三十八條 外出攜帶涉密便攜式計算機和移動存儲介質(zhì)要確保安全,全程有效控制。同時攜帶涉密便攜式計算機和移動存儲介質(zhì)時,二者應分開保管。

第三十九條 不得使用低密級便攜式計算機和移動存儲介質(zhì)存儲、處理高密級信息;不得在低密級計算機上使用高密級移動存儲介質(zhì)。

第四十條 在涉密計算機和信息系統(tǒng)內(nèi)使用的存儲介質(zhì)應當采取有效的技術控制措施,確保未經(jīng)授權的移動存儲介質(zhì)不能在涉密計算機和信息系統(tǒng)中使用。

第四十一條 在使用便攜式計算機和移動存儲介質(zhì)時不得有下列行為:

(一)在非涉密便攜式計算機和移動存儲介質(zhì)中存儲、處理涉密信息的;

(二)涉密移動存儲介質(zhì)在非涉密計算機和信息系統(tǒng)中使用的;

(三)將非涉密和個人具有存儲功能的介質(zhì)和設備接入涉密計算機和信息系統(tǒng)的;

(四)私自攜帶涉密便攜式計算機和移動存儲介質(zhì)外出的;

(五)移動存儲介質(zhì)在涉密計算機、信息系統(tǒng)和非涉密計算機、信息系統(tǒng)之間交叉使用的。

第四十二條 涉密移動存儲介質(zhì)不得降為非涉密移動存儲介質(zhì)使用。

第七章 信息安全保密管理

第四十三條 涉密計算機和信息系統(tǒng)中的涉密信息應當標明密級,密級標識不得與正文分離。標注方式應當遵行以下原則:

(一)處于起草、設計、編輯、修改過程中和已完成的電子文檔、圖表、圖形、圖像、數(shù)據(jù)等,只要內(nèi)容涉及國家秘密,在首頁應當標明密級;

(二)電子數(shù)據(jù)文件、圖表、圖形、圖像等涉密信息在首頁無法直接標注密級標識的,可將密級標識作為文件名稱的一部分進行標注;

(三)涉及國家秘密的程序、數(shù)據(jù)庫文件、數(shù)據(jù)文件、視頻文件等,在軟件運行首頁、數(shù)據(jù)視圖首頁和影像播映首頁應當標注密級。

第四十四條 涉密計算機和信息系統(tǒng)應當采取有效的技術控制措施,禁止涉密信息非授權輸出。涉密信息系統(tǒng)中涉密信息輸出點要按照最小化原則設置。指定專人負責。

第四十五條 涉密信息遠程傳輸應當按照國家有關規(guī)定采取密碼保護措施,存儲與傳輸、使用的加密措施應當與涉密信息的密級相適應,并得到國家主管部門批準。

第四十六條 密鑰的管理和使用應符合國家有關安全保密規(guī)定,并接受國家相關主管部門的指導和監(jiān)督。

第四十七條 公司應當制定完善的涉密信息備份制度,并采取有效的防盜、防災措施,保證備份的安全。

第四十八條 涉密計算機軟硬件配置情況及本身有涉密內(nèi)容的各種應用軟件等信息,不得進行公開學術交流,不得公開發(fā)表。

第八章 維修、報廢與銷毀

第四十九條 涉密計算機和信息系統(tǒng)服務器、用戶終端、外部設備、存儲介質(zhì)發(fā)生故障時,使用部門應當向信息管理部門提出維修申請,經(jīng)批準后維修。涉密計算機和信息系統(tǒng)、存儲介質(zhì)維修應當遵循以下原則:

(一)現(xiàn)場維修時,一般應當由公司內(nèi)部維修人員實施;需外部人員到現(xiàn)場維修時,維修過程中應當由有關人員旁站陪同;禁止維修人員恢復、讀取和復制被維修設備中的涉密信息;禁止通過遠程連接,對涉密計算機和信息系統(tǒng)進行維修和維護工作;

(二)需要帶離現(xiàn)場進行維修的,應當拆除所有可能存儲過涉密信息的硬件和固件。維修地點在公司內(nèi)部的,應在符合保密要求的維修場所進行;維修地點在外部的,應與維修單位和維修人員簽訂保密協(xié)議;

(三)設備中存儲過涉密信息的硬件和固件不能拆除或發(fā)生故障時,如不能保證安全的,應當按照涉密載體銷毀要求予以銷毀;確需維修時,送至具有涉密信息系統(tǒng)數(shù)據(jù)恢復資質(zhì)的單位進行維修,并由專人負責取送;

(四)信息化管理部門應當建立維修日志和檔案,并將所有涉密設備維修情況記錄在案,記錄內(nèi)容應包括維修單位、維修人、故障現(xiàn)象、保密措施、維修內(nèi)容、維修結果、監(jiān)督檢查等。

第五十條 禁止將未經(jīng)安全技術處理的退出使用的涉密計算機、涉密存儲設備贈送、出售、丟棄或改作其他用途。如將退出使用的涉密計算機、涉密存儲設備贈送、出售、丟棄或改作其他用途時,應當經(jīng)信息化管理部門審批,拆除涉密存儲部件和固件上交保密辦進行銷毀處理。

第五十一條 保密管理部門應建立報廢、銷毀涉密設備和存儲介質(zhì)臺帳。報廢、銷毀涉密設備和存儲介質(zhì)應當履行清點、登記、審批手續(xù),并將涉密設備和存儲介質(zhì)的密級、型號規(guī)格、經(jīng)辦人、采取的方法措施以及最終去向等情況記錄在案并歸檔。

第九章 場所的安全保密

第五十二條 安裝、使用涉密計算機信息系統(tǒng)的場所,應與境外機構駐地和人員住所保持相應的安全距離,并根據(jù)所處理信息的涉密程度設立必要的控制區(qū)域,未經(jīng)批準無關人員不得進入。

第五十三條 安裝、使用涉密計算機信息系統(tǒng)的場所應當每半年或根據(jù)需要,由公司保密管理部門組織安全保密技術檢查。

第五十四條 安裝、使用涉密計算機和信息系統(tǒng)的場所采取的電磁泄漏發(fā)射防護措施應當滿足bmb5-2000《涉密信息設備使用現(xiàn)場的電磁泄漏發(fā)射防護要求》,有關設備或技術措施應得到國家保密行政管理部門或國家安全部門的認可。

第五十五條 安裝、使用涉密計算機信息系統(tǒng)場所的其它物理安全要求,應符合國家有關安全保密管理要求,保密級別按系統(tǒng)中的最高密級設定。

第五十六條 涉密計算機信息系統(tǒng)的中心機房和密碼機房應列為保密要害部位進行管理,建立健全相應安全保密制度和采取有效的出入控制措施。

第十章 監(jiān)督管理

第五十七條 對違反本辦法使用涉密信息系統(tǒng)的部門和個人,保密辦責令其限期整改。對拒不整改的,停止使用,由單位給予處罰。

第五十八條 保密管理部門和信息化管理部門要經(jīng)常對涉密計算機和信息系統(tǒng)、存儲介質(zhì)的使用、管理情況進行檢查。對違反保密管理規(guī)定的,及時做出處理。造成失泄密的,要給予相關責任人行政處分和經(jīng)濟處罰,情節(jié)嚴重的,應依據(jù)國家有關法律追究有關領導和直接責任人的法律責任。

第五十九條 發(fā)現(xiàn)涉密信息設備、移動存儲介質(zhì)遺失、被盜,在全力查找、追繳的同時,報告上級保密管理部門和當?shù)乇Ｃ苄姓芾聿块T,并采取積極有效的措施減少失泄密隱患。

第十一章 附 則

第六十條 本辦法由公司保密辦負責解釋。

第六十一條 本辦法自_____年__月___日起執(zhí)行。