- 目錄
包括哪些
安全保密管理制度旨在確保企業(yè)敏感信息的安全,防止未經(jīng)授權的訪問、泄露或濫用。它主要包括以下幾個核心組成部分:
1. 信息分類與標記:根據(jù)信息的重要性和敏感程度,制定明確的信息分類標準,并在文件和數(shù)據(jù)上進行相應標記。
2. 訪問控制:設定嚴格的訪問權限,只有經(jīng)過授權的員工才能訪問特定級別的信息資源。
3. 數(shù)據(jù)加密:對敏感數(shù)據(jù)實施加密保護,確保即使數(shù)據(jù)被盜,也無法輕易解讀。
4. 物理安全:控制物理訪問,如限制數(shù)據(jù)中心和檔案室的進入,確保設施安全。
5. 網(wǎng)絡安全:實施防火墻、入侵檢測系統(tǒng)等技術措施,防止網(wǎng)絡攻擊。
6. 審計與監(jiān)控:定期進行安全審計,監(jiān)控異常活動,及時發(fā)現(xiàn)潛在風險。
7. 泄密應急響應:建立快速響應機制,應對可能的信息泄露事件。
培訓內(nèi)容
為確保制度有效執(zhí)行,員工需接受以下安全保密培訓:
1. 保密意識教育:強調(diào)保密的重要性,提高員工的保密意識。
2. 政策理解:詳細解讀安全保密政策,使員工明白自己的責任和義務。
3. 操作規(guī)程:教授如何正確處理和保護敏感信息,如正確的文件存儲和銷毀方法。
4. 網(wǎng)絡安全知識:教授如何識別和防范網(wǎng)絡威脅,如釣魚郵件和惡意軟件。
5. 應急演練:模擬泄露事件,讓員工熟悉應急響應流程。
應急預案
為應對可能的信息泄露,企業(yè)應設立如下應急預案:
1. 事件報告:一旦發(fā)現(xiàn)可疑活動或泄露跡象,員工應立即報告給安全團隊。
2. 快速隔離:對受影響的系統(tǒng)或設備進行隔離,防止信息進一步擴散。
3. 數(shù)據(jù)恢復:如有備份,盡快恢復重要數(shù)據(jù),減少損失。
4. 法律援助:如果涉及法律問題,應及時尋求專業(yè)法律咨詢。
5. 事后分析:調(diào)查泄露原因,修復漏洞,避免類似事件再次發(fā)生。
重要性
安全保密管理制度對于企業(yè)至關重要,其作用體現(xiàn)在:
1. 保護企業(yè)資產(chǎn):保密信息是企業(yè)的核心競爭力,其泄露可能導致重大經(jīng)濟損失。
2. 維護企業(yè)聲譽:信息泄露可能損害企業(yè)形象,影響客戶信任。
3. 遵守法規(guī):遵守數(shù)據(jù)保護法規(guī),避免因違規(guī)導致的法律糾紛。
4. 保障業(yè)務連續(xù)性:通過預防和應對泄露,確保業(yè)務不受干擾,保證正常運營。
安全保密管理制度的建立健全,對于維護企業(yè)信息安全,保障業(yè)務穩(wěn)定,以及維護企業(yè)與客戶的關系具有深遠意義。每個員工都應認識到自己的角色,嚴格執(zhí)行相關制度,共同構建一個安全的信息環(huán)境。
安全保密管理制度包括范文
第1篇 某醫(yī)院計算機網(wǎng)絡安全保密工作管理制度
醫(yī)院計算機網(wǎng)絡安全保密工作管理制度
1、非計算機室工作人員禁止進入中心機房,外來參觀及工作需要者需經(jīng)醫(yī)院及信息處處長同意方可進入,并做好登記。
2、做好防病毒防黑客安全管理工作,網(wǎng)絡管理人員定期對網(wǎng)絡進行安全檢查。防病毒人員對整個網(wǎng)絡病毒情況進行適時監(jiān)控,發(fā)現(xiàn)計算機病毒必須立即殺毒,并查明原因報告醫(yī)院,作出相應處理,對內(nèi)容_的病毒要立即報告保衛(wèi)部門,不得向任何人傳播。
3、所有字典、數(shù)據(jù)不得擅自向他人透露,嚴禁擅自刪除或修改數(shù)據(jù)庫中的數(shù)據(jù),如需查詢或修改數(shù)據(jù),必須經(jīng)科負責人同意方可,并做好記錄。
4、醫(yī)院局域網(wǎng)上運行的計算機只限操作醫(yī)院信息管理系統(tǒng),禁止本院局域網(wǎng)以外的計算機連入該網(wǎng),如違反規(guī)定擅自將非網(wǎng)絡用機連入醫(yī)院局域網(wǎng),一經(jīng)查實,處以2000元以下的罰款;如因此造成醫(yī)院局域網(wǎng)感染病毒,影響醫(yī)院正常工作,甚至導致系統(tǒng)癱瘓,予以行政處分,情節(jié)嚴重的,移送司法部門處理。
5、機房禁止吸煙、明火,禁止存放易燃易爆物品。
第2篇 出生醫(yī)醫(yī)學證明網(wǎng)絡安全保密管理制度范本
1.嚴格《出生醫(yī)學證明》簽發(fā)和查詢賬號、密碼的使用權限管理,未經(jīng)許可,不得泄漏密碼,如發(fā)生泄漏應立即更改密碼并向上級報告。
2.管理和簽發(fā)機構及其工作人員對因管理、簽發(fā)《出生醫(yī)學證明》而掌握的公民的個人信息,應予以保密,不得擅自向第三方提供個案信息。
3.《出生醫(yī)學證明》信息統(tǒng)計資料,對外公布權限歸屬同級衛(wèi)生行政部門。其他部門、機構和個人需要應用統(tǒng)計數(shù)據(jù)對外交流,須經(jīng)同級衛(wèi)生行政部門的同意。
4.用于《出生醫(yī)學證明》簽發(fā)的計算機應專機專人專用,并設有開機密碼加強安全防范。
5.做好《出生醫(yī)學證明》簽發(fā)數(shù)據(jù)的備份,以防數(shù)據(jù)失滅。
第3篇 信息安全保密管理制度
第一章總則
第一條信息安全保密工作是公司運營與發(fā)展的基礎,是保障客戶利益的基礎,為給信息安全工作提供清晰的指導方向,加強安全管理工作,保障各類系統(tǒng)的安全運行,特制定本管理制度。
第二條本制度適用于分、支公司的信息安全管理。
第二章計算機機房安全管理
第三條計算機機房的建設應符合相應的國家標準。
第四條為杜絕火災隱患,任何人不許在機房內(nèi)吸煙。嚴禁在機房內(nèi)使用火爐、電暖器等發(fā)熱電器。機房值班人員應了解機房滅火裝置的性能、特點,熟練使用機房配備的滅火器材。機房消防系統(tǒng)白天置手動,下班后置自動狀態(tài)。一旦發(fā)生火災應及時報警并采取應急措施。
第五條為防止水患,應對上下水道、暖氣設施定期檢查,及時發(fā)現(xiàn)并排除隱患。
第六條機房無人值班時,必須做到人走門鎖;機房值班人員應對進入機房的人員進行登記,未經(jīng)各級領導同意批準的人員不得擅自進入機房。
第七條為杜絕嚙齒動物等對機房的破壞,機房內(nèi)應采取必要的防范措施,任何人不許在機房內(nèi)吃東西,不得將食品帶入機房。
第八條系統(tǒng)管理員必須與業(yè)務系統(tǒng)的操作員分離,系統(tǒng)管理員不得操作業(yè)務系統(tǒng)。應用系統(tǒng)運行人員必須與應用系統(tǒng)開發(fā)人員分離,運行人員不得修改應用系統(tǒng)源代碼。
第三章計算機網(wǎng)絡安全保密管理
第九條采用入侵檢測、訪問控制、密鑰管理、安全控制等手段,保證網(wǎng)絡的安全。
第十條對涉及到安全性的網(wǎng)絡操作事件進行記錄,以進行安全追查等事后分析,并建立和維護“安全日志”,其內(nèi)容包括:
1、記錄所有訪問控制定義的變更情況。
2、記錄網(wǎng)絡設備或設施的啟動、關閉和重新啟動情況。
3、記錄所有對資源的物理毀壞和威脅事件。
4、在安全措施不完善的情況下,嚴禁公司業(yè)務網(wǎng)與互聯(lián)網(wǎng)聯(lián)接。
第十一條不得隨意改變例如ip地址、主機名等一切系統(tǒng)信息。
第四章 應用軟件安全保密管理
第十二條各級運行管理部門必須建立科學的、嚴格的軟件運行管理制度。
第十三條建立軟件復制及領用登記簿,建立健全相應的監(jiān)督管理制度,防止軟件的非法復制、流失及越權使用,保證計算機信息系統(tǒng)的安全;
第十四條定期更換系統(tǒng)和用戶密碼,前臺(各應用部門)用戶要進行動態(tài)管理,并定期更換密碼。
第十五條定期對業(yè)務及辦公用pc的操作系統(tǒng)及時進行系統(tǒng)補丁升級,堵塞安全漏洞。
第十六條不得擅自安裝、拆卸或替換任何計算機軟、硬件,嚴禁安裝任何非法或盜版軟件。
第十七條不得下載與工作無關的任何電子文件,嚴禁瀏覽黃色、_或高風險等非法網(wǎng)站。
第十八條注意防范計算機病毒,業(yè)務或辦公用pc要每天更新病毒庫。
第五章 數(shù)據(jù)安全保密管理
第十九條所有數(shù)據(jù)必須經(jīng)過合法的手續(xù)和規(guī)定的渠道采集、加工、處理和傳播,數(shù)據(jù)應只用于明確規(guī)定的目的,未經(jīng)批準不得它用,采用的數(shù)據(jù)范圍應與規(guī)定用途相符,不得超越。
第二十條根據(jù)數(shù)據(jù)使用者的權限合理分配數(shù)據(jù)存取授權,保障數(shù)據(jù)使用者的合法存取。
第二十一條設置數(shù)據(jù)庫用戶口令,并監(jiān)督用戶定期更改;數(shù)據(jù)庫用戶在操作數(shù)據(jù)過程中,不得使用他人口令或者把自己的口令提供給他人使用。
第二十二條未經(jīng)領導允許,不得將存儲介質(zhì)(含磁帶、光盤、軟盤、技術資料等)帶出機房,不得隨意通報數(shù)據(jù)內(nèi)容,不得泄露數(shù)據(jù)給內(nèi)部或外部無關人員。
第二十三條 嚴禁直接對數(shù)據(jù)庫進行操作修改數(shù)據(jù)。如遇特殊情況進行此操作時,必須由申請人提出申請,填寫《數(shù)據(jù)變更申請表》,經(jīng)申請人所屬部門領導確認后提交至信息管理部,信息管理部相關領導確認后,方可由數(shù)據(jù)庫管理人員進行修改,并對操作內(nèi)容作好記錄,長期保存。修改前應做好數(shù)據(jù)備份工作。
第二十四條 應按照分工負責、互相制約的原則制定各類系統(tǒng)操作人員的數(shù)據(jù)讀寫權限,讀寫權限不允許交叉覆蓋。
第二十五條 一線生產(chǎn)系統(tǒng)和二線監(jiān)督系統(tǒng)進行系統(tǒng)維護、復原、強行更改數(shù)據(jù)時,至少應有兩名操作人員在場,并進行詳細的登記及簽名。
第二十六條 對業(yè)務系統(tǒng)操作員權限實行動態(tài)管理,確保操作員崗位調(diào)整后及時修改相應權限,保證業(yè)務數(shù)據(jù)安全。
第4篇 計算機和信息系統(tǒng)安全保密管理辦法
第一章 總 則
第一條 為確保公司計算機和信息系統(tǒng)的運行安全,確保國家秘密安全,根據(jù)國家有關規(guī)定和要求,結合工作實際情況,制定本辦法。
第二條 公司計算機和信息系統(tǒng)安全保密工作遵循“積極防范、突出重點、依法管理”的方針,切實加強領導,明確管理職責,落實制度措施,強化技術防范,不斷提高信息安全保障能力和水平。
第二章 組織機構與職責
第三條 計算機和信息系統(tǒng)安全保密管理工作貫徹“誰主管,誰負責”、“誰使用,誰負責”的原則,實行統(tǒng)一領導,分級管理,分工負責,有效監(jiān)督。
第四條 保密委員會全面負責計算機和信息系統(tǒng)安全保密工作的組織領導。主要職責是:
(一)審訂計算機和信息系統(tǒng)安全保密建設規(guī)劃、方案;
(二)研究解決計算機和信息系統(tǒng)安全保密工作中的重大事項和問題;
(三)對發(fā)生計算機和信息系統(tǒng)泄密事件及嚴重違規(guī)、違紀行為做出處理決定。
第五條 保密管理部門負責計算機和信息系統(tǒng)的安全保密指導、監(jiān)督和檢查。主要職責是:
(一)指導計算機和信息系統(tǒng)安全保密建設規(guī)劃、方案的編制及實施工作;
(二)監(jiān)督計算機和信息系統(tǒng)安全保密管理制度、措施的落實;
(三)組織開展計算機和信息系統(tǒng)安全保密專項檢查和技術培訓;
(四)參與計算機和信息系統(tǒng)安全保密的風險評估、分析及安全保密策略的制定工作。
第六條 信息化管理部門負責計算機和信息系統(tǒng)的安全保密管理工作。主要職責是:
(一)負責計算機和信息系統(tǒng)安全保密建設規(guī)劃、方案、制度的制訂和實施;
(二)負責計算機和信息系統(tǒng)安全保密技術措施的落實及運行維護管理;
(三)負責建立、管理信息設備臺帳;
(四)負責計算機和信息系統(tǒng)安全保密策略的制定、調(diào)整、更新和實施;
(五)定期組織開展風險評估、風險分析,提出相應的安全措施建議,并編制安全保密評估報告;
(六)開展計算機和信息系統(tǒng)安全保密技術檢查工作;
(七)涉及計算機和信息系統(tǒng)有關事項的審查、審批;
(八)計算機和信息系統(tǒng)安全保密的日常管理工作。
第七條 公司應結合工作實際設定涉密計算機和信息系統(tǒng)的系統(tǒng)管理員、安全保密管理員、安全審計員,分別負責涉密計算機和信息系統(tǒng)的運行、安全保密和安全審計工作。“三員”的權限設置應當相互獨立、相互制約,安全保密管理員與安全審計員不得由一人兼任。
沒有涉密信息系統(tǒng),只使用單臺涉密計算機的單位,應當配備安全保密管理員。
第八條 涉密計算機和信息系統(tǒng)管理人員應當符合以下要求:
(一)符合國家及集團公司對涉密人員的要求;
(二)熟悉計算機和信息系統(tǒng)各項安全保密法律、法規(guī)和標準;
(三)熟練掌握有關專業(yè)知識和業(yè)務技能;
(四)通過國家有關部門的上崗培訓,并獲得上崗資格。
第三章 涉密信息系統(tǒng)的建設管理
第九條 建設涉密信息系統(tǒng)必須依照國家有關規(guī)定、標準和規(guī)范進行,安全保密設施必須與涉密信息系統(tǒng)同步規(guī)劃、同步建設、同步運行。
第十條 建設涉密信息系統(tǒng),應當在方案設計前,由保密委員會根據(jù)所建系統(tǒng)擬涉及國家秘密的最高密級確定保護等級。
第十一條 涉密信息系統(tǒng)建設方案的設計應當選擇具有相應涉密資質(zhì)的單位承擔,建設方案按照建設系統(tǒng)的對應密級進行定密和管理。建設方案完成后,由保密辦報請上級保密管理部門組織評審并備案。
第十二條 涉密信息系統(tǒng)建設過程中,必須采取嚴格的安全保密管理措施。系統(tǒng)集成、綜合布線、系統(tǒng)服務、系統(tǒng)咨詢、軟件開發(fā)、工程監(jiān)理等,應當選擇具有相應資質(zhì)的單位承擔,并明確提出保密要求,簽訂保密協(xié)議。涉及國家秘密的工程資料應當根據(jù)需要控制發(fā)放,并做出登記。工程完工后,應當按登記如數(shù)收回。施工現(xiàn)場應當采取措施,禁止無關人員進入。
第十三條 涉密信息系統(tǒng)所采用的安全保密產(chǎn)品,必須選用通過國家相關主管部門授權測評機構檢測合格的產(chǎn)品,并應當查驗產(chǎn)品合格證書、產(chǎn)品檢測報告中所描述的適用范圍及其有效期。
第十四條 涉密信息系統(tǒng)的測評工作統(tǒng)一由集團公司保密辦委托國家涉密信息系統(tǒng)測評中心兵器分中心實施。
第十五條 涉密信息系統(tǒng)經(jīng)測評完成,取得涉密信息系統(tǒng)檢測評估報告后,由上級保密管理部門向集團公司保密辦正式提交《涉及國家秘密的信息系統(tǒng)投入使用申請書》,并經(jīng)集團公司保密辦審核批準后,報相關保密行政管理部門審批,領取《涉及國家秘密的信息系統(tǒng)使用許可證》。
第十六條 新建涉密信息系統(tǒng)在投入運行前,應當經(jīng)地方保密工作部門審批,在未取得《涉及國家秘密的信息系統(tǒng)使用許可證》前,不得投入使用。在正式運行之前,不得存儲和處理國家秘密信息。
第十七條 涉密信息系統(tǒng)在設計、評審、施工及驗收過程中發(fā)生失泄密事件或因有關工程信息資料泄露導致涉密信息系統(tǒng)防護措施失效、削弱的,屬于建設單位責任的,由建設單位承擔;屬于其他環(huán)節(jié)責任的,由相關環(huán)節(jié)負責人負責。
第四章 信息設備臺帳與標識管理
第十八條 信息化管理部門應當根據(jù)實際,建立信息設備總臺帳,內(nèi)設機構或部門應當相應建立二級臺帳。信息設備臺帳可按以下類別分類:
(一)計算機,包括服務器、用戶終端;
(二)網(wǎng)絡設備和外部設備,包括交換機、路由器、網(wǎng)關、網(wǎng)閘、vpn設備、打印機、制圖(繪圖)機、掃描儀、光盤刻錄機(外接式)等;
(三)安全保密產(chǎn)品,包括計算機病毒防護產(chǎn)品,密碼產(chǎn)品及身份鑒別、訪問控制、安全審計、入侵檢測、邊界防護和電磁泄漏發(fā)射防護等產(chǎn)品;
(四)移動存儲介質(zhì)。
第十九條 各類臺帳應當包括以下內(nèi)容:
(一)計算機管理臺帳:部門、責任人、名稱型號、密級或用途、操作系統(tǒng)安裝日期、硬盤序列號、ip地址、mac地址、使用情況等;
(二)網(wǎng)絡設備和外部設備管理臺帳:部門、責任人、名稱、型號、使用情況等;
(三)安全保密產(chǎn)品管理臺帳:責任人、名稱、型號、檢測證書名稱和編號、購置時間、使用情況等;
(四)移動存儲介質(zhì)管理臺帳:部門、責任人、名稱、編號、序列號、密級或用途、使用情況等。
第二十條 信息設備臺帳管理工作實行專人負責,動態(tài)管理,并建立、健全信息設備從配置到銷毀全過程的報告、審批和定期核驗機制,確保信息設備臺帳能夠適時、準確的反映信息設備的客觀情況。
第二十一條 公司應對信息設備進行標識管理。設備標識由公司統(tǒng)一制作。
標識內(nèi)容應與臺帳信息的主要內(nèi)容相符,并保持完好。不得故意損毀、涂改、撕揭或擦除。計算機和信息系統(tǒng)中的服務器、用戶終端、外部設備、存儲介質(zhì)、安全保密產(chǎn)品等,應當根據(jù)其處理和存儲信息的最高密級或主要用途進行標識。標識應當粘貼在明顯位置,并與涉密信息的存儲部件相關聯(lián)。
移動存儲介質(zhì)如無法粘貼標識的,可以采取不可擦除的方式標注。
第五章 計算機和信息系統(tǒng)的保密管理
第二十二條 計算機和信息系統(tǒng)的使用管理必須遵守如下規(guī)定:
(一)嚴禁使用涉密計算機和信息系統(tǒng)連接國際互聯(lián)網(wǎng)或公共信息網(wǎng)絡;
(二)嚴禁使用連接國際互聯(lián)網(wǎng)或公共信息網(wǎng)絡的計算機及其它非涉密計算機存儲、處理涉密信息;
(三)嚴禁將涉密計算機接入內(nèi)部非涉密網(wǎng)絡。
第二十三條 涉密信息系統(tǒng)經(jīng)安全保密技術測評,并正式投入運行后,如發(fā)生下列變更事項時,應當及時報告上級保密管理部門和負責審批的保密行政管理部門:
(一)涉密等級;
(二)連接范圍;
(三)環(huán)境設施;
(四)主要應用;
(五)安全保密責任管理單位。
由保密行政管理部門決定是否需要重新進行測評和審批。
第二十四條 外部信息導入涉密計算機和信息系統(tǒng)的,應當通過中間轉換機或經(jīng)過國家相關部門批準的安全可靠的信息交換措施進行。使用中間轉換機轉換信息的,中間轉換機應當按涉密和非涉密分別設立,并嚴格按照相關標準的規(guī)定程序進行操作。
第二十五條 涉及涉密計算機和信息系統(tǒng)的設備,應當由單位統(tǒng)一選配,統(tǒng)一安裝,嚴格控制,規(guī)范使用。
第二十六條 禁止在涉密計算機和信息系統(tǒng)中使用無線鍵盤、無線鼠標、無線網(wǎng)卡、無線路由器等具有無線功能的設備或產(chǎn)品。
第二十七條 涉密計算機和信息系統(tǒng)應當根據(jù)其相應密級采取對應的身份鑒別、數(shù)字簽名、訪問控制、安全審計、信息加密、數(shù)據(jù)保護、介質(zhì)管理、防違規(guī)外聯(lián)等技術措施。
第二十八條 涉密計算機和信息系統(tǒng)服務器、用戶終端應當設置相關安全策略,設置原則是:關閉全部共享、與應用無關的所有端口、服務、鏈接和系統(tǒng)授權。
第二十九條 涉密計算機和信息系統(tǒng)應當采取計算機病毒防護措施,定期對計算機病毒與惡意代碼防護措施進行查驗,并及時更新計算機病毒與惡意代碼樣本庫。更新周期為:涉密信息系統(tǒng)不超過3天,單臺涉密計算機不超過15天。
第三十條 各單位應建立統(tǒng)一的補丁程序分發(fā)安裝機制,在補丁程序發(fā)布后3個月內(nèi)及時安裝,保證系統(tǒng)的安全性,對不能安裝系統(tǒng)補丁程序的非正版操作系統(tǒng),應當更換操作系統(tǒng)。
第三十一條 下列事項必須報經(jīng)信息化管理部門批準后由相關管理人員實施:
(一)因系統(tǒng)崩潰、操作系統(tǒng)損壞等原因需重新安裝操作系統(tǒng)的;
(二)更改或清除涉密計算機和信息系統(tǒng)的移動存儲介質(zhì)及外部設備安裝、使用等日志記錄的;
(三)因工作需要對涉密計算機和信息系統(tǒng)安裝、擴展、縮減、拆卸軟硬件的;
(四)因工作需要卸載、修改涉密信息系統(tǒng)的安全技術程序、管理程序的。
第三十二條 需經(jīng)常安裝的應用軟件和軟件工具,經(jīng)信息化管理部門審批后,由系統(tǒng)管理員上傳到指定的服務器或存儲在一次性刻錄光盤中,供涉密計算機和信息系統(tǒng)用戶終端下載、安裝使用。
第三十三條 公司要加強對連接國際互聯(lián)網(wǎng)計算機的管理和使用,應遵循以下原則:
(一)未經(jīng)批準,不得擅自以任何方式連接國際互聯(lián)網(wǎng);
(二)公司集中使用的國際互聯(lián)網(wǎng)計算機應當指定專人負責管理,分散使用的國際互聯(lián)網(wǎng)計算機應當明確責任人,做好上網(wǎng)記錄;
(三)應制定國際互聯(lián)網(wǎng)信息發(fā)布管理制度,明確需要通過保密審查的信息范圍和審查程序。審查一般應由擬發(fā)布信息的業(yè)務主管部門負責,業(yè)務主管部門把握不準的,由保密管理部門審查,單位業(yè)務主管領導審批;
(四)公司應采取有效技術措施,對通過互聯(lián)網(wǎng)或公共信息系統(tǒng)發(fā)送電子郵件等信息進行監(jiān)控和記錄。
第三十四條 密碼設備的使用和管理按照公司有關規(guī)定執(zhí)行。
第六章 便攜式計算機和存儲介質(zhì)保密管理
第三十五條 建立健全便攜式計算機和移動存儲介質(zhì)的管理制度和措施,根據(jù)工作實際,采取集中管理,指定專人負責。
第三十六條 涉密便攜式計算機應當拆除具有無線聯(lián)網(wǎng)功能(如無線網(wǎng)卡、藍牙、紅外等)的硬件模塊,如無法進行拆除的,不得作為涉密計算機使用。
第三十七條 攜帶涉密便攜式計算機和移動存儲介質(zhì)外出,應當履行審批手續(xù)和領用前狀態(tài)檢查;返還時,應當對外出使用情況進行技術檢查。
第三十八條 外出攜帶涉密便攜式計算機和移動存儲介質(zhì)要確保安全,全程有效控制。同時攜帶涉密便攜式計算機和移動存儲介質(zhì)時,二者應分開保管。
第三十九條 不得使用低密級便攜式計算機和移動存儲介質(zhì)存儲、處理高密級信息;不得在低密級計算機上使用高密級移動存儲介質(zhì)。
第四十條 在涉密計算機和信息系統(tǒng)內(nèi)使用的存儲介質(zhì)應當采取有效的技術控制措施,確保未經(jīng)授權的移動存儲介質(zhì)不能在涉密計算機和信息系統(tǒng)中使用。
第四十一條 在使用便攜式計算機和移動存儲介質(zhì)時不得有下列行為:
(一)在非涉密便攜式計算機和移動存儲介質(zhì)中存儲、處理涉密信息的;
(二)涉密移動存儲介質(zhì)在非涉密計算機和信息系統(tǒng)中使用的;
(三)將非涉密和個人具有存儲功能的介質(zhì)和設備接入涉密計算機和信息系統(tǒng)的;
(四)私自攜帶涉密便攜式計算機和移動存儲介質(zhì)外出的;
(五)移動存儲介質(zhì)在涉密計算機、信息系統(tǒng)和非涉密計算機、信息系統(tǒng)之間交叉使用的。
第四十二條 涉密移動存儲介質(zhì)不得降為非涉密移動存儲介質(zhì)使用。
第七章 信息安全保密管理
第四十三條 涉密計算機和信息系統(tǒng)中的涉密信息應當標明密級,密級標識不得與正文分離。標注方式應當遵行以下原則:
(一)處于起草、設計、編輯、修改過程中和已完成的電子文檔、圖表、圖形、圖像、數(shù)據(jù)等,只要內(nèi)容涉及國家秘密,在首頁應當標明密級;
(二)電子數(shù)據(jù)文件、圖表、圖形、圖像等涉密信息在首頁無法直接標注密級標識的,可將密級標識作為文件名稱的一部分進行標注;
(三)涉及國家秘密的程序、數(shù)據(jù)庫文件、數(shù)據(jù)文件、視頻文件等,在軟件運行首頁、數(shù)據(jù)視圖首頁和影像播映首頁應當標注密級。
第四十四條 涉密計算機和信息系統(tǒng)應當采取有效的技術控制措施,禁止涉密信息非授權輸出。涉密信息系統(tǒng)中涉密信息輸出點要按照最小化原則設置。指定專人負責。
第四十五條 涉密信息遠程傳輸應當按照國家有關規(guī)定采取密碼保護措施,存儲與傳輸、使用的加密措施應當與涉密信息的密級相適應,并得到國家主管部門批準。
第四十六條 密鑰的管理和使用應符合國家有關安全保密規(guī)定,并接受國家相關主管部門的指導和監(jiān)督。
第四十七條 公司應當制定完善的涉密信息備份制度,并采取有效的防盜、防災措施,保證備份的安全。
第四十八條 涉密計算機軟硬件配置情況及本身有涉密內(nèi)容的各種應用軟件等信息,不得進行公開學術交流,不得公開發(fā)表。
第八章 維修、報廢與銷毀
第四十九條 涉密計算機和信息系統(tǒng)服務器、用戶終端、外部設備、存儲介質(zhì)發(fā)生故障時,使用部門應當向信息管理部門提出維修申請,經(jīng)批準后維修。涉密計算機和信息系統(tǒng)、存儲介質(zhì)維修應當遵循以下原則:
(一)現(xiàn)場維修時,一般應當由公司內(nèi)部維修人員實施;需外部人員到現(xiàn)場維修時,維修過程中應當由有關人員旁站陪同;禁止維修人員恢復、讀取和復制被維修設備中的涉密信息;禁止通過遠程連接,對涉密計算機和信息系統(tǒng)進行維修和維護工作;
(二)需要帶離現(xiàn)場進行維修的,應當拆除所有可能存儲過涉密信息的硬件和固件。維修地點在公司內(nèi)部的,應在符合保密要求的維修場所進行;維修地點在外部的,應與維修單位和維修人員簽訂保密協(xié)議;
(三)設備中存儲過涉密信息的硬件和固件不能拆除或發(fā)生故障時,如不能保證安全的,應當按照涉密載體銷毀要求予以銷毀;確需維修時,送至具有涉密信息系統(tǒng)數(shù)據(jù)恢復資質(zhì)的單位進行維修,并由專人負責取送;
(四)信息化管理部門應當建立維修日志和檔案,并將所有涉密設備維修情況記錄在案,記錄內(nèi)容應包括維修單位、維修人、故障現(xiàn)象、保密措施、維修內(nèi)容、維修結果、監(jiān)督檢查等。
第五十條 禁止將未經(jīng)安全技術處理的退出使用的涉密計算機、涉密存儲設備贈送、出售、丟棄或改作其他用途。如將退出使用的涉密計算機、涉密存儲設備贈送、出售、丟棄或改作其他用途時,應當經(jīng)信息化管理部門審批,拆除涉密存儲部件和固件上交保密辦進行銷毀處理。
第五十一條 保密管理部門應建立報廢、銷毀涉密設備和存儲介質(zhì)臺帳。報廢、銷毀涉密設備和存儲介質(zhì)應當履行清點、登記、審批手續(xù),并將涉密設備和存儲介質(zhì)的密級、型號規(guī)格、經(jīng)辦人、采取的方法措施以及最終去向等情況記錄在案并歸檔。
第九章 場所的安全保密
第五十二條 安裝、使用涉密計算機信息系統(tǒng)的場所,應與境外機構駐地和人員住所保持相應的安全距離,并根據(jù)所處理信息的涉密程度設立必要的控制區(qū)域,未經(jīng)批準無關人員不得進入。
第五十三條 安裝、使用涉密計算機信息系統(tǒng)的場所應當每半年或根據(jù)需要,由公司保密管理部門組織安全保密技術檢查。
第五十四條 安裝、使用涉密計算機和信息系統(tǒng)的場所采取的電磁泄漏發(fā)射防護措施應當滿足bmb5-2000《涉密信息設備使用現(xiàn)場的電磁泄漏發(fā)射防護要求》,有關設備或技術措施應得到國家保密行政管理部門或國家安全部門的認可。
第五十五條 安裝、使用涉密計算機信息系統(tǒng)場所的其它物理安全要求,應符合國家有關安全保密管理要求,保密級別按系統(tǒng)中的最高密級設定。
第五十六條 涉密計算機信息系統(tǒng)的中心機房和密碼機房應列為保密要害部位進行管理,建立健全相應安全保密制度和采取有效的出入控制措施。
第十章 監(jiān)督管理
第五十七條 對違反本辦法使用涉密信息系統(tǒng)的部門和個人,保密辦責令其限期整改。對拒不整改的,停止使用,由單位給予處罰。
第五十八條 保密管理部門和信息化管理部門要經(jīng)常對涉密計算機和信息系統(tǒng)、存儲介質(zhì)的使用、管理情況進行檢查。對違反保密管理規(guī)定的,及時做出處理。造成失泄密的,要給予相關責任人行政處分和經(jīng)濟處罰,情節(jié)嚴重的,應依據(jù)國家有關法律追究有關領導和直接責任人的法律責任。
第五十九條 發(fā)現(xiàn)涉密信息設備、移動存儲介質(zhì)遺失、被盜,在全力查找、追繳的同時,報告上級保密管理部門和當?shù)乇C苄姓芾聿块T,并采取積極有效的措施減少失泄密隱患。
第十一章 附 則
第六十條 本辦法由公司保密辦負責解釋。
第六十一條 本辦法自_____年__月___日起執(zhí)行。