公司涉密通信、计算机信息系统及办公自动化保密管理制度.doc

涉密通信、计算机信息系统涉密通信、计算机信息系统 及办公自动化保密管理制度及办公自动化保密管理制度 拟制： - 审核： - 批准： - 2018-02-28 发布发布 2018- 02-29 施行施行 -公司 发布 涉密通信、计算机信息系统及办公自动化保密管理制度涉密通信、计算机信息系统及办公自动化保密管理制度 1 主要内容与适用范围主要内容与适用范围 本文规定了本公司涉密通信、计算机信息系统及办公自动化安全保密管理 机构、职责、工作程序等内容。 本文适用于本公司区域内所有涉密通信、计算机信息系统及办公自动化的 保密管理。 2 引用文件引用文件 中华人民共和国保守国家秘密法 （1989 年 5 月 1 日起施行） 计算机信息系统保密管理暂行规定 （1998 年 2 月 26 日起施行） 涉及国家秘密的通信、办公自动化和计算机信息系统审批暂行办法 （1998 年 10 月 27 日起施行） 计算机信息系统保密管理暂行规定 （1998 年 2 月 26 日起施行） 安徽省涉密移动存储介质保密管理暂行办法 （皖国保200613 号文件） 手机使用保密管理规定（试行） （中保发200529 号文件） 关于加强手机使用保密管理的通知 （中保发20023 号文件） 3 总则总则 3.1 本标准所称的涉密计算机信息系统是指由计算机及其配套的设备、设施 （含网络）构成的，按一定的应用目标和规则对信息进行采集、加工、存储、 传输、检索、应用等处理的人机系统。 3.2 任何部门和个人不得危害涉密计算机信息系统的安全，不得利用涉密计算 机信息系统危害国家安全、泄露国家秘密。 3.3 计算机（含便携机，下同）和移动存储介质（U 盘、移动硬盘、软盘、光 盘，下同）的安全管理，坚持“谁使用，谁负责”的原则。 3.4 连接互联网的计算机坚持“谁上网，谁负责”的原则，严禁在公共网络上 处理、存储和传输国家的秘密，做到“涉密事项不上网，上网事项不涉密” 。 3.5 严禁使用非涉密计算机和非涉密存储介质处理、存储、传输国家秘密信息。 3.6 使用涉密计算机信息系统的各部门领导对本部门计算机信息系统的保密管 理负责，并落实各项管理办法，进行日常监督、检查，发现泄密事件及时汇报。 4 职责职责 4.1 组织管理机构及职责组织管理机构及职责 4.1.1 保密办公室 4.1.2 保密办公室是涉密计算机信息系统安全保密工作的主管部门，负责全公 司涉密计算机信息系统的安全保密工作。 4.1.3 负责审定涉密计算机信息系统建设和安全运行的总体规划,并负责组织好 涉密计算机信息系统安全保密法律、法规的宣传；检查、监督涉密计算机信息 系统产品的购置及维修。 4.1.4 负责组织全公司机算机信息系统、网络系统、便携式计算机和存储介质 的备案管理工作。 4.1.5 负责组织修订全公司计算机信息系统、网络系统的保密规章制度，并负 责监督、检查其落实情况。 4.1.6 加强对计算机网络的管理和监控，严防非法入侵、越权使用信息资源， 防止各类事故的发生和泄密现象，确保网络安全正常运行。 4.1.7 加强对计算机网络与信息安全保密的监督、检查和指导工作，利用各种 技术手段检查有关违反网络安全保密管理的违纪、违规行为，积极配合有关部 门查处计算机及网络犯罪、泄密的工作。 4.1.8 每月对涉密计算机密码更改情况进行检查，并对检查结果做出小结。 4.2 计算机系统管理员职责计算机系统管理员职责 4.2.1 组织实施全公司计算机信息系统的安全保密工作。 4.2.2 做好系统的日常运行和维护工作。 4.2.3 对涉密计算机信息系统安全保密方面的薄弱环节进行评估，并提出整改 措施。 4.2.4 升级、更新网络和单机防杀毒系统，确保杀毒软件的有效性，及时发现、 清除计算机病毒。 4.2.5 涉密计算机采用密码登陆的方式。 4.2.6 承办指定部门的计算机信息系统保密工作的具体事宜。 4.2.7 做好计算机及其相关设备和信息的备案登记工作。 4.2.8 检查和记录计算机设备运行的异常情况，并及时维护。 4.2.9 协助计算机使用人安装工作需要的软件和硬件。 4.2.10 对计算机管理员口令应严格保密。 4.3 涉密计算机使用人员职责涉密计算机使用人员职责 4.3.1 严格遵守公司计算机信息系统安全保密管理规定，涉密计算机管理实行 责任人负责制。 4.3.2 严禁将涉密计算机交给外单位人员使用、携带、保管并严禁将涉密设备 作为私用。 4.3.3 涉密计算机中的涉密文件应保存在带有标识的固定文件夹中。 4.3.4 不得利用涉密计算机信息系统越权查阅国家秘密。 4.3.5 涉密计算机不得在无人使用的情况下长时间开机。 4.3.6 使用涉密计算机时必须实行严格的口令管理制度。 4.3.7 操作人员调离本岗位后，需要更换管理口令，并做好记录。 5 涉密计算机信息系统的管理涉密计算机信息系统的管理 5.1 信息系统的管理信息系统的管理 5.1.1 任何部门和个人不得危害计算机信息系统的安全，不得利用计算机信息 系统危害国家利益、泄露国家秘密。 5.1.2 涉密信息系统建设及今后的整改方案应报送上级保密主管部门审批，待 批复后方可实施。 5.1.3 处理、存储国家秘密信息的计算机统称为涉密计算机。本公司计算机分 为涉密计算机（秘密级计算机） 、非涉密计算机。 5.1.4 本公司涉密计算机采取单机管理，不得私自联入互联网或联机操作。 5.1.5 涉密计算机操作系统一律由涉密计算机信息系统管理人员安装，其他人 员不得干预或另行安装。 5.1.6 涉密计算机必须有明确标识，涉密计算机的使用应确定责任人，更换责 任人时需及时登记变更信息，并在保密办备案。 5.1.7 涉密计算机内的所有涉密信息必须在有防护措施的涉密存储介质中加密 备份，同时在涉密计算机中采取加密存储，口令密码控制，密码要求组合复杂， 不易被猜测，一般应是大小写字母、数字组合；口令不得小于 8 位，并设置屏 幕保护，保护时间不得大于 5 分钟。同时密码应定期更换，更换周期不得超过 一个月。 5.1.8 涉密计算机信息系统必须装有防病毒系统，并定期升级。 5.2 场地与设施的物理安全管理场地与设施的物理安全管理 5.2.1 涉密计算机机房应配备有报警设备，机房或附近应配备防火器材。 5.2.2 为了防止或减少电磁辐射泄密，涉密计算机均采用液晶显示屏。 5.2.3 未经批准，外来人员和无关人员不得进入涉密信息处理场所。 5.2.4 存储过涉密信息的计算机或媒体的维修，应采取措施保证秘密信息不被 泄露，存储秘密信息的计算机媒体不能降低密级使用，废弃的涉密计算机硬盘、 U 盘、移动硬盘，由保密办回收、登记销毁。 5.3 计算机涉密信息的密级标识计算机涉密信息的密级标识 5.3.1 处理、存储涉密信息的计算机及媒体应按所存储、处理信息的最高密级 标明密级，并按照相应密级等级的管理办法进行管理。 5.3.2 处理、存储国家秘密信息的计算机必须在设备明显部位贴有统一的密级 标识。 5.3.3 涉密电子文档应按照国家秘密载体保密管理制度的要求对文档进行 标识，标识方法为文件首页文件标题左上角和文件名称两处，并放在密级文件 夹中，密级标识不能与正文分离。 5.3.4 计算机信息系统打印输出的涉密文件，应当按相应密级的文件进行管理、 登记。 5.4 便携机及移动存储介质的保密管理便携机及移动存储介质的保密管理 5.4.1 我公司便携机不作为涉密计算机，严禁便携机存储任何涉密信息。 5.4.2 专门用于存储涉密信息的移动存储介质即为涉密存储介质。严禁在非涉 密移动存储介质中存储涉密信息。携带便携机出公司时需经保密办公室审查， 并在“携带便携机进出公司保密检查表”上登记后方可离开公司，返回公司时 需到保密办公室在“携带便携机进出公司保密检查表”上登记。 5.4.3 秘密级信息必须加密存储。存储介质需统一编制涉密号码，贴有统一标 识后方可使用，并按相应密级使用。 5.4.4 涉密移动存储介质应按照相应密级标准妥善管理。 5.4.5 有关人员在集中存放涉密电子文档的部门、部位查阅、复制有关涉密信 息时应视同查阅、复制国家秘密载体，按国家秘密载体保密管理制度的有 关规定执行。 5.4.6 携带涉密移动存储介质出公司时，必须填写“携带涉密存储介质出公司 审批表”(见附表二)，由本部门领导审核，并经保密办公室审查并备案后方可 离开公司，返回公司后需再次检查并备案。 5.4.7 需要携带涉密存储介质出国（出境） ，必须经上级部门批准，出国人员必 须严格遵守国家安全保密制度，便携机及涉密移动存储介质应始终处于携带者 的有效控制之中，谨防遗失。 5.4.8 严禁携带并使用私有便携机及移动存储介质来处理和存储国家秘密信息 和公司商业秘密。 5.4.9 外来（含境外）人员原则上不得携带便携机入公司，如确因工作需要带 入公司办公区的，须填写“外来人员携带便携机进入公司审批表”(见附表三)， 经接待部门领导同意，报保密办公室审查，保密委员会审批，并在公司内有关 人员的全程陪同下使用。 5.4.10 本公司人员离岗、离职前，应清退其保存或使用的移动存储介质。 5.4.11 保密办负责对使用便携式计算机和移动存储介质的用户进行备案登记。 5.4.12 对保管和使用便携机及存储介质过程中发生安全事件时，当事人需要立 即以书面形式报告公司保密办公室，保密办公室须及时向保密委员会汇报，并 根据情节做出相应的调查和补救措施。 5.5 涉密计算机维修管理涉密计算机维修管理 5.5.1 涉密计算机一般情况下指定专人维修。 5.5.2 外来人员协助在公司内维修涉密计算机时，本公司人员需全过程在场。 5.5.3 涉密计算机出现较大问题需要离开公司维修时，需经过保密办公室批准， 到上级保密主管部门指定的场所，并在保密办公室登记。 5.5.4 涉密计算机硬盘无法修复时，应备案登记，交由保密办统一进行销毁。 5.6 计算机涉密存储介质的报废销毁计算机涉密存储介质的报废销毁 5.6.1 计算机涉密存储器介质损坏时不得自行销毁。 5.6.2 涉密存储介质的销毁，应填写“秘密载体销毁审批表”(见 BM/BL007- 2008 附表三)，经所在部门领导审核、保密办公室审批后进行。 5.6.3 涉密存储介质的销毁采用物理或化学的方式进行销毁，确保信息无法还 原。 5.6.4 报废涉密存储介质时需要办理变更手续，在未销毁前，一律由保密办公 室统一保管。 6 非涉密计算机的管理非涉密计算机的管理 6.1 严禁私自将计算机接入互联网，需接入互联网的计算机必须填写“上国际 互联网申请表”(见附表四)，经本部门领导和保密委员会批准后，到保密办公 室办理上国际互联网手续，并填写互联网接入承诺书(见附件一)。 6.2 连接互联网的计算机不得与涉密计算机相连，必须实行物理隔离，也不得 在任何情况下存储、处理和传递国家秘密信息。 6.3 保密办公室负责对接入互联网计算机进行定期和不定期审查和监督。 6.4 连接到互联网计算机必须安装正版防病毒软件和防火墙，并做到经常查杀 毒并升级病毒库。 6.5 操作过程中对来历不明邮件的附件不要打开，对来历不明的软件也不要使 用。 6.6 接入互联网的用户和部门发现国家秘密泄露或可能泄露时，应当立即向保 密办报告并提交主管公司领导。 6.7 每年对公司所有计算机（重点为涉密计算机）至少进行两次专项检查。 7 计算机信息系统信息发布的审查计算机信息系统信息发布的审查 7.1 在互联网等外网上发布公司信息的责任单位为综合部，其他部门不得擅自 在互联网等外网上发布。在互联网等外网上发布信息时应严格遵守保密制度， 填写“外网非涉密信息发布审查表”(见附表五)履行审批手续，不得涉及国家 和公司秘密信息。 7.2 公司员工在公司外互联网各类网站、BBS 发布信息时一律不得涉及国家和 公司秘密。 7.3 公司保密办公室负责对计算机信息系统信息发布做不定期检查。 8 计算机病毒防治管理计算机病毒防治管理 8.1 公司内每台计算机均需通过正版介质安装病毒防护系统，特殊情况下(如系 统应急维护时)，可以使用其它病毒防护系统。 8.2 连接互联网的计算机必须安装正版病毒防护系统。 8.3 计算机信息安全保密管理员负责对网络版杀毒系统定期升级并对网络病毒 实行实时 监控和监督。 8.4 计算机信息安全保密管理员负责及时提供系统安全补丁和病毒专杀程序。 8.5 计算机信息安全保密管理员和各部门兼职系统安全员负责通过网络做好病 毒防护宣传工作。 9 通信、办公自动化保密管理通信、办公自动化保密管理 9.1 密件邮寄，必须统一由公司办公室通过机要局邮寄；私人通信不得涉及国 家秘密。 9.2 严禁通过无保密保障措施的通讯设备(如无绳电话、未加密固定电话、国际 互联网、电子邮件、明码电报等)传递国家秘密。 9.3 严禁在使用手机时谈论国家秘密；不得将手机带入涉及国家秘密会议的会 场，因特殊原因带入会场的手机应取出电池，并且会场应使用移动通信干扰器； 涉密单位(部门)领导和重要涉密岗位的工作人员不得使用他人赠予的手机；严 禁持带有摄像、录音功能的手机进入工作区。 9.4 涉密复印机由保密办公室指定专人负责保管使用并明确其保密职责。 9.5 非涉密的复印机、传真机须由使用管理部门指定专人负责，严禁复印、传 递密件。 9.6 复印纸介质密件必须按照国家秘密载体保密管理制度有关规定履行审 批手续，由公司办公室指定专人在指定的复印机上复印。经过批准复印的密件 应按规定编号、登记和签收，等同原件管理，并到保密办公室备案。 10涉密存储介质的销毁涉密存储介质的销毁 10.1 计算机涉密存储介质损坏时不得自行销毁， 10.2 涉密存储介质的销毁，应填写“秘密载体销毁审批表” ，经部门领导审核 同意，交公司保密办公室审批，并履行清点、签字手续。 10.3 涉密存储介质的销毁由不少于两人共同执行，并采取物理破坏的方式， 确保信息无法还原。 10.4 涉密存储介质在未销毁前一律由保密办公室统一保管。严禁将涉密存储 介质私自销毁或作为废品出售。 11 相关文件相关文件 BM/BL007-2008 国家秘密载体保密管理制度 附表一： 计算机保密管理检查记录表计算机保密管理检查记录表 检查日期： 年 月 日 No： 部门 检查数量 编号及 责任人 操作系统及开机、屏幕保护密码设置： 杀毒软件及更新、系统补丁： 物理隔离： 非涉密计算机是否涉密： 涉密计算机涉密文件标识： 涉密计算机共享关闭： 秘密级文件加密储存： 移动介质： 便携式计算机： 检 查 内 容 上国际互联网的计算机： 检查人 签 字： 陪同人员签字： 备注 附表二： 携带涉密存储介质出公司审批表携带涉密存储介质出公司审批表 No： 部门携带人 保密编号 出司 日期 年 月 日 一一 年 月 日 是否存储 涉密信息 密 级 内容 外出地点 和 事 由 部门领导 审核意见 签字： 年 月 日 保密办公 室计算机 管理人员 审查意见 签字： 年 月 日 保密委员 会领导审 批意见 签字： 年 月 日 回公司审 核意见 计算机管理人员： 年 月 日 备 注 1、携带涉密存储介质离开公司使用须经部门领导审核，保密办公室审查备案。 2、携带涉密存储介质出国（出境）须经上级部门审批。 3、携带人回来后须通知保密办公室，经保密办公室审核并记录回司信息。 附表三： 外来参观人员携带便携机进入公司审批表外来参观人员携带便携机进入公司审批表 No： 单 位 姓 名日 期 公司陪同人员所属部门 入 司 工作内容 领导部门 审核意见 签字： 年 月 日 保密办公室 审核意见 签字： 年 月 日 保密委员会 领导 审批意见 签字： 年 月 日 备 注 1、外来参观人员携带便携机进入公司使用须经部门领导审核，保密办公 室审查、保密委员会审批、保密办公室备案。 2、外来参观人员携带便携机必须有陪同人员监督，不得接入公司内网。 1、境外人员携带便携机进入公司须经总经理审批。 附表四： 上国际互联网申请表上国际互联网申请表 No： 部 门保密负责人 计算机号其他使用人 主要用途 领导部门 审核意见 签字： 年 月 日 保密委员 会领导 审批意见 签字： 年 月 日 备 注 1、上国际互联网计算机严禁接入公司内网。 2、上国际互联网计算机严禁处理、存储、传输涉密信息。 附表五： 外网及其他非涉密信息发布审查表外网及其他非涉密信息发布审查表 No： 部 门 承办人日 期 发布信息 摘要 部门领导 审查意见 签字： 年 月 日 公司分管 领导 审批意见 签字： 年 月 日 备 注 1、本表用于各部门人员在公司内的外网及其他途径上发布涉及公司的非涉密 信息时的审查。 2、本表报保密办公室备案。 附件一： 互联网接入承诺书互联网接入承诺书 N0： 一、坚决执行“谁上网、谁负责”的原则。 二、在公共网络上不得处理、存储和传输国家的秘密信息，严格做到“涉密 事项不上网、上网事项不涉密” 。 三、不利用公共信息网从事危害国家安全、泄露国家秘密，商业秘密和工作 秘密等违法违纪活动。 四、确保所使用的入网计算机不接入公司涉密计算机。 五、上网查询相关业务工作时，自觉做好上网登记记录。 六、他人需上网查询相关业务工作时，监督其做好上网登记记录。 七、要认真履行监督责任，落实制度和规定，并自觉接受保密宣传教育，提 高保密观念，增强防范意识。 八、计算机系统出现运行异常时立即报告公司计算机信息系统安全保密管理 员。 九、一旦发生国家秘密泄露或可能泄露时，立即向保密办公室报告。 管理部门： 承诺人： 年 月 日 注：该承诺书一式两份，保密办公室和承诺人各执一份。