2022年计算机和信息系统安全保密管理办法.docx

《2022年计算机和信息系统安全保密管理办法.docx》由会员分享，可在线阅读，更多相关《2022年计算机和信息系统安全保密管理办法.docx（13页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、2022年计算机和信息系统安全保密管理办法 第一章? 总? 则? 第一条? 为确保公司计算机和信息系统的运行平安，确保国家隐私平安，依据国家有关规定和要求，结合工作实际状况，制定本方法。? 其次条? 公司计算机和信息系统平安保密工作遵循“主动防范、突出重点、依法管理”的方针，切实加强领导，明确管理职责，落实制度措施，强化技术防范，不断提高信息平安保障实力和水平。? 其次章? 组织机构与职责? 第三条? 计算机和信息系统平安保密管理工作贯彻“谁主管，谁负责”、“谁运用，谁负责”的原则，实行统一领导，分级管理，分工负责，有效监督。? 第四条? 保密委员会全面负责计算机和信息系统平安保密工作的组织领

2、导。主要职责是：? （一）审订计算机和信息系统平安保密建设规划、方案；? （二）探讨解决计算机和信息系统平安保密工作中的重大事项和问题；? （三）对发生计算机和信息系统泄密事务及严峻违规、违纪行为做出处理确定。? 第五条? 保密管理部门负责计算机和信息系统的平安保密指导、监督和检查。主要职责是：? （一）指导计算机和信息系统平安保密建设规划、方案的编制及实施工作；? （二）监督计算机和信息系统平安保密管理制度、措施的落实；? （三）组织开展计算机和信息系统平安保密专项检查和技术培训；? （四）参加计算机和信息系统平安保密的风险评估、分析及平安保密策略的制定工作。? 第六条? 信息化管理部门负责

3、计算机和信息系统的平安保密管理工作。主要职责是：? （一）负责计算机和信息系统平安保密建设规划、方案、制度的制订和实施；? （二）负责计算机和信息系统平安保密技术措施的落实及运行维护管理；? （三）负责建立、管理信息设备台帐；? （四）负责计算机和信息系统平安保密策略的制定、调整、更新和实施；? （五）定期组织开展风险评估、风险分析，提出相应的平安措施建议，并编制平安保密评估报告；? （六）开展计算机和信息系统平安保密技术检查工作；? （七）涉及计算机和信息系统有关事项的审查、审批；? （八）计算机和信息系统平安保密的日常管理工作。? 第七条? 公司应结合工作实际设定涉密计算机和信息系统的系统

4、管理员、平安保密管理员、平安审计员，分别负责涉密计算机和信息系统的运行、平安保密和平安审计工作。“三员”的权限设置应当相互独立、相互制约，平安保密管理员与平安审计员不得由一人兼任。? 没有涉密信息系统，只运用单台涉密计算机的单位，应当配备平安保密管理员。? 第八条? 涉密计算机和信息系统管理人员应当符合以下要求：? （一）符合国家及集团公司对涉密人员的要求；? （二）熟识计算机和信息系统各项平安保密法律、法规和标准；? （三）娴熟驾驭有关专业学问和业务技能；? （四）通过国家有关部门的上岗培训，并获得上岗资格。? 第三章? 涉密信息系统的建设管理? 第九条? 建设涉密信息系统必需依照国家有关规

5、定、标准和规范进行，平安保密设施必需与涉密信息系统同步规划、同步建设、同步运行。? 第十条? 建设涉密信息系统，应当在方案设计前，由保密委员会依据所建系统拟涉及国家隐私的最高密级确定爱护等级。? 第十一条? 涉密信息系统建设方案的设计应当选择具有相应涉密资质的单位担当，建设方案根据建设系统的对应密级进行定密和管理。建设方案完成后，由保密办报请上级保密管理部门组织评审并备案。? 第十二条? 涉密信息系统建设过程中，必需实行严格的平安保密管理措施。系统集成、综合布线、系统服务、系统询问、软件开发、工程监理等，应当选择具有相应资质的单位担当，并明确提出保密要求，签订保密协议。涉及国家隐私的工程资料应

6、当依据须要限制发放，并做出登记。工程完工后，应当按登记如数收回。施工现场应当实行措施，禁止无关人员进入。? 第十三条? 涉密信息系统所采纳的平安保密产品，必需选用通过国家相关主管部门授权测评机构检测合格的产品，并应当查验产品合格证书、产品检测报告中所描述的适用范围及其有效期。? 第十四条? 涉密信息系统的测评工作统一由集团公司保密办托付国家涉密信息系统测评中心兵器分中心实施。? 第十五条? 涉密信息系统经测评完成，取得涉密信息系统检测评估报告后，由上级保密管理部门向集团公司保密办正式提交涉及国家隐私的信息系统投入运用申请书，并经集团公司保密办审核批准后，报相关保密行政管理部门审批，领取涉及国家

7、隐私的信息系统运用许可证。? 第十六条? 新建涉密信息系统在投入运行前，应当经地方保密工作部门审批，在未取得涉及国家隐私的信息系统运用许可证前，不得投入运用。在正式运行之前，不得存储和处理国家隐私信息。? 第十七条? 涉密信息系统在设计、评审、施工及验收过程中发生失泄密事务或因有关工程信息资料泄露导致涉密信息系统防护措施失效、减弱的，属于建设单位责任的，由建设单位担当；属于其他环节责任的，由相关环节负责人负责。? 第四章? 信息设备台帐与标识管理? 第十八条? 信息化管理部门应当依据实际，建立信息设备总台帐，内设机构或部门应当相应建立二级台帐。信息设备台帐可按以下类别分类：? （一）计算机，包

8、括服务器、用户终端；? （二）网络设备和外部设备，包括交换机、路由器、网关、网闸、VPN设备、打印机、制图（绘图）机、扫描仪、光盘刻录机（外接式）等；? （三）平安保密产品，包括计算机病毒防护产品，密码产品及身份鉴别、访问限制、平安审计、入侵检测、边界防护和电磁泄漏放射防护等产品；? （四）移动存储介质。? 第十九条? 各类台帐应当包括以下内容：? （一）计算机管理台帐：部门、责任人、名称型号、密级或用途、操作系统安装日期、硬盘序列号、IP地址、MAC地址、运用状况等；? （二）网络设备和外部设备管理台帐：部门、责任人、名称、型号、运用状况等；? （三）平安保密产品管理台帐：责任人、名称、型号

9、、检测证书名称和编号、购置时间、运用状况等；? （四）移动存储介质管理台帐：部门、责任人、名称、编号、序列号、密级或用途、运用状况等。? 其次十条? 信息设备台帐管理工作实行专人负责，动态管理，并建立、健全信息设备从配置到销毁全过程的报告、审批和定期核验机制，确保信息设备台帐能够适时、精确的反映信息设备的客观状况。? 其次十一条? 公司应对信息设备进行标识管理。设备标识由公司统一制作。? 标识内容应与台帐信息的主要内容相符，并保持完好。不得有意损毁、涂改、撕揭或擦除。计算机和信息系统中的服务器、用户终端、外部设备、存储介质、平安保密产品等，应当依据其处理和存储信息的最高密级或主要用途进行标识。

10、标识应当粘贴在明显位置，并与涉密信息的存储部件相关联。? 移动存储介质如无法粘贴标识的，可以实行不行擦除的方式标注。? 第五章? 计算机和信息系统的保密管理? 其次十二条? 计算机和信息系统的运用管理必需遵守如下规定：? （一）严禁运用涉密计算机和信息系统连接国际互联网或公共信息网络；? （二）严禁运用连接国际互联网或公共信息网络的计算机及其它非涉密计算机存储、处理涉密信息；? （三）严禁将涉密计算机接入内部非涉密网络。? 其次十三条? 涉密信息系统经平安保密技术测评，并正式投入运行后，如发生下列变更事项时，应当刚好报告上级保密管理部门和负责审批的保密行政管理部门：? （一）涉密等级；? （二

11、）连接范围；? （三）环境设施；? （四）主要应用；? （五）平安保密责任管理单位。? 由保密行政管理部门确定是否须要重新进行测评和审批。? 其次十四条? 外部信息导入涉密计算机和信息系统的，应当通过中间转换机或经过国家相关部门批准的平安牢靠的信息交换措施进行。运用中间转换机转换信息的，中间转换机应当按涉密和非涉密分别设立，并严格根据相关标准的规定程序进行操作。? 其次十五条? 涉及涉密计算机和信息系统的设备，应当由单位统一选配，统一安装，严格限制，规范运用。? 其次十六条? 禁止在涉密计算机和信息系统中运用无线键盘、无线鼠标、无线网卡、无线路由器等具有无线功能的设备或产品。? 其次十七条?

12、涉密计算机和信息系统应当依据其相应密级实行对应的身份鉴别、数字签名、访问限制、平安审计、信息加密、数据爱护、介质管理、防违规外联等技术措施。? 其次十八条? 涉密计算机和信息系统服务器、用户终端应当设置相关平安策略，设置原则是：关闭全部共享、与应用无关的全部端口、服务、链接和系统授权。? 其次十九条? 涉密计算机和信息系统应当实行计算机病毒防护措施，定期对计算机病毒与恶意代码防护措施进行查验，并刚好更新计算机病毒与恶意代码样本库。更新周期为：涉密信息系统不超过3天，单台涉密计算机不超过15天。? 第三十条? 各单位应建立统一的补丁程序分发安装机制，在补丁程序发布后3个月内刚好安装，保证系统的平

13、安性，对不能安装系统补丁程序的非正版操作系统，应当更换操作系统。? 第三十一条? 下列事项必需报经信息化管理部门批准后由相关管理人员实施：? （一）因系统崩溃、操作系统损坏等缘由需重新安装操作系统的；? （二）更改或清除涉密计算机和信息系统的移动存储介质及外部设备安装、运用等日志记录的；? （三）因工作须要对涉密计算机和信息系统安装、扩展、缩减、拆卸软硬件的；? （四）因工作须要卸载、修改涉密信息系统的平安技术程序、管理程序的。? 第三十二条 需常常安装的应用软件和软件工具，经信息化管理部门审批后，由系统管理员上传到指定的服务器或存储在一次性刻录光盘中，供涉密计算机和信息系统用户终端下载、安装

14、运用。? 第三十三条 公司要加强对连接国际互联网计算机的管理和运用，应遵循以下原则：? （一）未经批准，不得擅自以任何方式连接国际互联网；? （二）公司集中运用的国际互联网计算机应当指定专人负责管理，分散运用的国际互联网计算机应当明确责任人，做好上网记录；? （三）应制定国际互联网信息发布管理制度，明确须要通过保密审查的信息范围和审查程序。审查一般应由拟发布信息的业务主管部门负责，业务主管部门把握不准的，由保密管理部门审查，单位业务主管领导审批；? （四）公司应实行有效技术措施，对通过互联网或公共信息系统发送电子邮件等信息进行监控和记录。? 第三十四条? 密码设备的运用和管理根据公司有关规定执

15、行。? 第六章? 便携式计算机和存储介质保密管理? 第三十五条? 建立健全便携式计算机和移动存储介质的管理制度和措施，依据工作实际，实行集中管理，指定专人负责。? 第三十六条? 涉密便携式计算机应当拆除具有无线联网功能（如无线网卡、蓝牙、红外等）的硬件模块，如无法进行拆除的，不得作为涉密计算机运用。? 第三十七条? 携带涉密便携式计算机和移动存储介质外出，应当履行审批手续和领用前状态检查；返还时，应当对外出访用状况进行技术检查。? 第三十八条? 外出携带涉密便携式计算机和移动存储介质要确保平安，全程有效限制。同时携带涉密便携式计算机和移动存储介质时，二者应分开保管。? 第三十九条? 不得运用低

16、密级便携式计算机和移动存储介质存储、处理高密级信息；不得在低密级计算机上运用高密级移动存储介质。? 第四十条? 在涉密计算机和信息系统内运用的存储介质应当实行有效的技术限制措施，确保未经授权的移动存储介质不能在涉密计算机和信息系统中运用。? 第四十一条? 在运用便携式计算机和移动存储介质时不得有下列行为：? （一）在非涉密便携式计算机和移动存储介质中存储、处理涉密信息的；? （二）涉密移动存储介质在非涉密计算机和信息系统中运用的；? （三）将非涉密和个人具有存储功能的介质和设备接入涉密计算机和信息系统的；? （四）私自携带涉密便携式计算机和移动存储介质外出的；? （五）移动存储介质在涉密计算机

17、、信息系统和非涉密计算机、信息系统之间交叉运用的。? 第四十二条? 涉密移动存储介质不得降为非涉密移动存储介质运用。? 第七章? 信息平安保密管理? 第四十三条? 涉密计算机和信息系统中的涉密信息应当标明密级，密级标识不得与正文分别。标注方式应当遵行以下原则：? （一）处于起草、设计、编辑、修改过程中和已完成的电子文档、图表、图形、图像、数据等，只要内容涉及国家隐私，在首页应当标明密级；? （二）电子数据文件、图表、图形、图像等涉密信息在首页无法干脆标注密级标识的，可将密级标识作为文件名称的一部分进行标注；? （三）涉及国家隐私的程序、数据库文件、数据文件、视频文件等，在软件运行首页、数据视图

18、首页和影像播映首页应当标注密级。? 第四十四条? 涉密计算机和信息系统应当实行有效的技术限制措施，禁止涉密信息非授权输出。涉密信息系统中涉密信息输出点要根据最小化原则设置。指定专人负责。? 第四十五条? 涉密信息远程传输应当根据国家有关规定实行密码爱护措施，存储与传输、运用的加密措施应当与涉密信息的密级相适应，并得到国家主管部门批准。? 第四十六条? 密钥的管理和运用应符合国家有关平安保密规定，并接受国家相关主管部门的指导和监督。? 第四十七条? 公司应当制定完善的涉密信息备份制度，并实行有效的防盗、防灾措施，保证备份的平安。? 第四十八条? 涉密计算机软硬件配置状况及本身有涉密内容的各种应用

19、软件等信息，不得进行公开学术沟通，不得公开发表。? 第八章? 修理、报废与销毁? 第四十九条? 涉密计算机和信息系统服务器、用户终端、外部设备、存储介质发生故障时，运用部门应当向信息管理部门提出修理申请，经批准后修理。涉密计算机和信息系统、存储介质修理应当遵循以下原则：? （一）现场修理时，一般应当由公司内部修理人员实施；需外部人员到现场修理时，修理过程中应当由有关人员旁站陪伴；禁止修理人员复原、读取和复制被修理设备中的涉密信息；禁止通过远程连接，对涉密计算机和信息系统进行修理和维护工作；? （二）须要带离现场进行修理的，应当拆除全部可能存储过涉密信息的硬件和固件。修理地点在公司内部的，应在符

20、合保密要求的修理场所进行；修理地点在外部的，应与修理单位和修理人员签订保密协议；? （三）设备中存储过涉密信息的硬件和固件不能拆除或发生故障时，如不能保证平安的，应当根据涉密载体销毁要求予以销毁；确需修理时，送至具有涉密信息系统数据复原资质的单位进行修理，并由专人负责取送；? （四）信息化管理部门应当建立修理日志和档案，并将全部涉密设备修理状况记录在案，记录内容应包括修理单位、修理人、故障现象、保密措施、修理内容、修理结果、监督检查等。? 第五十条? 禁止将未经平安技术处理的退出访用的涉密计算机、涉密存储设备赠送、出售、丢弃或改作其他用途。如将退出访用的涉密计算机、涉密存储设备赠送、出售、丢弃

21、或改作其他用途时，应当经信息化管理部门审批，拆除涉密存储部件和固件上交保密办进行销毁处理。? 第五十一条? 保密管理部门应建立报废、销毁涉密设备和存储介质台帐。报废、销毁涉密设备和存储介质应当履行清点、登记、审批手续，并将涉密设备和存储介质的密级、型号规格、经办人、实行的方法措施以及最终去向等状况记录在案并归档。? 第九章? 场所的平安保密? 第五十二条? 安装、运用涉密计算机信息系统的场所，应与境外机构驻地和人员居处保持相应的平安距离，并依据所处理信息的涉密程度设立必要的限制区域，未经批准无关人员不得进入。? 第五十三条? 安装、运用涉密计算机信息系统的场所应当每半年或依据须要，由公司保密管

22、理部门组织平安保密技术检查。? 第五十四条? 安装、运用涉密计算机和信息系统的场所实行的电磁泄漏放射防护措施应当满意BMB5-2000涉密信息设备运用现场的电磁泄漏放射防护要求，有关设备或技术措施应得到国家保密行政管理部门或国家平安部门的认可。? 第五十五条? 安装、运用涉密计算机信息系统场所的其它物理平安要求，应符合国家有关平安保密管理要求，保密级别按系统中的最高密级设定。? 第五十六条? 涉密计算机信息系统的中心机房和密码机房应列为保密要害部位进行管理，建立健全相应平安保密制度和实行有效的出入限制措施。? 第十章? 监督管理? 第五十七条? 对违反本方法运用涉密信息系统的部门和个人，保密办

23、责令其限期整改。对拒不整改的，停止运用，由单位赐予惩罚。? 第五十八条? 保密管理部门和信息化管理部门要常常对涉密计算机和信息系统、存储介质的运用、管理状况进行检查。对违反保密管理规定的，刚好做出处理。造成失泄密的，要赐予相关责任人行政处分和经济惩罚，情节严峻的，应依据国家有关法律追究有关领导和干脆责任人的法律责任。? 第五十九条? 发觉涉密信息设备、移动存储介质遗失、被盗，在全力查找、追缴的同时，报告上级保密管理部门和当地保密行政管理部门，并实行主动有效的措施削减失泄密隐患。? 第十一章? 附? 则? 第六十条? 本方法由公司保密办负责说明。? 第六十一条? 本方法自XXXXX年XX月XXX日起执行。? ? 第13页 共13页第 13 页 共 13 页第 13 页 共 13 页第 13 页 共 13 页第 13 页 共 13 页第 13 页 共 13 页第 13 页 共 13 页第 13 页 共 13 页第 13 页 共 13 页第 13 页 共 13 页第 13 页 共 13 页