2022年2022年计算机和信息系统安全保密管理办法 .pdf

《2022年2022年计算机和信息系统安全保密管理办法 .pdf》由会员分享，可在线阅读，更多相关《2022年2022年计算机和信息系统安全保密管理办法 .pdf（20页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、编号： SM-ZD-29184 编制： _ 审核： _ 批准： _ 计算机和信息系统安全保密管理办法Through the process agreement to achieve a unified action policy for different people, so as to coordinate action, reduce blindness, and make the work orderly.本文档下载后可任意修改名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第

2、1 页，共 20 页 - - - - - - - - - FS 精编管理制度| MODEL SYSTEM 第2页/总20页计算机和信息系统安全保密管理办法简介：该制度资料适用于公司或组织通过程序化、标准化的流程约定，达成上下级或不同的人员之间形成统一的行动方针，从而协调行动，增强主动性，减少盲目性，使工作有条不紊地进行。文档可直接下载或修改，使用时请详细阅读内容。第一章总 则第一条为确保公司计算机和信息系统的运行安全，确保国家秘密安全，根据国家有关规定和要求，结合工作实际情况，制定本办法。第二条公司计算机和信息系统安全保密工作遵循“积极防范、突出重点、依法管理”的方针，切实加强领导，明确管理职

3、责，落实制度措施，强化技术防范，不断提高信息安全保障能力和水平。第二章组织机构与职责第三条计算机和信息系统安全保密管理工作贯彻“谁主管，谁负责”、 “谁使用， 谁负责” 的原则， 实行统一领导，分级管理，分工负责，有效监督。第四条保密委员会全面负责计算机和信息系统安全保名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页，共 20 页 - - - - - - - - - FS 精编管理制度| MODEL SYSTEM 第3页/总20页密工作的组织领导。主要职责是：（一）审订计算机和

4、信息系统安全保密建设规划、方案；（二）研究解决计算机和信息系统安全保密工作中的重大事项和问题；（三）对发生计算机和信息系统泄密事件及严重违规、违纪行为做出处理决定。第五条保密管理部门负责计算机和信息系统的安全保密指导、监督和检查。主要职责是：（一）指导计算机和信息系统安全保密建设规划、方案的编制及实施工作；（二）监督计算机和信息系统安全保密管理制度、措施的落实；（三）组织开展计算机和信息系统安全保密专项检查和技术培训；（四）参与计算机和信息系统安全保密的风险评估、分析及安全保密策略的制定工作。第六条信息化管理部门负责计算机和信息系统的安全保密管理工作。主要职责是：名师资料总结 - - -精品资

5、料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页，共 20 页 - - - - - - - - - FS 精编管理制度| MODEL SYSTEM 第4页/总20页（一）负责计算机和信息系统安全保密建设规划、方案、制度的制订和实施；（二）负责计算机和信息系统安全保密技术措施的落实及运行维护管理；（三）负责建立、管理信息设备台帐；（四）负责计算机和信息系统安全保密策略的制定、调整、更新和实施；（五）定期组织开展风险评估、风险分析，提出相应的安全措施建议，并编制安全保密评估报告；（六）开展计算机和信息系统安全保

6、密技术检查工作；（七）涉及计算机和信息系统有关事项的审查、审批；（八）计算机和信息系统安全保密的日常管理工作。第七条公司应结合工作实际设定涉密计算机和信息系统的系统管理员、安全保密管理员、安全审计员，分别负责涉密计算机和信息系统的运行、安全保密和安全审计工作。“三员”的权限设置应当相互独立、相互制约，安全保密管理员与安全审计员不得由一人兼任。没有涉密信息系统，只使用单台涉密计算机的单位，应名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页，共 20 页 - - - - - - -

7、 - - FS 精编管理制度| MODEL SYSTEM 第5页/总20页当配备安全保密管理员。第八条涉密计算机和信息系统管理人员应当符合以下要求：（一）符合国家及集团公司对涉密人员的要求；（二）熟悉计算机和信息系统各项安全保密法律、法规和标准；（三）熟练掌握有关专业知识和业务技能；（四）通过国家有关部门的上岗培训，并获得上岗资格。第三章涉密信息系统的建设管理第九条建设涉密信息系统必须依照国家有关规定、标准和规范进行，安全保密设施必须与涉密信息系统同步规划、同步建设、同步运行。第十条建设涉密信息系统，应当在方案设计前，由保密委员会根据所建系统拟涉及国家秘密的最高密级确定保护等级。第十一条涉密信

8、息系统建设方案的设计应当选择具有相应涉密资质的单位承担，建设方案按照建设系统的对应密级进行定密和管理。建设方案完成后，由保密办报请上级保名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页，共 20 页 - - - - - - - - - FS 精编管理制度| MODEL SYSTEM 第6页/总20页密管理部门组织评审并备案。第十二条涉密信息系统建设过程中，必须采取严格的安全保密管理措施。系统集成、综合布线、系统服务、系统咨询、软件开发、工程监理等，应当选择具有相应资质的单位承担

9、，并明确提出保密要求，签订保密协议。涉及国家秘密的工程资料应当根据需要控制发放，并做出登记。工程完工后，应当按登记如数收回。施工现场应当采取措施，禁止无关人员进入。第十三条涉密信息系统所采用的安全保密产品，必须选用通过国家相关主管部门授权测评机构检测合格的产品，并应当查验产品合格证书、产品检测报告中所描述的适用范围及其有效期。第十四条涉密信息系统的测评工作统一由集团公司保密办委托国家涉密信息系统测评中心兵器分中心实施。第十五条涉密信息系统经测评完成，取得涉密信息系统检测评估报告后，由上级保密管理部门向集团公司保密办正式提交涉及国家秘密的信息系统投入使用申请书， 并经集团公司保密办审核批准后，报

10、相关保密行政管理部门审批，名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页，共 20 页 - - - - - - - - - FS 精编管理制度| MODEL SYSTEM 第7页/总20页领取涉及国家秘密的信息系统使用许可证。第十六条新建涉密信息系统在投入运行前，应当经地方保密工作部门审批，在未取得涉及国家秘密的信息系统使用许可证前，不得投入使用。在正式运行之前，不得存储和处理国家秘密信息。第十七条涉密信息系统在设计、评审、施工及验收过程中发生失泄密事件或因有关工程信息资料泄

11、露导致涉密信息系统防护措施失效、削弱的，属于建设单位责任的，由建设单位承担；属于其他环节责任的，由相关环节负责人负责。第四章信息设备台帐与标识管理第十八条信息化管理部门应当根据实际，建立信息设备总台帐，内设机构或部门应当相应建立二级台帐。信息设备台帐可按以下类别分类：（一）计算机，包括服务器、用户终端；（二）网络设备和外部设备，包括交换机、路由器、网关、网闸、 VPN 设备、打印机、制图（绘图）机、扫描仪、光盘刻录机（外接式）等；名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页

12、，共 20 页 - - - - - - - - - FS 精编管理制度| MODEL SYSTEM 第8页/总20页（三）安全保密产品，包括计算机病毒防护产品，密码产品及身份鉴别、访问控制、安全审计、入侵检测、边界防护和电磁泄漏发射防护等产品；（四）移动存储介质。第十九条各类台帐应当包括以下内容：（一）计算机管理台帐：部门、责任人、名称型号、密级或用途、 操作系统安装日期、硬盘序列号、 IP 地址、MAC地址、使用情况等；（二）网络设备和外部设备管理台帐：部门、责任人、名称、型号、使用情况等；（三）安全保密产品管理台帐：责任人、名称、型号、检测证书名称和编号、购置时间、使用情况等；（四）移动存

13、储介质管理台帐：部门、责任人、名称、编号、序列号、密级或用途、使用情况等。第二十条信息设备台帐管理工作实行专人负责，动态管理，并建立、健全信息设备从配置到销毁全过程的报告、审批和定期核验机制，确保信息设备台帐能够适时、准确的反映信息设备的客观情况。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 8 页，共 20 页 - - - - - - - - - FS 精编管理制度| MODEL SYSTEM 第9页/总20页第二十一条公司应对信息设备进行标识管理。设备标识由公司统一制作。标识内

14、容应与台帐信息的主要内容相符，并保持完好。不得故意损毁、涂改、撕揭或擦除。计算机和信息系统中的服务器、用户终端、 外部设备、 存储介质、 安全保密产品等，应当根据其处理和存储信息的最高密级或主要用途进行标识。标识应当粘贴在明显位置，并与涉密信息的存储部件相关联。移动存储介质如无法粘贴标识的，可以采取不可擦除的方式标注。第五章计算机和信息系统的保密管理第二十二条计算机和信息系统的使用管理必须遵守如下规定：（一）严禁使用涉密计算机和信息系统连接国际互联网或公共信息网络；（二）严禁使用连接国际互联网或公共信息网络的计算机及其它非涉密计算机存储、处理涉密信息；（三）严禁将涉密计算机接入内部非涉密网络。

15、名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 9 页，共 20 页 - - - - - - - - - FS 精编管理制度| MODEL SYSTEM 第10页/总20页第二十三条涉密信息系统经安全保密技术测评，并正式投入运行后，如发生下列变更事项时，应当及时报告上级保密管理部门和负责审批的保密行政管理部门：（一）涉密等级；（二）连接范围；（三）环境设施；（四）主要应用；（五）安全保密责任管理单位。由保密行政管理部门决定是否需要重新进行测评和审批。第二十四条外部信息导入涉密计算机和

16、信息系统的，应当通过中间转换机或经过国家相关部门批准的安全可靠的信息交换措施进行。使用中间转换机转换信息的，中间转换机应当按涉密和非涉密分别设立，并严格按照相关标准的规定程序进行操作。第二十五条涉及涉密计算机和信息系统的设备，应当由单位统一选配，统一安装，严格控制，规范使用。第二十六条禁止在涉密计算机和信息系统中使用无线名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 10 页，共 20 页 - - - - - - - - - FS 精编管理制度| MODEL SYSTEM 第11页/

17、总20页键盘、无线鼠标、无线网卡、无线路由器等具有无线功能的设备或产品。第二十七条涉密计算机和信息系统应当根据其相应密级采取对应的身份鉴别、数字签名、访问控制、安全审计、信息加密、数据保护、介质管理、防违规外联等技术措施。第二十八条涉密计算机和信息系统服务器、用户终端应当设置相关安全策略，设置原则是：关闭全部共享、与应用无关的所有端口、服务、链接和系统授权。第二十九条涉密计算机和信息系统应当采取计算机病毒防护措施，定期对计算机病毒与恶意代码防护措施进行查验，并及时更新计算机病毒与恶意代码样本库。更新周期为：涉密信息系统不超过3 天，单台涉密计算机不超过15 天。第三十条各单位应建立统一的补丁程

18、序分发安装机制，在补丁程序发布后3 个月内及时安装，保证系统的安全性，对不能安装系统补丁程序的非正版操作系统，应当更换操作系统。第三十一条下列事项必须报经信息化管理部门批准后由相关管理人员实施：名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 11 页，共 20 页 - - - - - - - - - FS 精编管理制度| MODEL SYSTEM 第12页/总20页（一）因系统崩溃、操作系统损坏等原因需重新安装操作系统的；（二）更改或清除涉密计算机和信息系统的移动存储介质及外部设备安

19、装、使用等日志记录的；（三）因工作需要对涉密计算机和信息系统安装、扩展、缩减、拆卸软硬件的；（四）因工作需要卸载、修改涉密信息系统的安全技术程序、管理程序的。第三十二条需经常安装的应用软件和软件工具，经信息化管理部门审批后，由系统管理员上传到指定的服务器或存储在一次性刻录光盘中，供涉密计算机和信息系统用户终端下载、安装使用。第三十三条公司要加强对连接国际互联网计算机的管理和使用，应遵循以下原则：（一）未经批准，不得擅自以任何方式连接国际互联网；（二）公司集中使用的国际互联网计算机应当指定专人负责管理，分散使用的国际互联网计算机应当明确责任人，做好上网记录；名师资料总结 - - -精品资料欢迎下

20、载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 12 页，共 20 页 - - - - - - - - - FS 精编管理制度| MODEL SYSTEM 第13页/总20页（三）应制定国际互联网信息发布管理制度，明确需要通过保密审查的信息范围和审查程序。审查一般应由拟发布信息的业务主管部门负责，业务主管部门把握不准的，由保密管理部门审查，单位业务主管领导审批；（四）公司应采取有效技术措施，对通过互联网或公共信息系统发送电子邮件等信息进行监控和记录。第三十四条密码设备的使用和管理按照公司有关规定执行。第六章便携式计算机和

21、存储介质保密管理第三十五条建立健全便携式计算机和移动存储介质的管理制度和措施，根据工作实际，采取集中管理，指定专人负责。第三十六条涉密便携式计算机应当拆除具有无线联网功能（如无线网卡、蓝牙、红外等）的硬件模块，如无法进行拆除的，不得作为涉密计算机使用。第三十七条携带涉密便携式计算机和移动存储介质外出，应当履行审批手续和领用前状态检查；返还时，应当对外出使用情况进行技术检查。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 13 页，共 20 页 - - - - - - - - - FS

22、 精编管理制度| MODEL SYSTEM 第14页/总20页第三十八条外出携带涉密便携式计算机和移动存储介质要确保安全，全程有效控制。同时携带涉密便携式计算机和移动存储介质时，二者应分开保管。第三十九条不得使用低密级便携式计算机和移动存储介质存储、处理高密级信息；不得在低密级计算机上使用高密级移动存储介质。第四十条在涉密计算机和信息系统内使用的存储介质应当采取有效的技术控制措施，确保未经授权的移动存储介质不能在涉密计算机和信息系统中使用。第四十一条在使用便携式计算机和移动存储介质时不得有下列行为：（一）在非涉密便携式计算机和移动存储介质中存储、处理涉密信息的；（二）涉密移动存储介质在非涉密计

23、算机和信息系统中使用的；（三）将非涉密和个人具有存储功能的介质和设备接入涉密计算机和信息系统的；（四）私自携带涉密便携式计算机和移动存储介质外出名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 14 页，共 20 页 - - - - - - - - - FS 精编管理制度| MODEL SYSTEM 第15页/总20页的；（五）移动存储介质在涉密计算机、信息系统和非涉密计算机、信息系统之间交叉使用的。第四十二条涉密移动存储介质不得降为非涉密移动存储介质使用。第七章信息安全保密管理第四十

24、三条涉密计算机和信息系统中的涉密信息应当标明密级，密级标识不得与正文分离。标注方式应当遵行以下原则：（一）处于起草、设计、编辑、修改过程中和已完成的电子文档、图表、图形、图像、数据等，只要内容涉及国家秘密，在首页应当标明密级；（二）电子数据文件、图表、图形、图像等涉密信息在首页无法直接标注密级标识的，可将密级标识作为文件名称的一部分进行标注；（三）涉及国家秘密的程序、数据库文件、数据文件、视频文件等，在软件运行首页、数据视图首页和影像播映首页应当标注密级。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - -

25、- - - - 第 15 页，共 20 页 - - - - - - - - - FS 精编管理制度| MODEL SYSTEM 第16页/总20页第四十四条涉密计算机和信息系统应当采取有效的技术控制措施，禁止涉密信息非授权输出。涉密信息系统中涉密信息输出点要按照最小化原则设置。指定专人负责。第四十五条涉密信息远程传输应当按照国家有关规定采取密码保护措施，存储与传输、使用的加密措施应当与涉密信息的密级相适应，并得到国家主管部门批准。第四十六条密钥的管理和使用应符合国家有关安全保密规定，并接受国家相关主管部门的指导和监督。第四十七条公司应当制定完善的涉密信息备份制度，并采取有效的防盗、防灾措施，保

26、证备份的安全。第四十八条涉密计算机软硬件配置情况及本身有涉密内容的各种应用软件等信息，不得进行公开学术交流，不得公开发表。第八章维修、报废与销毁第四十九条涉密计算机和信息系统服务器、用户终端、外部设备、存储介质发生故障时，使用部门应当向信息管理部门提出维修申请， 经批准后维修。 涉密计算机和信息系统、存储介质维修应当遵循以下原则：名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 16 页，共 20 页 - - - - - - - - - FS 精编管理制度| MODEL SYSTEM

27、第17页/总20页（一）现场维修时， 一般应当由公司内部维修人员实施；需外部人员到现场维修时，维修过程中应当由有关人员旁站陪同；禁止维修人员恢复、读取和复制被维修设备中的涉密信息；禁止通过远程连接，对涉密计算机和信息系统进行维修和维护工作；（二）需要带离现场进行维修的，应当拆除所有可能存储过涉密信息的硬件和固件。维修地点在公司内部的，应在符合保密要求的维修场所进行；维修地点在外部的，应与维修单位和维修人员签订保密协议；（三）设备中存储过涉密信息的硬件和固件不能拆除或发生故障时，如不能保证安全的，应当按照涉密载体销毁要求予以销毁；确需维修时，送至具有涉密信息系统数据恢复资质的单位进行维修，并由专

28、人负责取送；（四）信息化管理部门应当建立维修日志和档案，并将所有涉密设备维修情况记录在案，记录内容应包括维修单位、维修人、故障现象、保密措施、维修内容、维修结果、监督检查等。第五十条禁止将未经安全技术处理的退出使用的涉密名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 17 页，共 20 页 - - - - - - - - - FS 精编管理制度| MODEL SYSTEM 第18页/总20页计算机、涉密存储设备赠送、出售、丢弃或改作其他用途。如将退出使用的涉密计算机、涉密存储设备赠送

29、、出售、丢弃或改作其他用途时，应当经信息化管理部门审批，拆除涉密存储部件和固件上交保密办进行销毁处理。第五十一条保密管理部门应建立报废、销毁涉密设备和存储介质台帐。报废、销毁涉密设备和存储介质应当履行清点、登记、审批手续，并将涉密设备和存储介质的密级、型号规格、经办人、采取的方法措施以及最终去向等情况记录在案并归档。第九章场所的安全保密第五十二条安装、使用涉密计算机信息系统的场所，应与境外机构驻地和人员住所保持相应的安全距离，并根据所处理信息的涉密程度设立必要的控制区域，未经批准无关人员不得进入。第五十三条安装、使用涉密计算机信息系统的场所应当每半年或根据需要，由公司保密管理部门组织安全保密技

30、术检查。第五十四条安装、使用涉密计算机和信息系统的场所名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 18 页，共 20 页 - - - - - - - - - FS 精编管理制度| MODEL SYSTEM 第19页/总20页采取的电磁泄漏发射防护措施应当满足BMB5-2000涉密信息设备使用现场的电磁泄漏发射防护要求，有关设备或技术措施应得到国家保密行政管理部门或国家安全部门的认可。第五十五条安装、使用涉密计算机信息系统场所的其它物理安全要求，应符合国家有关安全保密管理要求，保密

31、级别按系统中的最高密级设定。第五十六条涉密计算机信息系统的中心机房和密码机房应列为保密要害部位进行管理，建立健全相应安全保密制度和采取有效的出入控制措施。第十章监督管理第五十七条对违反本办法使用涉密信息系统的部门和个人，保密办责令其限期整改。对拒不整改的，停止使用，由单位给予处罚。第五十八条保密管理部门和信息化管理部门要经常对涉密计算机和信息系统、存储介质的使用、管理情况进行检查。对违反保密管理规定的，及时做出处理。 造成失泄密的，要给予相关责任人行政处分和经济处罚，情节严重的，应依名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - -

32、 名师精心整理 - - - - - - - 第 19 页，共 20 页 - - - - - - - - - FS 精编管理制度| MODEL SYSTEM 第20页/总20页据国家有关法律追究有关领导和直接责任人的法律责任。第五十九条发现涉密信息设备、移动存储介质遗失、被盗，在全力查找、追缴的同时，报告上级保密管理部门和当地保密行政管理部门，并采取积极有效的措施减少失泄密隐患。第十一章附 则第六十条本办法由公司保密办负责解释。第六十一条本办法自 XXXXX 年 XX 月 XXX 日起执行。这里填写您的企业名字Name of an enterprise 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 20 页，共 20 页 - - - - - - - - -