第一篇:医院网络系统安全保密管理规定专题
医院网络系统安全保密管理规定
1.0目的:
防止医院的保密信息外泻,保证网络系统安全。2.0适用范围:
适用于全院的电脑网络系统。3.0工作内容:
3.1不得擅自进入未经许可的计算机系统,篡改他人信息;不得在网络上散发恶意信息,冒用他人名义发出信息,侵犯他人隐私;不得制造、传播计算机病毒及从事其它侵犯网络和他人合法权益的活动。
3.2网络管理员、技术员和全院的计算机网络用户要加强保密意识,网络系统的相关密码不能随便泄露。如有技术人员调离本单位,应及时把其网络权限删除。
3.3系统管理员定期进行网络安全工作情况检查,对全体使用本系统的人员定期进行网络安全教育。
3.4系统管理员要严格控制各网络用户的权限,保护好网络系统的密码文件和用户资料。3.5对计算机系统,必须设定多级系统维护口令,信息中心主任指定专门系统维护员。一般维护口令设为三级:一级维护包括网络系统及后台数据库的维护;二级维护包括应用程序及应用程序的代码数据的维护;三级维护包括前台用户操作系统级硬件维护。
3.6系统管理员定期检查系统的运行情况,需对系统进行维护与改动时,必须采取数据保护措施,以确保各类业务数据的准确完好,重要数据要进行备份,以便在必要情况下进行数据恢复。
3.7重要的数据文件必须多份拷贝并异地分别存放。
3.8 涉外的设备维修或借调,必须按规定的处置流程,彻底地把相关设备的敏感数据、保密数据的进行安全备份以及防泄漏处理。3.9必须定期升级杀毒软件极其病毒代码。
3.9严禁擅自修改计算机固有的硬件信息以及软件系统的原有信息(如注册表信息、文件共享设置、IP地址等)。
3.10未经允许,严禁私自安装软件。3.11 院内工作站不得同时连接内外网络。
第二篇:网络保密管理规定
网络保密管理规定
为认真贯彻《保密法》和《计算机信息系统保密管理暂行规定》,加强计算机网络信息安全管理,保护计算机信息系统处理的涉及国家秘密安全,根据计算机网络安全管理有关政策法规,制定本规定。
一、办公室负责计算机信息系统的保密、监督和管理工作。
二、各涉密科室确定涉密计算机,并确定专门涉密人员管理。
三、计算机信息系统应当采取有效的保密措施,配置合格的保密专用设备,防泄密、防窃密。
所采取的保密措施应与所处理信息的密级要求相一致。四、涉密信息和数据必须按照保密规定进行采集、存储、处理、传递、使用和销毁。
未采取技术安全保密措施的数据库不得联网。五、国家秘密信息不得在与国际网络联网的计算机信息系统中存储、处理、传递,做到“上网不涉密,涉密不上网”。
六、存储过国家秘密信息的计算机媒体不能降低密级使用。
不再使用的媒体应及时销毁。存储过国家秘密信息的计算机媒体的维修应保证所存储的国家秘密信息不被泄露。计算机信息系统打印输出的涉密文件,应当按相应密级的文件进行管理。七、涉密信息处理场所应当根据涉密程度和有关规定设立控制区,未经管理机关批准无关人员不得进入。
涉密信息处理场所应当定期或者根据需要进行保密技术检查。八、计算机信息系统应采取相应的防电磁信息泄漏的保密措施。
计算机信息系统的其它物理安全要求应符合国家有关保密标准。九、计算机信息系统的保密管理应实行领导负责制,由使用计算机信息系统的主管领导负责本单位的计算机信息系统的保密工作,并指定有关机构和人员具体承办。
十、计算机信息系统的使用单位应根据系统所处理的信息涉密等级和重要性制订相应的管理制度。
十一、计算机信息系统的系统安全保密管理人员应经过严格审查,定期进行考核,并保持相对稳定。
十二、个人发现计算机信息系统泄密后,应及时采取补救措施,并按有关规定及时向上级报告。
十三、违反本规定泄露国家秘密,依据《中华人民共和国保守国家秘密法》及其实施办法进行处理,并追究单位领导的责任。
十四、本规定自发布之日起施行。
第三篇:计算机和信息系统安全保密管理规定
信息系统安全保密管理制度
第一章
总
则
第一条
为加强公司信息化系统(包括涉密信息系统和非涉密信息系统)安全保密管理,确保国家秘密及公司商业秘密的安全,根据国家有关保密法规标准和中国华电集团公司有关规定,特制定本规定。
第二条
本规定所称涉密信息系统是指由计算机及其相关的配套设备、设施构成的,按照一定的应用目标和规定存储、处理、传输涉密信息的系统或网络,包括机房、网络设备、软件、网络线路、用户终端、存储介质等内容。
第三条
涉密信息系统的建设和应用要本着“预防为主、分级负责、科学管理、保障安全”的方针,坚持“谁主管、谁负责,谁使用、谁负责”和“控制源头、归口管理、加强检查、落实制度”的原则,确保涉密信息系统和国家秘密信息安全。
第四条
涉密信息系统安全保密防护必须严格按照国家保密标准、规定和集团公司文件要求进行设计、实施、测评审查与审批和验收;未通过国家审批的涉密信息系统,不得投入使用。
第五条
本规定适用于公司所有信息系统安全保密管理工作。
第二章
组织机构与职责
第六条
公司成立信息系统安全保密组织机构,人员结构与信息化领导小组和办公室成员相同,信息化领导小组成员即为信息系统安全保密领导小组成员,信息化办公室成员即为信息系统安全保密办公室成员。
1、信息系统安全保密领导小组 组
长:
副组长: 组员:
2、信息系统安全保密办公室 主
任: 副主任: 成员:
第七条 信息系统安全保密领导小组主要职责
公司信息系统安全保密领导小组是涉密信息系统安全保密管理决策机构,其主要职责:
(一)建立健全信息系统安全保密管理制度,并监督检查落实情况;
(二)协调处理有关涉密信息系统安全保密管理的重大问题,对重大失泄密事件进行查处。
第八条
信息系统安全保密办公室(简称保密办)主要职责:
(一)拟定信息系统安全保密管理制度,并组织落实各项保密防范措施;
(二)对系统用户和安全保密管理人员进行资格审查和安全保密教育培训,审查涉密信息系统用户的职责和权限,并备案;
(三)组织对涉密信息系统进行安全保密监督检查和风险评估,提出涉密信息系统安全运行的保密要求;
(四)会同信息中心对涉密信息系统中介质、设备、设施的授权使用的审查,建立涉密信息系统安全评估制度,每年对涉密信息系统安全措施进行一次评审;
(五)对涉密信息系统设计、施工和集成单位进行资质审查,对进入涉密信息系统的安全保密产品进行准入审查和规范管理,对涉密信息系统进行安全保密性能检测;
(六)对涉密信息系统中各应用系统进行定密、变更密级和解密工作进行审核;
(七)组织查处涉密信息系统失泄密事件。
第十条
办公室(信息中心)主要职责是:
(一)组织、实施涉密信息系统的规划、设计、建设,制定安全保密防护方案;
(二)落实涉密信息系统安全保密策略、运行安全控制、安全验证等安全技术措施;每半年对涉密信息系统进行风险评估,提出整改措施,经涉密信息系统安全保密领导小组批准后组织实施,确保安全技术措施有效、可靠;
(三)落实涉密信息系统中各应用系统进行用户权限设置及介质、设备、设施的授权使用、保管以及维护等安全保密管理措施;
(四)配备涉密信息系统管理员、安全保密管理员和安全审计员,并制定相应的职责;“三员”角色不得兼任,权限设置相互独立、相互制约;“三员”应通过安全保密培训持证上岗;
(五)落实计算机机房、配线间等重要部位的安全保密防范措施及网络的安全管理,负责日常业务数据及其他重要数据的备份管理;
(六)配合保密办对涉密信息系统进行安全检查,对存在的隐患进行及时整改;
(七)制定应急预案并组织演练,落实应急措施,处理信息安全突发事件。
(八)按照国家密码管理的相关要求,落实涉密信息系统中普密设备的管理措施。第十二条
相关业务部门、班组主要职责:
涉密信息系统的使用部门、班组要严格遵守保密管理规定,教育员工提高安全保密意识,落实涉密信息系统各项安全防范措施;准确确定应用系统密级,制定并落实相应的二级保密管理制度。
第十三条
涉密信息系统配备系统管理员、安全保密管理员、安全审计员,其职责是:
(一)系统管理员负责系统中软硬件设备的运行、管理与维护工作,确保信息系统的安全、稳定、连续运行。系统管理员包括网络管理员、数据库管理员、应用系统管理 2 员。
(二)安全保密管理员负责安全技术设备、策略实施和管理工作,包括用户帐号管理以及安全保密设备和系统所产生日志的审查分析。
(三)安全审计员负责安全审计设备安装调试,对各种系统操作行为进行安全审计跟踪分析和监督检查,以及时发现违规行为,并每月向涉密信息系统安全保密领导小组办公室汇报一次情况。
第三章
系统建设管理
第十四条
规划和建设涉密信息系统时,按照涉密信息系统分级保护标准的规定,同步规划和落实安全保密措施,系统建设与安全保密措施同计划、同预算、同建设、同验收。
第十五条
涉密信息系统规划和建设的安全保密方案,应由具有“涉及国家秘密的计算机信息系统集成资质”的机构编制或自行编制,安全保密方案必须经上级保密主管部门审批后方可实施。
第十六条
涉密信息系统规划和建设实施时,应由具有“涉及国家秘密的计算机信息系统集成资质”的机构实施或自行实施,并与实施方签署保密协议,项目竣工后必须由保密办和科技信息部共同组织验收。
第十七条
对涉密信息系统要采取与密级相适应的保密措施,配备通过国家保密主管部门指定的测评机构检测的安全保密产品。涉密信息系统使用的软件产品必须是正版软件。
第四章
信息管理
第一节
信息分类与控制
第十八条
涉密信息系统的密级,按系统中所处理信息的最高密级设定,严禁处理 3 高于涉密信息系统密级的涉密信息。
第十九条
涉密信息系统中产生、存储、处理、传输、归档和输出的文件、数据、图纸等信息及其存储介质应按要求及时定密、标密,并按涉密文件进行管理。电子文件密级标识应与信息主体不可分离,密级标识不得篡改。涉密信息系统中的涉密信息总量每半年进行一次分类统计、汇总,并在保密办备案。
第二十条
涉密信息系统应建立安全保密策略,并采取有效措施,防止涉密信息被非授权访问、篡改,删除和丢失;防止高密级信息流向低密级计算机。涉密信息远程传输必须采取密码保护措施。
第二十一条
向涉密信息系统以外的单位传递涉密信息,一般只提供纸质文件,确需提供涉密电子文档的,按信息交换及中间转换机管理规定执行。
第二十二条
清除涉密计算机、服务器等网络设备、存储介质中的涉密信息时,必须使用符合保密标准、要求的工具或软件。
第二节
用户管理与授权
第二十三条
根据本部门、单位使用涉密信息系统的密级和实际工作需要,确定人员知悉范围,以此作为用户授权的依据。
第二十四条
用户清单管理
(一)科技信息部管理“研究试验堆燃料元件数字化信息系统”和“中核集团涉密广域网”用户清单;财会部管理“财务会计核算网”用户清单;
(二)新增用户时,由用户本人提出书面申请,经本部门、单位审核,科技信息部、保密办审批后,由科技信息部备案并统一建立用户;“财务会计核算网”的用户由财会部统一建立;
(三)删除用户时,由用户本人所在部门、单位书面通知科技信息部,核准后由安全保密管理员即时将用户在涉密信息系统内的所有帐号、权限废止;“财务会计核算网” 4 的删除用户由财会部统一删除用户帐号、权限。
第二十五条
用户标识符管理
(一)用户登录系统时所使用的用户身份标识,由用户本人提出书面申请,经本部门、单位审核,科技信息部、保密办审批后,由系统管理员产生,并确保用户标识在此系统生命周期中的唯一性;
(二)安全保密管理员每月一次检查与用户身份标识相关的日志,发现异常情况,应及时向保密办报告。
第二十六条 用户授权管理
(一)涉密信息系统用户授权应遵循最小授权分配原则,安全保密管理员对所有用户的权限明细文档化;
(二)安全审计员每月审查权限列表,发现异常情况,应及时向保密办报告。
第三节
信息系统互联
第二十七条 涉密信息系统必须与国际互联网和其它公共信息系统实行物理隔离。禁止将涉密计算机和涉密信息系统直接接入公司内部非涉密信息系统,确因工作需要接入时必须采用符合保密标准的信息隔离交换系统进行必要的边界控制措施。
第五章
运行维护管理
第二十八条 涉密信息系统投入运行前,应当经过国家保密工作部门审批,未经审批的涉密信息系统不得处理涉密信息。
第二十九条
涉密信息系统应与用户终端实施IP-MAC,并随人员、岗位等变化及时调整。涉密信息系统的用户终端、服务器等设备设施应进行安全加固,关闭不必要的帐户、服务和端口,并设置规范的口令策略。
涉密设备(导线)与外网、通讯设备(导线)和其他导体的隔离应符合保密要求。
第三十条
涉密信息系统与国际互联网、公众信息网络等非涉密信息系统(以下简称外网)的信息交换,按信息交换及中间转换机管理规定执行。
第三十一条
禁止使用非涉密信息系统(包括非涉密单机)存储和处理涉密信息。第三十二条
建立健全防病毒软件(含木马查杀)升级、打补丁机制,及时升级病毒和恶意代码样本库,进行病毒和恶意代码查杀,及时安装操作系统、数据库和应用系统的补丁程序。防病毒软件应使用经国家主管部门批准的防病毒软件。
第三十三条
未经科技信息部审批,禁止对涉密信息系统格式化或重装操作系统,禁止删除涉密信息系统的移动存储介质及外部设备(包括服务器等网络设备)等日志记录。
第三十四条
涉密应用软件开发及运行维护必须选择具有相关保密资质的单位承担,并与之签订《保密协议书》,协议书必须经保密办审查备案,明确保密要求,防止国家秘密的泄露。
第三十五条
涉密信息系统中的信息输出应当集中管理,有效控制,建立集中打印控制机制。
第三十六条
涉密信息系统用户终端不准安装、运行、使用与工作无关的软件,严禁安装具有无线通讯功能的软件。未经科技信息部审批,用户终端禁止安装或拆卸硬件设备和软件及更改系统设置。用户终端的应用软件安装情况登记备案,每季度进行一次核查。
第三十七条
涉密设备严禁具有无线互联功能,不能安装红外接口、无线网卡、无线鼠标、无线键盘等。
第三十八条
对集中存放涉密信息系统服务器、交换机等涉密设备的场所列入保密要害部位管理,建立出入登记、外来人员审查等管理制度。
第三十九条
涉密信息系统应采取身份鉴别、访问控制和安全审计等技术保护措施。第四十条
涉密信息系统建立文档化的安全保密策略,并根据环境、系统和威胁变 6 化情况及时调整更新安全保密策略。
第四十一条
涉密信息系统建立文档化的安全保密审计报告,机密级1个月、秘密级3个月进行一次审计日志收集、整理、分析,按要求形成文档化安全审计报告并备案。
第四十二条
涉密信息系统建立文档化的风险评估分析报告,每半年根据系统综合日志进行一次风险评估(自评估或检查评估),形成文档化的风险分析报告,对存在的风险及时采取补救措施。
第四十三条
涉密信息系统建立实时入侵检测系统,做到实时监测系统网络设备、终端和服务器的各种攻击行为。应具有漏洞扫描技术,以提前警告网络系统中系统的弱点所在,防止黑客入侵和内部人员的误用。
第四十四条
涉密信息系统使用国家有关主管部门批准的检测工具对系统进行安全保密性能检测,检测工具版本应及时更新、升级。
第六章
设备与介质管理
第四十五条
计算机和信息系统设备包括:网络设备、服务器、用户终端(台式计算机、便携式计算机、工业控制机等)、扫描仪、打印输出设备及网络安全保密产品等;介质包括:纸介质、存储介质及其它记录载体(如计算机硬盘、光盘、移动硬盘、优盘、软盘和录音带、录像带、数码相机存储卡等)。
第四十六条
接入涉密信息系统的设备和介质称为涉密设备和涉密存储介质,并按统一技术要求和部署方式进行管理。涉密设备和存储介质应与国际互联网和其他公众信息网络实行物理隔离;系统内的设备、介质、设施根据其处理信息的最高密级标明涉密等级和主要用途。
第四十七条 计算机和信息系统中使用的设备、存储介质应遵循“统一购置、统一标识、严格登记、规范管理”的原则,严格执行国家秘密载体保密管理规定。
第四十八条 各部门、单位指定专人负责涉密设备和介质的日常管理工作,建立存储介质登记备案、定期核查与信息清理制度。保密办对涉密设备的采购、使用、维修、变更、报废负有指导、监督、检查的职责,对存储介质归口管理。
第一节
设备管理
第四十九条 采购管理
(一)涉密设备选用国产设备,涉密系统集成与系统服务、安全产品的采购,不得进行公开招标,须在具有资质的单位和经国家主管部门批准范围内选择,且供方应具有完备的资质证明和良好的信誉,以及长期供货和代维护能力;
(二)采购部门不得向供应方透露涉密设备的最终用户;
(三)采购的计算机,统一不配备光驱、软驱、视频设备及具有无线互联功能的无线键盘、无线鼠标、红外接口、无线网卡等。确因工作需要配备的,经保密办审批后配发;
(四)科技信息部做好资产清单和台帐管理,涉密设备需在保密办备案并粘贴密级标识后投入使用。台帐注明涉密设备使用人、安全责任人、安全分类以及资产所在的位置,并且每半年对涉密设备清查核对一次。
第五十条
使用管理
(一)各部门、单位建立涉密设备、打印机等准入审批、使用登记、销毁等备案制度。
(二)涉密设备的电磁泄露发射应符合国家有关保密标准,并采取相应防护措施。涉密设备和传输线路应符合红黑隔离要求,并采取电源滤波防护措施。
(三)用户终端登录识别技术应采用以下二种方式之一:
1、数字证书机制采用USBKey与PIN口令相结合的方式进行身份鉴别,口令长度设置不少于十位。USBKey按机密级密件管理,应及时修改初始的PIN码,并将USBKey 8 妥善保管。
2、密码口令。机密级密码口令长度不得少于十个字符,每周至少更换一次;秘密级密码口令长度不得少于八个字符,每月至少更换一次;口令采用大小写英文字母、数字和特殊字符等两者以上的组合。
(四)在其他信息系统使用过的设备以及新增设备接入涉密计算机和信息系统之前,应进行病毒(含木马)及恶意代码的检测、查杀。
第五十一条 维修管理
(一)涉密设备维修时,应向科技信息部提出申请,科技信息部对维修的涉密设备检查诊断后,作出公司内维修或外出维修的判断,并通知部门、单位;
(二)涉密设备维修原则上来公司现场维修,维修时应有专人现场监管;
(三)涉密设备外出维修时,对涉密设备预先采取保密措施,拆除存储部件,并有专人在场监控维修全过程;外出维修的涉密设备,原则上不能在外存放,当日未维修完毕的应带回公司存放,次日再送出去维修;涉密设备维修时应与维修单位签订保密协议;
(四)涉密设备确需恢复存储的数据、信息时,应经保密办审批后在具有涉密数据恢复资质的单位进行;
(五)维修时更换下的硬盘、存储卡,必须将旧件按涉密载体进行管理,禁止将旧件抵价维修或随意抛弃;
(六)维修的涉密设备应做好维修情况记录,存档备查。第五十二条 变更管理
(一)涉密设备变更用途时,应事先提出变更申请并清除其存储的涉密信息,经保密办审核批准后办理变更。变更程序是:
1、公司内部门、单位之间调配涉密设备,由科技信息部提出变更调配计划并作技术支持,接收单位办理变更手续并到保密办变更涉密设备台帐;
2、部门、单位内部调整变更涉密设备,由部门、单位领导批准,并通知保密办变更涉密计算机台帐;
3、调配变更后的涉密设备要及时确定密级,并粘贴密级标识。
(二)涉密设备变更密级,遵循如下保密规定:
1、绝密级设备不得进行变更;
2、不变更使用人及使用部门、单位,升密时存储介质(包括硬盘、储存卡)可不更换,降密或脱密时必须更换存储介质;
3、变更使用人或使用部门、单位,升密、降密必须更换存储介质;
4、存储介质的更换由科技信息部办理,新存储介质到保密办领取,更换下的旧存储介质交保密办;
5、非涉密设备变更为涉密设备,需对存储介质进行格式化,重新安装操作系统,并拆除视频设备和无线互联功能模块。
第五十三条 报废管理
(一)对批准报废的信息设备拆除存储介质并交保密办集中统一销毁或再利用;
(二)淘汰或报废的涉密设备,不得用于公益捐赠,或流入旧货市场。
第二节
介质管理
第五十四条
购置和发放
(一)申请部门、单位根据需要向保密办提出所需存储介质种类、数量的申请;
(二)保密办对申请进行审核后报主管领导审批,并按批准的种类、数量集中采购;
(三)保密办按存储介质种类和密级统一编号、登记、粘贴标识后发放存储介质;
(四)各部门、单位由专人管理存储介质,建立台帐,定期核查。第五十五条 使用和维护
(一)涉密存储介质应根据所存储信息的最高密级划定密级,并在明显位置粘贴密 10 级标识,禁止使用无标识的存储介质。涉密存储介质严禁在联接互联网的计算机和非涉密计算机上使用;
(二)在涉密信息系统内使用的涉密存储介质采取绑定或有效的技术接入控制措施,使涉密存储介质只能在授权的涉密计算机上使用。未采用绑定技术的涉密计算机,须采取关闭和监控数据端口(USB口)的物理防护措施进行控制;
(三)严格控制其它存储介质的使用,对光盘、软盘等移动存储介质应采用关闭数据接口或禁止驱动设备使用等方式加以控制;
(四)禁止在低密级计算机上使用高密级存储介质,禁止在低密级存储介质上存储高密级信息;
(五)高密级存储介质用于存储低密级信息时,应当按照存储介质原标识的高密级进行管理;
(六)存放涉密存储介质的场所、部位和设备应符合安全保密要求,集中统一管理;
(七)禁止外来的存储介质接入涉密信息系统,如需导入信息,应采取安全准入许可制度,经部门、单位领导审批后,按信息交换及中间转换机管理规定执行;
(八)存储过绝密级信息的介质不能降低密级使用;
(九)严禁将个人具有存储功能的存储介质和电子设备(mp3、mp4、优盘、手机、掌上电脑等)带入公司;严禁将涉密存储介质带出工作场所,确需携带外出,经本部门、单位领导审批且备案后方可出厂,随身携带,严防被盗或丢失;
(十)经保密办批准,允许与涉密信息系统相连的数码设备(如相机、录音笔)等,应按涉密载体管理;
(十一)涉密存储介质的维修和维护由科技信息部统一负责,外送维修须经主管领导审批同意,并送指定维修点维修;
(十二)发现存储介质丢失,应立即报告本部门、单位和保密办,并及时组织查处。
第五十六条 保管和销毁
(一)涉密存储介质必须由本部门、单位集中统一保管并在有安全保障的保密柜中保存;
(二)对重要的存储介质,应定期进行循环复制备份;
(三)存储介质的报废、销毁,由应编制销毁清单,由本部门、单位主要领导签字后,统一交保密办鉴定并做消磁或粉碎处理。
第七章
信息交换及中间转换机管理
第五十七条
涉密计算机和信息系统与其他计算机和信息系统的信息交换必须经过中间转换机。
中间转换机是指与任何计算机和信息系统实现物理隔离、独立运行的专用计算机,专门用于涉密计算机和涉密信息系统与其它计算机和信息系统之间的信息交换。中间转换机分为非涉密中间转换机和涉密中间转换机,中间转换机上应安装符合国家保密要求的计算机病毒和恶意代码防护产品。
非涉密中间转换机用于从国际互联网、公众信息网络和非涉密信息系统到涉密计算机和涉密信息系统进行外部非涉密信息的载入,包括计算机病毒和恶意代码样本库、补丁程序、应用程序和其它相关信息等。
涉密中间转换机用于从公司外部的涉密计算机和涉密信息系统(涉密移动存储介质)到公司内部涉密计算机和涉密信息系统的信息交换。涉密中间转换机的密级应根据转换信息的最高密级确定。
涉密网络中间转换机是指单位接入涉密信息系统的管理员专用于信息交换的涉密计算机。
专用涉密传递盘是指经技术绑定后的公司各单位内部及各部门、单位之间用于涉密 12 信息系统与涉密单机、涉密单机之间信息传递的优盘。
第五十八条
中间转换机的配置、使用与日常管理
(一)涉密信息系统使用部门、单位需配置涉密网络中间转换机、非涉密中间转换机和专用涉密传递盘;
(二)党政办设置1台涉密中间转换机(全公司共用),用于公司外部涉密存储介质上载涉密信息到公司涉密信息系统(或涉密单机);
(三)中间转换机、专用涉密传递盘由各部门、单位中间转换机管理员负责管理和使用;
(四)中间转换机上应用软件由科技信息部统一安装,各单位不得安装、使用除统一安装软件以外的任何软件;
(五)防病毒软件升级工作由中间转换机管理员负责完成,必须保证每周对中间转换机防病毒软件升级1次,升级包到科技信息部统一制作、拷贝,并做好升级记录;
(六)中间转换机应专机专用,专人管理,不能用于其它工作。中间转换机管理员做好工作记录(包括信息名称、密级、来源、用途、时间、人员等)。
第五十九条
从国际互联网、公众信息网和非涉密信息系统(含非涉密计算机)上载信息到涉密计算机和涉密信息系统操作步骤:
(一)填写审批单,经部门、单位领导批准后方可进行上载信息;
(二)将信息上载到非涉密中间机;
(三)拔除上载信息存储介质;
(四)在非涉密中间转换机中对上载信息进行计算机病毒、恶意代码、间谍软件、木马程序的查杀;
(五)将上载信息刻录到只读光盘;
(六)将存有上载信息的光盘放入涉密计算机或涉密网络中间转换机中,上载到涉 13 密计算机和涉密信息系统中;
(七)记录上载过程,光盘应存档备案,存储介质格式化处理。
第六十条
公司内部单台涉密计算机之间、单台涉密计算机与涉密信息系统之间的信息交换,使用绑定措施的涉密存储介质进行交换或刻录到只读光盘;记录上载过程,光盘应存档备案。
第六十一条
从公司外部涉密存储介上载涉密信息到涉密计算机和涉密信息系统操作步骤:
(一)填写审批单,经部门、单位领导批准后方可进行上载信息;
(二)将信息上载到涉密中间转换机;
(三)拔除外部涉密存储介质;
(四)在涉密中间转换机中对上载信息进行计算机病毒、恶意代码、间谍软件、木马程序的查杀;
(五)将需要上载的涉密信息刻录到只读光盘或拷贝到专用涉密传递盘;
(六)将存有上载信息的涉密光盘或介质放入涉密计算机或涉密网络中间转换机中,上载到涉密计算机和涉密信息系统中;
(七)记录上载过程,光盘应存档备案,专用涉密传递盘交还中间转换机管理人员,并及时进行信息清除或格式化处理。
第六十二条
涉密计算机和涉密信息系统中的非涉密信息对外交换一般应当采用打印输出纸质文件方式进行,确需电子信息时在涉密计算机和涉密网络中间机将上载信息刻录到只读光盘,并记录上载过程,光盘存档备案。
第八章
国际互联网计算机管理
第六十三条 接入国际互联网的计算机,开通前须由接入部门、单位提出申请,保 14 密办审核,公司分管领导审批。开通、审批坚持“工作必须”的原则。
第六十四条 国际互联网计算机实行专人负责、专机上网管理,严禁存储、处理、传递涉密信息和内部敏感信息。接入互联网的计算机须建立使用登记制度。
第六十五条 上网信息实行“谁上网谁负责”的保密管理原则,信息上网必须经过严格审查和批准,坚决做到“涉密不上网,上网不涉密”。对上网信息进行扩充或更新,应重新进行保密审查。
第六十六条 任何部门、单位和个人不得在电子邮件、电子公告系统、聊天室、网络新闻组、博客等上发布、谈论、传递、转发或抄送国家秘密信息。
第六十七条 从国际互联网或其它公众信息网下载程序和软件工具等转入涉密系统,经科技信息部审批后,按照信息交换及中间转换机管理规定执行。
第九章
便携式计算机管理
第六十八条
便携式计算机(包括涉密便携式计算机和非涉密便携式计算机)实行“谁拥有,谁使用,谁负责”的保密管理原则,使用者须与公司签定保密承诺书。
第六十九条 涉密便携式计算机根据工作需要确定密级,粘贴密级标识,按照涉密设备进行管理,保密办备案后方可使用。
第七十条
便携式计算机应具备防病毒、防非法外联和身份认证(设置开机密码口令)等安全保密防护措施。
第七十一条
禁止使用涉密便携式计算机上国际互联网和非涉密网络;严禁涉密便携式计算机与涉密信息系统互联。
第七十二条
涉密便携式计算机不得处理绝密级信息。未经保密办审批,严禁在涉密便携式计算机中存储涉密信息。处理、存储涉密信息应在涉密移动存储介质上进行,并与涉密便携式计算机分离保管。
第七十三条
禁止使用私有便携式计算机处理办公信息;严禁非涉密便携式计算机存储、处理涉密信息;严禁将涉密存储介质接入非涉密便携式计算机使用。
第七十四条 公司配备专供外出携带的涉密便携式计算机和涉密存储介质,按照“集中管理、审批借用”的原则进行管理,建立使用登记制度。外出携带的涉密便携式计算机须经保密办检查后方可带出公司,返回时须进行技术检查。
第七十五条
因工作需要外单位携带便携式计算机进入公司办公区域,需办理保密审批手续。
第十章
应急响应管理
第七十六条 为有效预防和处置涉密信息系统安全突发事件,及时控制和消除涉密信息系统安全突发事件的危害和影响,保障涉密信息系统的安全稳定运行,科技信息部和财会部应分别制定相应应急响应预案,经公司涉密信息系统安全保密领导小组审批后实施。
第七十七条 应急响应预案用于涉密信息系统安全突发事件。突发事件分为系统运行安全事件和泄密事件,根据事件引发原因分为灾害类、故障类或攻击类三种情况。
(一)灾害事件:根据实际情况,在保障人身安全前提下,保障数据安全和设备安全。
(二)故障或攻击事件:判断故障或攻击的来源与性质,关闭影响安全与稳定的网络设备和服务器设备,断开信息系统与攻击来源的网络物理连接,跟踪并锁定攻击来源的IP地址或其它网络用户信息,修复被破坏的信息,恢复信息系统。按照事件发生的性质分别采用以下方案:
1、病毒传播:及时寻找并断开传播源,判断病毒的类型、性质、可能的危害范围。为避免产生更大的损失,保护计算机,必要时可关闭相应的端口,寻找并公布病毒攻击 16 信息,以及杀毒、防御方法;
2、外部入侵:判断入侵的来源,评价入侵可能或已经造成的危害。对入侵未遂、未造成损害的,且评价威胁很小的外部入侵,定位入侵的IP地址,及时关闭入侵的端口,限制入侵的IP地址的访问。对于已经造成危害的,应立即采用断开网络连接的方法,避免造成更大损失和带来的影响;
3、内部入侵:查清入侵来源,如IP地址、所在区域、所处办公室等信息,同时断开对应的交换机端口,针对入侵方法调整或更新入侵检测设备。对于无法制止的多点入侵和造成损害的,应及时关闭被入侵的服务器或相应设备;
4、网络故障:判断故障发生点和故障原因,能够迅速解决的尽快排除故障,并优先保证主要应用系统的运转;
5、其它未列出的不确定因素造成的事件,结合具体的情况,做出相应的处理。不能处理的及时咨询,上报公司信息安全领导小组。
第七十八条 按照信息安全突发事件的性质、影响范围和造成的损失,将涉密信息系统安全突发事件分为特别重大事件(I级)、重大事件(II级)、较大事件(III级)和一般事件(IV级)四个等级。
(一)一般事件由科技信息部(或财会部)依据应急响应预案进行处置;
(二)较大事件由科技信息部(或财会部)、保密办依据应急响应预案进行处置,及时向公司信息安全领导小组报告并提请协调处置;
(三)重大事件启动应急响应预案,对突发事件进行处置,及时向公司党政报告并提请协调处置;
(四)特别重大事件由公司报请中核集团公司对信息安全突发事件进行处置。第七十九条 发生突发事件(如涉密数据被窃取或信息系统瘫痪等)应按如下应急响应的基本步骤、基本处理办法和流程进行处理:
(一)上报科技信息部和保密办;
(二)关闭系统以防止造成数据损失;
(三)切断网络,隔离事件区域;
(四)查阅审计记录寻找事件源头;
(五)评估系统受损程度;
(六)对引起事件漏洞进行整改;
(七)对系统重新进行风险评估;
(八)由保密办根据风险评估结果并书面确认安全后,系统方能重新运行;
(九)对事件类型、响应、影响范围、补救措施和最终结果进行详细的记录;
(十)依照法规制度对责任人进行处理。
第八十条 科技信息部、财会部应会同保密办每年组织一次应急响应预案演练,检验应急响应预案各环节之间的通信、协调、指挥等是否快速、高效,并对其效果进行评估,以使用户明确自己的角色和责任。应急响应相关知识、技术、技能应纳入信息安全保密培训内容,并记录备案。
第十一章
人员管理
第八十一条
各部门、单位每年应组织开展不少于1次的全员信息安全保密知识技能教育与培训,并记录备案。
第八十二条
涉密人员离岗、离职,应及时调整或取消其访问授权,并将其保管的涉密设备、存储介质全部清退并办理移交手续。
第八十三条
承担涉密信息系统日常管理工作的系统管理员、安全保密管理员、安全审计管理员应按重要涉密人员管理。
第十二章
督查与奖惩
第八十四条 公司每年应对涉密信息系统安全保密状况、安全保密制度和措施的落实情况进行一次自查,并接受国家和上级单位的指导和监督。涉密信息系统每两年接受一次上级部门开展的安全保密测评或保密检查,检查结果存档备查。
第八十五条 检查涉密计算机和信息系统的保密检查工具和涉密信息系统所使用的安全保密、漏洞检查(取证)软件等,应覆盖保密检查的项目,并通过国家保密局的检测。安全保密检查工具应及时升级或更新,确保检查时使用最新版本。
第八十六条 各部门、单位应将员工遵守涉密计算机及信息系统安全保密管理制度的情况,纳入保密自查、考核的重要内容。对违反本规定造成失泄密的当事人及有关责任人,按公司保密责任考核及奖惩规定执行。
第十三章
附
则
第八十七条 本规定由保密办负责解释与修订。
第八十八条 本规定自发布之日起实施。原《计算机磁(光)介质保密管理规定)[制度编号:(厂1908号)]、《涉密计算机信息系统保密管理规定》[制度编号:(2006)厂1911号]、《涉密计算机采购、维修、变更、报废保密管理规定》[制度编号:(2007)厂1925号]、《国际互联网信息发布保密管理规定》[制度编号:(2007)厂1926号]、《涉密信息系统信息保密管理规定》[制度通告:(2008)0934号]、《涉密信息系统安全保密管理规定》[制度通告:(2008)0935号]同时废止。
第四篇:计算机和信息系统安全保密管理规定
计算机和信息系统安全保密管理规定
第一章 总则
第一条 为加强公司计算机和信息系统(包括涉密信息系统和非涉密信息系统)
安全保密管理,确保国家秘密及商业秘密的安全,根据国家有关保密法规标准和中核集团公司有关规定,制定本规定。
第二条 本规定所称涉密信息系统是指由计算机及其相关的配套设备、设施构成的,按照一定的应用目标和规定存储、处理、传输涉密信息的系统或网络,包括机房、网络设备、软件、网络线路、用户终端等内容。
第三条 涉密信息系统的建设和应用要本着“预防为主、分级负责、科学管理、保障安全”的方针,坚持“谁主管、谁负责,谁使用、谁负责”和“控制源头、归口管理、加强检查、落实制度”的原则,确保涉密信息系统和国家秘密信息安全。
第四条 涉密信息系统安全保密防护必须严格按照国家保密标准、规定和集团公司文件要求进行设计、实施、测评审查与审批和验收;未通过国家审批的涉密信息系统,不得投入使用。
第五条 本规定适用于公司所有计算机和信息系统安全保密管理工作。第二章 管理机构与职责
第六条 公司法人代表是涉密信息系统安全保密第一责任人,确保涉密信息系统安全保密措施的落实,提供人力、物力、财力等条件保障,督促检查领导责任制落实。第七条 公司保密委员会是涉密信息系统安全保密管理决策机构,其主要职责:
(一)建立健全安全保密管理制度和防范措施,并监督检查落实情况;
(二)协调处理有关涉密信息系统安全保密管理的重大问题,对重大失泄密事件进行查处。
第八条 成立公司涉密信息系统安全保密领导小组,保密办、科技信息部(信息化)、党政办公室(密码)、财会部、人力资源部、武装保卫部和相关业务部门、单位为成员单位,在公司党政和保密委员会领导下,组织协调公司涉密信息系统安全保密管理工作。
第九条 保密办主要职责:
(一)拟定涉密信息系统安全保密管理制度,并组织落实各项保密防范措施;
(二)对系统用户和安全保密管理人员进行资格审查和安全保密教育培训,审查涉密信息系统用户的职责和权限,并备案;
(三)组织对涉密信息系统进行安全保密监督检查和风险评估,提出涉密信息系统安全运行的保密要求;
(四)会同科技信息部对涉密信息系统中介质、设备、设施的授权使用的审查,建立涉密信息系统安全评估制度,每年对涉密信息系统安全措施进行一次评审;
(五)对涉密信息系统设计、施工和集成单位进行资质审查,对进入涉密信息系统的安全保密产品进行准入审查和规范管理,对涉密信息系统进行安全保密性能检测;
(六)对涉密信息系统中各应用系统进行定密、变更密级和解密工作进行审核;
(七)组织查处涉密信息系统失泄密事件。第十条
科技信息部、财会部主要职责是:
(一)组织、实施涉密信息系统的规划、设计、建设,制定安全保密防护方案;
(二)落实涉密信息系统安全保密策略、运行安全控制、安全验证等安全技术措施;每半年对涉密信息系统进行风险评估,提出整改措施,经涉密信息系统安全保密领导小组批准后组织实施,确保安全技术措施有效、可靠;
(三)落实涉密信息系统中各应用系统进行用户权限设置及介质、设备、设施的授权使用、保管以及维护等安全保密管理措施;
(四)配备涉密信息系统管理员、安全保密管理员和安全审计员,并制定相应的职责; “三员”角色不得兼任,权限设置相互独立、相互制约;“三员”应通过安全保密培训持证上岗;
(五)落实计算机机房、配线间等重要部位的安全保密防范措施及网络的安全管理,负责日常业务数据及其他重要数据的备份管理;
(六)配合保密办对涉密信息系统进行安全检查,对存在的隐患进行及时整改;
(七)制定应急预案并组织演练,落实应急措施,处理信息安全突发事件。第十一条 党政办公室主要职责:
按照国家密码管理的相关要求,落实涉密信息系统中普密设备的管理措施。
第十二条 相关业务部门、单位主要职责:涉密信息系统的使用部门、单位要严格遵守保密管理规定,教育员工提高安全保密意识,落实涉密信息系统各项安全防范措施;准确确定应用系统密级,制定并落实相应的二级保密管理制度。
第十三条 涉密信息系统配备系统管理员、安全保密管理员、安全审计员,其职责是:
(一)系统管理员负责系统中软硬件设备的运行、管理与维护工作,确保信息系统的安全、稳定、连续运行。系统管理员包括网络管理员、数据库管理员、应用系统管理员。
(二)安全保密管理员负责安全技术设备、策略实施和管理工作,包括用户帐号管理以及安全保密设备和系统所产生日志的审查分析。
(三)安全审计员负责安全审计设备安装调试,对各种系统操作行为进行安全审计跟踪分析和监督检查,以及时发现违规行为,并每月向涉密信息系统安全保密领导小组办公室汇报一次情况。第三章 系统建设管理
第十四条 规划和建设涉密信息系统时,按照涉密信息系统分级保护标准的规定,同步规划和落实安全保密措施,系统建设与安全保密措施同计划、同预算、同建设、同验收。
第十五条 涉密信息系统规划和建设的安全保密方案,应由具有“涉及国家秘密的计算机信息系统集成资质”的机构编制或自行编制,安全保密方案必须经上级保密主管部门审批后方可实施。
第十六条 涉密信息系统规划和建设实施时,应由具有“涉及国家秘密的计算机信息系统集成资质”的机构实施或自行实施,并与实施方签署保密协议,项目竣工后必须由保密办和科技信息部共同组织验收。
第十七条 对涉密信息系统要采取与密级相适应的保密措施,配备通过国家保密主管部门指定的测评机构检测的安全保密产品。涉密信息系统使用的软件产品必须是正版软件。
第四章 信息管理
第一节 信息分类与控制
第十八条 涉密信息系统的密级,按系统中所处理信息的最高密级设定,严禁处理高于涉密信息系统密级的涉密信息。
第十九条 涉密信息系统中产生、存储、处理、传输、归档和输出的文件、数据、图纸等信息及其存储介质应按要求及时定密、标密,并按涉密文件进行管理。电子文件密级标识应与信息主体不可分离,密级标识不得篡改。涉密信息系统中的涉密信息总量每半年进行一次分类统计、汇总,并在保密办备案。第二十条 涉密信息系统应建立安全保密策略,并采取有效措施,防止涉密信息被非授权访问、篡改,删除和丢失;防止高密级信息流向低密级计算机。涉密信息远程传输必须采取密码保护措施。
第二十一条 向涉密信息系统以外的单位传递涉密信息,一般只提供纸质文件,确需提供涉密电子文档的,按信息交换及中间转换机管理规定执行。
第二十二条 清除涉密计算机、服务器等网络设备、存储介质中的涉密信息时,必须使用符合保密标准、要求的工具或软件。第二节 用户管理与授权
第二十三条 根据本部门、单位使用涉密信息系统的密级和实际工作需要,确定人员知悉范围,以此作为用户授权的依据。第二十四条 用户清单管理
(一)科技信息部管理“研究试验堆燃料元件数字化信息系统”和“中核集团涉密广域网”用户清单;财会部管理“财务会计核算网”用户清单;
(二)新增用户时,由用户本人提出书面申请,经本部门、单位审核,科技信息部、保密办审批后,由科技信息部备案并统一建立用户;“财务会计核算网”的用户由财会部统一建立;
(三)删除用户时,由用户本人所在部门、单位书面通知科技信息部,核准后由安全保密管理员即时将用户在涉密信息系统内的所有帐号、权限废止;“财务会计核算网”密办审核,公司分管领导审批。开通、审批坚持“工作必须”的原则。
第六十四条 国际互联网计算机实行专人负责、专机上网管理,严禁存储、处理、传递涉密信息和内部敏感信息。接入互联网的计算机须建立使用登记制度。
第六十五条 上网信息实行“谁上网谁负责”的保密管理原则,信息上网必须经过严格审查和批准,坚决做到“涉密不上网,上网不涉密”。对上网信息进行扩充或更新,应重新进行保密审查。
第六十六条 任何部门、单位和个人不得在电子邮件、电子公告系统、聊天室、网络新闻组、博客等上发布、谈论、传递、转发或抄送国家秘密信息。
第六十七条 从国际互联网或其它公众信息网下载程序和软件工具等转入涉密系统,经科技信息部审批后,按照信息交换及中间转换机管理规定执行。第九章 便携式计算机管理 第六十八条 便携式计算机(包括涉密便携式计算机和非涉密便携式计算机)实行 “谁拥有,谁使用,谁负责”的保密管理原则,使用者须与公司签定保密承诺书。
第六十九条 涉密便携式计算机根据工作需要确定密级,粘贴密级标识,按照涉密设备进行管理,保密办备案后方可使用。
第七十条 便携式计算机应具备防病毒、防非法外联和身份认证(设置开机密码口令)等安全保密防护措施。
第七十一条 禁止使用涉密便携式计算机上国际互联网和非涉密网络;严禁涉密便携式计算机与涉密信息系统互联。
第七十二条 涉密便携式计算机不得处理绝密级信息。未经保密办审批,严禁在涉密便携式计算机中存储涉密信息。处理、存储涉密信息应在涉密移动存储介质上进行,并与涉密便携式计算机分离保管。
第七十三条 禁止使用私有便携式计算机处理办公信息;严禁非涉密便携式计算机存储、处理涉密信息;严禁将涉密存储介质接入非涉密便携式计算机使用。
第七十四条 公司配备专供外出携带的涉密便携式计算机和涉密存储介质,按照 “集中管理、审批借用”的原则进行管理,建立使用登记制度。外出携带的涉密便携式计算机须经保密办检查后方可带出公司,返回时须进行技术检查。第七十五条 因工作需要外单位携带便携式计算机进入公司办公区域,需办理保密审批手续。
第十章 应急响应管理
第七十六条
为有效预防和处置涉密信息系统安全突发事件,及时控制和消除涉密信息系统安全突发事件的危害和影响,保障涉密信息系统的安全稳定运行,科技信息部和财会部应分别制定相应应急响应预案,经公司涉密信息系统安全保密领导小组审批后实施。
第七十七条 应急响应预案用于涉密信息系统安全突发事件。突发事件分为系统运行安全事件和泄密事件,根据事件引发原因分为灾害类、故障类或攻击类三种情况。
(一)灾害事件:根据实际情况,在保障人身安全前提下,保障数据安全和设备安
(二)故障或攻击事件:判断故障或攻击的来源与性质,关闭影响安全与稳定的网络设备和服务器设备,断开信息系统与攻击来源的网络物理连接,跟踪并锁定攻击来源的IP地址或其它网络用户信息,修复被破坏的信息,恢复信息系统。按照事件发生的性质分别采用以下方案:
1、病毒传播:及时寻找并断开传播源,判断病毒的类型、性质、可能的危害范围。为避免产生更大的损失,保护计算机,必要时可关闭相应的端口,寻找并公布病毒攻击信息,以及杀毒、防御方法;
2、外部入侵:判断入侵的来源,评价入侵可能或已经造成的危害。对入侵未遂、未造成损害的,且评价威胁很小的外部入侵,定位入侵的IP地址,及时关闭入侵的端口,限制入侵的IP地址的访问。对于已经造成危害的,应立即采用断开网络连接的方法,避免造成更大损失和带来的影响;
3、内部入侵:查清入侵来源,如IP地址、所在区域、所处办公室等信息,同时断开对应的交换机端口,针对入侵方法调整或更新入侵检测设备。对于无法制止的多点入侵和造成损害的,应及时关闭被入侵的服务器或相应设备;
4、网络故障:判断故障发生点和故障原因,能够迅速解决的尽快排除故障,并优先保证主要应用系统的运转;
5、其它未列出的不确定因素造成的事件,结合具体的情况,做出相应的处理。不能处理的及时咨询,上报公司信息安全领导小组。
第七十八条 按照信息安全突发事件的性质、影响范围和造成的损失,将涉密信息系统安全突发事件分为特别重大事件(I级)、重大事件(II级)、较大事件(III级)和一般事件(IV级)四个等级。
(一)一般事件由科技信息部(或财会部)依据应急响应预案进行处置;
(二)较大事件由科技信息部(或财会部)、保密办依据应急响应预案进行处置,及时向公司信息安全领导小组报告并提请协调处置;
(三)重大事件启动应急响应预案,对突发事件进行处置,及时向公司党政报告并提请协调处置;
(四)特别重大事件由公司报请中核集团公司对信息安全突发事件进行处置。
第七十九条 发生突发事件(如涉密数据被窃取或信息系统瘫痪等)应按如下应急响应的基本步骤、基本处理办法和流程进行处理:
(一)上报科技信息部和保密办;
(二)关闭系统以防止造成数据损失;
(三)切断网络,隔离事件区域;
(四)查阅审计记录寻找事件源头;
(五)评估系统受损程度;
(六)对引起事件漏洞进行整改;
(七)对系统重新进行风险评估;
(八)由保密办根据风险评估结果并书面确认安全后,系统方能重新运行;
(九)对事件类型、响应、影响范围、补救措施和最终结果进行详细的记录;
(十)依照法规制度对责任人进行处理。
第八十条
科技信息部、财会部应会同保密办每年组织一次应急响应预案演练,检验应急响应预案各环节之间的通信、协调、指挥等是否快速、高效,并对其效果进行评估,以使用户明确自己的角色和责任。应急响应相关知识、技术、技能应纳入信息安全保密培训内容,并记录备案。第十一章 人员管理
第八十一条 各部门、单位每年应组织开展不少于1次的全员信息安全保密知识技能教育与培训,并记录备案。第八十二条
涉密人员离岗、离职,应及时调整或取消其访问授权,并将其保管的涉密设备、存储介质全部清退并办理移交手续。
第八十三条 承担涉密信息系统日常管理工作的系统管理员、安全保密管理员、安全审计管理员应按重要涉密人员管理。第十二章 督查与奖惩
第八十四条 公司每年应对涉密信息系统安全保密状况、安全保密制度和措施的落实情况进行一次自查,并接受国家和上级单位的指导和监督。涉密信息系统每两年接受一次上级部门开展的安全保密测评或保密检查,检查结果存档备查。
第八十五条 检查涉密计算机和信息系统的保密检查工具和涉密信息系统所使用的安全保密、漏洞检查(取证)软件等,应覆盖保密检查的项目,并通过国家保密局的检测。安全保密检查工具应及时升级或更新,确保检查时使用最新版本。
第八十六条 各部门、单位应将员工遵守涉密计算机及信息系统安全保密管理制度的情况,纳入保密自查、考核的重要内容。对违反本规定造成失泄密的当事人及有关责任人,按公司保密责任考核及奖惩规定执行。第十三章 附 则
第八十七条 本规定由保密办负责解释与修订。
第八十八条 本规定自发布之日起实施。原《计算机磁(光)介质保密管理规定)[制度编号:(厂1908号)]、《涉密计算机信息系统保密管理规定》[制度编号:(2006)厂1911号]、《涉密计算机采购、维修、变更、报废保密管理规定》[制度编号:(2007)厂1925号]、《国际互联网信息发布保密管理规定》[制度编号:(2007)厂1926号]、《涉密信息系统信息保密管理规定》[制度通告:(2008)0934号]、《涉密信息系统安全保密管理规定》[制度通告:(2008)0935号]同时废止。
关于公司计算机信息系统安全和保密管理工作的规定 各部门:
为了认真贯彻落实XX保密委《关于传发<全市XX组织开展互联网涉密及敏感信息检查清除活动实施方案>的通知》精神和要求,进一步加强公司各部门网络及计算机信息安全的保密管理,防止网上泄密事件发生,确保公司网络及计算机工作安全可靠,结合公司实际情况,现就进一步加强计算机信息系统安全和保密管理工作有关事宜规定如下:
一、计算机操作人员必须遵守国家有关法律,任何人不得利用计算机从事违法活动。
二、按照“谁主管、谁负责”和“谁使用、谁负责”的原则,开展自查。
1.明确内网使用人责任,签订《职工信息安全保密责任书》,认真落实各项安全保密管理规章制度,积极参加各类安全保密学习和活动,知道“一机两用”违规行为的类型,不违反相关的制度规定。
2.严禁在互联网上发布公司涉密文件、资料、信息、数据。未经主管领导批准,不得向外提供公司信息和资料,坚持做到“谁上网、谁负责”,“上网不涉密、涉密不上网”。
三、严禁公司内网计算机终端上操作事项。2 / 3 1.内网计算机终端上违规处理、存储的国家秘密信息; 2.内网移动存储介质中违规存储的国家秘密信息; 3.内网服务器上违规处理、存储的国家秘密信息; 4.内网网站上违规发布的国家秘密信息。
四、严禁公司互联网网计算机终端上操作事项。
1.互联网计算机终端上违规处理、存储的国家秘密和警务工作秘密信息;
2.互联网移动存储介质中违规存储的国家秘密和警务工作秘密信息;
3.互联网服务器上违规处理、存储的国家秘密和警务工作秘密信息;
4.互联网上开设的网站中违规发布的国家秘密和警务工作秘密信息;
5.互联网社会网站上开通的微博、电子邮箱等信息发布和传输平台中违规发布、存储的国家秘密和警务工作秘密信息。
五、专用于存储公司财务、工程设计方案、安保方案应急预案等资料和内部文件的计算机要由专人使用,并设置密码,禁止网络上的其它计算机访问,禁止访问互联网及其它外部网络系统。
六、做好计算机网络病毒防治工作。每台计算机要由专人负责,定期升级计算机杀毒软件,进行查杀病毒,在使用3 / 3软盘、U盘和移动硬盘等存储、拷贝文件之前,要先查杀病毒。严禁在计算机有毒未杀的情况下发电子邮件和拷贝文件到公司的其它计算机上。
七、严格按照操作程序使用计算机,认真做好计算机防盗工作。公司员工要爱护计算机。下班及节假日,务必将电源开关关闭,彻底切断计算机电源,关好门窗,做好防火、防盗工作。
八、严格工作纪律。禁止浏览和下载不健康的网上信息,禁止从网上下载与工作无关的软件。二〇一二年五月三日
计算机网络及信息资源安全保密管理制度 第一节总则
第一条为保护公司计算机信息资源的安全,并规范公司计算机及网络 硬件的采购、安装(建设)、维护、管理等环节的管理要求,根据《中华人民共和国保守国家秘密法》,《中华人民共和国计算机信息网络国际互联网管理暂行规定》和《中国公用计算机互联网国际联网管理办法》,特制定本规定。第二条 本规定适用于公司内部所有单位所使用的计算机系统。第二节计算机的涉密管理规定
第三条 公司内部计算机信息系统的安全保密工作由信息技术部负责具体实施。公司各下属单位、部门主要领导主管本单位、本部门的计算机信息系统的安全保密工作。第四条存放过秘密信息的计算机及相应介质未在彻底格式化前不能降低密级使用。第五条存储有秘密信息的计算机及相应存储装置在维修时,应采取措施保 证所存储的秘密信息不被泄露。
第六条企业内部规划和建设任何计算机信息系统,应当同步规划落实相应 的信息资源安全保密措施。
第七条对涉及企业经营、管理、技术和人事秘密的数据库以及计算机应用系统,必须采取技术安全保密措施,并且不得与外部连通。第三节计算机及网络硬件管理
第八条所有计算机及网络硬件的采购和建设实施,须在总体规划目标指导下进行。第九条进入总体规划的计算机及网络硬件在采购和建设实施时,需提前预算。作为预算的申请依据,信息技术部每年第四季度在公司开始下一的预算工作前,发布次年各类主要计算机设备的采购计划价。
第十条总部部门或事业部在申请预算(或追加预算)时若涉及计算机购买计划,须提交《计算机设备预算追加及采购审批表》,并履行相应的审核手续。
第十一条信息技术部负责编制公司网络中心及主干网络硬件采购计划和预算,报公司批准后执行。总部各部门获批准的计算机预算,由信息技术部监管使用。
第十二条各事业部每年底将下的计算机及网络硬件采购计划和预算报信息技术部审核。信息技术部有权纠正事业部硬件采购计划或硬件预算中不合理的需求。第十三条每预算定稿之后,运营管理部负责将总部部门及各事业部获准采购计算机的数字通报信息技术部,信息技术部负责监管各单位的采购行为。
第十四条信息技术部在每季度的第一周发布本季度的计算机硬件采购选型指导,供全公司统一执行。
第十五条对公司总部及各事业部需求量较大的计算机设备,信息技术部会同运营管理部通过招标谈判在计算机供货商中选定战略合作伙伴,使公司总部及各事业部能够以统一的优惠价格采购到所需的计算机产品。
第十六条公司总部的硬件采购工作,委托装载机事业部代为实施。装载机事业部接受委托时须对申请部门提交的《计算机设备预算追加及采购审批表》确认后,方可采购。第十七条各事业部计算机维修配件的采购,由各事业部根据不同计算机的具体情况相应处理。
第十八条在硬件采购合同执行的过程中,如遇到特殊情况需要更改采购技术型号的,必须经过信息技术部复审同意。
第十九条公司总部的计算机,由信息技术部负责硬件安装、维修、服务和管理。各事业部的计算机,由事业部备案的硬件岗位人员负责软硬件安装、维修、服务和管理。第二十条公司总部各部门和各事业部每年底要将本单位的计算机设备状况、配置变动、责任人变动等情况填表报信息技术部。
第二十一条岗位上的计算机超过使用年限之后,如果因为主要部件的故障频率高并无法修复的,经过所在资产管理实体的资产管理人员及硬件专业人员审核同意后,可以申
第四节网络的接入管理
第二十二条信息技术部是管理企业网络接入的责任部门。信息技术部的网络管理员是整个柳工网络的总管理员,对全网安全总负责,并牵头与各子域网络管理员组建企业网络管理委员会,共同维护企业的网络安全以及信息安全。
第二十三条为保障企业网络的安全,所有连接到企业内部网的计算机必须经过信息技术部的企业网络管理员注册登记。每台联网的计算机都必须确定责任人,对该机的遵纪使用及安全状况负责。不得私自在内部网上接入未经网管注册的计算机,否则视同窃取企业机密,一旦发现,按照有关规定进行处理。
第二十四条为保证网络信息资源安全,严格便携机的管理,在柳工网内使用便携机的特殊用户必须登记备案,并接受网络安全措施、信息安全培训和病毒防护管理。第二十五条为防止信息流失和计算机病毒,要严格控制内部网与外部的直接I/O 通道,所有联网的计算机都要拆除软驱、光驱、刻录设备及其他移动存储设备。需要保留的,必须经过企业信息工作主管领导的特别批准,向信息技术部的网络管理员登记注册。第二十六条未经信息技术部批准和备案,私自在企业网络的计算机上安装各种通讯和存储设备(如MODEM、软驱、光驱等)、私自往厂区内带入未经注册登记的便携机和存储设备等行为,均视同窃取企业机密,一经发现,须没收上交企业保密委员会,按照有关规定进行处理。
第二十七条合作单位人员因业务交流需要带入计算机及有关设备的,不得接入企业网络,由接待部门领导负责相应的信息安全责任。要进行数据交换的,按本规定有关条文处理。第二十八条
通过MODEM、VPN 等各种方式连入企业内部网的远程访问用户也要柳工内部控制制度接受企业网络总管理员的管理,否则将不允许连接到企业内部网。
第二十九条企业网络是工作网络,禁止任何利用企业网络以及企业集成信息平台进行有损企业安定团结局面的行为,违犯者将被追究纪律甚至法律的责任。
第三十条企业的网络和计算机都属于企业生产、工作的重要设备,任何破坏企业网络和计算机的行为都视同破坏企业生产、工作的严重行为,需要追究纪律和法律的责任。第五节数据及信息安全的管理 第三十一条
数据及信息的安全包括数据的物理安全以及信息保密。企业各计算机信息系统都要建立相应的安全管理制度,信息技术部对企业的全局数据库信息资源安全负责,各应用系统、单位部门的主要负责人对本应用系统、单位部门的计算机信息资源安全负责。第三十二条各应用系统、主要单位部门及各域都必须建立相应的数据备 份与灾难恢复制度和策略,并切实执行。
第三十三条
确有特殊需求经批准在企业网的某些计算机上保留有光驱和软驱的部门,其部门领导和系统管理员必须对该I/O 通道的安全负责,各类数据的拷出必须有相关领导的审批以及文字性记录备案。
第三十四条除网络管理员及其授权人员外,其余人员无权擅自在网络上传播、扩散来自企业网络以外的其它软件和电子文档。
第三十五条
计算机信息系统联网应当采取系统访问控制、数据保护和系统安全防火
第五篇:医院网络系统安全管理制度
一、为了保证医院网络的正常运行,保护医院网络系统的安全和网络用户的使用权益,特制定本安全管理制度。
二、本管理制度所称的医院网络系统是指在医院信息系统中,由计算机及配套设施构成的,按照医院网络信息系统的应用目标和规定,对数据进行采集、加工、存储、传输、检索等处理的人机系统。
三、医院网络系统安全管理是通过实施身份认证、访问控制与授权管理、数据备份和灾备系统、安全分域及边界防护、防病毒系统、入侵检测、补丁管理、邮件安全网关、远程接入等安全技术和与之相配套的管理制度,保障网络主机及配套设备、设施的安全,网络运行环境的安全,从而达到保障计算机网络系统安全运行和信息安全的目的。
四、信息科负责医院计算机网络系统的安全管理工作,确保对计算机网络系统安全管理的有效性。
五、计算机网络系统的建设和应用应遵守上级主管部门颁发的行政法规、用户手册和其他相关规定。
六、计算机网络系统实行安全等级保护和用户使用权限划分。安全等级和用户使用权限的划分和设置由信息科负责制定和实施。(注释:以下为身份认证)
七、计算机入网运行必须经信息科批准备案,分配IP地址后,方可接入网络。
八、要对重要主机的用户名、开机口令、应用口令和数据库口令实施重点管理,严格控制设备存取及加密,未经允许严禁外来盘片带入机房对服务器进行安装等,不准将机器设备和数据带出机房。
九、未办理入网手续,任何单位和个人不得非法私自将计算机接入医院网络,不得以不真实身份使用网络资源,不得窃取他人账号、口令使用网络资源,不得盗用未经合法申请的IP地址入网。未经信息科允许,任何单位或个人不得擅自接纳网络用户。(注释:以下为访问控制与授权管理)
十、应根据网络主机不同的安全级别采取相应的访问控制、数据保护、保密监控管理和系统安全等技术措施。
十一、信息科定期对网上用户的访问及授权情况进行检查,及时发现和限制非法用户和非授权访问。
十二、要按要求对数据进行日备份、月备份和年备份。严格按操作规程进行数据备份工作,确保备份数据的完整和准确性,做好备份数据的审核工作,并做好相应记录。要确保导出、导入数据的完整和准确,并做好导出、导人数据的审核工作和相应记录。(注释:以下为安全分域及边界防护)
十三、加强边界安全的防护,应根据安全区域划分情况明确需进行安全防护的边界,并实施有效的访问控制策略和机制。
十四、应在网络系统或安全域边界的关键点采用严格的安全防护机制,如严格的登录/链接控制,高性能的防火墙、防病毒网关、入侵防范、信息过滤、边界完整性检查等。
十五、要实施必要的边界访问、违规外联的审计和控制。(注释:以下为入侵检测)
十六、应采用必要的手段(如入侵检测系统、日志分析、网络取证分析等)对系统内的安全事件进行监控,检测攻击行为并能发现系统内非授权使用情况。
十七、应禁止系统内用户非授权的外部链接(如自动拨号、违规链接和无线上网)。(注释:以下为防病毒系统)
十八、应部署有效的网络病毒防范软件系统和相应的网络病毒防范管理办法,实施对计算机网络病毒的有效防范。
十九、要制定文档化的明确的计算机病毒和恶意代码防护策略,以及确保策略有效实施规章制度。
二十、应在系统内关键的入口点以及各工作站、服务器和移动计算机设备上采取计算机病毒和恶意代码防护措施。(注释:以下为备份和恢复)
二十一、应制定文档化的信息系统备份和恢复的策略,建立健全备份和恢复的管理制度和操作规程。
二十二、备份包括关键业务数据的备份、关键业务设备(如服务器、交换机等)的备份和电源备份。对重要信息系统(如HIs系统)的关键设施(如服务器)采取热备份。
二十三、应定期备份和对恢复策略进行测试,以保证其有效性。要有系统恢复的预案和演练。
二十四、应根据业务的重要程度、信息系统的资产价值等进行相应的需求分析,确定系统恢复的目标,如:关键业务功能、恢复的优先顺序、恢复的时间范围。(注释:以下为远程接人)
二十五、为确保医院计算机局域网络运行安全,要在有效部署防火墙、入侵检测和防病毒系统的情况下,实施远程接入。医院业务网(内网)与远程接入(外网)业务的物理隔离。凡涉密的计算机主机不得与互联网(Internet)链接。
二十六、任何部门和个人使用医院网络提供的远程接人服务必须向信息科申请。入网用户的用户名和IP地址是用户在医院局域网上的合法标识,也是对用户收费的重要依据,一经指定不得擅自更改。
二十七、未经信息科批准,任何个人或部门不得为外单位人员提供电子邮件或其他网络服务。
二十八、所有入网用户,应当遵守国家有关法律、法规及医院的有关规章制度,严格执行安全保密制度,不得利用计算机网络从事危害国家安全、损害医院利益等违法、违规活动,不得制作、查阅、复制和传播扰乱社会治安、有伤风化、淫秽色情等信息,不得利用网络攻击、损害公用网络和其他用户。否则,医院有权停止对其提供的服务;由此造成的不良后果由用户承担。
二十九、使用计算机机网络系统的部门和个人必须遵守计算机安全使用的规定,对计算机网络系统发生的问题和故障要立即向信息中心报告。
三
十、用户不得从事下列危害计算机网络安全的行为:
1、未经允许,进入计算机网络系统或使用网上信息资源:
2、私自转借或转让用户账号,盗用他人账号或IP地址:
3、未经允许,对网上应用系统的功能进行删减或更改:
4、未经允许,对计算机网络的存储、处理或传输数据和应用程序进行删减或更改;
5、故意制作、传播计算机病毒等破坏程序,使用任何工具破坏网络正常运行;
6、破坏、盗用计算机网络中的信息资源和危害计算机网络安全;
7、其他危害计算机网络安全的行为。
上述违规造成医院损失的,依照有关法律、法规及医院有关处罚规定进行处理,情节严重者移交公安机关处理.
点击咨询 