计算机信息系统安全管理规定

第一篇：计算机信息系统安全管理规定

信息安全管理制度

一、安全管理人员岗位工作职责

1、组织工作人员认真学习《计算机信息网络国际互联网安全保护管理办法》，提高工作人员的维护信息安全的警惕性和自觉性。

2、负责对信息系统用户进行安全教育和培训，使用户自觉遵守和维护《计算机信息网络国际互联网安全保护管理办法》，使他们具备基本的网络安全知识。

3、加强对信息发布的审核管理工作，杜绝违犯《计算机信息网络国际互联网安全保护管理办法》的内容出现。

4、一旦发现从事各种危害计算机信息网络安全的活动的行为做好记录并立即向当地公安处网络监察科报告。

5、接受并配合公安机关的安全监督、检查和指导，如实向公安机关提供有关安全保护的信息、资料及数据文件，协助公安机关查处通过国际联网的计算机信息网络的违法犯罪行为。

二、病毒以及系统漏洞检测制度：

1、工作计算机中一律要求安装杀毒软件，计算机病毒库要求定期升级。

2、任何个人或团体未经同意，不得在工作计算机上安装和工作无关的软件，不得制造传播病毒。

3、各种操作系统要打上最新系统补丁，杜绝各种系统漏洞带来的安全隐患。

4、严禁任何非法对网络进行端口扫描的行为。

5、发现不能处理的病毒要报告本部门安全员。

三、密码管理制度：

1、工作计算机一律要按要求设置密码，不得采用缺省方式。

2、密码设置要有字母和数字，位数不得少于六位，不能随意用明纸记载放置公开处，口令应定期修改。

3、重要密码在可以的情况下，要在部门主管领导处备份。

4、密码权限要根据实际情况授予，操作员不能拥有系统维护人员的权限，对于有特殊要求的系统，要实行特殊制度。

5、计算机操作人员，任何非系统管理员严禁使用、猜测各类管理员口令，不能利用工作之便，把获取的特权密码泄露给其他人，或未经计算机管理人员授权，使用特权用户对计算机或网络进行操作。

6、发现密码丢失，要通报相关部门，同时尽快修改密码，一旦发现密码已经被改，要采取措施找回密码，必要时更换系统设备，同时根据具体情况通知保卫、公安部门。

四、信息发布审核、登记制度

1、网站工作人员必须认真执行信息发布审核管理工作，杜绝违犯《计算机信息网络国际联网安全保护管理办法》的情形出现。

2、对在本网站发布信息的信源单位提供的信息进行程序限定，限制带有某些不良词汇的信息发布。

3、对在本网站发布信息的信源单位提供的信息进行认真人工检查，不得有危害国家安全、泄露国家秘密，侵犯国家的、社会的、集体的利益和公民的合法权益的内容出现。

4、对委托发布信息的单位和个人进行登记并存档。

五、信息监视、保存、清除和备份制度

1、本制度适用于所有本网站发布信息及网站用户发布信息。

2、对本网站自身发布的信息，必须认真检查，杜绝不良内容出现。

3、对网站引用的他人信息，必须注明来源。

4、若发现本网有不良有害信息，应主动举报。

5、对网站用户发布信息，必须首先经过程序核查，对其发布内容进行检查、过滤、限制。

六、安全教育和培训制度

1、应定期开办信息系统安全培训班，组织工作人员学习信息安全法律、法规，提高工作人员的信息安全水平。

2、应对信息系统用户进行安全教育和培训，使用户自觉遵守和维护《计算机信息网络国际互联网安全保护管理办法》，使他们具备基本的信息安全知识，强化信息安全意识。增强守法观念。

3、定期召开信息安全会议，通报信息安全状况，解决信息安全问题。

4、应积极配合当地公安局及其他上级管理中心的工作，自觉参加各种培训活动。

第二篇：计算机和信息系统安全保密管理规定

信息系统安全保密管理制度

第一章

总

则

第一条

为加强公司信息化系统（包括涉密信息系统和非涉密信息系统）安全保密管理，确保国家秘密及公司商业秘密的安全，根据国家有关保密法规标准和中国华电集团公司有关规定，特制定本规定。

第二条

本规定所称涉密信息系统是指由计算机及其相关的配套设备、设施构成的，按照一定的应用目标和规定存储、处理、传输涉密信息的系统或网络，包括机房、网络设备、软件、网络线路、用户终端、存储介质等内容。

第三条

涉密信息系统的建设和应用要本着“预防为主、分级负责、科学管理、保障安全”的方针，坚持“谁主管、谁负责，谁使用、谁负责”和“控制源头、归口管理、加强检查、落实制度”的原则，确保涉密信息系统和国家秘密信息安全。

第四条

涉密信息系统安全保密防护必须严格按照国家保密标准、规定和集团公司文件要求进行设计、实施、测评审查与审批和验收；未通过国家审批的涉密信息系统，不得投入使用。

第五条

本规定适用于公司所有信息系统安全保密管理工作。

第二章

组织机构与职责

第六条

公司成立信息系统安全保密组织机构，人员结构与信息化领导小组和办公室成员相同，信息化领导小组成员即为信息系统安全保密领导小组成员，信息化办公室成员即为信息系统安全保密办公室成员。

1、信息系统安全保密领导小组组

长：

副组长：组员：

2、信息系统安全保密办公室主

任：副主任：成员：

第七条信息系统安全保密领导小组主要职责

公司信息系统安全保密领导小组是涉密信息系统安全保密管理决策机构，其主要职责：

（一）建立健全信息系统安全保密管理制度，并监督检查落实情况；

（二）协调处理有关涉密信息系统安全保密管理的重大问题，对重大失泄密事件进行查处。

第八条

信息系统安全保密办公室（简称保密办）主要职责：

（一）拟定信息系统安全保密管理制度，并组织落实各项保密防范措施；

（二）对系统用户和安全保密管理人员进行资格审查和安全保密教育培训，审查涉密信息系统用户的职责和权限，并备案；

（三）组织对涉密信息系统进行安全保密监督检查和风险评估，提出涉密信息系统安全运行的保密要求；

（四）会同信息中心对涉密信息系统中介质、设备、设施的授权使用的审查，建立涉密信息系统安全评估制度，每年对涉密信息系统安全措施进行一次评审；

（五）对涉密信息系统设计、施工和集成单位进行资质审查，对进入涉密信息系统的安全保密产品进行准入审查和规范管理，对涉密信息系统进行安全保密性能检测；

（六）对涉密信息系统中各应用系统进行定密、变更密级和解密工作进行审核；

（七）组织查处涉密信息系统失泄密事件。

第十条

办公室（信息中心）主要职责是：

（一）组织、实施涉密信息系统的规划、设计、建设，制定安全保密防护方案；

（二）落实涉密信息系统安全保密策略、运行安全控制、安全验证等安全技术措施；每半年对涉密信息系统进行风险评估，提出整改措施，经涉密信息系统安全保密领导小组批准后组织实施，确保安全技术措施有效、可靠；

（三）落实涉密信息系统中各应用系统进行用户权限设置及介质、设备、设施的授权使用、保管以及维护等安全保密管理措施；

（四）配备涉密信息系统管理员、安全保密管理员和安全审计员，并制定相应的职责；“三员”角色不得兼任，权限设置相互独立、相互制约；“三员”应通过安全保密培训持证上岗；

（五）落实计算机机房、配线间等重要部位的安全保密防范措施及网络的安全管理，负责日常业务数据及其他重要数据的备份管理；

（六）配合保密办对涉密信息系统进行安全检查，对存在的隐患进行及时整改；

（七）制定应急预案并组织演练，落实应急措施，处理信息安全突发事件。

（八）按照国家密码管理的相关要求，落实涉密信息系统中普密设备的管理措施。第十二条

相关业务部门、班组主要职责：

涉密信息系统的使用部门、班组要严格遵守保密管理规定，教育员工提高安全保密意识，落实涉密信息系统各项安全防范措施；准确确定应用系统密级，制定并落实相应的二级保密管理制度。

第十三条

涉密信息系统配备系统管理员、安全保密管理员、安全审计员，其职责是：

（一）系统管理员负责系统中软硬件设备的运行、管理与维护工作，确保信息系统的安全、稳定、连续运行。系统管理员包括网络管理员、数据库管理员、应用系统管理 2 员。

（二）安全保密管理员负责安全技术设备、策略实施和管理工作，包括用户帐号管理以及安全保密设备和系统所产生日志的审查分析。

（三）安全审计员负责安全审计设备安装调试，对各种系统操作行为进行安全审计跟踪分析和监督检查，以及时发现违规行为，并每月向涉密信息系统安全保密领导小组办公室汇报一次情况。

第三章

系统建设管理

第十四条

规划和建设涉密信息系统时，按照涉密信息系统分级保护标准的规定，同步规划和落实安全保密措施，系统建设与安全保密措施同计划、同预算、同建设、同验收。

第十五条

涉密信息系统规划和建设的安全保密方案，应由具有“涉及国家秘密的计算机信息系统集成资质”的机构编制或自行编制，安全保密方案必须经上级保密主管部门审批后方可实施。

第十六条

涉密信息系统规划和建设实施时，应由具有“涉及国家秘密的计算机信息系统集成资质”的机构实施或自行实施，并与实施方签署保密协议，项目竣工后必须由保密办和科技信息部共同组织验收。

第十七条

对涉密信息系统要采取与密级相适应的保密措施，配备通过国家保密主管部门指定的测评机构检测的安全保密产品。涉密信息系统使用的软件产品必须是正版软件。

第四章

信息管理

第一节

信息分类与控制

第十八条

涉密信息系统的密级，按系统中所处理信息的最高密级设定，严禁处理 3 高于涉密信息系统密级的涉密信息。

第十九条

涉密信息系统中产生、存储、处理、传输、归档和输出的文件、数据、图纸等信息及其存储介质应按要求及时定密、标密，并按涉密文件进行管理。电子文件密级标识应与信息主体不可分离，密级标识不得篡改。涉密信息系统中的涉密信息总量每半年进行一次分类统计、汇总，并在保密办备案。

第二十条

涉密信息系统应建立安全保密策略，并采取有效措施，防止涉密信息被非授权访问、篡改，删除和丢失；防止高密级信息流向低密级计算机。涉密信息远程传输必须采取密码保护措施。

第二十一条

向涉密信息系统以外的单位传递涉密信息，一般只提供纸质文件，确需提供涉密电子文档的，按信息交换及中间转换机管理规定执行。

第二十二条

清除涉密计算机、服务器等网络设备、存储介质中的涉密信息时，必须使用符合保密标准、要求的工具或软件。

第二节

用户管理与授权

第二十三条

根据本部门、单位使用涉密信息系统的密级和实际工作需要，确定人员知悉范围，以此作为用户授权的依据。

第二十四条

用户清单管理

（一）科技信息部管理“研究试验堆燃料元件数字化信息系统”和“中核集团涉密广域网”用户清单；财会部管理“财务会计核算网”用户清单；

（二）新增用户时，由用户本人提出书面申请，经本部门、单位审核，科技信息部、保密办审批后，由科技信息部备案并统一建立用户；“财务会计核算网”的用户由财会部统一建立；

（三）删除用户时，由用户本人所在部门、单位书面通知科技信息部，核准后由安全保密管理员即时将用户在涉密信息系统内的所有帐号、权限废止；“财务会计核算网” 4 的删除用户由财会部统一删除用户帐号、权限。

第二十五条

用户标识符管理

（一）用户登录系统时所使用的用户身份标识，由用户本人提出书面申请，经本部门、单位审核，科技信息部、保密办审批后，由系统管理员产生，并确保用户标识在此系统生命周期中的唯一性；

（二）安全保密管理员每月一次检查与用户身份标识相关的日志，发现异常情况，应及时向保密办报告。

第二十六条用户授权管理

（一）涉密信息系统用户授权应遵循最小授权分配原则，安全保密管理员对所有用户的权限明细文档化；

（二）安全审计员每月审查权限列表，发现异常情况，应及时向保密办报告。

第三节

信息系统互联

第二十七条涉密信息系统必须与国际互联网和其它公共信息系统实行物理隔离。禁止将涉密计算机和涉密信息系统直接接入公司内部非涉密信息系统，确因工作需要接入时必须采用符合保密标准的信息隔离交换系统进行必要的边界控制措施。

第五章

运行维护管理

第二十八条涉密信息系统投入运行前，应当经过国家保密工作部门审批，未经审批的涉密信息系统不得处理涉密信息。

第二十九条

涉密信息系统应与用户终端实施IP-MAC，并随人员、岗位等变化及时调整。涉密信息系统的用户终端、服务器等设备设施应进行安全加固，关闭不必要的帐户、服务和端口，并设置规范的口令策略。

涉密设备（导线）与外网、通讯设备（导线）和其他导体的隔离应符合保密要求。

第三十条

涉密信息系统与国际互联网、公众信息网络等非涉密信息系统（以下简称外网）的信息交换，按信息交换及中间转换机管理规定执行。

第三十一条

禁止使用非涉密信息系统（包括非涉密单机）存储和处理涉密信息。第三十二条

建立健全防病毒软件（含木马查杀）升级、打补丁机制，及时升级病毒和恶意代码样本库，进行病毒和恶意代码查杀，及时安装操作系统、数据库和应用系统的补丁程序。防病毒软件应使用经国家主管部门批准的防病毒软件。

第三十三条

未经科技信息部审批，禁止对涉密信息系统格式化或重装操作系统，禁止删除涉密信息系统的移动存储介质及外部设备（包括服务器等网络设备）等日志记录。

第三十四条

涉密应用软件开发及运行维护必须选择具有相关保密资质的单位承担，并与之签订《保密协议书》，协议书必须经保密办审查备案，明确保密要求，防止国家秘密的泄露。

第三十五条

涉密信息系统中的信息输出应当集中管理，有效控制，建立集中打印控制机制。

第三十六条

涉密信息系统用户终端不准安装、运行、使用与工作无关的软件，严禁安装具有无线通讯功能的软件。未经科技信息部审批，用户终端禁止安装或拆卸硬件设备和软件及更改系统设置。用户终端的应用软件安装情况登记备案，每季度进行一次核查。

第三十七条

涉密设备严禁具有无线互联功能，不能安装红外接口、无线网卡、无线鼠标、无线键盘等。

第三十八条

对集中存放涉密信息系统服务器、交换机等涉密设备的场所列入保密要害部位管理，建立出入登记、外来人员审查等管理制度。

第三十九条

涉密信息系统应采取身份鉴别、访问控制和安全审计等技术保护措施。第四十条

涉密信息系统建立文档化的安全保密策略，并根据环境、系统和威胁变 6 化情况及时调整更新安全保密策略。

第四十一条

涉密信息系统建立文档化的安全保密审计报告，机密级1个月、秘密级3个月进行一次审计日志收集、整理、分析，按要求形成文档化安全审计报告并备案。

第四十二条

涉密信息系统建立文档化的风险评估分析报告，每半年根据系统综合日志进行一次风险评估（自评估或检查评估），形成文档化的风险分析报告，对存在的风险及时采取补救措施。

第四十三条

涉密信息系统建立实时入侵检测系统，做到实时监测系统网络设备、终端和服务器的各种攻击行为。应具有漏洞扫描技术，以提前警告网络系统中系统的弱点所在，防止黑客入侵和内部人员的误用。

第四十四条

涉密信息系统使用国家有关主管部门批准的检测工具对系统进行安全保密性能检测，检测工具版本应及时更新、升级。

第六章

设备与介质管理

第四十五条

计算机和信息系统设备包括：网络设备、服务器、用户终端（台式计算机、便携式计算机、工业控制机等）、扫描仪、打印输出设备及网络安全保密产品等；介质包括：纸介质、存储介质及其它记录载体（如计算机硬盘、光盘、移动硬盘、优盘、软盘和录音带、录像带、数码相机存储卡等）。

第四十六条

接入涉密信息系统的设备和介质称为涉密设备和涉密存储介质，并按统一技术要求和部署方式进行管理。涉密设备和存储介质应与国际互联网和其他公众信息网络实行物理隔离；系统内的设备、介质、设施根据其处理信息的最高密级标明涉密等级和主要用途。

第四十七条计算机和信息系统中使用的设备、存储介质应遵循“统一购置、统一标识、严格登记、规范管理”的原则，严格执行国家秘密载体保密管理规定。

第四十八条各部门、单位指定专人负责涉密设备和介质的日常管理工作，建立存储介质登记备案、定期核查与信息清理制度。保密办对涉密设备的采购、使用、维修、变更、报废负有指导、监督、检查的职责，对存储介质归口管理。

第一节

设备管理

第四十九条采购管理

（一）涉密设备选用国产设备，涉密系统集成与系统服务、安全产品的采购，不得进行公开招标，须在具有资质的单位和经国家主管部门批准范围内选择，且供方应具有完备的资质证明和良好的信誉，以及长期供货和代维护能力；

（二）采购部门不得向供应方透露涉密设备的最终用户；

（三）采购的计算机，统一不配备光驱、软驱、视频设备及具有无线互联功能的无线键盘、无线鼠标、红外接口、无线网卡等。确因工作需要配备的，经保密办审批后配发；

（四）科技信息部做好资产清单和台帐管理，涉密设备需在保密办备案并粘贴密级标识后投入使用。台帐注明涉密设备使用人、安全责任人、安全分类以及资产所在的位置，并且每半年对涉密设备清查核对一次。

第五十条

使用管理

（一）各部门、单位建立涉密设备、打印机等准入审批、使用登记、销毁等备案制度。

（二）涉密设备的电磁泄露发射应符合国家有关保密标准，并采取相应防护措施。涉密设备和传输线路应符合红黑隔离要求，并采取电源滤波防护措施。

（三）用户终端登录识别技术应采用以下二种方式之一：

1、数字证书机制采用USBKey与PIN口令相结合的方式进行身份鉴别，口令长度设置不少于十位。USBKey按机密级密件管理，应及时修改初始的PIN码，并将USBKey 8 妥善保管。

2、密码口令。机密级密码口令长度不得少于十个字符，每周至少更换一次；秘密级密码口令长度不得少于八个字符，每月至少更换一次；口令采用大小写英文字母、数字和特殊字符等两者以上的组合。

（四）在其他信息系统使用过的设备以及新增设备接入涉密计算机和信息系统之前，应进行病毒（含木马）及恶意代码的检测、查杀。

第五十一条维修管理

（一）涉密设备维修时，应向科技信息部提出申请，科技信息部对维修的涉密设备检查诊断后，作出公司内维修或外出维修的判断，并通知部门、单位；

（二）涉密设备维修原则上来公司现场维修，维修时应有专人现场监管；

（三）涉密设备外出维修时，对涉密设备预先采取保密措施，拆除存储部件，并有专人在场监控维修全过程；外出维修的涉密设备，原则上不能在外存放，当日未维修完毕的应带回公司存放，次日再送出去维修；涉密设备维修时应与维修单位签订保密协议；

（四）涉密设备确需恢复存储的数据、信息时，应经保密办审批后在具有涉密数据恢复资质的单位进行；

（五）维修时更换下的硬盘、存储卡，必须将旧件按涉密载体进行管理，禁止将旧件抵价维修或随意抛弃；

（六）维修的涉密设备应做好维修情况记录，存档备查。第五十二条变更管理

（一）涉密设备变更用途时，应事先提出变更申请并清除其存储的涉密信息，经保密办审核批准后办理变更。变更程序是：

1、公司内部门、单位之间调配涉密设备，由科技信息部提出变更调配计划并作技术支持，接收单位办理变更手续并到保密办变更涉密设备台帐；

2、部门、单位内部调整变更涉密设备，由部门、单位领导批准，并通知保密办变更涉密计算机台帐；

3、调配变更后的涉密设备要及时确定密级，并粘贴密级标识。

（二）涉密设备变更密级，遵循如下保密规定：

1、绝密级设备不得进行变更；

2、不变更使用人及使用部门、单位，升密时存储介质（包括硬盘、储存卡）可不更换，降密或脱密时必须更换存储介质；

3、变更使用人或使用部门、单位，升密、降密必须更换存储介质；

4、存储介质的更换由科技信息部办理，新存储介质到保密办领取，更换下的旧存储介质交保密办；

5、非涉密设备变更为涉密设备，需对存储介质进行格式化，重新安装操作系统，并拆除视频设备和无线互联功能模块。

第五十三条报废管理

（一）对批准报废的信息设备拆除存储介质并交保密办集中统一销毁或再利用；

（二）淘汰或报废的涉密设备，不得用于公益捐赠，或流入旧货市场。

第二节

介质管理

第五十四条

购置和发放

（一）申请部门、单位根据需要向保密办提出所需存储介质种类、数量的申请；

（二）保密办对申请进行审核后报主管领导审批，并按批准的种类、数量集中采购；

（三）保密办按存储介质种类和密级统一编号、登记、粘贴标识后发放存储介质；

（四）各部门、单位由专人管理存储介质，建立台帐，定期核查。第五十五条使用和维护

（一）涉密存储介质应根据所存储信息的最高密级划定密级，并在明显位置粘贴密 10 级标识，禁止使用无标识的存储介质。涉密存储介质严禁在联接互联网的计算机和非涉密计算机上使用；

（二）在涉密信息系统内使用的涉密存储介质采取绑定或有效的技术接入控制措施，使涉密存储介质只能在授权的涉密计算机上使用。未采用绑定技术的涉密计算机，须采取关闭和监控数据端口（USB口）的物理防护措施进行控制；

（三）严格控制其它存储介质的使用，对光盘、软盘等移动存储介质应采用关闭数据接口或禁止驱动设备使用等方式加以控制；

（四）禁止在低密级计算机上使用高密级存储介质，禁止在低密级存储介质上存储高密级信息；

（五）高密级存储介质用于存储低密级信息时，应当按照存储介质原标识的高密级进行管理；

（六）存放涉密存储介质的场所、部位和设备应符合安全保密要求，集中统一管理；

（七）禁止外来的存储介质接入涉密信息系统，如需导入信息，应采取安全准入许可制度，经部门、单位领导审批后，按信息交换及中间转换机管理规定执行；

（八）存储过绝密级信息的介质不能降低密级使用；

（九）严禁将个人具有存储功能的存储介质和电子设备（mp3、mp4、优盘、手机、掌上电脑等）带入公司；严禁将涉密存储介质带出工作场所，确需携带外出，经本部门、单位领导审批且备案后方可出厂，随身携带，严防被盗或丢失；

（十）经保密办批准，允许与涉密信息系统相连的数码设备（如相机、录音笔）等，应按涉密载体管理；

（十一）涉密存储介质的维修和维护由科技信息部统一负责，外送维修须经主管领导审批同意，并送指定维修点维修；

（十二）发现存储介质丢失，应立即报告本部门、单位和保密办，并及时组织查处。

第五十六条保管和销毁

（一）涉密存储介质必须由本部门、单位集中统一保管并在有安全保障的保密柜中保存；

（二）对重要的存储介质，应定期进行循环复制备份；

（三）存储介质的报废、销毁，由应编制销毁清单，由本部门、单位主要领导签字后，统一交保密办鉴定并做消磁或粉碎处理。

第七章

信息交换及中间转换机管理

第五十七条

涉密计算机和信息系统与其他计算机和信息系统的信息交换必须经过中间转换机。

中间转换机是指与任何计算机和信息系统实现物理隔离、独立运行的专用计算机，专门用于涉密计算机和涉密信息系统与其它计算机和信息系统之间的信息交换。中间转换机分为非涉密中间转换机和涉密中间转换机，中间转换机上应安装符合国家保密要求的计算机病毒和恶意代码防护产品。

非涉密中间转换机用于从国际互联网、公众信息网络和非涉密信息系统到涉密计算机和涉密信息系统进行外部非涉密信息的载入，包括计算机病毒和恶意代码样本库、补丁程序、应用程序和其它相关信息等。

涉密中间转换机用于从公司外部的涉密计算机和涉密信息系统（涉密移动存储介质）到公司内部涉密计算机和涉密信息系统的信息交换。涉密中间转换机的密级应根据转换信息的最高密级确定。

涉密网络中间转换机是指单位接入涉密信息系统的管理员专用于信息交换的涉密计算机。

专用涉密传递盘是指经技术绑定后的公司各单位内部及各部门、单位之间用于涉密 12 信息系统与涉密单机、涉密单机之间信息传递的优盘。

第五十八条

中间转换机的配置、使用与日常管理

（一）涉密信息系统使用部门、单位需配置涉密网络中间转换机、非涉密中间转换机和专用涉密传递盘；

（二）党政办设置1台涉密中间转换机（全公司共用），用于公司外部涉密存储介质上载涉密信息到公司涉密信息系统（或涉密单机）；

（三）中间转换机、专用涉密传递盘由各部门、单位中间转换机管理员负责管理和使用；

（四）中间转换机上应用软件由科技信息部统一安装，各单位不得安装、使用除统一安装软件以外的任何软件；

（五）防病毒软件升级工作由中间转换机管理员负责完成，必须保证每周对中间转换机防病毒软件升级1次，升级包到科技信息部统一制作、拷贝，并做好升级记录；

（六）中间转换机应专机专用，专人管理，不能用于其它工作。中间转换机管理员做好工作记录（包括信息名称、密级、来源、用途、时间、人员等）。

第五十九条

从国际互联网、公众信息网和非涉密信息系统（含非涉密计算机）上载信息到涉密计算机和涉密信息系统操作步骤：

（一）填写审批单，经部门、单位领导批准后方可进行上载信息；

（二）将信息上载到非涉密中间机；

（三）拔除上载信息存储介质；

（四）在非涉密中间转换机中对上载信息进行计算机病毒、恶意代码、间谍软件、木马程序的查杀；

（五）将上载信息刻录到只读光盘；

（六）将存有上载信息的光盘放入涉密计算机或涉密网络中间转换机中，上载到涉 13 密计算机和涉密信息系统中；

（七）记录上载过程，光盘应存档备案，存储介质格式化处理。

第六十条

公司内部单台涉密计算机之间、单台涉密计算机与涉密信息系统之间的信息交换，使用绑定措施的涉密存储介质进行交换或刻录到只读光盘；记录上载过程，光盘应存档备案。

第六十一条

从公司外部涉密存储介上载涉密信息到涉密计算机和涉密信息系统操作步骤：

（一）填写审批单，经部门、单位领导批准后方可进行上载信息；

（二）将信息上载到涉密中间转换机；

（三）拔除外部涉密存储介质；

（四）在涉密中间转换机中对上载信息进行计算机病毒、恶意代码、间谍软件、木马程序的查杀；

（五）将需要上载的涉密信息刻录到只读光盘或拷贝到专用涉密传递盘；

（六）将存有上载信息的涉密光盘或介质放入涉密计算机或涉密网络中间转换机中，上载到涉密计算机和涉密信息系统中；

（七）记录上载过程，光盘应存档备案，专用涉密传递盘交还中间转换机管理人员，并及时进行信息清除或格式化处理。

第六十二条

涉密计算机和涉密信息系统中的非涉密信息对外交换一般应当采用打印输出纸质文件方式进行，确需电子信息时在涉密计算机和涉密网络中间机将上载信息刻录到只读光盘，并记录上载过程，光盘存档备案。

第八章

国际互联网计算机管理

第六十三条接入国际互联网的计算机，开通前须由接入部门、单位提出申请，保 14 密办审核，公司分管领导审批。开通、审批坚持“工作必须”的原则。

第六十四条国际互联网计算机实行专人负责、专机上网管理，严禁存储、处理、传递涉密信息和内部敏感信息。接入互联网的计算机须建立使用登记制度。

第六十五条上网信息实行“谁上网谁负责”的保密管理原则，信息上网必须经过严格审查和批准，坚决做到“涉密不上网，上网不涉密”。对上网信息进行扩充或更新，应重新进行保密审查。

第六十六条任何部门、单位和个人不得在电子邮件、电子公告系统、聊天室、网络新闻组、博客等上发布、谈论、传递、转发或抄送国家秘密信息。

第六十七条从国际互联网或其它公众信息网下载程序和软件工具等转入涉密系统，经科技信息部审批后，按照信息交换及中间转换机管理规定执行。

第九章

便携式计算机管理

第六十八条

便携式计算机（包括涉密便携式计算机和非涉密便携式计算机）实行“谁拥有，谁使用，谁负责”的保密管理原则，使用者须与公司签定保密承诺书。

第六十九条涉密便携式计算机根据工作需要确定密级，粘贴密级标识，按照涉密设备进行管理，保密办备案后方可使用。

第七十条

便携式计算机应具备防病毒、防非法外联和身份认证（设置开机密码口令）等安全保密防护措施。

第七十一条

禁止使用涉密便携式计算机上国际互联网和非涉密网络；严禁涉密便携式计算机与涉密信息系统互联。

第七十二条

涉密便携式计算机不得处理绝密级信息。未经保密办审批，严禁在涉密便携式计算机中存储涉密信息。处理、存储涉密信息应在涉密移动存储介质上进行，并与涉密便携式计算机分离保管。

第七十三条

禁止使用私有便携式计算机处理办公信息；严禁非涉密便携式计算机存储、处理涉密信息；严禁将涉密存储介质接入非涉密便携式计算机使用。

第七十四条公司配备专供外出携带的涉密便携式计算机和涉密存储介质，按照“集中管理、审批借用”的原则进行管理，建立使用登记制度。外出携带的涉密便携式计算机须经保密办检查后方可带出公司，返回时须进行技术检查。

第七十五条

因工作需要外单位携带便携式计算机进入公司办公区域，需办理保密审批手续。

第十章

应急响应管理

第七十六条为有效预防和处置涉密信息系统安全突发事件，及时控制和消除涉密信息系统安全突发事件的危害和影响，保障涉密信息系统的安全稳定运行，科技信息部和财会部应分别制定相应应急响应预案，经公司涉密信息系统安全保密领导小组审批后实施。

第七十七条应急响应预案用于涉密信息系统安全突发事件。突发事件分为系统运行安全事件和泄密事件，根据事件引发原因分为灾害类、故障类或攻击类三种情况。

（一）灾害事件：根据实际情况，在保障人身安全前提下，保障数据安全和设备安全。

（二）故障或攻击事件：判断故障或攻击的来源与性质，关闭影响安全与稳定的网络设备和服务器设备，断开信息系统与攻击来源的网络物理连接，跟踪并锁定攻击来源的IP地址或其它网络用户信息，修复被破坏的信息，恢复信息系统。按照事件发生的性质分别采用以下方案：

1、病毒传播：及时寻找并断开传播源，判断病毒的类型、性质、可能的危害范围。为避免产生更大的损失，保护计算机，必要时可关闭相应的端口，寻找并公布病毒攻击 16 信息，以及杀毒、防御方法；

2、外部入侵：判断入侵的来源，评价入侵可能或已经造成的危害。对入侵未遂、未造成损害的，且评价威胁很小的外部入侵，定位入侵的IP地址，及时关闭入侵的端口，限制入侵的IP地址的访问。对于已经造成危害的，应立即采用断开网络连接的方法，避免造成更大损失和带来的影响；

3、内部入侵：查清入侵来源，如IP地址、所在区域、所处办公室等信息，同时断开对应的交换机端口，针对入侵方法调整或更新入侵检测设备。对于无法制止的多点入侵和造成损害的，应及时关闭被入侵的服务器或相应设备；

4、网络故障：判断故障发生点和故障原因，能够迅速解决的尽快排除故障，并优先保证主要应用系统的运转；

5、其它未列出的不确定因素造成的事件，结合具体的情况，做出相应的处理。不能处理的及时咨询，上报公司信息安全领导小组。

第七十八条按照信息安全突发事件的性质、影响范围和造成的损失，将涉密信息系统安全突发事件分为特别重大事件（I级）、重大事件（II级）、较大事件（III级）和一般事件（IV级）四个等级。

（一）一般事件由科技信息部（或财会部）依据应急响应预案进行处置；

（二）较大事件由科技信息部（或财会部）、保密办依据应急响应预案进行处置，及时向公司信息安全领导小组报告并提请协调处置；

（三）重大事件启动应急响应预案，对突发事件进行处置，及时向公司党政报告并提请协调处置；

（四）特别重大事件由公司报请中核集团公司对信息安全突发事件进行处置。第七十九条发生突发事件（如涉密数据被窃取或信息系统瘫痪等）应按如下应急响应的基本步骤、基本处理办法和流程进行处理：

（一）上报科技信息部和保密办；

（二）关闭系统以防止造成数据损失；

（三）切断网络，隔离事件区域；

（四）查阅审计记录寻找事件源头；

（五）评估系统受损程度；

（六）对引起事件漏洞进行整改；

（七）对系统重新进行风险评估；

（八）由保密办根据风险评估结果并书面确认安全后，系统方能重新运行；

（九）对事件类型、响应、影响范围、补救措施和最终结果进行详细的记录；

（十）依照法规制度对责任人进行处理。

第八十条科技信息部、财会部应会同保密办每年组织一次应急响应预案演练，检验应急响应预案各环节之间的通信、协调、指挥等是否快速、高效，并对其效果进行评估，以使用户明确自己的角色和责任。应急响应相关知识、技术、技能应纳入信息安全保密培训内容，并记录备案。

第十一章

人员管理

第八十一条

各部门、单位每年应组织开展不少于1次的全员信息安全保密知识技能教育与培训，并记录备案。

第八十二条

涉密人员离岗、离职，应及时调整或取消其访问授权，并将其保管的涉密设备、存储介质全部清退并办理移交手续。

第八十三条

承担涉密信息系统日常管理工作的系统管理员、安全保密管理员、安全审计管理员应按重要涉密人员管理。

第十二章

督查与奖惩

第八十四条公司每年应对涉密信息系统安全保密状况、安全保密制度和措施的落实情况进行一次自查，并接受国家和上级单位的指导和监督。涉密信息系统每两年接受一次上级部门开展的安全保密测评或保密检查，检查结果存档备查。

第八十五条检查涉密计算机和信息系统的保密检查工具和涉密信息系统所使用的安全保密、漏洞检查（取证）软件等，应覆盖保密检查的项目，并通过国家保密局的检测。安全保密检查工具应及时升级或更新，确保检查时使用最新版本。

第八十六条各部门、单位应将员工遵守涉密计算机及信息系统安全保密管理制度的情况，纳入保密自查、考核的重要内容。对违反本规定造成失泄密的当事人及有关责任人，按公司保密责任考核及奖惩规定执行。

第十三章

附

则

第八十七条本规定由保密办负责解释与修订。

第八十八条本规定自发布之日起实施。原《计算机磁（光）介质保密管理规定）[制度编号：（厂1908号）]、《涉密计算机信息系统保密管理规定》［制度编号:（2006）厂1911号］、《涉密计算机采购、维修、变更、报废保密管理规定》［制度编号:（2007）厂1925号］、《国际互联网信息发布保密管理规定》［制度编号:（2007）厂1926号］、《涉密信息系统信息保密管理规定》［制度通告:（2008）0934号］、《涉密信息系统安全保密管理规定》［制度通告:（2008）0935号］同时废止。

第三篇：计算机和信息系统安全保密管理规定

计算机和信息系统安全保密管理规定

第一章总则

第一条为加强公司计算机和信息系统（包括涉密信息系统和非涉密信息系统）

安全保密管理，确保国家秘密及商业秘密的安全，根据国家有关保密法规标准和中核集团公司有关规定，制定本规定。

第二条本规定所称涉密信息系统是指由计算机及其相关的配套设备、设施构成的，按照一定的应用目标和规定存储、处理、传输涉密信息的系统或网络，包括机房、网络设备、软件、网络线路、用户终端等内容。

第三条涉密信息系统的建设和应用要本着“预防为主、分级负责、科学管理、保障安全”的方针，坚持“谁主管、谁负责，谁使用、谁负责”和“控制源头、归口管理、加强检查、落实制度”的原则，确保涉密信息系统和国家秘密信息安全。

第四条涉密信息系统安全保密防护必须严格按照国家保密标准、规定和集团公司文件要求进行设计、实施、测评审查与审批和验收；未通过国家审批的涉密信息系统，不得投入使用。

第五条本规定适用于公司所有计算机和信息系统安全保密管理工作。第二章管理机构与职责

第六条公司法人代表是涉密信息系统安全保密第一责任人，确保涉密信息系统安全保密措施的落实，提供人力、物力、财力等条件保障，督促检查领导责任制落实。第七条公司保密委员会是涉密信息系统安全保密管理决策机构，其主要职责：

（一）建立健全安全保密管理制度和防范措施，并监督检查落实情况；

（二）协调处理有关涉密信息系统安全保密管理的重大问题，对重大失泄密事件进行查处。

第八条成立公司涉密信息系统安全保密领导小组，保密办、科技信息部（信息化）、党政办公室（密码）、财会部、人力资源部、武装保卫部和相关业务部门、单位为成员单位，在公司党政和保密委员会领导下，组织协调公司涉密信息系统安全保密管理工作。

第九条保密办主要职责：

（一）拟定涉密信息系统安全保密管理制度，并组织落实各项保密防范措施；

（二）对系统用户和安全保密管理人员进行资格审查和安全保密教育培训，审查涉密信息系统用户的职责和权限，并备案；

（三）组织对涉密信息系统进行安全保密监督检查和风险评估，提出涉密信息系统安全运行的保密要求；

（四）会同科技信息部对涉密信息系统中介质、设备、设施的授权使用的审查，建立涉密信息系统安全评估制度，每年对涉密信息系统安全措施进行一次评审；

（六）对涉密信息系统中各应用系统进行定密、变更密级和解密工作进行审核；

（七）组织查处涉密信息系统失泄密事件。第十条

科技信息部、财会部主要职责是：

（一）组织、实施涉密信息系统的规划、设计、建设，制定安全保密防护方案；

（三）落实涉密信息系统中各应用系统进行用户权限设置及介质、设备、设施的授权使用、保管以及维护等安全保密管理措施；

（四）配备涉密信息系统管理员、安全保密管理员和安全审计员，并制定相应的职责； “三员”角色不得兼任，权限设置相互独立、相互制约；“三员”应通过安全保密培训持证上岗；

（五）落实计算机机房、配线间等重要部位的安全保密防范措施及网络的安全管理，负责日常业务数据及其他重要数据的备份管理；

（六）配合保密办对涉密信息系统进行安全检查，对存在的隐患进行及时整改；

（七）制定应急预案并组织演练，落实应急措施，处理信息安全突发事件。第十一条党政办公室主要职责：

按照国家密码管理的相关要求，落实涉密信息系统中普密设备的管理措施。

第十二条相关业务部门、单位主要职责：涉密信息系统的使用部门、单位要严格遵守保密管理规定，教育员工提高安全保密意识，落实涉密信息系统各项安全防范措施；准确确定应用系统密级，制定并落实相应的二级保密管理制度。

第十三条涉密信息系统配备系统管理员、安全保密管理员、安全审计员，其职责是：

（一）系统管理员负责系统中软硬件设备的运行、管理与维护工作，确保信息系统的安全、稳定、连续运行。系统管理员包括网络管理员、数据库管理员、应用系统管理员。

（二）安全保密管理员负责安全技术设备、策略实施和管理工作，包括用户帐号管理以及安全保密设备和系统所产生日志的审查分析。

（三）安全审计员负责安全审计设备安装调试，对各种系统操作行为进行安全审计跟踪分析和监督检查，以及时发现违规行为，并每月向涉密信息系统安全保密领导小组办公室汇报一次情况。第三章系统建设管理

第十四条规划和建设涉密信息系统时，按照涉密信息系统分级保护标准的规定，同步规划和落实安全保密措施，系统建设与安全保密措施同计划、同预算、同建设、同验收。

第十五条涉密信息系统规划和建设的安全保密方案，应由具有“涉及国家秘密的计算机信息系统集成资质”的机构编制或自行编制，安全保密方案必须经上级保密主管部门审批后方可实施。

第十六条涉密信息系统规划和建设实施时，应由具有“涉及国家秘密的计算机信息系统集成资质”的机构实施或自行实施，并与实施方签署保密协议，项目竣工后必须由保密办和科技信息部共同组织验收。

第十七条对涉密信息系统要采取与密级相适应的保密措施，配备通过国家保密主管部门指定的测评机构检测的安全保密产品。涉密信息系统使用的软件产品必须是正版软件。

第四章信息管理

第一节信息分类与控制

第十八条涉密信息系统的密级，按系统中所处理信息的最高密级设定，严禁处理高于涉密信息系统密级的涉密信息。

第十九条涉密信息系统中产生、存储、处理、传输、归档和输出的文件、数据、图纸等信息及其存储介质应按要求及时定密、标密，并按涉密文件进行管理。电子文件密级标识应与信息主体不可分离，密级标识不得篡改。涉密信息系统中的涉密信息总量每半年进行一次分类统计、汇总，并在保密办备案。第二十条涉密信息系统应建立安全保密策略，并采取有效措施，防止涉密信息被非授权访问、篡改，删除和丢失；防止高密级信息流向低密级计算机。涉密信息远程传输必须采取密码保护措施。

第二十一条向涉密信息系统以外的单位传递涉密信息，一般只提供纸质文件，确需提供涉密电子文档的，按信息交换及中间转换机管理规定执行。

第二十二条清除涉密计算机、服务器等网络设备、存储介质中的涉密信息时，必须使用符合保密标准、要求的工具或软件。第二节用户管理与授权

第二十三条根据本部门、单位使用涉密信息系统的密级和实际工作需要，确定人员知悉范围，以此作为用户授权的依据。第二十四条用户清单管理

（一）科技信息部管理“研究试验堆燃料元件数字化信息系统”和“中核集团涉密广域网”用户清单；财会部管理“财务会计核算网”用户清单；

（三）删除用户时，由用户本人所在部门、单位书面通知科技信息部，核准后由安全保密管理员即时将用户在涉密信息系统内的所有帐号、权限废止；“财务会计核算网”密办审核，公司分管领导审批。开通、审批坚持“工作必须”的原则。

第六十六条任何部门、单位和个人不得在电子邮件、电子公告系统、聊天室、网络新闻组、博客等上发布、谈论、传递、转发或抄送国家秘密信息。

第六十七条从国际互联网或其它公众信息网下载程序和软件工具等转入涉密系统，经科技信息部审批后，按照信息交换及中间转换机管理规定执行。第九章便携式计算机管理第六十八条便携式计算机（包括涉密便携式计算机和非涉密便携式计算机）实行 “谁拥有，谁使用，谁负责”的保密管理原则，使用者须与公司签定保密承诺书。

第六十九条涉密便携式计算机根据工作需要确定密级，粘贴密级标识，按照涉密设备进行管理，保密办备案后方可使用。

第七十条便携式计算机应具备防病毒、防非法外联和身份认证（设置开机密码口令）等安全保密防护措施。

第七十一条禁止使用涉密便携式计算机上国际互联网和非涉密网络；严禁涉密便携式计算机与涉密信息系统互联。

第七十二条涉密便携式计算机不得处理绝密级信息。未经保密办审批，严禁在涉密便携式计算机中存储涉密信息。处理、存储涉密信息应在涉密移动存储介质上进行，并与涉密便携式计算机分离保管。

第七十三条禁止使用私有便携式计算机处理办公信息；严禁非涉密便携式计算机存储、处理涉密信息；严禁将涉密存储介质接入非涉密便携式计算机使用。

第七十四条公司配备专供外出携带的涉密便携式计算机和涉密存储介质，按照 “集中管理、审批借用”的原则进行管理，建立使用登记制度。外出携带的涉密便携式计算机须经保密办检查后方可带出公司，返回时须进行技术检查。第七十五条因工作需要外单位携带便携式计算机进入公司办公区域，需办理保密审批手续。

第十章应急响应管理

第七十六条

为有效预防和处置涉密信息系统安全突发事件，及时控制和消除涉密信息系统安全突发事件的危害和影响，保障涉密信息系统的安全稳定运行，科技信息部和财会部应分别制定相应应急响应预案，经公司涉密信息系统安全保密领导小组审批后实施。

（一）灾害事件：根据实际情况，在保障人身安全前提下，保障数据安全和设备安

1、病毒传播：及时寻找并断开传播源，判断病毒的类型、性质、可能的危害范围。为避免产生更大的损失，保护计算机，必要时可关闭相应的端口，寻找并公布病毒攻击信息，以及杀毒、防御方法；

4、网络故障：判断故障发生点和故障原因，能够迅速解决的尽快排除故障，并优先保证主要应用系统的运转；

5、其它未列出的不确定因素造成的事件，结合具体的情况，做出相应的处理。不能处理的及时咨询，上报公司信息安全领导小组。

（一）一般事件由科技信息部（或财会部）依据应急响应预案进行处置；

（二）较大事件由科技信息部（或财会部）、保密办依据应急响应预案进行处置，及时向公司信息安全领导小组报告并提请协调处置；

（三）重大事件启动应急响应预案，对突发事件进行处置，及时向公司党政报告并提请协调处置；

（四）特别重大事件由公司报请中核集团公司对信息安全突发事件进行处置。

第七十九条发生突发事件（如涉密数据被窃取或信息系统瘫痪等）应按如下应急响应的基本步骤、基本处理办法和流程进行处理：

（一）上报科技信息部和保密办；

（二）关闭系统以防止造成数据损失；

（三）切断网络，隔离事件区域；

（四）查阅审计记录寻找事件源头；

（五）评估系统受损程度；

（六）对引起事件漏洞进行整改；

（七）对系统重新进行风险评估；

（八）由保密办根据风险评估结果并书面确认安全后，系统方能重新运行；

（九）对事件类型、响应、影响范围、补救措施和最终结果进行详细的记录；

（十）依照法规制度对责任人进行处理。

第八十条

科技信息部、财会部应会同保密办每年组织一次应急响应预案演练，检验应急响应预案各环节之间的通信、协调、指挥等是否快速、高效，并对其效果进行评估，以使用户明确自己的角色和责任。应急响应相关知识、技术、技能应纳入信息安全保密培训内容，并记录备案。第十一章人员管理

第八十一条各部门、单位每年应组织开展不少于1次的全员信息安全保密知识技能教育与培训，并记录备案。第八十二条

涉密人员离岗、离职，应及时调整或取消其访问授权，并将其保管的涉密设备、存储介质全部清退并办理移交手续。

第八十三条承担涉密信息系统日常管理工作的系统管理员、安全保密管理员、安全审计管理员应按重要涉密人员管理。第十二章督查与奖惩

第八十六条各部门、单位应将员工遵守涉密计算机及信息系统安全保密管理制度的情况，纳入保密自查、考核的重要内容。对违反本规定造成失泄密的当事人及有关责任人，按公司保密责任考核及奖惩规定执行。第十三章附则

第八十七条本规定由保密办负责解释与修订。

关于公司计算机信息系统安全和保密管理工作的规定各部门：

为了认真贯彻落实ＸＸ保密委《关于传发<全市ＸＸ组织开展互联网涉密及敏感信息检查清除活动实施方案>的通知》精神和要求，进一步加强公司各部门网络及计算机信息安全的保密管理，防止网上泄密事件发生，确保公司网络及计算机工作安全可靠，结合公司实际情况，现就进一步加强计算机信息系统安全和保密管理工作有关事宜规定如下：

一、计算机操作人员必须遵守国家有关法律，任何人不得利用计算机从事违法活动。

二、按照“谁主管、谁负责”和“谁使用、谁负责”的原则，开展自查。

1.明确内网使用人责任，签订《职工信息安全保密责任书》，认真落实各项安全保密管理规章制度，积极参加各类安全保密学习和活动，知道“一机两用”违规行为的类型，不违反相关的制度规定。

2.严禁在互联网上发布公司涉密文件、资料、信息、数据。未经主管领导批准，不得向外提供公司信息和资料，坚持做到“谁上网、谁负责”，“上网不涉密、涉密不上网”。

三、严禁公司内网计算机终端上操作事项。2 / 3 1.内网计算机终端上违规处理、存储的国家秘密信息； 2.内网移动存储介质中违规存储的国家秘密信息； 3.内网服务器上违规处理、存储的国家秘密信息； 4.内网网站上违规发布的国家秘密信息。

四、严禁公司互联网网计算机终端上操作事项。

1.互联网计算机终端上违规处理、存储的国家秘密和警务工作秘密信息；

2.互联网移动存储介质中违规存储的国家秘密和警务工作秘密信息；

3.互联网服务器上违规处理、存储的国家秘密和警务工作秘密信息；

4.互联网上开设的网站中违规发布的国家秘密和警务工作秘密信息；

5.互联网社会网站上开通的微博、电子邮箱等信息发布和传输平台中违规发布、存储的国家秘密和警务工作秘密信息。

五、专用于存储公司财务、工程设计方案、安保方案应急预案等资料和内部文件的计算机要由专人使用，并设置密码，禁止网络上的其它计算机访问，禁止访问互联网及其它外部网络系统。

六、做好计算机网络病毒防治工作。每台计算机要由专人负责，定期升级计算机杀毒软件，进行查杀病毒，在使用3 / 3软盘、U盘和移动硬盘等存储、拷贝文件之前，要先查杀病毒。严禁在计算机有毒未杀的情况下发电子邮件和拷贝文件到公司的其它计算机上。

七、严格按照操作程序使用计算机，认真做好计算机防盗工作。公司员工要爱护计算机。下班及节假日，务必将电源开关关闭，彻底切断计算机电源，关好门窗，做好防火、防盗工作。

八、严格工作纪律。禁止浏览和下载不健康的网上信息，禁止从网上下载与工作无关的软件。二〇一二年五月三日

计算机网络及信息资源安全保密管理制度第一节总则

第一条为保护公司计算机信息资源的安全，并规范公司计算机及网络硬件的采购、安装（建设）、维护、管理等环节的管理要求，根据《中华人民共和国保守国家秘密法》，《中华人民共和国计算机信息网络国际互联网管理暂行规定》和《中国公用计算机互联网国际联网管理办法》，特制定本规定。第二条本规定适用于公司内部所有单位所使用的计算机系统。第二节计算机的涉密管理规定

第三条公司内部计算机信息系统的安全保密工作由信息技术部负责具体实施。公司各下属单位、部门主要领导主管本单位、本部门的计算机信息系统的安全保密工作。第四条存放过秘密信息的计算机及相应介质未在彻底格式化前不能降低密级使用。第五条存储有秘密信息的计算机及相应存储装置在维修时，应采取措施保证所存储的秘密信息不被泄露。

第六条企业内部规划和建设任何计算机信息系统，应当同步规划落实相应的信息资源安全保密措施。

第七条对涉及企业经营、管理、技术和人事秘密的数据库以及计算机应用系统，必须采取技术安全保密措施，并且不得与外部连通。第三节计算机及网络硬件管理

第八条所有计算机及网络硬件的采购和建设实施，须在总体规划目标指导下进行。第九条进入总体规划的计算机及网络硬件在采购和建设实施时，需提前预算。作为预算的申请依据，信息技术部每年第四季度在公司开始下一的预算工作前，发布次年各类主要计算机设备的采购计划价。

第十条总部部门或事业部在申请预算（或追加预算）时若涉及计算机购买计划，须提交《计算机设备预算追加及采购审批表》，并履行相应的审核手续。

第十一条信息技术部负责编制公司网络中心及主干网络硬件采购计划和预算，报公司批准后执行。总部各部门获批准的计算机预算，由信息技术部监管使用。

第十二条各事业部每年底将下的计算机及网络硬件采购计划和预算报信息技术部审核。信息技术部有权纠正事业部硬件采购计划或硬件预算中不合理的需求。第十三条每预算定稿之后，运营管理部负责将总部部门及各事业部获准采购计算机的数字通报信息技术部，信息技术部负责监管各单位的采购行为。

第十四条信息技术部在每季度的第一周发布本季度的计算机硬件采购选型指导，供全公司统一执行。

第十五条对公司总部及各事业部需求量较大的计算机设备，信息技术部会同运营管理部通过招标谈判在计算机供货商中选定战略合作伙伴，使公司总部及各事业部能够以统一的优惠价格采购到所需的计算机产品。

第十六条公司总部的硬件采购工作，委托装载机事业部代为实施。装载机事业部接受委托时须对申请部门提交的《计算机设备预算追加及采购审批表》确认后,方可采购。第十七条各事业部计算机维修配件的采购，由各事业部根据不同计算机的具体情况相应处理。

第十八条在硬件采购合同执行的过程中，如遇到特殊情况需要更改采购技术型号的，必须经过信息技术部复审同意。

第十九条公司总部的计算机，由信息技术部负责硬件安装、维修、服务和管理。各事业部的计算机，由事业部备案的硬件岗位人员负责软硬件安装、维修、服务和管理。第二十条公司总部各部门和各事业部每年底要将本单位的计算机设备状况、配置变动、责任人变动等情况填表报信息技术部。

第二十一条岗位上的计算机超过使用年限之后，如果因为主要部件的故障频率高并无法修复的，经过所在资产管理实体的资产管理人员及硬件专业人员审核同意后，可以申

第四节网络的接入管理

第二十二条信息技术部是管理企业网络接入的责任部门。信息技术部的网络管理员是整个柳工网络的总管理员，对全网安全总负责，并牵头与各子域网络管理员组建企业网络管理委员会，共同维护企业的网络安全以及信息安全。

第二十三条为保障企业网络的安全，所有连接到企业内部网的计算机必须经过信息技术部的企业网络管理员注册登记。每台联网的计算机都必须确定责任人，对该机的遵纪使用及安全状况负责。不得私自在内部网上接入未经网管注册的计算机，否则视同窃取企业机密，一旦发现，按照有关规定进行处理。

第二十四条为保证网络信息资源安全，严格便携机的管理，在柳工网内使用便携机的特殊用户必须登记备案，并接受网络安全措施、信息安全培训和病毒防护管理。第二十五条为防止信息流失和计算机病毒，要严格控制内部网与外部的直接I/O 通道，所有联网的计算机都要拆除软驱、光驱、刻录设备及其他移动存储设备。需要保留的，必须经过企业信息工作主管领导的特别批准，向信息技术部的网络管理员登记注册。第二十六条未经信息技术部批准和备案，私自在企业网络的计算机上安装各种通讯和存储设备（如MODEM、软驱、光驱等）、私自往厂区内带入未经注册登记的便携机和存储设备等行为，均视同窃取企业机密，一经发现，须没收上交企业保密委员会，按照有关规定进行处理。

第二十七条合作单位人员因业务交流需要带入计算机及有关设备的，不得接入企业网络，由接待部门领导负责相应的信息安全责任。要进行数据交换的，按本规定有关条文处理。第二十八条

通过MODEM、VPN 等各种方式连入企业内部网的远程访问用户也要柳工内部控制制度接受企业网络总管理员的管理，否则将不允许连接到企业内部网。

第二十九条企业网络是工作网络，禁止任何利用企业网络以及企业集成信息平台进行有损企业安定团结局面的行为，违犯者将被追究纪律甚至法律的责任。

第三十条企业的网络和计算机都属于企业生产、工作的重要设备，任何破坏企业网络和计算机的行为都视同破坏企业生产、工作的严重行为，需要追究纪律和法律的责任。第五节数据及信息安全的管理第三十一条

数据及信息的安全包括数据的物理安全以及信息保密。企业各计算机信息系统都要建立相应的安全管理制度，信息技术部对企业的全局数据库信息资源安全负责，各应用系统、单位部门的主要负责人对本应用系统、单位部门的计算机信息资源安全负责。第三十二条各应用系统、主要单位部门及各域都必须建立相应的数据备份与灾难恢复制度和策略，并切实执行。

第三十三条

确有特殊需求经批准在企业网的某些计算机上保留有光驱和软驱的部门，其部门领导和系统管理员必须对该I/O 通道的安全负责，各类数据的拷出必须有相关领导的审批以及文字性记录备案。

第三十四条除网络管理员及其授权人员外，其余人员无权擅自在网络上传播、扩散来自企业网络以外的其它软件和电子文档。

第三十五条

计算机信息系统联网应当采取系统访问控制、数据保护和系统安全防火

第四篇：《税务计算机信息系统安全管理规定》

国家税务总局关于印发《税务计算机

信息系统安全管理规定》的通知

1999年7月20日国税发【1999】131号

各省、自治区、直辖市和计划单列市国家税务局、地方税务局，扬州培训中心、长春税务学院：

为加强全国税务机关计算机信息系统安全保护工作，保证税收电子化事业的顺利发展，根据公安部、国家保密局的有关规定，针对新形势下计算机应用的特点，总局对1997年发布的《税务系统计算机系统安全管理暂行规定》（国税发

【1997】069号）进行了修订和完善，并更名为《税务计算机信息系统安全管理规定》。现印发给你们，请遵照执行。原国税发【1997】069号同时作废。

国家保密局国保发【1998】1号、中央保密委员会、国家保密局中保发【1998】6号、中华人民共和国公安部令第33号等文件随本文一并印发。

税务计算机信息系统安全管理规定

第一章总则

第一条根据《中华人民共和国保守国家秘密法》和公安部、国家保密局的有关规定及要求，为了更好地规范和管理税务系统的计算机、网络设备和电子信息，使之安全运行，更好地发挥计算机、网络和信息资源的作用，特制定《税务计算机信息系统安全管理规定》（以下简称《规定》）。

第二条本《规定》适用于全国地市级以上税务机关的网络、计算机及附属设备和电子数据的管理。

第三条税务系统计算机信息系统安全保护工作谁主管、谁负责，预防为主、综合治理、人员防范与技术防范相结合的原则，逐级建立安全保护责任制，加强

制度建设，逐步实现管理科学化、规范化。

第四条任何组织或个人，不得利用计算机信息系统从事危害国家利益、集体利益和公民合法利益的活动，不得危害计算机信息系统的安全。

第五条各级税务机关计算机信息系统的建设和规划应按国家保密局（国保发【1998】1号）文件的规定，同步规划并落实相应的保密措施。

第六条涉及国家秘密的计算机信息系统的建设，必须严格按照中共中央保密委员公办公室和国家保密局（中保办发【1998】6号）的通知要求，报经省局以上保密部门审批后，方可投入使用。

第七条违反规定并造成重大事故的，将追究主管负责人和直接责任人的责任，触犯法律的将依法处理。

第二章计算机系统安全组织及职管理

第八条国家税务总局保密委员会主管全国税务机关计算机信息系统的安全管理工作。地方各级税务机关的保密委员会应负责本机关和下属单位计算机信息系统的安全管理工作。

第九条计算机信息系统的安全管理应实行领导负责制，由使用计算机信息系统的单位主管领导负责本单位的计算机系统的安全工作，并指定有关机构和人员具体承办。

第十条凡税务系统省、地、市（县）以上的税务机关，其计算机使用具一定规模的均应成立计算机信息系统安全小组；条件不够成熟的，可指定计算机信息系统安全管理员具体负责。

第十一条计算机信息系统的安全管理机构由各级保密委员会办公室与计算机管理部门共同负责组建，并吸收具有专业技术水平和实践工作经验的计算机技术人员参加，认真履行安全管理职责。

第十二条计算机信息系统安全小组的主要职责：

一、全面负责本单位计算机信息系统的安全管理、监督检查和指导计算机

安全方面的工作。

二、负责制定具体的安全管理办法和规章制度，检查规章制度的执行落实

情况。

三、面向系统内用户和所属单位通报计算机病毒情况，提供防治计算机病

毒的技术服务。

四、负责向公安部门办理有关备案手续，协助安全管理方面的其它工作和

查处事故。

第三章机房人员管理

第十三条各级税务机关的计算机房是重要性的经济基础信息处理场所，必须严格执行国家有关安全保密制度的规定，防止重要经济信息的泄露。

第十四条各用机单位对可能接触到机要信息的计算机管理人员，应定期进行保密教育。

第十五条网络系统管理员等重要岗位，应选派责任心强，工作认真负责的人员担任。

第十六条机房内严禁未经许可的非有关人员进。如需进入，必须由本单位有关统口令，以防机密信息的泄露。

第十七条严禁各岗位人员越权操作，对重要的计算机信息处理系统应分级加设系统口令，以防机密信息的泄露。

第十八条涉密计算机、服务系统管理员的口令其长度必须超过8位字符，每月至少更换一次。

第十九条涉及密码的文件须妥善保存，不得随意公布。

第二十条对重要的资料档案要妥善保管，以防丢失泄露。机房内废弃的打印纸及磁介质等，应按国家有关规定进行销毁。

第二十一条提高警惕，防止和打击窃取、泄露、私自修改计算机重要信息、破坏干忧计算机系统和网络正常运行的违法犯罪行为。

第二十二条严格遵守保密制度，保证税收数据、信息、资料的准确、安全可靠。

第二十三条调离人员必须移交全部技术资料和有关文档，删除自己的文件、账号，由系统管理员修改有关的口令。

第四章计算机安全产品的管理

第二十四条对新购进的计算机及其设备，须组织专业人员检测后，方可安装运行，防止由于质量引起的总是和原始病毒的侵害。

第二十五条计算机及网络的安全产品（防病毒软件防火墙、安全隔离产品、安全监控产品等）必须使用经过公安部、国家保密局等有关部门鉴定批准销售的产品，并及时更新版本。不得使用国外同类产品。

第二十六条不得传播、复制病毒和病毒程序，不得撰写这方面的文章。第十七条加密产品的核心机密应交本单位办公厅（室）机要部门或保密办公室保存，严禁随意存放，严禁交于公司管理。

第二十八条网络加密物理产品，在有条件的地方应安置监控设备。

第五章网络安全管理

第二十九条在网络建设的设计中即应考虑安全检查技术措施，采用较成熟的安全管理和监控技术、防治病毒技术。

第三十条使用MODEM经电话线上Internet终端，在拨号上网时，必须中断与局域网和广域网的联接，以防止内部数据的外汇和遭受恶意攻击。

第三十一条根据中保办发【1998】6号文第十六条的规定：税务系统Internet的建设，物理上应与本地局域网隔离。

第三十二条广域网通讯服务器、拨号服务器、Internet服务器等与外界联接设备需设立防火墙、代理服务器、网关等防护措施，以防止外界的恶意攻击。

第三十三条涉密计算机严禁访问Internet。

第三十四条涉密数据的存储和传输应当按照国家保密局和公安部保密规定配有相应的加密措施。

第三十五条涉密数据在数据加密网络建立之前，严禁通过公网传递。第三十六条涉密数据加密网络建立之前，严禁通过公网传递。

第三十六条涉密计算机设备的维修应确保密级数据不被泄露。对报废计算机应将硬盘拆除后，由专人负责集中销毁。

第六章数据、资料和信息的安全管理

第三十七条机房及使用计算机的单位都要设专人负责文字及磁介质资料的安全管理工作。

第三十八条建立资料管理登记簿，详细记录资料的分类、名称、用途、借阅情况等，便于查找和使用。

第三十九条技术资料应集中统一保管，严格借阅制度。

第四十条应用系统和操作系统需用磁带、磁盘备份。对重要的可变数据应定时清理、备份，并送指定地点存放。

第四十一条存放税收业务应用系统及重要信息的磁带磁盘严禁外借，确因工作需要，须报请有关领导批准。

第四十二条对需要长期保存的数据磁带、磁盘，应在质量保证期内（一般为一年）进行转储，以防止数据失效造成损失。

第四十三条按照总局IP地址的统一安排，设置本系统网络的总体布局、局域网段和下属单位的IP地址的划分，各级税务机关需将本单位和下属单位的网段分配报送上一级税务机关备案。

第四十四条有关路由表、网络IP地址的变更，应做好记录，同时需报上级主管部门备案。

第七章机房环境、消防安全管理

第四十五条计算机设备和机房应保持其工作环境整洁，保持其所必须的湿度。

第四十六条计算机房应列为单位要害和重点防火部位，按照规定配备足够数量的消防器材，机房工作人员要熟悉机房消防器材的存放位置及使用方法，并定期检查更换。

第四十七条严禁在防火通道内堆放杂物，确保设备及工作人员的安全。第四十八条机房及其附近严禁吸咽、焚烧任何物品。

第四十九条严禁携带易燃易爆品进入机房，因工作需要使用易燃物品时，应严格执行操作规程，用后必须置于安全状态，妥善保管。

第五十条机房用电量严禁超负荷运行，禁止使用时，应按规定操作，有专人看守，确保安全。

第五十一条机房内使用电烙铁要严格控制，必须使用时，应按规定操作，有专人看守，确保安全。

第五十二条定期对机房供电线路及照明器具进行检查，防止因线路老化短路造成火灾。

第五十三条机房工作台人员要熟悉设备电源和照明用电以及其他电气设备总开关位置，掌握切断电源的方法的步骤，发现火情及时报告，沉着判断电源及通风系统，采取有效措施及时灭火。

第五十四条机房内应定期除尘，在除尘时应确保计算机设备的安全。第五十五条机房内严禁存放、食用任何食品。

第五十六条节假日期间，如工作需要开机，应留有值班人员，或开启监控设备。

第八章附则

第五十七条本《规定》由国家税务总局信息中心负责解释。

第五十八条本《规定》自发布之日起施行。

第五篇：广东省计算机信息系统安全保护管理规定

广东省人民政府令

第81号

《广东省计算机信息系统安全保护管理规定》已经2003年3月31日广东省人民政府第十届4次常务会议通过，现予发布，自2003年6月1日起施行。

省长黄华华

二○○三年四月八日

广东省计算机信息系统安全保护管理规定

第一条为了保护计算机信息系统的安全，促进信息化建设的健康发展，根据《中华人民共和国计算机信息系统安全保护条例》和《计算机信息网络国际联网安全保护管理办法》规定，结合本省实际，制定本规定。

第二条本省行政区域内计算机信息系统的安全保护，适用本规定。

未联网的微型计算机的安全保护办法，按国家有关规定执行。

第三条本规定所称的计算机信息系统，是指由计算机及其相关的和配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。

第四条县级以上人民政府公安机关主管本行政区域内的计算机信息系统安全保护工作。

国家安全机关、保密工作部门和政府其他有关部门，在各自职责范围内做好计算机信息系统安全保护工作。

第五条公安机关、国家安全机关为保护计算机信息系统安全，在紧急情况下，可采取24小时内暂时停机、暂停联网、备份数据等措施，有关单位和个人应当如实提供有关信息和资料，并提供相关技术支持和必要的协助。

第六条地级以上市公安机关应当有专门机构负责计算机信息系统中发生的案件和重大安全事故报警的接受和处理，为计算机信息系统使用单位和个人提供安全指导，并向社会公布举报电话和电子邮箱。

第七条计算机信息系统使用单位应当确定计算机安全管理责任人，建立健全安全保护制度，落实安全保护技术措施，保障本单位计算机信息系统安全，并协助公安机关做好安全保护管理工作。

提供电子公告、个人主页等信息服务的使用单位，应当设立信息审查员，负责信息审查工作。

第八条计算机信息系统使用单位应当建立并执行以下安全保护制度：

（一）计算机机房安全管理制度；

（二）安全管理责任人、信息审查员的任免和安全责任制度；

（三）网络安全漏洞检测和系统升级管理制度；

（四）操作权限管理制度；

（五）用户登记制度；

（六）信息发布审查、登记、保存、清除和备份制度，信息群发服务管理制度。

第九条计算机信息系统使用单位应当落实以下安全保护技术措施：

（一）系统重要部分的冗余或备份措施；

（二）计算机病毒防治措施；

（三）网络攻击防范、追踪措施；

（四）安全审计和预警措施；

（五）系统运行和用户使用日志记录保存60日以上措施；

（六）记录用户主叫电话号码和网络地址的措施；

（七）身份登记和识别确认措施；

（八）信息群发限制和有害数据防治措施。

向公众提供上网服务的场所以及其他从事国际联网业务的单位应当安装国家规定的安全管理软件。

第十条对计算机信息系统中发生的重大安全事故，使用单位应当采取应急措施，保留有关原始记录，在24小时内向当地县级以上人民政府公安机关报告。

第十一条任何单位和个人不得利用计算机信息系统从事下列行为：

（一）制作、复制、查阅、传播有害信息；

（二）侵犯他人隐私，窃取他人帐号，假冒他人名义发送信息，或者向他人发送垃圾信息；

（三）以盈利或者非正常使用为目的，未经允许向第三方公开他人电子邮箱地址；

（四）未经允许修改、删除、增加、破坏计算机信息系统的功能、程序及数据；

（五）危害计算机信息系统安全的其他行为。

第十二条计算机信息系统及计算机机房应当按照国家有关规定以及国家标准进行安全保护设计和建设。

第十三条销售的计算机信息系统安全专用产品（含计算机信息系统安全检测产品）应当取得公安部颁发的《计算机信息系统安全专用产品销售许可证》。密码产品的管理，按国家有关规定执行。

第十四条下列计算机信息系统使用单位为重点安全保护单位：

（一）县级以上国家机关、国防单位；

（二）银行、证券、能源、交通、邮电通信单位；

（三）国家及省重点科研、教育单位；

（四）国有大中型企业；

（五）互联单位、接入单位及重点网站；

（六）向公众提供上网服务的场所。

第十五条重点安全保护单位计算机安全管理责任人和信息审查员应当参加县级以上人民政府公安机关认可的安全技术培训，并取得安全技术培训合格证书。

第十六条重点安全保护单位计算机信息系统及计算机机房安全保障体系的设计、建设和检测应当由有安全服务资质的机构承担。

重点安全保护单位计算机信息系统及计算机机房应当由有安全服务资质的机构检测合格后，方可投入使用。

第十七条申请安全服务资质，应当具备以下条件：

（一）取得相应经营范围的营业执照；

（二）取得安全技术培训合格证书的专业技术人员不少于10人，其中大学本科以上学历的人员所占比例不少于70%；

（三）负责安全服务工作的管理人员应当具有2年以上从事计算机信息系统安全技术领域企业管理工作经历，并取得安全技术培训合格证书；

（四）有与其从事的安全服务业务相适应的技术装备；

（五）有与其从事的安全服务业务相适应的组织管理制度；

（六）法律法规规定的其他条件。

第十八条申请安全服务资质，应当持下列资料向地级以上市公安机关提出申请：

（一）申请书；

（二）营业执照（复印件）；

（三）管理人员和专业技术人员的身份证明、学历证明和安全技术培训合格证书；

（四）技术装备情况及组织管理制度报告。

地级以上市公安机关应当自接到申请材料之日起15日内进行初审。初审合格的，报送省公安机关核准；初审不合格的，退回申请并说明理由。

省公安机关应当自接到初审意见之日起15日内进行审查，符合条件的，核发资质证书。不符合条件的，作出不予核准的决定并说明理由。

资质证书实行年审制度。年审不得收费。

第十九条计算机信息系统使用单位应当将计算机信息系统安全保护工作纳入内部检查、考核、评比内容。对在工作中成绩突出的部门和个人，应当给予表彰奖励。对未依法履行安全保护职责或违反本单位安全保护制度的，应当依照有关规定对责任人员给予行政处分。

第二十条违反本规定，有下列行为之一的，由县级以上人民政府公安机关给予警告，并责令限期整改；逾期不改的，可以给予6个月以内停机整顿或者停止联网的处罚，并可对单位处以5000元以下罚款，对安全管理责任人处以500元以下罚款。国家另有规定的，从其规定。

（一）未按规定建立安全保护制度的；

（二）未按规定落实安全保护技术措施的；

（三）计算机信息系统及计算机机房未按国家有关规定和国家标准进行安全保护设计和建设的；

（四）重点安全保护单位计算机安全管理责任人和信息审查员未经县级以上人民政府公安机关认可的安全技术培训并取得合格证书的；

（五）重点安全保护单位将本单位计算机信息系统及计算机机房安全保障体系的设计、建设和检测交由未具有安全服务资质的机构承担的，或者未经有安全服务资质的机构检测合格即投入使用的。

第二十一条计算机信息系统使用单位对计算机信息系统中发生的重大安全事故，未在规定时间内报告公安机关的，由县级以上人民政府公安机关处以警告或者停机整顿。

第二十二条利用国际联网的计算机信息系统从事本规定第十一条所规定行为的，依照国家有关规定进行处理。

利用未国际联网的计算机信息系统从事本规定第十一条所规定行为的，由县级以上人民政府公安机关给予警告，对单位可处以1000元以下罚款，对个人可处以100元以下罚款。

第二十三条计算机信息系统安全专用产品未取得《计算机信息系统安全专用产品销售许可证》进行销售的，依照国家有关规定进行处理。

第二十四条未取得安全服务资质的机构，承担重点安全保护单位计算机信息系统及计算机机房安全保障体系的设计、建设和检测的，由县级以上人民政府公安机关责令限期整改，并处以1万元以下罚款。

第二十五条行政管理部门的工作人员违反本规定，玩忽职守、滥用职权的，由主管部门依照有关规定给予行政处分；构成犯罪的，由司法机关依法追究刑事责任。

第二十六条军队的计算机信息系统安全保护工作，按照军队的有关规定执行。

第二十七条计算机信息系统的保密管理，依照国家和省的有关规定执行。

第二十八条本规定自2003年6月1日起施行。

计算机信息系统安全管理规定

第一篇：计算机信息系统安全管理规定

第二篇：计算机和信息系统安全保密管理规定

第三篇：计算机和信息系统安全保密管理规定

第四篇：《税务计算机信息系统安全管理规定》

第五篇：广东省计算机信息系统安全保护管理规定

相关范文推荐

XXX市计算机信息系统安全管理规定

计算机信息系统安全管理岗位职责

《关于加强党政机关计算机信息系统安全和保密管理的若干规定》（本站推荐）

中国人民解放军计算机信息系统安全保密规定

关于加强党政机关计算机信息系统安全和保密管理的若干规定(转发)

丹徒国土资源局机关计算机信息系统安全和保密管理若干规定

公司计算机信息系统安全保密规定第二章

计算机信息系统安全管理制度