公司涉密計算機及信息管理計劃系統制度規范24頁.doc
下載文檔
上傳人:職z****i
編號:1101640
2024-10-29
24頁
363KB
1、公司涉密計算機及信息管理計劃系統制度規范編 制: 審 核: 批 準: 版 本 號: ESZAQDGF001 編 制: 審 核: 批 準: 版 本 號: 涉密計算機和信息管理系統管理制度YHNB/B 20008-XX第條 涉密計算機信息系統是指由計算機及相關的配套設備、設施(含網絡)構成的,按照一定的應用目標和規則,用于采集、存儲、處理、傳遞、輸出國家秘密信息的人機系統。本公司內涉密計算機信息系統即用于處理涉密信息的單機。第條 涉密計算機信息系統的安全保密工作堅持“堅持防范,突出重點,嚴格標準,嚴格管理”及“分層負責,負責到人”的原則。第條 涉密計算機信息系統的保密管理實行領導責任制,由使用部門2、主管領導負責本部門涉密計算機信息系統的保密工作。公司保密部位配備專用涉密計算機,保密部位負責人負責涉密計算機的日常監督管理,加強對使用人員的教育和培訓。第條 涉密計算機使用人員應當遵守國家相關保密的法律、法規及公司保密制度,加強保密學習和培訓,不得實施危害國家安全和利益行為。第條 對從事涉密計算機信息系統工作人員,應進行嚴格的涉密資格審查并進行經常性的保密教育,確保工作人員接受過專項培訓,熟悉公司的相關保密規定和實施細則。第條 涉密計算機信息系統內部聯網應當采取系統訪問控制、數據保護和系統安全保密監控管理等技術措施。第條 涉密計算機信息系統只限于公司內部使用。第條 不得擅自修改涉密計算機網絡相3、關設置。第條 不得擅自安裝或卸載涉密計算機軟件。第條 涉密計算機須與外網完全物理隔離,不得存在通過撥號、電纜或無線等方式違規外聯,不得以任何方式違規接入互聯網或公共信息網。第條 禁止使用非涉密的計算機、信息系統和存儲介質存儲和處理涉密信息。第條 禁止將涉密計算機和信息系統接入內部非涉密信息系統。第條 未經審批,禁止對涉密計算機和信息系統格式化或重裝操作系統,禁止刪除涉密計算機和信息系統的移動存儲介質及外部設備等日志記錄。第條 公司保密辦負責設立專門的網絡管理員,負責涉密計算機信息系統用密碼(密匙)的生成、分配和保密管理,并按有關保密規定和要求負責公司涉密計算機信息系統的管理和設備的日常維修和維4、護工作。第條 公司保密辦公室負責對計算機信息系統的保密工作進行指導、協調、監督和檢查。第條 涉密計算機是指經公司保密辦確定的用于處理或者存儲國家秘密的單硬盤計算機(含便攜式計算機及U盤和移動硬盤)。第條 涉密計算機和信息系統運行使用前應經保密管理部門審批,并對涉密計算機作出密級標識,建立臺帳管理制度。涉密計算機要在主機和顯示器左上角粘貼保密標識;專機專用,嚴格與非涉密計算機區別,禁止混用、亂用。第條 涉密計算機應采取口令進行身份鑒別,應在BIOS內設置不得少于八個字符的開機密碼,同時應在WINDOWS系統下面設置不得少于八個字符的登陸密碼。密碼每月至少更換一次,適用時可以增加更換頻次。密碼變更5、時需填寫涉密計算機密碼變更表。登錄系統輸入口超過3次即鎖定帳戶。第條 涉密計算機應設屏幕保護程序,屏幕保護等待不得超過5分鐘,屏幕保護程序應設恢復密碼,重新進行身份鑒別。第條 涉密計算機需定期、及時地對涉密計算機的系統電源、接地、屏蔽等當面的技術性能參數進行檢查,定期、及時地進行查殺病毒、入侵監測、漏洞掃描等安全軟件系統的升級工作,由保密管理員進行。嚴禁將互聯網上的數據直接復制到涉密計算機中,確因工作需要,經審批后使用非涉密存儲介質進行復制,并采取保密防范措施嚴防病毒感染和惡意代碼程序植入。第條 存儲國家秘密的計算機及其使用的移動硬盤、U盤等,按存儲信息的最高密級進行標識。第條 涉密計算機必須6、裝上保密U盤自帶保密軟件,裝上軟件后USB接口將只有保密U盤才能使用。第條 存儲過國家秘密的計算機不能隨意降低密級或轉為非涉密計算機使用。確需降低密級使用的,必須經過批準并采取嚴格的保密技術處理(如更換硬盤)。第條 涉密計算機維修時應將涉密信息備份后徹底刪除,并由專人在場監督。第條 存儲過國家秘密的計算機不能使用時經部門領導審批后上交保密辦統一處理。第條 涉密信息必須按照保密規定進行采集、存儲、處理、傳遞、使用和銷毀。第條 涉密計算機信息系統存儲、處理、傳遞的涉密信息電子文檔(涉密的文檔、圖表、圖形、數 據、軟件,包括正處于起草、設計、編輯、修改過程中的文件)應有相應的密級標志,密級標志不能與7、正文分離。標志位置可在首頁的左上角或文件名后,不宜在首頁左上角或文件名后標志的也可在文件或文件夾后標志。第條 涉密計算機信息系統打印出的涉密文件,應當按相應密級的文件進行管理。第條 涉密計算機信息系統存儲的涉密信息應當進行備份的,備份的信息應當按照原件的密級進行管理。第條 公司任何部門個人不得擅自復制涉密的計算機軟件及涉密信息。因工作確需復制的,應當按規定履行相應的審批手續。第條 公司各有關部門對涉密信息處理場所要嚴格按照公司保密規定進行管理,未經公司領導或保密辦批準,無關人員禁止入內;公司涉密人員進出時要嚴格遵守公司的保密制度。第條 對涉密信息處理場所每年或根據需要進行保密技術檢查。第條 涉8、密信息處理場所應有相應的防電磁信息泄露的保護措施和監視設備。第條 涉密信息處理場所的物理安全符合國家有關保密標準。第條 便攜式計算機是指公司各部門工作人員用于業務工作配備的手提電腦,移動存儲介質指公司各部門工作人員用于業務工作配備的U盤、硬盤。便攜式計算機和移動存儲介質又分為絕密、機密、秘密三種。第條 便攜式計算機或移動存儲介質需處理或存儲涉密信息的,填寫涉密便攜式計算機、移動存儲介質審批表,經保密辦批準后,按指定的密級定為涉密便攜式計算機或涉密移動存儲介質,涉密便攜式計算機及涉密移動存儲介質的管理與涉密計算機保密管理相同。第條 涉密移動存儲介質須粘貼密級標識。第條 保密辦負責公司對各部門便攜9、式計算機和移動存儲介質登記,第條 對全公司便攜式計算機和移動存儲介質的數量、使用部門、使用人等要嚴格登記管理,帳物相符,定期檢查。第條 保密辦負責對涉密便攜式計算機和移動存儲介質的管理。審核與監督,并負責非涉密便攜式計算機和移動存儲介質的例行檢查工作。使用人應自覺接受保密辦對便攜式計算機和移動存儲介質使用情況的檢查并接受保密教育。第條 在公司的涉密場所內只能使用屬于公司產權的便攜式計算機和移動存儲介質。私人的便攜式計算機和移動存儲介質嚴禁帶入工作場所。第條 便攜式計算機和移動存儲介質要專機專用、專人負責保管,不得隨便放置。第條 涉密便攜式計算機和移動存儲介質不能與上國際互聯網或公共信息網的計算10、機相連。用于下載國際互聯網或其他公共信息網的移動存儲介質不得與涉密計算機或涉密計算機信息系統相連接。第條 因工作需要攜帶涉密便攜式計算機和涉密移動存儲介質出公司,需填寫涉密便攜式涉密計算機和涉密移動存儲介質出公司審批表,經保密管理部門及保密委員會審批,不得帶出公司。第條 使用人崗位變動、到期更換、使用期滿、退休、調離本公司,要主動將便攜式計算機和(或)移動存儲介質經保密辦審查后,移交到公司保密委員會辦公室。第條 如發生涉密便攜式計算機或涉密移動存儲介質丟失后發現涉密信息泄露時,要及時采取補救措施并報保密辦。第條 便攜式計算機或移動存儲介質無需處理涉密信息的,定為非涉密便攜式計算機或移動存儲介質11、。非涉密便攜式計算機和移動存儲介質內部不得存有任何涉密信息。非涉密便攜式計算機不得處理任何涉密信息,不得使用涉密存儲介質。非涉密便攜式計算機不得通過撥號、電纜、無線接入方式與涉密信息系統連接。第條 中間轉換機是與任何計算機和信息系統實現物理隔離,獨立密級的專用計算機。主要用于將外部信息導入到公司內部涉密計算機或涉密信息系統。就是從非涉密計算機向涉密計算機單向導入非涉密信息的一臺專用計算機。中間轉換機分為非涉密中間轉換機和涉密中間轉換機。第條 非涉密中間轉換機用于將國際互聯網、公共信息網絡和其他非密信息系統的信息導入涉密計算機和信息系統,包括計算機病毒與惡意代碼樣本庫、補丁程序、應用程序、數據和12、其他相關信息等。第條 涉密中間轉換機用于實現外部的涉密移動存儲介質與內部涉密計算機和信息系統的信息交換。涉密中間轉換機的密級應當根據轉換信息的最高密級確定。第條 從國際互聯網、公共信息網絡等非涉密信息系統導入信息到涉密計算機和信息系統時,應當填寫審批單,注明信息的名稱、來源、用途等,經主管領導批準后將信息導入到非涉密中間轉換機,拔除導入信息存儲介質,進行計算機病毒與惡意代碼、間諜軟件、木馬程序的查殺,然后將信息刻錄到一次性寫入光盤,導入到涉密計算機和信息系統中,記錄導入過程,審批單、操作記錄和光盤應當存檔備案。禁止逆向操作,非涉密中間機不得向外導出信息。第條 涉密計算機和信息系統中的非涉密信息13、需要對外交換時,一般應當輸出紙介質文件。從單臺涉密計算機以電子文件輸出非涉密信息時,應當采取刻錄一次性寫入光盤的方式進行。可以配置移動光盤刻錄裝置,由涉密計算機安全保密管理員或指定專人負責管理和使用。輸出時,應當對文件內容進行檢查,輸出完成后做好記錄,并卸載移動光盤刻錄裝置,關閉數據接口,所有的記錄存檔。第條 將外部涉密移動存儲介質信息導入涉密計算機和信息系統時,應當填寫審批單,注明信息的名稱、來源、用途等,經主管領導批準后將信息導入到涉密中間轉換機,拔除外部涉密存儲介質,進行計算機病毒與惡意代碼、間諜軟件、木馬程序的查殺,然后將信息刻錄到一次性寫入光盤或拷貝到內部采取了技術防護措施的涉密移動14、存儲介質,導入到涉密計算機和信息系統中。應記錄導入過程,光盤應當存檔備案,移動存儲介質應當交換涉密中間轉換機管理人員,并及時進行信息清除后繼續使用。第條 禁止移動存儲介質在不同的計算機和信息終端之間來進行交叉使用。第條 公司內部的單臺涉密計算機之間或與涉密信息系統進行信息交換時,可使用采取技術防護措施的涉密移動存儲介質,也可以采用涉密中間轉換機的方式進行。第條 每3個月形成文檔化的安全保密審計報告;每12個月根據系統綜合日志,進行一次風險自評估,形成文檔化的風險分析報告,對存在的風險應當及時采取補救措施。附件:1、涉密計算機備案表2、涉密計算機臺賬管理表3、涉密計算機保密管理情況檢查表4、涉密15、計算機密碼變更表5、涉密移動存儲介質臺帳6、涉密移動存儲介質保密管理情況檢查表7、涉密便攜式計算機、移動存儲介質審批表8、涉密便攜式涉密計算機和涉密移動存儲介質出公司審批表9、涉密計算機及其連接設備、辦公自動化維修、維護、報廢審批表10、涉密設備、保密防范設施、設備臺帳管理表11、涉密信息數據備份登記表12、涉密計算機信息傳輸申請審批表13、病毒庫更新登記表附件一:涉密計算機備案表單位(蓋章): 備案編號:使用部門保密負責人聯系電話密級計算機類型品牌型號相關配置操作系統外設配備情況硬盤序列號應用軟件情況違規上網監管軟件安裝情況防病毒軟件安裝情況系統安全設置和配置情況安放位置及物理環境防護情況電16、磁發射泄露防護情況使用人員情況備案意見變更原因及采取的處理措施變更審查意見備注填表時間; 年 月 日 填表人:附件二:涉密計算機臺賬管理表序號使用部門使用人設備型號硬盤號密級標識操作系統啟用日期附件三:涉密計算機保密管理情況檢查表檢查日期:序號部門名稱使用人員設備型號硬盤號是否感染木馬病毒是否用過非密介質是否安裝無線網卡使用人簽名附件四:涉密計算機密碼變更表更改日期開機密碼管理員密碼用戶密碼更改人附件五:涉密移動存儲介質臺帳序號使用部門使用人序列號編號密級標識啟用日期附件六:涉密移動存儲介質保密管理情況檢查表檢查日期:序號部門名稱使用人員序列號編號密級標識外出攜帶有無記錄是否感染木馬病毒是否連17、接過上互聯網計算機使用人簽名檢查人: 年 月 日附件七:涉密便攜式計算機、移動存儲介質審批表使用部門使用責任人涉密便攜式計算機、移動存儲介質名稱/型號密級需要使用原因(使用人填寫)和簽名部門負責人意見保密辦公室意見保密委主任審批意見備注:涉密便攜式計算機攜帶須知:1、未經公司保密委審批,涉密便攜式計算機不得存儲涉密信息。2、嚴禁接入互聯網。3、禁止安裝和拆卸涉密筆記本硬件設備和軟件。4、禁止更改任何設置。5、禁止使用非涉密存儲介質6、禁止接入非涉密信息系統7、嚴禁使用無線鍵盤、無線鼠標等無線互聯設備8、使用安全電源充電,若無,則關機充電。涉密存儲介質攜帶須知:1、禁止接入非涉密信息系統。2、不18、得處理高密級的國家秘密信息。附件八:涉密便攜式涉密計算機和涉密移動存儲介質出公司審批表涉密便攜式計算機編號:密級存儲介質編號:攜帶外出原因(攜帶外出人填寫)攜帶外出人簽名部門意見保密辦意見保密委主任審批意見歸還日期歸還人簽名回室檢查日期檢查人簽名備注:涉密便攜式計算機攜帶須知:1、未經公司保密委審批,涉密便攜工計算機不得存儲涉密信息。2、嚴禁接入互聯網。3、禁止安裝和拆卸涉密筆記本硬件設備和軟件。4、禁止更改任何設置。5、禁止使用非涉密存儲介質6、禁止接入非涉密信息系統7、嚴禁使用無線鍵盤、無線鼠標等無線互聯設備8、使用安全電源充電,若無,則關機充電。涉密存儲介質攜帶須知:1、禁止接入非涉密信19、息系統2、不得處理高密級的國家秘密信息。3、及時歸(還)檔。附件九:涉密計算機及其連接設備、辦公自動化維修、維護、報廢審批表維修、維護、保養名稱或項目密級維修、維護、保養原因維修單位或維護保養人外出維修人簽名出廠日期保密委主任審批歸還日期歸還確認人簽名備注:外出維修須知:1、到保密部門認可的單位進行維修。2、維修時全過程必須全程監督,保證涉密資料安全。3、禁止過夜維修。4、維修后及時歸還,入保密室時由保密員確認資料安全。附件十:涉密設備、保密防范設施、設備臺帳管理表設備設施名稱型號規格密級標識編號始用日期存放地點供應商名稱相關配置備注附件十一:涉密信息數據備份登記表日期涉密信息、內容存儲介質介質編號操作人其他說明附件十二:涉密計算機信息傳輸申請審批表申請部門申請人導入信息內容申請時間導入形式信息來源購置時間生產單位導入信息描述申請事由導入或安裝范圍及運行方式申請部門審查意見保密辦意見保密委員會意見備注附件十三:病毒庫更新登記表部門防病毒軟件名稱更新日期原版本號更新模塊名計算機管理員備注