計算機和信息系統(tǒng)安全保密管理規(guī)定

1、信息系統(tǒng)安全保密管理制度第一章 總則第一條為加強公司信息化系統(tǒng)（包括涉密信息系統(tǒng)和非涉密信息系統(tǒng)）安全保密 管理，確保國家秘密及公司商業(yè)秘密的安全，根據(jù)國家有關(guān)保密法規(guī)標準和中國華電集 團公司有關(guān)規(guī)定，特制定本規(guī)定。第二條本規(guī)定所稱涉密信息系統(tǒng)是指由計算機及其相關(guān)的配套設(shè)備、設(shè)施構(gòu)成 的，按照一定的應(yīng)用目標和規(guī)定存儲、處理、傳輸涉密信息的系統(tǒng)或網(wǎng)絡(luò)，包括機房、 網(wǎng)絡(luò)設(shè)備、軟件、網(wǎng)絡(luò)線路、用戶終端、存儲介質(zhì)等內(nèi)容。第三條 涉密信息系統(tǒng)的建設(shè)和應(yīng)用要本著“預(yù)防為主、分級負責(zé)、科學(xué)管理、保 障安全”的方針，堅持“誰主管、誰負責(zé)，誰使用、誰負責(zé)”和“控制源頭、歸口管理、 加強檢查、落實制度”的原則，確

2、保涉密信息系統(tǒng)和國家秘密信息安全。第四條涉密信息系統(tǒng)安全保密防護必須嚴格按照國家保密標準、規(guī)定和集團公司 文件要求進行設(shè)計、實施、測評審查與審批和驗收；未通過國家審批的涉密信息系統(tǒng)， 不得投入使用。第五條本規(guī)定適用于公司所有信息系統(tǒng)安全保密管理工作。第二章組織機構(gòu)與職責(zé)第六條公司成立信息系統(tǒng)安全保密組織機構(gòu)，人員結(jié)構(gòu)與信息化領(lǐng)導(dǎo)小組和辦公 室成員相同，信息化領(lǐng)導(dǎo)小組成員即為信息系統(tǒng)安全保密領(lǐng)導(dǎo)小組成員，信息化辦公室 成員即為信息系統(tǒng)安全保密辦公室成員。1、信息系統(tǒng)安全保密領(lǐng)導(dǎo)小組組長：副組長：組員：2、信息系統(tǒng)安全保密辦公室主任：副主任：成員：第七條信息系統(tǒng)安全保密領(lǐng)導(dǎo)小組主要職責(zé)公司信息系統(tǒng)

3、安全保密領(lǐng)導(dǎo)小組是涉密信息系統(tǒng)安全保密管理決策機構(gòu)，其主要職責(zé)：（一）建立健全信息系統(tǒng)安全保密管理制度，并監(jiān)督檢查落實情況；（二）協(xié)調(diào)處理有關(guān)涉密信息系統(tǒng)安全保密管理的重大問題，對重大失泄密事件進行查處。第八條 信息系統(tǒng)安全保密辦公室（簡稱保密辦）主要職責(zé)：（一）擬定信息系統(tǒng)安全保密管理制度，并組織落實各項保密防范措施；（二）對系統(tǒng)用戶和安全保密管理人員進行資格審查和安全保密教育培訓(xùn)，審查涉密信息系統(tǒng)用戶的職責(zé)和權(quán)限，并備案；（三）組織對涉密信息系統(tǒng)進行安全保密監(jiān)督檢查和風(fēng)險評估，提出涉密信息系統(tǒng)安全運行的保密要求；（四）會同信息中心對涉密信息系統(tǒng)中介質(zhì)、設(shè)備、設(shè)施的授權(quán)使用的審查，建立涉密信

4、息系統(tǒng)安全評估制度，每年對涉密信息系統(tǒng)安全措施進行一次評審；（五）對涉密信息系統(tǒng)設(shè)計、施工和集成單位進行資質(zhì)審查，對進入涉密信息系統(tǒng) 的安全保密產(chǎn)品進行準入審查和規(guī)范管理，對涉密信息系統(tǒng)進行安全保密性能檢測;（六）對涉密信息系統(tǒng)中各應(yīng)用系統(tǒng)進行定密、變更密級和解密工作進行審核;（七）組織查處涉密信息系統(tǒng)失泄密事件。第十條 辦公室（信息中心）主要職責(zé)是：（一）組織、實施涉密信息系統(tǒng)的規(guī)劃、設(shè)計、建設(shè)，制定安全保密防護方案；（二）落實涉密信息系統(tǒng)安全保密策略、運行安全控制、安全驗證等安全技術(shù)措施; 每半年對涉密信息系統(tǒng)進行風(fēng)險評估，提出整改措施，經(jīng)涉密信息系統(tǒng)安全保密領(lǐng)導(dǎo)小 組批準后組織實施，確保

5、安全技術(shù)措施有效、可靠；（三）落實涉密信息系統(tǒng)中各應(yīng)用系統(tǒng)進行用戶權(quán)限設(shè)置及介質(zhì)、設(shè)備、設(shè)施的授權(quán)使用、保管以及維護等安全保密管理措施；（四）配備涉密信息系統(tǒng)管理員、安全保密管理員和安全審計員，并制定相應(yīng)的職 責(zé)；“三員”角色不得兼任，權(quán)限設(shè)置相互獨立、相互制約；“三員”應(yīng)通過安全保密培訓(xùn)持證上崗；（五）落實計算機機房、配線間等重要部位的安全保密防范措施及網(wǎng)絡(luò)的安全管理， 負責(zé)日常業(yè)務(wù)數(shù)據(jù)及其他重要數(shù)據(jù)的備份管理；（六）配合保密辦對涉密信息系統(tǒng)進行安全檢查，對存在的隱患進行及時整改；（七）制定應(yīng)急預(yù)案并組織演練，落實應(yīng)急措施，處理信息安全突發(fā)事件。（八）按照國家密碼管理的相關(guān)要求，落實涉密信息

6、系統(tǒng)中普密設(shè)備的管理措施。第十二條 相關(guān)業(yè)務(wù)部門、班組主要職責(zé)：涉密信息系統(tǒng)的使用部門、班組要嚴格遵守保密管理規(guī)定，教育員工提高安全保密 意識，落實涉密信息系統(tǒng)各項安全防范措施；準確確定應(yīng)用系統(tǒng)密級，制定并落實相應(yīng) 的二級保密管理制度。第十三條 涉密信息系統(tǒng)配備系統(tǒng)管理員、安全保密管理員、安全審計員，其職責(zé)是：（一）系統(tǒng)管理員負責(zé)系統(tǒng)中軟硬件設(shè)備的運行、管理與維護工作，確保信息系統(tǒng) 的安全、穩(wěn)定、連續(xù)運行。系統(tǒng)管理員包括網(wǎng)絡(luò)管理員、數(shù)據(jù)庫管理員、應(yīng)用系統(tǒng)管理 員。（二）安全保密管理員負責(zé)安全技術(shù)設(shè)備、策略實施和管理工作，包括用戶帳號管 理以及安全保密設(shè)備和系統(tǒng)所產(chǎn)生日志的審查分析。（三）安全審

7、計員負責(zé)安全審計設(shè)備安裝調(diào)試，對各種系統(tǒng)操作行為進行安全審計 跟蹤分析和監(jiān)督檢查，以及時發(fā)現(xiàn)違規(guī)行為，并每月向涉密信息系統(tǒng)安全保密領(lǐng)導(dǎo)小組 辦公室匯報一次情況。第三章 系統(tǒng)建設(shè)管理第十四條 規(guī)劃和建設(shè)涉密信息系統(tǒng)時，按照涉密信息系統(tǒng)分級保護標準的規(guī)定， 同步規(guī)劃和落實安全保密措施，系統(tǒng)建設(shè)與安全保密措施同計劃、同預(yù)算、同建設(shè)、同 驗收。第十五條 涉密信息系統(tǒng)規(guī)劃和建設(shè)的安全保密方案，應(yīng)由具有“涉及國家秘密的 計算機信息系統(tǒng)集成資質(zhì)”的機構(gòu)編制或自行編制，安全保密方案必須經(jīng)上級保密主管 部門審批后方可實施。第十六條涉密信息系統(tǒng)規(guī)劃和建設(shè)實施時，應(yīng)由具有“涉及國家秘密的計算機信 息系統(tǒng)集成資質(zhì)”的

8、機構(gòu)實施或自行實施，并與實施方簽署保密協(xié)議，項目竣工后必須 由保密辦和科技信息部共同組織驗收。第十七條對涉密信息系統(tǒng)要采取與密級相適應(yīng)的保密措施，配備通過國家保密主 管部門指定的測評機構(gòu)檢測的安全保密產(chǎn)品。涉密信息系統(tǒng)使用的軟件產(chǎn)品必須是正版 軟件第四章 信息管理第一節(jié)信息分類與控制第十八條 涉密信息系統(tǒng)的密級，按系統(tǒng)中所處理信息的最高密級設(shè)定，嚴禁處理高于涉密信息系統(tǒng)密級的涉密信息。第十九條 涉密信息系統(tǒng)中產(chǎn)生、存儲、處理、傳輸、歸檔和輸出的文件、數(shù)據(jù)、 圖紙等信息及其存儲介質(zhì)應(yīng)按要求及時定密、標密，并按涉密文件進行管理。電子文件 密級標識應(yīng)與信息主體不可分離，密級標識不得篡改。涉密信息系統(tǒng)

9、中的涉密信息總量 每半年進行一次分類統(tǒng)計、匯總，并在保密辦備案。第二十條 涉密信息系統(tǒng)應(yīng)建立安全保密策略，并采取有效措施，防止涉密信息被 非授權(quán)訪問、篡改，刪除和丟失；防止高密級信息流向低密級計算機。涉密信息遠程傳 輸必須采取密碼保護措施。第二十一條 向涉密信息系統(tǒng)以外的單位傳遞涉密信息，一般只提供紙質(zhì)文件，確 需提供涉密電子文檔的，按信息交換及中間轉(zhuǎn)換機管理規(guī)定執(zhí)行。第二十二條 清除涉密計算機、服務(wù)器等網(wǎng)絡(luò)設(shè)備、存儲介質(zhì)中的涉密信息時，必須使用符合保密標準、要求的工具或軟件。第二節(jié)用戶管理與授權(quán)第二十三條 根據(jù)本部門、單位使用涉密信息系統(tǒng)的密級和實際工作需要，確定人 員知悉范圍，以此作為用戶

10、授權(quán)的依據(jù)。第二十四條用戶清單管理（一）科技信息部管理“研究試驗堆燃料元件數(shù)字化信息系統(tǒng)”和“中核集團涉密廣域網(wǎng)”用戶清單；財會部管理“財務(wù)會計核算網(wǎng)”用戶清單；（二）新增用戶時，由用戶本人提出書面申請，經(jīng)本部門、單位審核，科技信息部、 保密辦審批后，由科技信息部備案并統(tǒng)一建立用戶；“財務(wù)會計核算網(wǎng)”的用戶由財會 部統(tǒng)一建立;（三）刪除用戶時，由用戶本人所在部門、單位書面通知科技信息部，核準后由安 全保密管理員即時將用戶在涉密信息系統(tǒng)內(nèi)的所有帳號、權(quán)限廢止；“財務(wù)會計核算網(wǎng)”的刪除用戶由財會部統(tǒng)一刪除用戶帳號、權(quán)限。第二十五條用戶標識符管理（一）用戶登錄系統(tǒng)時所使用的用戶身份標識，由用戶本人提

11、出書面申請，經(jīng)本部 門、單位審核，科技信息部、保密辦審批后，由系統(tǒng)管理員產(chǎn)生，并確保用戶標識在此 系統(tǒng)生命周期中的唯一性；（二）安全保密管理員每月一次檢查與用戶身份標識相關(guān)的日志，發(fā)現(xiàn)異常情況， 應(yīng)及時向保密辦報告。第二十六條用戶授權(quán)管理（一）涉密信息系統(tǒng)用戶授權(quán)應(yīng)遵循最小授權(quán)分配原則，安全保密管理員對所有用戶的權(quán)限明細文檔化；（二）安全審計員每月審查權(quán)限列表，發(fā)現(xiàn)異常情況，應(yīng)及時向保密辦報告。第三節(jié)信息系統(tǒng)互聯(lián)第二十七條涉密信息系統(tǒng)必須與國際互聯(lián)網(wǎng)和其它公共信息系統(tǒng)實行物理隔離。禁止將涉密計算機和涉密信息系統(tǒng)直接接入公司內(nèi)部非涉密信息系統(tǒng)，確因工作需要接入時必須采用符合保密標準的信息隔離交換

12、系統(tǒng)進行必要的邊界控制措施。第五章運行維護管理第二十八條 涉密信息系統(tǒng)投入運行前，應(yīng)當經(jīng)過國家保密工作部門審批，未經(jīng)審 批的涉密信息系統(tǒng)不得處理涉密信息。第二十九條涉密信息系統(tǒng)應(yīng)與用戶終端實施IP-MAC ,并隨人員、崗位等變化及 時調(diào)整。涉密信息系統(tǒng)的用戶終端、服務(wù)器等設(shè)備設(shè)施應(yīng)進行安全加固，關(guān)閉不必要的 帳戶、服務(wù)和端口，并設(shè)置規(guī)范的口令策略。涉密設(shè)備（導(dǎo)線）與外網(wǎng)、通訊設(shè)備（導(dǎo)線）和其他導(dǎo)體的隔離應(yīng)符合保密要求。第三十條涉密信息系統(tǒng)與國際互聯(lián)網(wǎng)、公眾信息網(wǎng)絡(luò)等非涉密信息系統(tǒng)（以下簡 稱外網(wǎng)）的信息交換，按信息交換及中間轉(zhuǎn)換機管理規(guī)定執(zhí)行。第三十一條 禁止使用非涉密信息系統(tǒng)（包括非涉密單機

13、）存儲和處理涉密信息。第三十二條 建立健全防病毒軟件（含木馬查殺）升級、打補丁機制，及時升級病 毒和惡意代碼樣本庫，進行病毒和惡意代碼查殺，及時安裝操作系統(tǒng)、數(shù)據(jù)庫和應(yīng)用系 統(tǒng)的補丁程序。防病毒軟件應(yīng)使用經(jīng)國家主管部門批準的防病毒軟件。第三十三條 未經(jīng)科技信息部審批，禁止對涉密信息系統(tǒng)格式化或重裝操作系統(tǒng)，禁 止刪除涉密信息系統(tǒng)的移動存儲介質(zhì)及外部設(shè)備（包括服務(wù)器等網(wǎng)絡(luò)設(shè)備）等日志記錄。第三十四條涉密應(yīng)用軟件開發(fā)及運行維護必須選擇具有相關(guān)保密資質(zhì)的單位承 擔(dān)，并與之簽訂保密協(xié)議書，協(xié)議書必須經(jīng)保密辦審查備案，明確保密要求，防止 國家秘密的泄露。第三十五條 涉密信息系統(tǒng)中的信息輸出應(yīng)當集中管理，

14、有效控制，建立集中打印 控制機制。第三十六條 涉密信息系統(tǒng)用戶終端不準安裝、運行、使用與工作無關(guān)的軟件，嚴 禁安裝具有無線通訊功能的軟件。未經(jīng)科技信息部審批，用戶終端禁止安裝或拆卸硬件 設(shè)備和軟件及更改系統(tǒng)設(shè)置。用戶終端的應(yīng)用軟件安裝情況登記備案，每季度進行一次 核查。第三十七條 涉密設(shè)備嚴禁具有無線互聯(lián)功能，不能安裝紅外接口、無線網(wǎng)卡、無 線鼠標、無線鍵盤等。第三十八條 對集中存放涉密信息系統(tǒng)服務(wù)器、交換機等涉密設(shè)備的場所列入保密 要害部位管理，建立出入登記、外來人員審查等管理制度。第三十九條涉密信息系統(tǒng)應(yīng)采取身份鑒別、訪問控制和安全審計等技術(shù)保護措施。第四十條 涉密信息系統(tǒng)建立文檔化的安全

15、保密策略，并根據(jù)環(huán)境、系統(tǒng)和威脅變 化情況及時調(diào)整更新安全保密策略。第四H一條 涉密信息系統(tǒng)建立文檔化的安全保密審計報告，機密級 1個月、秘密 級3個月進行一次審計日志收集、整理、分析，按要求形成文檔化安全審計報告并備案。第四十二條 涉密信息系統(tǒng)建立文檔化的風(fēng)險評估分析報告， 每半年根據(jù)系統(tǒng)綜合 日志進行一次風(fēng)險評估（自評估或檢查評估），形成文檔化的風(fēng)險分析報告，對存在的 風(fēng)險及時采取補救措施。第四十三條 涉密信息系統(tǒng)建立實時入侵檢測系統(tǒng)，做到實時監(jiān)測系統(tǒng)網(wǎng)絡(luò)設(shè)備、 終端和服務(wù)器的各種攻擊行為。應(yīng)具有漏洞掃描技術(shù)，以提前警告網(wǎng)絡(luò)系統(tǒng)中系統(tǒng)的弱 點所在，防止黑客入侵和內(nèi)部人員的誤用。第四十四條涉

16、密信息系統(tǒng)使用國家有關(guān)主管部門批準的檢測工具對系統(tǒng)進行安 全保密性能檢測，檢測工具版本應(yīng)及時更新、升級。第六章設(shè)備與介質(zhì)管理第四十五條 計算機和信息系統(tǒng)設(shè)備包括：網(wǎng)絡(luò)設(shè)備、服務(wù)器、用戶終端（臺式計 算機、便攜式計算機、工業(yè)控制機等）、掃描儀、打印輸出設(shè)備及網(wǎng)絡(luò)安全保密產(chǎn)品等； 介質(zhì)包括：紙介質(zhì)、存儲介質(zhì)及其它記錄載體（如計算機硬盤、光盤、 移動硬盤、優(yōu)盤、 軟盤和錄音帶、錄像帶、數(shù)碼相機存儲卡等）。第四十六條接入涉密信息系統(tǒng)的設(shè)備和介質(zhì)稱為涉密設(shè)備和涉密存儲介質(zhì)，并按統(tǒng)一技術(shù)要求和部署方式進行管理。涉密設(shè)備和存儲介質(zhì)應(yīng)與國際互聯(lián)網(wǎng)和其他公眾信 息網(wǎng)絡(luò)實行物理隔離；系統(tǒng)內(nèi)的設(shè)備、介質(zhì)、設(shè)施根據(jù)其

17、處理信息的最高密級標明涉密 等級和主要用途。第四十七條 計算機和信息系統(tǒng)中使用的設(shè)備、存儲介質(zhì)應(yīng)遵循“統(tǒng)一購置、統(tǒng) 標識、嚴格登記、規(guī)范管理”的原則，嚴格執(zhí)行國家秘密載體保密管理規(guī)定。第四十八條 各部門、單位指定專人負責(zé)涉密設(shè)備和介質(zhì)的日常管理工作，建立存 儲介質(zhì)登記備案、定期核查與信息清理制度。保密辦對涉密設(shè)備的采購、使用、維修、 變更、報廢負有指導(dǎo)、監(jiān)督、檢查的職責(zé)，對存儲介質(zhì)歸口管理。第一節(jié)設(shè)備管理第四十九條采購管理（一）涉密設(shè)備選用國產(chǎn)設(shè)備，涉密系統(tǒng)集成與系統(tǒng)服務(wù)、安全產(chǎn)品的采購，不得 進行公開招標，須在具有資質(zhì)的單位和經(jīng)國家主管部門批準范圍內(nèi)選擇，且供方應(yīng)具有 完備的資質(zhì)證明和良好的

18、信譽，以及長期供貨和代維護能力；（二）采購部門不得向供應(yīng)方透露涉密設(shè)備的最終用戶；（三）采購的計算機，統(tǒng)一不配備光驅(qū)、軟驅(qū)、視頻設(shè)備及具有無線互聯(lián)功能的無 線鍵盤、無線鼠標、紅外接口、無線網(wǎng)卡等。確因工作需要配備的，經(jīng)保密辦審批后配 發(fā)；（四）科技信息部做好資產(chǎn)清單和臺帳管理，涉密設(shè)備需在保密辦備案并粘貼密級 標識后投入使用。臺帳注明涉密設(shè)備使用人、安全責(zé)任人、安全分類以及資產(chǎn)所在的位 置，并且每半年對涉密設(shè)備清查核對一次。第五十條使用管理（一）各部門、單位建立涉密設(shè)備、打印機等準入審批、使用登記、銷毀等備案制 度。（二）涉密設(shè)備的電磁泄露發(fā)射應(yīng)符合國家有關(guān)保密標準，并采取相應(yīng)防護措施。 涉密

19、設(shè)備和傳輸線路應(yīng)符合紅黑隔離要求，并采取電源濾波防護措施。（三）用戶終端登錄識別技術(shù)應(yīng)采用以下二種方式之一：1、數(shù)字證書機制采用USBKey與PIN 口令相結(jié)合的方式進行身份鑒別，口令長度設(shè)置不少于十位。USBKey按機密級密件管理，應(yīng)及時修改初始的PIN碼，并將USBKey 妥善保管。2、密碼口令。機密級密碼口令長度不得少于十個字符，每周至少更換一次；秘密 級密碼口令長度不得少于八個字符，每月至少更換一次；口令采用大小寫英文字母、數(shù) 字和特殊字符等兩者以上的組合。（四）在其他信息系統(tǒng)使用過的設(shè)備以及新增設(shè)備接入涉密計算機和信息系統(tǒng)之 前，應(yīng)進行病毒（含木馬）及惡意代碼的檢測、查殺。第五十一條

20、維修管理（一）涉密設(shè)備維修時，應(yīng)向科技信息部提出申請，科技信息部對維修的涉密設(shè)備 檢查診斷后，作出公司內(nèi)維修或外出維修的判斷，并通知部門、單位；（二）涉密設(shè)備維修原則上來公司現(xiàn)場維修，維修時應(yīng)有專人現(xiàn)場監(jiān)管；（三）涉密設(shè)備外出維修時，對涉密設(shè)備預(yù)先采取保密措施，拆除存儲部件，并有 專人在場監(jiān)控維修全過程；外出維修的涉密設(shè)備，原則上不能在外存放，當日未維修完 畢的應(yīng)帶回公司存放，次日再送出去維修；涉密設(shè)備維修時應(yīng)與維修單位簽訂保密協(xié)議;（四）涉密設(shè)備確需恢復(fù)存儲的數(shù)據(jù)、信息時，應(yīng)經(jīng)保密辦審批后在具有涉密數(shù)據(jù) 恢復(fù)資質(zhì)的單位進行；（五）維修時更換下的硬盤、存儲卡，必須將舊件按涉密載體進行管理，禁止

21、將舊 件抵價維修或隨意拋棄；（六）維修的涉密設(shè)備應(yīng)做好維修情況記錄，存檔備查。第五十二條變更管理（一）涉密設(shè)備變更用途時，應(yīng)事先提出變更申請并消除其存儲的涉密信息，經(jīng)保 密辦審核批準后辦理變更。變更程序是:1、公司內(nèi)部門、單位之間調(diào)配涉密設(shè)備，由科技信息部提出變更調(diào)配計劃并作技 術(shù)支持，接收單位辦理變更手續(xù)并到保密辦變更涉密設(shè)備臺帳；2、部門、單位內(nèi)部調(diào)整變更涉密設(shè)備，由部門、單位領(lǐng)導(dǎo)批準，并通知保密辦變 更涉密計算機臺帳；3、調(diào)配變更后的涉密設(shè)備要及時確定密級，并粘貼密級標識。（二）涉密設(shè)備變更密級，遵循如下保密規(guī)定：1、絕密級設(shè)備不得進行變更；2、不變更使用人及使用部門、單位，升密時存儲介

22、質(zhì)（包括硬盤、儲存卡）可不 更換，降密或脫密時必須更換存儲介質(zhì)；3、變更使用人或使用部門、單位，升密、降密必須更換存儲介質(zhì)；4、存儲介質(zhì)的更換由科技信息部辦理，新存儲介質(zhì)到保密辦領(lǐng)取，更換下的舊存 儲介質(zhì)交保密辦；5、非涉密設(shè)備變更為涉密設(shè)備，需對存儲介質(zhì)進行格式化，重新安裝操作系統(tǒng)， 并拆除視頻設(shè)備和無線互聯(lián)功能模塊。第五十三條報廢管理（一）對批準報廢的信息設(shè)備拆除存儲介質(zhì)并交保密辦集中統(tǒng)一銷毀或再利用；（二）淘汰或報廢的涉密設(shè)備，不得用于公益捐贈，或流入舊貨市場。第二節(jié)介質(zhì)管理第五十四條購置和發(fā)放（一）申請部門、單位根據(jù)需要向保密辦提出所需存儲介質(zhì)種類、數(shù)量的申請；（二）保密辦對申請進行審

23、核后報主管領(lǐng)導(dǎo)審批，并按批準的種類、數(shù)量集中采購;（三）保密辦按存儲介質(zhì)種類和密級統(tǒng)一編號、登記、粘貼標識后發(fā)放存儲介質(zhì)；（四）各部門、單位由專人管理存儲介質(zhì)，建立臺帳，定期核查。第五十五條使用和維護（一）涉密存儲介質(zhì)應(yīng)根據(jù)所存儲信息的最高密級劃定密級，并在明顯位置粘貼密 級標識，禁止使用無標識的存儲介質(zhì)。涉密存儲介質(zhì)嚴禁在聯(lián)接互聯(lián)網(wǎng)的計算機和非涉 密計算機上使用；（二）在涉密信息系統(tǒng)內(nèi)使用的涉密存儲介質(zhì)采取綁定或有效的技術(shù)接入控制措施，使涉密存儲介質(zhì)只能在授權(quán)的涉密計算機上使用。未采用綁定技術(shù)的涉密計算機， 須采取關(guān)閉和監(jiān)控數(shù)據(jù)端口（ USB 口）的物理防護措施進行控制；（三）嚴格控制其它存

24、儲介質(zhì)的使用，對光盤、軟盤等移動存儲介質(zhì)應(yīng)采用關(guān)閉數(shù) 據(jù)接口或禁止驅(qū)動設(shè)備使用等方式加以控制；（四）禁止在低密級計算機上使用高密級存儲介質(zhì)，禁止在低密級存儲介質(zhì)上存儲 高密級信息；（五）高密級存儲介質(zhì)用于存儲低密級信息時，應(yīng)當按照存儲介質(zhì)原標識的高密級 進行管理；（六）存放涉密存儲介質(zhì)的場所、部位和設(shè)備應(yīng)符合安全保密要求，集中統(tǒng)一管理；（七）禁止外來的存儲介質(zhì)接入涉密信息系統(tǒng)，如需導(dǎo)入信息，應(yīng)采取安全準入許可制度，經(jīng)部門、單位領(lǐng)導(dǎo)審批后，按信息交換及中間轉(zhuǎn)換機管理規(guī)定執(zhí)行；（八）存儲過絕密級信息的介質(zhì)不能降低密級使用；（九）嚴禁將個人具有存儲功能的存儲介質(zhì)和電子設(shè)備（ mp3 mp4優(yōu)盤、手機

25、、 掌上電腦等）帶入公司；嚴禁將涉密存儲介質(zhì)帶出工作場所， 確需攜帶外出，經(jīng)本部門、 單位領(lǐng)導(dǎo)審批且備案后方可出廠，隨身攜帶，嚴防被盜或丟失；（十）經(jīng)保密辦批準，允許與涉密信息系統(tǒng)相連的數(shù)碼設(shè)備（如相機、錄音筆）等, 應(yīng)按涉密載體管理；（十一）涉密存儲介質(zhì)的維修和維護由科技信息部統(tǒng)一負責(zé)，外送維修須經(jīng)主管領(lǐng)導(dǎo)審批同意，并送指定維修點維修;（十二）發(fā)現(xiàn)存儲介質(zhì)丟失，應(yīng)立即報告本部門、單位和保密辦，并及時組織查處。第五十六條保管和銷毀（一）涉密存儲介質(zhì)必須由本部門、單位集中統(tǒng)一保管并在有安全保障的保密柜中 保存；（二）對重要的存儲介質(zhì)，應(yīng)定期進行循環(huán)復(fù)制備份；（三）存儲介質(zhì)的報廢、銷毀，由應(yīng)編制銷

26、毀清單，由本部門、單位主要領(lǐng)導(dǎo)簽字 后，統(tǒng)一交保密辦鑒定并做消磁或粉碎處理。第七章信息交換及中間轉(zhuǎn)換機管理第五十七條涉密計算機和信息系統(tǒng)與其他計算機和信息系統(tǒng)的信息交換必須經(jīng) 過中間轉(zhuǎn)換機。中間轉(zhuǎn)換機是指與任何計算機和信息系統(tǒng)實現(xiàn)物理隔離、獨立運行的專用計算機，專門用于涉密計算機和涉密信息系統(tǒng)與其它計算機和信息系統(tǒng)之間的信息交換。中間轉(zhuǎn)換機分為非涉密中間轉(zhuǎn)換機和涉密中間轉(zhuǎn)換機，中間轉(zhuǎn)換機上應(yīng)安裝符合國家保密要求的計算機病毒和惡意代碼防護產(chǎn)品。非涉密中間轉(zhuǎn)換機用于從國際互聯(lián)網(wǎng)、公眾信息網(wǎng)絡(luò)和非涉密信息系統(tǒng)到涉密計 算機和涉密信息系統(tǒng)進行外部非涉密信息的載入，包括計算機病毒和惡意代碼樣本庫、 補丁

27、程序、應(yīng)用程序和其它相關(guān)信息等。涉密中間轉(zhuǎn)換機用于從公司外部的涉密計算機和涉密信息系統(tǒng)（涉密移動存儲介 質(zhì)）到公司內(nèi)部涉密計算機和涉密信息系統(tǒng)的信息交換。涉密中間轉(zhuǎn)換機的密級應(yīng)根據(jù) 轉(zhuǎn)換信息的最高密級確定。涉密網(wǎng)絡(luò)中間轉(zhuǎn)換機是指單位接入涉密信息系統(tǒng)的管理員專用于信息交換的涉密計算機。專用涉密傳遞盤是指經(jīng)技術(shù)綁定后的公司各單位內(nèi)部及各部門、單位之間用于涉密信息系統(tǒng)與涉密單機、涉密單機之間信息傳遞的優(yōu)盤。第五十八條 中間轉(zhuǎn)換機的配置、使用與日常管理（一）涉密信息系統(tǒng)使用部門、單位需配置涉密網(wǎng)絡(luò)中間轉(zhuǎn)換機、非涉密中間轉(zhuǎn)換機和專用涉密傳遞盤；（二）黨政辦設(shè)置1臺涉密中間轉(zhuǎn)換機（全公司共用），用于公司外

28、部涉密存儲介質(zhì)上載涉密信息到公司涉密信息系統(tǒng)（或涉密單機）；（三）中間轉(zhuǎn)換機、專用涉密傳遞盤由各部門、單位中間轉(zhuǎn)換機管理員負責(zé)管理和使用；（四）中間轉(zhuǎn)換機上應(yīng)用軟件由科技信息部統(tǒng)一安裝，各單位不得安裝、使用除統(tǒng)一安裝軟件以外的任何軟件；（五）防病毒軟件升級工作由中間轉(zhuǎn)換機管理員負責(zé)完成，必須保證每周對中間轉(zhuǎn)換機防病毒軟件升級1次，升級包到科技信息部統(tǒng)一制作、拷貝，并做好升級記錄；（六）中間轉(zhuǎn)換機應(yīng)專機專用，專人管理，不能用于其它工作。中間轉(zhuǎn)換機管理員做好工作記錄（包括信息名稱、密級、來源、用途、時間、人員等）。第五十九條從國際互聯(lián)網(wǎng)、公眾信息網(wǎng)和非涉密信息系統(tǒng)（含非涉密計算機）上載信息到涉密計

29、算機和涉密信息系統(tǒng)操作步驟：（一）填寫審批單，經(jīng)部門、單位領(lǐng)導(dǎo)批準后方可進行上載信息；（二）將信息上載到非涉密中間機；（三）拔除上載信息存儲介質(zhì)；（四）在非涉密中間轉(zhuǎn)換機中對上載信息進行計算機病毒、惡意代碼、間諜軟件、 木馬程序的查殺;（五）將上載信息刻錄到只讀光盤；（六）將存有上載信息的光盤放入涉密計算機或涉密網(wǎng)絡(luò)中間轉(zhuǎn)換機中，上載到涉 密計算機和涉密信息系統(tǒng)中；（七）記錄上載過程，光盤應(yīng)存檔備案，存儲介質(zhì)格式化處理。第六十條公司內(nèi)部單臺涉密計算機之間、單臺涉密計算機與涉密信息系統(tǒng)之間的 信息交換，使用綁定措施的涉密存儲介質(zhì)進行交換或刻錄到只讀光盤；記錄上載過程， 光盤應(yīng)存檔備案。第六十一條

30、從公司外部涉密存儲介上載涉密信息到涉密計算機和涉密信息系統(tǒng) 操作步驟：（一）填寫審批單，經(jīng)部門、單位領(lǐng)導(dǎo)批準后方可進行上載信息；（二）將信息上載到涉密中間轉(zhuǎn)換機；（三）拔除外部涉密存儲介質(zhì)；（四）在涉密中間轉(zhuǎn)換機中對上載信息進行計算機病毒、惡意代碼、間諜軟件、木 馬程序的查殺；（五）將需要上載的涉密信息刻錄到只讀光盤或拷貝到專用涉密傳遞盤；（六）將存有上載信息的涉密光盤或介質(zhì)放入涉密計算機或涉密網(wǎng)絡(luò)中間轉(zhuǎn)換機中，上載到涉密計算機和涉密信息系統(tǒng)中；（七）記錄上載過程，光盤應(yīng)存檔備案，專用涉密傳遞盤交還中間轉(zhuǎn)換機管理人員， 并及時進行信息清除或格式化處理。第六十二條涉密計算機和涉密信息系統(tǒng)中的非涉

31、密信息對外交換一般應(yīng)當采用 打印輸出紙質(zhì)文件方式進行，確需電子信息時在涉密計算機和涉密網(wǎng)絡(luò)中間機將上載信 息刻錄到只讀光盤，并記錄上載過程，光盤存檔備案第八章國際互聯(lián)網(wǎng)計算機管理第六十三條 接入國際互聯(lián)網(wǎng)的計算機，開通前須由接入部門、單位提出申請，保 密辦審核，公司分管領(lǐng)導(dǎo)審批。開通、審批堅持“工作必須”的原則。第六十四條 國際互聯(lián)網(wǎng)計算機實行專人負責(zé)、專機上網(wǎng)管理，嚴禁存儲、處理、 傳遞涉密信息和內(nèi)部敏感信息。接入互聯(lián)網(wǎng)的計算機須建立使用登記制度。第六十五條 上網(wǎng)信息實行“誰上網(wǎng)誰負責(zé)”的保密管理原則，信息上網(wǎng)必須經(jīng)過 嚴格審查和批準，堅決做到“涉密不上網(wǎng)，上網(wǎng)不涉密”。對上網(wǎng)信息進行擴充或

32、更新， 應(yīng)重新進行保密審查。第六十六條 任何部門、單位和個人不得在電子郵件、電子公告系統(tǒng)、聊天室、網(wǎng) 絡(luò)新聞組、博客等上發(fā)布、談?wù)?、傳遞、轉(zhuǎn)發(fā)或抄送國家秘密信息。第六十七條從國際互聯(lián)網(wǎng)或其它公眾信息網(wǎng)下載程序和軟件工具等轉(zhuǎn)入涉密系 統(tǒng)，經(jīng)科技信息部審批后，按照信息交換及中間轉(zhuǎn)換機管理規(guī)定執(zhí)行。第九章便攜式計算機管理第六十八條便攜式計算機（包括涉密便攜式計算機和非涉密便攜式計算機）實行“誰擁有，誰使用，誰負責(zé)”的保密管理原則，使用者須與公司簽定保密承諾書。第六十九條 涉密便攜式計算機根據(jù)工作需要確定密級，粘貼密級標識，按照涉密 設(shè)備進行管理，保密辦備案后方可使用。第七十條便攜式計算機應(yīng)具備防病毒

33、、防非法外聯(lián)和身份認證（設(shè)置開機密碼口 令）等安全保密防護措施。第七十一條禁止使用涉密便攜式計算機上國際互聯(lián)網(wǎng)和非涉密網(wǎng)絡(luò)；嚴禁涉密便攜式計算機與涉密信息系統(tǒng)互聯(lián)。第七十二條 涉密便攜式計算機不得處理絕密級信息。未經(jīng)保密辦審批，嚴禁在涉密便攜式計算機中存儲涉密信息。處理、存儲涉密信息應(yīng)在涉密移動存儲介質(zhì)上進行, 并與涉密便攜式計算機分離保管。第七十三條禁止使用私有便攜式計算機處理辦公信息；嚴禁非涉密便攜式計算機 存儲、處理涉密信息；嚴禁將涉密存儲介質(zhì)接入非涉密便攜式計算機使用。第七十四條公司配備專供外出攜帶的涉密便攜式計算機和涉密存儲介質(zhì)，按照 “集中管理、審批借用”的原則進行管理，建立使用登

34、記制度。外出攜帶的涉密便攜式 計算機須經(jīng)保密辦檢查后方可帶出公司，返回時須進行技術(shù)檢查。第七十五條因工作需要外單位攜帶便攜式計算機進入公司辦公區(qū)域，需辦理保密 審批手續(xù)。第十章應(yīng)急響應(yīng)管理第七十六條為有效預(yù)防和處置涉密信息系統(tǒng)安全突發(fā)事件，及時控制和消除涉密 信息系統(tǒng)安全突發(fā)事件的危害和影響，保障涉密信息系統(tǒng)的安全穩(wěn)定運行，科技信息部 和財會部應(yīng)分別制定相應(yīng)應(yīng)急響應(yīng)預(yù)案，經(jīng)公司涉密信息系統(tǒng)安全保密領(lǐng)導(dǎo)小組審批后 頭。第七十七條應(yīng)急響應(yīng)預(yù)案用于涉密信息系統(tǒng)安全突發(fā)事件。突發(fā)事件分為系統(tǒng)運 行安全事件和泄密事件，根據(jù)事件引發(fā)原因分為災(zāi)害類、故障類或攻擊類三種情況。（一）災(zāi)害事件：根據(jù)實際情況，在保

35、障人身安全前提下，保障數(shù)據(jù)安全和設(shè)備安 全。（二）故障或攻擊事件：判斷故障或攻擊的來源與性質(zhì)，關(guān)閉影響安全與穩(wěn)定的網(wǎng) 絡(luò)設(shè)備和服務(wù)器設(shè)備，斷開信息系統(tǒng)與攻擊來源的網(wǎng)絡(luò)物理連接，跟蹤并鎖定攻擊來源 的IP地址或其它網(wǎng)絡(luò)用戶信息，修復(fù)被破壞的信息，恢復(fù)信息系統(tǒng)。按照事件發(fā)生的 性質(zhì)分別采用以下方案：1、病毒傳播：及時尋找并斷開傳播源，判斷病毒的類型、性質(zhì)、可能的危害范圍。為避免產(chǎn)生更大的損失，保護計算機，必要時可關(guān)閉相應(yīng)的端口，尋找并公布病毒攻擊 信息，以及殺毒、防御方法；2、外部入侵：判斷入侵的來源，評價入侵可能或已經(jīng)造成的危害。對入侵未遂、未造成損害的，且評價威脅很小的外部入侵，定位入侵的IP

36、地址，及時關(guān)閉入侵的端口，限制入侵的IP地址的訪問。對于已經(jīng)造成危害的，應(yīng)立即采用斷開網(wǎng)絡(luò)連接的方 法，避免造成更大損失和帶來的影響；3、內(nèi)部入侵：查清入侵來源，如IP地址、所在區(qū)域、所處辦公室等信息，同時斷 開對應(yīng)的交換機端口，針對入侵方法調(diào)整或更新入侵檢測設(shè)備。對于無法制止的多點入 侵和造成損害的，應(yīng)及時關(guān)閉被入侵的服務(wù)器或相應(yīng)設(shè)備；4、網(wǎng)絡(luò)故障：判斷故障發(fā)生點和故障原因，能夠迅速解決的盡快排除故障，并優(yōu) 先保證主要應(yīng)用系統(tǒng)的運轉(zhuǎn)；5、其它未列出的不確定因素造成的事件，結(jié)合具體的情況，做出相應(yīng)的處理。不 能處理的及時咨詢，上報公司信息安全領(lǐng)導(dǎo)小組。第七十八條 按照信息安全突發(fā)事件的性質(zhì)、影響范圍和造成的損失，將涉密信息系統(tǒng)安全突發(fā)事件分為特別重大事件（I級）、重大事件（II級）、較大事件（III級） 和一般事件（IV級）四個等級。（一）一般事件由科技信息部（或財會部）依據(jù)應(yīng)急響應(yīng)預(yù)案進行處置；（二）較大事件由科技信息部（或財會部）、保密辦依據(jù)應(yīng)急響應(yīng)預(yù)案進行處置