大學(xué)信息設(shè)備和存儲(chǔ)設(shè)備保密管理辦法

-8-XXXX大學(xué)信息設(shè)備和存儲(chǔ)設(shè)備保密管理辦法第一條為規(guī)范和加強(qiáng)學(xué)校信息設(shè)備和存儲(chǔ)設(shè)備保密管理工作，確保國(guó)家秘密安全，根據(jù)《中華人民共和國(guó)保守國(guó)家秘密法》《武器裝備科研生產(chǎn)單位保密資格認(rèn)定辦法》（國(guó)保發(fā)〔2016〕43號(hào)）《XXXX大學(xué)保密工作管理規(guī)定》（校黨發(fā)〔20XX〕80號(hào)），按照軍工保密二級(jí)資質(zhì)要求，結(jié)合學(xué)校實(shí)際，制定本辦法。第二條本辦法中的信息設(shè)備和存儲(chǔ)設(shè)備指日常工作和科研生產(chǎn)活動(dòng)中配備和使用的各類產(chǎn)品。主要包括：（一）服務(wù)器、計(jì)算機(jī)包括服務(wù)器、操作終端、臺(tái)式計(jì)算機(jī)、便攜式計(jì)算機(jī)、工作站等。（二）網(wǎng)絡(luò)設(shè)備包括交換機(jī)、路由器、網(wǎng)關(guān)等。（三）外部設(shè)施設(shè)備包括打印機(jī)、掃描儀、移動(dòng)光驅(qū)、讀卡器等。（四）存儲(chǔ)介質(zhì)包括計(jì)算機(jī)硬盤和固態(tài)存儲(chǔ)器等。（五）辦公自動(dòng)化設(shè)備包括打字機(jī)、復(fù)印機(jī)、傳真機(jī)、多功能一體機(jī)等，及其相關(guān)存儲(chǔ)附件和耗材。（六）音像設(shè)備包括手機(jī)、照相機(jī)、攝像機(jī)、錄音機(jī)（筆）等，及其相關(guān)附件和耗材。（七）安全保密產(chǎn)品包括單向?qū)?、身份鑒別、訪問控制工具等。第三條機(jī)構(gòu)設(shè)置及職責(zé)分工:（一）信息化管理部門負(fù)責(zé)制定學(xué)校信息設(shè)備和存儲(chǔ)設(shè)備保密管理細(xì)則、安全保密策略。（二）運(yùn)行維護(hù)機(jī)構(gòu)負(fù)責(zé)涉密信息設(shè)備和存儲(chǔ)設(shè)備的新增、維修、外攜、報(bào)廢等審批。配備系統(tǒng)管理員，負(fù)責(zé)制定保密操作規(guī)程，指導(dǎo)二級(jí)單位開展信息設(shè)備和存儲(chǔ)設(shè)備的日常維護(hù)。（三）保密工作機(jī)構(gòu)負(fù)責(zé)對(duì)信息安全保密管理體系文件的合規(guī)性進(jìn)行核實(shí)，并監(jiān)督其落實(shí)情況以及對(duì)違規(guī)事件進(jìn)行查處。（四）各級(jí)使用單位按照學(xué)校信息安全保密管理要求，負(fù)責(zé)本單位信息設(shè)備和存儲(chǔ)設(shè)備的安全保密管理，以及日常運(yùn)行維護(hù)。各級(jí)使用單位須指定具有相應(yīng)資質(zhì)人員作為涉密計(jì)算機(jī)安全保密管理員,并履行下列工作職責(zé):1.落實(shí)涉密計(jì)算機(jī)的安全保密策略要求;2.負(fù)責(zé)涉密計(jì)算機(jī)軟、硬件及相關(guān)安全保密產(chǎn)品的正確安裝和使用;3.負(fù)責(zé)配合系統(tǒng)管理員進(jìn)行涉密計(jì)算機(jī)用戶及其權(quán)限的分配、調(diào)整、申報(bào)并監(jiān)督使用人正確使用;4.負(fù)責(zé)涉密計(jì)算機(jī)及其外部設(shè)備的訪問控制、調(diào)整、維修及報(bào)廢申報(bào);5.負(fù)責(zé)涉密計(jì)算機(jī)操作系統(tǒng)、應(yīng)用軟件、病毒防護(hù)軟件的定期升級(jí);6.負(fù)責(zé)或協(xié)助開展涉密計(jì)算機(jī)的日志分析、安全審計(jì)及風(fēng)險(xiǎn)評(píng)估;7.負(fù)責(zé)各類信息設(shè)備（含涉密與非密）臺(tái)賬的清查及申報(bào)備案。第四條涉密信息設(shè)備和涉密存儲(chǔ)設(shè)備管理基本要求：（一）禁止將涉密信息設(shè)備和涉密存儲(chǔ)設(shè)備接入互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)；（二）禁止在未采取保護(hù)措施的情況下，將涉密信息設(shè)備和涉密存儲(chǔ)設(shè)備與互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)之間進(jìn)行信息交換；（三）禁止未經(jīng)安全技術(shù)處理，將退出使用的涉密信息設(shè)備和涉密存儲(chǔ)設(shè)備贈(zèng)送、出售、丟棄或者改作其他用途；（四）禁止擅自卸載、修改涉密信息設(shè)備和涉密存儲(chǔ)設(shè)備的安全技術(shù)程序、管理程序；（五）禁止擅自訪問、下載、存儲(chǔ)、傳輸知悉范圍以外的國(guó)家秘密；（六）禁止修改、刪除涉密計(jì)算機(jī)保密技術(shù)防護(hù)專用系統(tǒng)的監(jiān)控程序報(bào)警回聯(lián)地址；（七）禁止故意隱藏涉密信息設(shè)備和涉密存儲(chǔ)設(shè)備，規(guī)避檢查；（八）禁止擅自更換涉密計(jì)算機(jī)硬盤；（九）禁止擅自重裝涉密計(jì)算機(jī)操作系統(tǒng)；第五條非涉密信息設(shè)備和非涉密存儲(chǔ)設(shè)備管理基本要求:（一）禁止使用非涉密信息設(shè)備和非涉密存儲(chǔ)設(shè)備存儲(chǔ)、處理、傳輸國(guó)家秘密信息；（二）禁止連接涉密信息設(shè)備和涉密存儲(chǔ)設(shè)備；（三）禁止在未采取保密措施的有線或無線通信中傳遞國(guó)家秘密。第六條涉密信息設(shè)備和涉密存儲(chǔ)設(shè)備實(shí)行全生命周期管理，須遵守以下管理要求:（一）涉密信息設(shè)備和涉密存儲(chǔ)設(shè)備的確定。1.本校涉密信息設(shè)備和涉密存儲(chǔ)設(shè)備的密級(jí)劃分為秘密級(jí)和機(jī)密級(jí)。2.涉密信息設(shè)備和涉密存儲(chǔ)設(shè)備需明確責(zé)任人，并履行相關(guān)審批程序后方可投入涉密使用。3.涉密信息設(shè)備和涉密存儲(chǔ)設(shè)備禁止使用紅外、藍(lán)牙、無線網(wǎng)卡等無線模塊。（二）涉密信息設(shè)備和涉密存儲(chǔ)設(shè)備的使用。1.涉密信息設(shè)備和涉密存儲(chǔ)設(shè)備需建立全生命周期檔案，檔案應(yīng)體現(xiàn)設(shè)備的所有審批、登記和使用記錄。2.使用單位應(yīng)建立信息設(shè)備臺(tái)帳，做到信息要素完整、賬物相符，并定期上報(bào)。3.應(yīng)在涉密信息設(shè)備和涉密存儲(chǔ)設(shè)備的顯著位置粘貼學(xué)校統(tǒng)一的標(biāo)識(shí)，標(biāo)識(shí)包含使用部門、涉密編號(hào)、密級(jí)、責(zé)任人等。4.涉密信息設(shè)備和存儲(chǔ)設(shè)備中存儲(chǔ)的涉密信息須有密級(jí)標(biāo)識(shí)，禁止超越涉密等級(jí)存儲(chǔ)、處理和傳輸涉密信息，禁止在低密級(jí)涉密信息設(shè)備上使用高密級(jí)存儲(chǔ)設(shè)備。（三）涉密信息設(shè)備和涉密存儲(chǔ)設(shè)備的變更。1.涉密信息設(shè)備和涉密存儲(chǔ)設(shè)備的責(zé)任人、密級(jí)、存放地點(diǎn)、外部設(shè)備、用途等信息須履行相關(guān)審批程序后方可變更。2.涉密信息設(shè)備和涉密存儲(chǔ)設(shè)備的存儲(chǔ)部件禁止降密使用。（四）涉密信息設(shè)備和涉密存儲(chǔ)設(shè)備的維修。1.涉密信息設(shè)備和涉密存儲(chǔ)設(shè)備維修應(yīng)指定校內(nèi)涉密計(jì)算機(jī)安全保密管理員自行維修，需外單位人員維修的，應(yīng)與維修單位和維修人員簽訂保密協(xié)議，維修應(yīng)在校內(nèi)進(jìn)行。2.維修涉密信息設(shè)備應(yīng)當(dāng)履行審批手續(xù)、做好維修記錄。（五）涉密信息設(shè)備和涉密存儲(chǔ)設(shè)備的報(bào)廢、銷毀。涉密信息設(shè)備和存儲(chǔ)設(shè)備不再使用的，應(yīng)履行相關(guān)審批程序后進(jìn)行報(bào)廢，其存儲(chǔ)部件應(yīng)按照涉密載體銷毀流程銷毀。（六）非涉密人員原則上不能管理和使用涉密信息設(shè)備，單位內(nèi)部非涉密人員在崗位工作中，確需少量接觸、存儲(chǔ)、處理涉密信息的，經(jīng)過批準(zhǔn)，可以配備、管理或使用秘密級(jí)信息設(shè)備，但年度內(nèi)處理秘密級(jí)信息不得超過9份，同時(shí)須簽署保密承諾書；（七）一般涉密人員原則上不能使用機(jī)密級(jí)涉密信息設(shè)備，單位內(nèi)部一般涉密人員確需少量接觸、存儲(chǔ)、處理機(jī)密級(jí)涉密信息的，經(jīng)過批準(zhǔn)可以配備、管理或使用機(jī)密級(jí)信息設(shè)備，并且年度內(nèi)處理機(jī)密級(jí)信息不得超過6份，同時(shí)須簽署保密承諾書；（八）非涉密人員任何情況下均不得配備、管理和使用機(jī)密級(jí)及以上信息設(shè)備。第七條涉密計(jì)算機(jī)管理要求。（一）涉密計(jì)算機(jī)原則上專人專用，特殊情況需多人共用的須指定專人管理，控制每個(gè)用戶的訪問權(quán)限。（二）涉密計(jì)算機(jī)存儲(chǔ)的各類涉密電子文件資料須按規(guī)定標(biāo)明密級(jí)和保密期限。（三）涉密計(jì)算機(jī)應(yīng)安裝統(tǒng)一的強(qiáng)制管控防護(hù)系統(tǒng)，并按要求使用濾波隔離插座，與非涉密設(shè)備保持距離。（四）涉密計(jì)算機(jī)應(yīng)按要求安裝操作系統(tǒng)、應(yīng)用系統(tǒng)補(bǔ)丁、定期更新病毒庫并及時(shí)查殺。（五）涉密計(jì)算機(jī)軟件白名單由學(xué)校統(tǒng)一制定，安裝白名單以外的軟件須履行審批程序。（六）涉密計(jì)算機(jī)應(yīng)按要求設(shè)置三重密碼，并按要求定期修改。（七）外來涉密信息導(dǎo)入涉密計(jì)算機(jī)，原則上只接受外來涉密光盤；外來涉密信息設(shè)備能接入三合一特種存儲(chǔ)設(shè)備使用的，可直接通過三合一裝置導(dǎo)入涉密計(jì)算機(jī)。接收外來涉密信息，應(yīng)在使用登記冊(cè)上詳細(xì)登記外來涉密光盤編號(hào)或者三合一特種存儲(chǔ)設(shè)備的序列號(hào)。（八）涉密計(jì)算機(jī)中信息的輸入、輸出應(yīng)相對(duì)集中，并按照學(xué)校規(guī)定的流程進(jìn)行審批、操作及記錄。（九）涉密便攜式計(jì)算機(jī)由運(yùn)行維護(hù)部門統(tǒng)一管理，需明確是否專供外出攜帶，攜帶外出時(shí)應(yīng)履行審批程序，帶出前須檢查；外出期間按照保密管理要求使用；帶回時(shí)對(duì)相關(guān)記錄進(jìn)行檢查核實(shí)；不使用時(shí)應(yīng)當(dāng)鎖在密碼文件柜內(nèi)。（十）涉密計(jì)算機(jī)應(yīng)定期（機(jī)密級(jí)一個(gè)月，秘密級(jí)三個(gè)月）根據(jù)審計(jì)日志數(shù)據(jù)和自查情況形成安全審計(jì)報(bào)告和風(fēng)險(xiǎn)自評(píng)估報(bào)告，對(duì)存在的風(fēng)險(xiǎn)及時(shí)采取補(bǔ)救措施。第八條涉密外部設(shè)備管理。（一）涉密外部設(shè)備按照處理、傳輸?shù)淖罡呙芗?jí)確定設(shè)備密級(jí)；（二）涉密打印機(jī)、刻錄機(jī)等輸出設(shè)備輸出資料應(yīng)履行登記審批手續(xù)；（三）涉密掃描儀等信息輸入設(shè)備可以通過綁定的計(jì)算機(jī)進(jìn)行導(dǎo)入；（四）通過USB端口連接的所有涉密外部設(shè)備須登記序列號(hào)。第九條涉密辦公自動(dòng)化設(shè)備管理。（一）涉密辦公自動(dòng)化設(shè)備的存放和使用場(chǎng)所應(yīng)當(dāng)安全、相對(duì)固定，并指定責(zé)任人，按照保密要求進(jìn)行管理和使用；