公司計算機和信息系統(tǒng)保密管理制度

公司計算機和信息系統(tǒng)保密治理制度第一章總則第一條為進一步加強公司計算機和信息系統(tǒng)保密治理工作，防范泄密大事其次條本制度適用于公司各部門計算機和信息系統(tǒng)的保密治理。其次章計算機和信息系統(tǒng)保密治理總體要求第三條公司計算機信息系統(tǒng)治理堅持“涉密機不上國際互聯(lián)網(wǎng)，上國際互聯(lián)網(wǎng)機不涉密”的原則。第四條公司計算機實行分級保護。計算機的分級保護是指涉密計算機的使保密辦依據(jù)該計算機的保護等級實施監(jiān)視治理，確保計算機和信息的安全。同步建設；突出重點，確保核心；明確責任，加強監(jiān)視”的原則。第六條涉密計算機依據(jù)所處理的最高密級，由低到高劃分為隱秘、機密兩個等級。第七條公司規(guī)劃和建設涉密計算機集中治理區(qū)域時，必需同步規(guī)劃和落實要求的，不得處理涉密信息。第八條涉密計算機集中治理區(qū)域內(nèi)涉密計算機的安全防護產(chǎn)品，應中選擇效勞、詢問、風險評估等。公司保密辦要對涉密計算機的防護方案進展備案。第九條涉密計算機領導小組應當定期組織對涉密計算機的安全保密狀況進展要求全都的防護水平。第十條涉密計算機應當制定文檔化的安全保密策略，并依據(jù)環(huán)境、系統(tǒng)和威逼變化狀況準時調(diào)整更；應當定期〔13〕形成12形成文檔化的風險分析報告，對存在的風險應當準時實行補救措施。第十一條涉密計算機的密級，依據(jù)涉密計算機所處理的最高密級設定。涉過安全保密培訓，持證上崗，并依據(jù)重要涉密人員治理。第十二條計算機領導小組應當制定相關的安全保密治理制度，主要包括保算機應急處置預案。第十三條保密中心機房應中選擇通過國家相關主管部門授權(quán)測評機構(gòu)檢測制止安裝或拆卸硬件設備和軟件。第十四條涉密計算機應當與國際互聯(lián)網(wǎng)和其他公共信息網(wǎng)絡實行物理隔離密碼保護措施。第十五條未經(jīng)計算機領導小組審批，制止對涉密計算機系統(tǒng)格式化或重裝操作系統(tǒng)，制止刪除涉密計算機的移動存儲介質(zhì)及外部設備等日志記錄。第十六條不得擅自更改涉密計算機、涉密便攜式計算機中移動存儲介質(zhì)、記錄應當存檔備案。第十七條公司計算機的治理和使用堅持“誰主管，誰負責”的原則。建立使用、維護、報廢、銷毀等狀況做完整記錄?！惨姼郊?〕報粘貼涉密等級或非密的標識及編號后，才能投入使用。第十九條計算機的密級確定后，原則上不能再做變更，因特別狀況，涉密司保密部門和計算機領導小組嚴格檢查后，才能使用。其次十條計算機領導小組要建立各類信息設備和存儲介質(zhì)臺賬，應粘貼標公司計算機領導小組應定期對信息設備進展清查核對和登記〔612。其次十一條涉密信息設備和存儲介質(zhì)中的涉密信息應當標明密級。其標注方法：形、圖像、數(shù)據(jù)，只要內(nèi)容涉及國家隱秘，在首頁都應當標注密級標識。級標識的，可將密級標識作為文件名稱的一局部進展標注。軟件運行首頁、數(shù)據(jù)視圖首頁和影像播映首頁應當標注密級。其次十二條各部門要配備計算機治理員，負責計算機和信息系統(tǒng)的治理，并定期對計算機的使用狀況進展安全保密檢查。第三章涉密計算機保密治理其次十三條涉密計算機使用治理要求生?！捕巢僮魅藛T要加強計算機學問的學習，正確操作使用計算機。留意保密?！菜淖曰蜃屍渌菍I(yè)技術(shù)人員修改計算機系統(tǒng)的重要設置。嚴禁將內(nèi)網(wǎng)計算機系統(tǒng)直接或間接地與國際互聯(lián)網(wǎng)或其它公共信息網(wǎng)絡聯(lián)接，保證內(nèi)網(wǎng)和國際互聯(lián)網(wǎng)完全物理隔離。嚴禁利用計算機非法入侵他人或其他人或其他組織的計算機信息系統(tǒng)。使用要求前方可申請報廢。員聯(lián)系，不得擅自拆裝計算機或調(diào)換設備配件。其次十四條口令治理要求〔一口令更換記錄。機系統(tǒng)口令長度不得少于八個字符。文簡稱、個人信息〔如生日、名字、反向拼寫的登錄名，房間中可見的東西，年份，以及機器中的口令等?！菜摹炒鎯陀涗浛诹畹妮d體要安全存放?！参濉橙罩静坏糜涗泴诹钗募娜魏尾僮?。〔六〕制止將口令貼在機箱、顯示器、鍵盤等明顯的地方?？诹畹挠嬎銠C治理員離崗后，原則上有關的各級用戶口令必需盡快修改。其次十五條用戶使用權(quán)限治理要求〔一〕允許命名用戶訪問計算機中特定的文件夾，實現(xiàn)文件的備份和打印。〔二〕用戶可通過計算機中除文件保險箱外的文件夾〔共享文件夾，實現(xiàn)密壓縮前方可共享。〔三非授權(quán)用戶訪問涉密計算機用戶身份識別數(shù)據(jù)?！菜摹砋SBKEY威逼變化狀況準時調(diào)整更；應當定期〔13〕形成評估，形成文檔化的風險分析報告，對存在的風險應當準時實行補救措施?！参濉呈跈?quán)用戶應當保護自己密碼，不得外泄；用戶不得超越自己的權(quán)限訪問其他涉密計算機。其次十六條計算機系統(tǒng)備份與恢復治理要求〔一〕系統(tǒng)軟件、應用軟件、重數(shù)據(jù)信息等實行備份措施。〔二出的備份文件介質(zhì)使用完畢，必需準時歸還保密辦。〔四〕24其次十七條單機安全應急反響預案〔一〕安全治理員在覺察可疑攻擊和入侵跡象時，必需盡快處理并記錄。組織技術(shù)力氣進展處理。1.分析推斷質(zhì)以及嚴峻程度。入侵或攻擊的終止止對方系統(tǒng)的破壞行為。記錄和備份件，保存內(nèi)存中的進程列表和外接設備連接狀態(tài)，并且翻開進程記錄功能。恢復5.定位6.匯報示處理方法。其次十八條計算機保密機房治理〔一〕機房出入治理進入機房登記表，經(jīng)保密辦批準前方可進入。進入機房人員應遵守機房治理制度。物質(zhì)等對設備正常運行構(gòu)成威逼的物品。〔二〕機房安全治理錄。改?！睻SBKEY定期更改。機房工作人員應嚴格遵守保密制度，不得擅自泄露各種信息資料與數(shù)據(jù)。機房內(nèi)嚴禁吸煙、喝水、吃食物、玩耍和進展猛烈運動，保持機房安靜。不定期對機房內(nèi)設置的消防器材、監(jiān)控設備進展檢查，以保證其有效性?！踩巢僮髦卫砻鎴蟾尕撠熑?，負責人批準簽字前方可執(zhí)行，全部操作記錄必需有存檔記錄。操作人員每日在使用完涉密計算機后，要對機房環(huán)境進展清潔，以保持機4.按規(guī)章制度要求做好各種數(shù)據(jù)、文件的備份工作。全部重要文檔定期整理裝訂，專人保管，以備后查?！菜摹尺\行治理統(tǒng)及更改設備參數(shù)配置。和記錄。記手續(xù)。實，并作為人員考核之依據(jù)。其次十九條計算機病毒防范措施〔一馬上處理，并通知保密辦或?qū)Ｂ毴藛T。〔二〕承受國家正版防病毒軟件〔制止使用國外防病毒軟件，并準時更換軟件版本?！踩_為需要安裝，安裝前應辦理相關審批手續(xù)并進展病毒例行檢測。〔四的來源。第三十條涉密介質(zhì)安全治理要求〕U標明密級?！捕炒鎯^涉密信息的介質(zhì)不能降低密級使用?！踩吧婷茌d體保密治理制度”相關規(guī)定。〔四〕涉密介質(zhì)有專人負責進展維護。護時的修理對象、故障緣由、排解方法、主要修理過程及修理的有關狀況等。有安全治理員在場?！财哂芍鞴茴I導批準前方可進展報廢處理?！砋的牢靠性等級，制定預防性維護、更打算?！簿拧砋密級標識?！彩甎或密碼鐵皮柜中，制止將存貯有涉密事項的移動存儲介質(zhì)攜帶外出?！彩籙3〔要害部位因有特別防范措施不受此限制?！彩婷芪募c文件首頁左上角標明密級，并嚴格按涉密介質(zhì)進展治理?！彩程氐赜糜谥匾婷苋蝿盏挠嬎銠C，工作時必需使用電磁干擾器。24辦領導申請，批準前方可延期歸還。第三十一條涉密信息密級標識治理要求相應的密級標識。保密辦定期或不定期對涉密計算機內(nèi)存儲的密級文件的密級標識狀況進展檢查?！参鍒蟆５谌l關于制止使用涉密計算機上國際互聯(lián)網(wǎng)或其它非涉密信息系統(tǒng)的治理要求使用計算機，嚴禁使用涉密計算機上國際互聯(lián)網(wǎng)或其它非涉密信息系統(tǒng)。安全治理員定期對涉密計算機是否上國際互聯(lián)網(wǎng)或其它非涉密信息系統(tǒng)進展檢查。者，依據(jù)公司《保密治理制度》中“保密工作獎懲制度”的相關規(guī)定處理。〔四報。第三十三條關于制止在非涉密計算機系統(tǒng)上處理涉密信息的實施要求作使用計算機，嚴禁在非涉密計算機上存儲、處理涉密信息?！捕撤巧婷苄畔⑾到y(tǒng)治理員對非涉密計算機上存儲的信息定期進展檢查?！踩潮Ｃ苻k不定期對非涉密計算機上存儲的信息進展抽查?！菜摹撤巧婷苡嬎銠C違規(guī)存儲、處理涉密信息或造成泄密大事者，依據(jù)公司《保密治理制度》中“保密工作獎懲制度”的相關規(guī)定處理。第三十四條關于涉密計算機必需與國際互聯(lián)網(wǎng)等非涉密信息系統(tǒng)施行物理隔絕的治理要求國際互聯(lián)網(wǎng)或其它非涉密信息系統(tǒng)，確保涉密計算機與外網(wǎng)的物理隔絕。他計算機通過本端口進入涉密計算機?！踩嘲踩卫韱T定期對涉密計算機與外網(wǎng)的物理隔絕狀況進展檢查?！菜闹贫取分小氨Ｃ芄ぷ鳘剳椭贫取钡南嚓P規(guī)定處理?！参鍒?。第四章涉密計算機信息交換保密治理〔包括國際互聯(lián)網(wǎng)和公共信息網(wǎng)絡產(chǎn)生和供給的資源。第三十六條中間轉(zhuǎn)換機分為非涉密中間轉(zhuǎn)換機和涉密中間轉(zhuǎn)換機?！惨挥贸绦颉?shù)據(jù)和其他相關信息等。涉密中間轉(zhuǎn)換機用于實現(xiàn)外部的涉密移動存儲介質(zhì)與內(nèi)部涉密計算機的信息交換。涉密中間轉(zhuǎn)換機的密級應當依據(jù)轉(zhuǎn)換信息的最高密級確定?！踩龕阂獯a防護產(chǎn)品。第三十七條信息交換應遵從以下原則：〔一機時，應當填寫審批單，注明信息的名稱、來源、用途等，經(jīng)公司計算機領導小錄，并卸載移動光盤刻錄裝置，關閉數(shù)據(jù)接口。〔三〕將外部涉密移動存儲介質(zhì)信息導入涉密計算機時，應當填寫審批單，注明信息的名稱、密級、來源、用途等，經(jīng)公司計算機領導小組批準后將信息導了技術(shù)防護措施的涉密移動存儲介質(zhì)，到入到涉密計算機中，記錄導入過程，信息去除后連續(xù)使用。第三十八條公司內(nèi)部涉密計算機之間進展信息交換時，可使用實行技術(shù)防護措施的涉密移動存儲介質(zhì)，也可承受涉密中間轉(zhuǎn)換機的方式進展。第三十九條單臺涉密計算機的使用要嚴格遵守以下規(guī)定：〔一〕涉密計算機處理多種涉密信息時，應按最高密級進展防護和治理；〔二保密部門或有關主管部門進展保密檢查，確認符合保密要求前方可投入使用；和上網(wǎng)機實行物理隔離；〔四密級標識不能和正文分別。施，有關設備的技術(shù)措施應得到國家保密部門或有關主管部門的認可。810不得長于一周?！财摺成婷苡嬎銠C要具備防病毒、防非法撥號和身份認證等安全防護手段.〔八〕涉密計算機制止連接公司內(nèi)部非涉密局域網(wǎng)。領導小組和保密辦辦理審查登記手續(xù)。第四十一條上網(wǎng)計算機〔包括上網(wǎng)便攜機〕不得采集、存儲、處理、傳遞、輸出、公布公司軍品科研、生產(chǎn)、試驗、經(jīng)營治理等國家隱秘信息、企業(yè)隱秘信息和公司內(nèi)部信息。第四十二條在互聯(lián)網(wǎng)上公布信息要堅持“誰上網(wǎng)、誰負責“的原則。在公布公司主管領導批準后，方可公布。第五章涉密便攜式計算機保密治理第四十三條公司計算機領導小組應建立便攜式計算機臺賬，分涉密、非涉途。涉密便攜式計算機應當撤除具有無線聯(lián)網(wǎng)功能的硬件模塊。第四十四條未經(jīng)保密辦批準，涉密便攜式計算機內(nèi)不得存儲涉密信息，要在涉密移動存儲介質(zhì)上存儲。由主管領導批準，公司保密辦備案。計算機領導小組制定具體的外出訪用方法，存儲介質(zhì)必需分開保管，兩者要始終處在攜帶人的有效把握之中。第四十六條借用便攜機時，計算機領導小組和借用人要現(xiàn)場開機檢查硬盤狀況，查處問題的，要追究借用人責任。便攜機嚴禁私自轉(zhuǎn)借他人使用。第四十七條嚴禁使用私人便攜機處理、存儲任何涉及國家隱秘的信息和工密信息。第六章涉密移動存儲介質(zhì)保密治理〔U密辦統(tǒng)一購置，統(tǒng)一編號，統(tǒng)一發(fā)放，統(tǒng)一治理。第四十九條移動存儲介質(zhì)標識應由使用部門名稱、移動存儲介質(zhì)名稱的漢語拼音的第一個大寫字母、編號和密級組成。第五十條計算機領導小組要建立移動存儲介質(zhì)治理臺賬，臺賬主要包括存等。第五十一條涉密移動存儲介質(zhì)統(tǒng)一由保密辦存放，所存儲信息按最高密級標明密級，并按相應密級進展治理。第五十二條在涉密計算機間使用的移動存儲介質(zhì)應當實行綁定或有效的技50質(zhì)上存儲高密級信息，信息交換應使用中間轉(zhuǎn)換機。關的內(nèi)容，并備知名目，帶回時應當進展保密檢查。第五十四條非密移動存儲介質(zhì)中制止存儲涉密信息和公司敏感信息；私人第七章非涉密計算機保密治理第五十五條非涉密計算機保密治理要求〔一〕非涉密計算機應健全安全保密治理制度，明確計算機信息安全職責?！捕撤巧婷苡嬎銠C要做到統(tǒng)一編號，治理責任要落實到人?！踩撤巧婷苡嬎銠C不得采集、存儲、處理、傳遞、輸出、公布公司軍品科〔四準，不得私自或間接連接互聯(lián)網(wǎng)或其他網(wǎng)絡。第八章非涉密便攜式計算機保密治理第五十六條非涉密便攜式計算機保密治理要求誰負責”的原則，各部門負責人是治理責任人，使用人是直接負責人。〔二〕保密辦負責對便攜式計算機的配置和使用狀況備案登記?！踩?guī)定者治理責任人有權(quán)拒絕借用?！菜摹辰栌玫谋銛y式計算機用完后應準時歸還，不得私自保存。機中存儲涉密信息?！擦撤巧婷鼙銛y式計算機嚴禁連接到公司軍品涉密計算機中?！财摺惨姼郊?〔見附件〔1〕員檢查，經(jīng)檢查符合相關規(guī)定的，并認真填寫檢查意見?！簿拧承枰獧z查的內(nèi)容具體包括：計算機系統(tǒng)及相關軟件、硬件是否能正常工作。計算機內(nèi)是否存在病毒。計算機內(nèi)是否存有涉密信息。全部責任?！彩承钄y帶便攜式計算機出國的人員，應嚴格遵守國家安全保密制度。信息。外來〔含境外〕人員原則上不得攜帶便攜式計算機進入公司。如確〔見附件〔2〕密部門和公司領導報告，任何部門或個人不得隱瞞。1.涉密計算機、外部設備、存儲介質(zhì)發(fā)生故障時，應當向公司計算機領導小組提出修理申請，經(jīng)批準后到指定檢修地點修理，修理后應當進展保密檢查。和維護工作。件。修理地點在公司外部的，應當與修理單位和修理人員簽訂保密協(xié)議。，并由專人負責送取。涉密存儲介質(zhì)消滅故障時，如不能保證安全保密，應當依據(jù)涉密載體銷毀系統(tǒng)數(shù)據(jù)恢復資質(zhì)的單位進展修理，并由專人負責送取，并按有關規(guī)定監(jiān)銷。記錄在案。件、存儲介質(zhì)上交公司保密辦進展監(jiān)銷處理。保密辦建立銷毀涉密設備和存儲介質(zhì)清單，依據(jù)BMB21-2023《涉及國經(jīng)辦人、實行的方法措施以及最終去向狀況記錄在案并歸檔。第九章非涉密計算機信息系統(tǒng)保密治理第五十七條非涉密計算機信息系統(tǒng)治理要求〔一〕非涉密計算機嚴禁采集、存儲、處理、傳遞、輸出涉密信息?！捕埽坏美秒娮余]件傳遞、轉(zhuǎn)發(fā)或抄送涉密信息。公布?！参濉潮Ｃ苻k負責對接入互聯(lián)網(wǎng)計算機進展定期和不定期檢查和監(jiān)視。用。向網(wǎng)絡安全治理員報告?！舶朔巧婷苡嬎銠C違規(guī)在國際互聯(lián)網(wǎng)或其他非涉密信息系統(tǒng)中傳遞涉密信相關規(guī)定處理。第十章非涉密移動儲存介質(zhì)保密治理第五十八條非涉密移動儲存介質(zhì)保密要求〔一〕本規(guī)定所稱非涉密移動儲存介質(zhì)是指不用來存儲、傳遞、國家秘.密U非涉密移動儲存介質(zhì)制止以任何形式傳輸涉及國家隱秘和工作隱秘的信息。〕非涉密移動儲存介質(zhì)信息公布、傳輸?shù)谋Ｃ苤卫砉ぷ鲌猿帧罢l上網(wǎng)，經(jīng)過保密審查。具體負責這項工作。第十一章辦公自動化設備使用保密治理第五十九條計算機及其辦公自動化設備的配置〔一室審核，交公司總經(jīng)理批準后，依據(jù)《選購把握程序》進展選購。各類電腦性能、價格之后，選擇適宜的機型。〔三門須做好硬件和軟件的檢測工作，確保計算機網(wǎng)絡系統(tǒng)的可行性?！菜恼{(diào)換?！参濉抽_發(fā)或購置的應用軟件需經(jīng)申請部門會同檢驗人員確認前方可使用。確認的前提是：在正規(guī)生產(chǎn)廠家購置的軟件，有良好的售后效勞。有具體的軟件使用說明書和許可證編號及必要的合同資料等。第六十條計算機及其辦公自動化設備使用備案附件1U到保密辦公室登記備案?！捕或密碼鐵皮柜中，制止將存貯有涉密事項的移動存儲介質(zhì)攜帶外出。第六十一條計算機及其辦公自動化設備的使用要求〔一〕各部門必需指定1擅自使用公司指定的專用電腦及設備。〔二轉(zhuǎn)?！踩澄唇?jīng)許可，任何人不得任憑使用更換電腦設備、硬件和軟件?！菜男薷某绦蚧蛳嚓P參數(shù)。使用計算機應建立使用記錄和通訊日志。行狀態(tài)?！擦薇??！财摺硣澜谏习鄷r間玩電腦玩耍，不得進展與工作無關的操作?！舶恕彻居嬎銠C口治理部門定期組織計算機應用培訓。度，造成不良后果的，將追究相關人員責任。第六十二條復印、速印設備使用的保密治理〔一〕復印、速印設備實行專人使用，歸口把握治理。制度》執(zhí)行。第六十三條計算機及其辦公自動化設備的維護和保養(yǎng)〔一碎紙機使用后應準時去除紙屑。計算機及其辦公自動化設備臺前嚴禁堆放磁性物質(zhì)等雜物或進展其它有害、污損計算機的行為?！踩硣栏癜匆?guī)定程序開啟和關閉電腦系統(tǒng)，下班后必需關機并切斷電源。菜單提示，鍵入規(guī)定口令或密碼；在權(quán)限內(nèi)對工作任務進展操作。關斷電源。如發(fā)生故障或發(fā)生意外狀況應準時反映上報，不得擅自拆卸機器。〔五〕進展計算機安裝及維護工作時，應實行防靜電措施，嚴禁帶電作業(yè)?！擦銠C治理員?！财哓悺＾k公自動化設備由各部門辦公自動化設備治理人員定期進展設備保養(yǎng)和安全檢查，做好預防性維護工作及記錄。第六十四條網(wǎng)絡維護及安全治理〔一〔外網(wǎng)、辦公網(wǎng)〔內(nèi)網(wǎng)〕及不接入網(wǎng)絡的，實現(xiàn)物理隔離。〔如涉密計算機、財務系統(tǒng)〕電腦不得接入外網(wǎng)?！踩秤嬎銠C實行專機專網(wǎng)，未經(jīng)同意不得擅自更改IP地址，嚴禁不同用途的計算機相互串用。〕須定期進展備份，效勞器上的數(shù)據(jù)備份由殺毒，去除不了的病毒，要準時上報公司電腦歸口治理部門。理，不得擅自拆卸機箱和插拔網(wǎng)線。使用部門定期對所使用的電腦進展殺毒