二、三級保密認(rèn)定-技術(shù)篇-20210507運(yùn)行維護(hù)機(jī)構(gòu)管理制度(V2.0三級修訂版)

xxx有限公司運(yùn)行維護(hù)管理制度實(shí)用文檔公司運(yùn)行維護(hù)機(jī)構(gòu)《管理制度》（V1.0）擬制：xxx、xxx審核：xxx、xxx批準(zhǔn)：xxx、xxxxxx(xxx)xxx有限公司二〇二一年三月目錄前言 1一、制度總則 1二、部門職責(zé) 1（一）信息化管理部門 1（二）運(yùn)行維護(hù)機(jī)構(gòu) 2（三）保密辦公室 2（四）公司內(nèi)各使用部門 2三、基本要求 2（一）涉密信息設(shè)備和涉密存儲設(shè)備管理的基本要求 2（二）非涉密信息系統(tǒng)、非涉密信息設(shè)備和非涉密存儲設(shè)備管理的基本要求 3四、涉密信息設(shè)備和涉密存儲設(shè)備管理 4（一）涉密信息設(shè)備和存儲設(shè)備實(shí)行全生命周期管理，須遵守以下管理要求 4（二）涉密計(jì)算機(jī)管理 6（三）涉密外部設(shè)施設(shè)備設(shè)備管理 7（四）涉密辦公自動化設(shè)備管理 8（五）涉密聲像設(shè)備管理 8（六）涉密存儲設(shè)備管理 8五、非涉密信息系統(tǒng)、非涉密信息設(shè)備和非涉密存儲設(shè)備管理 8（一）非涉密信息設(shè)備管理 8（二）非涉密存儲設(shè)備管理 9六、執(zhí)行要求 9（一）策略文件執(zhí)行要求 9（二）操作規(guī)程執(zhí)行要求 10七、附則 10版本修訂記錄序號修訂時間版本新增和修訂內(nèi)容生效時間2021.03.19V1.02021.03.19前言為進(jìn)一步加強(qiáng)xxx(xxx)xxx有限公司涉密信息設(shè)備和存儲設(shè)備的運(yùn)行維護(hù)管理，依據(jù)《武器裝備科研生產(chǎn)單位三級保密資格標(biāo)準(zhǔn)》、《武器裝備科研生產(chǎn)單位三級保密資格評分標(biāo)準(zhǔn)》等要求，結(jié)合xxx(xxx)xxx有限公司（以下簡稱公司）《信息安全策略》、《信息系統(tǒng)、信息設(shè)備和存儲設(shè)備保密管理制度》和公司運(yùn)行維護(hù)業(yè)務(wù)工作的實(shí)際情況，制定公司《信息系統(tǒng)、信息設(shè)備和存儲設(shè)備運(yùn)行維護(hù)管理制度》（以下簡稱制度），確保公司運(yùn)行維護(hù)操作工作標(biāo)準(zhǔn)化、規(guī)范化，滿足相關(guān)保密標(biāo)準(zhǔn)要求。本管理制度適應(yīng)于公司信息系統(tǒng)、信息設(shè)備和存儲設(shè)備在安全保密管理和使用過程中的一切安全活動，用于指導(dǎo)公司運(yùn)行維護(hù)管理人員和使用人員在從事安全活動中的規(guī)程、程序和操作步驟。制度總則依據(jù)保密資格相關(guān)標(biāo)準(zhǔn)要求和公司《信息系統(tǒng)、信息設(shè)備和存儲設(shè)備保密管理制度》、《信息安全策略》中的相關(guān)要求制定本制度，用以保障公司信息設(shè)備和存儲設(shè)備安全保密管理策略提出的對策和解決方案正確執(zhí)行。部門職責(zé)運(yùn)行維護(hù)機(jī)構(gòu)運(yùn)維管理制度將運(yùn)維機(jī)構(gòu)的要求，放到（一）；信息化部門管理職制度時，放到（一），運(yùn)維（二）運(yùn)維管理制度將運(yùn)維機(jī)構(gòu)的要求，放到（一）；信息化部門管理職制度時，放到（一），運(yùn)維（二）技術(shù)研發(fā)部（運(yùn)行維護(hù)機(jī)構(gòu)）負(fù)責(zé)制定公司運(yùn)行維護(hù)管理制度和操作規(guī)程，落實(shí)公司各項(xiàng)保密制度相關(guān)要求。負(fù)責(zé)并指導(dǎo)公司涉密信息設(shè)備和涉密存儲設(shè)備的使用管理以及公司各部門信息系統(tǒng)、信息設(shè)備和存儲設(shè)備的日常運(yùn)行維護(hù)管理。確保公司信息系統(tǒng)、信息設(shè)備和存儲設(shè)備符合保密標(biāo)準(zhǔn)要求。負(fù)責(zé)公司信息系統(tǒng)、信息設(shè)備和存儲設(shè)備的運(yùn)行維護(hù)管理，確保安全、穩(wěn)定運(yùn)行。負(fù)責(zé)結(jié)合公司運(yùn)行維護(hù)業(yè)務(wù)工作實(shí)際，制定信息安全保密相關(guān)制度和信息安全保密管理體系文件，落實(shí)信息系統(tǒng)、信息設(shè)備和存儲設(shè)備的安全保密要求。負(fù)責(zé)公司信息系統(tǒng)、信息設(shè)備和存儲設(shè)備的臺賬管理，配合進(jìn)行安全保密技術(shù)檢查。負(fù)責(zé)公司信息系統(tǒng)、信息設(shè)備和存儲設(shè)備的安全保密管理培訓(xùn)以及業(yè)務(wù)指導(dǎo)工作，為使用部門和人員提供技術(shù)支持。信息化管理部門品質(zhì)保障部（信息化管理部門）承擔(dān)公司信息化管理部門工作職責(zé)，新增負(fù)責(zé)組織制定公司《信息安全策略》、《管理制度》、《操作規(guī)程》等組成的信息安全保密管理新增體系文件，對《信息安全策略》文件的策略可執(zhí)行性進(jìn)行驗(yàn)證，對操作規(guī)程的合規(guī)性進(jìn)行核實(shí)，形成公司信息安全保密管理體系文件。新增新增負(fù)責(zé)組織制定由信息安全策略、管理制度和操作規(guī)程等組成的公司信息安全保密管理體系文件。負(fù)責(zé)組織開展公司信息系統(tǒng)、信息設(shè)備和存儲設(shè)備全過程的安全保密管理工作。負(fù)責(zé)組織開展公司涉密信息設(shè)備和涉密存儲設(shè)備的風(fēng)險(xiǎn)自評估工作。負(fù)責(zé)監(jiān)督和指導(dǎo)公司技術(shù)研發(fā)部（運(yùn)行維護(hù)機(jī)構(gòu)）開展信息系統(tǒng)、信息設(shè)備和存儲設(shè)備的運(yùn)行和維護(hù)工作。負(fù)責(zé)定期組織開展公司信息系統(tǒng)、信息設(shè)備和存儲設(shè)備的安全保密技術(shù)檢查工作。保密辦公室保密辦負(fù)責(zé)對“信息系統(tǒng)、信息設(shè)備和存儲設(shè)備管理制度”和信息安全保密管理體系文件的合規(guī)性進(jìn)行核實(shí)，并監(jiān)督、指導(dǎo)、檢查其各項(xiàng)制度、體系文件的落實(shí)情況，組織開展保密檢查以及對失泄密事件進(jìn)行查處。公司內(nèi)各使用部門各級使用部門按照公司信息安全保密管理體系文件要求，負(fù)責(zé)本部門的信息設(shè)備和存儲設(shè)備的安全保密管理，以及日常運(yùn)行維護(hù)。落實(shí)執(zhí)行公司各項(xiàng)保密制度和信息安全策略要求。負(fù)責(zé)本部門信息系統(tǒng)、信息設(shè)備和存儲設(shè)備的日常保密管理，確保本部門信息系統(tǒng)、信息設(shè)備和存儲設(shè)備規(guī)范使用。發(fā)現(xiàn)本部門在安全保密管理方面的漏洞、隱患以及違反公司有關(guān)安全保密管理規(guī)定的行為時，應(yīng)及時上報(bào)?；疽笊婷苄畔⒃O(shè)備和涉密存儲設(shè)備管理的基本要求禁止將涉密信息設(shè)備和涉密存儲設(shè)備接人互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)。禁止在未采取防護(hù)措施的情況下，涉密信息設(shè)備和涉密存儲設(shè)備與互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)之間進(jìn)行信息交換。禁止未經(jīng)安全技術(shù)處理，將退出使用的涉密信息設(shè)備和涉密存儲設(shè)備贈送、出售、丟棄或者改作其他用途。禁止擅自卸載、修改涉密信息系統(tǒng)、涉密信息設(shè)備和涉密存儲設(shè)備的安全技術(shù)程序、管理程序。禁止擅自訪問、下載、存儲、傳輸知悉范圍以外的國家秘密。禁止擅自掃描或者檢測涉密信息系統(tǒng)的網(wǎng)絡(luò)基礎(chǔ)設(shè)施、安全保密產(chǎn)品以及應(yīng)用系統(tǒng)等。禁止修改、刪除涉密計(jì)算機(jī)保密技術(shù)防護(hù)專用系統(tǒng)的監(jiān)控程序報(bào)警回聯(lián)地址。禁止故意隱藏涉密信息設(shè)備和涉密存儲設(shè)備，規(guī)避檢查。測試、調(diào)試、仿真、工控、數(shù)控等專用信息設(shè)備或者信息系統(tǒng)，接人涉密信息設(shè)備需制定專門的安全保密方案。未經(jīng)審批，禁止更換涉密計(jì)算機(jī)硬盤。未經(jīng)審批，禁止重裝涉密計(jì)算機(jī)操作系統(tǒng)。非涉密信息系統(tǒng)、非涉密信息設(shè)備和非涉密存儲設(shè)備管理的基本要求禁止使用非涉密信息系統(tǒng)、非涉密信息設(shè)備和非涉密存儲設(shè)備存儲、處理、傳輸國家秘密信息。禁止連接涉密信息設(shè)備和涉密存儲設(shè)備。禁止在未采取保密措施的有線或無線通信中傳遞國家秘密。涉密信息設(shè)備和涉密存儲設(shè)備管理全生命周期管理涉密信息設(shè)備和涉密存儲設(shè)備必須實(shí)行全生命周期管理，須遵守以下管理要求：涉密信息設(shè)備和涉密存儲設(shè)備的確定涉密信息設(shè)備和涉密存儲設(shè)備依據(jù)其存儲、處理、傳輸涉密信息的最高密級劃分為秘密級、機(jī)密級和絕密級三個等級。涉密信息設(shè)備和涉密存儲設(shè)備需明確責(zé)任人，履行相關(guān)審批程序后方可用于涉密工作。涉密信息設(shè)備和涉密存儲設(shè)備禁止使用藍(lán)牙、無線網(wǎng)卡等無線模塊。涉密信息設(shè)備和涉密存儲設(shè)備的使用涉密信息設(shè)備和涉密存儲設(shè)備需建立全生命周期檔案，檔案應(yīng)體現(xiàn)設(shè)備的所有審批、登記和使用記錄。應(yīng)建立涉密信息設(shè)備和涉密存儲設(shè)備、非涉密信息設(shè)備和非涉密存儲設(shè)備臺賬，做到信息要素完整、賬物相符，并定期核查。涉密信息設(shè)備和涉密存儲設(shè)備、非涉密信息設(shè)備和非涉密存儲設(shè)備需粘貼公司統(tǒng)一下發(fā)標(biāo)識，標(biāo)識的信息要填寫完整。涉密信息設(shè)備和涉密存儲設(shè)備中存儲的涉密信息應(yīng)當(dāng)具有密級標(biāo)志。禁止超越涉密信息設(shè)備和涉密存儲設(shè)備的涉密等級存儲、處理和傳輸涉密信息；禁止在低密級涉密信息設(shè)備上使用高密級存儲設(shè)備。涉密信息設(shè)備和涉密存儲設(shè)備的變更涉密信息設(shè)備和涉密存儲設(shè)備的責(zé)任人、使用人、密級、存放地點(diǎn)、接人外部設(shè)施設(shè)備、用途等信息發(fā)生變化時，履行相關(guān)審批程序后方可變更。涉密信息設(shè)備和涉密存儲設(shè)備的存儲部件禁止解除密級使用。涉密信息設(shè)備和涉密存儲設(shè)備的維修涉密信息設(shè)備和涉密存儲設(shè)備如需進(jìn)行維修，履行相關(guān)審批程序后由計(jì)算機(jī)安全保密管理員進(jìn)行維修；需外單位維修的，與維修單位和維修人員簽訂保密協(xié)議后方可進(jìn)行；維修一般應(yīng)在校內(nèi)進(jìn)行，并由本單位有關(guān)人員全程旁站陪同，確保所存儲的國家秘密信息不被泄露。需要外出維修的，應(yīng)當(dāng)拆除所有可能存儲過涉密信息的硬件和固件；不能拆除硬件和國件，或涉密存儲介質(zhì)、涉密存儲硬件及固件發(fā)生故障時應(yīng)當(dāng)辦理審批手續(xù)，送至具有涉密信息系統(tǒng)數(shù)據(jù)恢復(fù)資質(zhì)的單位進(jìn)行維修，并由專人負(fù)責(zé)送取。無法維修時，應(yīng)當(dāng)按照涉密載體銷毀要求予以銷毀。涉密信息設(shè)備和涉密存儲設(shè)備的報(bào)廢、銷毀涉密信息設(shè)備和涉密存儲設(shè)備不再從事涉密工作時，履行相關(guān)審批程序后進(jìn)行報(bào)廢，不再使用涉密信息設(shè)備和涉密存儲設(shè)備的存儲部件應(yīng)按照涉密載體銷毀流程履行相關(guān)要求予以銷毀。涉密計(jì)算機(jī)管理多人共同使用的須指定專人管理，控制每個用戶的訪問權(quán)限，確保涉密信息不被他人非授權(quán)訪問或者獲取。涉密計(jì)算機(jī)存儲的各類涉密電子文檔、圖表、圖像、數(shù)據(jù)、聲像等資料按規(guī)定標(biāo)明密級和保密期限，填寫涉密文檔輯要頁。涉密計(jì)算機(jī)應(yīng)按要求實(shí)施文檔化的安全保密策略，并根據(jù)環(huán)境、系統(tǒng)和威脅變化情況及時調(diào)整更新。涉密計(jì)算機(jī)應(yīng)安裝統(tǒng)一配發(fā)的各類防護(hù)系統(tǒng)，并按要求采取電磁泄漏發(fā)射防護(hù)，與非密設(shè)備、偶然導(dǎo)體保持一定距離。涉密計(jì)算機(jī)應(yīng)及時安裝操作系統(tǒng)、應(yīng)用系統(tǒng)補(bǔ)丁和定期更新病毒與惡意代碼樣本庫，并進(jìn)行病毒和惡意代碼查殺。各涉密單位根據(jù)本單位情況確定涉密計(jì)算機(jī)專用軟件白名單，如安裝軟件白名單外的軟件或更換主機(jī)內(nèi)部硬件設(shè)備時需履行審批程序。涉密計(jì)算機(jī)應(yīng)按要求設(shè)置三重密碼，并按照相應(yīng)周期進(jìn)行修改，機(jī)密級需要采用USB－KEY進(jìn)行身份鑒別，絕密級需要采用生理特征進(jìn)行身份鑒別。外來涉密信息導(dǎo)入涉密計(jì)算機(jī)，原則上只接受外來光盤，使用中間機(jī)進(jìn)行病毒查殺，將數(shù)據(jù)通過專用介質(zhì)進(jìn)行信息導(dǎo)人，并進(jìn)行登記記錄。涉密計(jì)算機(jī)的信息輸出應(yīng)做到相對集中、專人管理，并采取技術(shù)措施控制信息的非授權(quán)輸出，輸出的資料需進(jìn)行登記審批。涉密便攜式計(jì)算機(jī)需明確是否專供外出攜帶，攜帶外出時應(yīng)履行審批程序，并進(jìn)行帶出前檢查；外出期間按照保密要求管理使用；帶回時對相關(guān)記錄進(jìn)行檢查核實(shí)，不使用時應(yīng)將涉密便攜式計(jì)算機(jī)存放于密碼文件柜中。涉密計(jì)算機(jī)應(yīng)定期（機(jī)密級1個月，秘密級3個月）根據(jù)審計(jì)日志數(shù)據(jù)和自查情況形成安全保密審計(jì)報(bào)告和風(fēng)險(xiǎn)自評估報(bào)告，對存在的風(fēng)險(xiǎn)及時采取補(bǔ)救措施，并按照時間要求進(jìn)行報(bào)送。涉密外部設(shè)施設(shè)備設(shè)備管理涉密外部設(shè)施設(shè)備按照存儲、處理、傳輸?shù)淖罡呙芗壌_定設(shè)備密級。涉密打印機(jī)、涉密外置刻錄機(jī)、涉密制圖機(jī)等輸出設(shè)備輸出資料時應(yīng)履行登記審批手續(xù)。涉密掃描儀等信息輸入設(shè)備可以通過涉密中間機(jī)或者與該外部設(shè)施設(shè)備綁定的涉密計(jì)算機(jī)進(jìn)行信息導(dǎo)入。與涉密計(jì)算機(jī)通過USB端口連接的涉密外部設(shè)施設(shè)備必須登記序列號。涉密辦公自動化設(shè)備管理涉密辦公自動化設(shè)備的存放和使用場所應(yīng)相對固定，并指定責(zé)任人，按照保密要求管理和使用。啟用涉密復(fù)印機(jī)需確定為涉密復(fù)印點(diǎn)，履行相關(guān)審批程序后方可用于涉密工作。涉密聲像設(shè)備管理與涉密聲像設(shè)備配套使用的存儲卡應(yīng)確定為涉密存儲介質(zhì)，按照涉密存儲介質(zhì)進(jìn)行管理。涉密聲像設(shè)備的信息導(dǎo)出需按照具體操作流程嚴(yán)格執(zhí)行，導(dǎo)出后按照要求進(jìn)行信息標(biāo)密。涉密存儲設(shè)備管理涉密存儲設(shè)備是指存儲介質(zhì)和其他用于存儲涉密信息的設(shè)備。涉密存儲介質(zhì)不使用時應(yīng)存放在密碼文件柜中。禁止在低密級計(jì)算機(jī)上使用高密級存儲介質(zhì)；禁止在低密級存儲介質(zhì)上存儲高密級。非涉密信息系統(tǒng)、非涉密信息設(shè)備和非涉密存儲設(shè)備管理非涉密信息設(shè)備管理內(nèi)部信息設(shè)備管理禁止連接互聯(lián)網(wǎng)和其他公共信息網(wǎng)絡(luò)?？梢源鎯?nèi)部信息和不適宜在互聯(lián)網(wǎng)處理的敏感信息?；ヂ?lián)網(wǎng)信息設(shè)備管理禁止存儲內(nèi)部信息和不適宜在互聯(lián)網(wǎng)處理的敏感信息。集中使用的互聯(lián)網(wǎng)信息設(shè)備應(yīng)當(dāng)指定專人負(fù)責(zé)管理，分散使用的互聯(lián)網(wǎng)設(shè)備應(yīng)當(dāng)明確責(zé)任人。涉密場所使用的互聯(lián)網(wǎng)信息設(shè)備禁止安裝、配備和使用攝像頭、麥克風(fēng)等視音頻輸人設(shè)備。各部門通過互聯(lián)網(wǎng)向外傳輸信息時按照相關(guān)管理辦法執(zhí)行。非涉密存儲設(shè)備管理非涉密存儲設(shè)備應(yīng)進(jìn)行統(tǒng)一編號，登記序列號，明確責(zé)任人。執(zhí)行要求策略文件執(zhí)行要求新確定的涉密信息設(shè)備和涉密存儲設(shè)備均需要按照策略文件要求實(shí)施策略。當(dāng)涉密信息設(shè)備和涉密存儲設(shè)備的物理環(huán)境、安全保密設(shè)施、風(fēng)險(xiǎn)威脅變化時，應(yīng)按照策略文件要求重新實(shí)施策略。公司整體安全保密產(chǎn)品、風(fēng)險(xiǎn)威脅或國家相關(guān)標(biāo)準(zhǔn)發(fā)生變化時，由品質(zhì)保障部（信息化管理部門）組織對信息