一、爲保障局內計算機信息系統安全,防止計算機網絡失密泄密事件發生,根據《中華人民共和國計算機信息系統安全保護條例》及有關法律法規,結合本局實際制定本局的安全保密制度。
二、爲防止病毒造成嚴重後果,對外來光盤、軟件要嚴格管理,原則上不允許外來光盤、軟件在局內局域網計算機上使用。確因工作需要使用的,事先必須進行防(殺)毒處理,證實無病毒感染後,方可使用。
三、嚴格限制接入網絡的計算機設定爲網絡共享或網絡共享文件,確因工作需要,要在做好安全防範措施的前提下設置,確保信息安全保密。
四、爲防止黑客攻擊和網絡病毒的侵襲,接入網絡的計算機一律安裝殺毒軟件,及時更新系統補丁和定時對殺毒軟件進行升級,並安裝必要的局域網ARP攔截防火牆。
五、本局醞釀或規劃重大事項的材料,在保密期間,將有關涉密材料保存到非上網計算機上。
六、各科室禁止將涉密辦公計算機擅自聯接國際互聯網。
七、保密級別在祕密以下的材料可通過電子信箱、QQ或MSN傳遞和報送,嚴禁保密級別在祕密以上(含祕密)的材料通過電子信箱、QQ或MSN傳遞和報送。
一、崗位管理制度:
(一)計算機上網安全保密管理規定
1、未經批准涉密計算機一律不許上互聯網,如有特殊需求,必須事先提出申請報主管領導批准後方可實施,並安裝物理隔離卡,在相關工作完成後撤掉網絡。
2、要堅持“誰上網,誰負責”的原則,各科室科長負責嚴格審查上網機器資格工作,並報主管領導批准。
3、國際互聯網必須與涉密計算機系統實行物理隔離。
4、在與國際互聯網相連的信息設備上不得存儲、處理和傳輸任何涉密信息。
5、加強對上網人員的保密意識教育,提高上網人員保密觀念,增強防範意識,自覺執行保密規定。
(二)涉密存儲介質保密管理規定
1、涉密存儲介質是指存儲了涉密信息的硬盤、光盤、軟盤、移動硬盤及U盤等。
2、有涉密存儲介質的科室需妥善保管,且需填寫“涉密存儲介質登記表”。
3、存有涉密信息的存儲介質不得接入或安裝在非涉密計算機或低密級的計算機上,不得轉借他人,不得帶出工作區,下班後存放在本單位指定的櫃中。
4、各科室負責管理其使用的各類涉密存儲介質,應當根據有關規定確定密級及保密期限,並視同紙製文件,按相應密級的文件進行分密級管理,嚴格借閱、使用、保管及銷燬制度。借閱、複製、傳遞和清退等必須嚴格履行手續,不能降低密級使用。
5、涉密存儲介質的維修應保證信息不被泄露,需外送維修的要經主管領導批准,維修時要有涉密科室科長在場。
6、不再使用的涉密存儲介質應由使用者提出報告,由
單位領導批准後,交主管領導監督專人負責定點銷燬。
二、人員管理制度及操作規程:
(一)計算機維修維護管理規定
1、涉密計算機系統進行維護檢修時,須保證所存儲的涉密信息不被泄露,對涉密信息應採取涉密信息轉存、刪除、異地轉移存儲媒體等安全保密措施。無法採取上述措施時,涉密科室科長必須在維修現場,對維修人員、維修對象、維修內容、維修前後狀況進行監督並做詳細記錄。
2、各涉密科室應將本科室設備的故障現象、故障原因、擴充情況記錄在設備的維修檔案記錄本上。
3、凡需外送修理的涉密設備,必須經主管領導批准,並將涉密信息進行不可恢復性刪除處理後方可實施。
4、高密級設備調換到低密級單位使用,要進行降密處理,並做好相應的設備轉移和降密記錄。
5、由辦公室指定專人負責各涉密科室計算機軟件的安裝和設備的維護維修工作,嚴禁使用者私自安裝計算機軟件和擅自拆卸計算機設備。
6、涉密計算機的報廢交主管領導監督專人負責定點銷燬。
(二)用戶密碼安全保密管理規定
1、用戶密碼管理的範圍是指本局所有涉密計算機所使用的密碼。
2、機密級涉密計算機的密碼管理由涉密科室負責人負責,祕密級涉密計算機的密碼管理由使用人負責。
3、用戶密碼使用規定。
(1)密碼必須由數字、字符和特殊字符組成;
(2)祕密級計算機設置的密碼長度不能少於8個字符,密碼更換週期不得多於30天;
(3)機密級計算機設置的密碼長度不得少於10個字符,密碼更換週期不得超過7天;
4、密碼的保存。
(1)祕密級計算機設置的用戶密碼由使用人自行保存,嚴禁將自用密碼轉告他人;若工作需要必須轉告,應請示主管領導認可。
(2)機密級計算機設置的用戶密碼須登記造冊,並將密碼本存放於保密櫃內,由科室主任、科長管理。
(三)涉密電子文件保密管理規定
1、涉密電子文件是指在計算機系統中生成、存儲、處理的機密、祕密和內部的文件、圖紙、程序、數據、聲像資料等。
2、電子文件的密級按其所屬項目的最高密級界定,其生成者應按密級界定要求標定其密級,並將文件存儲在相應的目錄下。
3、各用戶需在本人的計算機系統中創建“機密級文件”、“祕密級文件”、“內部文件”三個目錄,將系統中的電子文件分別存儲在相應的目錄中。
4、電子文件要有密級標識,電子文件的密級標識不能與文件的正文分離,一般標註於正文前面。
5、電子文件必須定期、完整、真實、準確地存儲到不可更改的介質上,並集中保存,然後從計算機上徹底刪除。
6、各涉密科室自用信息資料要定期做好備份,備份介質必須標明備份日期、備份內容以及相應密級,嚴格控制知
悉此備份的人數,做好登記後進保密櫃保存。
7、各科室要對備份電子文件進行規範的登記管理。備份可採用磁盤、光盤、移動硬盤、U盤等存儲介質。
8、涉密文件和資料的備份應嚴加控制。未經許可嚴禁私自複製、轉儲和借閱。對存儲涉密信息的磁介質應當根據有關規定確定密級及保密期限,並視同紙製文件,分密級管理,嚴格借閱、使用、保管及銷燬制度。
9、備份文件和資料保管地點應有防火、防熱、防潮、防塵、防磁、防盜設施,並進行異地備份。
(四)涉密計算機系統病毒防治管理規定
1、涉密計算機必須安裝經過國家安全保密部門許可的查、殺病毒軟件。
2、每週升級和查、殺計算機病毒軟件的病毒樣本。確保病毒樣本始終處於最新版本。
3、絕對禁止涉密計算機在線升級防病毒軟件病毒庫,同時對離線升級包的來源進行登記。
4、每週對涉密計算機病毒進行一次查殺檢查。
5、涉密計算機應限制信息入口,如軟盤、光盤、U盤、移動硬盤等的使用。
6、對必須使用的外來介質(磁盤、光盤,U盤、移動硬盤等),必須先進行計算機病毒的查、殺處理,然後纔可使用。
7、對於因未經許可而擅自使用外來介質導致嚴重後果的,要嚴格追究相關人員的責任。
(五)上網發佈信息保密規定
1、上網信息的保密管理堅持“誰發佈誰負責”的原則。凡
向國際聯網或本單位的網站提供或發佈信息,必須經過保密審查批准,報主管領導審批。提供信息的單位應當按照一定的工作程序,健全信息保密審批制度。
2、凡以提供網上信息服務爲目的而採集的信息,除在其它新聞媒體上已公開發表的,組織者在上網發佈前,應當徵得提供信息單位的同意。凡對網上信息進行擴充或更新,應當認真執行信息保密審覈制度。
3、涉密人員在其它場所上國際互聯網時,要提高保密意識,不得在聊天室、電子公告系統、網絡新聞上發佈、談論和傳播國家祕密信息。
4、使用電子函件進行網上信息交流,應當遵守國家保密規定,不得利用電子函件傳遞、轉發或抄送國家祕密信息。
2015年3月1日
涉密信息系統安全保密管理制度 [篇2]
一、計算機信息系統保密管理
1、涉密計算機系統保密建設方案應經過市委保密委員會的審查批准,未經審批不得投入運行。
2、進入涉密計算機系統應進行身份鑑別,要按要求設置並定期更新涉密系統口令。
3、涉密計算機系統應當與國際互聯網物理隔離。嚴禁以任何方式將涉密計算機聯入國際互聯網或其他非涉密計算機系統。
4、涉密計算機系統工作場所應作爲保密要害部位進行管理。
5、機關工作人員不得越權訪問涉密信息。
6、涉密計算機系統安全保密管理員、密鑰管理員和系統管理員應由不同人員擔任,並且職責明確。
二、涉密計算機使有管理
1、承擔涉密事項處理的計算機應專機專用,專人管理,嚴
格控制,不得他人使用。
2、禁止使用涉密計算機上國際互聯網或其它非涉密信息系統。
3、嚴格一機兩用操作程序,未安裝物理隔離卡的涉密計算機嚴禁連接國際互聯網或其它非涉密信息系統。
4、涉密計算機系統的軟件配置情況及本身有涉密內容的各種應用軟件,不得進行外借和拷貝。
5、未經許可,任何私人的光盤、軟盤、U盤不得在涉密計算機機設備上使用;涉密計算機必需安裝防毒軟件並定期升級。
三、筆記本電腦使用管理
1、涉密筆記本電腦由辦公室統一管理,使用時必須履行登記手續。
2、涉密筆記本電腦嚴禁安裝無線網卡等無線設備,嚴禁聯接國際互聯網。
3、涉密筆記本電腦限委機關工作人員使用,禁止將涉密筆記本電腦借與他人。
4、涉密筆記本電腦中的涉密信息不得存入硬盤,要存入軟盤、移動硬盤、U盤等移動存儲介質,必須定期清理,與涉密筆記本電腦分離保管。
5、不準攜帶儲涉密信息的筆記本電腦出國或去公共場所,確因工作需要攜帶的,必須辦理相關審批手續。
四、移動存儲介質使用管理
1、涉密存儲介質由辦公室統一管理,使用時必須履行登記手續。
2、涉密存儲介質應按存儲信息的最高密級標註密級,並按相同密級的祕密載體管理。
3、禁止將涉密存儲介質接入非涉密計算機使用。
4、不得將涉密存儲價質帶出辦公場所,如因工作需要必須帶出的,需履行相應的審批和登記手續。
5、個人使用的U盤等移動存儲介質,不得存儲涉密信息,因工作需要必須使用的,使用後要及時消除密信息。
五、數碼複錢機、多功能一體機使用管理
1、數碼複印機、多功能一體機必須指定專人使用,其他任何人未經許可,不得使用。
2、處理涉密信息的數碼複印機、多功能一體機不得連接普通電話線,不得與委局域網連接。
3、複製涉密文件、資料、圖紙等必須嚴格履行審批手續,複製件必須按密件處理,不得降低密級使用。
4、處理涉密信息完畢後,必須立即銷燬存儲的涉密信息。
六、國際互聯網上發佈信息保密制度
1、在國際互聯網上發佈信息必須由辦公室統一管理,指定專人負責操作,其它科室和個人不得擅自在互聯網上發佈涉及工作內容的任何信息。
2、在國際互聯網上發佈涉及工作內容的信息必須履行審批手續,必須由市建設口保密領導小組審查後,交一把手書記籤批手方可發佈。
3、嚴禁將任何涉密文件、信息等發佈到國際互聯網上。
4、嚴禁將案件、信訪信息發佈到國際互關風上。
本制度從發文之日起執行。
涉密信息系統安全保密管理制度 [篇3]
第一章 總 則
第一條 *******計算機信息系統是全縣農村信用社發展各項業務的核心技術手段,爲了保護計算機網絡系統的安全,根據《中華人民共和國保守國家祕密法》、《計算機信息系統保密暫行規定》等法律、法規制訂本辦法。
第二條 本辦法所稱的計算機信息系統,是指由計算機、網絡設備、數據信息以及其相關配套的設備、設施構成的,按照一定的應用目標和規則對數據信息進行採集、加工、存儲、傳輸、檢索等處理的人機系統。
第三條 本辦法下列用語的含義。
計算機信息系統安全是指計算機信息系統的硬件、軟件、網絡和數據的安全必須受到保護,不因自然的和人爲的原因而遭到破壞、更改和丟失,以保證計算機信息系統能連續正常運行。
計算機信息系統保密是指對涉及*******商密的'包括但不限於計算機信息系統的軟件、硬件、系統數據信息、技術開發文檔、管理及操作規定、自有知識產權產品等資料、信息保守祕密,包括利用密碼技術對信息進行加密處理,防止信息非法泄露,保障*******的利益。
第四條 計算機信息系統的安全保密,指保障計算機、數據
信息網絡及其相關的和配套的設備、設施的安全,保障運行環境(機房)的安全,保障信息的安全,保障計算機和網絡功能的正常發揮,防止工作或政治因素造成的失密、泄密,防止人爲或自然災害等造成的破壞,以及防止利用計算機犯罪等。
第五條 *******計算機網絡系統安全領導小組(以下簡稱“計算機安全領導小組”)的領導下,科技部門按相關管理規定,負責計算機信息系統安全保密工作。
第六條 *******(以下簡稱“***”)各部室必須指定專人負責本部門有關信息系統的安全保密工作,其主要職責是:
(一)定期向***保密委報告安全保密工作情況;
(二)督促本部門安全保密措施的貫徹執行;
(三)組織安全保密檢查;
(四)進行安全保密教育。
第七條 任何單位和個人,不得利用計算機網絡系統從事或危害農村信用社利益的活動,不得危害計算機網絡系統的安全。
第二章 計算機及網絡系統
第八條 設備選型、購置須經充分論證,做好驗收,對密鑰、密碼、參數等信息應做好接交保管,網絡設備要特別關注其保密性能。
第九條 購入的計算機網絡安全設備,必須經國家有關部門進行安全、保密認證,系統運行期間,不得隨意更改其系統配置。
第十條 建立常規硬件系統維護管理制度,保持維護計算機和網絡設備、工具和資料處於良好狀態,備件應有庫存帳,可隨時查閱,並根據具體情況補充和更新。防止重大事故,應有應急處理的措施。
第十一條 各級操作人員必須進行必要的安全保密培訓,在職責範圍內嚴格按相關操作規程進行操作。
第十二條 應用系統軟件、數據應有備份;有故障時能及時採取措施進行處理,並應對工作人員定期進行訓練和演習。 第十三條 應用系統在設計上嚴格控制涉密文件信息查詢、檢索的人員範圍,嚴格管理用戶使用權限。系統軟硬件一經安裝、調試、正式運行,各部(室)、***、**未經***科技部門許可,不得自行對其更改配置。
第十四條 制定設備、軟件管理細則,應用軟件開發要嚴格按照有關規定執行。
第十五條 計算機操作(或應用)系統版本的更新、升級須擬出方案,應用系統須經過嚴測試,憑更新、升級方案和測試報告,經科技部門負責人批准後由系統維護人員進行,應用系統的文檔資料,無關人員一律不得查閱。
第十六條 傳輸祕密以上級別的信息時,通信兩端設備需在相應安全環境中,對所傳輸數據,要採取加密措施。
第三章 介質、資料的管理
第十七條 應用系統使用、產生的介質(磁性存儲介質、電
子存儲介質、光存儲介質等)或資料(紙質文檔、電子文檔、程序等)要按其重要性進行分類,對存放有關鍵或重要數據的介質和資料,應複製必要的份數,並分別存放在不同的安全地方,建立嚴格的保密保管制度。
第十八條 保留在機房內的介質或資料,應爲系統有效運行所必需的最少數量,除此之外,不應保留在機房內。
第十九條 存放介質、資料的庫房,必須設有防火、防潮、防高溫、防震、防電磁場、防靜電及防盜等的設施。
第二十條 介質(資料)庫,應設專人負責登記保管,未經批准,不得向第三方提供。
第二十一條 系統內有關人員在使用介質(資料)期間,應嚴格按國家相關保密規定進行控制,不得轉借或複製,需要使用或複製的須經相關領導批准。
第二十二條 庫房保管人對所有介質(資料)應定期檢查,根據介質的安全保存期限,及時更新複製。損壞、廢棄或過期的介質(資料)應由專人負責處理,祕密級以上的介質(資料)在超過保密期或廢棄不用時,要及時銷燬。
第二十三條 機密數據處理作業結束時,應及時清除存儲器、聯機磁帶、磁盤及其它介質上有關作業的程序和數據,應及時銷燬廢棄的打印紙。
第四章 計算機及網絡系統的環境
第二十四條 機房環境的選擇,應符合國家標準GB2887《計算機站場地技術要求》的有關規定。機房主體結構應具有與其
第二十五條 機房選點儘量避開便於駐留無關人員的場所。 第二十六條 計算機系統設備場地,應具備應急照明供電;應急報警設施,應急安全斷電線路。
第二十七條 在計算機房、辦公設施、通訊及動力設施附近施工危害計算機信息系統安全的,由***會同有關單位進行交涉。
第二十八條 制定機房出入管理制度,對每個工作人員授予不同權限,規定活動區域。設立值班人員負責監督制度的執行和安全保衛工作。
第五章 安全保密制度
第二十九條 計算機信息系統的建設和應用,應當遵守國家有關法律、行政法規和***其它有關規定。
第三十條 計算機信息系統實行安全等級保護。存儲國家祕密信息的計算機,應按所存儲信息的最高密級標明,並按相應密級的文件進行管理,採取相應的保密措施。機密級及以上國家祕密信息不得進入計算機信息系統。安全等級的劃分標準和
安全等級保護的具體辦法由省清算中心制定。
第三十一條 計算機機房、辦公、防雷、消防、通訊及供配電設施應當符合國家標準和國家有關規定。在上述設施附近施工,不得危害計算機網絡系統的安全。因施工危害計算機信息系統安全的,由相關部門與施工單位進行交涉。
第三十二條 要求接入國際互聯網的計算機,由使用部門提出申請,經科技部門按規定審覈後,報分管領導審批。
第三十三條 攜帶或郵寄計算機介質(資料)的,應當如實向***計算機安全領導小組申報。
第三十四條 對計算機信息系統中發生的案件,應按規定及時向***及相關部門報告。 第三十五條 聯網計算機應定期進行查、殺病毒操作,發現計算機新病毒,應按照規定及時向*******計算機病毒防治工作小組報告。
第六章 人員內控管理
第三十六條 人員審查。
人員的審查必須根據計算機網絡系統所規定的安全等級來確定審查標準。凡接觸系統安全三級以上信息系統的所有人員,必須按機要人員的條件進行審查。
第三十七條 關鍵崗位人選。
對計算機信息系統的關鍵崗位人選,如安全負責人、系統管理員等,不僅需要進行嚴格的政審,還要考覈其業務能力,
以保證這部分人員可信可靠,能勝任本職工作。關鍵崗位人員要實行定期強制休假制度。 第三十八條 人員培訓。
計算機信息系統上崗的所有工作人員,均需由有關部門組織上崗培訓,包括計算機及網絡操作、維護培訓、應用軟件操作培訓、計算機網絡系統安全課程及保密教育培訓,經培訓合格的人員持證上崗。
第三十九條 人員考覈。
人事部門要定期組織有關方面人員對計算機網絡系統所有的工作人員從政治思想、業務水平、工作表現、遵守安全規程等方面進行考覈,對於考覈發現有違反安全法規行爲的人員或發現不適於接觸計算機網絡系統的人員要及時調離崗位,不應讓其再接觸系統,對情節嚴重的應追究其法律責任。 第四十條 簽訂保密協議。
對於所有進入計算機網絡系統工作的人員,均應簽訂保密契約,承諾其對系統應盡的安全保密義務,保證在崗工作期間和離崗後均不得違反保密契約,泄漏系統祕密。對違反保密契約的,應有懲處條款。對接觸機密信息的人員,應規定在離崗後的多長時期內不得離境。
第四十一條 人員調離。
對調離人員,特別是因不適合安全管理要求被調離的人員,必須嚴格辦理調離手續。進行調離談話,承諾其調離後的保密義務,交還所有鑰匙及證件,退還全部技術手冊、軟件及有關
資料。更換系統口令和用戶名。自調離決定通知之日起,必須立即進行上述工作,不得拖延。
第七章 操作安全管理
第四十二條 系統操作安全管理目標。
系統操作是指對計算機信息系統開發、操作、維護、系統管理等人員的行爲或活動。全縣農村信用社計算機信息系統操作安全管理的目標是:
(一)對系統管理及系統操作均應進行有效的監督或監控;
(二)所有接觸系統的人員均應承擔與其工作性質相應的安全責任。
第四十三條 計算機操作人員分類。
對計算機信息系統的操作人員,應根據計算機信息系統有限職責、有限使用授權原則進行分類。
(一)營業網點操作員、管理人員。
(二)事後監督系統操作員、管理人員。
(三)辦公自動化系統操作、管理人員。
(四)網絡及硬件維護人員。
(五)系統運行維護人員。
(六)中心繫統管理人員。
(七)安全管理人員。
第四十四條 系統操作控制管理。
(一)應按照分工負責、互相制約的原則制定各類系統操
(二)各類人員在履行職責時要按規定行事,不得從事超越自己職責以外的任何操作。
(三)在對生產系統和監督系統進行系統維護、恢復、強行更改數據時,至少應有兩名操作人員在場、並進行詳細的登記及簽名。
(四)系統稽覈人員、安全管理人員有權對生產系統進行監督與覈查,但該過程必須履行必要的手續和按照一定的程序進行。
(五)應爲長期從事計算機工作的人員創造合適的人機工作環境。使他們享有相應的勞動保護,定期進行專門體檢,保持身心健康。
第八章 安全保密監督
第四十五條 科技部門對計算機信息系統安全保密工作,行使下列監督職權:
(一)監督、檢查、指導計算機信息系統安全保密工作;
(二)檢查危害計算機信息系統安全的違規事件;
(三)履行計算機信息系統安全保密工作的其它監督職責。 第四十六條 科技部門發現影響計算機信息系統安全保密的隱患時,應當及時通知***安全領導小組採取安全保護措施,在緊急情況下,有權直接先採取必要的措施,然後再向領導報告,遇有重大問題,可以要求召集計算機安全領導小組成員會議商
議對策。
第九章 獎勵和懲處
第四十七條 違反本辦法的規定,有下列行爲之一的,由計算機安全領導小組處以警告或者停機整頓,嚴重的應依據《中華人民共和國保守國家祕密法》的有關條款進行處理並追究單位領導的責任。
(一)違反計算機信息系統安全等級制度,危害計算機信息系統安全的;
(二)不按照本辦法規定時間報告計算機信息系統中發生的案件的;
(三)接到有關要求改進安全保密狀況的通知後,在限期內不予改進的;
(四)對本辦法貫徹不力,造成事故隱患,影響系統正常運行的;
(五)違反本辦法造成嚴重損失或造成重大失泄密的。 第四十八條 對於引入計算機病毒以及其他有害數據危害計算機信息系統安全的,或者未經許可使用計算機信息系統安全專用產品的單位和個人,由***給予嚴肅處理。
第四十九條 凡是認真貫徹本規定要求,維護系統安全運行,杜絕事故發生,防止失泄密成績顯著者,或迅速排除故障,恢復系統正常運行或減少損失者,***應視情況給予表彰。
