2023年信息系統(tǒng)安全管理制度(6篇)

2023年信息系統(tǒng)安全管理制度(6篇)

書目

第1篇電子信息系統(tǒng)平安管理制度

第2篇人民醫(yī)院信息系統(tǒng)平安管理制度

第3篇集團信息系統(tǒng)平安管理細(xì)則

第4篇信息系統(tǒng)平安管理制度

第5篇內(nèi)部限制信息系統(tǒng)平安管理制度

第6篇計算機和信息系統(tǒng)平安保密管理方法

電子信息系統(tǒng)平安管理制度

為提高公司信息系統(tǒng)的牢靠性、穩(wěn)定性、平安性,降低人為因素導(dǎo)致信息系統(tǒng)失效的可能性,形成良好的信息傳遞渠道,特制定本規(guī)范。

1.機房管理規(guī)范

1.1非工作人員不得進出機房。工作人員出入機房留意鎖好房門,未經(jīng)上級批準(zhǔn),禁止將機房相關(guān)鑰匙、密碼等物品或信息外露給其它人員,同時有責(zé)任對信息保密。

1.2機房工作人員必需熟知機房內(nèi)設(shè)備的基本平安操作和規(guī)則。定期檢查機房的防曬、防水、防潮;檢查、整理硬件物理連接線路;定期檢查硬件運作狀態(tài)(如設(shè)備指示燈)。不得亂拉亂接電線,應(yīng)選用平安、有保證的供電、用電器材,嚴(yán)禁隨意對設(shè)備斷電、更改設(shè)備供電線路,嚴(yán)禁隨意串接、并接、搭接各種供電線路。

1.3機房內(nèi)禁止吃食物、抽煙、隨地吐痰,對于意外或工作過程中弄污地板和其它物品的,必需剛好實行措施清理干凈;禁止在服務(wù)器上進行試驗性質(zhì)的軟件調(diào)試,禁止在服務(wù)器隨意安裝軟件。

1.4機房工作人員必需定期檢查軟件的運行狀況、定期調(diào)閱軟件運行日志記錄,進行數(shù)據(jù)和軟件日志備份,做好硬件設(shè)備的維護保養(yǎng)工作。

1.5任何人均不得在服務(wù)器、交換設(shè)備等核心設(shè)備上進行與工作無關(guān)的任何操作。未經(jīng)上級允許,更不允許他人操作機房內(nèi)部的設(shè)備。

2.計算機操作人員管理規(guī)范

2.1計算機操作員應(yīng)具備計算機基礎(chǔ)學(xué)問,嫻熟運用windows、office、長安福特dms系統(tǒng)及常用軟件,并對其所運用的計算機軟、硬件負(fù)有維護保管責(zé)任。

2.2任何員工未經(jīng)授權(quán),不得修改計算機軟硬件設(shè)置。嚴(yán)禁在工作機共享文件,員工所駕馭的工作數(shù)據(jù)、文件等均屬公司全部,嚴(yán)禁拷貝、傳播、修改、破壞。凡違反網(wǎng)絡(luò)操作規(guī)程,影響網(wǎng)絡(luò)運行者罰款100元。

2.3計算機操作人員離開工作區(qū)域時應(yīng)保證重要文件、資料、設(shè)備、數(shù)據(jù)處于平安愛護狀態(tài);個人的工作文件應(yīng)隨時做好平安存放與備份,不得將個人工作文件存放于“c盤我的文檔”。如有問題剛好聯(lián)系系統(tǒng)管理員,與系統(tǒng)管理員一同維護好日常網(wǎng)絡(luò)的平安運行。

2.4計算機操作人員每次開機確保病毒實時監(jiān)測程序和黑客防火墻程序的正常運行;日常工作中留意保持計算機等相關(guān)設(shè)備的清潔,下班時務(wù)必關(guān)掉全部辦公設(shè)備的電源。

3.計算機系統(tǒng)平安性維護

3.1計算機信息系統(tǒng)操作人員不得擅自進行系統(tǒng)軟件的刪除、拷貝、修改等操作,不得擅自升級、變更系統(tǒng)軟件版本或更換系統(tǒng)軟件,不得擅自變更軟件系統(tǒng)環(huán)境配置。

3.2硬件設(shè)備的更新、擴充、修復(fù)等工作應(yīng)當(dāng)由相關(guān)人員提出申請,報上級主管負(fù)責(zé)人審批。未經(jīng)允許,不得擅自拆裝硬件設(shè)備。

3.3在運用任何外來的光盤,u盤,移動硬盤等外來媒體的文件前,必需進行殺毒;嚴(yán)禁閱讀任何非法網(wǎng)站、黑客網(wǎng)站及不健康的網(wǎng)站,嚴(yán)禁下載帶有附件的不明郵件;

3.4系統(tǒng)管理人員負(fù)責(zé)長安福特dms系統(tǒng)工作權(quán)限的設(shè)置,員工只能運用自己的工作權(quán)限,嚴(yán)禁盜用他人用戶名與密碼,嚴(yán)格執(zhí)行工作流程;長安福特dms系統(tǒng)上運用的密碼一經(jīng)啟用,不得隨意修改、公開,并需在行政部做備份,如需修改須事先告知行政部。

3.5各部門如有計算機操作員人員更替,必需剛好通知行政部,系統(tǒng)管理員注銷或開設(shè)新用戶。

3.6系統(tǒng)管理人員須嚴(yán)格管理公司無限網(wǎng)絡(luò)的運用,接入密碼要常常更新,以保證無線網(wǎng)絡(luò)的平安;

人民醫(yī)院信息系統(tǒng)平安管理制度

人民醫(yī)院信息系統(tǒng)平安管理制度

一、信息系統(tǒng)平安包括:軟件平安和硬件網(wǎng)絡(luò)平安兩部分。

二、計算機中心人員必需實行有效的方法和技術(shù),防止信息系統(tǒng)數(shù)據(jù)的丟失、破壞和失密;硬件破壞、失效等災(zāi)難性故障。

三、對系統(tǒng)用戶的訪問模塊、訪問權(quán)限由運用單位負(fù)責(zé)人提出,交信息化領(lǐng)導(dǎo)小組核準(zhǔn)后,由計算機中心人員賜予配置并存檔,以后變更必需報批后才能更改,計算機中心做好變更日志存檔。

四、系統(tǒng)管理人員應(yīng)熟識并嚴(yán)格監(jiān)督數(shù)據(jù)庫運用權(quán)限、用戶密碼運用狀況,定期更換用戶口令或密碼。網(wǎng)絡(luò)管理員、系統(tǒng)管理員、操作員調(diào)離崗位后一小時內(nèi)由班組長監(jiān)督檢查更換新的密碼;廠方調(diào)試人員調(diào)試維護完成后一小時內(nèi),由系統(tǒng)管理員關(guān)閉或修改其所用帳號和密碼。

五、計算機中心人員要主動對網(wǎng)絡(luò)系統(tǒng)實行監(jiān)控、查詢,剛好對故障進行有效隔離、解除和復(fù)原工作,以防災(zāi)難性網(wǎng)絡(luò)風(fēng)暴發(fā)生。

六、網(wǎng)絡(luò)系統(tǒng)全部設(shè)備的配置、安裝、調(diào)試必需由計算機中心人負(fù)責(zé),其他人員不得隨意拆卸和移動。

七、上網(wǎng)操作人員必需嚴(yán)格遵守計算機及其他相關(guān)設(shè)備的操作規(guī)程,禁止其他人員進行與系統(tǒng)操作無關(guān)的工作。

八、嚴(yán)禁自行安裝軟件,特殊是嬉戲軟件,禁止在工作用電腦上打嬉戲。

九、全部進入網(wǎng)絡(luò)的軟盤、光盤、u盤等其他存貯介質(zhì),必需經(jīng)過計算機中心負(fù)責(zé)人同意并查毒,未經(jīng)查毒的存貯介質(zhì)肯定禁止上網(wǎng)運用,對造成“病毒”擴散的有關(guān)人員,將比照《計算機信息系統(tǒng)懲罰條例》進行相應(yīng)的經(jīng)濟和行政懲罰。

十、在醫(yī)院還沒有有效解決網(wǎng)絡(luò)平安(未安裝防火墻、高端殺毒軟件、入侵檢測系統(tǒng)和堡壘主機)的狀況下,內(nèi)外網(wǎng)獨立運行,全部終端內(nèi)外網(wǎng)不能混接,嚴(yán)禁外網(wǎng)用戶通過u盤等存貯介質(zhì)拷貝文件到內(nèi)網(wǎng)終端。

十一、內(nèi)網(wǎng)用戶全部文件傳遞,一律通過網(wǎng)上辦公系統(tǒng)和ftp服務(wù)器特地的上載、下載區(qū)進行,不得利用軟盤、光盤和u盤等存貯介質(zhì)進行拷貝。

十二、保持計算機硬件網(wǎng)絡(luò)設(shè)備清潔衛(wèi)生,做好防塵、防水、防靜電、防磁、防輻射、防鼠等平安工作。

十三、計算機中心人員有權(quán)監(jiān)督和制止一切違反平安管理的行為。

集團信息系統(tǒng)平安管理細(xì)則

第一條目的

為了愛護集團計算機信息系統(tǒng)平安,規(guī)范信息系統(tǒng)管理,合理利用系統(tǒng)資源,推動集團信息化建設(shè),促進計算機的應(yīng)用和發(fā)展,保障集團信息系統(tǒng)的正常運行,充分發(fā)揮信息系統(tǒng)在企業(yè)管理中的作用,更好地為集團運營服務(wù)。依據(jù)《中華人民共和國國計算機信息系統(tǒng)平安愛護條例》及有關(guān)法律、法規(guī),結(jié)合集團實際狀況,制定本細(xì)則。

其次條術(shù)語與定義

(一)信息系統(tǒng)平安管理范圍:業(yè)務(wù)軟件系統(tǒng)信息平安、硬件網(wǎng)絡(luò)信息平安。

(二)系統(tǒng)管理員:是集團信息化管理系統(tǒng)建設(shè)的主要執(zhí)行者,負(fù)責(zé)系統(tǒng)的設(shè)備保障、運行監(jiān)測、剛好維護、數(shù)據(jù)備份以及信息系統(tǒng)規(guī)劃、安排、方案的起草工作;同時,負(fù)責(zé)集團信息化管理系統(tǒng)和各工作站系統(tǒng)軟件、應(yīng)用軟件的安裝、調(diào)試和維護工作;

第三條適用范圍

本細(xì)則適用于集團信息系統(tǒng)平安管理。

第四條系統(tǒng)服務(wù)器和網(wǎng)絡(luò)設(shè)備管理方法:

(一)服務(wù)器和各網(wǎng)絡(luò)設(shè)備的放置詳見《機房管理細(xì)則》第五條的第三項;

(二)非集團指定系統(tǒng)管理員,未經(jīng)批準(zhǔn)不得對服務(wù)器和各網(wǎng)絡(luò)設(shè)備進行硬件維護、軟件安裝卸載等操作;

(三)保證服務(wù)器和各網(wǎng)絡(luò)設(shè)備24小時不間斷正常工作,不得在服務(wù)器專用電路上加載其它用電設(shè)備;

(四)非工作須要,內(nèi)網(wǎng)服務(wù)器嚴(yán)禁干脆接入因特網(wǎng),并安裝好殺毒軟件,做好病毒防范,杜絕病毒感染。

第五條業(yè)務(wù)軟件系統(tǒng)信息平安:

(一)帳戶申請:對符合開通帳戶的申請人,依據(jù)權(quán)責(zé)對軟件所負(fù)責(zé)管理的職能歸屬部門進行申請,經(jīng)該主責(zé)部門同意后,轉(zhuǎn)信息管理部系統(tǒng)管理員處備案;

(二)帳戶刪除:對于離職人員,在辦理工作交接時。由離職人員的主管通過辦公允臺向業(yè)務(wù)軟件主責(zé)部門提交刪除離職人員相關(guān)業(yè)務(wù)軟件帳戶的申請。經(jīng)該主責(zé)部門同意后,轉(zhuǎn)信息管理部系統(tǒng)管理員處備案;

(三)操作人員應(yīng)當(dāng)嚴(yán)格保密帳戶信息,如因有意或過失造成信息泄漏的,將依據(jù)《員工獎懲管理細(xì)則》追究其相關(guān)責(zé)任;

(四)系統(tǒng)管理人員應(yīng)熟識并嚴(yán)格監(jiān)督數(shù)據(jù)庫運用權(quán)限、用戶密碼運用狀況,適時更換、更新用戶帳號或密碼。

第六條網(wǎng)絡(luò)信息平安:

(一)系統(tǒng)管理員要主動對網(wǎng)絡(luò)系統(tǒng)實行監(jiān)控、查詢,剛好對故障進行有效隔離、解除和復(fù)原工作,以防災(zāi)難性網(wǎng)絡(luò)風(fēng)暴發(fā)生;

(二)網(wǎng)絡(luò)系統(tǒng)全部設(shè)備的配置、安裝、調(diào)試必需由系統(tǒng)管理員負(fù)責(zé),其它人員不得隨意拆卸和移動;

(三)全部上網(wǎng)操作人員必需嚴(yán)格遵守計算機及其它相關(guān)設(shè)備的操作規(guī)程,禁止其它人員進行與系統(tǒng)操作無關(guān)的工作;

(四)在管理員還沒有有效解決網(wǎng)絡(luò)平安(未安裝防火墻、殺毒軟件)的狀況下,內(nèi)外網(wǎng)獨立運行,全部終端內(nèi)外網(wǎng)不能混接,嚴(yán)禁外網(wǎng)用戶通過u盤等存貯介質(zhì)拷貝文件到內(nèi)網(wǎng)終端。

第七條資料備份工作方法:

(一)數(shù)據(jù)備份關(guān)系到整個集團信息化管理系統(tǒng)的正常運轉(zhuǎn),影響到集團正常的運營秩序,必需嚴(yán)格執(zhí)行;

(二)數(shù)據(jù)庫服務(wù)器每周日做一次數(shù)據(jù)備份;

(三)備份的數(shù)據(jù)存儲于特地的硬盤內(nèi),備份必需以覆蓋的形式存儲,確保數(shù)據(jù)不會遺漏;

(四)全部重要數(shù)據(jù)、信息化管理系統(tǒng)源程序要刻錄成光盤存盤;

(五)若遇重大程序更新、修改,必需在程序更新、修改前要做好數(shù)據(jù)的備份工作;

(六)上傳到集團網(wǎng)站上供應(yīng)給查詢的數(shù)據(jù)必需每日定時更新,確保查詢數(shù)據(jù)的精確性;

(七)系統(tǒng)管理員若遇重大程序更新、修改,必需填寫工作日志;

(八)非共享的文件不能設(shè)置成網(wǎng)絡(luò)共享,供應(yīng)共享運用的文檔必需設(shè)置相應(yīng)權(quán)限,由于沒有平安設(shè)置相應(yīng)權(quán)限而造成本單位數(shù)據(jù)丟失的狀況,后果自負(fù)。

第八條管理員有權(quán)制止一切違反平安管理的行為。

第九條本細(xì)則的說明權(quán)屬于運營管理中心信息管理部。

第十條本細(xì)則由運營管理中心信息管理部進行起草與修訂,由總裁辦公會審核,執(zhí)行總裁批準(zhǔn)后發(fā)布。

第十一條本細(xì)則自發(fā)布之日起生效,集團原有相關(guān)規(guī)定、通知、方法等同時廢止。

信息系統(tǒng)平安管理制度

為進一步規(guī)范公司管理,防范企業(yè)涉密資料以及涉密數(shù)據(jù)外泄,經(jīng)過公司探討確定,從即日起,規(guī)范相關(guān)關(guān)鍵信息、賬戶的管理。公司依據(jù)現(xiàn)在公司的管理需求,統(tǒng)一收回全部公司信息管理賬號,集中管理,專人保管。各個部門如要運用可填寫賬戶運用申請單。

詳細(xì)管理方法如下:

第一章總則

第一條為加強公司用戶賬號管理,規(guī)范用戶賬號的運用,提高信息系統(tǒng)運用平安性,特制定本制度。

其次條本制度中系統(tǒng)賬號是指應(yīng)用層面及系統(tǒng)層面(平臺、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、信息管理系統(tǒng)、防火墻及其它網(wǎng)絡(luò)設(shè)備)的用戶賬號。

第三條本規(guī)定所指賬號管理包括:

1、應(yīng)用層面用戶賬號的申請、審批、安排、刪除/禁用等的管理

2、系統(tǒng)層面用戶賬號的申請、審批、安排、刪除/禁用等的管理

3、用戶賬號密碼的管理。

第四條系統(tǒng)擁有部門負(fù)責(zé)建立《崗位權(quán)限比照表》(附件一),制定工作崗位與系統(tǒng)權(quán)限的對應(yīng)關(guān)系和互斥原則,對詳細(xì)崗位做出詳細(xì)的權(quán)限管理規(guī)定。

第五條信息管理中心依據(jù)系統(tǒng)擁有部門提交的《崗位權(quán)限比照表》增加系統(tǒng)崗位權(quán)限限制。

第六條用戶賬號申請、審批及設(shè)置由不同人員負(fù)責(zé)。

第七條各信息系統(tǒng)需設(shè)置超級管理員、系統(tǒng)管理員、系統(tǒng)管理監(jiān)督員和一般用戶。超級管理員、系統(tǒng)管理員與系統(tǒng)管理監(jiān)督員不能由同一人擔(dān)當(dāng),并不能是系統(tǒng)操作用戶。

1、超級管理員:負(fù)責(zé)根據(jù)領(lǐng)導(dǎo)審定的《信息系統(tǒng)權(quán)限申請表》(附件二)進入系統(tǒng)管理員的授權(quán)管理。

2、系統(tǒng)管理員:負(fù)責(zé)根據(jù)領(lǐng)導(dǎo)審定的授權(quán)進行錄入,并對系統(tǒng)運行狀況以及系統(tǒng)用戶數(shù)據(jù)錄入進行管理。系統(tǒng)管理員應(yīng)對錄入的授權(quán)和系統(tǒng)運行狀態(tài)建立臺帳,定期向系統(tǒng)管理監(jiān)督備案。

3、系統(tǒng)管理監(jiān)督員:負(fù)責(zé)對錄入的數(shù)據(jù)和授權(quán)進行監(jiān)督,并建立用戶權(quán)限臺帳,定期對系統(tǒng)管理員錄入的授權(quán)和系統(tǒng)運行狀態(tài)以及用戶錄入數(shù)據(jù)進行監(jiān)督檢查。

4、一般用戶:負(fù)責(zé)對系統(tǒng)進行業(yè)務(wù)層面的操作。

第八條信息管理中心將定期抽取系統(tǒng)崗位和用戶清單進行檢查,發(fā)覺可疑授權(quán)、可疑運用將依據(jù)實際狀況予以通報修正,并將檢查結(jié)果記入信息化年度考核中。

其次章一般賬號管理

第九條申請人運用統(tǒng)一規(guī)范的《信息系統(tǒng)權(quán)限申請表》(附件二)提出用戶賬號創(chuàng)建、修改、禁用、啟用等申請。

第十條賬號申請人所屬部門負(fù)責(zé)人及系統(tǒng)擁有部門負(fù)責(zé)人依據(jù)《崗位權(quán)限比照表》審核申請人所申請的權(quán)限是否與其崗位一樣,確保權(quán)限安排的合理性、必要性和符合職責(zé)分工的要求。

第十一條在受理申請時,權(quán)限管理人員依據(jù)申請配置權(quán)限,在系統(tǒng)條件具備的狀況下,給用戶安排獨有的用戶賬號或禁用用戶賬號權(quán)限,以運用戶對其行為負(fù)責(zé)。一旦安排好賬號,用戶不得運用他人賬號或者允許他人運用自己的賬號。

第十二條新員工入職或員工崗位發(fā)生改變時,應(yīng)主動申請所需系統(tǒng)的賬號及權(quán)限。

第十三條人員離職的狀況下,該員工的賬戶應(yīng)當(dāng)被剛好的禁用。離職人員的離職手續(xù)辦理完畢后。員工所屬部門以書面方式通知系統(tǒng)管理部門,由系統(tǒng)管理部門實施用戶帳戶及權(quán)限的回收操作。

第十四條賬號管理人員建立各種賬號的文檔記錄,記錄用戶賬號的相關(guān)信息,并在賬號變動時同時更新此記錄。

第三章特權(quán)賬號和超級用戶賬號管理

第十五條特權(quán)賬號指在系統(tǒng)中有專用權(quán)限的賬號,如備份賬號、權(quán)限管理賬號、系統(tǒng)維護賬號等。超級用戶賬號指系統(tǒng)中最高權(quán)限賬號,如administrator(或admin)、root等管理員賬號。

第十六條只有經(jīng)授權(quán)的用戶才可運用特權(quán)賬號和超級用戶賬號,嚴(yán)禁共享賬號。

第十七條信息系統(tǒng)管理部門每季度查看系統(tǒng)日志,監(jiān)督特權(quán)賬號和超級用戶賬號運用狀況,并填寫《系統(tǒng)日志批閱表》(附件三)。

第十八條盡量避開特權(quán)賬號和超級用戶賬號的臨時運用,確需運用時必需履行正規(guī)的申請及審批流程,并保留相應(yīng)的文檔。

第十九條臨時運用超級用戶賬號必需有監(jiān)督人員在場記錄其工作內(nèi)容。

其次十條超級用戶帳戶必需由信息管理中心管理(如沒有超級管理員,信息管理中心必需駕馭系統(tǒng)管理員權(quán)限)。系統(tǒng)管理員和系統(tǒng)管理監(jiān)督員可通過信息管理中心與系統(tǒng)擁有部門協(xié)商管理(如系統(tǒng)管理員由系統(tǒng)擁有部門管理,《信息系統(tǒng)權(quán)限申請表》必需以郵件方式電子文檔交予信息管理中心備案便于監(jiān)督審核)。

其次十一條信息化各系統(tǒng)交運用單位驗收合格后,必需由信息管理中心和系統(tǒng)擁有部門共同督促系統(tǒng)開發(fā)方刪除臨時測試帳戶。

第四章用戶賬號及權(quán)限批閱

其次十二條系統(tǒng)擁有部門指定專人負(fù)責(zé)每季度對系統(tǒng)應(yīng)用層面賬號及權(quán)限進行批閱,并填寫《信息系統(tǒng)權(quán)限清理清單》(附件四)。

其次十三條信息管理中心指定專人負(fù)責(zé)每季度對系統(tǒng)層面賬號及權(quán)限進行批閱,并填寫《信息系統(tǒng)權(quán)限清理清單》。

其次十四條員工離職后,賬號管理人員剛好禁用或刪除離職人員所運用的賬號。假如離職人員是系統(tǒng)管理員,則剛好更改特權(quán)賬號或超級用戶口令。

第五章用戶賬號口令管理

其次十五條用戶賬號口令發(fā)放要嚴(yán)格保密,用戶必需剛好更改初始口令。

其次十六條用戶賬號口令最小長度為6位(系統(tǒng)超級用戶、管理員和監(jiān)督員口令最小長度為8位),并具有肯定困難度。

其次十七條用戶賬號口令必需嚴(yán)格保密,并定期進行更改,密碼更新周期不得超過90天。

其次十八條嚴(yán)禁共享個人用戶賬號口令。

第六章附則

其次十九條本制度與公司相關(guān)標(biāo)準(zhǔn)、規(guī)范相沖突時,應(yīng)根據(jù)公司相關(guān)標(biāo)準(zhǔn)、規(guī)范執(zhí)行。

第三十條本制度適用于由信息管理中心歸口管理的全部系統(tǒng)。

第三十一條本制度由信息管理中心起草并說明。

第三十二條本制度從發(fā)布之日起施行。

內(nèi)部限制信息系統(tǒng)平安管理制度

第一章總則3

其次章系統(tǒng)管理人員的職責(zé)3

第三章機房管理制度4

第四章系統(tǒng)管理員工作細(xì)則4

第五章平安保密管理員工作細(xì)則7

第六章密鑰管理員工作細(xì)則9

第七章計算機信息系統(tǒng)應(yīng)急預(yù)案10

第八章附則10

第一章總則

第1條依據(jù)《中華人民共和國國保守國家隱私法》和有關(guān)保密規(guī)定,為進一步加強中船信息公司計算機信息系統(tǒng)平安保密管理,并結(jié)合用戶單位的實際狀況,制定本制度。

第2條計算機信息系統(tǒng)包括:涉密計算機信息系統(tǒng)和非涉密計算機信息系統(tǒng)。其中,涉密計算機信息系統(tǒng)指以計算機或者計算機網(wǎng)絡(luò)為主體,根據(jù)肯定的應(yīng)用目標(biāo)和規(guī)則構(gòu)成的處理涉密信息的人機系統(tǒng)。

第3條涉密計算機信息系統(tǒng)的保密工作堅持主動防范、突出重點,既確保國家隱私平安又有利于信息化發(fā)展的方針。

第4條涉密計算機信息系統(tǒng)的平安保密工作實行分級愛護與分類管理相結(jié)合、行政管理與技術(shù)防范相結(jié)合、防范外部與限制內(nèi)部相結(jié)合的原則。

第5條涉密計算機信息系統(tǒng)的平安保密管理,堅持“誰運用,誰負(fù)責(zé)”的原則,同時實行主要領(lǐng)導(dǎo)負(fù)責(zé)制。

其次章系統(tǒng)管理人員的職責(zé)

第6條用戶單位的涉密計算機信息系統(tǒng)的管理由用戶保密單位負(fù)責(zé),詳細(xì)技術(shù)工作由中船信息擔(dān)當(dāng),設(shè)置以下平安管理崗位:系統(tǒng)管理員、平安保密管理員、密鑰管理員。

第7條系統(tǒng)管理員負(fù)責(zé)信息系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)的運行維護管理,主要職責(zé)是:信息系統(tǒng)主機的日常運行維護;信息系統(tǒng)的系統(tǒng)安裝、備份、維護;信息系統(tǒng)數(shù)據(jù)庫的備份管理;應(yīng)用系統(tǒng)訪問權(quán)限的管理;網(wǎng)絡(luò)設(shè)備的管理;網(wǎng)絡(luò)的線路保障;網(wǎng)絡(luò)服務(wù)器平臺的運行管理,網(wǎng)絡(luò)病毒入侵防范。

第8條平安保密管理員負(fù)責(zé)網(wǎng)絡(luò)信息系統(tǒng)的平安保密技術(shù)管理,主要職責(zé)是:網(wǎng)絡(luò)信息平安策略管理;網(wǎng)絡(luò)信息系統(tǒng)平安檢查;涉密計算機的平安管理;網(wǎng)絡(luò)信息系統(tǒng)的平安審計管理;違規(guī)外聯(lián)的監(jiān)控。

第9條密鑰管理員負(fù)責(zé)密鑰的管理,主要職責(zé)是:身份認(rèn)證系統(tǒng)的管理;密鑰的制作;密鑰的更換;密鑰的銷毀。

第10條對涉密計算機信息系統(tǒng)平安管理人員的管理要遵循“從不單獨原則”、“責(zé)任分散原則”和“最小權(quán)限原則”。

第11條新調(diào)入或任用涉密崗位的系統(tǒng)管理人員,必需先接受保密教化和網(wǎng)絡(luò)平安保密學(xué)問培訓(xùn)后方可上崗工作。

第12條保密單位負(fù)責(zé)定期組織系統(tǒng)管理人員進行保密法規(guī)學(xué)問的宣揚教化和培訓(xùn)工作。

第三章機房管理制度

第13條出入機房要有登記記錄。非機房工作人員不得進入機房。外來人員進機房參觀需經(jīng)保密辦批準(zhǔn),并有專人陪伴。

第14條進入機房人員不得攜帶任何易燃、易爆、腐蝕性、強電磁、輻射性、流體物質(zhì)、食品等對設(shè)備正常運行構(gòu)成威逼的物品。嚴(yán)禁在機房內(nèi)吸煙。嚴(yán)禁在機房內(nèi)堆放與工作無關(guān)的雜物。

第15條機房內(nèi)不得運用無線通訊設(shè)備,禁止拍照和攝影。

第16條各類技術(shù)檔案、資料由專人妥當(dāng)保管并定期檢查。

第17條機房內(nèi)應(yīng)按要求配置足夠量的消防器材,并做到三定(定位存放、定期檢查、定時更換)。加強防火平安學(xué)問教化,做到會運用消防器材。加強電源管理,嚴(yán)禁亂接電線和違章用電。發(fā)覺火險隱患,剛好報告,并實行平安措施。

第18條機房應(yīng)保持整齊有序,地面清潔。設(shè)備要排列整齊,布線要正規(guī),儀表要齊備,工具要到位,資料要齊全。機房的門窗不得隨意打開。

第19條每天上班前和下班后對機房做日常巡檢,檢查機房環(huán)境、電源、設(shè)備等并做好相應(yīng)記錄(見表一)。

第20條機房大門必需隨時關(guān)閉上鎖。機房鑰匙由集團公司保密辦管理。

第21條機房門禁磁卡(以下簡稱門禁卡)由信息中心管理。

第22條門禁卡的發(fā)放范圍是:系統(tǒng)管理員、平安保密管理員和密鑰管理員。

第23條對臨時進入機房工作的人員,不再發(fā)放門禁卡,在向用戶單位保密部門提出申請得到批準(zhǔn)后,由平安保密管理員陪伴進入機房工作。

第24條門禁卡應(yīng)妥當(dāng)保管,不得遺失和相互借用。

第25條門禁卡遺失后,應(yīng)馬上上報信息中心,同時寫出書面說明。

第四章系統(tǒng)管理員工作細(xì)則

第一節(jié)系統(tǒng)主機維護管理方法

第26條系統(tǒng)主機由系統(tǒng)管理員負(fù)責(zé)維護,未經(jīng)允許任何人不得對系統(tǒng)主機進行操作。

第27條依據(jù)系統(tǒng)設(shè)計方案和應(yīng)用系統(tǒng)運行要求進行主機系統(tǒng)安裝、調(diào)試,建立系統(tǒng)管理員賬戶,設(shè)置管理員密碼,建立用戶賬戶,設(shè)置系統(tǒng)策略、用戶訪問權(quán)利和資源訪問權(quán)限,并依據(jù)平安風(fēng)險最小化原則及運行效率最大化原則配置系統(tǒng)主機。

第28條建立系統(tǒng)設(shè)備檔案(見表二)、包括系統(tǒng)主機具體的技術(shù)參數(shù),如:品牌、型號、購買日期、序列號、硬件配置信息、軟件配置信息、網(wǎng)絡(luò)配置信息、系統(tǒng)配置信息,妥當(dāng)保管系統(tǒng)主機保修卡,在系統(tǒng)主機軟硬件信息發(fā)生變更時對設(shè)備檔案進行剛好更新。

第29條每周修改系統(tǒng)主機管理員密碼,密碼長度不得低于八位,要求有數(shù)字、字母并區(qū)分大小寫。

第30條每周通過系統(tǒng)性能分析軟件對系統(tǒng)主機進行運行性能分析,并做具體記錄(見表四),依據(jù)分析狀況對系統(tǒng)主機進行系統(tǒng)優(yōu)化,包括磁盤碎片整理、系統(tǒng)日志文件清理,系統(tǒng)升級等。

第31條每周對系統(tǒng)日志、系統(tǒng)策略、系統(tǒng)數(shù)據(jù)進行備份,做具體記錄(見表四)。

第32條每天檢查系統(tǒng)主機各硬件設(shè)備是否正常運行,并做具體記錄(見表五)。

第33條每天檢查系統(tǒng)主機各應(yīng)用服務(wù)系統(tǒng)是否運行正常,并做具體記錄(見表五)。

第34條每周下載安裝最新版的系統(tǒng)補丁,對系統(tǒng)主機進行升級,做具體記錄(見表四)。

第35條每天記錄系統(tǒng)主機運行維護日記,對系統(tǒng)主機運行狀況進行總結(jié)。

第36條在系統(tǒng)主機發(fā)生故障時應(yīng)剛好通知用戶,用最短的時間解決故障,保證系統(tǒng)主機盡快正常運行,并對系統(tǒng)故障狀況做具體記錄(見表六)。

第37條每月對系統(tǒng)主機運行狀況進行總結(jié)、并寫出系統(tǒng)主機運行維護月報,上報保密辦。

其次節(jié)信息系統(tǒng)運行維護管理方法

第38條信息系統(tǒng)(辦公自動化系統(tǒng)和檔案管理系統(tǒng))的運行維護由系統(tǒng)管理員負(fù)責(zé)維護,未經(jīng)允許任何人不得對信息系統(tǒng)進行任何操作。

第39條依據(jù)信息系統(tǒng)的設(shè)計要求及實施細(xì)則安裝、調(diào)試、配置信息系統(tǒng),建立信息系統(tǒng)管理員賬號,設(shè)置管理員密碼,密碼要求由數(shù)字和字母組成,區(qū)分大小寫,密碼長度不得低于8位,。

第40條對信息系統(tǒng)的基本配置信息做具體記錄,包括系統(tǒng)配置信息、用戶帳戶名稱,系統(tǒng)安裝書目、數(shù)據(jù)文件存貯書目,在信息系統(tǒng)配置信息發(fā)生變更時剛好更新記錄(見表三)。

第41條每周對信息系統(tǒng)系統(tǒng)數(shù)據(jù)、用戶id文件、系統(tǒng)日志進行備份,并做具體記錄(見表四),備份介質(zhì)交保密辦存檔。

第42條當(dāng)信息系統(tǒng)用戶發(fā)生增加、削減、變更時,新建用戶帳戶,新建用戶郵箱,需經(jīng)保密單位審批,并填寫系統(tǒng)用戶申請單或系統(tǒng)用戶變更申請單(見表七),審批通過后,由系統(tǒng)管理員進行操作,并做具體記錄。

第43條依據(jù)用戶需求設(shè)置信息系統(tǒng)各功能模塊訪問權(quán)限,并提交保密辦審批。

第44條每天檢查信息系統(tǒng)各項應(yīng)用功能是否運行正常,并做具體記錄(見表五)。

第45條在信息系統(tǒng)發(fā)生故障時,應(yīng)剛好通知用戶,并用最短的時間解決故障,保證信息系統(tǒng)盡快正常運行,并對系統(tǒng)故障狀況做具體記錄(見表六)。

第46條每天記錄信息系統(tǒng)運行維護日志,對信息系統(tǒng)運行狀況進行總結(jié)。

第47條每月對信息系統(tǒng)運行維護狀況進行總結(jié),并寫出信息系統(tǒng)維護月報,并上報保密辦。

第三節(jié)網(wǎng)絡(luò)系統(tǒng)運行維護管理方法

第48條網(wǎng)絡(luò)系統(tǒng)運行維護由系統(tǒng)管理員專人負(fù)責(zé),未經(jīng)允許任何人不得對網(wǎng)絡(luò)系統(tǒng)進行操作。

第49條依據(jù)網(wǎng)絡(luò)系統(tǒng)設(shè)計方案和實施細(xì)則安裝、調(diào)試、配置網(wǎng)絡(luò)系統(tǒng),包括交換機配置、路由器配置,建立管理員賬號,設(shè)置管理員密碼,并關(guān)閉全部遠程管理端口。

第50條建立系統(tǒng)設(shè)備檔案(見表二),包括交換機、路由器的品牌、型號、序列號、購買日期、硬件配置信息,具體記錄綜合布線系統(tǒng)信息配置表,交換機系統(tǒng)配置,路由器系統(tǒng)配置,網(wǎng)絡(luò)拓?fù)錂C構(gòu)圖,vlan劃分表,并在系統(tǒng)配置發(fā)生變更時剛好對設(shè)備檔案進行更新。

第51條每天檢查網(wǎng)絡(luò)系統(tǒng)設(shè)備(交換機、路由器)是否正常運行。

第52條每周對網(wǎng)絡(luò)系統(tǒng)設(shè)備(交換機、路由器)進行清潔。

第53條每周修改網(wǎng)絡(luò)系統(tǒng)管理員密碼。

第54條每周檢測網(wǎng)絡(luò)系統(tǒng)性能,包括數(shù)據(jù)傳輸?shù)姆€(wěn)定性、牢靠性、傳輸速率。

第55條網(wǎng)絡(luò)變更后進行網(wǎng)絡(luò)系統(tǒng)配置資料備份。

第56條當(dāng)網(wǎng)絡(luò)系統(tǒng)發(fā)生故障時,應(yīng)剛好通知用戶,并在最短的時間內(nèi)解決問題,保證網(wǎng)絡(luò)系統(tǒng)盡快正常運行,并對系統(tǒng)故障狀況作具體記錄(見表六)。

第57條每月對網(wǎng)絡(luò)系統(tǒng)運行維護狀況進行總結(jié),并作出網(wǎng)絡(luò)系統(tǒng)運行維護月報。

第四節(jié)終端電腦運行維護管理方法

第58條終端電腦的維護由系統(tǒng)管理員負(fù)責(zé),未經(jīng)允許任何人不得對終端電腦進行維護操作。

第59條依據(jù)用戶應(yīng)用需求和平安要求安裝、調(diào)試電腦主機,安裝操作系統(tǒng)、應(yīng)用軟件、殺毒軟件、技防軟件,。

第60條建立系統(tǒng)設(shè)備檔案(見表二)、包括電腦的品牌、型號、購買日期、序列號、硬件配置信息、軟件配置信息、網(wǎng)絡(luò)配置信息、系統(tǒng)配置信息,在電腦主機軟硬件信息發(fā)生變更時對設(shè)備檔案進行剛好更新。

第61條在電腦主機發(fā)生故障時應(yīng)剛好進行處理,備份用戶文件,用最短的時間解決故障,保證電腦主機盡快能夠正常運行,并對電腦主機故障狀況做具體記錄(見表六),涉及存儲介質(zhì)損壞,干脆送交保密辦處理。

第五節(jié)網(wǎng)絡(luò)病毒入侵防范管理方法

第62條網(wǎng)絡(luò)病毒入侵防護系統(tǒng)由系統(tǒng)管理員專人負(fù)責(zé),任何人未經(jīng)允許不得進行此項操作。

第63條依據(jù)網(wǎng)絡(luò)系統(tǒng)平安設(shè)計要求安裝、配置瑞星網(wǎng)絡(luò)病毒防護系統(tǒng),包括服務(wù)器端系統(tǒng)配置和客戶機端系統(tǒng)配置,開啟客戶端防病毒系統(tǒng)的實時監(jiān)控。

第64條每日監(jiān)測防病毒系統(tǒng)的系統(tǒng)日志,檢測是否有病毒入侵、平安隱患等,對所發(fā)覺的問題進行剛好處理,并做具體記錄(見表八)。

第65條每周登陸防病毒公司網(wǎng)站,下載最新的升級文件,對系統(tǒng)進行升級,并作具體記錄(見表九)。

第66條每周對網(wǎng)絡(luò)系統(tǒng)進行全面的病毒查殺,對病毒查殺結(jié)果做系統(tǒng)分析,并做具體記錄(見表十)。

第67條每日閱讀國家計算機病毒應(yīng)急處理中心網(wǎng)站,了解最新病毒信息發(fā)布狀況,剛好向用戶發(fā)布病毒預(yù)警和預(yù)防措施。

第五章平安保密管理員工作細(xì)則

第一節(jié)網(wǎng)絡(luò)信息平安策略管理方法

第68條網(wǎng)絡(luò)平安策略管理由平安保密管理員專職負(fù)責(zé),未經(jīng)允許任何人不得進行此項操作。

第69條依據(jù)網(wǎng)絡(luò)信息系統(tǒng)的平安設(shè)計要求及主機審計系統(tǒng)數(shù)據(jù)的分析結(jié)果,制定、配置、修改、刪除主機審計系統(tǒng)的各項管理策略,并做記錄(見表十一)。

第70條依據(jù)網(wǎng)絡(luò)信息系統(tǒng)的平安設(shè)計要求制定、配置、修改、刪除網(wǎng)絡(luò)平安評估分析系統(tǒng)的各項管理策略,并做記錄(見表十一)。

第71條依據(jù)網(wǎng)絡(luò)信息系統(tǒng)的平安設(shè)計要求制定、配置、修改、刪除入侵檢測系統(tǒng)的各項管理策略,并做記錄(見表十一)。

第72條依據(jù)網(wǎng)絡(luò)信息系統(tǒng)的平安設(shè)計要求制定、配置、修改、刪除、內(nèi)網(wǎng)主機平安監(jiān)控與審計系統(tǒng)的各項管理策略,并做記錄(見表十一)。

第73條每周對網(wǎng)絡(luò)信息系統(tǒng)平安管理策略進行數(shù)據(jù)備份,并作具體記錄(見表十二)。

第74條網(wǎng)絡(luò)信息平安技術(shù)防護系統(tǒng)(主機審計系統(tǒng)、漏洞掃描系統(tǒng)、防病毒系統(tǒng)、內(nèi)網(wǎng)主機平安監(jiān)控與審計系統(tǒng))由網(wǎng)絡(luò)平安保密管理員統(tǒng)一負(fù)責(zé)安裝和卸載。

其次節(jié)網(wǎng)絡(luò)信息系統(tǒng)平安檢查管理方法

第75條網(wǎng)絡(luò)信息系統(tǒng)平安檢查由平安保密管理員專職負(fù)責(zé)執(zhí)行,未經(jīng)允許任何人不得進行此項操作。

第76條每天依據(jù)入侵檢測系統(tǒng)的系統(tǒng)策略檢測、審計系統(tǒng)日志,檢查是否有網(wǎng)絡(luò)攻擊、異樣操作、不正常數(shù)據(jù)流量等,對異樣狀況做剛好處理,遇有重大平安問題上報保密辦,并做具體記錄(見表十三)。

第77條每周登陸入侵檢測系統(tǒng)產(chǎn)品網(wǎng)站,下載最新升級文件包,對系統(tǒng)進行更新,并做具體記錄(見表十四)。

第78條每月通過漏洞掃描系統(tǒng)對網(wǎng)絡(luò)系統(tǒng)終端進行平安評估分析,并對掃描結(jié)果進行分析,剛好對終端系統(tǒng)漏洞及平安隱患進行處理,作具體記錄(見表十五),并將平安評估分析報告上報保密辦。

第79條每周登錄全評估產(chǎn)品網(wǎng)站,下載最新升級文件包,對系統(tǒng)進行更新,并作具體記錄(見表十六)。

第80條每周備份入侵檢測系統(tǒng)和漏洞掃描系統(tǒng)的審計信息,并作具體記錄(見表十七)。

第三節(jié)涉密計算機平安管理方法

第81條涉密計算機平安管理由平安保密管理員專人負(fù)責(zé),未經(jīng)允許任何人不得進行此項操作。

第82條依據(jù)網(wǎng)絡(luò)系統(tǒng)平安設(shè)計要求制定、修改、刪除涉密計算機平安審計策略,包括打印限制策略、外設(shè)輸入輸出限制策略、應(yīng)用程序限制策略,并做記錄。

第83條每日對涉密計算機進行平安審計,剛好處理平安問題,并做具體記錄(見表十八),遇有重大問題上報保密部門。

第84條涉密計算機的新增、變更、淘汰需經(jīng)保密部門審批,審批通過后由平安保密管理員統(tǒng)一進行操作,并做具體記錄(見表十八)。

第85條新增涉密計算機聯(lián)入涉密網(wǎng)絡(luò),需經(jīng)保密辦審批,由平安保密管理員統(tǒng)一進行操作,并做具體記錄(見表十八)。

第四節(jié)平安審計管理方法

第86條網(wǎng)絡(luò)信息平安審計系統(tǒng)由平安保密管理員負(fù)責(zé),未經(jīng)允許任何人不得進行此項操作。

第87條依據(jù)網(wǎng)絡(luò)系統(tǒng)主機平安設(shè)計要求安裝、配置、管理主機平安審計系統(tǒng),制定審計規(guī)則,包括系統(tǒng)運行狀態(tài)、用戶登錄信息,網(wǎng)絡(luò)文件共享操作等。

第88條每日查看平安審計系統(tǒng)信息,對審計結(jié)果進行分析整理,剛好處理所發(fā)生的設(shè)備平安問題,并做具體記錄(見表十九)。

第89條每周備份設(shè)備平安審計系統(tǒng)審計信息,并做具體記錄(見表二十)。

第90條每月對主機平安審計系統(tǒng)記錄信息進行分析總結(jié),并向保密部門提交分析報告。

第五節(jié)違規(guī)聯(lián)接管理方法

第91條違規(guī)外聯(lián)管理系統(tǒng)(北信源平安補丁管理軟件)由平安保密管理員負(fù)責(zé),未經(jīng)允許任何人不得進行此項操作。

第92條依據(jù)網(wǎng)絡(luò)信息系統(tǒng)平安管理要求安裝、配置違規(guī)外聯(lián)管理系統(tǒng)策略,包括聯(lián)網(wǎng)涉密電腦,單機涉密電腦,便攜式涉密電腦。

第93條每日檢查違規(guī)外聯(lián)系統(tǒng)審計信息,查看聯(lián)網(wǎng)涉密電腦是否有違規(guī)外聯(lián)操作。

第94條每月檢查單機涉密電腦、便攜式電腦是否有違規(guī)外聯(lián)操作。

第95條每三個月幫助保密辦進行全部涉密電腦巡檢,檢查是否存在違規(guī)外聯(lián)操作,并做具體記錄。

第96條每日通過違規(guī)外聯(lián)系統(tǒng)檢查網(wǎng)絡(luò)系統(tǒng)是否有非法主機聯(lián)入,并做具體記錄。

第六章密鑰管理員工作細(xì)則

第97條身份認(rèn)證系統(tǒng)由密鑰管理員專人負(fù)責(zé),未經(jīng)允許任何人不得進行此項操作。

第98條每日檢查身份認(rèn)證系統(tǒng)是否正常運行。

第99條負(fù)責(zé)向用戶單位派發(fā)平安鑰匙,用戶需填寫審批表,并提交保密部門審批(見表二十一)。

第100條依據(jù)用戶需求,見保密部門審批單要求,制作、修改、注銷證書(見表七)。

第101條負(fù)責(zé)為每臺計算機安裝主機登錄系統(tǒng)。

第102條負(fù)責(zé)主機登錄系統(tǒng)、身份認(rèn)證系統(tǒng)的系統(tǒng)維護。

第七章計算機信息系統(tǒng)應(yīng)急預(yù)案

第103條系統(tǒng)管理人員參加制定各種意外事務(wù)處置預(yù)案,并詳細(xì)執(zhí)行,包括火災(zāi)、停電、設(shè)備故障等,每年進行預(yù)案演練。

第104條遇到火災(zāi)應(yīng)依據(jù)火情實行以下措施:

1.如火情較輕時,應(yīng)馬上切斷機房總電源,并快速用消防器材,力爭把火撲滅、限制在初期階段,同時上報集團保衛(wèi)部門。

2.如火情嚴(yán)峻應(yīng)快速撥打報警電話“119”,同時通知集團保衛(wèi)部門,聽從消防工作人員的現(xiàn)場指揮,幫助處理有關(guān)事項。

第105條如遇機房突發(fā)性停電,應(yīng)快速通知用戶,同時關(guān)閉設(shè)備電源,來電后,剛好通知用戶,并檢測設(shè)備是否正常運行。

第106條系統(tǒng)出現(xiàn)災(zāi)難性故障時,系統(tǒng)管理員應(yīng)立即通知部門主管,制定具體的系統(tǒng)復(fù)原方案。

第107條遇緊急狀況,值班員應(yīng)馬上通知保密辦和系統(tǒng)管理員,保持24小時通訊暢通,隨時處理緊急事務(wù)。

第108條線路故障應(yīng)馬上撥打線路故障電話“112”,同時上報部門主管,幫助電信部門查找故障緣由,盡快使線路復(fù)原正常。

第八章附則

第109條本管理制度自發(fā)布之日起執(zhí)行,未盡事宜以用戶單位的《保密工作管理實施方法》為準(zhǔn)。

第110條本制度每年度審訂一次,本制度全部表格請見附錄。

計算機和信息系統(tǒng)平安保密管理方法

第一章總則

第一條為確保公司計算機和信息系統(tǒng)的運行平安,確保國家隱私平安,依據(jù)國家有關(guān)規(guī)定和要求,結(jié)合工作實際狀況,制定本方法。

其次條公司計算機和信息系統(tǒng)平安保密工作遵循“主動防范、突出重點、依法管理”的方針,切實加強領(lǐng)導(dǎo),明確管理職責(zé),落實制度措施,強化技術(shù)防范,不斷提高信息平安保障實力和水平。

其次章組織機構(gòu)與職責(zé)

第三條計算機和信息系統(tǒng)平安保密管理工作貫徹“誰主管,誰負(fù)責(zé)”、“誰運用,誰負(fù)責(zé)”的原則,實行統(tǒng)一領(lǐng)導(dǎo),分級管理,分工負(fù)責(zé),有效監(jiān)督。

第四條保密委員會全面負(fù)責(zé)計算機和信息系統(tǒng)平安保密工作的組織領(lǐng)導(dǎo)。主要職責(zé)是:

(一)審訂計算機和信息系統(tǒng)平安保密建設(shè)規(guī)劃、方案;

(二)探討解決計算機和信息系統(tǒng)平安保密工作中的重大事項和問題;

(三)對發(fā)生計算機和信息系統(tǒng)泄密事務(wù)及嚴(yán)峻違規(guī)、違紀(jì)行為做出處理確定。

第五條保密管理部門負(fù)責(zé)計算機和信息系統(tǒng)的平安保密指導(dǎo)、監(jiān)督和檢查。主要職責(zé)是:

(一)指導(dǎo)計算機和信息系統(tǒng)平安保密建設(shè)規(guī)劃、方案的編制及實施工作;

(二)監(jiān)督計算機和信息系統(tǒng)平安保密管理制度、措施的落實;

(三)組織開展計算機和信息系統(tǒng)平安保密專項檢查和技術(shù)培訓(xùn);

(四)參加計算機和信息系統(tǒng)平安保密的風(fēng)險評估、分析及平安保密策略的制定工作。

第六條信息化管理部門負(fù)責(zé)計算機和信息系統(tǒng)的平安保密管理工作。主要職責(zé)是:

(一)負(fù)責(zé)計算機和信息系統(tǒng)平安保密建設(shè)規(guī)劃、方案、制度的制訂和實施;

(二)負(fù)責(zé)計算機和信息系統(tǒng)平安保密技術(shù)措施的落實及運行維護管理;

(三)負(fù)責(zé)建立、管理信息設(shè)備臺帳;

(四)負(fù)責(zé)計算機和信息系統(tǒng)平安保密策略的制定、調(diào)整、更新和實施;

(五)定期組織開展風(fēng)險評估、風(fēng)險分析,提出相應(yīng)的平安措施建議,并編制平安保密評估報告;

(六)開展計算機和信息系統(tǒng)平安保密技術(shù)檢查工作;

(七)涉及計算機和信息系統(tǒng)有關(guān)事項的審查、審批;

(八)計算機和信息系統(tǒng)平安保密的日常管理工作。

第七條公司應(yīng)結(jié)合工作實際設(shè)定涉密計算機和信息系統(tǒng)的系統(tǒng)管理員、平安保密管理員、平安審計員,分別負(fù)責(zé)涉密計算機和信息系統(tǒng)的運行、平安保密和平安審計工作。“三員”的權(quán)限設(shè)置應(yīng)當(dāng)相互獨立、相互制約,平安保密管理員與平安審計員不得由一人兼任。

沒有涉密信息系統(tǒng),只運用單臺涉密計算機的單位,應(yīng)當(dāng)配備平安保密管理員。

第八條涉密計算機和信息系統(tǒng)管理人員應(yīng)當(dāng)符合以下要求:

(一)符合國家及集團公司對涉密人員的要求;

(二)熟識計算機和信息系統(tǒng)各項平安保密法律、法規(guī)和標(biāo)準(zhǔn);

(三)嫻熟駕馭有關(guān)專業(yè)學(xué)問和業(yè)務(wù)技能;

(四)通過國家有關(guān)部門的上崗培訓(xùn),并獲得上崗資格。

第三章涉密信息系統(tǒng)的建設(shè)管理

第九條建設(shè)涉密信息系統(tǒng)必需依照國家有關(guān)規(guī)定、標(biāo)準(zhǔn)和規(guī)范進行,平安保密設(shè)施必需與涉密信息系統(tǒng)同步規(guī)劃、同步建設(shè)、同步運行。

第十條建設(shè)涉密信息系統(tǒng),應(yīng)當(dāng)在方案設(shè)計前,由保密委員會依據(jù)所建系統(tǒng)擬涉及國家隱私的最高密級確定愛護等級。

第十一條涉密信息系統(tǒng)建設(shè)方案的設(shè)計應(yīng)當(dāng)選擇具有相應(yīng)涉密資質(zhì)的單位擔(dān)當(dāng),建設(shè)方案根據(jù)建設(shè)系統(tǒng)的對應(yīng)密級進行定密和管理。建設(shè)方案完成后,由保密辦報請上級保密管理部門組織評審并備案。

第十二條涉密信息系統(tǒng)建設(shè)過程中,必需實行嚴(yán)格的平安保密管理措施。系統(tǒng)集成、綜合布線、系統(tǒng)服務(wù)、系統(tǒng)詢問、軟件開發(fā)、工程監(jiān)理等,應(yīng)當(dāng)選擇具有相應(yīng)資質(zhì)的單位擔(dān)當(dāng),并明確提出保密要求,簽訂保密協(xié)議。涉及國家隱私的工程資料應(yīng)當(dāng)依據(jù)須要限制發(fā)放,并做出登記。工程完工后,應(yīng)當(dāng)按登記如數(shù)收回。施工現(xiàn)場應(yīng)當(dāng)實行措施,禁止無關(guān)人員進入。

第十三條涉密信息系統(tǒng)所采納的平安保密產(chǎn)品,必需選用通過國家相關(guān)主管部門授權(quán)測評機構(gòu)檢測合格的產(chǎn)品,并應(yīng)當(dāng)查驗產(chǎn)品合格證書、產(chǎn)品檢測報告中所描述的適用范圍及其有效期。

第十四條涉密信息系統(tǒng)的測評工作統(tǒng)一由集團公司保密辦托付國家涉密信息系統(tǒng)測評中心兵器分中心實施。

第十五條涉密信息系統(tǒng)經(jīng)測評完成,取得涉密信息系統(tǒng)檢測評估報告后,由上級保密管理部門向集團公司保密辦正式提交《涉及國家隱私的信息系統(tǒng)投入運用申請書》,并經(jīng)集團公司保密辦審核批準(zhǔn)后,報相關(guān)保密行政管理部門審批,領(lǐng)取《涉及國家隱私的信息系統(tǒng)運用許可證》。

第十六條新建涉密信息系統(tǒng)在投入運行前,應(yīng)當(dāng)經(jīng)地方保密工作部門審批,在未取得《涉及國家隱私的信息系統(tǒng)運用許可證》前,不得投入運用。在正式運行之前,不得存儲和處理國家隱私信息。

第十七條涉密信息系統(tǒng)在設(shè)計、評審、施工及驗收過程中發(fā)生失泄密事務(wù)或因有關(guān)工程信息資料泄露導(dǎo)致涉密信息系統(tǒng)防護措施失效、減弱的,屬于建設(shè)單位責(zé)任的,由建設(shè)單位擔(dān)當(dāng);屬于其他環(huán)節(jié)責(zé)任的,由相關(guān)環(huán)節(jié)負(fù)責(zé)人負(fù)責(zé)。

第四章信息設(shè)備臺帳與標(biāo)識管理

第十八條信息化管理部門應(yīng)當(dāng)依據(jù)實際,建立信息設(shè)備總臺帳,內(nèi)設(shè)機構(gòu)或部門應(yīng)當(dāng)相應(yīng)建立二級臺帳。信息設(shè)備臺帳可按以下類別分類:

(一)計算機,包括服務(wù)器、用戶終端;

(二)網(wǎng)絡(luò)設(shè)備和外部設(shè)備,包括交換機、路由器、網(wǎng)關(guān)、網(wǎng)閘、vpn設(shè)備、打印機、制圖(繪圖)機、掃描儀、光盤刻錄機(外接式)等;

(三)平安保密產(chǎn)品,包括計算機病毒防護產(chǎn)品,密碼產(chǎn)品及身份鑒別、訪問限制、平安審計、入侵檢測、邊界防護和電磁泄漏放射防護等產(chǎn)品;

(四)移動存儲介質(zhì)。

第十九條各類臺帳應(yīng)當(dāng)包括以下內(nèi)容:

(一)計算機管理臺帳:部門、責(zé)任人、名稱型號、密級或用途、操作系統(tǒng)安裝日期、硬盤序列號、ip地址、mac地址、運用狀況等;

(二)網(wǎng)絡(luò)設(shè)備和外部設(shè)備管理臺帳:部門、責(zé)任人、名稱、型號、運用狀況等;

(三)平安保密產(chǎn)品管理臺帳:責(zé)任人、名稱、型號、檢測證書名稱和編號、購置時間、運用狀況等;

(四)移動存儲介質(zhì)管理臺帳:部門、責(zé)任人、名稱、編號、序列號、密級或用途、運用狀況等。

其次十條信息設(shè)備臺帳管理工作實行專人負(fù)責(zé),動態(tài)管理,并建立、健全信息設(shè)備從配置到銷毀全過程的報告、審批和定期核驗機制,確保信息設(shè)備臺帳能夠適時、精確的反映信息設(shè)備的客觀狀況。

其次十一條公司應(yīng)對信息設(shè)備進行標(biāo)識管理。設(shè)備標(biāo)識由公司統(tǒng)一制作。

標(biāo)識內(nèi)容應(yīng)與臺帳信息的主要內(nèi)容相符,并保持完好。不得有意損毀、涂改、撕揭或擦除。計算機和信息系統(tǒng)中的服務(wù)器、用戶終端、外部設(shè)備、存儲介質(zhì)、平安保密產(chǎn)品等,應(yīng)當(dāng)依據(jù)其處理和存儲信息的最高密級或主要用途進行標(biāo)識。標(biāo)識應(yīng)當(dāng)粘貼在明顯位置,并與涉密信息的存儲部件相關(guān)聯(lián)。

移動存儲介質(zhì)如無法粘貼標(biāo)識的,可以實行不行擦除的方式標(biāo)注。

第五章計算機和信息系統(tǒng)的保密管理

其次十二條計算機和信息系統(tǒng)的運用管理必需遵守如下規(guī)定:

(一)嚴(yán)禁運用涉密計算機和信息系統(tǒng)連接國際互聯(lián)網(wǎng)或公共信息網(wǎng)絡(luò);

(二)嚴(yán)禁運用連接國際互聯(lián)網(wǎng)或公共信息網(wǎng)絡(luò)的計算機及其它非涉密計算機存儲、處理涉密信息;

(三)嚴(yán)禁將涉密計算機接入內(nèi)部非涉密網(wǎng)絡(luò)。

其次十三條涉密信息系統(tǒng)經(jīng)平安保密技術(shù)測評,并正式投入運行后,如發(fā)生下列變更事項時,應(yīng)當(dāng)剛好報告上級保密管理部門和負(fù)責(zé)審批的保密行政管理部門:

(一)涉密等級;

(二)連接范圍;

(三)環(huán)境設(shè)施;

(四)主要應(yīng)用;

(五)平安保密責(zé)任管理單位。

由保密行政管理部門確定是否須要重新進行測評和審批。

其次十四條外部信息導(dǎo)入涉密計算機和信息系統(tǒng)的,應(yīng)當(dāng)通過中間轉(zhuǎn)換機或經(jīng)過國家相關(guān)部門批準(zhǔn)的平安牢靠的信息交換措施進行。運用中間轉(zhuǎn)換機轉(zhuǎn)換信息的,中間轉(zhuǎn)換機應(yīng)當(dāng)按涉密和非涉密分別設(shè)立,并嚴(yán)格根據(jù)相關(guān)標(biāo)準(zhǔn)的規(guī)定程序進行操作。

其次十五條涉及涉密計算機和信息系統(tǒng)的設(shè)備,應(yīng)當(dāng)由單位統(tǒng)一選配,統(tǒng)一安裝,嚴(yán)格限制,規(guī)范運用。

其次十六條禁止在涉密計算機和信息系統(tǒng)中運用無線鍵盤、無線鼠標(biāo)、無線網(wǎng)卡、無線路由器等具有無線功能的設(shè)備或產(chǎn)品。

其次十七條涉密計算機和信息系統(tǒng)應(yīng)當(dāng)依據(jù)其相應(yīng)密級實行對應(yīng)的身份鑒別、數(shù)字簽名、訪問限制、平安審計、信息加密、數(shù)據(jù)愛護、介質(zhì)管理、防違規(guī)外聯(lián)等技術(shù)措施。

其次十八條涉密計算機和信息系統(tǒng)服務(wù)器、用戶終端應(yīng)當(dāng)設(shè)置相關(guān)平安策略,設(shè)置原則是:關(guān)閉全部共享、與應(yīng)用無關(guān)的全部端口、服務(wù)、鏈接和系統(tǒng)授權(quán)。

其次十九條涉密計算機和信息系統(tǒng)應(yīng)當(dāng)實行計算機病毒防護措施,定期對計算機病毒與惡意代碼防護措施進行查驗,并剛好更新計算機病毒與惡意代碼樣本庫。更新周期為:涉密信息系統(tǒng)不超過3天,單臺涉密計算機不超過15天。

第三十條各單位應(yīng)建立統(tǒng)一的補丁程序分發(fā)安裝機制,在補丁程序發(fā)布后3個月內(nèi)剛好安裝,保證系統(tǒng)的平安性,對不能安裝系統(tǒng)補丁程序的非正版操作系統(tǒng),應(yīng)當(dāng)更換操作系統(tǒng)。

第三十一條下列事項必需報經(jīng)信息化管理部門批準(zhǔn)后由相關(guān)管理人員實施:

(一)因系統(tǒng)崩潰、操作系統(tǒng)損壞等緣由需重新安裝操作系統(tǒng)的;

(二)更改或清除涉密計算機和信息系統(tǒng)的移動存儲介質(zhì)及外部設(shè)備安裝、運用等日志記錄的;

(三)因工作須要對涉密計算機和信息系統(tǒng)安裝、擴展、縮減、拆卸軟硬件的;

(四)因工作須要卸載、修改涉密信息系統(tǒng)的平安技術(shù)程序、管理程序的。

第三十二條需常常安裝的應(yīng)用軟件和軟件工具,經(jīng)信息化管理部門審批后,由系統(tǒng)管理員上傳到指定的服務(wù)器或存儲在一次性刻錄光盤中,供涉密計算機和信息系統(tǒng)用戶終端下載、安裝運用。

第三十三條公司要加強對連接國際互聯(lián)網(wǎng)計算機的管理和運用,應(yīng)遵循以下原則:

(一)未經(jīng)批準(zhǔn),不得擅自以任何方式連接國際互聯(lián)網(wǎng);

(二)公司集中運用的國際互聯(lián)網(wǎng)計算機應(yīng)當(dāng)指定專人負(fù)責(zé)管理,分散運用的國際互聯(lián)網(wǎng)計算機應(yīng)當(dāng)明確責(zé)任人,做好上網(wǎng)記錄;

(三)應(yīng)制定國際互聯(lián)網(wǎng)信息發(fā)布管理制度,明確須要通過保密審查的信息范圍和審查程序。審查一般應(yīng)由擬發(fā)布信息的業(yè)務(wù)主管部門負(fù)責(zé),業(yè)務(wù)主管部門把握不準(zhǔn)的,由保密管理部門審查,單位業(yè)務(wù)主管領(lǐng)導(dǎo)審批;

(四)公司應(yīng)實行有效技術(shù)措施,對通過互聯(lián)網(wǎng)或公共信息系統(tǒng)發(fā)送電子郵件等信息進行監(jiān)控和記錄。

第三十四條密碼設(shè)備的運用和管理根據(jù)公司有關(guān)規(guī)定執(zhí)行。

第六章便攜式計算機和存儲介質(zhì)保密管理

第三十五條建立健全便攜式計算機和移動存儲介質(zhì)的管理制度和措施,依據(jù)工作實際,實行集中管理,指定專人負(fù)責(zé)。

第三十六條涉密便攜式計算機應(yīng)當(dāng)拆除具有無線聯(lián)網(wǎng)功能(如無線網(wǎng)卡、藍牙、紅外等)的硬件模塊,如無法進行拆除的,不得作為涉密計算機運用。

第三十七條攜帶涉密便攜式計算機和移動存儲介質(zhì)外出,應(yīng)當(dāng)履行審批手續(xù)和領(lǐng)用前狀態(tài)檢查;返還時,應(yīng)當(dāng)對外出訪用狀況進行技術(shù)檢查。

第三十八條外出攜帶涉密便攜式計算機和移動存儲介質(zhì)要確保平安,全程有效限制。同時攜帶涉密便攜式計算機和移動存儲介質(zhì)時,二者應(yīng)分開保管。

第三十九條不得運用低密級便攜式計算機和移動存儲介質(zhì)存儲、處理高密級信息;不得在低密級計算機上運用高密級移動存儲介質(zhì)。

第四十條在涉密計算機和信息系統(tǒng)內(nèi)運用的存儲介質(zhì)應(yīng)當(dāng)實行有效的技術(shù)限制措施,確保未經(jīng)授權(quán)的移動存儲介質(zhì)不能在涉密計算機和信息系統(tǒng)中運用。

第四十一條在運用便攜式計算機和移動存儲介質(zhì)時不得有下列行為:

(一)在非涉密便攜式計算機和移動存儲介質(zhì)中存儲、處理涉密信息的;

(二)涉密移動存儲介質(zhì)在非涉密計算機和信息系統(tǒng)中運用的;

(三)將非涉密和個人具有存儲功能的介質(zhì)和設(shè)備接入涉密計算機和信息系統(tǒng)的;

(四)私自攜帶涉密便攜式計算機和移動存儲介質(zhì)外出的;

(五)移動存儲介質(zhì)在涉密計算機、信息系統(tǒng)和非涉密計算機、信息系統(tǒng)之間交叉運用的。

第四十二條涉密移動存儲介質(zhì)不得降為非涉密移動存儲介質(zhì)運用。

第七章信息平安保密管理

第四十三條涉密計算機和信息系