一、為保障局內計算機資訊系統安全,防止計算機網路失密洩密事件發生,根據《中華人民共和國計算機資訊系統安全保護條例》及有關法律法規,結合本局實際制定本局的安全保密制度。
二、為防止病毒造成嚴重後果,對外來光碟、軟體要嚴格管理,原則上不允許外來光碟、軟體在局內區域網計算機上使用。確因工作需要使用的,事先必須進行防(殺)毒處理,證實無病毒感染後,方可使用。
三、嚴格限制接入網路的計算機設定為網路共享或網路共享檔案,確因工作需要,要在做好安全防範措施的前提下設定,確保資訊保安保密。
四、為防止黑客攻擊和網路病毒的侵襲,接入網路的計算機一律安裝防毒軟體,及時更新系統補丁和定時對防毒軟體進行升級,並安裝必要的區域網ARP攔截防火牆。
五、本局醞釀或規劃重大事項的材料,在保密期間,將有關涉密材料儲存到非上網計算機上。
六、各科室禁止將涉密辦公計算機擅自聯接國際網際網路。
七、保密級別在祕密以下的材料可通過電子信箱、QQ或MSN傳遞和報送,嚴禁保密級別在祕密以上(含祕密)的材料通過電子信箱、QQ或MSN傳遞和報送。
一、崗位管理制度:
(一)計算機上網安全保密管理規定
1、未經批准涉密計算機一律不許上網際網路,如有特殊需求,必須事先提出申請報主管領導批准後方可實施,並安裝物理隔離卡,在相關工作完成後撤掉網路。
2、要堅持“誰上網,誰負責”的原則,各科室科長負責嚴格審查上網機器資格工作,並報主管領導批准。
3、國際網際網路必須與涉密計算機系統實行物理隔離。
4、在與國際網際網路相連的資訊裝置上不得儲存、處理和傳輸任何涉密資訊。
5、加強對上網人員的保密意識教育,提高上網人員保密觀念,增強防範意識,自覺執行保密規定。
(二)涉密儲存介質保密管理規定
1、涉密儲存介質是指儲存了涉密資訊的硬碟、光碟、軟盤、行動硬碟及U盤等。
2、有涉密儲存介質的科室需妥善保管,且需填寫“涉密儲存介質登記表”。
3、存有涉密資訊的儲存介質不得接入或安裝在非涉密計算機或低密級的計算機上,不得轉借他人,不得帶出工作區,下班後存放在本單位指定的櫃中。
4、各科室負責管理其使用的各類涉密儲存介質,應當根據有關規定確定密級及保密期限,並視同紙製檔案,按相應密級的檔案進行分密級管理,嚴格借閱、使用、保管及銷燬制度。借閱、複製、傳遞和清退等必須嚴格履行手續,不能降低密級使用。
5、涉密儲存介質的維修應保證資訊不被洩露,需外送維修的要經主管領導批准,維修時要有涉密科室科長在場。
6、不再使用的涉密儲存介質應由使用者提出報告,由
單位領導批准後,交主管領導監督專人負責定點銷燬。
二、人員管理制度及操作規程:
(一)計算機維修維護管理規定
1、涉密計算機系統進行維護檢修時,須保證所儲存的涉密資訊不被洩露,對涉密資訊應採取涉密資訊轉存、刪除、異地轉移儲存媒體等安全保密措施。無法採取上述措施時,涉密科室科長必須在維修現場,對維修人員、維修物件、維修內容、維修前後狀況進行監督並做詳細記錄。
2、各涉密科室應將本科室裝置的故障現象、故障原因、擴充情況記錄在裝置的維修檔案記錄本上。
3、凡需外送修理的涉密裝置,必須經主管領導批准,並將涉密資訊進行不可恢復性刪除處理後方可實施。
4、高密級裝置調換到低密級單位使用,要進行降密處理,並做好相應的裝置轉移和降密記錄。
5、由辦公室指定專人負責各涉密科室計算機軟體的安裝和裝置的維護維修工作,嚴禁使用者私自安裝計算機軟體和擅自拆卸計算機裝置。
6、涉密計算機的報廢交主管領導監督專人負責定點銷燬。
(二)使用者密碼安全保密管理規定
1、使用者密碼管理的範圍是指本局所有涉密計算機所使用的密碼。
2、機密級涉密計算機的密碼管理由涉密科室負責人負責,祕密級涉密計算機的密碼管理由使用人負責。
3、使用者密碼使用規定。
(1)密碼必須由數字、字元和特殊字元組成;
(2)祕密級計算機設定的密碼長度不能少於8個字元,密碼更換週期不得多於30天;
(3)機密級計算機設定的密碼長度不得少於10個字元,密碼更換週期不得超過7天;
4、密碼的儲存。
(1)祕密級計算機設定的使用者密碼由使用人自行儲存,嚴禁將自用密碼轉告他人;若工作需要必須轉告,應請示主管領導認可。
(2)機密級計算機設定的使用者密碼須登記造冊,並將密碼本存放於保密櫃內,由科室主任、科長管理。
(三)涉密電子檔案保密管理規定
1、涉密電子檔案是指在計算機系統中生成、儲存、處理的機密、祕密和內部的檔案、圖紙、程式、資料、聲像資料等。
2、電子檔案的密級按其所屬專案的最高密級界定,其生成者應按密級界定要求標定其密級,並將檔案儲存在相應的目錄下。
3、各使用者需在本人的計算機系統中建立“機密級檔案”、“祕密級檔案”、“內部檔案”三個目錄,將系統中的電子檔案分別儲存在相應的目錄中。
4、電子檔案要有密級標識,電子檔案的密級標識不能與檔案的正文分離,一般標註於正文前面。
5、電子檔案必須定期、完整、真實、準確地儲存到不可更改的介質上,並集中儲存,然後從計算機上徹底刪除。
6、各涉密科室自用資訊資料要定期做好備份,備份介質必須標明備份日期、備份內容以及相應密級,嚴格控制知
悉此備份的人數,做好登記後進保密櫃儲存。
7、各科室要對備份電子檔案進行規範的登記管理。備份可採用磁碟、光碟、行動硬碟、U盤等儲存介質。
8、涉密檔案和資料的備份應嚴加控制。未經許可嚴禁私自複製、轉儲和借閱。對儲存涉密資訊的磁介質應當根據有關規定確定密級及保密期限,並視同紙製檔案,分密級管理,嚴格借閱、使用、保管及銷燬制度。
9、備份檔案和資料保管地點應有防火、防熱、防潮、防塵、防磁、防盜設施,並進行異地備份。
(四)涉密計算機系統病毒防治管理規定
1、涉密計算機必須安裝經過國家安全保密部門許可的查、殺病毒軟體。
2、每週升級和查、殺計算機病毒軟體的病毒樣本。確保病毒樣本始終處於最新版本。
3、絕對禁止涉密計算機線上升級防病毒軟體病毒庫,同時對離線升級包的來源進行登記。
4、每週對涉密計算機病毒進行一次查殺檢查。
5、涉密計算機應限制資訊入口,如軟盤、光碟、U盤、行動硬碟等的使用。
6、對必須使用的外來介質(磁碟、光碟,U盤、行動硬碟等),必須先進行計算機病毒的查、殺處理,然後才可使用。
7、對於因未經許可而擅自使用外來介質導致嚴重後果的,要嚴格追究相關人員的責任。
(五)上網釋出資訊保密規定
1、上網資訊的保密管理堅持“誰釋出誰負責”的原則。凡
向國際聯網或本單位的網站提供或釋出資訊,必須經過保密審查批准,報主管領導審批。提供資訊的單位應當按照一定的工作程式,健全資訊保密審批制度。
2、凡以提供網上資訊服務為目的而採集的資訊,除在其它新聞媒體上已公開發表的,組織者在上網釋出前,應當徵得提供資訊單位的同意。凡對網上資訊進行擴充或更新,應當認真執行資訊保密稽核制度。
3、涉密人員在其它場所上國際網際網路時,要提高保密意識,不得在聊天室、電子公告系統、網路新聞上釋出、談論和傳播國家祕密資訊。
4、使用電子函件進行網上資訊交流,應當遵守國家保密規定,不得利用電子函件傳遞、轉發或抄送國家祕密資訊。
2015年3月1日
涉密資訊系統安全保密管理制度 [篇2]
一、計算機資訊系統保密管理
1、涉密計算機系統保密建設方案應經過市委保密委員會的審查批准,未經審批不得投入執行。
2、進入涉密計算機系統應進行身份鑑別,要按要求設定並定期更新涉密系統口令。
3、涉密計算機系統應當與國際網際網路物理隔離。嚴禁以任何方式將涉密計算機聯入國際網際網路或其他非涉密計算機系統。
4、涉密計算機系統工作場所應作為保密要害部位進行管理。
5、機關工作人員不得越權訪問涉密資訊。
6、涉密計算機系統安全保密管理員、金鑰管理員和系統管理員應由不同人員擔任,並且職責明確。
二、涉密計算機使有管理
1、承擔涉密事項處理的計算機應專機專用,專人管理,嚴
格控制,不得他人使用。
2、禁止使用涉密計算機上國際網際網路或其它非涉密資訊系統。
3、嚴格一機兩用操作程式,未安裝物理隔離卡的涉密計算機嚴禁連線國際網際網路或其它非涉密資訊系統。
4、涉密計算機系統的軟體配置情況及本身有涉密內容的各種應用軟體,不得進行外借和拷貝。
5、未經許可,任何私人的光碟、軟盤、U盤不得在涉密計算機機裝置上使用;涉密計算機必需安裝防毒軟體並定期升級。
三、膝上型電腦使用管理
1、涉密膝上型電腦由辦公室統一管理,使用時必須履行登記手續。
2、涉密膝上型電腦嚴禁安裝無線網絡卡等無線裝置,嚴禁聯接國際網際網路。
3、涉密膝上型電腦限委機關工作人員使用,禁止將涉密膝上型電腦借與他人。
4、涉密膝上型電腦中的涉密資訊不得存入硬碟,要存入軟盤、行動硬碟、U盤等移動儲存介質,必須定期清理,與涉密膝上型電腦分離保管。
5、不準攜帶儲涉密資訊的膝上型電腦出國或去公共場所,確因工作需要攜帶的,必須辦理相關審批手續。
四、移動儲存介質使用管理
1、涉密儲存介質由辦公室統一管理,使用時必須履行登記手續。
2、涉密儲存介質應按儲存資訊的最高密級標註密級,並按相同密級的祕密載體管理。
3、禁止將涉密儲存介質接入非涉密計算機使用。
4、不得將涉密儲存價質帶出辦公場所,如因工作需要必須帶出的,需履行相應的審批和登記手續。
5、個人使用的U盤等移動儲存介質,不得儲存涉密資訊,因工作需要必須使用的,使用後要及時消除密資訊。
五、數碼複錢機、多功能一體機使用管理
1、數碼影印機、多功能一體機必須指定專人使用,其他任何人未經許可,不得使用。
2、處理涉密資訊的數碼影印機、多功能一體機不得連線普通電話線,不得與委區域網連線。
3、複製涉密檔案、資料、圖紙等必須嚴格履行審批手續,複製件必須按密件處理,不得降低密級使用。
4、處理涉密資訊完畢後,必須立即銷燬儲存的涉密資訊。
六、國際網際網路上釋出資訊保密制度
1、在國際網際網路上釋出資訊必須由辦公室統一管理,指定專人負責操作,其它科室和個人不得擅自在網際網路上釋出涉及工作內容的任何資訊。
2、在國際網際網路上釋出涉及工作內容的資訊必須履行審批手續,必須由市建設口保密領導小組審查後,交一把手書記籤批手方可釋出。
3、嚴禁將任何涉密檔案、資訊等釋出到國際網際網路上。
4、嚴禁將案件、信訪資訊釋出到國際互關風上。
本制度從發文之日起執行。
涉密資訊系統安全保密管理制度 [篇3]
第一章 總 則
第一條 *******計算機資訊系統是全縣農村信用社發展各項業務的核心技術手段,為了保護計算機網路系統的安全,根據《中華人民共和國保守國家祕密法》、《計算機資訊系統保密暫行規定》等法律、法規制訂本辦法。
第二條 本辦法所稱的計算機資訊系統,是指由計算機、網路裝置、資料資訊以及其相關配套的裝置、設施構成的,按照一定的應用目標和規則對資料資訊進行採集、加工、儲存、傳輸、檢索等處理的人機系統。
第三條 本辦法下列用語的含義。
計算機資訊系統安全是指計算機資訊系統的硬體、軟體、網路和資料的安全必須受到保護,不因自然的和人為的原因而遭到破壞、更改和丟失,以保證計算機資訊系統能連續正常執行。
計算機資訊系統保密是指對涉及*******商密的'包括但不限於計算機資訊系統的軟體、硬體、系統資料資訊、技術開發文件、管理及操作規定、自有智慧財產權產品等資料、資訊保守祕密,包括利用密碼技術對資訊進行加密處理,防止資訊非法洩露,保障*******的利益。
第四條 計算機資訊系統的安全保密,指保障計算機、資料
資訊網路及其相關的和配套的裝置、設施的安全,保障執行環境(機房)的安全,保障資訊的安全,保障計算機和網路功能的正常發揮,防止工作或政治因素造成的失密、洩密,防止人為或自然災害等造成的破壞,以及防止利用計算機犯罪等。
第五條 *******計算機網路系統安全領導小組(以下簡稱“電腦保安領導小組”)的領導下,科技部門按相關管理規定,負責計算機資訊系統安全保密工作。
第六條 *******(以下簡稱“***”)各部室必須指定專人負責本部門有關資訊系統的安全保密工作,其主要職責是:
(一)定期向***保密委報告安全保密工作情況;
(二)督促本部門安全保密措施的貫徹執行;
(三)組織安全保密檢查;
(四)進行安全保密教育。
第七條 任何單位和個人,不得利用計算機網路系統從事或危害農村信用社利益的活動,不得危害計算機網路系統的安全。
第二章 計算機及網路系統
第八條 裝置選型、購置須經充分論證,做好驗收,對金鑰、密碼、引數等資訊應做好接交保管,網路裝置要特別關注其保密效能。
第九條 購入的計算機網路安全裝置,必須經國家有關部門進行安全、保密認證,系統執行期間,不得隨意更改其系統配置。
第十條 建立常規硬體系統維護管理制度,保持維護計算機和網路裝置、工具和資料處於良好狀態,備件應有庫存帳,可隨時查閱,並根據具體情況補充和更新。防止重大事故,應有應急處理的措施。
第十一條 各級操作人員必須進行必要的安全保密培訓,在職責範圍內嚴格按相關操作規程進行操作。
第十二條 應用系統軟體、資料應有備份;有故障時能及時採取措施進行處理,並應對工作人員定期進行訓練和演習。 第十三條 應用系統在設計上嚴格控制涉密檔案資訊查詢、檢索的人員範圍,嚴格管理使用者使用許可權。系統軟硬體一經安裝、除錯、正式執行,各部(室)、***、**未經***科技部門許可,不得自行對其更改配置。
第十四條 制定裝置、軟體管理細則,應用軟體開發要嚴格按照有關規定執行。
第十五條 計算機操作(或應用)系統版本的更新、升級須擬出方案,應用系統須經過嚴測試,憑更新、升級方案和測試報告,經科技部門負責人批准後由系統維護人員進行,應用系統的文件資料,無關人員一律不得查閱。
第十六條 傳輸祕密以上級別的資訊時,通訊兩端裝置需在相應安全環境中,對所傳輸資料,要採取加密措施。
第三章 介質、資料的管理
第十七條 應用系統使用、產生的介質(磁性儲存介質、電
子儲存介質、光儲存介質等)或資料(紙質文件、電子文件、程式等)要按其重要性進行分類,對存放有關鍵或重要資料的介質和資料,應複製必要的份數,並分別存放在不同的安全地方,建立嚴格的保密保管制度。
第十八條 保留在機房內的介質或資料,應為系統有效執行所必需的最少數量,除此之外,不應保留在機房內。
第十九條 存放介質、資料的庫房,必須設有防火、防潮、防高溫、防震、防電磁場、防靜電及防盜等的設施。
第二十條 介質(資料)庫,應設專人負責登記保管,未經批准,不得向第三方提供。
第二十一條 系統內有關人員在使用介質(資料)期間,應嚴格按國家相關保密規定進行控制,不得轉借或複製,需要使用或複製的須經相關領導批准。
第二十二條 庫房保管人對所有介質(資料)應定期檢查,根據介質的安全儲存期限,及時更新複製。損壞、廢棄或過期的介質(資料)應由專人負責處理,祕密級以上的介質(資料)在超過保密期或廢棄不用時,要及時銷燬。
第二十三條 機密資料處理作業結束時,應及時清除儲存器、聯機磁帶、磁碟及其它介質上有關作業的程式和資料,應及時銷燬廢棄的列印紙。
第四章 計算機及網路系統的環境
第二十四條 機房環境的選擇,應符合國家標準GB2887《計算機站場地技術要求》的有關規定。機房主體結構應具有與其
第二十五條 機房選點儘量避開便於駐留無關人員的場所。 第二十六條 計算機系統裝置場地,應具備應急照明供電;應急報警設施,應急安全斷電線路。
第二十七條 在計算機房、辦公設施、通訊及動力設施附近施工危害計算機資訊系統安全的,由***會同有關單位進行交涉。
第二十八條 制定機房出入管理制度,對每個工作人員授予不同許可權,規定活動區域。設立值班人員負責監督制度的執行和安全保衛工作。
第五章 安全保密制度
第二十九條 計算機資訊系統的建設和應用,應當遵守國家有關法律、行政法規和***其它有關規定。
第三十條 計算機資訊系統實行安全等級保護。儲存國家祕密資訊的計算機,應按所儲存資訊的最高密級標明,並按相應密級的檔案進行管理,採取相應的保密措施。機密級及以上國家祕密資訊不得進入計算機資訊系統。安全等級的劃分標準和
安全等級保護的具體辦法由省清算中心制定。
第三十一條 計算機機房、辦公、防雷、消防、通訊及供配電設施應當符合國家標準和國家有關規定。在上述設施附近施工,不得危害計算機網路系統的安全。因施工危害計算機資訊系統安全的,由相關部門與施工單位進行交涉。
第三十二條 要求接入國際網際網路的計算機,由使用部門提出申請,經科技部門按規定稽核後,報分管領導審批。
第三十三條 攜帶或郵寄計算機介質(資料)的,應當如實向***電腦保安領導小組申報。
第三十四條 對計算機資訊系統中發生的案件,應按規定及時向***及相關部門報告。 第三十五條 聯網計算機應定期進行查、殺病毒操作,發現計算機新病毒,應按照規定及時向*******計算機病毒防治工作小組報告。
第六章 人員內控管理
第三十六條 人員審查。
人員的審查必須根據計算機網路系統所規定的安全等級來確定審查標準。凡接觸系統安全三級以上資訊系統的所有人員,必須按機要人員的條件進行審查。
第三十七條 關鍵崗位人選。
對計算機資訊系統的關鍵崗位人選,如安全負責人、系統管理員等,不僅需要進行嚴格的政審,還要考核其業務能力,
以保證這部分人員可信可靠,能勝任本職工作。關鍵崗位人員要實行定期強制休假制度。 第三十八條 人員培訓。
計算機資訊系統上崗的所有工作人員,均需由有關部門組織上崗培訓,包括計算機及網路操作、維護培訓、應用軟體操作培訓、計算機網路系統安全課程及保密教育培訓,經培訓合格的人員持證上崗。
第三十九條 人員考核。
人事部門要定期組織有關方面人員對計算機網路系統所有的工作人員從政治思想、業務水平、工作表現、遵守安全規程等方面進行考核,對於考核發現有違反安全法規行為的人員或發現不適於接觸計算機網路系統的人員要及時調離崗位,不應讓其再接觸系統,對情節嚴重的應追究其法律責任。 第四十條 簽訂保密協議。
對於所有進入計算機網路系統工作的人員,均應簽訂保密契約,承諾其對系統應盡的安全保密義務,保證在崗工作期間和離崗後均不得違反保密契約,洩漏系統祕密。對違反保密契約的,應有懲處條款。對接觸機密資訊的人員,應規定在離崗後的多長時期內不得離境。
第四十一條 人員調離。
對調離人員,特別是因不適合安全管理要求被調離的人員,必須嚴格辦理調離手續。進行調離談話,承諾其調離後的保密義務,交還所有鑰匙及證件,退還全部技術手冊、軟體及有關
資料。更換系統口令和使用者名稱。自調離決定通知之日起,必須立即進行上述工作,不得拖延。
第七章 操作安全管理
第四十二條 系統操作安全管理目標。
系統操作是指對計算機資訊系統開發、操作、維護、系統管理等人員的行為或活動。全縣農村信用社計算機資訊系統操作安全管理的目標是:
(一)對系統管理及系統操作均應進行有效的監督或監控;
(二)所有接觸系統的人員均應承擔與其工作性質相應的安全責任。
第四十三條 計算機操作人員分類。
對計算機資訊系統的操作人員,應根據計算機資訊系統有限職責、有限使用授權原則進行分類。
(一)營業網點操作員、管理人員。
(二)事後監督系統操作員、管理人員。
(三)辦公自動化系統操作、管理人員。
(四)網路及硬體維護人員。
(五)系統執行維護人員。
(六)中心繫統管理人員。
(七)安全管理人員。
第四十四條 系統操作控制管理。
(一)應按照分工負責、互相制約的原則制定各類系統操
(二)各類人員在履行職責時要按規定行事,不得從事超越自己職責以外的任何操作。
(三)在對生產系統和監督系統進行系統維護、恢復、強行更改資料時,至少應有兩名操作人員在場、並進行詳細的登記及簽名。
(四)系統稽核人員、安全管理人員有權對生產系統進行監督與核查,但該過程必須履行必要的手續和按照一定的程式進行。
(五)應為長期從事計算機工作的人員創造合適的人機工作環境。使他們享有相應的勞動保護,定期進行專門體檢,保持身心健康。
第八章 安全保密監督
第四十五條 科技部門對計算機資訊系統安全保密工作,行使下列監督職權:
(一)監督、檢查、指導計算機資訊系統安全保密工作;
(二)檢查危害計算機資訊系統安全的違規事件;
(三)履行計算機資訊系統安全保密工作的其它監督職責。 第四十六條 科技部門發現影響計算機資訊系統安全保密的隱患時,應當及時通知***安全領導小組採取安全保護措施,在緊急情況下,有權直接先採取必要的措施,然後再向領導報告,遇有重大問題,可以要求召集電腦保安領導小組成員會議商
議對策。
第九章 獎勵和懲處
第四十七條 違反本辦法的規定,有下列行為之一的,由電腦保安領導小組處以警告或者停機整頓,嚴重的應依據《中華人民共和國保守國家祕密法》的有關條款進行處理並追究單位領導的責任。
(一)違反計算機資訊系統安全等級制度,危害計算機資訊系統安全的;
(二)不按照本辦法規定時間報告計算機資訊系統中發生的案件的;
(三)接到有關要求改進安全保密狀況的通知後,在限期內不予改進的;
(四)對本辦法貫徹不力,造成事故隱患,影響系統正常執行的;
(五)違反本辦法造成嚴重損失或造成重大失洩密的。 第四十八條 對於引入計算機病毒以及其他有害資料危害計算機資訊系統安全的,或者未經許可使用計算機資訊系統安全專用產品的單位和個人,由***給予嚴肅處理。
第四十九條 凡是認真貫徹本規定要求,維護系統安全執行,杜絕事故發生,防止失洩密成績顯著者,或迅速排除故障,恢復系統正常執行或減少損失者,***應視情況給予表彰。
