涉密信息系统环境管理制度.doc

《涉密信息系统环境管理制度.doc》由会员分享，可在线阅读，更多相关《涉密信息系统环境管理制度.doc（12页珍藏版）》请在沃文网上搜索。

1、1. 涉密人员管理制度为保证 企业涉密网络的正常运行，需加强涉密人员的管理，特制订本规定。第一条 人员审查，由公司保密委员会对网络接入用户进行严格的背景审查；第二条 岗位人选，根据网络和分系统的运行维护情况，.定岗、定员、定责；.第三条 人员培训，.对接入用户定期进行安全保密知识的培训，.定期进行网络使用的相关业务技术知识的培训，所有接入用户必须熟悉操作系统、常用办公软件的操作，专业应用软件必须经过培训后方能进行操作；第四条 人员考核，定期对接入用户的网络使用情况按有关规定进行安全保密考核；第五条 签订保密协议，对所有接入用户都要签订安全保密协议；.第六条 人员调离，对所有接入用户视接触密级的

2、不同制定相应的脱密期并在脱密期内加强跟踪管理。2. 涉密信息系统环境管理制度一、机房管理制度为加强机房的管理，确保企业涉密信息系统安全、有效运行，特制定本制度。配线间的管理参照本制度执行。第一条企业中心机房指企业内部网络计算机信息系统中心服务器、交换机等设备安放和中心机房工作人员值守的场所。第二条 中心机房的工作人员为中心机房的直接责任人。第三条 机房应有安全的门禁措施，无关人员不得进入机房，中心机房无人时，必须保持中心机房锁闭。机房应确保监控设备每天24 小时正常使用，监控室有专人值守，并有详细值班记录或备份电子档案。第四条 中心机房钥匙由机房责任人掌握，不得私自配置、转借和转让。若不慎丢失

3、，必须在24小时内采取换锁方式重新发放钥匙。第五条 非机房工作人员不得私自进入中心机房。如因工作需要进入中心机房应经过审批同意后，由中心机房工作人员陪同进入。并填写中心机房、配线间出入登记表。第六条 需外单位人员对机房设备进行维护时，必须经省企业信息化主管部门批准后由中心机房工作人员陪同进入。并填写中心机房设备维修记录表，由信息化科留存备案。第七条 在中心机房内工作时，应注意室内环境卫生，保持室内整洁。进入机房所有人员要穿工作鞋，中心机房内不得高声喧哗，不得讨论与工作无关的事情。严禁在中心机房内吸烟和就餐。第八条 中心机房为企业重点防火部位，按照相应消防要求配备足够数量的消防器材，机房工作人员

4、要熟悉机房消防器材的存放位置及使用方法。值班员应定期检查灭火器材、空调、机柜内温度、电器线路、门窗防护等安全防护措施的有效性，随时检查机房环境，保证满足计算机设备对温度、湿度和空气洁净度、供电电源的质量(电压、频率和稳定性等)、接地地线、电磁场和振动等项的技术要求。第九条 严禁携带易燃易爆和强磁物品及其它与机房工作无关的物品进入中心机房。机房中不得使用移动电话。第十条 对数据实施严格的安全与保密管理，防止系统数据的非法生成、变更、泄漏、丢失及破坏。机房工作人员应在数据库的系统认证、系统授权、系统完整性、补丁和修正程序方面适时修改。第十一条 中心机房为企业保密要害部位，须落实保密要害部位管理制度

5、和各项措施。机房工作人员应熟悉并严格执行国家和公司制定的有关安全保密规则。未经批准，不得打开保密机柜，无关人员禁止操作机房设备。第十二条 机房内的设备、配件、备件、资料、软件、工具等由专人管理，原则上不能带离机房使用。特殊情况由机房负责人批准，办理借用手续后方可带离机房使用，但必须按时归还。每曰下班，中心机房责任人应对中心机房进行检查，每月填写中心机房、配线间安全检查记录表。第十三条 保密办和信息化主管部门定期对机房工作进行监督检查，确保制度的执行。第十四条 本制度由信息中心负责解释。第十五条 本制度自发布之日起施行。二、涉密信息系统场地与设施安全管理制度第一条 涉密信息处理场所应当根据处理涉

6、密信息程度和有关规定设立控制区，未经管理部门批准􀓔无关人员不得进入。第二条 涉密办公场所应当配备铁质密码文件柜、碎纸机。第三条 信息化科负责对省企业涉密信息处理场所定期或者根据需要进行保密技术检查。第四条 涉密信息设备及使用场所应当符合BMB52000和GB963-1-1988的要求，对达不到要求的设备和场所应该：1，处理绝密级信息的信息系统应当满足GG-BBl-1999的要求，否则应当在满足BMB3-1999要求的电磁屏蔽室内使用。2，处理秘密级、机密级信息的信息系统应当安装满足BMB42000要求的干扰器，并经国家有关主管部门批准使用。3，处理涉密信息的设备经测试，如果满

7、足国家保密局标准BMB2 一1998使用现场的信息设备电磁泄漏发射检查测试方法和安全判断的要求，可以不采取电磁泄漏发射防护措施。第五条 放置涉密计算机信息系统的房间应当有相应的保卫防护措施，并有相应的物理安全保障措施。第六条 本制度由信息中心负责解释。第七条 本制度自发布之日起施行。3. 涉密介质和涉密设备管理制度第一条 根据国家保密，结合省企业实际，制定本办法。第二条 本办法适用于机关各部门在业务活动中直接产生或因接收密件而生成的各类秘密载体。第三条 本办法规定了国家秘密载体(以下简称涉密载体)的保密管理内容和要求。第四条 本办法所称涉密载体是指以文字、数据、资料、符号、图形、图像、声音等方

8、式记载有国家秘密信息的纸介质、磁介质、光盘等各类物品，也称密件。磁介质载体包括计算机硬盘(含移动硬盘)、闪存(U 盘)、软盘和录音带、录像带等。第五条 各级企业保密委员会负责组织开展机关涉密载体的保密管理工作。办公厅及其保密委员会办公室具体负责对各部门涉密载体保密管理工作进行指导、协调、监督和检查。第六条 按照“业务谁主管，保密谁负责”的原则，各部门行政主要领导对本部门产生或管理使用的涉密载体的保密管理工作负全责。第七条 使用涉密载体的工作人员是直接责任人，必须承担涉密载体安全保管和保密的责任与义务，做好涉密载体的保密管理工作。第八条 涉密载体的制作(一) 制作涉密载体时，承办人应根据有关保密

9、规定提出密级、保密期限、发放范围及制作数量的意见，经处室领导审核后报本部门主管领导审定。产生和制作涉密文件、资料，应按照各级企业确定国家秘密及其变更密级的相应管理办法执行。(二) 分发涉密载体之前，机密级以上的应编排顺序号。(三) 确定绝密级涉密载体的份数应根据业务工作需要，必须严格控制发放数量和使用范围。(四) 不得在非涉密计算机上制作涉密载体，制作绝密级载体必须经保密办批准后，使用指定的专用绝密级计算机及其移动硬盘。(五) 记录涉密事项的载体要按照所存储涉密信息的最高密级进行密级标识，使用人应按相应密级密件的保管要求妥善保管。(六) 制作涉密载体过程中形成的不需归档的材料，应及时清理、销毁

10、。(七) 机关摄制涉密声像资料，须由保密部门审批，并由宣传部门指定专门的涉密人员摄制，摄制完成的录像带应按所拍摄内容的最高密级标注密级标识。(八) 禁止在大楼保密要害部门和部位的场所私自摄影、摄像。在楼内因公进行留念型摄影、摄像，须选择在非涉密场所进行。(九) 制作涉密载体的场所及设备应当符合保密要求。(十) 保密管理部门应在移动硬盘、软盘等涉密磁介质的醒目处张贴密级标志，以强化对涉密磁介质的保密管理。第九条 涉密载体的收发(一) 分发涉密载体，要履行清点、登记、编号、签收等手续。(二) 领用涉密载体应严格履行以下手续。1，由各部门综合处(或综合岗位秘书、保密员)到文件档案部门统一领取保密手册

11、。重要以上涉密人员应人手一册，一般涉密人员可根据工作实际领取和配发。各部门保密员必须对领取和分发的保密手册进行登记、编号。2，对笔记本电脑的保密管理按照省企业相应办公自动化设备保密管理办法执行。3，领取涉密移动硬盘、软盘等磁介质，应由领取部门填写省企业领用涉密磁介质申请单(附件1)，由部门保密员到保密部门办理领取、登记手续。4，对涉密磁介质的保密管理要做到“四统一”，即由保密办统一购买、统一登记、统一配发、统一销毁。(三) 机关工作人员外出参加各种会议带回的涉密载体必须及时交部门综合处并保管，个人确需留存的，应填写省企业个人留存围家秘密载体审批登记表(附件2)，办理借阅留存手续，否则个人不得私

12、自保存。第十条 涉密载体的传递(一) 一般情况下，传递涉密载体应通过机要渠道，不得通过普通邮局、特快专递等非机要渠道传递。(二) 传递涉密载体应当包装密封，信封上应当标明密级、编号、收发件单位的机要名称。(三) 派人传递涉密载体，应随身携带，不能失控。在本地区内传递的，要乘坐专车。到外地传递的，应乘坐飞机(但不得托运涉密载体)或火车软卧。严禁将涉密载体放在汽车内过夜或将涉密载体带到个人家中留存。(四) 派人传递绝密级密件或数量较多的机密级密件，必须两人以上携带并乘坐专车，专车严禁无关人员搭乘或途中办理无关事项。必要时可派保密保卫干部随车押送。(五) 严禁在无保密措施的公共计算机网络或互联网上传

13、输国家秘密和省企业内部信息。(六) 确因工作需要，向驻外机构传递涉密载体须经各级企业保密委员会主管领导批准􀓔由外交信使携运。第十一条 涉密载体的使用(一) 各部门收到涉密载体时，应由主管领导根据涉密载体的密级和制发单位的要求以及业务工作的实际需要，确定本部门接触、知悉该项国家秘密人员的范围，不得擅自扩大国家秘密的知悉范围。(二) 收到绝密级涉密载体，必须按照规定的范围组织阅读和使用，并对接触和知悉绝密级载体内容的人员作出文字记录。(三) 传阅绝密级文件、资料，应在专门的办公室内进行。在其他工作地点阅办绝密级文件、资料的，当日内应将绝密级文件、资料退回文件档案部门或保密室。(四

14、) 传达涉密事项时，凡不准记录、录音、录像的，传达者应事先说明。(五) 借阅涉密文件、资料，应严格按照省企业文件借阅规范执行。(六) 复制涉密载体，必须办理审批登记手续。1，各部门工作人员因工作需要复制涉密载体的，必须履行审批手续，填写省企业复制涉密载体审批表。2，复制秘密级载体，由处室以上领导审批，复制机密级载体，须经部门以上领导审批。绝密级密件原则上不得复制，确因工作原因需要复制的，必须征得原制作单位明确同意。3，复制的涉密载体，不得改变原件的密级、保密期限和知悉范围，并视同原件进行使用和管理。4，复制涉密载体，应在机关进行。未经部门以上领导批准，任何人不得到机关以外的其它场所复制涉密载体

15、。(七) 汇编涉密文件资料时，不得改变原件的密级、保密期限和知悉范围。确需改变的，应当征得原制发机关、单位同意。汇编而成的涉密载体，应当按其中最高密级、最长保密期限进行标志和管理。(八) 摘录、引用国家秘密内容的涉密载体，应当按原件的密级、保密期限和知悉范围进行管理。(九) 任何人不得私自摘抄、收藏涉密载体。因工作需要并经部门领导批准而收集、积累的资料，应记在专用保密手册内，并妥善保管。(十) 因工作需要携带涉密载体外出􀓔应当符合下列要求。1，携带人必须采取保密措施，使涉密载体始终处于有效的控制之下。2，携带绝密级载体须经部门主管以上领导批准，并有两人以上同行。3，参加涉外活

16、动不得携带涉密载体，确实需要携带的，要经本部门领导批准，并采取严格的保密措施。4，禁止携带绝密级载体参加涉外活动。5，严禁携带涉密载体游览、参观、探亲、访友和出入公共场所。(十一) 禁止将绝密级载体携带出境。确因工作需要携带机密级、秘密级涉密载体出境的，承办人员应按照省企业携带国家秘密载体出国(境)审批流程填写省企业携带国家秘密载体出国(境)审批表，在履行保密审查审批手续后，到保密工作部门申办携带国家秘密载体出境免检信及免检手续。(十二) 携带涉密笔记本电脑及其涉密磁介质出国(境)，按照省企业办公自动化设备保密管理办法的相关规定办理。(十三) 向国家综合管理部门或军方主管机关提交“型号”或“工

17、程”涉密载体的，除按照省企业的管理规定执行外，还要严格按照国家有关“型号”或“工程”的保密管理办法执行。(十四) 在对外交往与合作中，需向外方提供属于机密级、秘密级国家秘密载体，必须由本部门领导审核后报省企业主管保密工作的领导批准。经批准可提供的涉密载体，还须严格办理交接手续。(十五) 存储涉密信息应使用保密工作部门统一配发并作密级标识的移动硬盘或光盘、软盘，移动硬盘均需经过技术处理和身份注册。(十六) 禁止在闪存(U 盘)中长期存储涉密信息，应随用随删除。(十七) 各部门使用和留存的涉密光盘、录像带、录音带、数码照像机的记忆棒及存储卡等涉密载体，必须在本部门保密室登记备案。(十八) 禁止在涉

18、密计算机和涉密计算机系统上使用未经保密工作部门注册、登记的移动硬盘、闪存(U 盘)和软盘、光盘、记忆棒及存储卡等。第十二条 涉密载体的保存(一) 保存涉密载体应当选择安全保密的场所和部位，并配备必要的保密设备。存放涉密载体的保密设备是指带密码锁的铁皮柜、电子密码文件柜和保险柜。(二) 存放机密级以下涉密载体的电子密码柜的密码设置不得少于8位数字，存放绝密级载体电子密码柜的密码设置不得少于12位数字。保险柜的钥匙和密码锁密码须由两名工作人员分别掌握，不得由同一个人兼管。(三) 工作人员离开办公场所、下班后、节假日，要将涉密载体存放在保密设备里。(四) 机关文件档案部门和各部门保密室要经常或定期组

19、织核对、清查当年收发的涉密载体􀓔督促各部门和工作人员及时核对和清退，发现涉密载体下落不明，要及时报告有关领导和保密工作部门。(五) 按照规定应当清退的各种涉密载体要及时如数清退，不得自行销毁。(六) 离岗离职人员，应将保管的涉密载体全部清退，并办理移交手续，经本部门领导和保密工作部门签字后，人事部门方可办理有关手续。(七) 部门被撤消或合并的􀓔应将涉密载体移交给承担其原职能的单位或部门，并履行登记、签收手续。第十三条 涉密磁介质的维修(一) 涉密硬盘、软盘、光盘发生故障􀓔应送交信息化科进行检查、维修。信息化科不能现场维修的，可填写省企业携带

20、涉密载体外出维修审批表，经保密部门同意后送国家保密机关指定的涉密数据恢复中心进行修理和恢复数据。严禁个人擅自带出机关进行维修。(二) 涉密硬盘、软盘经国家涉密数据恢复中心鉴定不可修复的􀓔应交保密部门予以销毁。(三) 涉密录像带、录音带、光盘、数码照相机记忆棒及存储卡发生故障需要维的,应送党群工作部门或宣传部门指定的维修地点维修。第十四条 涉密载体的销毁注销和销毁文件,除应严格执行省企业文件注销规范外􀓔还应执行以下规定。(一) 归档涉密载体的销毁工作由文件档案部门和各部门保密室负责组织。(二) 销毁涉密载体必须办理审批、登记手续。销毁机密级以下载体，由处室领导

21、审批，两人以上签字，登记造册。(三) 销毁绝密级载体，必须由部门领导审批，要逐份逐页核对，并有两人以上签字，登记造册。(四) 个人利用文件粉碎机粉碎涉密资料，也应作出文字记载。(五) 拟销毁的涉密载体，由保密部门统一组织，集中押送到国家保密机关认定的涉密载体回收销毁中心进行销毁。(六) 严禁将涉密载体作为废品出售。第十五条 密码电报要严格管理，在传递、阅办、保管等各环节中，应严格执行保密规定。坚持“密来密复”的原则，严禁密来明复。第十六条 用于记录涉密载体收发、使用、清退、销毁的登记簿，应当指定专人妥善保管，保管期限不少于10 年。第十七条 各部门及其保密员要加强对本部门涉密载体管理、使用情况

22、的检查。第十八条 对违反本办法造成泄密隐患的责任部门，保密工作部门将对存在隐患的部门发出限期整改通知书，该部门在接到通知后，须按限定日期提出整改方案和措施，消除泄密隐患，并向保密工作部门写出书面报告。对逾期不作整改的部门，将给与通报批评，直至追究部门主管领导的责任。第十九条 对发生违反本办法有关规定的责任人，将视情节给与批评教育、责令检查、扣发保密补贴直至给予行政处分的处罚。第二十条 机关工作人员造成涉密载体丢失或下落不明，绝密级10日之内，机密级、秘密级60日之内查无下落的，应按泄密事件处理。第二十一条 省企业工作人员不论由于何种原因，发生涉密文件、资料、计算机(含笔记本电脑)、移动硬盘、闪

23、存(U 盘)、光盘、录像带、录音带等丢失或被盗事件、案件，有案发现场的要立即向当地公安机关报案，并采取补救措施，及时进行查找。同时还须及时报告本部门领导和保密工作部门。第二十二条 对丢失涉密载体拖延报告时间、隐瞒不报、弄虚作假的责任部门和当事人，将作为严重情节从严处理。第二十三条 对及时报告、积极查找、认识深刻、态度端正的责任部门和人员，可作为从轻情节酌情减轻处罚。4. 设备标识管理制度为了统一和规范各企业各部门计算机、打印机、网络设备、扫描仪、存储介质的标签标识，特制定本办法。第一条 本办法适用于企业的计算机、打印机、网络设备、扫描仪、存储介质等设备。第二条企业所有计算机、打印机、网络设备、

24、扫描仪、存储介质必须由各部门粘贴标签。第三条 计算机、打印机、网络设备和扫描仪采用相同形式的标签，存储介质中光盘、软盘、移动硬盘采用相同形式的标签。第四条 计算机、打印机、网络设备、扫描仪的标签中包含，部门名称、密级、编号、使用人、责任人、日期以及集团中文名称。第五条 U 盘的标签包含，编号和密级。第六条 计算机、打印机、网络设备、扫描仪和存储介质的标签统一由信息化科发放，各部门和使用人须爱护标签，不得私自撕毁和涂改。第七条 在不影响使用前提下，各种标签必须粘贴于设备上明显的地方。第八条 如计算机、打印机、网络设备、扫描仪和存储介质的变更涉及到标签变更必须由部门进行设备台帐调整并到信息化科备案

25、。由信息化科发放新的设备标签。第九条 本办法由信息中心负责解释。5. 计算机病毒防治管理制度为加强企业计算机信息系统病毒防治管理，保护网络运行安全，根据国家计算机病毒防治管理办法等相关法规制定本制度。第一条 各级企业计算机信息系统运维机构指定专人负责计算机病毒防治管理和技术培训工作。第二条 企业计算机信息系统统一采用通过公安部认证的正版防病毒软件，包括桌面防病毒软件、服务器防病毒软件和防病毒网关，指定专人负责防病毒系统的运行、监控和管理。第三条 所有用户不得制作计算机病毒，不得有下列传播计算机病毒的行为。1) 故意输入计算机病毒，危害网络运行安全。2) 向他人提供含有计算机病毒的文件、软件、媒

26、体。3) 传播带有计算机病毒的邮件。4) 销售、出租、附赠、转借含有计算机病毒的媒体。5) 其他传播计算机病毒的行为。第四条 防病毒软件和病毒库的升级企业计算机信息系统统一安装防病毒系统软件。病毒库升级办法，计算机信息系统运维机构每天检查防病毒软件及病毒库的版本，专人负责及时更新，各接入用户从内网指定位置定期下载更新软件及病毒库。第五条 各级企业计算机信息系统运维机构若发现疑似病毒或有防病毒系统不能清除的新生病毒，须立即上报有关部门并及时联系防病毒系统制造商予以解决。第六条 企业计算机信息系统接入用户要严格执行国家相关规定，并遵守下列规定。1) 对外来文件须先行杀毒方可接入。2) 定期检测、清

27、除系统中的病毒并作好相关记录􀓔遇到问题及时上报省企业计算机信息系统运维机构。3) 对重要文件、数据、资料定期备份。4) 对因病毒引起的系统瘫痪、程序和数据严重毁坏等重大事故应及时向省企业计算机信息系统运维机构报告并保护好现场，5) 严禁擅自改变己部署的防病毒系统。第七条 对违反上述规定造成严重后果的个人和单位要严肃处理。6. 应急处理制度第一条 成立应急指挥中心，负责紧急事件的处理。第二条 规定统一的应急预案框架，在框架的指导下制定不同事件的应急预案，应急预案框架应包括启动应急预案的条件、应急处理流程、系统恢复流程和事后教育和培训等内容。第三条 从人力、设备、技术和财务等方面

28、确保应急预案的执行有足够的资源保障。第四条 对系统相关的人员进行培训使之了解如何及何时使用应急预案中的控制手段及恢复策略，对应急预案的培训至少每年举办一次。第五条 对应急预案定期演练􀓔根据不同的应急恢复内容，􀓔确定演练的周期。7. 灾难恢复制度第一条 规定备份信息的备份方式(如增量备份或全备份等)、备份频度(如每日或每周等)、存储介质、保存期等。第二条 根据数据的重要性和数据对系统运行的影响，制定数据的备份策略和恢复策略，备份策略应指明备份数据的放置场所、文件命名规则、介质替换频率和将数据离站运输的方法。第三条 指定相应的负责人定期维护和检查备份及冗余设备的

29、状况，确保需要接入系统时能够正常运行。第四条根据系统级备份所采用的方式和产品，建立备份及冗余设备的安装、配置、肩动、操作及维护过程控制的程序，记录设备运行过程状况，所有文件和记录应妥善保存。第五条 定期执行恢复程序，检查和测试备份介质的有效性，确保可以在恢复程序规定的时间内完成备份的恢复。8. 监督检查制度第一条 由安全管理人员定期进行安全检查，检查内容包括用户账号情况、系统漏洞情况、系统安全情况等。第二条 由安全管理机构组织相关人员定期进行全面安全检查，检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等。第三条 由安全管理机构组织相关人员定期分析、评审异常行为的审计记录，发现可疑行为，形成审计分析报告，并采取必要的应对措施。