《计算机信息系统保密管理制度》由会员分享,可在线阅读,更多相关《计算机信息系统保密管理制度(7页珍藏版)》请在金锄头文库上搜索。
1、- 1 -计算机信息保密管理制度文件发放范围:部门领导层、所有部门- 2 -【目的】明确各有关部门信息系统保密的职责,理顺相关业务流程,规范工作行为。【职责】1. 计算机中心职责1.1.部门计算机信息保密体系的建设,包括制度建设、计算机信息保密技术措施的实施、日常计算机信息保密体系运行情况的监督检查等。1.2.制定部门完善的计算机信息保密管理制度,并组织各部门执行,根据执行情况和我计算机信息安全状况进行及时修订完善。1.3.根据部门计算机信息安全现状,采取必要的技术手段,进行部门计算机信息安全系统建设,保障部门计算机信息安全。1.4日常组织各部门计算机管理员进行计算机信息安全现场检查,包括制度
2、执行情况、计算机操作人员网络行为、各种计算机系统安全情况等。2. 各部门职责2.1.监督检查本部门计算机涉密信息状况,具体执行部门 计算机信息保密管理制度,保障本部门计算机涉密信息处于可控状态。【内容】1计算机涉密信息日常管理机制1.1 计算机涉密信息采取归口管理,分级负责的原则,信息中心为计算机涉密信息归口管理部门,采取有效管理及技术措施将涉密信息控制在可控范围内。各部门正职、各部门信息安全员、计算机操作人员逐级负责。1.2 各部门正职(或负责本部门全面工作的人员)为本部门计算机信息安全第一负责人。负责本部门计算机信息安全全面管理工作。1.3 部门计算机信息安全第一负责人指派计算机管理员作为
3、本部门信息安全员,各部门信息安全员对本部门计算机涉密信息状况具有监督检查权,负责随机检查本部门计算机涉密信息管理及技术措施执行情况,发现涉密信息不安全因素及时上报部门正职(或主管本部门全面工作人员) ,同时组织整改。1.4 各部门信息安全员负责具体组织本部门涉密人员进行计算机涉密信息辨识,对计算机涉密信息进行分类,及时登记。1.5 各部门计算机操作人员须有高度的信息保密意识和责任感,计算机涉密信息的直接操作人员为直接涉密人员(如成本管理员、质量技术人员、生产管理人员等) ,须掌握必要的计算机安全知识。1.6 发现重大计算机涉密行为及漏洞,知情人须及时向部门正职(或代理部门全面工作人员)进行汇报
4、,各部门正职及时向公司相关领导汇报,以便最大限度挽回损失。- 3 -1.7 信息中心各片区信息管理员日常巡检中负责检查各部门计算机系统及操作人员网络行为,对于发现的信息安全隐患及时向计算机中心汇报,并提出通报处罚意见。1.8 信息中心定期组织进行公司各部门计算机涉密信息管理联合检查,对不符合保密要求的提出整改及通报处罚意见。对于较大信息安全隐患,制定整改措施,报部门领导审批。1.9 信息中心须不断了解业内先进计算机系统保密技术,通过配备必要的技术检查监管系统,不断实施改进我行计算机系统安全环境。2.计算机涉密信息的来源、日常存储、传送及销毁。2.1 计算机涉密信息的来源。2.1.1 涉密信息进
5、入计算机系统方式包括文档录入、移动存储设备拷贝存入、网络拷贝存入、现场仪器仪表自动采集、手工录入信息系统等等。2.2 计算机涉密信息的存储。2.2.1 各部门针对本部门各个涉密岗位工作特点,在本制度的规定的原则和条款基础上,制定本部门每种计算机涉密信息存储详细规定。各部门的规定须遵循存储权限清晰(要求控制在涉密人员范围内) ,方式明确(如硬盘存储,光盘存储等)不得随意拷贝存储、便于工作的原则。2.2.2 涉密文档文件(包括文字文档、影音文件、图片照片文件、压缩文件、动画演示文件等一切以文件方式存储的信息)须由本部门信息安全员定期统一刻录或打印,送交档案室归档存储。2.2.3 涉密电子文档文件在
6、归档前,操作人员须将其加密保存,不得交与未授权人员查阅处理。2.2.4 涉密电子文档文件操作人员须每周将定稿文档提交部门信息安全员归档保存,由本部门信息安全员定期交档案室归档。2.2.5 计算机涉密信息中所有涉密文档文件须加密保存,密码复杂度须符合字母加数字加特殊字符形式,长度最少六位。2.2.6 涉密信息系统数据库或裸设备等应用系统后台数据须由计算机中心系统管理人员备份存储,并定期刻录归档,其它任何人不得随意转出数据库系统数据。2.2.7 移动存储介质未经审批不得在部门主机上使用。2.2.8 涉密信息只能由本部门信息安全员按归档需要统一刻录归档,其他人员不得刻录或以任何方式拷贝储存。2.3
7、计算机涉密信息的传送。2.3.1 部门内部流转:各部门须为每种涉密信息流转制定严格的流转流程并培训,以保证计算机涉密信息严格控制在工作需要的涉密工作人员范围内流转。2.3.2 涉密信息外发:各部门须对本部门每种涉密信息制定严格的涉密信息外发审批流程,须经至少公司级领导审批通过方可外发。核心机密和重要机密需要外发的,须经公司总经理审批通过。2.3.3 涉密信息外发时,须与接收部门或个人约定保密协议,电子文档外发须留有屏幕截图等技术手段留下存根,移动存储介质或纸质文件等介质外发须有对方签字的存根或其它可供查证的存根,以便日后查证。- 4 -2.3.4 计算机涉密信息打印、复印、扫描须经审批。且打印
8、人员要严格按照审批的打印、复印份数,不得留有额外副本。过程由信息安全员监督。2.3.5 计算机涉密信息打印件须控制涉密人员范围内流转。若打印件需外发,须进行审批通过。2.3.6 各部门信息安全员负责涉密信息存储介质的管理,外来存储介质不得在公司计算机上使用。用于统一归档的存储介质(如移动硬盘、光盘、纸质打印复印件等)不得交与无浏览权限的人员查看浏览。2.4 计算机涉密信息的销毁2.4.1 计算机涉密信息直接操作人员为直接涉密人员,依照 2.2.3 条规定,每周将涉密信息归档后,即行在本机上将涉密信息彻底销毁删除。确因工作需要须在本机临时存储的,要严格加密存储。2.4.2 部门信息安全员负责对本
9、部门报废计算机上涉密信息进行销毁删除。2.4.3 各部门信息安全员负责监督涉密信息的销毁,确保不留有拷贝副本。3.计算机涉密信息权限管理 3.1 各部门依照本制度 2.3.1 条款要求,结合本部门涉密人员工作需要,制定计算机涉密信息流转流程。在流程制定过程中,要充分考虑各个环节的涉密人员权限。3.2 各部门信息安全员负责本部门计算机系统(包括所有操作系统及应用系统)账户管理,信息安全员须依据申请人的工作职责,授予其审批通过的系统权限。并登记。3.3 各部门计算机操作人员发生岗位变更、离岗离职等,部门信息安全员负责将系统账号及时进行权限变更及注销。管理权限在计算机中心的,及时申报信息中心系统管理
10、员进行权限变更及注销工作。3.4 各部门及档案室须建立归档的涉密信息查阅登记审批制度,对超权限又因工作需要确需查阅涉密信息的人员进行权限审核,审批通过并登记后方可浏览查阅。查阅人须对该涉密信息保密负责。对于未超权限需要查阅归档涉密信息的,仍需进行登记。4.计算机涉密人员管理4.1 计算机涉密人员施行登记备案制度,各部门建立涉密人员档案。4.2 当涉密人员发生内岗位变更,档案随人员调入调出变更更新。4.3 计算机涉密人员因离职等调出本部门,部门要进行涉密信息行为审计,具体核实是否有相关涉密资料被拷贝,个人办公涉密计算机上的涉密信息是否完整无缺等等,核实个人手上无部门涉密资料,并做好涉密工作交接,
11、方可签字放行。4.4 计算机信息涉密人员对计算机涉密信息有保密责任,不得将涉密信息公示给没有权限或未得审批人员。5.计算机的使用5.1 设备使用- 5 -5.1.1 离开办公区域,便携机及其他移动计算设备、存储设备应该存放在文件柜等安全的地方。5.1.2 须严格按照部门的配置实用计算机配件。禁止私自安装、使用声卡、音箱、MODEM、光驱、光盘、话筒、硬盘、移动硬盘、无线网卡、路由器、交换机等信息设备。5.2 存储介质5.2.1 涉密存储介质是指存储了涉密信息的硬盘、光盘、软盘、磁带、移动硬盘及 U 盘等。5.2.2 严禁在部门计算机上随意使用移动存储设备,因工作需要向存储介质上拷贝涉密信息时,
12、经部门负责人或公司授权人员批准。5.2.3 存有涉密信息的存储介质不得转借他人,不得带出工作区,下班后存放在本部门指定的柜中。5.2.4 需归档的涉密存储介质及时归档。5.2.5 各部门负责管理其使用的各类涉密存储介质,应当根据有关规定视同纸制文件,按相应文件进行分级管理,严格执行借阅、使用、保管及销毁制度。5.2.6 各种存储介质,未经允许或者未经管理员注册的计算机信息媒体或载体,禁止私自携带离开公司。在公司内计算机上使用移动存储介质必须向部门信息安全员借用专用的内网授权 USB 存储设备,信息安全员须进行详细的登记和使用记录,包括借用人、使用用途与使用时间等。5.2.7 公司因一些原因而暂
13、时不用的电子文档、电子数据应由使用部门统一汇总,形成较固定的存储形式(如刻录成 DVD) ,由使用部门封存后交公司档案室贴封保存,启用需经公司领导签字同意。这些电子文档、电子数据在原计算机中删除。5.3 笔记本电脑使用5.3.1、公司笔记本电脑公司公用、部门级使用、个人使用。5.3.2、对于个人使用的笔记本电脑由本人负责管理,明确“谁使用,谁负责”的原则,做好密笔记本电脑的保密管理工作,防止笔记本电脑失控或丢失后被破译。对于经常携带外出的笔记本电脑要采取保密措施。5.3.3、公用笔记本电脑中的保密信息必须在使用后立刻清理。5.3.4、部门负责人对本部门笔记本电脑的型号、配置、密级、责任人、使用
14、人、使用情况、去向等要清楚。5.3.5、严禁擅自将存储有公司保密信息的笔记本电脑带出办公场所。确因工作需要,必须携带时,需经主管领导审批。5.3.6、部门级笔记本电脑不得擅自借用,由于工作需要借用要经部门负责人批准,兼职信息安全员登记、备案,并对涉密信息进行处理。5.4 信息系统的和自动化控制系统维护与报废5.4.1 计算机等信息系统出现故障后应填写故障申请,由 IT 维护人员负责,严谨员工私自开启计算机机箱。5.4.2 禁止员工使用他人的计算机。公用计算机应指定专人管理,使用者应及时删除相关信息。- 6 -5.4.3 存有公司重要技术文档或经营管理文档的电脑和服务器应指定专人管理。5.4.4
15、 计算机使用人发生变更,应由资产管理部门提出申请,计算机中心对硬盘进行格式化和重装系统,计算机报废统一由计算机中心对硬盘进行低级格式化,以上操作应作记录并经双人复核。5.4.5 凡需外送修理的涉密设备,必须经主管领导批准,并将涉密信息进行不可恢复性删除处理后方可实施。5.4.6 涉密计算机的报废交主管领导监督专人负责定点销毁, 外卖时确保所有数据已经不可恢复,应有记录并经双人复核。6 网络连接和网络安全6.1 网络连接:IP 地址设置为手动设定方式,网络标准协议为 TCP/IP;严禁隐藏和伪造上网终端基本信息,严禁员工擅自更改 IP 地址,严禁员工安装启动公司标准协议以外的其他网络协议。6.1
16、.1 未经批准计算机一律不许接入公司局域网和互联网,如有特殊工作需求,须事先提出申请报主管领导批准后方可实施,在相关工作完成后撤掉网络。经过批准,在与外部网络直接连接时,必须与内部网络断开连接。要坚持“谁上网,谁负责”的原则,各部门由部门负责人负责严格审查上网机器资格工作,并报计算机中心开通。6.1.2 在与国际互联网相连的信息设备上不得存储、处理和传输任何涉密信息。6.1.3 未经批准,严禁私自设立拨号接入服务。严禁拨号到公司外部网络。6.2 网络使用安全6.2.1 禁止在公司网络上擅自设立各种形式的服务。如:Web,BBS,DHCP 等;6.2.2 禁止下载、制造、传播与工作无关的文件;6.2.3 未经批准,禁止使用 FTP 或 TFTP;6.2.4 登陆办公自动化软件在员工入职时,由部门申请,计算机中心统一分配。员工在工作岗位调动或离职时,应向部门移交各类权限及密码;授权用户应妥善保管用户名与密码,不得泄露给他人,因转借或泄漏密码出现违规行为,该授权用户需接受处罚。6.2.5 员工不得随意在网上建立共享目录,因工作需要建立的
