【计算机】集团有限公司计算机信息系统安全保密管理办法(WORD11页)

集团有限公司计算机信息系统安全保密管理办法
0 目的
为加强集团有限公司（以下简称*局）计算机信息系统安全保密工作，结合实际，制定本办法。

1 适用范围
本办法适用于本部机关各部室、各分子公司、各驻外办事处、各直属项目部以及全体职工。

2 引用标准
2.1 《中华人民共和国计算机信息系统安全保护条例》
2.2 《计算机信息系统保密管理暂行规定》
3 术语
3.1 计算机信息系统：是指由计算机及其相关和配套的设备、设施构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。

计算机信息系统包括涉密计算机系统、非涉密计算机系统和联网的计算机、未联网的计算机(即计算机网络和单机)及其附属设备。

4 管理职责和权限
- 10 -
4.1 党委保密委员会办公室(以下简称保密办)负责九局计算机信息系统的保密管理工作。

主要职责是：
4.1.1 负责全公司计算机信息系统保密管理的指导、监督、检查和考核。

4.1.2 协助信息管理部门，负责查处造成计算机信息系统故障、损坏、数据丢失或涉密信息泄露事件。

4.1.3 负责九局本部机关计算机信息系统保密设备的审批、备案。

4.2 各单位保密主管领导对所属单位和人员在使用计算机信息系统过程中的保密工作负全责，分管领导负具体组织领导责任。

4.3 各单位、各部门对计算机信息系统安全保密工作实行“谁主管，谁负责”。

5. 管理内容与控制要求
5.1 涉密计算机信息系统管理
5.1.1 涉密系统保密
5.1.1.1 按照信息化建设与信息安全保障性建设“同步规划、同步建设”和“经费优先”的原则，在规划和建设计算机信息系统的同时，必须同步规划落实相应的安全保密设施。

5.1.1.2 涉密计算机信息系统中的安全保密产品原则上应选用通过国家保密主管部门指定的国产设备，只有在无相应国产设备时方可选用经国家主管部门批准的国外设备。

安全保密产品须具有自我保护能力。

涉密计算机信息系统的主要设备、软件、数据、电源等应
- 10 -
有备份，并具有在较短时间内恢复系统运行的能力。

5.1.1.3 涉密计算机信息系统不得直接或间接连入非涉密计算机信息系统及国际互联网，涉密计算机信息系统和非涉密计算机信息系统之间必须实行物理隔离，涉密计算机信息系统须由密码设备保障。

物理隔离的方式包括双机系统、单主板安全隔离计算机和网络安全隔离卡。

5.1.1.4 涉密计算机信息系统联网须采取身份鉴别、访问控制、完整性校验、审计跟踪、漏洞检测等技术措施。

a 涉密计算机信息系统须采取身份鉴别技术，防止非法访问。

身份鉴别须符合以下要求：
①涉及国家秘密的计算机信息系统，处理信息时须采用IC卡和口令进行身份鉴别，口令长度不得少于八个字符，口令更换周期不得长于一个月。

②涉及企业商业秘密的计算机信息系统，处理信息时须采用口令进行身份鉴别，口令长度不得少于六个字符，口令更换周期不得长于一个月。

③涉密计算机网络系统所使用的口令不得由用户产生，须由系统安全保密管理员集中产生分配给用户使用。

涉密计算机单机使用的口令由使用人产生。

口令更换须有记录。

④口令的组成要求复杂、不易猜测，须具备大小写英文字母、数字、特殊字符中两者及以上的组合。

⑤口令必须加密存储，并保证口令存放载体的物理安全；口令在
- 10 -
网络中必须加密传输。

b 涉密计算机网络系统的访问须按权限控制，不得进行越权操作，访问须按照用户类别控制。

c 涉及国家秘密计算机网络系统通信中须采用数字签名技术，以验证信息的完整性，防止信息被非法篡改、插入和删除。

d 涉密计算机网络系统须具有审计功能，能够对网络操作进行完整记录。

审计跟踪须符合以下要求：涉密系统须有详细的系统日志，记录每个用户的每次活动(访问时间、地址、数据、程序、设备等)以及系统出错和配置修改等信息；要保证审计日志的保密性和完整性，不得擅自更改、删除。

系统安全保密管理员须每月审查系统日志并作审查记录。

e 须采用国家主管部门批准使用的检测工具对系统进行安全保密性能检测，检测工具版本须及时更新，发现漏洞和隐患及时弥补。

f 涉密计算机信息系统的操作系统，须随版本更新及时进行系统升级、安装漏洞补丁。

5.1.1.5 涉密计算机信息系统的软硬件配置情况及涉密应用软件，不得进行公开学术交流，不得公开发表；涉密应用软件须采取身份鉴别、访问控制等措施保障信息安全保密。

5.1.2 涉密信息保密
5.1.2.1 涉密信息不得在非涉密计算机信息系统中存储、处理和传递。

5.1.2.2 涉密信息必须按照保密规定进行采集、存储、处理、传递、- 10 -
使用和销毁。

5.1.2.3 涉密计算机信息系统存储、处理、传递、输出的涉密信息须有相应的密级标识，密级标识不能与正文分离。

a 处于起草、设计、编辑、修改过程中的涉密文档、图表、图形、数据，在首页须有密级标识；图形页面无法标注密级标识的，须将密级标识标注在文件名称的后面。

b 涉密应用软件、数据文件，须将密级标识标注在文件或文件夹名称的后面；软件运行首页和数据视图首页均应标注密级，标注密级标识会影响系统正常运行的，可以只在文件或文件夹名称上标注。

c 加密文件夹中存储的涉密文档、图表、图形、数据等，必须有相应的密级标识。

5.1.3 涉密介质保密
5.1.3.1 存储涉密信息的介质(软盘、硬盘、U盘、光盘、磁带等)须按所存储信息的最高密级予以标注，并按相应密级管理。

5.1.3.2 存储过涉密信息的介质不能降低密级使用。

涉密介质不再使用时须采用物理或化学的方法彻底销毁。

5.1.3.3 存储过涉密信息的介质不得在非涉密计算机信息系统中使用。

5.1.3.4 存储过涉密信息的介质维修须保证所存储的涉密信息不被泄露。

5.1.3.5 涉密计算机信息系统通过打印、拷贝等方式输出的涉密资料，须按相应密级进行管理。

- 10 -
5.1.4 涉密场所保密
5.1.4.1 涉密计算机信息系统中心机房须符合国家标准和国家有关规定；中心机房须确定为保密要害部门。

5.1.4.2 涉及国家秘密计算机信息系统相关设备的电磁泄漏发射和传导泄漏发射须满足国家保密标准要求。

5.2 非涉密计算机信息系统管理
5.2.1 任何单位和个人不得利用国际联网的计算机信息系统从事危害国家安全和企业利益、泄露国家秘密和企业商业秘密等违法违纪活动；不得发布、谈论和传播涉及国家秘密、企业商业秘密信息。

当发现非涉密计算机信息系统、国际联网计算机信息网络中有涉及国家秘密、企业商业秘密信息时，须立即向保密办报告。

5.2.2 非涉密的计算机信息系统进行国际联网，必须采取有效的防病毒、防“黑客”等安全防范措施。

5.2.3 禁止从国际互联网上下载来历不明或与工作业务无关的软件、资料。

5.2.4 使用电子函件进行网上信息交流，须遵守保密规定，不得利用电子函件传递、转发或抄送国家秘密、企业商业秘密信息。

5.2.5 各单位对国际联网的计算机信息系统必须指定专人管理，按照“谁上网、谁负责”的原则，落实责任制，建立健全信息安全保密管理制度，履行上网登记手续。

5.2.6 在九局办公网站和互联网综合网站上发布信息，以九局和九局党委名义的，必须由主管或分管领导签发；以部门名义的，由该
- 10 -
部门负责人签发。

5.3涉密便携式计算机管理
5.3.1 便携式计算机的安全保密管理工作，坚持“计算机谁持有，安全保密谁负责”的原则，实行积极防范，既保守秘密又便利工作的方针。

5.3.2 涉密便携式计算机须采用身份鉴别方式，以防失控或丢失后涉密信息直接被窃取。

5.3.3 涉密便携式计算机处理的秘密信息，原则上存放在活动硬盘、U盘、软盘等移动存储介质中，与涉密便携式计算机分离保管。

5.3.4 携带涉密便携式计算机外出须实行审批备案制度。

未经批准不得将涉密便携式计算机带入公共场所和家中。

5.3.5 涉密便携式计算机存放须符合密品保密管理要求。

涉密便携式计算机须保存在保密文件柜。

5.3.6 涉密便携式计算机发生失控或丢失，须立即口头向保密办报告，并在发现后的24小时内，以书面形式报告基本情况。

5.4 计算机病毒防治管理
5.4.1 计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。

5.4.2 任何单位和个人不得制作和故意传播计算机病毒。

5.4.3 计算机信息系统必须使用具有计算机信息系统安全专用产品销售许可证的计算机病毒防治产品；计算机病毒防治产品须及时升
- 10 -
级；计算机网络系统须使用网络版的计算机病毒防治产品。

5.4.4 计算机信息系统不得安装和使用游戏、聊天、娱乐等与工作业务无关的软、硬件。

5.4.5 程序安装使用，从计算机信息网络上下载程序、数据，用介质交换信息，或者购置、维修、借入计算机设备时，必须进行计算机病毒检测，防止病毒对系统和数据的破坏。

5.4.6 计算机信息系统安全保密管理员和计算机使用人员要定期检测、清除计算机信息系统中的计算机病毒。

5.5 泄密事件处理
对违反国家法律、法规和九局保密规章制度，造成或有可能造成计算机信息系统故障、损坏、数据丢失或秘密泄露的，视情节轻重，对责任单位和直接责任人严肃处理，同时，追究相关领导责任；构成犯罪的，由国家司法机关按照有关法律规定追究法律责任。

对违规使用的计算机信息系统，责令其停止使用，限期整改，审查、验收合格后方可使用。

5.6 保密教育和管理
5.6.1 各单位要定期对相关人员进行计算机信息系统安全保密的法制教育和防范意识教育。

加强防范技能培训。

组织安全保密检查，对存在问题及时采取整改措施。

协助查处计算机信息系统的泄密隐患及事件。

5.6.2 各单位、各部门要明确计算机信息系统安全保密管理员，并进行日常保密管理工作。

- 10 -
5.6.3 各单位信息网络管理部门要确保计算机信息系统运行中的保密安全，发现重大隐患要及时整改，并将情况及时报保密办。

- 10 -
- 10 -。