计算机和信息系统安全保密管理办法(标准版)
计算机保密管理制度
计算机保密管理制度第一章总则第一条为了保护计算机系统和数据安全,维护国家利益和社会公共利益,根据国家相关法律法规,制定本计算机保密管理制度。
第二条本制度适用于本单位所有计算机系统和数据的保密管理工作,适用于所有本单位工作人员。
第三条本制度的内容包括计算机系统的安全管理、数据传输与存储的安全管理、计算机使用与维护的安全管理和计算机网络的安全管理等。
第二章计算机系统的安全管理第四条本单位应制定计算机系统权限管理规定,对不同部门和岗位的工作人员分配不同的权限,确保信息的访问和使用仅限于特定人员;第五条本单位应定期备份计算机系统的数据,并将备份数据存储在安全可靠的地方,以备不时之需;第六条本单位应对计算机系统进行定期的安全检查,发现问题及时修复,确保计算机系统的正常运行;第七条本单位应建立计算机安全保护措施,包括但不限于防火墙、病毒查杀软件和入侵检测系统等。
第三章数据传输与存储的安全管理第八条本单位应建立加密通信机制,对数据传输进行加密,保障数据在传输过程中的安全;第九条本单位应建立合理的数据存储方案,确保数据存储在安全可靠的地方,并严格控制对数据的访问和使用;第十条本单位应对计算机系统进行及时的漏洞修补和安全更新,保证计算机系统的安全性;第十一条本单位应定期清理无用数据和临时文件,防止数据泄露和滥用。
第四章计算机使用与维护的安全管理第十二条本单位工作人员使用计算机应遵守使用规范,不得擅自安装非法软件和插件,不得私自进行硬件和软件的更改和升级;第十三条本单位应开展定期的计算机培训,提高工作人员对计算机使用和维护的安全意识和技能;第十四条本单位应建立计算机事故处理机制,及时应对计算机故障、数据丢失和网络攻击等问题;第十五条本单位应建立计算机维护记录,对计算机进行定期的维护和检修,确保计算机的正常运行和安全性。
第五章计算机网络的安全管理第十六条本单位应建立合理的网络拓扑结构,确保网络的安全和稳定运行;第十七条本单位应建立网络安全监测和预警机制,及时发现和应对网络攻击和异常行为;第十八条本单位应加强对网络设备和网络传输线路的保护,防止网络设备被非法侵入和破坏;第十九条本单位应建立网络访问控制机制,对外部网络访问进行合理的限制和控制;第二十条本单位应加强对网络信息的监控和审计,发现异常行为及时采取相应的措施。
信息安全保密管理制度(4篇)
信息安全保密管理制度第一章总则第一条为了加强对机构内部信息的保密管理,确保信息的安全性,促进信息资源的合理利用,提升机构的核心竞争力,制定本管理制度。
第二条本制度适用于本机构内部所有人员,包括全体员工、临时工、实习生和外包人员等。
第三条本制度的内容包括信息安全的目标与原则、责任分工与权限、信息资产的分类与评估、信息安全的管理措施、安全事件的监测与响应、信息安全的教育与培训、信息安全评审与监督、违反规定的处理等。
第四条机构应当建立信息安全保密管理制度的组织机构,明确各级负责人和各岗位人员的职责和权力。
第五条机构应当定期进行信息安全风险评估,及时发现和解决存在的风险问题,确保信息安全工作的顺利进行。
第二章信息安全的目标与原则第六条机构的信息安全目标是保护机构的信息资源安全,减少信息泄露和信息恶意篡改风险,提升机构的竞争能力和信誉度。
第七条信息安全管理的原则是保密性、完整性、可用性和责任原则。
第八条保密性原则是指机构要采取措施以确保信息不被未获授权的个人或组织所知悉和使用。
第九条完整性原则是指机构要采取措施以确保信息不被不正确或非授权的修改或篡改。
第十条可用性原则是指机构要采取措施以确保信息在需要时能够得到及时可靠地访问和使用。
第十一条责任原则是指机构要明确信息安全管理的责任分工,将信息安全工作纳入业务和绩效考核体系。
第三章责任分工与权限第十二条本机构设立信息安全保密委员会,由机构领导或其指派的负责人担任主任委员,其他相关部门负责人担任委员。
第十三条信息安全保密委员会的职责包括:(一)制定和修订信息安全保密管理制度;(二)组织实施信息安全风险评估;(三)制定和实施信息安全培训计划;(四)组织安全事件的监测与响应工作;(五)组织信息安全评审与监督;(六)协调相关部门间的信息安全工作。
第十四条本机构设立安全管理员,由机构内部专职人员担任,负责日常的信息安全管理工作,包括:(一)组织信息安全培训活动;(二)制定和实施信息安全管理措施;(三)监控和分析信息安全事件;(四)定期报告信息安全工作进展情况。
计算机网络安全和信息保密管理规定
计算机网络安全和信息保密管理规定1、为了保证公司计算机网络系统的稳定运行及网络数据的安全保密,维持安全可靠的计算机应用环境,特制定本规定。
2、凡使用公司计算机网络系统的员工都必须执行本规定。
3、在公司保密工作小组领导下,由办公室负责接入网络的安全保密管理工作。
办公室落实具体技术防范措施,负责设备、信息系统的安装调试和维护,并对用户指派信息维护员专门负责各部门的信息安全维护工作。
4、对接入公司网络系统的计算机及设备,必须符合一下规定:1)凡接入公司网络系统的计算机,只在需要使用光驱和打印机的网络管理员计算机上安装相关设备,其他计算机不得安装和使用光驱、软驱、USB卡、磁盘、磁带、打印机等输入、输出端口一律屏蔽和禁用。
2)凡接入公司办公网络的计算机,禁止使用任何网络设备,将计算机与国际互联网联结。
3)各部门的计算机均不得与其它办公系统相联结,如有信息传输的需要,可使用软盘、光盘、USB盘或活动硬盘等数据介质盘片,由网络管理员在装有相应外设的计算机上进行数据传输。
4)在未经许可的情况下,不得擅自对处计算机及其相关设备的硬件部分进行修改、改装或拆卸配置,包括添加光驱、软驱,挂接硬盘等读写设备,以及增加串口或并口外围设备,如扫描仪、打印机等。
4)非我公司的计算机及任何外设,不得接入我公司的网络系统。
5)严禁私自开启计算机机箱封条或机箱锁。
5、凡使用公司网络系统的员工,必须遵守以下规定;1)未经批准,严禁非本公司工作人员使用除计算机及任何相关设备。
2)对新上网使用办公网络系统的员工,由办公室负责上岗前的计算机网络设备系统安全及信息保密的技术培训工作。
3)公司计算机网络系统中凡属于国家保密资料或商业秘密的任何文件、图形等数据(如地形图等),未经批准,任何人严禁将其以任何形式(如数据形式:Internet、软盘、光盘、硬磁盘等;硬拷贝形式:图纸打印、复印、照片等)复制、传输或对外提供。
4)任何员工均不得超越权限侵入网络中未开放的信息,不得擅自修改入库数据资料和修改他人数据资料。
涉密计算机及信息系统安全和保密管理办法
涉密计算机及信息系统安全和保密管理方法涉密计算机及信息系统安全和保密管理方法一、总则为加强涉密计算机及信息系统的安全和保密管理,提高信息系统的安全和保密保障水平,依据有关法规和规定,结合本单位实际,订立本方法。
二、适用范围本方法适用于本单位使用的全部涉密计算机及信息系统的安全和保密管理。
三、保密责任本单位全部使用涉密计算机及信息系统的人员,都有保护国家隐秘、敬重学问产权和个人隐私的法律责任和职业道德。
本单位各级领导干部要带头做好保密工作,认真履行保密责任。
四、安全防范1、物理安全防范:涉密计算机及信息系统必需放置在专门的安全室内,保证独立的空间、电力和空调设施。
安全室内不得放置任何非涉密计算机以及用于外网的计算机设备,如需上网,必需设立独立的网络设备,经过严格的访问掌控。
2、网络安全防范:涉密计算机及信息系统必需与外网进行物理隔离,通过安全网关、防火墙等技术手段建立安全的网络环境。
网络设备必需经过密级检查和安装调试后投入使用,定期检查网络设备配置和漏洞,并适时更新补丁,做好安全审计。
3、组织安全防范:建立涉密计算机及信息系统安全保密管理制度,完善涉密信息取得、存储、传输和处理的事项和流程,健全管理体系和标准,保障信息安全和保密。
五、保密管理1、密级管理:本单位依据需要将涉密计算机及信息系统分为不同级别,其中涉密信息的级别应相应确定,设立专门的保密责任人负责各自级别的保密管理工作。
2、访问掌控:实行严格的访问掌控制度,全部使用涉密计算机及信息系统的人员必需先经过严格的安全审查,并签订保密协议后才能进入安全室,使用计算机及信息系统。
3、密码管理:全部用户必需使用强密码,定期更改密码,并保密本身的密码。
全部用户必需禁止将本身的密码泄漏给他人。
4、安全审计:对涉密计算机及信息系统进行定期的安全审计,包括系统漏洞的检查、身份认证的管理、登陆日志的审查等。
审计结果和处理情况要适时报告有关领导,适时发觉和解决安全问题。
信息安全等级保护管理办法(国家)
中华人民共和国计算机信息系统安全保护条例中华人民共和国国务院令第147号现发布《中华人民共和国计算机信息系统安全保护条例》,自发布之日起施行。
总理李鹏 1994年2月18日。
基本信息(1994年2月18日中华人民共和国国务院令第147号发布根据2011年1月8日《国务院关于废止和修改部分行政法规的决定》修订)目录第一章总则第二章安全保护制度第三章安全监督第四章法律责任第五章附则条例内容第一章总则第一条为了保护计算机信息系统的安全,促进计算机的应用和发展,保障社会主义现代化建设页脚内容1的顺利进行,制定本条例。
第二条本条例所称的计算机信息系统,是指由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。
第三条计算机信息系统的安全保护,应当保障计算机及其相关的和配套的设备、设施(含网络)的安全,运行环境的安全,保障信息的安全,保障计算机功能的正常发挥,以维护计算机信息系统的安全运行。
第四条计算机信息系统的安全保护工作,重点维护国家事务、经济建设、国防建设、尖端科学技术等重要领域的计算机信息系统的安全。
第五条中华人民共和国境内的计算机信息系统的安全保护,适用本条例。
未联网的微型计算机的安全保护办法,另行制定。
第六条公安部主管全国计算机信息系统安全保护工作。
国家安全部、国家保密局和国务院其他有关部门,在国务院规定的职责范围内做好计算机信息系统安全保护的有关工作。
第七条任何组织或者个人,不得利用计算机信息系统从事危害国家利益、集体利益和公民合法利益的活动,不得危害计算机信息系统的安全。
[2]第二章安全保护制度第八条计算机信息系统的建设和应用,应当遵守法律、行政法规和国家其他有关规定。
第九条计算机信息系统实行安全等级保护。
安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。
第十条计算机机房应当符合国家标准和国家有关规定。
涉密计算机及信息系统安全和保密管理办法(标准版)
( 安全管理 )单位:_________________________姓名:_________________________日期:_________________________精品文档 / Word文档 / 文字可改涉密计算机及信息系统安全和保密管理办法(标准版)Safety management is an important part of production management. Safety and production are inthe implementation process涉密计算机及信息系统安全和保密管理办法(标准版)第一条为加强公司涉密计算机及涉密计算机信息系统的安全保密管理,根据国家有关保密法规和铁道部的有关规定,结合哈佳铁路客运专线有限责任公司(以下简称“公司”)实际,制定本办法。
第二条本办法所称的涉密计算机,是指专门用于处理或存储国家秘密信息、收发文电、连接互联网的台式计算机;涉密计算机信息系统,是指专门用于处理国家秘密信息的计算机信息系统。
第三条为确保国家秘密、公司工程项目相关技术资料的安全,公司各部门或个人不得使用便携式计算机处理国家秘密信息。
第四条公司设保密领导小组,具体负责公司内部的涉密计算机及信息系统的安全保密管理工作,日常保密管理、监督职责如下:(一)审查、选定专人分别作为涉密计算机信息及信息系统的系统管理员、安全保密管理员和密钥口令管理员,要求职责清晰,分工明确。
(二)定期对涉密计算机、涉密计算机信息系统以及涉密移动存储介质的使用、保管情况进行安全保密检查,及时消除隐患。
(三)加强对有关人员的安全保密教育,建立健全保密规章制度,完善各项保密防范措施。
第五条涉密计算机日常管理人员是涉密计算机安全保密的责任人,其日常保密管理监督职责如下:(一)对计算机及软件安装情况进行登记备案,定期核查。
(二)设置开机口令,长度在8个字符以上,并定期更换,防止他人盗用和破译。
《信息安全等级保护管理办法》(全文)
7月24日,公安部网站发布四部门联合制定的《信息安全等级保护管理办法》,全文如下:第一章总则第一条为规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规,制定本办法。
第二条国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理.第三条公安机关负责信息安全等级保护工作的监督、检查、指导.国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。
国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。
涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。
国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。
第四条信息系统主管部门应当依照本办法及相关标准规范,督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作.第五条信息系统的运营、使用单位应当依照本办法及其相关标准规范,履行信息安全等级保护的义务和责任。
第二章等级划分与保护第六条国家信息安全等级保护坚持自主定级、自主保护的原则。
信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。
第七条信息系统的安全保护等级分为以下五级:第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益.第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全.第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
计算机及网络保密管理规定
计算机及网络保密管理规定一、加强计算机及其网络的保密管理,确保计算机及其网络处理信息的安全,根据《中华人民共和国保守国家秘密法》和国家保密局的有关文件精神,制定本规定。
二、计算机及其网络的保密的管理实行领导责任制。
单位应明确一位分管领导负责本单位计算机及其网络的保密管理工作,并确定各处(室)处长(主任)为本处(室)计算机爱理的第一责任人;保密工作机构负责对计算机网络安全管理员、系统管理员负责计算机及其网络安全保密技术措施的落实和日常管理工作。
三、建立涉密计算机登记备案制度。
各单位保密委员会应根据实际用途和所处进理信息的密级,将计算机分为涉密计算机和非涉密计算机,实行统一编号管理,明确专人负责,做到专机专用,并在计算机显示器的左上方贴相应的密级标识。
四、建设处理涉密信息的计算机网络,应选择经国家保密局批准并取得《涉及国家秘密的计算机信息系统集成资质证书》的集成单位(公司)承建。
五、处理涉密信息的计算机网络建成后,应根据国家有关规定,报保密工作部门进行保密审批。
未经保密审批的网络,不得处理国家秘密信息。
六、计算机保密管理必须做到“上网不涉密,涉密不上网”。
涉密计算机可处理国家秘密信息和内部工作信息,但不得与国际互联网或其他非涉密网络相连,必须实行于非涉密信息的搜索、查阅,但不得处理,传递、储存国家秘密信息。
七、建立健全上网信息的保密审查批制度。
各单位应根据国家保密法规,按照一定的工作程序,建立健全上网信息保密审查批制度,并落实上网信息保密审批领导责任制。
凡向国际互联网站点提供或发布的信息,必须经过保密审查批准。
八、涉密计算机要设置开机密码和屏幕保护密码。
处理秘密级信息的计算机及其网络,设置的开机密码或系统口令长度不少于八个字符,更换周期不长于一个月;处理机密级信息的计算机及其网络,设置的开机密码或系统口令长度不少于十个字符,更换周期不长一周;处理绝密级信息的计算机及其网络,应当采用一次性口令或生理特征等强认证措施。
涉密计算机及信息系统安全和保密管理办法
涉密计算机及信息系统安全和保密管理办法一、总则第一条为了加强涉密计算机及信息系统的安全和保密管理,保障国家秘密的安全,根据《中华人民共和国保守国家秘密法》等相关法律法规,结合本单位实际情况,制定本办法。
第二条本办法适用于本单位内所有使用、管理涉密计算机及信息系统的部门和个人。
第三条涉密计算机及信息系统的安全和保密管理,应当遵循“突出重点、积极防范、确保安全、便利工作”的原则,实行分级保护,强化管理措施,落实责任制度。
二、涉密计算机及信息系统的确定与分类第四条本单位根据处理信息的最高密级,将涉密计算机及信息系统分为绝密级、机密级、秘密级。
第五条确定涉密计算机及信息系统的密级,应当按照国家有关规定,由本单位保密工作领导小组进行审定。
第六条涉密计算机及信息系统的密级一经确定,应当在其显著位置标明相应的密级标识。
三、涉密计算机及信息系统的建设与管理第七条涉密计算机及信息系统的建设应当符合国家有关保密规定和标准,具备相应的安全保密防护措施。
第八条建设涉密计算机及信息系统,应当选用国产设备和软件,并进行安全保密检测和评估。
第九条涉密计算机及信息系统的运行维护应当由本单位内部专门人员负责,严禁外部人员进行操作和维护。
第十条对涉密计算机及信息系统进行设备更新、软件升级、系统改造等,应当事先进行安全保密评估和审批。
四、涉密计算机及信息系统的使用第十一条使用者应当经过保密培训,并签订保密承诺书,明确保密责任和义务。
第十二条涉密计算机应当设定开机密码、登录密码等,密码应当定期更换,且复杂度符合保密要求。
第十三条严禁在涉密计算机上使用非涉密存储介质,严禁在非涉密计算机上使用涉密存储介质。
第十四条涉密计算机及信息系统应当与互联网及其他公共信息网络实行物理隔离,严禁连接无线网络。
第十五条涉密计算机及信息系统中的信息应当按照相应密级进行存储、处理和传输,不得擅自降低密级。
第十六条打印、复印涉密文件资料应当在专门的涉密设备上进行,并严格控制知悉范围。
计算机信息系统保密管理规定范本
计算机信息系统保密管理规定范本一、总则1. 为了保护计算机信息系统的安全,防止未经授权的访问、使用、披露和篡改等行为,制定本规定。
2. 本规定适用于本公司及其所有部门、员工和外部合作伙伴等与本公司相关的范围。
二、基本原则1. 保密责任原则:所有参与计算机信息系统的人员都应承担保密责任,不得泄露任何机密信息。
2. 严格访问控制原则:未经授权的人员不得访问计算机信息系统,且已授权人员仅限于其工作职责范围内的访问。
3. 用途限制原则:计算机信息系统仅用于本公司业务相关的目的,任何非法、违规的使用行为均禁止。
4. 安全审计原则:对计算机信息系统进行定期安全审计,及时发现和解决潜在的安全问题。
5. 安全教育培训原则:对参与计算机信息系统的人员进行安全教育培训,提高其保密意识和安全知识。
三、保密管理措施1. 访问控制措施(1) 分配唯一账户和密码给计算机信息系统的每个授权人员。
(2) 设置严格的权限控制,根据不同职责和需求,给予不同人员不同的访问权限。
(3) 定期更新账户密码,并要求授权人员采用强密码规范。
(4) 禁止共享账户和密码,严禁借用他人账户进行操作。
(5) 使用双因素认证或其他更加安全的认证方式,提高系统的访问控制能力。
2. 数据加密措施(1) 对计算机信息系统中的重要数据进行加密,确保数据在传输和存储过程中不被非法获取。
(2) 对敏感信息进行脱敏处理,确保敏感信息在系统中的使用不暴露真实内容。
(3) 采用强加密算法和安全协议,保障数据传输的安全性。
3. 安全审计措施(1) 定期对计算机信息系统进行安全审计,发现潜在漏洞和安全威胁,并及时采取措施解决。
(2) 监控计算机信息系统的登录、操作和访问记录,排查异常操作和异常行为。
4. 安全教育培训措施(1) 定期组织计算机信息系统安全知识培训,提高员工的保密意识和安全素养。
(2) 向员工普及信息安全的基本知识,包括密码安全、网络钓鱼等常见安全威胁。
(3) 强调员工在使用计算机信息系统时的责任和义务,警示员工遵守规定,确保安全使用。
信息安全等级保护管理办法(精)
信息安全等级保护管理办法第一章总则第一条为规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规,制定本办法。
第二条国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。
第三条公安机关负责信息安全等级保护工作的监督、检查、指导。
国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。
国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。
涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。
国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。
第四条信息系统主管部门应当依照本办法及相关标准规范,督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。
第五条信息系统的运营、使用单位应当依照本办法及其相关标准规范,履行信息安全等级保护的义务和责任。
第二章等级划分与保护第六条国家信息安全等级保护坚持自主定级、自主保护的原则。
信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。
第七条信息系统的安全保护等级分为以下五级:第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
信息安全保密管理制度范本(5篇)
信息安全保密管理制度范本第一条河源市教育信息网是利用先进实用的计算机技术和网络通讯技术,实现全市学校联网,为保证我校计算机网络系统的安全运行,更好地为教学科研和管理服务,根据《中华人民共和国计算机信息系统国际联网保密管理工作暂行规定》,制定本办法。
第二条本市联入的所有教育单位和个人用户以及拥有电子邮件信箱的单位和个人,都必须执行本办法和国家的有关法律法规,严格执行安全保密制度,并对所提供信息负责。
严禁利用国际联网进行危害国家安全、泄露国家秘密、损害集体利益和他人利益的活动及其它一些违法犯罪活动。
第三条建立河源市教育系统计算机信息系统国际联网保密工作管理领导小组,统一领导全市教育系统计算机国际联网的安全保密管理工作,其主要任务是:组织贯彻落实上级有关计算机信息及互联网的保密法律、规章、组织宣传教育、制订保密制度及防范措施、依法进行保密检查,查处有关计算机信息系统的泄密问题。
第四条下列内容不得进行国际联网传输或存储。
党和国家以及地方党委、政府的秘密文件、资料,中央和地方党政领导人未公开发表的讲话,各种内部的文件、资料及相关的信息;国家委托的攻关科研秘密信息;获省、部级以上奖的科学技术秘密信息;特殊渠道掌握的科技资料及相关信息;与境外合作中经审查、批准合法向对方提供的秘密信息或内部信息,双方共同约定不对第三方公开的信息;不宜公开或可能损害学校集体利益的信息;非本单位产生的秘密及其他不宜公开的内部信息。
第五条本局资源进行国际联网的保密审查实行分口把关,各单位对上网的信息应事先根据业务归口进行保密审查(私人邮件除外),经同意后方可上网。
第六条涉及国家秘密的计算机信息系统不得进入国际联网,并采取与国际联网完全隔离的保密技术措施。
本局内部使用的计算机信息系统,要从管好科技秘密、工作秘密、维护教育局的利益出发,采取保密防范措施。
第七条网络中心负责运用技术设备和手段,防范联网运行中的泄密行为及危害国家安全的违法犯罪行为,和损害教育系统的集体利益。
《信息安全等级保护管理办法》(全文)
7月24日,公安部网站发布四部门联合制定的《信息安全等级保护管理办法》,全文如下:第一章总则第一条为规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规,制定本办法。
第二条国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。
第三条公安机关负责信息安全等级保护工作的监督、检查、指导。
国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。
国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。
涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。
国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。
第四条信息系统主管部门应当依照本办法及相关标准规范,督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。
第五条信息系统的运营、使用单位应当依照本办法及其相关标准规范,履行信息安全等级保护的义务和责任。
第二章等级划分与保护第六条国家信息安全等级保护坚持自主定级、自主保护的原则。
信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。
第七条信息系统的安全保护等级分为以下五级:第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
关于加强党政机关计算机信息系统安全和保密管理的若干规定
关于加强党政机关计算机信息系统安全和保密管理的若干规定为加强党政机关计算机信息系统安全和保密管理,保障计算机信息系统和国家秘密的安全,现依据国家有关法律法规和政策,针对当前网络安全保密管理工作存在的突出问题和薄弱环节,制定本规定。
一、按照“谁主管谁负责、谁运行谁负责”的原则,各部门在其职责范围内,负责本单位计算机信息系统的安全和保密管理。
二、各级党政机关应当明确一名主要领导负责计算机信息系统安全和保密工作,指定一个工作机构具体负责计算机信息系统安全和保密综合管理。
各部门内设机构应当指定一名信息安全保密员。
三、计算机信息系统应当按照国家信息安全等级保护的要求实行分类分级管理。
四、涉及国家秘密的信息系统(以下简称涉密信息系统)应当按照国家保密法规和标准管理。
涉密信息系统的建设,应当与保密设施的建设同步进行,经保密工作部门审批后,才能投入使用。
五、涉及国家秘密的信息(以下简称涉密信息)应当在涉密信息系统中处理。
非涉密信息系统不得处理涉密信息。
涉密信息系统必须与互联网及其他公共信息网络实行物理隔离。
六、要加强对与互联网联接的信息网络的管理,采取有效措施,防止违规接入,防范外部攻击,并留存互联网访问日志。
七、计算机的使用管理应当符合下列要求:(一)对计算机及软件安装情况进行登记备案,定期核查;(二)设置开机口令,长度不得少于8个字符,并定期更换,防止口令被盗;(三)安装防病毒等安全防护软件,并及时进行升级;及时更新操作系统补丁程序;(四)不得安装、运行、使用与工作无关的软件;(五)严禁同一计算机既上互联网又处理涉密信息;(六)严禁使用含有无线网卡、无线鼠标、无线键盘等具有无线互联功能的设备处理涉密信息;(七)严禁将涉密计算机带到与工作无关的场所。
八、移动存储设备的使用管理应当符合下列要求:(一)实行登记管理;(二)移动存储设备不得在涉密信息系统和非涉密信息系统间交叉使用,涉密移动存储设备不得在非涉密信息系统中使用;(三)移动存储设备在接入本单位计算机信息系统之前,应当查杀病毒、木马等恶意代码;(四)鼓励采用密码技术等对移动存储设备中的信息进行保护;(五)严禁将涉密存储设备带到与工作无关的场所。
计算机信息系统保密管理规定
计算机信息系统保密管理规定计算机信息系统保密管理是现代社会中非常重要的一个方面,针对这一问题,各个国家和组织都制定了相应的保密管理规定。
下面将介绍计算机信息系统保密管理规定的相关内容。
1. 保密目的和原则计算机信息系统保密管理的目的是为了保护计算机信息系统的安全,防止信息泄漏、损坏和不当使用。
保密原则包括保密责任、需知原则、保密措施和保密教育等。
2. 保密管理权限计算机信息系统保密管理规定明确了保密管理权限的范围和分工,包括保密责任人、保密管理员、信息系统管理员等,确保保密工作得到专人专职负责的管理。
3. 保密工作制度计算机信息系统保密管理规定制定了一系列保密工作制度,包括信息资料的分类和标识、密级和保密期限的确定、安全控制措施的采取、密码管理制度等,为保护计算机信息系统提供了制度化的保障。
4. 保密审查和监督计算机信息系统保密管理规定规定了保密审查和监督制度,包括对信息系统的审查和检查、对员工的背景调查和安全审批、对保密工作的日常监督和定期检查等,确保保密工作的有效实施。
5. 保密事件报告和处理计算机信息系统保密管理规定要求及时报告和处理保密事件,包括信息泄漏、信息丢失、黑客攻击等,同时制定了相应的应急预案和处置措施,最大限度地减少保密事件对系统的影响。
6. 保密宣传和教育计算机信息系统保密管理规定强调保密宣传和教育的重要性,要求对员工进行定期的保密培训和教育,提高他们的保密意识和技能,促使他们自觉遵守保密规定。
7. 保密责任追究计算机信息系统保密管理规定明确了保密责任的追究制度,对违反保密规定的行为进行处罚和追责,包括警告、罚款、暂停使用计算机信息系统等惩罚措施,并在严重情况下追究法律责任。
8. 保密管理的技术手段计算机信息系统保密管理规定介绍了一些保密管理的技术手段,包括加密技术、身份认证技术、访问控制技术等,以加强对计算机信息系统的保护。
9. 保密管理的配套措施计算机信息系统保密管理规定还规定了一些配套措施,包括建立保密工作机构、完善保密管理制度、制定安全操作规程、建立保密通信网络等,以逐步完善计算机信息系统的保密管理体系。
计算机信息系统保密管理制度
计算机信息系统保密管理制度一、总则为了保护计算机信息系统中的信息资产安全,保障信息主体的合法权益,建立和完善计算机信息系统保密管理制度,是公司保护信息安全的基本要求。
本制度的制定目的是为了规范计算机信息系统的使用和管理行为,确保计算机信息系统中的信息资产得到有效的保护和管理。
二、适用范围本制度适用于公司内部所有计算机信息系统的使用和管理行为。
三、保密责任1.公司所有员工有义务保守公司计算机信息系统中的信息安全,不得泄露、篡改和盗用公司的信息资产。
2.每位员工必须对公司的计算机账号和密码、存储介质、移动存储设备等进行妥善保管,不得向他人泄露。
3.管理人员要负责组织和实施计算机信息系统的安全管理措施,并对下属员工的保密工作进行监督和指导。
四、信息分类与标志1.将计算机信息系统中的信息分为公开信息、内部信息和机密信息三个级别,并相应地标识。
2.公开信息:无影响公司利益的信息,可以在未经授权的情况下向任意人展示和传播。
3.内部信息:不宜向外部人员展示和传播的信息,只能在内部范围使用。
4.机密信息:非常重要且不能泄露的信息,只能在经过授权的情况下使用,且仅限在授权范围内使用。
五、信息使用和管理1.员工在内部计算机信息系统中处理公司信息时,应按照公司的标准操作流程进行操作,不得滥用权限或逾越权限范围进行操作。
2.禁止在计算机信息系统中存储、发送、接收含有违法、有害、恶意程序或病毒的信息。
3.禁止私自安装和使用未经授权的软件或工具,如需安装或使用,应事先获得上级主管的批准。
4.禁止私自使用外部网络、移动存储设备和个人电脑等进行工作。
5.禁止非授权人员使用他人计算机账号和密码进行操作,应妥善保管自己的账号和密码,定期更换密码。
6.禁止私自更改他人计算机系统的设置和配置,避免出现故障和安全风险。
六、信息备份与恢复1.公司提供统一的备份机制,员工应定期备份计算机信息系统中的数据,并将备份数据存放在安全地点。
2.在进行计算机信息系统的维护和升级时,应提前备份相关数据,以免因操作失误或系统故障导致数据丢失。
计算机信息系统涉密管理办法
计算机信息系统涉密管理办法第一章总则第一条为保护农村商业银行股份有限公司(以下简称“本行”)计算机网络系统的安全,根据《中华人民共和国保守国家秘密法》、《计算机信息系统保密暂行规定》等法律、法规制订本办法。
第二条本办法所称的计算机信息系统,是指由计算机、网络设备、数据信息以及其相关配套的设备、设施构成的,按照一定的应用目标和规则对数据信息进行采集、加工、存储、传输、检索等处理的人机系统。
第三条概念释义:(一)计算机信息系统安全,是指计算机信息系统的硬件、软件、网络和数据的安全必须受到保护,不因自然的和人为的原因而遭到破坏、更改和丢失,以保证计算机信息系统能连续正常运行。
(二)计算机信息系统保密,是指对涉及本行商密的包括但不限于计算机信息系统的软件、硬件、系统数据信息、技术开发文档、管理及操作规定。
(三)计算机信息系统的安全保密,是指保障计算机、数据信息网络及其相关的和配套的设备、设施的安全,保障运行环境(机房)的安全,保障信息的安全,保障计算机和网络功能的正常发挥,防止工作或政治因素造成的失密、泄密,防止人为或自然灾害等造成的破坏,以及防止利用计算机犯罪等。
第四条本办法适用于支行(部)的业务网、办公网、互连网等三大计算机网络系统涉密工作的管理。
第二章组织管理及职责第五条本行成立计算机网络系统保密领导小组,由行长任组长,分管副行长为副组长、各支行(部)负责人为小组成员,信息科技部负责保密领导小组的日常检查工作。
(一)保密领导领导小组定期向本行领导报告安全保密工作情况;(二)保密领导领导小组督促本部门安全保密措施的贯彻执行;(三)小组成员负责本部门安全保密检查;进行安全保密教育。
第七条对涉密信息需要经计算机系统采集、加工、存储、处理、输出的,由信息的生成、拥有、管理、提供部门向总行保密领导小组进行申报,经总行保密领导小组核定并签署意见后书面通知相关部门执行。
第八条总行保密领导小组不定期组织开展本行涉密计算机信息安全检查,对检查中发现的问题将及时予以纠正,对严重违反涉密规定,造成后果的,要进行通报,并按有关规定,追究领导责任,严肃处理。
公司计算机和信息系统保密管理制度
公司计算机和信息系统保密管理制度第一章总则第一条为进一步加强公司计算机和信息系统保密管理工作,防范泄密事件发生,确保国家及公司秘密安全,根据《中华人民共和国计算机信息系统安全保密条例》,结合本公司实际,特制定本制度。
第二条本制度适用于公司各部门计算机和信息系统的保密管理。
第二章计算机和信息系统保密管理总体要求第三条公司计算机信息系统管理坚持“涉密机不上国际互联网,上国际互联网机不涉密”的原则。
第四条公司计算机实行分级保护。
计算机的分级保护是指涉密计算机的使用部门根据分级保护管理办法和有关标准,对涉密计算机分等级实施保护。
公司保密办根据该计算机的保护等级实施监督管理,确保计算机和信息的安全。
第五条涉密计算机分级保护管理应遵循“规范定密,准确定级;依据标准,同步建设;突出重点,确保核心;明确责任,加强监督”的原则。
第六条涉密计算机按照所处理的最高密级,由低到高划分为秘密、机密两个等级。
第七条公司规划和建设涉密计算机集中管理区域时,必须同步规划和落实安全保密措施。
涉密计算机集中管理区域建成后,由公司保密办组织相关单位、部门进行验收,验收达到安全保密要求的,才能处理国家秘密信息。
未达到保密要求的,不得处理涉密信息。
第八条涉密计算机集中管理区域内涉密计算机的安全防护产品,应当选择具有涉密资质的单位承担或参与涉密计算机的方案设计与实施、软件开发、系统服务、咨询、风险评估等。
公司保密办要对涉密计算机的防护方案进行备案。
第九条涉密计算机领导小组应当定期组织对涉密计算机的安全保密状况进行自评估。
检查分析由于系统需求及技术与管理因素变化而新出现的安全威胁,动态调整安全策略,适时补充和完善技术与管理措施,使涉密计算机保持与等级要求一致的防护水平。
第十条涉密计算机应当制定文档化的安全保密策略,并根据环境、系统和威胁变化情况及时调整更新;应当定期(机密级1个月、秘密级3个月)形成文档化的安全保密审计报告;每12个月根据综合审计日志,进行一次风险评估,形成文档化的风险分析报告,对存在的风险应当及时采取补救措施。
计算机和信息系统安全保密管理办法(标准版)
( 安全管理 )单位:_________________________姓名:_________________________日期:_________________________精品文档 / Word文档 / 文字可改计算机和信息系统安全保密管理办法(标准版)Safety management is an important part of production management. Safety and production are inthe implementation process计算机和信息系统安全保密管理办法(标准版)第一章总则第一条为确保公司计算机和信息系统的运行安全,确保国家秘密安全,根据国家有关规定和要求,结合工作实际情况,制定本办法。
第二条公司计算机和信息系统安全保密工作遵循“积极防范、突出重点、依法管理”的方针,切实加强领导,明确管理职责,落实制度措施,强化技术防范,不断提高信息安全保障能力和水平。
第二章组织机构与职责第三条计算机和信息系统安全保密管理工作贯彻“谁主管,谁负责”、“谁使用,谁负责”的原则,实行统一领导,分级管理,分工负责,有效监督。
第四条保密委员会全面负责计算机和信息系统安全保密工作的组织领导。
主要职责是:(一)审订计算机和信息系统安全保密建设规划、方案;(二)研究解决计算机和信息系统安全保密工作中的重大事项和问题;(三)对发生计算机和信息系统泄密事件及严重违规、违纪行为做出处理决定。
第五条保密管理部门负责计算机和信息系统的安全保密指导、监督和检查。
主要职责是:(一)指导计算机和信息系统安全保密建设规划、方案的编制及实施工作;(二)监督计算机和信息系统安全保密管理制度、措施的落实;(三)组织开展计算机和信息系统安全保密专项检查和技术培训;(四)参与计算机和信息系统安全保密的风险评估、分析及安全保密策略的制定工作。
第六条信息化管理部门负责计算机和信息系统的安全保密管理工作。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
( 安全管理 )单位:_________________________姓名:_________________________日期:_________________________精品文档 / Word文档 / 文字可改计算机和信息系统安全保密管理办法(标准版)Safety management is an important part of production management. Safety and production are inthe implementation process计算机和信息系统安全保密管理办法(标准版)第一章总则第一条为确保公司计算机和信息系统的运行安全,确保国家秘密安全,根据国家有关规定和要求,结合工作实际情况,制定本办法。
第二条公司计算机和信息系统安全保密工作遵循“积极防范、突出重点、依法管理”的方针,切实加强领导,明确管理职责,落实制度措施,强化技术防范,不断提高信息安全保障能力和水平。
第二章组织机构与职责第三条计算机和信息系统安全保密管理工作贯彻“谁主管,谁负责”、“谁使用,谁负责”的原则,实行统一领导,分级管理,分工负责,有效监督。
第四条保密委员会全面负责计算机和信息系统安全保密工作的组织领导。
主要职责是:(一)审订计算机和信息系统安全保密建设规划、方案;(二)研究解决计算机和信息系统安全保密工作中的重大事项和问题;(三)对发生计算机和信息系统泄密事件及严重违规、违纪行为做出处理决定。
第五条保密管理部门负责计算机和信息系统的安全保密指导、监督和检查。
主要职责是:(一)指导计算机和信息系统安全保密建设规划、方案的编制及实施工作;(二)监督计算机和信息系统安全保密管理制度、措施的落实;(三)组织开展计算机和信息系统安全保密专项检查和技术培训;(四)参与计算机和信息系统安全保密的风险评估、分析及安全保密策略的制定工作。
第六条信息化管理部门负责计算机和信息系统的安全保密管理工作。
主要职责是:(一)负责计算机和信息系统安全保密建设规划、方案、制度的制订和实施;(二)负责计算机和信息系统安全保密技术措施的落实及运行维护管理;(三)负责建立、管理信息设备台帐;(四)负责计算机和信息系统安全保密策略的制定、调整、更新和实施;(五)定期组织开展风险评估、风险分析,提出相应的安全措施建议,并编制安全保密评估报告;(六)开展计算机和信息系统安全保密技术检查工作;(七)涉及计算机和信息系统有关事项的审查、审批;(八)计算机和信息系统安全保密的日常管理工作。
第七条公司应结合工作实际设定涉密计算机和信息系统的系统管理员、安全保密管理员、安全审计员,分别负责涉密计算机和信息系统的运行、安全保密和安全审计工作。
“三员”的权限设置应当相互独立、相互制约,安全保密管理员与安全审计员不得由一人兼任。
没有涉密信息系统,只使用单台涉密计算机的单位,应当配备安全保密管理员。
第八条涉密计算机和信息系统管理人员应当符合以下要求:(一)符合国家及集团公司对涉密人员的要求;(二)熟悉计算机和信息系统各项安全保密法律、法规和标准;(三)熟练掌握有关专业知识和业务技能;(四)通过国家有关部门的上岗培训,并获得上岗资格。
第三章涉密信息系统的建设管理第九条建设涉密信息系统必须依照国家有关规定、标准和规范进行,安全保密设施必须与涉密信息系统同步规划、同步建设、同步运行。
第十条建设涉密信息系统,应当在方案设计前,由保密委员会根据所建系统拟涉及国家秘密的最高密级确定保护等级。
第十一条涉密信息系统建设方案的设计应当选择具有相应涉密资质的单位承担,建设方案按照建设系统的对应密级进行定密和管理。
建设方案完成后,由保密办报请上级保密管理部门组织评审并备案。
第十二条涉密信息系统建设过程中,必须采取严格的安全保密管理措施。
系统集成、综合布线、系统服务、系统咨询、软件开发、工程监理等,应当选择具有相应资质的单位承担,并明确提出保密要求,签订保密协议。
涉及国家秘密的工程资料应当根据需要控制发放,并做出登记。
工程完工后,应当按登记如数收回。
施工现场应当采取措施,禁止无关人员进入。
第十三条涉密信息系统所采用的安全保密产品,必须选用通过国家相关主管部门授权测评机构检测合格的产品,并应当查验产品合格证书、产品检测报告中所描述的适用范围及其有效期。
第十四条涉密信息系统的测评工作统一由集团公司保密办委托国家涉密信息系统测评中心兵器分中心实施。
第十五条涉密信息系统经测评完成,取得涉密信息系统检测评估报告后,由上级保密管理部门向集团公司保密办正式提交《涉及国家秘密的信息系统投入使用申请书》,并经集团公司保密办审核批准后,报相关保密行政管理部门审批,领取《涉及国家秘密的信息系统使用许可证》。
第十六条新建涉密信息系统在投入运行前,应当经地方保密工作部门审批,在未取得《涉及国家秘密的信息系统使用许可证》前,不得投入使用。
在正式运行之前,不得存储和处理国家秘密信息。
第十七条涉密信息系统在设计、评审、施工及验收过程中发生失泄密事件或因有关工程信息资料泄露导致涉密信息系统防护措施失效、削弱的,属于建设单位责任的,由建设单位承担;属于其他环节责任的,由相关环节负责人负责。
第四章信息设备台帐与标识管理第十八条信息化管理部门应当根据实际,建立信息设备总台帐,内设机构或部门应当相应建立二级台帐。
信息设备台帐可按以下类别分类:(一)计算机,包括服务器、用户终端;(二)网络设备和外部设备,包括交换机、路由器、网关、网闸、VPN设备、打印机、制图(绘图)机、扫描仪、光盘刻录机(外接式)等;(三)安全保密产品,包括计算机病毒防护产品,密码产品及身份鉴别、访问控制、安全审计、入侵检测、边界防护和电磁泄漏发射防护等产品;(四)移动存储介质。
第十九条各类台帐应当包括以下内容:(一)计算机管理台帐:部门、责任人、名称型号、密级或用途、操作系统安装日期、硬盘序列号、IP地址、MAC地址、使用情况等;(二)网络设备和外部设备管理台帐:部门、责任人、名称、型号、使用情况等;(三)安全保密产品管理台帐:责任人、名称、型号、检测证书名称和编号、购置时间、使用情况等;(四)移动存储介质管理台帐:部门、责任人、名称、编号、序列号、密级或用途、使用情况等。
第二十条信息设备台帐管理工作实行专人负责,动态管理,并建立、健全信息设备从配置到销毁全过程的报告、审批和定期核验机制,确保信息设备台帐能够适时、准确的反映信息设备的客观情况。
第二十一条公司应对信息设备进行标识管理。
设备标识由公司统一制作。
标识内容应与台帐信息的主要内容相符,并保持完好。
不得故意损毁、涂改、撕揭或擦除。
计算机和信息系统中的服务器、用户终端、外部设备、存储介质、安全保密产品等,应当根据其处理和存储信息的最高密级或主要用途进行标识。
标识应当粘贴在明显位置,并与涉密信息的存储部件相关联。
移动存储介质如无法粘贴标识的,可以采取不可擦除的方式标注。
第五章计算机和信息系统的保密管理第二十二条计算机和信息系统的使用管理必须遵守如下规定:(一)严禁使用涉密计算机和信息系统连接国际互联网或公共信息网络;(二)严禁使用连接国际互联网或公共信息网络的计算机及其它非涉密计算机存储、处理涉密信息;(三)严禁将涉密计算机接入内部非涉密网络。
第二十三条涉密信息系统经安全保密技术测评,并正式投入运行后,如发生下列变更事项时,应当及时报告上级保密管理部门和负责审批的保密行政管理部门:(一)涉密等级;(二)连接范围;(三)环境设施;(四)主要应用;(五)安全保密责任管理单位。
由保密行政管理部门决定是否需要重新进行测评和审批。
第二十四条外部信息导入涉密计算机和信息系统的,应当通过中间转换机或经过国家相关部门批准的安全可靠的信息交换措施进行。
使用中间转换机转换信息的,中间转换机应当按涉密和非涉密分别设立,并严格按照相关标准的规定程序进行操作。
第二十五条涉及涉密计算机和信息系统的设备,应当由单位统一选配,统一安装,严格控制,规范使用。
第二十六条禁止在涉密计算机和信息系统中使用无线键盘、无线鼠标、无线网卡、无线路由器等具有无线功能的设备或产品。
第二十七条涉密计算机和信息系统应当根据其相应密级采取对应的身份鉴别、数字签名、访问控制、安全审计、信息加密、数据保护、介质管理、防违规外联等技术措施。
第二十八条涉密计算机和信息系统服务器、用户终端应当设置相关安全策略,设置原则是:关闭全部共享、与应用无关的所有端口、服务、链接和系统授权。
第二十九条涉密计算机和信息系统应当采取计算机病毒防护措施,定期对计算机病毒与恶意代码防护措施进行查验,并及时更新计算机病毒与恶意代码样本库。
更新周期为:涉密信息系统不超过3天,单台涉密计算机不超过15天。
第三十条各单位应建立统一的补丁程序分发安装机制,在补丁程序发布后3个月内及时安装,保证系统的安全性,对不能安装系统补丁程序的非正版操作系统,应当更换操作系统。
第三十一条下列事项必须报经信息化管理部门批准后由相关管理人员实施:(一)因系统崩溃、操作系统损坏等原因需重新安装操作系统的;(二)更改或清除涉密计算机和信息系统的移动存储介质及外部设备安装、使用等日志记录的;(三)因工作需要对涉密计算机和信息系统安装、扩展、缩减、拆卸软硬件的;(四)因工作需要卸载、修改涉密信息系统的安全技术程序、管理程序的。
第三十二条需经常安装的应用软件和软件工具,经信息化管理部门审批后,由系统管理员上传到指定的服务器或存储在一次性刻录光盘中,供涉密计算机和信息系统用户终端下载、安装使用。
第三十三条公司要加强对连接国际互联网计算机的管理和使用,应遵循以下原则:(一)未经批准,不得擅自以任何方式连接国际互联网;(二)公司集中使用的国际互联网计算机应当指定专人负责管理,分散使用的国际互联网计算机应当明确责任人,做好上网记录;(三)应制定国际互联网信息发布管理制度,明确需要通过保密审查的信息范围和审查程序。
审查一般应由拟发布信息的业务主管部门负责,业务主管部门把握不准的,由保密管理部门审查,单位业务主管领导审批;(四)公司应采取有效技术措施,对通过互联网或公共信息系统发送电子邮件等信息进行监控和记录。
第三十四条密码设备的使用和管理按照公司有关规定执行。
第六章便携式计算机和存储介质保密管理第三十五条建立健全便携式计算机和移动存储介质的管理制度和措施,根据工作实际,采取集中管理,指定专人负责。
第三十六条涉密便携式计算机应当拆除具有无线联网功能(如无线网卡、蓝牙、红外等)的硬件模块,如无法进行拆除的,不得作为涉密计算机使用。
第三十七条携带涉密便携式计算机和移动存储介质外出,应当履行审批手续和领用前状态检查;返还时,应当对外出使用情况进行技术检查。