计算机和信息系统安全保密管理规定
计算机和信息系统安全保密管理规定
计算机和信息系统安全保密管理规定第一章总则第一条为加强公司计算机和信息系统(包括涉密信息系统和非涉密信息系统)安全保密管理,确保国家秘密及商业秘密的安全,根据国家有关保密法规标准和中核集团公司有关规定,制定本规定。
第二条本规定所称涉密信息系统是指由计算机及其相关的配套设备、设施构成的,按照一定的应用目标和规定存储、处理、传输涉密信息的系统或网络,包括机房、网络设备、软件、网络线路、用户终端等内容。
第三条涉密信息系统的建设和应用要本着“预防为主、分级负责、科学管理、保障安全”的方针,坚持“谁主管、谁负责,谁使用、谁负责”和“控制源头、归口管理、加强检查、落实制度”的原则,确保涉密信息系统和国家秘密信息安全。
第四条涉密信息系统安全保密防护必须严格按照国家保密标准、规定和集团公司文件要求进行设计、实施、测评审查与审批和验收;未通过国家审批的涉密信息系统,不得投入使用。
第五条本规定适用于公司所有计算机和信息系统安全保密管理工作。
第二章管理机构与职责第六条公司法人代表是涉密信息系统安全保密第一责任人,确保涉密信息系统安全保密措施的落实,提供人力、物力、财力等条件保障,督促检查领导责任制落实。
第七条公司保密委员会是涉密信息系统安全保密管理决策机构,其主要职责:(一)建立健全安全保密管理制度和防范措施,并监督检查落实情况;(二)协调处理有关涉密信息系统安全保密管理的重大问题,对重大失泄密事件进行查处。
第八条成立公司涉密信息系统安全保密领导小组,保密办、科技信息部(信息化)、党政办公室(密码)、财会部、人力资源部、武装保卫部和相关业务部门、单位为成员单位,在公司党政和保密委员会领导下,组织协调公司涉密信息系统安全保密管理工作。
第九条保密办主要职责:(一)拟定涉密信息系统安全保密管理制度,并组织落实各项保密防范措施;(二)对系统用户和安全保密管理人员进行资格审查和安全保密教育培训,审查涉密信息系统用户的职责和权限,并备案;(三)组织对涉密信息系统进行安全保密监督检查和风险评估,提出涉密信息系统安全运行的保密要求;(四)会同科技信息部对涉密信息系统中介质、设备、设施的授权使用的审查,建立涉密信息系统安全评估制度,每年对涉密信息系统安全措施进行一次评审;(五)对涉密信息系统设计、施工和集成单位进行资质审查,对进入涉密信息系统的安全保密产品进行准入审查和规范管理,对涉密信息系统进行安全保密性能检测;(六)对涉密信息系统中各应用系统进行定密、变更密级和解密工作进行审核;(七)组织查处涉密信息系统失泄密事件。
计算机信息系统保密管理规定(四篇)
计算机信息系统保密管理规定第一章总则第一条为加强计算机信息系统的保密管理,维护国家信息安全和社会公共利益,保护计算机信息系统中的重要信息和数据资源,制定本规定。
第二条本规定适用于使用计算机信息系统进行信息处理、传输、存储等活动的各类组织机构和个人。
第三条计算机信息系统保密管理应当坚持统筹规划、综合治理的原则,建立分工协作、职责明确的保密管理机制。
第四条计算机信息系统的保密管理工作应当遵循法律法规、技术标准和保密要求。
第二章保密责任和义务第五条计算机信息系统的管理者应当对计算机信息系统的安全进行全面负责,并确保相关人员按照规定履行保密责任和义务。
第六条计算机信息系统的使用者应当按照规定使用计算机信息系统,并严格遵守保密规定,保护计算机信息系统中的重要信息和数据资源。
第七条计算机信息系统的维护人员应当按照规定维护计算机信息系统的安全,做好防护工作,并及时发现和处理安全漏洞。
第八条计算机信息系统的管理者、使用者和维护人员应当经过保密教育培训,掌握必要的保密知识和技能。
第三章保密措施和技术要求第九条计算机信息系统应当采取适当的技术和管理措施,保护计算机信息系统中的重要信息和数据资源。
第十条计算机信息系统应当配置防火墙、入侵检测系统等安全设备,确保计算机信息系统的安全性。
第十一条计算机信息系统应当采取有效的身份认证和访问控制机制,限制非授权访问。
第十二条计算机信息系统应当定期进行安全评估和风险分析,及时修复存在的安全隐患。
第十三条计算机信息系统应当备份重要数据和信息,确保数据的可靠性和完整性。
第四章保密事件和应急处置第十四条发生计算机信息系统的保密事件,应当及时报告上级主管部门和保密管理机构,并采取相应的应急处置措施。
第十五条对于计算机信息系统的安全事故,应当及时调查处理,并追究相关人员的责任。
第十六条计算机信息系统的保密事件和应急处置应当按照国家相关法律法规和技术标准进行。
第五章监督检查和处罚第十七条计算机信息系统的保密管理工作应当受到上级主管部门和保密管理机构的监督检查。
计算机信息系统保密管理规定
xxxxxx公司计算机信息系统保密管理规定编制:审核:批准:xxxxx公司计算机信息系统保密管理规定第一章总则第一条为保护计算机信息系统处理的国家秘密信息安全,根据国保发(1998)1号文件精神,依照BMB17-2006《涉及国家秘密的信息系统分级保护技术要求》、BMB20-2007《涉及国家秘密的信息系统分级保护管理规范》的要求制定本规定。
第二条本规定适用于公司涉密信息系统的运行管理,规定所称的计算机信息系统由本单位的各类涉密计算机(便携式计算机、服务器、用户终端)、网络设备、外部设备、存储介质、安全保密产品等构成的人机系统。
第三条本规定包括:信息系统基本要求、台账、维修、报废、审计、安全保密防护、密码保护、存储介质、外出携带、互联网计算机使用等内容。
第四条计算机信息系统保密管理实行“积极防范、突出重点、分级负责、责任到人”的原则。
严禁涉密信息系统直接或间接连接互联网及其他公共网络;严禁使用连接国际互联网或其他公共信息网络的计算机和信息设备进行存储和处理涉密信息。
第五条保密办公室负责公司各部门计算机信息系统安全工作的监督和检查,发现问题,及时提出并督促整改。
各部门负责本部门计算机信息系统及涉密信息的安全保密工作。
第二章台账、维修、报废管理第六条本单位的计算机和信息系统设备总台账由保密办公室负责统计、维护和管理,涵盖本单位的各类计算机(便携式计算机、服务器、用户终端)、网络设备、外部设备、存储介质、安全保密产品等。
第七条各部门应建立本部门计算机和信息系统分台账。
由各部门负责统计、维护和管理。
第八条台账应以电子和文档版本形式存在,总台账和分台账内容应当吻合,并与实物相符,发现问题实时更新台账,保证台账与实物相符。
第九条台账信息按照设备分类,应包含以下信息:㈠计算机台账应当包含:密级、放置地点、使用人、操作系统版本、安装时间、硬盘物理号、IP地址、MAC地址和使用情况(包含再用、停用、报废、销毁等);见附表九。
公司计算机信息系统保密管理规定
公司计算机信息系统保密管理规定第一章总则第一条为加强公司公司计算机信息系统保密管理,确保国家秘密、公司商业秘密和工作秘密安全,根据《公司保密工作管理办法》、《公司涉秘计算机及移动存储介质保密管理暂行办法》等相关规定,结合公司实际,制定本规定。
第二条本规定适应于采集、处理、存储、传输涉秘信息(包括国家秘密、公司商业秘密和工作秘密,以下同)的计算机信息系统,主要包括:计算机(包括台式计算机、便携式计算机及网络终端计算机)、移动存储介质(包括U盘、移动硬盘、光盘、软盘、磁带、MP3、MP4、MP5及存储卡等)、计算机网络与应用系统。
第三条本规定适用于公司所属各单位、各部门。
第二章计算机信息系统保密制度第四条科技信息处归口负责公司计算机信息系统保密管理工作。
主要职责是:1. 贯彻执行公司和公司保密工作相关制度规定,负责公司计算机信息网络及移动存储介质保密管理工作。
2. 负责制定公司计算机信息网络及移动存储介质保密管理规定。
3. 指导、检查和督促公司所属各单位、各部门计算机、移动存储介质及信息网络安全保密管理工作。
4. 完成公司保密委员会交办的其他工作。
第五条科技信息处每半年进行一次公司计算机信息系统保密工作检查,公司所属各单位、各部门每季度进行一次计算机信息系统保密情况检查与问题整改。
第六条公司各单位、各部门发现计算机信息系统泄密后应立即上报科技信息处与公司保密办公室,并及时采取补救措施。
第七条公司计算机信息系统保密统一按涉密与非涉密进行分类管理,公司各单位、各部门根据本单位、本部门涉密信息定密及涉密岗位实际界定涉密计算机与移动存储介质;涉密应用系统由公司相关业务部门根据应用系统存储处理的涉密信息进行界定;公司计算机网络按局域网、公司广域网与互联网接入、网络应用服务进行安全保密管理。
第八条公司涉密计算机及移动存储介质的安装调试、维护维修、数据恢复以及报废销毁定点单位必须经科技信息处资质审查后报公司保密办公室审批确定,并与公司签订保密协议。
网络保密管理规定
网络保密管理规定为认真贯彻《保密法》和《计算机信息系统保密管理暂行规定》,加强计算机网络信息安全管理,保护计算机信息系统处理的涉及国家秘密安全,根据计算机网络安全管理有关政策法规,制定本规定。
一、办公室负责计算机信息系统的保密、监督和管理工作。
二、各涉密科室确定涉密计算机,并确定专门涉密人员管理。
三、计算机信息系统应当采取有效的保密措施,配置合格的保密专用设备,防泄密、防窃密。
所采取的保密措施应与所处理信息的密级要求相一致。
四、涉密信息和数据必须按照保密规定进行采集、存储、处理、传递、使用和销毁。
未采取技术安全保密措施的数据库不得联网。
五、国家秘密信息不得在与国际网络联网的计算机信息系统中存储、处理、传递,做到“上网不涉密,涉密不上网”。
六、存储过国家秘密信息的计算机媒体不能降低密级使用。
不再使用的媒体应及时销毁。
存储过国家秘密信息的计算机媒体的维修应保证所存储的国家秘密信息不被泄露。
计算机信息系统打印输出的涉密文件,应当按相应密级的文件进行管理。
七、涉密信息处理场所应当根据涉密程度和有关规定设立控制区,未经管理机关批准无关人员不得进入。
涉密信息处理场所应当定期或者根据需要进行保密技术检查。
八、计算机信息系统应采取相应的防电磁信息泄漏的保密措施。
计算机信息系统的其它物理安全要求应符合国家有关保密标准。
九、计算机信息系统的保密管理应实行领导负责制,由使用计算机信息系统的主管领导负责本单位的计算机信息系统的保密工作,并指定有关机构和人员具体承办。
十、计算机信息系统的使用单位应根据系统所处理的信息涉密等级和重要性制订相应的管理制度。
十一、计算机信息系统的系统安全保密管理人员应经过严格审查,定期进行考核,并保持相对稳定。
十二、个人发现计算机信息系统泄密后,应及时采取补救措施,并按有关规定及时向上级报告。
十三、违反本规定泄露国家秘密,依据《中华人民共和国保守国家秘密法》及其实施办法进行处理,并追究单位领导的责任。
计算机和信息系统安全保密管理规定
计算机和信息系统安全保密管理规定第一章总则第一条为加强公司计算机和信息系统(包括涉密信息系统和非涉密信息系统)安全保密管理,确保国家秘密及商业秘密的安全,根据国家有关保密法规标准和中核集团公司有关规定,制定本规定。
第二条本规定所称涉密信息系统是指由计算机及其相关的配套设备、设施构成的,按照一定的应用目标和规定存储、处理、传输涉密信息的系统或网络,包括机房、网络设备、软件、网络线路、用户终端等内容。
第三条涉密信息系统的建设和应用要本着“预防为主、分级负责、科学管理、保障安全”的方针,坚持“谁主管、谁负责,谁使用、谁负责”和“控制源头、归口管理、加强检查、落实制度”的原则,确保涉密信息系统和国家秘密信息安全。
第四条涉密信息系统安全保密防护必须严格按照国家保密标准、规定和集团公司文件要求进行设计、实施、测评审查与审批和验收;未通过国家审批的涉密信息系统,不得投入使用。
第五条本规定适用于公司所有计算机和信息系统安全保密管理工作。
第二章管理机构与职责第六条公司法人代表是涉密信息系统安全保密第一责任人,确保涉密信息系统安全保密措施的落实,提供人力、物力、财力等条件保障,督促检查领导责任制落实。
第七条公司保密委员会是涉密信息系统安全保密管理决策机构,其主要职责:(一)建立健全安全保密管理制度和防范措施,并监督检查落实情况;(二)协调处理有关涉密信息系统安全保密管理的重大问题,对重大失泄密事件进行查处。
第八条成立公司涉密信息系统安全保密领导小组,保密办、科技信息部(信息化)、党政办公室(密码)、财会部、人力资源部、武装保卫部和相关业务部门、单位为成员单位,在公司党政和保密委员会领导下,组织协调公司涉密信息系统安全保密管理工作。
第九条保密办主要职责:(一)拟定涉密信息系统安全保密管理制度,并组织落实各项保密防范措施;(二)对系统用户和安全保密管理人员进行资格审查和安全保密教育培训,审查涉密信息系统用户的职责和权限,并备案;(三)组织对涉密信息系统进行安全保密监督检查和风险评估,提出涉密信息系统安全运行的保密要求;(四)会同科技信息部对涉密信息系统中介质、设备、设施的授权使用的审查,建立涉密信息系统安全评估制度,每年对涉密信息系统安全措施进行一次评审;(五)对涉密信息系统设计、施工和集成单位进行资质审查,对进入涉密信息系统的安全保密产品进行准入审查和规范管理,对涉密信息系统进行安全保密性能检测;(六)对涉密信息系统中各应用系统进行定密、变更密级和解密工作进行审核;(七)组织查处涉密信息系统失泄密事件。
计算机和信息系统安全保密管理规定
计算机和信息系统安全保密管理规定1. 引言计算机和信息系统安全保密管理是指为了保护计算机和信息系统中的数据和资源,防止非授权访问和恶意攻击造成的损失,制定的一系列管理规定和措施。
本文档旨在规范计算机和信息系统安全保密管理,确保组织及其成员的信息资产安全。
2. 目标本文档的主要目标是:•确保计算机和信息系统的机密性,防止未经授权的访问;•确保计算机和信息系统的完整性,防止数据被篡改或损坏;•确保计算机和信息系统的可用性,防止服务中断或停止;•促进计算机和信息系统的合规性,符合相关法律法规和行业标准。
3. 安全保密管理责任3.1 信息资产管理责任所有组织成员均有责任保护和管理相关的信息资产。
信息资产管理责任包括但不限于:•确保信息资产的安全性,防止数据泄露和非授权访问;•制定有效的信息资产管理策略和措施;•审查和评估信息资产的风险,并采取相应的措施减轻或消除风险;•培训组织成员关于信息资产管理的知识和技能。
3.2 网络安全管理责任网络安全管理是保证计算机和信息系统安全的重要组成部分。
网络安全管理责任包括但不限于:•设计和建立安全的网络架构,保护计算机和信息系统免受网络攻击;•监测和检测网络流量,发现和阻止可能的网络攻击;•及时修补和更新网络设备和系统的漏洞;•建立网络安全应急响应机制,处理网络安全事故。
3.3 访问控制管理责任访问控制管理是防止非授权访问的重要手段。
访问控制管理责任包括但不限于:•建立和维护用户账户和权限管理系统,确保只有授权用户能够访问计算机和信息系统;•定期审查和评估用户账户和权限,及时删除或禁用不再需要的账户和权限;•限制和监控敏感数据的访问,确保数据的机密性和完整性;•定期备份数据,并存储在安全的地方,以防止数据丢失和损坏。
4. 安全保密措施4.1 密码策略密码是保护信息资产安全的重要手段之一。
密码策略应包括但不限于以下措施:•强制要求密码复杂度,包括长度、字母、数字和特殊字符的组合;•要求用户定期更换密码,并限制密码的重复使用;•禁止将密码写在容易被他人看到的地方;•采用多因素身份验证,提高密码安全性。
涉密计算机及信息系统安全和保密管理办法
涉密计算机及信息系统安全和保密管理办法一、总则第一条为了加强涉密计算机及信息系统的安全和保密管理,保障国家秘密的安全,根据《中华人民共和国保守国家秘密法》等相关法律法规,结合本单位实际情况,制定本办法。
第二条本办法适用于本单位内所有使用、管理涉密计算机及信息系统的部门和个人。
第三条涉密计算机及信息系统的安全和保密管理,应当遵循“突出重点、积极防范、确保安全、便利工作”的原则,实行分级保护,强化管理措施,落实责任制度。
二、涉密计算机及信息系统的确定与分类第四条本单位根据处理信息的最高密级,将涉密计算机及信息系统分为绝密级、机密级、秘密级。
第五条确定涉密计算机及信息系统的密级,应当按照国家有关规定,由本单位保密工作领导小组进行审定。
第六条涉密计算机及信息系统的密级一经确定,应当在其显著位置标明相应的密级标识。
三、涉密计算机及信息系统的建设与管理第七条涉密计算机及信息系统的建设应当符合国家有关保密规定和标准,具备相应的安全保密防护措施。
第八条建设涉密计算机及信息系统,应当选用国产设备和软件,并进行安全保密检测和评估。
第九条涉密计算机及信息系统的运行维护应当由本单位内部专门人员负责,严禁外部人员进行操作和维护。
第十条对涉密计算机及信息系统进行设备更新、软件升级、系统改造等,应当事先进行安全保密评估和审批。
四、涉密计算机及信息系统的使用第十一条使用者应当经过保密培训,并签订保密承诺书,明确保密责任和义务。
第十二条涉密计算机应当设定开机密码、登录密码等,密码应当定期更换,且复杂度符合保密要求。
第十三条严禁在涉密计算机上使用非涉密存储介质,严禁在非涉密计算机上使用涉密存储介质。
第十四条涉密计算机及信息系统应当与互联网及其他公共信息网络实行物理隔离,严禁连接无线网络。
第十五条涉密计算机及信息系统中的信息应当按照相应密级进行存储、处理和传输,不得擅自降低密级。
第十六条打印、复印涉密文件资料应当在专门的涉密设备上进行,并严格控制知悉范围。
计算机信息系统保密管理规定范本
计算机信息系统保密管理规定范本一、总则1. 为了保护计算机信息系统的安全,防止未经授权的访问、使用、披露和篡改等行为,制定本规定。
2. 本规定适用于本公司及其所有部门、员工和外部合作伙伴等与本公司相关的范围。
二、基本原则1. 保密责任原则:所有参与计算机信息系统的人员都应承担保密责任,不得泄露任何机密信息。
2. 严格访问控制原则:未经授权的人员不得访问计算机信息系统,且已授权人员仅限于其工作职责范围内的访问。
3. 用途限制原则:计算机信息系统仅用于本公司业务相关的目的,任何非法、违规的使用行为均禁止。
4. 安全审计原则:对计算机信息系统进行定期安全审计,及时发现和解决潜在的安全问题。
5. 安全教育培训原则:对参与计算机信息系统的人员进行安全教育培训,提高其保密意识和安全知识。
三、保密管理措施1. 访问控制措施(1) 分配唯一账户和密码给计算机信息系统的每个授权人员。
(2) 设置严格的权限控制,根据不同职责和需求,给予不同人员不同的访问权限。
(3) 定期更新账户密码,并要求授权人员采用强密码规范。
(4) 禁止共享账户和密码,严禁借用他人账户进行操作。
(5) 使用双因素认证或其他更加安全的认证方式,提高系统的访问控制能力。
2. 数据加密措施(1) 对计算机信息系统中的重要数据进行加密,确保数据在传输和存储过程中不被非法获取。
(2) 对敏感信息进行脱敏处理,确保敏感信息在系统中的使用不暴露真实内容。
(3) 采用强加密算法和安全协议,保障数据传输的安全性。
3. 安全审计措施(1) 定期对计算机信息系统进行安全审计,发现潜在漏洞和安全威胁,并及时采取措施解决。
(2) 监控计算机信息系统的登录、操作和访问记录,排查异常操作和异常行为。
4. 安全教育培训措施(1) 定期组织计算机信息系统安全知识培训,提高员工的保密意识和安全素养。
(2) 向员工普及信息安全的基本知识,包括密码安全、网络钓鱼等常见安全威胁。
(3) 强调员工在使用计算机信息系统时的责任和义务,警示员工遵守规定,确保安全使用。
计算机网络安全和信息保密管理规定
计算机网络安全和信息保密治理规定1、为了保证公司计算机网络系统的稳定运行及网络数据的安全保密,维持安全牢靠的计算机应用环境,特制定本规定。
2、凡使用公司计算机网络系统的员工都必需执行本规定。
3、在公司保密工作小组领导下,由办公室负责接入网络的安全保密治理工作。
办公室落实具体技术防范措施,负责设备、信息系统的安装调试和维护,并对用户指派信息维护员特地负责各部门的信息安全维护工作。
4、对接入公司网络系统的计算机及设备,必需符合一下规定:1)凡接入公司网络系统的计算机,只在需要使用光驱和打印机的网络治理员计算机上安装相关设备,其他计算机不得安装和使用光驱、软驱、USB 卡、磁盘、磁带、打印机等输入、输出端口一律屏蔽和禁用。
2)凡接入公司办公网络的计算机,制止使用任何网络设备,将计算机与国际互联网联结。
3)各部门的计算机均不得与其它办公系统相联结,如有信息传输的需要,可使用软盘、光盘、USB 盘或活动硬盘等数据介质盘片,由网络治理员在装有相应外设的计算机上进展数据传输。
4)在未经许可的状况下,不得擅自对处计算机及其相关设备的硬件局部进展修改、改装或拆卸配置,包括添加光驱、软驱,挂接硬盘等读写设备,以及增加串口或并口外围设备,如扫描仪、打印机等。
4)非我公司的计算机及任何外设,不得接入我公司的网络系统。
5)严禁私自开启计算机机箱封条或机箱锁。
5、凡使用公司网络系统的员工,必需遵守以下规定;1)未经批准,严禁非本公司工作人员使用除计算机及任何相关设备。
2)对上网使用办公网络系统的员工,由办公室负责上岗前的计算机网络设备系统安全及信息保密的技术培训工作。
3)公司计算机网络系统中凡属于国家保密资料或商业隐秘的任何文件、图形等数据〔如地形图等〕,未经批准,任何人严禁将其以任何形式〔如数据形式:Internet、软盘、光盘、硬磁盘等;硬拷贝形式:图纸打印、复印、照片等〕复制、传输或对外供给。
4)任何员工均不得超越权限侵入网络中未开放的信息,不得擅自修改入库数据资料和修改他人数据资料。
计算机信息保密管理制度
计算机信息保密管理制度一、总则为规范和加强我司计算机信息的保密管理工作,保护公司计算机信息系统安全,维护公司业务秘密,促进公司经济发展和社会稳定,制定本制度。
二、适用范围本制度适用于我司内部所有计算机信息系统的管理、操作等相关人员,以及其他因工作需要涉及到我司计算机信息系统的人员。
三、保密责任1、所有管理、操作我司计算机信息系统的人员都应当履行信息保密责任,任何人不得泄密。
2、计算机信息管理人员和操作人员应当严格遵守信息保护的法律法规,不得擅自泄露、篡改、接包或者非法使用计算机信息。
3、所有员工都应当签署保密协议,严格遵守保密义务。
四、保密管理1、保密等级分级制度我司将信息根据保密程度分为绝密、机密、秘密和一般,具体分级标准根据公司业务需要和国家机密管理规定确定。
2、保密责任分工公司设立信息保密办公室,具体负责公司信息保密管理工作的组织、协调、监督和检查。
3、信息资料保护公司要求对于各级保密信息,要求做到严格控制、许可审批、记录备份等措施。
4、计算机信息系统访问控制公司对计算机信息系统的访问控制进行严格管理,采取权限分级管理、用户身份认证等措施。
五、保密控制1、强化技术、物理、行政等多层次控制在计算机信息系统安全保护中,公司将采取技术手段、物理手段以及行政手段等多层次控制措施。
2、定期检测对计算机信息系统进行定期的保密检查和评估,发现问题及时进行整改和加强控制。
3、防范外部攻击加强对网络安全的防护,避免黑客攻击、病毒攻击等不法侵入。
六、保密培训1、公司将针对不同层次的员工进行不定期的信息保密培训,提高员工信息保密意识,加强信息保密工作。
2、加强技术人员的信息安全保密培训,提高信息技术人员保密意识和能力。
七、违规处理1、对于违反保密制度的人员,公司将给予相应的处理措施,包括批评教育、行政处分、甚至追究法律责任。
2、对于严重违反保密规定的人员,公司将给予辞退、终止劳动合同等处理。
八、监督检查公司将建立定期的保密检查机制,由保密办公室定期对保密工作进行检查,发现问题及时整改和加强控制。
计算机安全保密管理制度
一、总则为了加强计算机安全保密管理,保障国家秘密信息安全,防止计算机信息泄露,根据《中华人民共和国保密法》等相关法律法规,特制定本制度。
二、适用范围本制度适用于我单位所有使用计算机及其网络系统的员工,包括但不限于办公自动化系统、内部网络、外部网络等。
三、保密责任1. 保密责任人:各部门负责人为本部门计算机安全保密工作的第一责任人,负责组织、监督和落实本部门计算机安全保密工作。
2. 保密义务:全体员工应严格遵守国家保密法律法规,履行保密义务,确保国家秘密信息安全。
四、保密措施1. 计算机硬件管理(1)严格按照国家规定购置计算机设备,确保设备安全可靠。
(2)禁止将涉密计算机与非涉密计算机混合使用。
(3)禁止使用未经验证的计算机设备。
2. 计算机软件管理(1)安装计算机软件应经过单位审批,确保软件安全可靠。
(2)禁止安装、使用未经授权的软件。
(3)定期更新计算机操作系统和软件,修补安全漏洞。
3. 计算机网络安全管理(1)设置严格的网络访问权限,确保网络安全。
(2)禁止非法接入外部网络,未经授权不得使用外部网络资源。
(3)定期检查网络设备,发现安全隐患及时整改。
4. 数据安全管理(1)涉密数据应进行分类、分级管理,明确数据保密等级。
(2)禁止在互联网、公共网络等非保密网络存储、传输涉密数据。
(3)对存储涉密数据的设备进行加密,确保数据安全。
5. 信息安全意识教育(1)定期开展信息安全意识教育活动,提高员工保密意识。
(2)加强对新入职员工的保密教育,确保其了解和掌握保密知识。
五、泄密事件处理1. 发生泄密事件时,应立即采取措施,防止事件扩大。
2. 及时上报上级主管部门,并配合有关部门进行调查处理。
3. 对泄密事件责任人进行严肃处理,追究相关责任。
六、附则1. 本制度自发布之日起施行。
2. 本制度由单位保密工作部门负责解释。
3. 本制度如与国家法律法规相抵触,以国家法律法规为准。
计算机和信息系统保密管理制度
计算机和信息系统保密管理制度计算机和信息系统保密管理制度是指为了保护计算机和信息系统中的重要信息不被非法获取、使用、泄露或破坏,制定的一系列规章制度和管理措施。
下面将详细介绍一种计算机和信息系统保密管理制度,重点包括制度概述、保密责任、信息分类和分级保护、访问控制、应急响应、风险评估和监督检查等内容。
一、制度概述该计算机和信息系统保密管理制度适用于公司内部所有使用计算机和信息系统的岗位。
目的是加强对计算机和信息系统安全的控制,保护公司的信息资产和重要业务信息安全。
该制度的内容包括保密责任、信息分类和分级保护、访问控制、应急响应、风险评估和监督检查等。
二、保密责任1.公司领导层负责制定保密管理制度,并对其全面负责。
2.所有员工都有保密责任,不得泄露、篡改、破坏企业的机密信息。
3.建立保密岗位,负责信息安全保密工作的执行和监督。
三、信息分类和分级保护1.对公司所有信息进行分类,包括绝密、秘密和普通三个等级。
2.具体信息等级的确定由信息拥有者和保密岗位商定,并经批准后执行。
3.不同等级的信息采取相应的保护措施,比如绝密信息必须在专门的安全环境中存储和处理。
四、访问控制1.建立权限管理制度,对所有员工进行访问控制,确保只有授权人员能够访问和处理相应的信息。
2.制定账号安全管理制度,对账号进行定期检查和审计,及时删除或停用不再使用的账号。
五、应急响应1.建立应急预案,明确各类安全事件和事故的应急响应措施。
2.建立安全事件追踪和记录系统,对安全事件进行记录、分析和处理,及时采取措施阻止和修复安全漏洞。
六、风险评估1.定期进行风险评估,识别潜在的安全风险和漏洞。
2.建立风险管理制度,制定相应的风险应对措施,并确保其执行。
七、监督检查1.建立监督检查制度,定期对计算机和信息系统的保密管理制度进行评估和检查。
2.对不符合保密管理制度要求的行为,根据情况给予相应的纪律处分。
总结:计算机和信息系统保密管理制度是企业重要的信息资产保护体系之一,通过严格的保密责任、信息分类和分级保护、访问控制、应急响应、风险评估和监督检查等措施,可以有效地保护企业的信息资产和重要业务信息不被非法获取、使用、泄露或破坏。
计算机及网络安全保密管理规定
计算机及网络安全保密管理规定第一章总则第一条为加强计算机及网络安全保密管理,确保信息系统的安全性、可用性和完整性,保护国家利益、社会公共利益和个人权益,制定本规定。
第二条本规定适用于计算机及网络安全保密管理的机关、企事业单位、社会组织和个人。
第三条计算机及网络安全保密管理应当坚持的原则是:全面均衡、依法管理、分类保护、综合治理、动态管理。
第四条计算机及网络安全保密管理应当遵循的原则是:科学规划、综合预防、技术防控、加密保密、监管执法。
第五条计算机及网络安全保密管理应当依法进行,不得侵犯国家法律、法规规定的公民和组织的合法权益。
第六条计算机及网络安全保密管理应当在履行安全保密责任的基础上,充分发挥综合治理的作用,形成全员、全过程、全方位的安全保密管理体系。
第二章安全保密责任第七条计算机及网络安全保密管理的责任主体是信息系统的责任管理者和操作人员。
第八条信息系统的责任管理者应当履行以下安全保密责任:(一)建立健全信息系统安全保密制度和管理机制;(二)组织开展安全保密培训和教育,提高管理人员和操作人员的安全保密意识;(三)制定安全保密制度和技术规范,明确保密工作职责和工作流程;(四)加强对信息系统的维护和管理,确保系统的正常运行和安全防护;(五)定期对信息系统进行安全评估和漏洞扫描,及时修复安全漏洞;(六)及时报告和处理信息系统的安全事件和安全漏洞;(七)保管信息系统的安全保密资料和重要信息,防止泄露和丢失;(八)依法配合有关部门开展计算机及网络安全监管和执法工作。
第九条信息系统的操作人员应当履行以下安全保密责任:(一)严格按照工作职责和权限使用信息系统,不得越权操作和泄露信息;(二)保守系统的账号和密码,不得随意透露和共享;(三)加强信息系统的安全防护,避免病毒和黑客攻击;(四)及时备份和归档重要数据和文件,防止数据丢失和篡改;(五)参加信息系统安全培训和教育,提高安全保密意识和技能;(六)发现信息系统的安全漏洞和问题,及时上报并配合修复;(八)配合信息系统的监督检查和安全保密审计工作。
计算机信息系统保密管理规定
计算机信息系统保密管理规定计算机信息系统保密管理是现代社会中非常重要的一个方面,针对这一问题,各个国家和组织都制定了相应的保密管理规定。
下面将介绍计算机信息系统保密管理规定的相关内容。
1. 保密目的和原则计算机信息系统保密管理的目的是为了保护计算机信息系统的安全,防止信息泄漏、损坏和不当使用。
保密原则包括保密责任、需知原则、保密措施和保密教育等。
2. 保密管理权限计算机信息系统保密管理规定明确了保密管理权限的范围和分工,包括保密责任人、保密管理员、信息系统管理员等,确保保密工作得到专人专职负责的管理。
3. 保密工作制度计算机信息系统保密管理规定制定了一系列保密工作制度,包括信息资料的分类和标识、密级和保密期限的确定、安全控制措施的采取、密码管理制度等,为保护计算机信息系统提供了制度化的保障。
4. 保密审查和监督计算机信息系统保密管理规定规定了保密审查和监督制度,包括对信息系统的审查和检查、对员工的背景调查和安全审批、对保密工作的日常监督和定期检查等,确保保密工作的有效实施。
5. 保密事件报告和处理计算机信息系统保密管理规定要求及时报告和处理保密事件,包括信息泄漏、信息丢失、黑客攻击等,同时制定了相应的应急预案和处置措施,最大限度地减少保密事件对系统的影响。
6. 保密宣传和教育计算机信息系统保密管理规定强调保密宣传和教育的重要性,要求对员工进行定期的保密培训和教育,提高他们的保密意识和技能,促使他们自觉遵守保密规定。
7. 保密责任追究计算机信息系统保密管理规定明确了保密责任的追究制度,对违反保密规定的行为进行处罚和追责,包括警告、罚款、暂停使用计算机信息系统等惩罚措施,并在严重情况下追究法律责任。
8. 保密管理的技术手段计算机信息系统保密管理规定介绍了一些保密管理的技术手段,包括加密技术、身份认证技术、访问控制技术等,以加强对计算机信息系统的保护。
9. 保密管理的配套措施计算机信息系统保密管理规定还规定了一些配套措施,包括建立保密工作机构、完善保密管理制度、制定安全操作规程、建立保密通信网络等,以逐步完善计算机信息系统的保密管理体系。
2023年计算机信息系统保密管理规定
2023年计算机信息系统保密管理规定第一章总则第一条为了加强和规范计算机信息系统的保密工作,保护计算机信息系统的安全性和完整性,促进国家安全和社会稳定,制定本规定。
第二条本规定适用于中华人民共和国境内的各类计算机信息系统的保密工作。
第三条保密工作要坚持依法治理、科学管理、综合治理的原则,确保计算机信息系统的保密工作健康有序进行。
第四条保密工作依法属于国家秘密,保密工作机关是主管计算机信息系统保密事务的国家机关。
第五条计算机信息系统的保密工作是政府、企事业单位以及个人的法定义务。
第六条国家机关、企事业单位应当建立完善计算机信息系统的保密机构,配备专门的保密人员,加强计算机信息系统的保密工作。
第七条保密工作应当与计算机信息系统的设计、开发、运行和维护相结合,确保计算机信息系统的保密要求得到充分满足。
第二章保密内容第八条关于计算机信息系统的保密内容,必须按照国家法律、行政法规和有关规定确立。
第九条计算机信息系统的保密内容包括但不限于以下方面:(一)国家秘密及其守密期限;(二)信息系统的设计、开发、运行和维护等技术资料;(三)计算机信息系统的组成和基本框架;(四)计算机信息系统的安全机制和安全策略;(五)计算机信息系统的功能模块和接口;(六)计算机信息系统的安全防护措施;(七)计算机信息系统的应急处理和恢复措施;(八)计算机信息系统的漏洞、威胁和风险评估报告;(九)计算机信息系统的运行日志和安全事件记录;(十)其他依法应当保密的内容。
第十条保密内容的划分和管理由保密工作机关负责,并根据计算机信息系统的不同级别和安全等级进行分类、标注和管理。
第三章保密管理第十一条保密工作机关应当根据国家有关标准和技术要求,建立保密管理体系,包括保密目录、保密审查、保密指导、保密培训、保密考核和保密审计等。
第十二条保密工作机关应当制定计算机信息系统的保密技术和保密管理的相关规定,明确保密工作的具体要求和责任。
第十三条保密工作机关应当定期组织计算机信息系统保密检查,发现安全漏洞和隐患,及时进行整改和修复。
计算机信息系统保密管理制度
计算机信息系统保密管理制度一、总则为了保护计算机信息系统中的信息资产安全,保障信息主体的合法权益,建立和完善计算机信息系统保密管理制度,是公司保护信息安全的基本要求。
本制度的制定目的是为了规范计算机信息系统的使用和管理行为,确保计算机信息系统中的信息资产得到有效的保护和管理。
二、适用范围本制度适用于公司内部所有计算机信息系统的使用和管理行为。
三、保密责任1.公司所有员工有义务保守公司计算机信息系统中的信息安全,不得泄露、篡改和盗用公司的信息资产。
2.每位员工必须对公司的计算机账号和密码、存储介质、移动存储设备等进行妥善保管,不得向他人泄露。
3.管理人员要负责组织和实施计算机信息系统的安全管理措施,并对下属员工的保密工作进行监督和指导。
四、信息分类与标志1.将计算机信息系统中的信息分为公开信息、内部信息和机密信息三个级别,并相应地标识。
2.公开信息:无影响公司利益的信息,可以在未经授权的情况下向任意人展示和传播。
3.内部信息:不宜向外部人员展示和传播的信息,只能在内部范围使用。
4.机密信息:非常重要且不能泄露的信息,只能在经过授权的情况下使用,且仅限在授权范围内使用。
五、信息使用和管理1.员工在内部计算机信息系统中处理公司信息时,应按照公司的标准操作流程进行操作,不得滥用权限或逾越权限范围进行操作。
2.禁止在计算机信息系统中存储、发送、接收含有违法、有害、恶意程序或病毒的信息。
3.禁止私自安装和使用未经授权的软件或工具,如需安装或使用,应事先获得上级主管的批准。
4.禁止私自使用外部网络、移动存储设备和个人电脑等进行工作。
5.禁止非授权人员使用他人计算机账号和密码进行操作,应妥善保管自己的账号和密码,定期更换密码。
6.禁止私自更改他人计算机系统的设置和配置,避免出现故障和安全风险。
六、信息备份与恢复1.公司提供统一的备份机制,员工应定期备份计算机信息系统中的数据,并将备份数据存放在安全地点。
2.在进行计算机信息系统的维护和升级时,应提前备份相关数据,以免因操作失误或系统故障导致数据丢失。
计算机信息系统保密管理规定
计算机信息系统保密管理规定
本规定适用于采集、存储、处理、传递、输出时涉及国家秘密的计算机,以及各种存储介质。
一、严禁涉密计算机连接互联网或其他公共信息网,不得在非涉密计算机尤其是在连接互联网或其他公共信息网
的计算机上存储、处理涉密信息和使用涉密移动存储介质。
二、涉密计算机信息系统必须配备防电磁泄漏设备,不得在涉密机算机上使用无线键盘、无线鼠标、无线网卡等无线设备。
三、严禁将涉密计算机、涉密移动存储介质交由无关人员使用和保管,或者在涉密计算机上安装、拷贝来历不明的软件和硬件。
四、严禁非涉密计算机存储、处理涉密信息,不得将淘汰、报废的涉密计算机或涉密移动存储介质作非涉密载体处理。
五、严禁将载有涉密信息的磁介质接入非涉密计算机,不得在涉密与非涉密计算机之间交叉使用移动存储介质,或在未采取措施情况下将互联网上的资料拷贝到涉密计算机上。
六、涉密计算机和使用的涉密存储介质必须登记标识。
七、涉密计算机必须采取数据备份保护、防病毒入侵、保密监控等技术措施。
八、涉密计算机必须按规定设置口令密码,并限时更换。
九、存储、处理涉密计算机信息要有相应的密级标识,密级标识不得与正文分离。
十、维护、检修涉密计算机必须采取严密的安全保密措施,并有计算机安全保密管理员在场,进行监督和记录。
十一、严禁在网站、网页上公开发布未经保密审查的信息。
十二、对违反本规定造成失泄密的当事人要严肃查处。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
计算机和信息系统安全保密管理规定第一章总则第一条为加强公司计算机和信息系统(包括涉密信息系统和非涉密信息系统)安全保密管理,确保国家秘密及商业秘密的安全,根据国家有关保密法规标准和中核集团公司有关规定,制定本规定。
第二条本规定所称涉密信息系统是指由计算机及其相关的配套设备、设施构成的,按照一定的应用目标和规定存储、处理、传输涉密信息的系统或网络,包括机房、网络设备、软件、网络线路、用户终端等内容。
第三条涉密信息系统的建设和应用要本着“预防为主、分级负责、科学管理、保障安全”的方针,坚持“谁主管、谁负责,谁使用、谁负责”和“控制源头、归口管理、加强检查、落实制度”的原则,确保涉密信息系统和国家秘密信息安全。
第四条涉密信息系统安全保密防护必须严格按照国家保密标准、规定和集团公司文件要求进行设计、实施、测评审查与审批和验收;未通过国家审批的涉密信息系统,不得投入使用。
第五条本规定适用于公司所有计算机和信息系统安全保密管理工作。
第二章管理机构与职责第六条公司法人代表是涉密信息系统安全保密第一责任人,确保涉密信息系统安全保密措施的落实,提供人力、物力、财力等条件保障,督促检查领导责任制落实。
第七条公司保密委员会是涉密信息系统安全保密管理决策机构,其主要职责:(一)建立健全安全保密管理制度和防范措施,并监督检查落实情况;(二)协调处理有关涉密信息系统安全保密管理的重大问题,对重大失泄密事件进行查处。
第八条成立公司涉密信息系统安全保密领导小组,保密办、科技信息部(信息化)、党政办公室(密码)、财会部、人力资源部、武装保卫部和相关业务部门、单位为成员单位,在公司党政和保密委员会领导下,组织协调公司涉密信息系统安全保密管理工作。
第九条保密办主要职责:(一)拟定涉密信息系统安全保密管理制度,并组织落实各项保密防范措施;(二)对系统用户和安全保密管理人员进行资格审查和安全保密教育培训,审查涉密信息系统用户的职责和权限,并备案;(三)组织对涉密信息系统进行安全保密监督检查和风险评估,提出涉密信息系统安全运行的保密要求;(四)会同科技信息部对涉密信息系统中介质、设备、设施的授权使用的审查,建立涉密信息系统安全评估制度,每年对涉密信息系统安全措施进行一次评审;(五)对涉密信息系统设计、施工和集成单位进行资质审查,对进入涉密信息系统的安全保密产品进行准入审查和规范管理,对涉密信息系统进行安全保密性能检测;(六)对涉密信息系统中各应用系统进行定密、变更密级和解密工作进行审核;(七)组织查处涉密信息系统失泄密事件。
第十条科技信息部、财会部主要职责是:(一)组织、实施涉密信息系统的规划、设计、建设,制定安全保密防护方案;(二)落实涉密信息系统安全保密策略、运行安全控制、安全验证等安全技术措施;每半年对涉密信息系统进行风险评估,提出整改措施,经涉密信息系统安全保密领导小组批准后组织实施,确保安全技术措施有效、可靠;(三)落实涉密信息系统中各应用系统进行用户权限设置及介质、设备、设施的授权使用、保管以及维护等安全保密管理措施;(四)配备涉密信息系统管理员、安全保密管理员和安全审计员,并制定相应的职责;“三员”角色不得兼任,权限设置相互独立、相互制约;“三员”应通过安全保密培训持证上岗;(五)落实计算机机房、配线间等重要部位的安全保密防范措施及网络的安全管理,负责日常业务数据及其他重要数据的备份管理;(六)配合保密办对涉密信息系统进行安全检查,对存在的隐患进行及时整改;(七)制定应急预案并组织演练,落实应急措施,处理信息安全突发事件。
第十一条党政办公室主要职责:按照国家密码管理的相关要求,落实涉密信息系统中普密设备的管理措施。
第十二条相关业务部门、单位主要职责:涉密信息系统的使用部门、单位要严格遵守保密管理规定,教育员工提高安全保密意识,落实涉密信息系统各项安全防范措施;准确确定应用系统密级,制定并落实相应的二级保密管理制度。
第十三条涉密信息系统配备系统管理员、安全保密管理员、安全审计员,其职责是:(一)系统管理员负责系统中软硬件设备的运行、管理与维护工作,确保信息系统的安全、稳定、连续运行。
系统管理员包括网络管理员、数据库管理员、应用系统管理员。
(二)安全保密管理员负责安全技术设备、策略实施和管理工作,包括用户帐号管理以及安全保密设备和系统所产生日志的审查分析。
(三)安全审计员负责安全审计设备安装调试,对各种系统操作行为进行安全审计跟踪分析和监督检查,以及时发现违规行为,并每月向涉密信息系统安全保密领导小组办公室汇报一次情况。
第三章系统建设管理第十四条规划和建设涉密信息系统时,按照涉密信息系统分级保护标准的规定,同步规划和落实安全保密措施,系统建设与安全保密措施同计划、同预算、同建设、同验收。
第十五条涉密信息系统规划和建设的安全保密方案,应由具有“涉及国家秘密的计算机信息系统集成资质”的机构编制或自行编制,安全保密方案必须经上级保密主管部门审批后方可实施。
第十六条涉密信息系统规划和建设实施时,应由具有“涉及国家秘密的计算机信息系统集成资质”的机构实施或自行实施,并与实施方签署保密协议,项目竣工后必须由保密办和科技信息部共同组织验收。
第十七条对涉密信息系统要采取与密级相适应的保密措施,配备通过国家保密主管部门指定的测评机构检测的安全保密产品。
涉密信息系统使用的软件产品必须是正版软件。
第四章信息管理第一节信息分类与控制第十八条涉密信息系统的密级,按系统中所处理信息的最高密级设定,严禁处理高于涉密信息系统密级的涉密信息。
第十九条涉密信息系统中产生、存储、处理、传输、归档和输出的文件、数据、图纸等信息及其存储介质应按要求及时定密、标密,并按涉密文件进行管理。
电子文件密级标识应与信息主体不可分离,密级标识不得篡改。
涉密信息系统中的涉密信息总量每半年进行一次分类统计、汇总,并在保密办备案。
第二十条涉密信息系统应建立安全保密策略,并采取有效措施,防止涉密信息被非授权访问、篡改,删除和丢失;防止高密级信息流向低密级计算机。
涉密信息远程传输必须采取密码保护措施。
第二十一条向涉密信息系统以外的单位传递涉密信息,一般只提供纸质文件,确需提供涉密电子文档的,按信息交换及中间转换机管理规定执行。
第二十二条清除涉密计算机、服务器等网络设备、存储介质中的涉密信息时,必须使用符合保密标准、要求的工具或软件。
第二节用户管理与授权第二十三条根据本部门、单位使用涉密信息系统的密级和实际工作需要,确定人员知悉范围,以此作为用户授权的依据。
第二十四条用户清单管理(一)科技信息部管理“研究试验堆燃料元件数字化信息系统”和“中核集团涉密广域网”用户清单;财会部管理“财务会计核算网”用户清单;(二)新增用户时,由用户本人提出书面申请,经本部门、单位审核,科技信息部、保密办审批后,由科技信息部备案并统一建立用户;“财务会计核算网”的用户由财会部统一建立;(三)删除用户时,由用户本人所在部门、单位书面通知科技信息部,核准后由安全保密管理员即时将用户在涉密信息系统内的所有帐号、权限废止;“财务会计核算网”密办审核,公司分管领导审批。
开通、审批坚持“工作必须”的原则。
第六十四条国际互联网计算机实行专人负责、专机上网管理,严禁存储、处理、传递涉密信息和内部敏感信息。
接入互联网的计算机须建立使用登记制度。
第六十五条上网信息实行“谁上网谁负责”的保密管理原则,信息上网必须经过严格审查和批准,坚决做到“涉密不上网,上网不涉密”。
对上网信息进行扩充或更新,应重新进行保密审查。
第六十六条任何部门、单位和个人不得在电子邮件、电子公告系统、聊天室、网络新闻组、博客等上发布、谈论、传递、转发或抄送国家秘密信息。
第六十七条从国际互联网或其它公众信息网下载程序和软件工具等转入涉密系统,经科技信息部审批后,按照信息交换及中间转换机管理规定执行。
第九章便携式计算机管理第六十八条便携式计算机(包括涉密便携式计算机和非涉密便携式计算机)实行“谁拥有,谁使用,谁负责”的保密管理原则,使用者须与公司签定保密承诺书。
第六十九条涉密便携式计算机根据工作需要确定密级,粘贴密级标识,按照涉密设备进行管理,保密办备案后方可使用。
第七十条便携式计算机应具备防病毒、防非法外联和身份认证(设置开机密码口令)等安全保密防护措施。
第七十一条禁止使用涉密便携式计算机上国际互联网和非涉密网络;严禁涉密便携式计算机与涉密信息系统互联。
第七十二条涉密便携式计算机不得处理绝密级信息。
未经保密办审批,严禁在涉密便携式计算机中存储涉密信息。
处理、存储涉密信息应在涉密移动存储介质上进行,并与涉密便携式计算机分离保管。
第七十三条禁止使用私有便携式计算机处理办公信息;严禁非涉密便携式计算机存储、处理涉密信息;严禁将涉密存储介质接入非涉密便携式计算机使用。
第七十四条公司配备专供外出携带的涉密便携式计算机和涉密存储介质,按照“集中管理、审批借用”的原则进行管理,建立使用登记制度。
外出携带的涉密便携式计算机须经保密办检查后方可带出公司,返回时须进行技术检查。
第七十五条因工作需要外单位携带便携式计算机进入公司办公区域,需办理保密审批手续。
第十章应急响应管理第七十六条为有效预防和处置涉密信息系统安全突发事件,及时控制和消除涉密信息系统安全突发事件的危害和影响,保障涉密信息系统的安全稳定运行,科技信息部和财会部应分别制定相应应急响应预案,经公司涉密信息系统安全保密领导小组审批后实施。
第七十七条应急响应预案用于涉密信息系统安全突发事件。
突发事件分为系统运行安全事件和泄密事件,根据事件引发原因分为灾害类、故障类或攻击类三种情况。
(一)灾害事件:根据实际情况,在保障人身安全前提下,保障数据安全和设备安(二)故障或攻击事件:判断故障或攻击的来源与性质,关闭影响安全与稳定的网络设备和服务器设备,断开信息系统与攻击来源的网络物理连接,跟踪并锁定攻击来源的IP地址或其它网络用户信息,修复被破坏的信息,恢复信息系统。
按照事件发生的性质分别采用以下方案:1、病毒传播:及时寻找并断开传播源,判断病毒的类型、性质、可能的危害范围。
为避免产生更大的损失,保护计算机,必要时可关闭相应的端口,寻找并公布病毒攻击信息,以及杀毒、防御方法;2、外部入侵:判断入侵的来源,评价入侵可能或已经造成的危害。
对入侵未遂、未造成损害的,且评价威胁很小的外部入侵,定位入侵的IP地址,及时关闭入侵的端口,限制入侵的IP地址的访问。
对于已经造成危害的,应立即采用断开网络连接的方法,避免造成更大损失和带来的影响;3、内部入侵:查清入侵来源,如IP地址、所在区域、所处办公室等信息,同时断开对应的交换机端口,针对入侵方法调整或更新入侵检测设备。
对于无法制止的多点入侵和造成损害的,应及时关闭被入侵的服务器或相应设备;4、网络故障:判断故障发生点和故障原因,能够迅速解决的尽快排除故障,并优先保证主要应用系统的运转;5、其它未列出的不确定因素造成的事件,结合具体的情况,做出相应的处理。