六涉密信息系统与信息设备管理办法

（内部资料，注意保密）涉密信息系统与信息设备管理办法

云南邮电工程有限公司

二O一七年三月

目录

第一章总则 .............................................................................................................

第二章信息系统保密管理 ...................................................................................

第三章保密设施设备的管理 ...............................................................................

第四章附则 .........................................................................................................

附件一涉密计算机和涉密移动存储介质维修、报废审批表 .......................

附件二涉密信息设备维修（报废）记录表 .................................................

附件三涉密计算机查杀病毒及病毒库升级登记表 ...................................

附件四携带涉密便携式计算机、移动存储介质外出申请审批表 .............

云南邮电工程有限公司

信息系统、信息设备和保密设施设备管理制度

第一章总则

第一条为了加强信息系统、信息设备和保密设施设备的管理，确保国家、企业秘密的安全，根据相关保密法律法规及其他相关规定，特制定本制度。

第二章信息系统保密管理

第二条公司对存储、处理国家秘密的计算机信息系统（以下简称涉密信息系统）按照涉密程度实行分级保护。

第三条公司涉密信息系统按照系统规划设计处理信息的最高密级，划分为绝密、机密和秘密三个级别，对不同级别的涉密信息系统采取相应的安全保密防护措施。集中处理工作秘密的信息系统，应当参照秘密级信息系统进行保护。

第四条公司的涉密信息系统必须按照国家保密局制定的《涉及国家秘密的信息系统分级保护技术要求》、《涉及国家秘密的信息系统分级保护方案设计指南》、《涉及国家秘密的信息系统分级保护管理规范》等国家保密标准配备符合国家保密标准的设施、设备。

第五条公司的涉密信息系统投入使用必须经检查合格。根据《涉及国家秘密的信息系统审批管理规定》，涉密信息系统投入使用前必

须经过系统测评和系统审批，符合涉密信息系统分级保护要求后，方可投入使用。

第六条本企业涉密信息系统应能识别终端，以查出非法用户的位置，能跟踪各种非法请求并记录某些文件的使用情况。

第七条公司应当加强对涉密计算机、信息设备、存储介质的管理，任何组织和个人需遵循以下规则：

(一)涉密信息设备维修、报废管理

1、建立涉密信息设备的售后商家名录，并对售后商家的资格进行核查，当涉密信息设备需要维修时，只能送到指定的维修商家进行维修。如必须有外来人员进行修理时，应有保密办人员全程陪同，必须指定专人负责，对维修人员、维修对象、维修内容、维修前后状况进行监督并详细记录。

2、涉密信息设备需要报废时，应填写《涉密信息设备与介质报废审批表》，送交保密行政管理部门设立的销毁工作机构或者保密行政管理部门指定的公司销毁，彻底清除其中的涉密信息后，对涉密信息存储部件和介质进行清点、登记、销毁。(二)涉密信息与使用的涉密信息设备密级必须相匹配，不得使用低

密级涉密信息设备存储、处理高密级涉密信息；

(三)涉密计算机应按国家保密技术标准，采取相应的技术防范

措施 ( 身份认证、访问控制、加密存贮和安全跟踪审计

等 )；

(四)涉密计算机不允许联接互联网，内网终端因工作需要上互

联网的，须按企业内部审批流程，经本部门保密负责人同

意并安装隔离卡，确保涉密计算机与互联网的物理隔离；

涉密计算机在不能有效与互联网进行物理隔离的情况下，不允许联接互联网。

(五)涉密计算机必须拆除具有无线联网功能的硬件模块，涉密计算

机不得使用无线外围装置的信息设备；

(六)涉密计算机不得外联，并通过相关的软件实施外联监控措

施；涉密计算机必须采取移动存储介质技术管控措施；(七)涉密计算机必须使用登记在册的涉密信息设备存储、处理

涉密信息，涉密计算机与非涉密计算机不得交叉使用移动

存储介质；涉密计算机必须单独使用打印机、扫描仪，不

能与非涉密计算机之间共用，确保涉密信息打印、刻录等

输出相对集中、有效控制，并采取相应的审计措施。(八)携带涉密信息设备和介质外出，不能只做登记处理，必须

报公司保密工作领导小组批准，未获批准携带涉密信息设

备和介质外出，公司将对携带人员和保密办公室人员实行

惩罚机制；外出时，应对涉密信息进行加密存贮，并有专

人对涉密信息设备和介质进行严格管理，采取相应的保护

措施，保证其始终处于有效控制之下，防止出现丢失、被

盗、被毁以及泄密等情况；涉密信息设备及移动存储介质

带出前和带出后归还都应该进行保密检查。

(九)计算机、交换机、路由器、服务器等的口令应加密存贮。

员工必须遵循口令的使用规则，同时必须对口令的产生、

登记、更换期限实行严格管理；

(十)不得随意将未经安全技术处理的退出使用的涉密计算机、涉密

存储设备赠送、出售、丢弃或者改作其他用途。

第八条计算机数据备份及日志清理规范

（一）需要备份的数据包括：系统配置、数据库、业务流程、应用程序等重要数据，特别是私有的、不可从另外的地方恢复的数据；（二）每季度做一次完全备份，包括第一条里列出的所有数据。每月做一次数据库备份，并在备份数据文件名称中加入日期进行标

识；

（三）当数据有很大的改变时或有重大数据库修改动作时必须立刻做好数据备份；

（四）备份的时候碰到技术难题，杜绝盲目操作，避免造成事故，必要时提请厂商提供现场的数据库备份支持服务工作。

第九条安全保密防护措施

安全保密产品必须是经国家保密局检测合格的，所有涉密的安全产品必须在具有相应涉密设备销售资质的代理商处购买。

第十条计算机病毒防治规范

计算机病毒防护产品必须经公安机关批准，密码产品必须经国家