政府电子政务外网等保管理制度-安全保密管理制度

XXXX
网络信息中心
安全保密管理制度
修订及复核记录
第一章总则
第一条 XXXX网络信息中心是XXXX的核心部门。

为确保XXXX网络信息中心所管理的信息应用系统及门户网站安全、可靠、有效地运行，特依据有关保守国家秘密的法律法规，制定本保密管理规定。

第二条本规定所称的系统是指XXXX网络信息中心管理的信息系统周边设备、计算机设备、安全设备和相关的软件。

第三条 XXXX网络信息中心接入网系统中的设备在未采取有效的安全防护措施之前，严禁通过任何方式与互联网直接相连接。

第二章保密机构组成
第四条机构安排：依据涉密信息系统分级保护中对机构管理人员的要求，XXXX网络信息中心对安全保密机构设立如下：
（一）安全保密领导小组：负责领导XXXX门户网站相关的日常安全保密工作，以及制定安全责任制度。

（二）安全保密技术小组：负责XXXX门户网站（如上海市招考热线）的日常技术维护。

（三）应急响应小组：负责紧急情况领导、协调与门户网站相关的信息安全突发事件的应急处置和总结评估工作。

（四）系统管理员：负责制定网络设备策略，对网络设备、服务器进行维护、管理。

（五）安全保密管理员：负责制定安全设备策略；对安全设备进行维护、管理；统一产生口令，对其进行管理；负责维护密码机及其密钥。

（六）安全审计员：负责制定审计系统的策略，对审计系统的记录、存储进行管理。

第三章保密守则
第五条不得利用XXXX门户网接入网窃取国家秘密，危害国家利益。

第六条定期(每年一次)对参与XXXX门户网接入网工作及业务应用系统的使用人员进行保密教育及保密培训。

第七条要严格保守秘密，养成良好的保密意识，不该说的秘密不说，不该看的秘密不看，不该记的秘密不记，不该知道的秘密不要打听。

第八条不得在公共场所谈论秘密，不得在私人交往中涉及秘密。

未经领导批准，不得擅自将秘密文件转交其他人员；未经领导批准，个人不得保存秘密文件，不得翻印或复印秘密材料、资料、数据，不得将秘密信息为公开报刊写稿等。

第九条涉密人员调离时，必须把记有涉密信息的计算机、个人身份密钥和其他载有涉密材料的载体移交清楚，并进行为期半年的脱密后方能调离。

第十条国定假日及长假前，应集中进行保密检查，以防失、泄密。

第十一条保密工作应不断总结经验，表彰先进。

对于泄密事件应查清原因及时堵塞漏洞。

对重大失、泄密事件要查清责任者，根据情节给予适当处理，直至追究刑事责任。

第十二条禁止非XXXX网络信息中心管理的计算机接入门户网站接入网内，门户网站接入网内的任何计算机均必须安装终端防恶意代码软件并受到防恶意代码系统的集中管理。

第十三条涉密信息的知悉范围由分管院长或院保密委员会根据业务需要确定，原则上应当被限制在完成本职工作所需的最小范围内。

第四章涉密设备管理
第十四条接入门户网内的设备必须经过验收和授权使用审批后，才能在系统中使用。

由单位的安全管理员负责定期保养维护，当设备发生故障时，应及时分析故障原因，尽快修复，确保设备正常运行。

第十五条未经相关部门批准，任何人不得擅自安装、使用和擅自拆卸、移动各类网络及计算机设备；不得将接入门户网内的设备挪作它用；不得更改任何网络设备、端口、IP地址等配置参数。

第十六条接入门户网内的计算机必须设置帐号和口令，开机口令的位数为8位以上，应采用组合复杂，不易猜测的口令，一般应是大、小写英文字母、数字和特殊字符中两者以上的组合，并定期对口令进行更换。

第十七条接入的涉密设备由专人负责软件的安装、日常的维护和管理。

设备出现故障时，不得擅自拆卸，不得擅自送交非指定维修部门检查、修理，应由市国家保密局负责安排维修，并做好设备维修记录和设备变更信息表。

需送修或
更换的密码设备，必须安排专车，并至少派两名工作人员押送。

在对设备进行维护时，应对设备中储存的数据采取妥善有效的保护措施，严防信息丢失。

第十八条配套使用的IC卡（包括系统卡、管理员卡、认证卡等）、文档资料和附配件，必须由专人专柜妥善保管，不得随意带出办公室。

发现涉密介质遗失，应立即向相关领导和市国家保密局报告，并组织查处，及时将查处情况报告市国家保密局。

第十九条定期审查设备审计日志，作好审查记录。

审查记录不得擅自更改、删除。

第二十条设备管理具体要求可参见《上海市党委系统网（上海市门户网）配置设备管理规定》（沪委办发﹝2003﹞71号）。

第二十一条涉密计算机或设备需要调出（或借出）情况下，由责任人申报，经批准，做好登记并确定不随机带出涉密信息方可带出。

（一）与外单位交流出的介质应由责任人应做好病毒检测。

（二）对接收外单位和所属人员的介质责任人应做好病毒检测。

第二十二条网络安全设备指定专人负责管理。

网络安全设备的维护应按市国家保密局等有关部门的规定办理。

第五章软件管理及病毒防治
第二十三条接入门户网的计算机设备所使用的操作系统、应用软件、安全软件、工具软件，必须是正式版本，必须安装经市国家保密局认可的防病毒软硬件产品。

严禁使用盗版软件，禁止使用有损系统安全保密的软件。

第二十四条所有的系统软件和应用软件应进行登记造册，并由专人保管。

主要系统软件应有备份措施。

第二十五条接入门户网的设备由专人负责软件的安装、日常的维护和管理。

第二十六条指定专人负责病毒的防治工作，要求岗位人员必须掌握常见的计算机病毒的防治处理知识和必要的技术手段，实时报告本系统计算机病毒的发生情况。

根据网络信息中心对门户网的统一规定，定期升级防病毒系统。

制定严格的病毒防范制度，控制病毒来源，定期对全网进行病毒查杀（可对防病毒软件进行设置成定期自动进行），作好相关记录。

第二十七条计算机使用人员应有较强的病毒防范意识，发现病毒立即处理并通知专职人员，由防病毒管理员进行专门诊断和处理。

我院没有能力处理的计
算机病毒，应立即向网络信息中心和保密局指定维护方报告，请专业人员协助处理。

第二十八条使用网络信息中心管理的门户网的漏洞扫描系统每年对整个网络设备、操作系统进行两次扫描，分析与安全有关的事件，修补安全漏洞，做好扫描记录。

第二十九条新软件系统安装前应进行病毒例行检测。

第六章涉密人员管理
第三十条安全保密管理领导小组主管本单位的门户网重点涉密人员的教育和管理工作。

第三十一条门户网重点涉密人员是指因工作需要经常接触、处理大量涉及国家秘密事项或了解、掌握重要国家秘密事项，在保守国家秘密方面有重要责任的人员。

主要指：系统管理员、安全审计员、安全保密管理员。

第三十二条涉密人员必须是历史清楚、政治可靠的本院正式工作人员。

由安全保密管理领导小组依据有关保密工作制度进行提名、申报、审定。

在上岗前，须通过业务技术培训。

第三十三条重点涉密人员的教育，由安全保密管理领导小组、干部管理部门共同组织实施。

重点涉密人员的教育，应着重抓好岗前、在岗、离岗三个重点环节。

岗前教育：进行保密工作基本知识教育，明确岗位保密工作基本要求和熟悉各项保密制度条例。

在岗教育：加强日常的保密教育，每年不得少于16小时，采取多种形式进行。

离岗教育：离开原来工作岗位后，对所知悉的国家秘密继续承担保密责任，切实履行保密义务。

第三十四条重点涉密人员由安全保密管理领导小组和干部管理部门共同监督管理。

第三十五条重点涉密人员保密工作成绩显著的，应给予物质奖励。

第三十六条重点涉密人员如违反规定，应视情按有关保密规定进行处罚。

第三十七条人员调整时，必须把记有涉密的笔记本、软盘、光盘、个人身份密钥和其他载有涉密材料的载体移交清楚，要按有关要求及时填写人员信息变更表，报有关部门备案，并严格办理交接手续，认真核实设备和文件资料，发现问题及时查证。

第三十八条要创造条件为重点涉密人员的培训、教育、奖励、活动提供必要的经费。

第三十九条涉密人员必须签订保密协议，明确其应承担的安全保密责任和应遵守的保密规定；保密协议的内容应符合国家有关规定，保密协议中应设有适当的奖惩条款。

第七章泄密处理
第四十条发生失、泄密事件，任何有关部门和个人不得隐瞒，必须立即将情况报告安全管理员，同时报告安全保密管理领导小组。

第四十一条失、泄密事件发生后必须采取一切可能的补救措施，将失、泄密的影响和损失控制在最小范围，并应追查原因及时堵塞漏洞。

第四十二条根据泄密影响程度，对有关责任人给予行政处分、追究相关责任，对情节严重者依法追究刑事责任，并视情将有关情况向国家职能部门报告。

第八章附则
第四十三条本规定自下发之日起施行。