普通密码使用管理规定

普通密码使用管理规定

第一章总则

第一条为了切实加强局普通密码设备的保密管理，确保国家秘密安全，根据《中华人民共和国保守国家秘密法》和国家有关法规的规定，结合工作的实际，制定本规定。

第二条局保密工作实行分级负责制，各室涉密信息的保密工作由各室具体负责。各室要切实做好管理使用的网络设备、计算机信息系统、笔记本电脑及各类移动存储介质的保密安全工作，确保本室涉密信息安全。

第二章计算机信息系统的保密管理

第三条网络设备、计算机、笔记本电脑必须安装防病毒工具，定期检测和杀毒，确保计算机安全、正常运行。

第四条涉密的计算机信息系统，不得直接或间接地与国际互联网或其他公共信息网络连接，必须实行物理隔离。

第五条涉密信息和数据必须按照保密规定进行采集、存储、处理、传递、使用和销毁。

第六条定期检查计算机系统，防止文件丢失或漏洞，防止涉密文件和其他需要保护的内容进入网络。

第七条对重要数据要备份，备份介质可采用光盘、硬盘、U盘或软盘等。

第八条加强网络管理，发生异常现象要及时向分管领导及市纪委监察局保密领导小组报告。

第九条对计算机信息系统的工作人员进行上岗前的保密培训，自觉执行有关规定，并定期进行保密教育和检查。

第十条严禁私自修改计算机的软、硬件配置，不得随意从网上下载未经检查的软件。

第十一条对系统进行维护时，应采取数据保护措施，要断开与互联网的连接。

第三章笔记本电脑的保密管理

第十二条笔记本电脑应当落实专机专用，专柜存放，专人管理，确保安全。

第十三条笔记本电脑一般应在办公场所使用。因工作需要带出办公室的，应当报单位领导批准，并按规定使用管理。

第十四条携带笔记本电脑出差、开会时，应妥善保管，不准带入无关场所，防止丢失、被盗。

第十五条存储涉密信息的笔记本电脑，应按照涉密信息的最高密级进行保密管理。不准带公用笔记本电脑回家里使用，严禁将涉密笔记本电脑接入国际互联网或其他公共信息网络。

第四章国际互联网的保密管理

第十六条未经批准，涉密计算机一律不允许上国际互联网。如有特殊需求，必须事先提出申请，并报保密领导小组批准后方可实施，上网涉密计算机必须安装物理隔离卡。

第十七条上网信息的保密管理坚持“谁上网谁负责”的原则。凡向国际互联网的站点提供或发布信息，必须经过分管领导批准后报保密领导小组审查批准。第十八条局保密领导小组应加强对上网人员的保密意识教育，提高上网人员保密观念，增强防范意识，自觉执行保密规定。

第十九条涉密人员在其他场所上国际互联网时，要提高保密意识，不得在聊天室、电子公告系统、网络新闻上发布、谈论和传播国家秘密信息。使用电子函件进行网上信息交流，应当遵守国家保密规定，不得利用电子函件传递、转发或抄送国家秘密信息。

第二十条各室内部接入互联网的计算机用户，应当接受并配合保密领导小组及各级保密工作部门实施的保密监督检查，协助保密工作部门查处利用国际互联网泄露国家秘密的违法行为，并根据保密工作部门的要求，删除网上涉及国家秘密的信息。

第二十一条各室内部接入互联网的计算机用户，发现国家秘密泄露或可能泄露情况时，应当立即向保密领导小组汇报，由保密领导小组向保密工作部门或机构报告。

第五章用户密码安全的保密管理

第二十二条用户密码管理的范围是指局所有涉密计算机所使用的密码。

第二十三条机密级涉密计算机的密码管理由涉密室负责人负责，秘密级涉密计算机的密码管理由使用人负责。

第二十四条用户密码使用规定：

（一）密码必须由数字、字符和特殊字符组成；

（二）秘密级计算机设置的密码长度不能少于8个字符，密码更换周期不得多于30天；

（三）机密级计算机设置的密码长度不得少于10个字符，密码更换周期不得超过7天；

（四）涉密计算机需要分别设置BIOS、操作系统开机登录和屏幕保护三个密码。第二十五条密码的保存：

（一）秘密级计算机设置的用户密码由使用人自行保存，严禁将自用密码转告他人；因工作需要确须转告的，应请示分管领导批准；

（二）机密级计算机设置的用户密码须登记造册，并将密码本存放于保密柜内，由专人管理。

第六章涉密计算机系统病毒的防治管理

第二十六条涉密计算机必须安装经过国家安全保密部门许可的查、杀病毒软件。

第二十七条每周升级和查、杀计算机病毒软件的病毒样本。确保病毒样本始终处于最新版本，同时将升级记录登记备案。

第二十八条绝对禁止涉密计算机在线升级防病毒软件病毒库，同时对离线升级包的来源进行登记。

第二十九条每周对涉密计算机病毒进行一次查、杀检查，并将查、杀结果登记造册。

第三十条涉密计算机应限制信息入口，如软盘、光盘、U盘、移动硬盘等的使用。

第三十一条对必须使用的外来介质（磁盘、光盘，U盘、移动硬盘等），必须先进行计算机病毒的查、杀处理，然后才可使用。

第三十二条对于因未经许可而擅自使用外来介质导致严重后果的，要严格追究相关人员的责任。

第七章涉密电子文件的保密管理

第三十三条涉密电子文件是指在计算机系统中生成、存储、处理的机密、秘密和内部的文件、图纸、程序、数据、声像资料等。

第三十四条电子文件的密级按其所属项目的最高密级界定，其生成者应按密级界定要求标定其密级，并将文件存储在相应的目录下。

第三十五条各用户需在本人的计算机系统中创建“机密级文件”、“秘密级文件”、“内部文件”三个目录，将系统中的电子文件分别存储在相应的目录中。

第三十六条电子文件要有密级标识，电子文件的密级标识不能与文件的正文分离，一般标注于正文前面。

第三十七条电子文件必须定期、完整、真实、准确地存储到不可更改的介质上，并集中保存，然后从计算机上彻底删除。

第三十八条各涉密室自用信息资料由本室管理员定期做好备份，备份介质必须标明备份日期、备份内容以及相应密级，严格控制知悉此备份的人数，做好登记后进保密柜保存。

第三十九条各室要对备份电子文件进行规范的登记管理。每周做增量备份，每月做全量备份；备份可采用磁盘、光盘、移动硬盘、U盘等存储介质。

第四十条涉密文件和资料的备份应严加控制。未经许可严禁私自复制、转储和借阅。对存储涉密信息的磁介质应当根据有关规定确定密级及保密期限，并视同纸制文件，分密级管理，严格借阅、使用、保管及销毁制度。

第四十一条备份文件和资料保管地点应有防火、防热、防潮、防尘、防磁、防盗设施，并进行异地备份。

第八章涉密移动存储介质的保密管理

第四十二条涉密存储介质是指存储了涉密信息的硬盘、光盘、软盘、移动硬盘及U盘等。

第四十三条凡内部管理范围的有涉密存储介质的各室需填写和保管“涉密存储介质登记表”，并将登记表的复制件报保密领导小组登记、备案并及时报告变动情况。

第四十四条因工作需要向存储介质上拷贝涉密信息时，必须经分管领导批准，报保密领导小组备案，并填写“涉密存储介质使用情况登记表”，同时在介质上按信息的最高密级标明密级。

第四十五条存有涉密信息的存储介质不得接入或安装在非涉密计算机或低密级的计算机上，不得转借他人，不得带出工作区，下班后存放在本单位指定的密码