保密信息等级分类及授权管理办法三篇

1、保密信息等级分类及授权管理办法三篇第 1 条保密和授权保密信息管理办法第一章总则第一条为有效加强 XX 有限公司 (以下简称 “公司 ”)的信息安全工作，防止和杜绝各种泄密行为，保护和合理利用公司秘密，确保公司信息披露的公正性、 公平性，保护公司及其他利益相关者的合法权益不受侵犯，根据相关法律、规定，结合公司实际情况，制定本管理办法。第二条保密信息是指技术信息、业务信息、不为公众所知、与公司利益相关、切实可行、受公司保密措施保护、在一定时间内只为一定范围内的人员所知的客户信息和管理信息。第三条公司各部门和员工都有保守公司秘密的义务， 并应做好信息保密工作。第四条信息保密工作实行主动预防、突出重

2、点、的政策，既要保密又要方便工作，充分履行信息披露义务。第二章保密信息范围和分类的确定第五条保密信息包括但不限于以下事项和行为 :(1)涉及公司经营管理、经营决策或对公司利益有重大影响，一旦泄露将给公司带来损失或损失潜在利益的信息；(2)包括各种书面和电子形式的信息；(3)其他与公司相关的保密信息。第六条保密信息的分类分为“绝密 ”、“秘密 ”、“秘密 ”。(1)绝密是公司最重要的秘密，泄露绝密会对公司利益造成特别严重的损害，主要包括公司发展计划、业务战略、客户信息及相关内容、交易系统信息数据、商务谈判内容及载体、正式合同及协议文件、未公开招标的投标文件、未公开的重大投资决策、公司尚未确定的重

3、要人事调整及安排，以及根据档案法属于绝密的各类文件；(2)秘密是重要的公司秘密，泄露会对公司利益造成严重损害，如、财务报表、统计数据、重要会议记录、公司经营等。，以及根据档案法的规定被列为机密的各种档案；(三)秘密是公司的一般秘密，泄露会损害公司的利益，如公司人事档案、合同、协议、薪酬制度、管理人员的人力资源评价资料、根据档案法属于秘密的各种文件。第七条分级方式中， 文件生成部门负责人应确定文件的分类等级、保密期限和起止日期，并在文件右上角标注。如果是公司的保密事项， 但分类无法标注， 保密部门负责人应口头通知联系范围内的人员进行授权。保密期限到期后，它将自行解密或在批准后提前解密。第八条属于

4、公司秘密的载体 (如图纸、数据、录音、录像、软盘、光盘、硬盘等。 )应根据本系统第 6 条、第 7 条进行相应标记。保密期限到期后，它将自行解密或在批准后提前解密。第三章主要涉密部门、 人员范围及授权管理第九条公司主要涉密部门包括总裁办公室、总裁办公室、技术部、运营监控部、交易部、结算部、合规稽核部、会员发展部、会员服务部、行政部、人力资源部、规划部、财务中心、信息中心、战略规划中心等部门。第十条公司主要保密人员包括(1)董事、监事、高级管理人员；(二)列入主要分类部门的所有员工；(三)负责制作保密事项、保管人员；(四 )公司主要分类部门根据需要临时或专门指定的部门或岗位的人员；(5)公司临时

5、聘用的从事保密工作的外部人员，如法律顾问、财务顾问等。根据保密信息的具体情况， 公司可要求保密人员签订保密协议。第十一条各部门负责人是本部门安全工作的负责人， 信息中心是公司的安全管理部门， 负责监督检查各部门的安全工作。 组织解决分类不清或有争议的事项，负责组织和处理公司的泄密事件。第十二条保密工作授权管理 (1)绝密事项 (包括载体 )由绝密事项生成部门指定，负责标识、保管和建立记录、账户，并定期统一移交信息中心档案室管理。绝密物品、的分发必须经公司相关领导批准， 并在一定时间内归还保管。允许知悉的绝密事项范围是公司董事、 监事、高级管理人员、绝密事项形成的相关人员，以及董事、监事、高级管

6、理人员认为需要知悉的对象；(2)对于涉密事项 (包括载体 )，涉密事项生成部门应指定专人负责标识和保管，建立记录、账户，并定期统一移交信息中心档案管理。机密事项的分发和传阅须经公司相关领导或其授权的部门经理批准，并在一定期限内归还保管。允许知悉的保密事项范围为:董事、监事、高级管理人员、由保密事项形成的相关人员，董事、监事、高级管理人员、保密事项负责人认为需要知悉的对象；(3)对于涉密事项 (包括载体 )，涉密事项生成部门应指定专人负责标识和保管，并建立记录、账户，定期统一转入信息中心档案进行管理。机密事项的分发和传阅须经部门经理或部门经理以上领导批准，并在一定期限内归还和保管。允许知悉的保密

7、事项范围是 :公司董事、监事、高级管理人员、保密事项形成的相关人员，董事、监事、高级管理人员、保密事项形成负责人认为需要知悉的对象。第四章保密管理第十三条员工在公司任职期间的工作成果归公司所有，按照保密协议和本制度进行管理。第十三条传阅的保密材料由保密人员统一管理，并划定传阅范围。不得自行展开，不得由无关人员检查，并控制传阅文件的交接，以防丢失。第十四条不得擅自复制、复制、复制机密文件、数据；不得在公共场所讨论秘密事项，不得在私人通信中涉及秘密内容。机密资料的复印件应视为原件， 复印过程中的废页应及时销毁。第十五条保密资料应当严格按照批准的份数印制。未经授权，不得再印刷和保留副本。汇票应像原件

8、一样进行管理。打印过程中形成的废页、应及时销毁。第十六条传输保密资料应当采取保密措施。传输应专门进行，不相关的事项不得处理。机密文件不得带入不利于保密的地方。第十七条做好通信保密工作，不得在没有保密措施的电话、传真机上传递保密材料。第十八条为确保公司重要会议的保密性， 会议地点应选择在有利于保密的地方，严格控制无关人员的进入，严禁乱发会议文件，会议结束后应检查丢失的材料。第十九条做好办公自动化安全工作， 对保密材料增加浏览和下载权限。第五章泄密的处理第二十条泄密是指下列行为之一 :(一 )将公司秘密泄露给不应当知道的人；(二)致使公司秘密超出有限接触范围，且未能证明不应当知道的人不知道的。第二

9、十一条公司在获悉泄漏事件发生或发现泄漏事件后，应及时向信息中心和主管领导部门报告。第二十二条发生泄密的部门应当根据情况及时采取补救措施，最大限度地减少泄密造成的损失。为处理泄漏，应做到以下几点:(1) 任何部门或个人都应积极配合有关部门查找事故原因；(二)处理责任人，以增强保密意识；(三)采取纠正和预防措施，防止类似泄密事件再次发生。第六章责任和奖惩第二十三条有下列情形之一的， 公司应当对相关部门或者人员给予表彰或者奖励 :(一)及时报告泄密情况， 避免给公司造成损失；(三)非责任人及时采取补救措施，避免或尽量减少泄密造成的损失；(三)在提高安全技术、安全措施等方面成绩显著的。第二十四条有下列

10、情形之一的， 给予警告或者适当的经济处罚:(一)泄露公司秘密，未造成严重后果或者经济损失的；(二)泄露公司秘密但采取补救措施的。第二十五条有下列情形之一的， 应当予以辞退。情节严重的，依法追究相关法律责任 (1)故意或过失泄露公司秘密，造成严重后果或重大经济损失的；(二)违反本制度规定，窃取、刺探、为他人购买或提供公司秘密的；(三)利用职权强迫他人违反保密规定。第七章附则第二十六条本办法未尽事宜，按照国家有关法律法规办理。第二十七条本办法自发布之日起实施。第二条保密信息分类及授权管理办法第二条保密信息分类及授权管理办法1 、组织机构及职责成立信息安全保密管理领导小组，负责局内信息安全保密管理工

11、作。组长是副局长李荣春。副组长是陈，副组长、蒋祖斌，总规划师、唐晨建，副组长、丁伟，副研究员、陈，副研究员办公室主任。成员由相关部门的负责人组成。领导小组办公室下设信息安全保密办公室，陈同志任主任。与此同时，郑、薛赞昭、丁福农、丁汀、陈金斌五位同志被调任为信息安全保密办公室成员，负责信息安全保密的日常工作和联络。2 、人员管理 (1)重要岗位的信息安全和保密责任1、在关键岗位设专人负责网络接入的安全管理，对在线信息进行安全检查，有效做好安全防范工作。2、重要岗位的保密信息不得在国际联网的计算机系统中存储、处理和传输， “保密信息不得接入互联网，互联网不得保密”。3、关键岗位人员应加强网络监控。

12、如果发现计算机或网络遭到大规模攻击，应及时向局领导报告，并按有关规定进行处理。如发现信息泄露， 在采取应急措施的同时， 应及时向市网络与信息安全协调小组和局领导报告。4、应备份重要位置的重要数据，以防止数据丢失、损坏。5、关键岗位人员应遵守我局信息存储、清理备份制度，定期进行信息安全检查，及时更新系统漏洞补丁，升级杀毒软件。6、信息安全保密办公室组织各部门加强对本机构重要岗位的信息安全监管和保密管理，定期检查，提高发现泄密隐患和处理泄密的能力，共同做好信息安全保密工作。(二 )人员离职时的信息安全管理规定人员离职人员离职人员离职人员离职人员离职人员离职人员离职人员离职人员离职人员离职人员离职人

13、员离职人员离职人员离职人员离职人员离职人员离职人员离职人员离职人员离职人员离职人员离职人员离职人员离职人员离职人员离职人员离职人员离职人员离职人员3 、信息安全、安全管理 (1)计算机和软件归档管理系统1、计算机及相关文件处理设备的采购由局办公室组织采购或捐赠。信息安全保密办公室登记备案后，统一发布计算机及相关设备的相关信息参数。2、信息安全保密办公室应建立完整的计算机和网络设备技术档案，并定期检查和登记计算机和软件的安装情况。3、计算机应安装正版信息安全保护软件，并及时升级和更新操作系统漏洞补丁和信息安全软件。4、拒绝使用未知来源的软件和光盘。任何需要引入的软件都必须首先防止病毒感染。(二)

14、计算机安全使用和保密管理规定1、计算机信息系统按照国家保密法标准和国家信息安全等级保护要求进行分类管理，并与安全设施规划、同步建设。2、办公计算机局域网分为内部网络、外部网络。内部网运行政府办公自动化系统软件，专用于处理和交换正式文件，属于保密网络。外部网络专用于各部门和个人浏览互联网，是一个非保密网络。内部、外部网络采用双线，物理隔离。3、测绘院 (待建 )用于存储电子数据 (如测绘数据、文件 )的计算机必须与内部、外部网络(包括政府专用网络 )物理隔离，不得连接到任何网络。4、涉及组织工作秘密的信息(以下简称涉密信息)应在指定的涉密信息系统中进行处理。严禁同一台计算机访问互联网和处理机密信

15、息。5、未经申请同意，局内所有办公计算机不得修改互联网IP 地址、网关、 DNS服务器、子网掩码等设置。6、禁止使用无线网卡、无线鼠标、无线键盘等具有无线互联功能的设备处理机密信息。7、严禁将办公室电脑带到与工作无关的地方。如果由于工作需要，确实有必要将带有机密信息的笔记本电脑带出，就必须进行记录和登记，确保机密信息的安全。(三)用户密码安全管理规定1、用户密码管理的范围是指机密计算机使用的密码。2、保密计算机设置的密码长度应大于或等于5 个字符，密码应定期更换。3、需要为分类计算机设置多种密码保护方法，如操作系统启动登录和屏幕保护。(四)分类移动存储设备的使用和管理1、分类移动存储设备由信息

16、安全保密办公室登记备案，由各部门负责人管理，并有专人管理。2、严禁在内部、外部网络中使用机密移动存储设备。3、移动存储设备在访问本部门的计算机信息系统前应检查并清除病毒、木马等恶意代码。4、严禁将分类存储设备带到与工作无关的地方。(五)数据复制操作管理规定1、在将互联网上的信息复制到内部网时，应采取严格的技术保护措施来检查和杀死病毒、 木马等恶意代码，以防止病毒传播等。2、使用移动存储设备将数据从内部网络复制到外部网络时，应采取严格的保密措施，以防泄漏。3、机密电子文件的复制和传输应严格按照相同类别纸质文件复制和传输的相关规定进行。不在网络传输、转发或抄送机密信息。4、当各部门因工作需要向外部

17、网络披露内部信息时，必须由部门负责人审核、并经相关领导同意后提交相关负责人统一发布。(6)计算机、存储介质、及相关设备维护、维护、报废、销毁管理规定1、计算机、存储介质和相关设备的维护、维护、报废、销毁由信息安全保密办公室负责， 信息安全保密办公室根据保密要求进行定点维护。需要外请修理的，要派人监督整个过程；信息安全保密办公室应拆除信息存储组件，防止存储数据在需要发送出去维护时泄漏。2、办公室计算机、存储介质和相关设备在改变用途时必须严格消磁。3、政府机构使用的计算机、存储介质和报废的相关设备、销毁时，应拆除存储组件， 信息安全保密办公室应根据相关要求统一销毁，同时做好记录。(七)网上发布信息

18、的保密规定1、信息安全保密办公室的工作人员完成了该局网站信息内容的更新。互联网上的所有信息都必须经过保密审查， 并提交主管领导审批。责任制必须严格按照 “谁主管、谁负责 ”、“谁主管、谁负责 ”、“谁主管、谁负责 ”的原则执行。2、为提供网上信息服务而收集的信息，除已经在其他新闻媒体上公开发布的信息外， 组织者应当在网上发布前征得信息提供单位的同意。网上信息扩充或更新的，应认真执行信息保密审查制度。当 3、机密人员在其他地方上网时， 应提高他们的保密意识，不要在聊天室发布、国家机密信息、电子公告系统、在线新闻。4、使用电子邮件或其他方式在线交换信息时，应遵守国家保密规定，不得使用电子邮件传输、

19、转发或复制国家秘密信息。四、应急管理 (1)应急措施1、网站上非法信息的紧急处理。当在我们的网站上发现非法信息时，发现者应立即向网站管理员报告。网站管理员应迅速清除非法信息，做好记录并向领导汇报。如果你认为情况严重，你应该报警。2、网站无法正常打开的紧急处理。当发现我局网站无法正常开通时， 发现者应立即向网站管理员报告。如果故障无法处理，应立即通知网站建设方进行处理。故障处理完成并经过测试后，系统恢复正常运行。3、黑客入侵紧急处理。当发现我局网站内容被篡改或黑客正在进行攻击时，应立即通知服务商将网站服务器与网络隔离并向领导报告。如果系统损坏，应立即通知网站所有者恢复和重建系统。如果你认为情况严

20、重，你应该报警。4、对网站程序破坏性攻击的紧急处理。网站应做好备份工作，并将备份保存在安全的地方。一旦网站遭到破坏性攻击， 应立即向领导报告并通知网站建设者。网站构建者负责检查系统日志和其他数据，确定攻击的来源，并恢复系统和数据。如果你认为情况严重，你应该报警。5、网站数据库崩溃的紧急处理。网站建设者应每月至少备份一次网站数据， 并将备份保存在安全的地方。一旦数据库崩溃，立即通知网站所有者负责数据恢复。(2)应急管理后处理应急处理工作结束后，应及时采取有效措施，尽快查明原因， 分析评估事故造成的损失和影响以及恢复重建能力，认真制定恢复重建计划，并及时组织实施。五、责任信息安全保密办公室应加强对

21、我局信息安全保密管理的监督，定期进行检查，发现问题及时纠正。使用计算机信息系统、管理人员违反本制度，情节较轻的，应予以批评教育；情节严重，造成安全隐患和泄漏风险的，按照有关规定处理。违反本制度泄露国家秘密的， 按照有关规定予以处罚； 构成犯罪的，依法追究刑事责任。 计算机信息系统是否属于保密信息系统主要取决于系统中的信息是否包含涉及国家秘密的信息， 无论保密信息是多还是少，只要存在 (即存储、保密信息被处理或传输 )，信息系统就是保密信息系统。然而，并不是所有的机密系统都是高度安全的计算机信息系统。并非所有高安全性计算机信息系统都是机密信息系统。例如，一些企业的计算机信息系统采用了许多安全技术

22、和管理措施来保护其商业秘密，达到了高度的安全性。然而，由于没有涉及国家机密的信息，它们不能被视为机密信息系统。然而，一些党政机关有一个非常小的保密网络， 它只连接一个或几个房间中的几台计算机，并采取相对封闭的物理安全措施，与外界物理隔离。虽然没有采用更多的安全技术， 但是系统的安全级别不是很高， 但是由于严格的管理、安全性和可控性， 并且国家机密信息在系统中运行，这些系统被归类为机密信息系统。根据保密等级将保密系统分为最高保密等级、 保密等级、保密等级，并实施保密保护。机密保护是针对机密信息系统的。根据涉密信息的保密级别、涉密信息系统的重要性、 被破坏后对国民经济和人民生活造成的危害以及涉密信

23、息系统必须达到的安全保护级别，分为三个级别 :保密级别、保密级别和最高保密级别。国家保密局制定了一系列涉密信息系统分类保护管理办法和技术标准。目前，正在实施的两项国家安全保密标准是涉及国家秘密的信息系统保密技术要求 。国家安全科技评估中心是中国唯一的涉密信息系统安全评估机构。对机密信息系统进行技术保护。修订草案规定， 按照国家保密标准， 保密信息系统应配备保密设施、设备。安全设施、设备应与分类信息系统同步规划、建设和运行。涉密信息系统投入使用前， 应当经设区的市级以上保密行政主管部门检查合格。严格规范保密信息系统中应遵守的保密行为。修订草案规定，保密计算机、保密存储设备不得接入互联网和其他公共

24、信息网络。未采取保护措施，不得在保密信息系统与互联网等公共信息网络之间交换信息；不允许使用非保密计算机、 非保密存储设备存储和处理国家秘密信息；不要擅自卸载保密信息系统的安全技术程序、 管理程序；不要泄露机密计算机、未经安全技术处理就已停用的机密存储设备、售出、丢弃；没有安全措施，不得在有线和无线通信中传输国家秘密、互联网和其他公共信息网络。根据国家保密局在涉及国家秘密的信息系统保密评估指南中对具体技术和管理指标的明确要求，我将简要说明 a 、硬件隔离的保密信息系统的关键部分。 第一分类单位的分类设备， 包括计算机终端、传真机、 IP 电话、复印机和移动存储设备，禁止接触除分类网络以外的任何设

25、备和网络。其次，涉密单位应禁止所有无线传输设备，如无线鼠标、键盘等外设，以及笔记本无线和蓝牙网络模块。2 、安全产品选择用于保密信息系统的安全产品必须是经国家有关主管部门授权的评估机构测试合格的国产设备。这些产品将在未来涉密网络系统的稳定运行中发挥重要作用。3 、分类网络的物理环境分类网络周围的环境需要安全域的清晰边界和域之间的可控通信。 禁止高密度信息从高级安全域流向低级安全域。通常，防火墙、用于隔离边界安全设备，如网络门，或者 VLAN 用于划分不同的安全域。 对于信息流控制， 通常使用关键字泛洪。四级、分类等级分类网络中的信息应有相应的分类标志， 一般分为四级 :非分类、秘密、秘密、秘密、