公司计算机和信息系统保密管理制度

公司计算机和信息系统保密治理制度第一章总则第一条为进一步加强公司计算机和信息系统保密治理工作，防范泄密大事其次条本制度适用于公司各部门计算机和信息系统的保密治理。其次章计算机和信息系统保密治理总体要求第三条公司计算机信息系统治理坚持“涉密机不上国际互联网，上国际互联网机不涉密”的原则。第四条公司计算机实行分级保护。计算机的分级保护是指涉密计算机的使保密办依据该计算机的保护等级实施监视治理，确保计算机和信息的安全。同步建设；突出重点，确保核心；明确责任，加强监视”的原则。第六条涉密计算机依据所处理的最高密级，由低到高划分为隐秘、机密两个等级。第七条公司规划和建设涉密计算机集中治理区域时，必需同步规划和落实要求的，不得处理涉密信息。第八条涉密计算机集中治理区域内涉密计算机的安全防护产品，应中选择效劳、询问、风险评估等。公司保密办要对涉密计算机的防护方案进展备案。第九条涉密计算机领导小组应当定期组织对涉密计算机的安全保密状况进展要求全都的防护水平。第十条涉密计算机应当制定文档化的安全保密策略，并依据环境、系统和威逼变化状况准时调整更；应当定期〔13〕形成12形成文档化的风险分析报告，对存在的风险应当准时实行补救措施。第十一条涉密计算机的密级，依据涉密计算机所处理的最高密级设定。涉过安全保密培训，持证上岗，并依据重要涉密人员治理。第十二条计算机领导小组应当制定相关的安全保密治理制度，主要包括保算机应急处置预案。第十三条保密中心机房应中选择通过国家相关主管部门授权测评机构检测制止安装或拆卸硬件设备和软件。第十四条涉密计算机应当与国际互联网和其他公共信息网络实行物理隔离密码保护措施。第十五条未经计算机领导小组审批，制止对涉密计算机系统格式化或重装操作系统，制止删除涉密计算机的移动存储介质及外部设备等日志记录。第十六条不得擅自更改涉密计算机、涉密便携式计算机中移动存储介质、记录应当存档备案。第十七条公司计算机的治理和使用坚持“谁主管，谁负责”的原则。建立使用、维护、报废、销毁等状况做完整记录。〔见附件〔3〕报粘贴涉密等级或非密的标识及编号后，才能投入使用。第十九条计算机的密级确定后，原则上不能再做变更，因特别状况，涉密司保密部门和计算机领导小组严格检查后，才能使用。其次十条计算机领导小组要建立各类信息设备和存储介质台账，应粘贴标公司计算机领导小组应定期对信息设备进展清查核对和登记〔612。其次十一条涉密信息设备和存储介质中的涉密信息应当标明密级。其标注方法：形、图像、数据，只要内容涉及国家隐秘，在首页都应当标注密级标识。级标识的，可将密级标识作为文件名称的一局部进展标注。软件运行首页、数据视图首页和影像播映首页应当标注密级。其次十二条各部门要配备计算机治理员，负责计算机和信息系统的治理，并定期对计算机的使用状况进展安全保密检查。第三章涉密计算机保密治理其次十三条涉密计算机使用治理要求生。〔二〕操作人员要加强计算机学问的学习，正确操作使用计算机。留意保密。〔四自或让其他非专业技术人员修改计算机系统的重要设置。严禁将内网计算机系统直接或间接地与国际互联网或其它公共信息网络联接，保证内网和国际互联网完全物理隔离。严禁利用计算机非法入侵他人或其他人或其他组织的计算机信息系统。使用要求前方可申请报废。员联系，不得擅自拆装计算机或调换设备配件。其次十四条口令治理要求〔一口令更换记录。机系统口令长度不得少于八个字符。文简称、个人信息〔如生日、名字、反向拼写的登录名，房间中可见的东西，年份，以及机器中的口令等。〔四〕存储和记录口令的载体要安全存放。〔五〕日志不得记录对口令文件的任何操作。〔六〕制止将口令贴在机箱、显示器、键盘等明显的地方。口令的计算机治理员离岗后，原则上有关的各级用户口令必需尽快修改。其次十五条用户使用权限治理要求〔一〕允许命名用户访问计算机中特定的文件夹，实现文件的备份和打印。〔二〕用户可通过计算机中除文件保险箱外的文件夹〔共享文件夹，实现密压缩前方可共享。〔三非授权用户访问涉密计算机用户身份识别数据。〔四〕USBKEY威逼变化状况准时调整更；应当定期〔13〕形成评估，形成文档化的风险分析报告，对存在的风险应当准时实行补救措施。〔五〕授权用户应当保护自己密码，不得外泄；用户不得超越自己的权限访问其他涉密计算机。其次十六条计算机系统备份与恢复治理要求〔一〕系统软件、应用软件、重数据信息等实行备份措施。〔二出的备份文件介质使用完毕，必需准时归还保密办。〔四〕24其次十七条单机安全应急反响预案〔一〕安全治理员在觉察可疑攻击和入侵迹象时，必需尽快处理并记录。组织技术力气进展处理。1.分析推断质以及严峻程度。入侵或攻击的终止止对方系统的破坏行为。记录和备份件，保存内存中的进程列表和外接设备连接状态，并且翻开进程记录功能。恢复5.定位6.汇报示处理方法。其次十八条计算机保密机房治理〔一〕机房出入治理进入机房登记表，经保密办批准前方可进入。进入机房人员应遵守机房治理制度。物质等对设备正常运行构成威逼的物品。〔二〕机房安全治理录。改。〔USBKEY定期更改。机房工作人员应严格遵守保密制度，不得擅自泄露各种信息资料与数据。机房内严禁吸烟、喝水、吃食物、玩耍和进展猛烈运动，保持机房安静。不定期对机房内设置的消防器材、监控设备进展检查，以保证其有效性。〔三〕操作治理面报告负责人，负责人批准签字前方可执行，全部操作记录必需有存档记录。操作人员每日在使用完涉密计算机后，要对机房环境进展清洁，以保持机4.按规章制度要求做好各种数据、文件的备份工作。全部重要文档定期整理装订，专人保管，以备后查。〔四〕运行治理统及更改设备参数配置。和记录。记手续。实，并作为人员考核之依据。其次十九条计算机病毒防范措施〔一马上处理，并通知保密办或专职人员。〔二〕承受国家正版防病毒软件〔制止使用国外防病毒软件，并准时更换软件版本。〔三确为需要安装，安装前应办理相关审批手续并进展病毒例行检测。〔四的来源。第三十条涉密介质安全治理要求〕U标明密级。〔二〕存储过涉密信息的介质不能降低密级使用。〔三“涉密载体保密治理制度”相关规定。〔四〕涉密介质有专人负责进展维护。护时的修理对象、故障缘由、排解方法、主要修理过程及修理的有关状况等。有安全治理员在场。〔七由主管领导批准前方可进展报废处理。〕U的牢靠性等级，制定预防性维护、更打算。〔九〕U密级标识。〔十U或密码铁皮柜中，制止将存贮有涉密事项的移动存储介质携带外出。〔十一U3〔要害部位因有特别防范措施不受此限制。〔十二涉密文件名与文件首页左上角标明密级，并严格按涉密介质进展治理。〔十三〕特地用于重要涉密任务的计算机，工作时必需使用电磁干扰器。24办领导申请，批准前方可延期归还。第三十一条涉密信息密级标识治理要求相应的密级标识。保密办定期或不定期对涉密计算机内存储的密级文件的密级标识状况进展检查。〔五报。第三十二条关于制止使用涉密计算机上国际互联网或其它非涉密信息系统的治理要求使用计算机，严禁使用涉密计算机上国际互联网或其它非涉密信息系统。安全治理员定期对涉密计算机是否上国际互联网或其它非涉密信息系统进展检查。者，依据公司《保密治理制度》中“保密工作奖惩制度”的相关规定处理。〔四报。第三十三条关于制止在非涉密计算机系统上处理涉密信息的实施要求作使用计算机，严禁在非涉密计算机上存储、处理涉密信息。〔二〕非涉密信息系统治理员对非涉密计算机上存储的信息定期进展检查。〔三〕保密办不定期对非涉密计算机上存储的信息进展抽查。〔四〕非涉密计算机违规存储、处理涉密信息或造成泄密大事者，依据公司《保密治理制度》中“保密工作奖惩制度”的相关规定处理。第三十四条关于涉密计算机必需与国际互联网等非涉密信息系统施行物理隔绝的治理要求国际互联网或其它非涉密信息系统，确保涉密计算机与外网的物理隔绝。他计算机通过本端口进入涉密计算机。〔三〕安全治理员定期对涉密计算机与外网的物理隔绝状况进展检查。〔四制度》中“保密工作奖惩制度”的相关规定处理。〔五报。第四章涉密计算机信息交换保密治理〔包括国际互联网和公共信息网络产生和供给的资源。第三十六条中间转换机分为非涉密中间转换机和涉密中间转换机。〔一用程序、数据和其他相关信息等。涉密中间转换机用于实现外部的涉密移动存储介质与内部涉密计算机的信息交换。涉密中间转换机的密级应当依据转换信息的最高密级确定。〔三恶意代码防护产品。第三十七条信息交换应遵从以下原则：〔一机时，应当填写审批单，注明信息的名称、来源、用途等，经公司计算机领导小录，并卸载移动光盘刻录装置，关闭数据接口。〔三〕将外部涉密移动存储介质信息导入涉密计算机时，应当填写审批单，注明信息的名称、密级、来源、用途等，经公司计算机领导小组批准后将信息导了技术防护措施的涉密移动存储介质，到入到涉密计算机中，记录导入过程，信息去除后连续使用。第三十八条公司内部涉密计算机之间进展信息交换时，可使用实行技术防护措施的涉密移动存储介质，也可承受涉密中间转换机的方式进展。第三十九条单台涉密计算机的使用要严格遵守以下规定：〔一〕涉密计算机处理多种涉密信息时，应按最高密级进展防护和治理；〔二保密部门或有关主管部门进展保密检查，确认符合保密要求前方可投入使用；和上网机实行物理隔离；〔四密级标识不能和正文分别。施，有关设备的技术措施应得到国家保密部门或有关主管部门的认可。810不得长于一周。〔七〕涉密计算机要具备防病毒、防非法拨号和身份认证等安全防护手段.〔八〕涉密计算机制止连接公司内部非涉密局域网。领导小组和保密办办理审查登记手续。第四十一条上网计算机〔包括上网便携机〕不得采集、存储、处理、传递、输出、公布公司军品科研、生产、试验、经营治理等国家隐秘信息、企业隐秘信息和公司内部信息。第四十二条在互联网上公布信息要坚持“谁上网、谁负责“的原则。在公布公司主管领导批准后，方可公布。第五章涉密便携式计算机保密治理第四十三条公司计算机领导小组应建立便携式计算机台账，分涉密、非涉途。涉密便携式计算机应当撤除具有无线联网功能的硬件模块。第四十四条未经保密办批准，涉密便携式计算机内不得存储涉密信息，要在涉密移动存储介质上存储。由主管领导批准，公司保密办备案。计算机领导小组制定具体的外出访用方法，存储介质必需分开保管，两者要始终处在携带人的有效把握之中。第四十六条借用便携机时，计算机领导小组和借用人要现场开机检查硬盘状况，查处问题的，要追究借用人责任。便携机严禁私自转借他人使用。第四十七条严禁使用私人便携机处理、存储任何涉及国家隐秘的信息和工密信息。第六章涉密移动存储介质保密治理〔U密办统一购置，统一编号，统一发放，统一治理。第四十九条移动存储介质标识应由使用部门名称、移动存储介质名称的汉语拼音的第一个大写字母、编号和密级组成。第五十条计算机领导小组要建立移动存储介质治理台账，台账主要包括存等。第五十一条涉密移动存储介质统一由保密办存放，所存储信息按最高密级标明密级，并按相应密级进展治理。第五十二条在涉密计算机间使用的移动存储介质应当实行绑定或有效的技50质上存储高密级信息，信息交换应使用中间转换机。关的内容，并备知名目，带回时应当进展保密检查。第五十四条非密移动存储介质中制止存储涉密信息和公司敏感信息；私人第七章非涉密计算机保密治理第五十五条非涉密计算机保密治理要求〔一〕非涉密计算机应健全安全保密治理制度，明确计算机信息安全职责。〔二〕非涉密计算机要做到统一编号，治理责任要落实到人。〔三〕非涉密计算机不得采集、存储、处理、传递、输出、公布公司军品科〔四准，不得私自或间接连接互联网或其他网络。第八章非涉密便携式计算机保密治理第五十六条非涉密便携式计算机保密治理要求谁负责”的原则，各部门负责人是治理责任人，使用人是直接负责人。〔二〕保密办负责对便携式计算机的配置和使用状况备案登记。〔三规定者治理责任人有权拒绝借用。〔四〕借用的便携式计算机用完后应准时归还，不得私自保存。机中存储涉密信息。〔六〕非涉密便携式计算机严禁连接到公司军品涉密计算机中。〔七〔见附件1〔见附件〔1〕员检查，经检查符合相关规定的，并认真填写检查意见。〔九〕需要检查的内容具体包括：计算机系统及相关软件、硬件是否能正常工作。计算机内是否存在病毒。计算机内是否存有涉密信息。全部责任。〔十〕需携带便携式计算机出国的人员，应严格遵守国家安全保密制度。信息。外来〔含境外〕人员原则上不得携带便携式计算机进入公司。如确〔见附件〔2〕密部门和公司领导报告，任何部门或个人不得隐瞒。1.涉密计算机、外部设备、存储介质发生故障时，应当向公司计算机领导小组提出修理申请，经批准后到指定检修地点修理，修理后应当进展保密检查。和维护工作。件。修理地点在公司外部的，应当与修理单位和修理人员签订保密协议。，并由专人负责送取。涉密存储介质消灭故障时，如不能保证安全保密，应当依据涉密载体销毁系统数据恢复资质的单位进展修理，并由专人负责送取，并按有关规定监销。记录在案。件、存储介质上交公司保密办进展监销处理。保密办建立销毁涉密设备和存储介质清单，依据BMB21-2023《涉及国经办人、实行的方法措施以及最终去向状况记录在案并归档。第九章非涉密计算机信息系统保密治理第五十七条非涉密计算机信息系统治理要求〔一〕非涉密计算机严禁采集、存储、处理、传递、输出涉密信息。〔二密，不得利用电子邮件传递、转发或抄送涉密信息。公布。〔五〕保密办负责对接入互联网计算机进展定期和不定期检查和监视。用。向网络安全治理员报告。〔八非涉密计算机违规在国际互联网或其他非涉密信息系统中传递涉密信相关规定处理。第十章非涉密移动储存介质保密治理第五十八条非涉密移动储存介质保密要求〔一〕本规定所称非涉密移动储存介质是指不用来存储、传递、国家秘.密U非涉密移动储存介质制止以任何形式传输涉及国家隐秘和工作隐秘的信息。〕非涉密移动储存介质信息公布、传输的保密治理工作坚持“谁上网，经过保密审查。具体负责这项工作。第十一章办公自动化设备使用保密治理第五十九条计算机及其办公自动化设备的配置〔一室审核，交公司总经理批准后，依据《选购把握程序》进展选购。各类电脑性能、价格之后，选择适宜的机型。〔三门须做好硬件和软件的检测工作，确保计算机网络系统的可行性。〔四调换。〔五〕开发或购置的应用软件需经申请部门会同检验人员确认前方可使用。确认的前提是：在正规生产厂家购置的软件，有良好的售后效劳。有具体的软件使用说明书和许可证编号及必要的合同资料等。第六十条计算机及其办公自动化设备使用备案附件1U到保密办公室登记备案。〔二U或密码铁皮柜中，制止将存贮有涉密事项的移动存储介质携带外出。第六十一条计算机及其办公自动化设备的使用要求〔一〕各部门必需指定1擅自使用公司指定的专用电脑及设备。〔二转。〔三〕未经许可，任何人不得任凭使用更换电脑设备、硬件和软件。〔四修改程序或相关参数。使用计算机应建立使用记录和通讯日志。行状态。〔六限表。〔七〕严禁在上班时间玩电脑玩耍，不得进展与工作无关的操作。〔八〕公司计算机口治理部门定期组织计算机应用培训。度，造成不良后果的，将追究相关人员责任。第六十二条复印、速印设备使用的保密治理〔一〕复印、速印设备实行专人使用，归口把握治理。制度》执行。第六十三条计算机及其办公自动化设备的维护和保养〔一碎纸机使用后应准时去除纸屑。计算机及其办公自动化设备台前严禁堆放磁性物质等杂物或进展其它有害、污损计算机的行为。〔三〕严格按规定程序开启和关闭电脑系统，下班后必需关机并切断电源。菜单提示，键入规定口令或密码；在权限内对工作任务进展操作。关断电源。如发生故障或发生意外状况应准时反映上报，不得擅自拆卸机器。〔五〕进展计算机安装及维护工作时，应实行防静电措施，严禁带电作业。〔六算机治理员。〔七贝。办公自动化设备由各部门办公自动化设备治理人员定期进展设备保养和安全检查，做好预防性维护工作及记录。第六十四条网络维护及安全治理〔一〔外网、办公网〔内网〕及不接入网络的，实现物理隔离。〔如涉密计算机、财务系统〕电脑不得接入外网。〔三〕计算机实行专机专网，未经同意不得擅自更改IP地址，严禁不同用途的计算机相互串用。〕须定期进展备份，效劳器上的数据备份由杀毒，去除不了的病毒，要准时上报公司电脑归口治理部门。理，不得擅自拆卸机箱和插拔网线。使用部门定期对所使用的电脑进展杀毒