二、三级保密认定-16项基本制度-8信息系统、信息设备和存储设备管理制度

XXX有限公司

信息系统、信息设备和存储设备管理制度

第一章总则

第一条为保障公司信息系统、信息设备和存储设备安全保密管理工

作，确保国家秘密和企业信息安全，依据《中华人民共和国保守国家秘密

法》及其实施条例、《武器装备科研生产单位保密资格审查认定管理办法》、

《武器装备科研生产单位三级保密资格标准》、《武器装备科研生产单位三

级保密资格评分标准》等有关法律、法规和标准以及《公司保密管理制度》

制定本办法。

第二条公司信息系统、信息设备和存储设备的安全保密工作遵循“积

极防范、突出重点、控制源头、严格管理、分级负责、责任到人”，以及“谁

主管、谁负责，谁使用、谁负责”的原则。

第二章管理部门与工作职责

第三条公司应正式发文明确公司信息化管理部门和工作职责，负责

信息化规划、建设、运行维护以及安全保密管理工作，并接受公司保密办

的指导、监督和检查C

第四条公司信息化管理部门是信息系统、信息设备和存储设备归口

管理部门。其主要工作职责如下：

（一）负责公司信息系统、信息设备和存储设备规划、立项、设计、建

设、验收、运行维护全过程的管理。

（二）负责组织编制信息系统、信息设备和存储设备安全保密管理制度。

（三）负责组织制定由信息安全策略、管理制度、操作规程组成的公司

信息安全保密管理体系文件。

（四）负责对公司信息系统、信息设备和存储设备运行维护工作机构进

行监督、管理和指导C

（五）负责定期会同保密管理部门和相关业务部门，组织对公司信息系

统、信息设备和存储设备的安全保密技术检查。

第五条公司应指定具体的工作机构负责信息系统、信息设备和存储

设备运行维护的运行维护管理并明确工作职责，接受公司信息化管理部门

的业务监管，负责运行维护工作。

第六条公司运行维护机构是公司信息系统、信息设备和存储设备运

行维护管理的责任部门。其主要职责如下：

（一）负责参加公司信息系统、信息设备和存储设备规划、立项、设计、

建设、验收、运行维护全过程的管理。

（二）负责落实公司信息系统、信息设备和存储设备全过程各个环节的

安全保密管理、日常运行维护管理和技术支持工作。

（三）负责对公司信息系统、信息设备和存储设备安全保密产品运行状

况进行监督和审计，确保防护措施有效。

（四）负责公司信息系统、信息设备和存储设备运行维护安全保密管理。

每月负责编制审计报告，每年进行一次风险评估，并形成文档化的报告以

及补救措施。

（五）负责公司各类保密信息设备、保密储存设备及保密产品总台账、

标识标签的管理工作C

（六）负责指导公司信息系统、信息设备和存储设备用户的使用与技术

支持工作。

第七条公司信息化管理人员是公司信息系统、信息设备和存储设备

安全保密管理者。其主要职责如下：

（一）负责公司信息系统、信息设备和存储设备安全保密工作的监督、

检查、指导和协调工作。

（二）负责配合公司信息化部门组织的信息系统、信息设备和存储设备

保密技术检查。

（三）负责调查、处理信息系统、信息设备和存储设备保密违规违纪问

题。

（四）负责监督信息系统、信息设备和存储设备安全保密规章制度及技

术防护措施的落实情况。

第八条公司各使用部门和用户应在公司信息化管理人员和运行维护

第十一条公司信息系统、信息设备和存储设备配备“三员”必须满

足公司运行维护工作的需求，确保公司信息系统、信息设备和存储设备运

行正常，运行维护工作有序运转。

第十二条“二员”人员管理

（一）“三员”上岗按照涉密人员管理要求，履行人员审查程序，确保

政治可靠、作风正派、技能合格。

（二）“三员”应按照重要涉密人员进行管理，并签订保密承诺书。

（二）“二员”上岗前，应接受保密制度、保密知识和保密意识的教育

培训。定期参加上级有关部门组织的“国防科技工业计算机及信息系统安

全保密管理人员”相关保密培训，并取得培训证书。

（四）“三员”经过相关培训，取得相关证书后，由公司综合管理部正

式发文任命上岗。明确“三员”的角色、权限、任务，规范约束“三员”

的行为。

（五）“三员”在岗期间，公司信息化管理部门应会同公司综合管理部

定期对“三员”进行监督检查，依据工作职责要求确定是否履职和称职，

对不符合要求的“三员”应及时进行调整。

（六）“三员”离卤或调离，应严格执行涉密人员脱密期管理，交回所

负责工作的各类文档、软件等；注销其在信息设备中的账号和授权；交回

负责的信息设备管理Key等鉴别装置；同时应及时更换其管理的信息设备

的各类口令等。

（七）“三员”禁止在外商或外资企业兼职，擅自离职的应立即上报公

司保密办，并采取相应措施。

第十三条“三员”工作职责如下：

（一）系统管理员

1.负责公司信息系统、信息设备和存储设备日常运行管理、维护和

技术支持工作以及安全保密管理工作，确保设备安全可控、运行正常;

2.负责涉密信息设备的日常使用管理，负责涉密信息设备用户权限

管理，做好访问控制和权限控制，禁止用户之间相互访问和非授权用户

读取敏感信息；

（二）安全保密管理员

1.负责公司各类安全保密产品、设备和设施的信息安全策略规划、策

略配置、策略变更，日常管理、维护与升级等工作，对产生的日志进行分

析，发现问题及时处理；

2.负责实施落实公司涉密信息设备和存储设备安全保密策略的具体

工作，并根据环境、系统和威胁变化情况及时调整、补充信息安全策略；

3.定期对公司信息系统、信息设备和存储设备运行情况以及安全保密

产品的日志进行分析，每年进行一次安全风险评估，形成评估报告，并对

存在的风险和漏洞制定消除和补救措施。负责定期编写运行报告，参与编

写审计报告；

4.定期向主管领导报送安全保密管理情况和各种安全事件情况。负责

参加公司安全保密管理制度的制定、补充和完善。

（三）安全审计员

1.负责定期检查系统日志和安全保密产品日志，对安全保密管理员和

用户的操作行为进行审计、跟踪、分析和监督检查，及时发现违规行为；

2.负责审核和监督安全保密管理员对信息安全策略执行和操作情况。

负责对安全审计中发现的安全事件及时处理，并对处理结果进行记录；

3.负责每季度主持编写安全审计报告，定期向主管领导报送审计工作

情况。参与风险评估报告的编写；

4.负责管理公司信息系统，、信息设备和存储设备总台账，定期检杳台

账信息，确保台账分类准确、要素齐全、账物相符。

第四章定义与分类

第十四条定义

本制度所指信息系统、信息设备和存储设备包含各类应用系统、服务

器、计算机、网络设备、外部设施设备、存储设备、办公自动化设备、声

像设备和安全保密产品。

公司涉密信息系统、涉密信息设备和涉密存储设备必须实行全生命周

期管理，包括确定密级、申领（领用）、使用、变更、维修、停用、报废、

销毁等环节。全生命周期的各种状态和环节均应有审批和记录，何种管理

和控制过程应有据可查。

第十五条信息系统

（一）公司内部网：指用于全公司各部门实现网络化办公，生产经营、

工业控制、信息应用等功能的内部级信息系统。与涉密计算机和互联网物

理隔离，独立运行，按等级保护要求进行管理和防护。

（二）公司互联网：指用于连接国际互联网的公司非涉密网络，按非涉

密信息系统管理,按等级保护要求进行管理和防护。

（三）应用系统：是指公司内部网和互联网运行的服务于公司经营和生

产管理的系统，为非涉密应用系统。

第十六条信息设备

信息设备是指具有采集、处理、存储、传输功能的设备和部件。主要

包括以下设备：

（一）服务器、计算机（各类计算机、服务器、工作站等）；

（二）网络设备（交换机、路由器、网关等）；

（三）外部设施设备（打印机、扫描仪、移动光驱、读卡器等）；

（四）办公自动化设备（复印机、传真机、多功能一体机、碎纸机、晒

图机、绘图仪等）；

（五）声像设备（照相机、摄像机、录音机、投影仪、扩音设备、存储

卡、记忆棒、录音笔、录像带等r

第十七条存储设备

存储设备是指具有存储数据的各类载体、介质。主要包括计算机的硬

盘和固态存储器等、移动硬盘、优盘、各类存储卡、光盘等。

第十八条安全保密产品

安全保密产品是指用于用于安全保密技术防护的软硬件产品。主要包

括计算机病毒防护产品、身份鉴别、监控审计、单向导入、访问控制、电

磁泄露防护等产品等C

第五章台帐与标识管理

第十九条公司对信息设备和存储设备实行总台帐管理和标识标签管

理，总台账以纸质和电子文档形式存在。记入台帐的设备应当加贴标识标

签，无标识设备不得在公司办公区域使用。

第二十条公司运行维护机构负责建立公司总台帐，应指定人员负责

管理总台帐，并对所管理的台帐及时进行核对与更新。

第二十一条总台帐应当包括以下类别：

（一）《涉密/非涉密信息设备总台帐》（见附件1）,包括各类计算机、

网络设备及外部设施设备、声像设备等。

（二）《涉密/非涉密存储设备总台帐》（见附件2）,包括计算机的硬

盘和固态存储器等、移动硬盘、优盘、各类存储卡、光盘等。

（三）《办公自动化设备总台账》（见附件3）,包括复印机、传真机、

多功能一体机、碎纸机、晒图机、绘图仪等。

（四）《安全保密产品总台帐》（见附件4）,包括计算机病毒防护产

品、身份鉴别、监控审计、单向导入、访问控制、电磁泄露防护等产品等。

（五）各类总台账应分为涉密和非涉密两类。

第二十二条台帐设置应当包括以下要素：

（一）信息设备台帐应当包括：保密编号、设备名称、型号规格、密

级、用途、所属部门、放置地点、责任人、操作系统安装时间、硬盘序列

号、设备序列号、1P地址、启用时间和使用情况。

（二）存储设备台帐应当包括：保密编号、设备名称、型号规格、密

级、用途、所属部门、放置地点、责任人、序列号、启用时间、使用情况。

（三）办公自动化设备台账应当包括：保密编号、设备名称、型号规

格、密级、用途、所属部门、放置地点、责任人、序列号、启用时间、使

用情况。

（四）安全保密产品台帐应当包括：保密编号、产品名称、型号规格、

密级、生产厂家、检测证书名称、证书编号、责任人购置时间、启用时间、

使用情况。

第二十三条各类信息设备和存储设备的标识由公司运行维护机构统

一设计制作、统一发放，确保标识标签信息与台账登记信息一致和唯一性。

标识要素应当至少包含以下内容：

（一）保密编号。

（一）密级或属性。

（三）用途。

（四）责任部门和责任人。

第二十四条信息设备和存储设备标识标签应当粘贴在设备的显著位

置上（如主机箱等），不可粘贴在显示器上。非涉密信息设备同时粘贴保密

警示提醒（非涉密设备，禁止存储和处理涉密信息）标签。

第二十五条标识出现污损、脱落的，管理部门应当及时进行更换。

任何人不得故意撕揭、涂改、污染设备标识。

第二十六条电子信息密级标志依据公司《国家秘密载体管理制度》

中相关要求进行标识C

（一）处于编写、修改过程中和已完成的电子文档、图表、图像等，

应在首页标注密级标志。

（二）首页无法标注的可在文件名上进行标注。

（三）首页和文件名均不能标注的电子文档，应标注相应密级的涉密

文件夹进行存放。

（四）电子文档标注的密级应依据公司《国家秘密事项范围细目》中

相关要求进行标注。

第六章信息系统管理

第二十七条公司建设涉密信息系统，应当严格执行国家涉密信息系

统分级保护标准，并遵守相关保密法律法规和规章的相关规定。

第二十八条公司内部局域网和互联网的建设和管理，应当按照信息

安全技术网络安全等级保护基本要求进行，确定相应的保护等级，并采取

相应的保护措施。内部局域网和互联网上不得存储、处理涉密信息。

第二十九条部门建立用于处理内部事项并独立成网的内部网络时，

应当书面报公司技术研发部审核备案。报备时应当同时报送具体方案。

第三十条公司内部登录国际互联网实行实名制管理，并配备安全保

密技术措施进行防护。发布信息应当遵守《公司宣传报道保密管埋办法》

的相关规定。

第七章涉密信息设备管理

第三十一条用于处理涉密事项的计算机等信息设备，应严格按照涉

密信息设备全生命周期管理的八个环节（定密、领用、使用、变更、维修、

停用、报废、销毁）进行管理，依据相应流程办理审批程序，配置信息安

全策略。

第三十二条涉密计算机投入使用应当首先确定信息设备的密级，办

理领用手续，填写《信息设备、存储设备定密/领用/变更中请审批表》（见

附件5）后，按规定流程办理审批后进行。发生变更时同样办理。

第三十三条涉密计算机安装操作系统、应用软件等应当填写《操作

系统/软件安装申请审批表》（见附件6）,按规定流程办理审批后进行。

未经批准，不得对涉密计算机进行系统格式化或者重装操作系统。

第三十四条公司涉密计算机应配置身分鉴别系统，实现涉密计算机

的双因子身份鉴别机制，领用、变更、更换USBKey应办理《USBKey领用/

变更申请审批表》（见附件7）。

涉密计算机配置USBKey应参照涉密载体进行管理，禁止带出公司可控

制区域。每次使用USBKey应进行登记《USBKey使用登记表》（见附件8）。

第三十五条涉密计算机应建立使用登记管理制度，每次使用涉密计

算机应进行使用登记《涉密工作机/中间机/输出机使用登记表》（见附件9）,

详细记录使用涉密计算机的保密编号、密级、工作内容、使用日期时间、

结束日期时间、使用人等信息。使用时间要求记录到时和分。

第三十六条公司运行维护机构应当组织编制公司《信息安全策略》，

并根据安全保密要求定期进行更新和完善。《信息安全策略》应当进行内部

评审并报公司保密工作领导小组审查批准。

任何部门、个人不得擅自修改、卸载涉密计算机中配置的安全保密技

术措施。

第三十七条涉密计算机安全保密管理员应当定期对涉密计算机开展

安全保密审计，并编制书面审计报告报保密办公室审核归档。审计周期为:

机密级1个月，秘密级3个月。

第三十八条安全保密管理员应当会同保密办公室对涉密计算机维护

记录及安全保密审计情况进行分析，做出评估。对存在的风险漏洞应当及

时采取补救措施，并更新信息安全策略.

公司信息化管理员应当会同公司保密办公室每年至少对涉密计算机进

行一次风险评估，并形成风险评估报告。

第三十九条涉密计算机所使用的安全保密产品，应当选用已获得国

家保密行政主管部门授权的测评机构检测证书的产品。

第四十条涉密计算机应当与国际互联网和其他非涉信息系统严格实

行物理隔离，任何人不得将涉密计算机接入国际互联网和其他非涉密信息

系统。

第四十一条涉密计算机应当使用红黑电源隔离插座。红插座中不得

接入黑设备。

第四十二条涉密计算机不得使用具有无线发射、接收功能的外部设

备。任何人不得将手机、相机等违规设备与涉密计算机进行任何方式的连

接。

第四十三条涉密计算机的技术防护，应当严格按照《涉密计算机装

机策略配置表》和《信息安全策略》等技术防护要求进行管理。

第四十四条涉密计算机工作日志应当由安全保密管理员定期进行备

份，并在审批后对已备份的日志信息做出清理。未经批准，任何人不得擅

自删除涉密计算机的日志记录。

第四十五条存储、处理涉密信息应当使用经过审查确定的涉密计算

机。不得使用非涉密计算机处理涉密信息，不得在低密级涉密计算机中存

储、处理高密级的涉密信息。

第四十六条涉密计算机与其他计算机之间进行信息交换时，应当经

审批后，在专门用于信息交换的中间机上按照规定流程进行操作。

第四十七条中间机应当按照涉密与非涉密单独设置，并指定人员管

理。涉密中间机用于将外部涉密存储设备中存储的涉密信息导入到公司涉

密计算机中；或者将公司涉密计算机中信息导出到外部存储设备中。非涉

密中间机用于将外部存储设备中存储的非涉密信息导入到公司涉密计算机

中。

中间机不得存储、处理涉密信息，不得与任何计算机、信息系统进行

互联。

第四十八条公司保密室严禁携带具有无线发射功能、照相功能的产

品带入（包括手机、照相机等），应在保密室门外配置手机存放柜。

第四十九条任何部门、任何人不得在涉密信息设备安全距离以内安

装使用无线路由器、无线网卡和无线WIFT等具有无线联网功能的网络设

备。

第八章涉密存储设备管理

第五十条公司内部使用的存储设备应当是经过登记注册并批准的设

备。未经批准，不得在公司办公区域内使用非注册设备。

第五十一条涉密存储设备应当按照内存涉密信息的涉密等级确定设

备的涉密等级并做出标识。涉密存储设备应当指定人员集中保管，并对使

用情况进行登记。

第五十二条信息交换使用的涉密存储设备，应当与信息密级相匹配

或者高于信息密级。不得使用非涉密存储设备存储涉密信息，不得在低密

级存储设备上存储高密级信息。

第五十三条携带涉密存储设备外出应当办理审批。与便携式计算机

同时携带时，应当分开保管，并始终处于有效控制状态。

第五十四条涉密计算机上使用的存储设备应当与涉密计算机采取绑

定措施。不得在涉密计算机与非涉密计算机之间交叉使用存储设备。

第五十五条使用人每次使用涉密移动存储介质（专用红盘）应登记

《涉密专用红盘使用审批登记表》（见附件10）,经保密办审批后方可使用,

并详细记录每次的使用情况。

第九章便携式计算机管理

第五十六条涉密便携式计算机在启用前应当拆除具有无线联网功能

的硬件模块。无法拆除的，不得用做涉密计算机。

第五十七条涉密便携式计算机存储的涉密信息应当与正在从事的工

作相关，不得在便携式计算机上长期存储涉密信息。

第五十八条涉密便携式计算机应当指定人员集中保管。因工作原因

需要携带涉密便携式计算机时，应当办理审批手续。借出或者归还时，保

管人员应当进行事前事后保密检查，检查情况应当做出记录。

第五十九条经批准携带外出的便携式计算机应当始终处于携带人的

有效控制之中。外出期间，不得使用便携式计算机在不具有保密条件的场

所处理涉密信息。发生涉密设备被盗、遣失应当立即报警，并报告保密办

公室。

第六十条基本管理要求

（一）基本管理要求适用于公司内的涉密便携式计算机。

（二）公司配备的涉密便携式计算机与台式涉密计算机管理要求一致，

在装机、配置本地安全策略和安装安全保密产品客户端等严格执行公司《信

息安全策略》要求。

（三）严禁涉密便携式计算机和内部便携式计算机上互联网。

（四）外出携带的涉密便携式计算机实行集中管理。

（五）外出携带的便携式计算机在出公司前和返回后，集中管理员必须

进行详细的检查，并经双方（使用人和管理人）确认签字。

第六十一条使用管理要求

（一）依据“谁使用、谁负责”的原则，使用人在外出使用期间应妥善

保管设备和存储介质，采取必要的安全防范措施，使涉密便携机和涉密专

用红盘始终处于携带人的有效控制范围内，防止出现丢失、被窃或非授权

使用的情况。

（二）使用人借用外出携带便携式计算机借出前和归还后要填写《涉密

便携式计算机使用登记表》（见附件11）。

（三）外出使用便携机使用人应填写《便携式计算机及移动存储介质外

出携带申请审批表》（见附件12）,并明确外出携带保密管理措施，专人携

带、便携机与涉密存储介质分开保管。

（四）外出携带期间，使用人进行文件打印或刻录，应详细填写《携带

外出期间文件和操作行为记录表》（见附件8-12）o

（五）使用涉密便携机应当在符合要求的场所内进行。

（六）携带涉密便携式计算机不得参加涉密外活动，不得探亲、访友，

以及参加参观、购物却旅游等活动。

（七）涉密便携式计算机不允许转借或者横传，不允许借用人私自保管

和长期留用。

（八）遇到节假日期间必须及时归还。

（九）发生涉密便携式计算机或涉密移动存储介质丢失、被抢、被盗或

其他异常情况，造成泄密或可能造成泄密的，应及时向保密办报告。

第十章维修与报废管理

第六十二条涉密佶息设备和存储设备发生故障需要维修或者变更配

置时，应当填写《信息设备、存储设备维修申请审批表》（见附件13）,按

照规定流程办理审批,

第六十三条现场维修应当由公司内部运维人员负责。由外部部门派

人维修时，公司技术研发部应当派人全程旁站陪同。送外维修时应当选择

具有相应保密资质的单位，并签订《信息设备、存储设备维修保密协议书》

（见附件14）。

第六十四条涉密信息设备、存储设备报废处理时，应填写《信息设

备、存储设备停用/报废/销毁申请审批表》（见附件15）,按规定流程办理

审批。报废涉密设备时，应当拆除存储、处理过涉密信息的硬件或者固件。

拆除的硬件或者固件应当由保密办公室送交天津市涉密载体销毁中心销

毁。

第六十五条退出使用的涉密信息设备和存储设备改作他用的，应当

办理审批手续，并采取技术措施做出安全技术处理。凡未经安全技术处理

的涉密信息设备和存储设备，不得赠送、出售、丢弃或者改作其他用途。

第六十六条销毁涉密信息设备和存储设备应当依照公司相关规定办

理审批、清点、登记手续，并送交天津市涉密载体销毁中心销毁。

第十一章安全保密产品管理

第六十七条公司内部使用的安全保密产品必须使用通过国家保密行

政主管认可的安全安全保密产品，并确保产品证书在有效期内，使用的产

品和测评报告中的产品应保持一致。其中“涉密计算机及移动存储介质安

全保密产品”（三合一）和“检查装备”应当是名录产品，计算机病毒防治

产品应取得公安部门的销售许可证。

第六十八条公司内的安全保密产品管理必须制定专人负责管理，建

立《安全保密产品总台账》，要求记录信息完整准确。

第六十九条公司运行维护机构应制定安全保密产品的操作策略和管

理制度，并严格执行,

第七十条安全保密管理员负责安全安全保密产品的策略配置和策略

变更，进行策略变更应履行审批流程，填写《安全保密产品策略配置、策

略变更申请审批表》（见附件16）,并做好配置和变更工作记录。

第七H~一条安全保密管理员应当及时安装涉密计算机的操作系统、

数据库系统和应用系统的补丁程序（补丁程序发布后3个月内）；每15天

更新涉密计算机病毒与恶意代码防护产品病毒定义和特征库，每月至少进

行一次全系统或全盘查杀，及时清除病毒隔离区。补丁程序和病毒定义更

新工作要做好维护记录，每次操作应详细填写《计算机病毒定义/系统补丁

升级操作记录表》（见附件17）

第七十二条安全保密管理员应定期对安全保密产品日志进行分析，

及时发现和处理各类安全保密产品事件。对发现的问题或存在疑问的情况,

要及时分析原因，彻底解决。对出现的违规行为及时制止，并立即上报主

管领导，如发现重大安全隐患或是泄密事件，应立即采取措施，同时报告

主管领导和保密办。

第七十三条安全保密管理员应做好安全保密产品的日常运行管理和

维护，确保安全产品始终处于完好可用状态。安全保密产品的维修、报废

和销毁按相关规定执行。

第十二章身份鉴别管理

第七十四条公司涉密计算机必须设置开机BIOS口令，其管理员口令

由安全保密管理员负责（计算机责任人），用户只能使用非管理员BIOS口

令。

第七十五条公司涉密计算机系统用户登录的用户标识符，由公司安

全保密管埋员统一配置、产生，确保在系统生命周期的唯一性。安全保密

管理员应对涉密计算机内的身份标识符加强管理、维护，确保身份标识符

不被非授权访问、修改和删除。

第七十六条安全保密管理员应定期（不超过一个月）检查与用户身

份标识符相关的审计日志，发现异常情况，应立即向部门领导和保密办公

室报告。

第七十七条涉密计算机采用口令鉴别方式，口令设置应满足以下要

求：

1.机密级计算机口令长度不少于10位（秘密级计算机口令长度不少

于8位）;

2,存储口令应采取安全措施，确保其安全可靠。

第七十八条涉密计算机采用USBKey与口令相结合的方式进行身份鉴

别时，应满足以下要求：

1.PIN码口令长度设置不少于10位；

2.存储口令应采取安全措施，确保其安全可靠。

第七十九条公司涉密计算机必须设置重鉴别口令，当其空闲操作的

时间超过10分钟时应予以保护，用户需要执行操作时，应重新进行身份鉴

别。

第八十条当用户身份鉴别尝试失败次数连续达到5次后，应进行登

录锁定，同时形成安全审计事件。

第十三章访问控制管理

第八十一条公司涉密计算机应依据用户的涉密等级和知悉范围进行

严格管控，制定访问控制策略和授权机制，应采用最小授权原则实现主体

对客体的访问授权。

第八十二条公司涉密计算机的系统用户应根据用户所在部门、承担

的项目不同或涉密等级不同进行划分。不同用户不能相互访问，确保用户

只能访问其授权范围内的信息。

第八十三条公司涉密计算机为多用户时，其涉密计算机的责任人为

公司安全保密管理员c安全保密管理员应为不同用户建立不同的加密分区，

设置不同的用户标识符和访问权限，防止用户查看或获取非授权和知悉范

围以外的涉密信息。

第八十四条公司涉密计算机为多用户时，除安全保密管理员

(administrator)以外，涉密计算机的使用用户应当设置为一般用户

(user),不得设置为管理员用户。

第十四章导入导出管理

第八十五条导入导出的定义

导入导出是指信息系统、信息设备的信息输入/输出，包括打印、复印、

扫描、制图等通过纸介质形式的输入/输出，电子格式的数据拷贝输入/输

出等。

第八十六条全公司涉密信息导入导出采取集中管理，只能在公司保

密室内（保密要害部位）进行导入导出。

第八十七条导入导出工作由安全保密管理员具体负责操作，导入导

出须履行相关审批登记流程。

第八十八条涉密计算机进行导入导出应填写《涉密计算机信息导入/

导出申请审批表》（见附件18）。导人导出工作包括文件打印、刻录、电子

信息输出输入等。

第八十九条导入导出的操作过程管理员要进行详细登记记录《涉密

计算机导入/导出操作使用记录表》（见附件19）、《涉密打印机使用登记表》

（见附件20）、《涉密刻录使用登记表》（见附件21）。

第九十条涉密文件复印必须在保密室内进行，申请人填写《涉密文

件复印申请审批表》（见附件22）后，由管理员在双方相互监督的情况下

进行涉密文件的复印操作。管理员同时填写《涉密复印机操作使用记录表》

（见附件23）,记录使用日期、时间、复印

第九十一条管理员应对导入导出中使用的各类光盘和存储介质严格

登记。使用专用红盘需进行登记，使用完后应进行信息消除。

第十五章软件和硬件管理

第九十二条涉密信息设备未履行审批程序，严禁进行任何软硬件的

安装、扩展、缩减、拆卸、变更等，禁止改变任何外部设备的状态。

第九十三条涉密信息设备的软硬件安装、拆卸、更换等工作，应由

“三员”提出申请，经公司运行维护机构和信息化管理部门批准后方可实

施。

第九十四条涉密信息设备操作系统安装由公司“三员”负责安装，

并依据公司《信息安全策略》要求，配置必要的安全保密产品，配置完整

的安全策略，并记录工作记录存档备查。

第九十五条涉密信息设备安装的操作系统和应用软件必须使用正版

安装介质，并区分涉密专用和非涉密专用。

第九十六条公司“三员”负责全公司软件登记管理，建立全公司《软

件白名单》（见附件24）。对公司在用的工具软件应用软件采取集中管理。

第九十七条公司“三员”负责公司软件白名单的维护，每年审核一

次。

第九十八条未经运行维护机构门和信息化管理部门审批，涉密计算

机禁止安装软件报名单以外的软件。

第九十九条因工作需要安装软件白名单以外的软件，应填写《操作

系统/软件安装申请审批表》审批后，由管理人员进行安装，安装前应先进

行计算机病毒和恶意代码查杀的检查。

第十六章互联网使用管理

第一百条全公司互联网采取统一出口，实行统一接入、统一管理、

统一安全策略、责任人负责。

第一百。一条公司运行维护机构负责出口的统一管理，日常运行维

护和用户技术支持等C

第一百。二条公司互联网采取实名制认证、上网行为管理等技术管

控措施。

第一百。三条互联网网络设备、服务器、用户终端等由公司信息化

管理部门统一配置防护策略和安全管理。

第一百O四条公司内各部门接入互联网必须履行相关审批流程，填

写《互联网入网申请审批表》（见附件25）和签订《互联网入网责任书》（见

附件26）后方可接入互联网。

第一百。五条公司内各部门接入互联网的计算机必须是互联网专用

计算机，并纳入公司信息设备台账和标识管理。

第一百。六条严禁在接入互联网的计算机上处理、存储和传递任何

涉密信息，严禁使用涉密存储介质。涉密场所内的互联网计算机严禁配备、

安装和使用摄像头、麦克风等音视频摄入设备。

第一百。七条公司内各部门人员因工作需要申请互联网电子邮箱

的，由本人提出申请，经本单位领导审批，填写《互联网电子邮箱申请审

批表》（见附件27）报信息化管理部门审批后开通。

第一百。八条公司各部门在互联网上发布、传递信息时，应按照相

关保密制度，准确提交发布信息的内容，履行保密审查审批程序《非涉密

信息互联网发布、传递、交流审批表》（见附件28）,经审批后方可进行信

息发布或传递。

第十七章监督管理

第一百。九条对违反本办法，违规使用信息系统、信息设备和存储

设备的部门或者个人，由公司保密办公室责令其限期整改。对拒不整改的,

应当立即停止使用，并给予处罚。

第一百一十条保密办公室和公司信息化管理人员应当定期开展信息

系统、信息设备和存储设备使用、管理情况的检查。对违反保密管理规定

的，应当及时做出处理。

第一百一十一条发现涉密信息设备和涉密存储设备遗失、被盗，在

全力组织查找的同时，应当向当地国家保密局做出报告，并采取积极有效

的补救措施，避免或者减轻对国家秘密的危害。

第十八章附则

第一百一十二条本办法由公司信息化管理部负责解释。

第一百一十三条本办法自发布之日起执行。

附件:

1、涉密/非涉密信息设备总台账；

2、涉密/非涉密存储设备总台账；

3、办公自动化设备总台账；

4、安全保密产品总台账；

5、信息设备、存储设备定密/领用/变更申请审批表；

6、操作系统/软件安装申请审批表；

7、USBKey领用/变更申请审批表；

8、USBKey使用登记表；

9、涉密（工作机/中间机/输出机）使用登记表；

10、涉密专用红盘使用审批记录表；

11、涉密便携式计算机使用登记表；

12、便携式计算机及移动存储介质外出携带申请审批表;

13、信息设备、存储设备维修申请审批表；

14、涉密信息设备、存储设备维修保密协议书；

15、信息设备、存储设备停用/报废/销毁申请审批表；

16、安全策略配置、策略变更申请审批表；

17、计算机病毒定义/系统补丁升级操作记录表；

18、涉密计算机信息导入/导出申请审批表；

19、涉密计算机信息导入/导出操作记录表；

20、涉密打印机使用登记表；

21、涉密刻录使用登记表；

22、涉密文件复印申请审批表；

23、涉密复印机使用登记表；

24、软件白名单；

25、互联网入网申请审批表；

26、互联网入网责任书；

27、互联网电子邮箱申请审批表；

28、非涉密信息互联网发布、传递、交流审批表。

附件1

涉密/非涉密信息设备总台账

操作系使

用

保密

序设备名型号密所屈放置责任统硬盘设备IP启用时

情

编号用途

号称规格级部门地点人安装日序列号序列号地址间

况

期

1

2

3

4

5

6

7

信息设备包括：各类台式计算机、便携式计算机、打印机、制图机、绘图仪、扫描仪、外接式光盘刻录机、移动光驱、

照相机、摄像机、投影仪、读卡器等。使用情况包括：在用、停用、归库、维修、报废。

附件2

涉密/非涉密存储设备总台账

序：呆密编型号规所属部责任使用情

设备名称密级用途放置地点序列号启用时间

号格门人况

1

2

3

4

5

6

7

存储设备包括：计算机硬盘和固态存储器、移动硬盘、光盘、专用红盘、优盘、软盘等。

使用情况包括：在用、停用、归库、维修、报废。

附件3

办公自动化设备总台账

序：呆密编型号规所属部责任使用情

设备名称密级用途放置地点序列号启用时间

号格门人况

1

2

3

4

5

6

通信办公自动化设备包括：打字机、复印机、传真机、多功能一体机、碎纸机、速印机、晒图机、绘图仪等，其中

部分也可看作计算机的外部设备。

使用情况包括：在用、停用、归库、维修、报废。

附件4

女全保密产品总台账

使

序保密编型号规检测证书名证书编责任购置时启用时用

产品名称密级生产厂家

号号格称号人间间情

况

在

1

用

停

2

用

归

3

库

维

4

修

5维

使

序保密编型号规检测证书名证书编责任购置时启用时用

产品名称密级生产厂家

号号格称号人间间情

况

修

报

6

废

7

8

1.安全保密产品包括：接入控制、单向导入、身份鉴别、访问控制、监控审计、病毒防治、干扰滤波、漏洞扫描等。

2.所有安全保密产品按检测证书标注名称填写，同时需产品厂商提供产品检测证书和检测报告纸质与电子版各一

份，纸质归档备查。

3.使用情况包括：在用、停用、归库、维修、报废。

附件5

信息设备、存储设备定密/领用/变更申请审批表

申请时

申请部门责任人

间

人员联系电

使用地点

密级话

型

号出厂

品牌

规编号

格

产品序列号保密编号

主要技术指硬盘品牌容量：硬盘序列号：

标和附件明口无光驱口只读光驱口读写光驱

细口其它（需说明）：

口台式计算机口便携式计算机口网络设备口

外部设备

类别口安全保密产品口办公自动化设备口声像设备

□专用红盘口普通U盘口移动硬盘

口其它（需说明）：

口单机口专用单机口调试单机口互联网专用口中

用途间转换机

口其它（需说明）：

□定密，拟定密级：口机密口秘密口内部口非涉

密

口密级变更，原密级：拟变更密级：

定密或变更口责任人变更，原责任人：变更后责任人：

事项口放置地点，原地点：变更后地点：

口用途变更，原用途：变更后用途：

口其它变更，变更内容：

审查意见：

部门领导

审查意见

签名：年月日

定密审批意见：

定密责任人

审批意见

签名：年月日

口检查验证申请填报信息无误

口标识标签已正确粘贴口已登记总台账，变更内容已更

管理员办理新

和闭环情况启用时间：年月日领用人签字：

签名：年月日

备注本表一机（介质）一表，申请的内容在口里13。

附件6

操作系统/软件安装申请审批表

申请

申请部门责任人

时间

设备

设备类型□台式机口便携机口其他

品牌

保密放置

密级

编号位置

口新系统安装口硬盘格式化口重新安装操作系统口软件

申请类型

安装

申请

安装原因

软件名称版本软件类型

安装

主要软件

管理员技申请理由合理，情况属实，可以进行安装操作。

术

检查情况签名：年月

日

审查意见：

部门领导

审查意见签名：年月

日

审批意见：

信息化部

门

签名：年月

审批意见

日

口操作系统及软件已按申请事项要求正确安装并配置完成

操作系统安装时间：年月日（安装一般软件不用

填写此项）

口本地安全策略配置完成口系统补丁已更新口身份鉴别配

管理员办置完成

理和闭环口用户权限和访问控制策略配置完成口安全产品客户端安装

情况配置完成

□台账信息变更内容已更新，确认准确无误。

签名：年月

日

备注说明：本表一机一表，申请的内容在口里面。

附件7

USBKey领用/变更申请审批表

申请申请

申请部门

人时间

涉密联系

使用地点

等级电话

申请类型口新领用口更换口维修口退还口其它（需说明）：

用途口涉密工作机口涉密中间机口涉密输出机口涉密便携机

10Key编

责任人员工编号计算机编号新Key编号领用人签字

号

审查意见：

部门领导

审查意见

签名；年月日

审核意见:

保密部门

审核意见

签名:年月日

审批意见：

信息化部门

审批意见

签名：年月日

□申请信息已核实，符合发Key要求

口USBKey信息已登记台账口标识标签已粘贴

管理员办理

口其它（需说明）：

和闭环情况

签名：年月日

保密提醒：

USBKey属于涉密计算机身份鉴别装置，禁止在非涉密计算机上使

备注用。

USBKey使用范围仅限公司办公区域，严禁带出。

人走拔Key,使用后应放入带锁的柜中妥善保存。

附件8

USBKey使用登记表

序号使用部门使用人USBKey编号用途使用时间归还时间备注

1

r

2

4

5

6

7

8

GM

10

附件9

涉定（工作机川」间机/输出机）使用登记表

序

保密编号密级工作内容使用日期时间结束日期时间使用人备注

号

1

2

3

4

5

6

7

8

9

10

附件io

涉峦专用红盘使用审批记或表

序号使用部门使用人红盘编号用途借用时间审批人归还时间备注

口使用正常

1

□信息已清除

口使用正常

2

口信息已清除

n使用正常

3

口信息已清除

□使用正常

4

□信息已清除

□使用正常

5

□信息已清除

□使用正常

6

□信息已清除

口使用正常

7

□信息已清除

口使用正常

8

□信息已清除

□使用正常

9

□信息已清除

□使用正常

10

口信息已清除

附件11

涉密便携式计算机使用登记表

序号保密编号密级使用