《信息安全保密管理制度4篇.docx》由会员分享,可在线阅读,更多相关《信息安全保密管理制度4篇.docx(18页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、信息安全保密管理制度4篇信息平安保密管理制度1 第一章总则 第一条信息平安保密工作是公司运营与进展的基础,是保障客户利益的基础,为给信息平安工作供应清晰的指导方向,加强平安管理工作,保障各类系统的平安运行,特制定本管理制度。 其次条本制度适用于分、支公司的信息平安管理。 其次章计算机机房平安管理 第三条计算机机房的建设应符合相应的国家标准。 第四条为杜绝火灾隐患,任何人不许在机房内吸烟。严禁在机房内使用火炉、电暖器等发热电器。机房值班人员应了解机房灭火装置的性能、特点,娴熟使用机房配备的灭火器材。机房消防系统白天置手动,下班后置自动状态。一旦发生火灾应准时报警并实行应急措施。 第五条为防止水患
2、,应对上下水道、暖气设施定期检查,准时发觉并排解隐患。 第六条机房无人值班时,必需做到人走门锁;机房值班人员应对进入机房的人员进行登记,未经各级领导同意批准的人员不得擅自进入机房。 第七条为杜绝啮齿动物等对机房的破坏,机房内应实行必要的防范措施,任何人不许在机房内吃东西,不得将食品带入机房。 第八条系统管理员必需与业务系统的操作员分别,系统管理员不得操作业务系统。应用系统运行人员必需与应用系统开发人员分别,运行人员不得修改应用系统源代码。 第三章计算机网络平安保密管理 第九条接受入侵检测、访问把握、密钥管理、平安把握等手段,保证网络的平安。 第十条对涉及到平安性的网络操作大事进行记录,以进行平
3、安追查等事后分析,并建立和维护“平安日志”,其内容包括: 1、记录全部访问把握定义的变更状况。 2、记录网络设备或设施的启动、关闭和重新启动状况。 3、记录全部对资源的物理毁坏和威逼大事。 4、在平安措施不完善的状况下,严禁公司业务网与互联网联接。 第十一条不得任凭转变例如ip地址、主机名等一切系统信息。 第四章 应用软件平安保密管理 第十二条各级运行管理部门必需建立科学的、严格的软件运行管理制度。 第十三条建立软件复制及领用登记簿,建立健全相应的监督管理制度,防止软件的非法复制、流失及越权使用,保证计算机信息系统的平安; 第十四条定期更换系统和用户密码,前台(各应用部门)用户要进行动态管理,
4、并定期更换密码。 第十五条定期对业务及办公用pc的操作系统准时进行系统补丁升级,堵塞平安漏洞。 第十六条不得擅自安装、拆卸或替换任何计算机软、硬件,严禁安装任何非法或盗版软件。 第十七条不得下载与工作无关的任何电子文件,严禁扫瞄黄色、*或高风险等非法网站。 第十八条留意防范计算机病毒,业务或办公用pc要每天更新病毒库。 第五章 数据平安保密管理 第十九条全部数据必需经过合法的手续和规定的渠道采集、加工、处理和传播,数据应只用于明确规定的.目的,未经批准不得它用,接受的数据范围应与规定用途相符,不得超越。 其次十条依据数据使用者的权限合理支配数据存取授权,保障数据使用者的合法存取。 其次十一条设
5、置数据库用户口令,并监督用户定期更改;数据库用户在操作数据过程中,不得使用他人口令或者把自己的口令供应给他人使用。 其次十二条未经领导允许,不得将存储介质(含磁带、光盘、软盘、技术资料等)带出机房,不得任凭通报数据内容,不得泄露数据给内部或外部无关人员。 其次十三条 严禁直接对数据库进行操作修改数据。如遇特殊状况进行此操作时,必需由申请人提出申请,填写数据变更申请表,经申请人所属部门领导确认后提交至信息管理部,信息管理部相关领导确认后,方可由数据库管理人员进行修改,并对操作内容作好记录,长期保存。修改前应做好数据备份工作。 其次十四条 应依据分工负责、相互制约的原则制定各类系统操作人员的数据读
6、写权限,读写权限不允许交叉掩盖。 其次十五条 一线生产系统和二线监督系统进行系统维护、复原、强行更改数据时,至少应有两名操作人员在场,并进行详细的登记及签名。 其次十六条 对业务系统操作员权限实行动态管理,确保操作员岗位调整后准时修改相应权限,保证业务数据平安。 信息平安保密管理制度2 第一章 总则 第一条 为加强公司计算机和信息系统(包括涉密信息系统和非涉密信息系统) 平安保密管理,确保国家隐秘及商业隐秘的平安,依据国家有关保密法规标准和中核集团公司有关规定,制定本规定。 其次条 本规定所称涉密信息系统是指由计算机及其相关的配套设备、设施构成的,依据确定的应用目标和规定存储、处理、传输涉密信
7、息的系统或网络,包括机房、网络设备、软件、网络线路、用户终端等内容。 第三条 涉密信息系统的建设和应用要本着“预防为主、分级负责、科学管理、保障平安”的方针,坚持“谁主管、谁负责,谁使用、谁负责”和“把握源头、归口管理、加强检查、落实制度”的原则,确保涉密信息系统和国家隐秘信息平安。 第四条 涉密信息系统平安保密防护必需严格依据国家保密标准、规定和集团公司文件要求进行设计、实施、测评审查与审批和验收;未通过国家审批的涉密信息系统,不得投入使用。 第五条 本规定适用于公司全部计算机和信息系统平安保密管理工作。 其次章 管理机构与职责 第六条 公司法人代表是涉密信息系统平安保密第一责任人,确保涉密
8、信息系统平安保密措施的落实,供应人力、物力、财力等条件保障,督促检查领导责任制落实。 第七条 公司保密委员会是涉密信息系统平安保密管理决策机构,其主要职责: (一)建立健全平安保密管理制度和防范措施,并监督检查落实状况; (二)协调处理有关涉密信息系统平安保密管理的重大问题,对重大失泄密大事进行查处。 第八条 成立公司涉密信息系统平安保密领导小组,保密办、科技信息部(信息化)、党政办公室(密码)、财会部、人力资源部、武装保卫部和相关业务部门、单位为成员单位,在公司党政和保密委员会领导下,组织协调公司涉密信息系统平安保密管理工作。 第九条 保密办主要职责: (一)拟定涉密信息系统平安保密管理制度
9、,并组织落实各项保密防范措施; (二)对系统用户和平安保密管理人员进行资格审查和平安保密教育培训,审查涉密信息系统用户的职责和权限,并备案; (三)组织对涉密信息系统进行平安保密监督检查和风险评估,提出涉密信息系统平安运行的保密要求; (四)会同科技信息部对涉密信息系统中介质、设备、设施的授权使用的审查,建立涉密信息系统平安评估制度,每年对涉密信息系统平安措施进行一次评审; (五)对涉密信息系统设计、施工和集成单位进行资质审查,对进入涉密信息系统的平安保密产品进行准入审查和规范管理,对涉密信息系统进行平安保密性能检测; (六)对涉密信息系统中各应用系统进行定密、变更密级和解密工作进行审核; (
10、七)组织查处涉密信息系统失泄密大事。 第十条 科技信息部、财会部主要职责是: (一)组织、实施涉密信息系统的规划、设计、建设,制定平安保密防护方案; (二)落实涉密信息系统平安保密策略、运行平安把握、平安验证等平安技术措施;每半年对涉密信息系统进行风险评估,提出整改措施,经涉密信息系统平安保密领导 小组批准后组织实施,确保平安技术措施有效、牢靠; (三)落实涉密信息系统中各应用系统进行用户权限设置及介质、设备、设施的授权使用、保管以及维护等平安保密管理措施; (四)配备涉密信息系统管理员、平安保密管理员和平安审计员,并制定相应的职责; “三员”角色不得兼任,权限设置相互独立、相互制约;“三员”
11、应通过平安保密培训持证上岗; (五)落实计算机机房、配线间等重要部位的平安保密防范措施及网络的平安管理,负责日常业务数据及其他重要数据的备份管理; (六)协作保密办对涉密信息系统进行平安检查,对存在的隐患进行准时整改; (七)制定应急预案并组织演练,落实应急措施,处理信息平安突发大事。 第十一条 党政办公室主要职责: 依据国家密码管理的相关要求,落实涉密信息系统中普密设备的管理措施。 第十二条 相关业务部门、单位主要职责:涉密信息系统的使用部门、单位要严格遵守保密管理规定,教育员工提高平安保密意识,落实涉密信息系统各项平安防范措施;精确确定应用系统密级,制定并落实相应的二级保密管理制度。 第十
12、三条 涉密信息系统配备系统管理员、平安保密管理员、平安审计员,其职责是: (一)系统管理员负责系统中软硬件设备的运行、管理与维护工作,确保信息系统的平安、稳定、连续运行。系统管理员包括网络管理员、数据库管理员、应用系统管理员。 (二)平安保密管理员负责平安技术设备、策略实施和管理工作,包括用户帐号管理以及平安保密设备和系统所产生日志的审查分析。 (三)平安审计员负责平安审计设备安装调试,对各种系统操作行为进行平安审计跟踪分析和监督检查,以准时发觉违规行为,并每月向涉密信息系统平安保密领导小组办公室汇报一次状况。 第三章 系统建设管理 第十四条 规划和建设涉密信息系统时,依据涉密信息系统分级爱惜
13、标准的规定,同步规划和落实平安保密措施,系统建设与平安保密措施同方案、同预算、同建设、同验收。 第十五条 涉密信息系统规划和建设的平安保密方案,应由具有“涉及国家隐秘的计算机信息系统集成资质”的机构编制或自行编制,平安保密方案必需经上级保密主管部门审批后方可实施。 第十六条 涉密信息系统规划和建设实施时,应由具有“涉及国家隐秘的计算机信息系统集成资质”的机构实施或自行实施,并与实施方签署保密协议,项目竣工后必需由保密办和科技信息部共同组织验收。 第十七条 对涉密信息系统要实行与密级相适应的保密措施,配备通过国家保密主管部门指定的测评机构检测的平安保密产品。涉密信息系统使用的软件产品必需是正版软
14、件。 第四章 信息管理 第一节 信息分类与把握 第十八条 涉密信息系统的密级,按系统中所处理信息的最高密级设定,严禁处理高于涉密信息系统密级的涉密信息。 第十九条 涉密信息系统中产生、存储、处理、传输、归档和输出的文件、数据、图纸等信息及其存储介质应按要求准时定密、标密,并按涉密文件进行管理。电子文件密级标识应与信息主体不行分别,密级标识不得篡改。涉密信息系统中的涉密信息总量每半年进行一次分类统计、汇总,并在保密办备案。 其次十条 涉密信息系统应建立平安保密策略,并实行有效措施,防止涉密信息被非授权访问、篡改,删除和丢失;防止高密级信息流向低密级计算机。涉密信息远程传输必需实行密码爱惜措施。
15、其次十一条 向涉密信息系统以外的单位传递涉密信息,一般只供应纸质文件,确需供应涉密电子文档的,按信息交换及中间转换机管理规定执行。 其次十二条 清除涉密计算机、服务器等网络设备、存储介质中的涉密信息时,必需使用符合保密标准、要求的工具或软件。 其次节 用户管理与授权 其次十三条 依据本部门、单位使用涉密信息系统的密级和实际工作需要,确定人员知悉范围,以此作为用户授权的依据。 其次十四条 用户清单管理 (一)科技信息部管理“争论试验堆燃料元件数字化信息系统”和“中核集团涉密广域网”用户清单;财会部管理“财务会计核算网”用户清单; (二)新增用户时,由用户本人提出书面申请,经本部门、单位审核,科技
16、信息部、保密办审批后,由科技信息部备案并统一建立用户;“财务会计核算网”的用户由财会部统一建立; (三)删除用户时,由用户本人所在部门、单位书面通知科技信息部,核准后由平安保密管理员即时将用户在涉密信息系统内的全部帐号、权限废止;“财务会计核算网”密办审核,公司分管领导审批。开通、审批坚持“工作必需”的原则。 第六十四条 国际互联网计算机实行专人负责、专机上网管理,严禁存储、处理、传递涉密信息和内部敏感信息。接入互联网的计算机须建立使用登记制度。 第六十五条 上网信息实行“谁上网谁负责”的保密管理原则,信息上网必需经过严格审查和批准,坚决做到“涉密不上网,上网不涉密”。对上网信息进行扩充或更新
17、,应重新进行保密审查。 第六十六条 任何部门、单位和个人不得在电子邮件、电子公告系统、谈天室、网络新闻组、博客等上发布、谈论、传递、转发或抄送国家隐秘信息。 第六十七条 从国际互联网或其它公众信息网下载程序和软件工具等转入涉密系统,经科技信息部审批后,依据信息交换及中间转换机管理规定执行。 第九章 便携式计算机管理 第六十八条 便携式计算机(包括涉密便携式计算机和非涉密便携式计算机)实行 “谁拥有,谁使用,谁负责”的保密管理原则,使用者须与公司签定保密承诺书。 第六十九条 涉密便携式计算机依据工作需要确定密级,粘贴密级标识,依据涉密设备进行管理,保密办备案后方可使用。 第七十条 便携式计算机应
18、具备防病毒、防非法外联和身份认证(设置开机密码口令)等平安保密防护措施。 第七十一条 禁止使用涉密便携式计算机上国际互联网和非涉密网络;严禁涉密便携式计算机与涉密信息系统互联。 第七十二条 涉密便携式计算机不得处理绝密级信息。未经保密办审批,严禁在涉密便携式计算机中存储涉密信息。处理、存储涉密信息应在涉密移动存储介质上进行,并与涉密便携式计算机分别保管。 第七十三条 禁止使用私有便携式计算机处理办公信息;严禁非涉密便携式计算机存储、处理涉密信息;严禁将涉密存储介质接入非涉密便携式计算机使用。 第七十四条 公司配备专供外出携带的涉密便携式计算机和涉密存储介质,依据 “集中管理、审批借用”的原则进
19、行管理,建立使用登记制度。外出携带的涉密便携式计算机须经保密办检查后方可带出公司,返回时须进行技术检查。 第七十五条 因工作需要外单位携带便携式计算机进入公司办公区域,需办理保密审批手续。 第十章 应急响应管理 第七十六条 为有效预防和处置涉密信息系统平安突发大事,准时把握和消退涉密信息系统平安突发大事的危害和影响,保障涉密信息系统的平平稳定运行,科技信息部和财会部应分别制定相应应急响应预案,经公司涉密信息系统平安保密领导小组审批后实施。 第七十七条 应急响应预案用于涉密信息系统平安突发大事。突发大事分为系统运行平安大事和泄密大事,依据大事引发缘由分为灾难类、故障类或攻击类三种状况。 (一)灾
20、难大事:依据实际状况,在保障人身平安前提下,保障数据平安和设备安 (二)故障或攻击大事:推断故障或攻击的来源与性质,关闭影响平安与稳定的网络设备和服务器设备,断开信息系统与攻击来源的网络物理连接,跟踪并锁定攻击来源的IP地址或其它网络用户信息,修复被破坏的信息,恢复信息系统。依据大事发生的性质分别接受以下方案:1、病毒传播:准时查找并断开传播源,推断病毒的类型、性质、可能的危害范围。为避开产生更大的损失,爱惜计算机,必要时可关闭相应的端口,查找并公布病毒攻击信息,以及杀毒、防备方法; 2、外部入侵:推断入侵的来源,评价入侵可能或已经造成的危害。对入侵未遂、未造成损害的,且评价威逼很小的外部入侵
21、,定位入侵的IP地址,准时关闭入侵的端口,限制入侵的IP地址的访问。对于已经造成危害的,应立刻接受断开网络连接的方法,避开造成更大损失和带来的影响; 3、内部入侵:查清入侵来源,如IP地址、所在区域、所处办公室等信息,同时断开对应的交换机端口,针对入侵方法调整或更新入侵检测设备。对于无法制止的多点入侵和造成损害的,应准时关闭被入侵的服务器或相应设备; 4、网络故障:推断故障发生点和故障缘由,能够快速解决的尽快排解故障,并优先保证主要应用系统的运转; 5、其它未列出的不确定因素造成的大事,结合具体的状况,做出相应的处理。不能处理的准时询问,上报公司信息平安领导小组。 第七十八条 依据信息平安突发
22、大事的性质、影响范围和造成的损失,将涉密信息系统平安突发大事分为特别重大大事(I级)、重大大事(II级)、较大大事(III级)和一般大事(IV级)四个等级。 (一)一般大事由科技信息部(或财会部)依据应急响应预案进行处置; (二)较大大事由科技信息部(或财会部)、保密办依据应急响应预案进行处置,准时向公司信息平安领导小组报告并提请协调处置; (三)重大大事启动应急响应预案,对突发大事进行处置,准时向公司党政报告并提请协调处置; (四)特别重大大事由公司报请中核集团公司对信息平安突发大事进行处置。 第七十九条 发生突发大事(如涉密数据被窃取或信息系统瘫痪等)应按如下应急响应的基本步骤、基本处理方
23、法和流程进行处理: (一)上报科技信息部和保密办; (二)关闭系统以防止造成数据损失; (三)切断网络,隔离大事区域; (四)查阅审计记录查找大事源头; (五)评估系统受损程度; (六)对引起大事漏洞进行整改; (七)对系统重新进行风险评估; (八)由保密办依据风险评估结果并书面确认平安后,系统方能重新运行; (九)对大事类型、响应、影响范围、补救措施和最终结果进行详细的记录; (十)依照法规制度对责任人进行处理。 第八十条 科技信息部、财会部应会同保密办每年组织一次应急响应预案演练,检验应急响应预案各环节之间的通信、协调、指挥等是否快速、高效,并对其效果进行评估,以使用户明确自己的角色和责任
24、。应急响应相关学问、技术、技能应纳入信息平安保密培训内容,并记录备案。 第十一章 人员管理 第八十一条 各部门、单位每年应组织开展不少于1次的全员信息平安保密学问技能教育与培训,并记录备案。 第八十二条 涉密人员离岗、离职,应准时调整或取消其访问授权,并将其保管的涉密设备、存储介质全部清退并办理移交手续。 第八十三条 担当涉密信息系统日常管理工作的系统管理员、平安保密管理员、平安审计管理员应按重要涉密人员管理。 第十二章 督查与奖惩 第八十四条 公司每年应对涉密信息系统平安保密状况、平安保密制度和措施的落实状况进行一次自查,并接受国家和上级单位的指导和监督。涉密信息系统每两年接受一次上级部门开
25、展的平安保密测评或保密检查,检查结果存档备查。 第八十五条 检查涉密计算机和信息系统的保密检查工具和涉密信息系统所使用的平安保密、漏洞检查(取证)软件等,应掩盖保密检查的项目,并通过国家保密局的检测。平安保密检查工具应准时升级或更新,确保检查时使用最新版本。 第八十六条 各部门、单位应将员工遵守涉密计算机及信息系统平安保密管理制度的状况,纳入保密自查、考核的重要内容。对违反本规定造成失泄密的当事人及有关责任人,按公司保密责任考核及奖惩规定执行。 第十三章 附 则 第八十七条 本规定由保密办负责解释与修订。 第八十八条 本规定自发布之日起实施。原计算机磁(光)介质保密管理规定)制度编号:(厂19
26、08号)、涉密计算机信息系统保密管理规定制度编号:(20xx)厂1911号、涉密计算机选购、修理、变更、报废保密管理规定制度编号:(20xx)厂1925号、国际互联网信息发布保密管理规定制度编号:(20xx)厂1926号、涉密信息系统信息保密管理规定制度通告:(20xx)0934号、涉密信息系统平安保密管理规定制度通告:(20xx)0935号同时废止。 信息平安保密管理制度3 一、为了处理工作中涉及的办公隐秘和业务隐秘信息,特制定计算机信息系统平安保密制度。 二、信息科、机要科负责指导市政府办公室涉密人员的保密技术培训,落实技术防范措施。 三、涉密信息不得在与国际网络的计算机系统中存储,处理和
27、传输。 四、凡上网的信息,上网前必需进行审查,进行登记,“谁上网,谁负责”,确保国家机密不上网。 五、如在网上发觉反动、黄色的宣扬和出版物,要爱惜好现场,准时报向市委保密局汇报,依据有关规定处理;如发觉泄露国家机密的状况,要准时实行措施,对违反规定造成后果的,依据有关规定进行处理。 六、加强个人主页管理,对于在个人主页中张贴,传播有害信息的责任人要依法处理,并删除个人主页。 七、发生重大突发大事期间,各涉密科室要加强网络监控,准时、坚决地处理网上突发大事。 信息平安保密管理制度4 (1)不得利用校内网从事危害国家平安,泄露国家机密的活动。 (2)如在网上发觉反动、黄色的宣扬品和出版物,要爱惜好
28、现场,准时向有关部门汇报,依据有关规定处理。如发觉泄露国家机密的状况,要准时报网络管理员措施,同时向校领导报告。对违反规定造成后果的.,依据有关规定进行处理,并追究部门领导的责任。 (3)未经批准,任何人不得开设BBS,一经发觉立刻依法取缔。 (4)涉密信息不得在与国际网络联网的计算机系统中存储、处理和传输。 (5)对校内网内开设的合法论坛网络管理员要实时监控,发觉问题准时处理。坚决取缔未经批准开设的非法论坛。 (6)加强个人主页管理,对于在个人主页中张贴、传播有害信息的责任人要依法处理,并删除个人主页。 (7)校内各机房要严格管理制度,落实责任人。引导同学开展健康、文明的网上活动,杜绝将电子阅览室和计算机房变相为消遣场所。 (8)对于问题突出,管理失控,造成有害信息传播的网站和网页,坚决依法予以关闭和清除;对于制作、复制、印发和传播有害信息的单位和个人要依法移交有关部门处理。 (9)发生重大突发大事期间,网络管理员要加强网络监控,准时、坚决地处置网上突发大事,维护校内稳定。18
黑公网安备:91230400333293403D