第一篇：涉密信息系統(tǒng)與信息系統(tǒng)聯(lián)系與區(qū)別heu[大全]

信息系統(tǒng)與涉密信息系統(tǒng)的聯(lián)系與差別

信息化是世界經濟和社會發(fā)展的必然趨勢，信息技術的應用是當今社會各個領域的迫切需要。信息系統(tǒng)就是一個應用了信息技術的，由計算機硬件、網(wǎng)絡和通訊設備、計算機軟件、信息資源、信息用戶和各種規(guī)章制度組成的信息收集、傳遞、存儲、加工、維護和使用的人機一體化系統(tǒng)。信息系統(tǒng)有五個基本功能，輸入、存儲、處理、輸出和控制，通過對于這五個功能的利用，能夠找到合適的數(shù)據(jù)，對數(shù)據(jù)進行加工、處理、編制成相關信息提供給管理人員，管理人員利用系統(tǒng)進一步對信息進行管理，并且根據(jù)信息進行正確的決策。那么什么是涉密信息系統(tǒng)？涉密信息系統(tǒng)，就是涉及了國家秘密和黨政機關工作秘密的信息系統(tǒng)。涉密信息系統(tǒng)并不是安全等級較高的系統(tǒng)，是否能成為涉密信息系統(tǒng)主要還要看是否涉及了國家秘密。有許多企業(yè)為了保護其商業(yè)秘密，將信息系統(tǒng)設立了很高的安全等級，但是信息系統(tǒng)中的信息并不涉密，那么也不是一個涉密信息系統(tǒng)。

涉密信息系統(tǒng)和信息系統(tǒng)存在一定的差別。首先，表現(xiàn)在所涉及的信息內容上。涉密信息系統(tǒng)是涉及國家秘密和敏感信息的；信息系統(tǒng)所存儲、處理、傳輸?shù)膬热莶簧婕皣颐孛?。第二，設施，設備的要求有差別。涉密信息系的設備必須符合國家的標準；而信息系統(tǒng)的設備、設施也有一套規(guī)定，但不要求符合國家規(guī)定。第三，檢測審批標準不同。涉密信息系統(tǒng)必須符合國家保密標準要求，投入使用前必須經安全保密檢測評估和審查批準；公共信息系統(tǒng)投入使用前也需要進行相關檢測，但檢測的目的和要求不同。涉密信息系統(tǒng)要求按照所存儲處理的信息的最高密級進行分級，而密級又分為絕密、機密、秘密三個等級。對于不同的涉密級別，有不同的防護措施，做到既不過防護，也不欠防護。

涉密信息系統(tǒng)與信息系統(tǒng)也有許多的聯(lián)系。首先，兩者都處理了文字，圖片，聲音等多種形式的數(shù)據(jù)，并且旨在對這些數(shù)據(jù)進行存儲，管理，控制等服務。第二，兩者都對安全等級有一定的要求。雖然有不同的參照標準，但是，都要求了信息安全三要素的保證，機密性、完整性、可用性。第三，都綜合運用了各種計算機的技術，比如軟件、硬件、數(shù)據(jù)庫系統(tǒng)等等。第四，都包含了人的因素。信息的管理和處理，需要人的參與。由于人員的參與，所以兩者都對人員的管理有所要求，要保證對于人員的有效管理才能保證系統(tǒng)的安全運維。

第二篇：涉密計算機及信息系統(tǒng)安全策略

涉密計算機及信息系統(tǒng)安全策略文件 概述

涉密計算機及信息系統(tǒng)安全策略文件屬于頂層的管理文檔，是公司網(wǎng)絡與信息安全保障工作的出發(fā)點和核心，是公司計算機與信息系統(tǒng)安全管理和技術措施實施的指導性文件。涉密計算機及信息系統(tǒng)安全策略文件是公司計算機和信息系統(tǒng)全體管理和使用人員必須遵循的信息安全行為準則，由公司信息安全管理部門制訂及解釋，由公司保密委員會審批發(fā)布，并由信息安全管理部門組織公司全體人員學習與貫徹。

公司涉密計算機及信息系統(tǒng)涉及到存儲、傳輸、處理國家秘密、公司商業(yè)秘密和業(yè)務關鍵信息，關系到公司的形象和公司業(yè)務的持續(xù)運行，必須保證其安全。因此，必須從技術、管理、運行等方面制定確保涉密計算機和信息系統(tǒng)持續(xù)可靠運行的安全策略，做好安全保障。

本策略文件主要內容包括：物理安全策略、信息安全策略、運行管理策略、備份與恢復策略、應急計劃和響應策略、計算機病毒與惡意代碼防護策略、身份鑒別策略、訪問控制策略、信息完整性保護策略、安全審計策略等十個方面。2 適用范圍

2.1本策略所稱的涉密計算機和信息系統(tǒng)指公司所有通過計算機及信息系統(tǒng)存貯、處理或傳輸?shù)男畔⒓按尜A、處理或傳輸這些信息的硬件、軟件及固件。

2.2本策略適用于與公司涉密計算機及信息系統(tǒng)相關的所有部門及人員。3 目標

制定涉密計算機及信息系統(tǒng)安全策略的目標就是確保公司掌握的國家秘密、公司商業(yè)秘密和業(yè)務關鍵信息的安全性，并通過一系列預防措施將信息安全可能受到的危害降到最低。信息安全管理應在確保信息和計算機受到保護的同時，確保計算機和信息系統(tǒng)能夠在允許的范圍內正常運行使用。

同時，本策略的目的也是讓所有員工能夠了解信息安全問題以及明確各自的信息安全職責，嚴格遵守本安全策略，并遵守國家相關的計算機或信息安全法律要求。4 組織 4.1保密委員會是計算機及信息系統(tǒng)安全管理的領導機關，負責領導信息安全管理體系的建立和信息安全管理的實施，主要包括：

? 提供清晰的指導方向，可見的管理支持，明確的信息安全職責授權； ? 審查、批準信息安全策略和崗位職責； ? 審查業(yè)務關鍵安全事件；

? 批準增強信息安全保障能力的關鍵措施和機制；

? 保證必要的資源分配，以實現(xiàn)數(shù)據(jù)有效性以及信息安全管理體系的持續(xù)發(fā)展。

4.2信息安全管理部門具體負責建立和維持信息安全管理體系，協(xié)調相關活動，主要承擔如下職責：

? 調整并制定所有必要的信息安全管理規(guī)程、制度以及實施指南等； ? 提議并配合執(zhí)行信息安全相關的實施方法和程序，如風險評估、信息管理分層等；

? 主動采取部門內的信息安全措施，如安全意識培訓及教育等； ? 配合執(zhí)行新系統(tǒng)或服務的特殊信息安全措施； ? 審查對信息安全策略的遵循性； ? 配合并參與安全評估事項；

? 根據(jù)信息安全管理體系的要求，定期向上級主管領導和保密委員會報告。分層管理與控制

5.1公司計算機及信息系統(tǒng)管理分為涉密計算機管理、內部網(wǎng)絡（局域網(wǎng)）及計算機信息管理、互聯(lián)網(wǎng)計算機信息管理三個管理層次。

5.2 涉密計算機只能處理涉及國家秘密的信息，實行物理隔離管理，只能由公司涉密人員使用，由公司保密員管理。涉密計算機信息數(shù)據(jù)必須被保護以防止被泄漏、破壞或修改。

5.3 內部網(wǎng)絡（局域網(wǎng)）及計算機配置加密管理措施，與互聯(lián)網(wǎng)隔離，配置保密管理措施，只能通過局域網(wǎng)傳輸、儲存技術文檔、軟件等涉及公司商業(yè)機密信息。上述信息必須定期備份進行保護，以免破壞和非授權修改。

5.4 互聯(lián)網(wǎng)計算機主要處理來自于外部資源的普通信息，配置上網(wǎng)行為管理 2 措施，同樣在信息安全防護上進行安全考慮。

5.5上述計算機及信息系統(tǒng)根據(jù)分層次管理的要求應當依據(jù)其分類進行物理標記。

物理安全策略

6.4信息處理設備可接受的使用策略

公司禁止工作人員濫用計算機及信息系統(tǒng)的計算機資源，僅為工作人員提供工作所需的信息處理設備。公司所有人員對系統(tǒng)網(wǎng)絡和計算資源的使用（包括訪問互聯(lián)網(wǎng)）都必須遵守計算機及信息系統(tǒng)的安全策略和標準及所有適用的法律。

公司的計算機及信息系統(tǒng)應能防止使用人員連接到訪問含有色情、種族歧視及其他不良內容的網(wǎng)站及某些非業(yè)務網(wǎng)站。

包括但不限于以下例子是不可接受的使用行為：

? 使用信息系統(tǒng)資源故意從事影響他人工作和生活的行為。

? 工作人員通過信息系統(tǒng)的網(wǎng)絡服務及設備傳輸、存儲任何非法的、有威脅的、濫用的材料。

? 任何工作人員使用信息系統(tǒng)的計算機工具、設備和互聯(lián)網(wǎng)訪問服務來從事用于個人獲益的商業(yè)活動（如炒股）。

? 工作人員使用信息系統(tǒng)服務來參與任何政治或宗教活動。

? 在沒有信息安全管理部門的事先允許或審批的情況下，工作人員在使用的計算機中更改或安裝任何類型的計算機軟件和硬件。

? 在沒有信息安全管理部門的事先允許或審批的情況下，工作人員拷貝、安裝、處理或使用任何未經許可的軟件。6.5處理從互聯(lián)網(wǎng)下載的軟件和文件

必須使用病毒檢測軟件對所有通過互聯(lián)網(wǎng)（或任何其他公網(wǎng)）從信息系統(tǒng)之外的途徑獲得的軟件和文件進行檢查，同時，在獲得這些軟件和文件之前，信息安全管理部門必須研究和確認使用這些工具的必要性。

6.6工作人員保密協(xié)議

公司所有人員必須在開始工作前，親自簽訂計算機及信息系統(tǒng)保密協(xié)議。6.7知識產權權利

尊重互聯(lián)網(wǎng)上他人的知識產權。

公司工作人員在被雇傭期間使用公司系統(tǒng)資源開發(fā)或設計的產品，無論是以何種方式涉及業(yè)務、產品、技術、處理器、服務或研發(fā)的資產，都是公司的專有資產。物理和環(huán)境安全策略

計算機信息和其他用于存儲、處理或傳輸信息的物理設施，例如硬件、磁介質、電纜等，對于物理破壞來說是易受攻擊的，同時也不可能完全消除這些風險。因此，應該將這些信息及物理設施放置于適當?shù)沫h(huán)境中并在物理上給予保護使之免受安全威脅和環(huán)境危害。

7.1安全區(qū)域

根據(jù)信息安全的分層管理，應將支持涉密信息或關鍵業(yè)務活動的信息技術設備放置在安全區(qū)域中。安全區(qū)域應當考慮物理安全邊界控制及有適當?shù)倪M出控制措施保護，安全區(qū)域防護等級應當與安全區(qū)域內的信息安全等級一致，安全區(qū)域的訪問權限應該被嚴格控制。

7.2設備安全

對支持涉密信息或關鍵業(yè)務過程（包括備份設備和存儲過程）的設備應該適當?shù)卦谖锢砩线M行保護以避免安全威脅和環(huán)境危險。包括：

? 設備應該放置在合適的位置或加強保護，將被如水或火破壞、干擾或非授權訪問的風險降低到可接受的程度。

? 對涉密信息或關鍵業(yè)務過程的設備應該進行保護，以免受電源故障或其他電力異常的損害。

? 對計算機和設備環(huán)境應該進行監(jiān)控，必要的話要檢查環(huán)境的影響因素，如溫度和濕度是否超過正常界限。

? 對設備應該按照生產商的說明進行有序地維護。? 安全規(guī)程和控制措施應該覆蓋該設備的安全性要求。? 設備包括存儲介質在廢棄使用之前，應該刪除其上面的數(shù)據(jù)。7.3物理訪問控制

信息安全管理部門應建立訪問控制程序，控制并限制所有對計算計及信息系統(tǒng)計算、存儲和通訊系統(tǒng)設施的物理訪問。應有合適的出入控制來保護安全場所，確保只允許授權的人員進入。必須僅限公司工作人員和技術維護人員訪問公司辦 4 公場所、布線室、機房和計算基礎設施。

7.4建筑和環(huán)境的安全管理

為確保計算機處理設施能正確的、連續(xù)的運行，應至少考慮及防范以下威脅：偷竊、火災、溫度、濕度、水、電力供應中斷、爆炸物、吸煙、灰塵、振動、化學影響等。

必須在安全區(qū)域建立環(huán)境狀況監(jiān)控機制，以監(jiān)控廠商建議范圍外的可能影響信息處理設施的環(huán)境狀況。應在運營范圍內安裝自動滅火系統(tǒng)。定期測試、檢查并維護環(huán)境監(jiān)控警告機制，并至少每年操作一次滅火設備。

7.5保密室、計算機房訪問記錄管理

保密室、計算機房應設立物理訪問記錄，信息安全管理部門應定期檢查物理訪問記錄本，以確保正確使用了這項控制。物理訪問記錄應至少保留12個月，以便協(xié)助事件調查。應經信息安全管理部門批準后才可以處置記錄，并應用碎紙機處理。

8計算機和網(wǎng)絡運行管理策略

計算機和信息系統(tǒng)所擁有的和使用的大多數(shù)信息都在計算機上進行處理和存儲。為了保護這些信息，需要使用安全且受控的方式管理和操作這些計算機，使它們擁有充分的資源。

由于公司計算機和信息系統(tǒng)采用三層管理模式，不排除聯(lián)接到外部網(wǎng)絡，計算機和信息系統(tǒng)的運行必須使用可控且安全的方式來管理，網(wǎng)絡軟件、數(shù)據(jù)和服務的完整性和可用性必須受到保護。

8.1操作規(guī)程和職責

應該制定管理和操作所有計算機和網(wǎng)絡所必須的職責和規(guī)程，來指導正確的和安全的操作。這些規(guī)程包括：

? 數(shù)據(jù)文件處理規(guī)程，包括驗證網(wǎng)絡傳輸?shù)臄?shù)據(jù)；

? 對所有計劃好的系統(tǒng)開發(fā)、維護和測試工作的變更管理規(guī)程； ? 為意外事件準備的錯誤處理和意外事件處理規(guī)程；

? 問題管理規(guī)程，包括記錄所有網(wǎng)絡問題和解決辦法（包括怎樣處理和誰處理）； ? 事故管理規(guī)程； ? 為所有新的或變更的硬件或軟件，制定包括性能、可用性、可靠性、可控性、可恢復性和錯誤處理能力等方面的測試/評估規(guī)程；

? 日常管理活動，例如啟動和關閉規(guī)程，數(shù)據(jù)備份，設備維護，計算機和網(wǎng)絡管理，安全方法或需求；

? 當出現(xiàn)意外操作或技術難題時的技術支持合同。8.2操作變更控制

對信息處理設施和系統(tǒng)控制不力是導致系統(tǒng)或安全故障的常見原因，所以應該控制對信息處理設施和系統(tǒng)的變動。應落實正式的管理責任和措施，確保對設備、軟件或程序的所有變更得到滿意的控制。

8.3介質的處理和安全性

應該對計算機介質進行控制，如果必要的話需要進行物理保護： ? 可移動的計算機介質應該受控；

? 應該制定并遵守處理包含機密或關鍵數(shù)據(jù)的介質的規(guī)程； ? 與計算相關的介質應該在不再需要時被妥善廢棄。8.4鑒別和網(wǎng)絡安全

鑒別和網(wǎng)絡安全包括以下方面：

? 網(wǎng)絡訪問控制應包括對人員的識別和鑒定；

? 用戶連接到網(wǎng)絡的能力應受控，以支持業(yè)務應用的訪問策略需求； ? 專門的測試和監(jiān)控設備應被安全保存，使用時要進行嚴格控制； ? 通過網(wǎng)絡監(jiān)控設備訪問網(wǎng)絡應受到限制并進行適當授權； ? 應配備專門設備自動檢查所有網(wǎng)絡數(shù)據(jù)傳輸是否完整和正確； ? 應評估和說明使用外部網(wǎng)絡服務所帶來的安全風險； ? 根據(jù)不同的用戶和不同的網(wǎng)絡服務進行網(wǎng)絡訪問控制； ? 對IP地址進行合理的分配； ? 關閉或屏蔽所有不需要的網(wǎng)絡服務； ? 隱藏真實的網(wǎng)絡拓撲結構；

? 采用有效的口令保護機制，包括：規(guī)定口令的長度、有效期、口令規(guī)則或采用動態(tài)口令等方式，保障用戶登錄和口令的安全；

? 應該嚴格控制可以對重要服務器、網(wǎng)絡設備進行訪問的登錄終端或登錄 6 節(jié)點，并且進行完整的訪問審計；

? 嚴格設置對重要服務器、網(wǎng)絡設備的訪問權限； ? 嚴格控制可以對重要服務器、網(wǎng)絡設備進行訪問的人員；

? 保證重要設備的物理安全性，嚴格控制可以物理接觸重要設備的人員，并且進行登記；

? 對重要的管理工作站、服務器必須設置自動鎖屏或在操作完成后，必須手工鎖屏；

? 嚴格限制進行遠程訪問的方式、用戶和可以使用的網(wǎng)絡資源； ? 接受遠程訪問的服務器應該劃分在一個獨立的網(wǎng)絡安全區(qū)域； ? 安全隔離措施必須滿足國家、行業(yè)的相關政策法規(guī)。

個人終端用戶（包括個人計算機）的鑒別，以及連接到所有辦公自動化網(wǎng)絡和服務的控制職責，由信息安全管理部門決定。

8.5操作人員日志

操作人員應保留日志記錄。根據(jù)需要，日志記錄應包括： ? 系統(tǒng)及應用啟動和結束時間； ? 系統(tǒng)及應用錯誤和采取的糾正措施； ? 所處理的數(shù)據(jù)文件和計算機輸出； ? 操作日志建立和維護的人員名單。8.6錯誤日志記錄

對錯誤及時報告并采取措施予以糾正。應記錄報告的關于信息處理錯誤或通信系統(tǒng)故障。應有一個明確的處理錯誤報告的規(guī)則，包括：1）審查錯誤日志，確保錯誤已經得到滿意的解決；2）審查糾正措施，確保沒有違反控制措施，并且采取的行動都得到充分的授權。

8.7網(wǎng)絡安全管理策略

網(wǎng)絡安全管理的目標是保證網(wǎng)絡信息安全，確保網(wǎng)絡基礎設施的可用性。網(wǎng)絡管理員應確保計算機信息系統(tǒng)的數(shù)據(jù)安全，保障連接的服務的有效性，避免非法訪問。應該注意以下內容：

應將網(wǎng)絡的操作職責和計算機的操作職責分離；

? 制定遠程設備（包括用戶區(qū)域的設備）的管理職責和程序；

? 應采取特殊的技術手段保護通過公共網(wǎng)絡傳送的數(shù)據(jù)的機密性和完整性，并保護連接的系統(tǒng)，采取控制措施維護網(wǎng)絡服務和所連接的計算機的可用性；

? 信息安全管理活動應與技術控制措施協(xié)調一致，優(yōu)化業(yè)務服務能力； ? 使用遠程維護協(xié)議時，要充分考慮安全性。8.8電子郵件安全策略

計算機和信息系統(tǒng)應制定有關使用電子郵件的策略，包括： ? 對電子郵件的攻擊，例如病毒、攔截；

? 必要時，使用相關技術保護電子郵件的機密性、完整性和不可抵賴。8.9病毒防范策略

病毒防范包括預防和檢查病毒（包括實時掃描/過濾和定期檢查），主要內容包括：

? 控制病毒入侵途徑； ? 安裝可靠的防病毒軟件； ? 對系統(tǒng)進行實時監(jiān)測和過濾； ? 定期殺毒； ? 及時更新病毒庫； ? 及時上報； ? 詳細記錄。

防病毒軟件的安裝和使用由信息安全管理部門專門的病毒防范管理員執(zhí)行。嚴格控制盜版軟件及其它第三方軟件的使用，必要時，在運行前先對其進行病毒檢查。

內部工作人員因為上不安全的網(wǎng)站下載文件或其他方式導致中毒，造成的后果由其本人負責。

8.10備份與恢復策略

定義計算機及信息系統(tǒng)備份與恢復應該采用的基本措施： ? 建立有效的備份與恢復機制； ? 定期檢測自動備份系統(tǒng)是否正常工作；

? 明確備份的操作人員職責、工作流程和工作審批制度；

? 建立完善的備份工作操作技術文檔；

? 明確恢復的操作人員職責、工作流程和工作審批制度； ? 建立完善的恢復工作操作技術文檔； ? 針對建立的備份與恢復機制進行演習； ? 對備份的類型和恢復的方式進行明確的定義； ? 妥善保管備份介質。8.11加密策略

對于應用系統(tǒng)安全需求分析中要求采用加密措施，或相關法規(guī)中要求采用加密措施的處理，一定要滿足要求。

采用加密技術或選用加密產品，要求符合國家有關政策或行業(yè)規(guī)范的要求。選用的加密機制與密碼算法應符合國家密碼政策，密鑰強度符合國家規(guī)定。對于敏感或重要信息，要求通過加密保障其私密性、通過信息校驗碼或數(shù)字簽名保障其完整性、通過數(shù)字簽名保障其不可否認性。

要求采用高強度的密鑰管理系統(tǒng)，保證密鑰全過程的安全。包括密鑰的生成、使用、交換、傳輸、保護、歸檔、銷毀等。

對敏感或重要密鑰，要求分人制衡管理。

對敏感或重要密鑰，要求采用一定的密鑰備份措施以保障在密鑰丟失、破壞時系統(tǒng)的可用性。

密鑰失密或懷疑失密時，必須及時向安全主管部門報告，更新密鑰。并采取有效措施，防止再次發(fā)生類似情況。9訪問控制策略

為了保護計算機系統(tǒng)中信息不被非授權的訪問、操作或破壞，必須對信息系統(tǒng)和數(shù)據(jù)實行控制訪問。

計算機系統(tǒng)控制訪問包括建立和使用正式的規(guī)程來分配權限，并培訓工作人員安全地使用系統(tǒng)。對系統(tǒng)進行監(jiān)控檢查是否遵守所制定的規(guī)程。

9.1計算機訪問控制

應該根據(jù)相關國家法律的要求和指導方針控制對信息系統(tǒng)和數(shù)據(jù)的訪問： ? 計算機活動應可以被追蹤到人；

? 訪問所有多用戶計算機系統(tǒng)應有正式的用戶登記和注銷規(guī)程； ? 應使用有效的訪問系統(tǒng)來鑒別用戶；

? 應通過安全登錄進程訪問多用戶計算機系統(tǒng)； ? 特殊權限的分配應被安全地控制；

? 用戶選擇和使用密碼時應慎重參考良好的安全慣例； ? 用戶應確保無人看管的設備受到了適當?shù)陌踩Ｗo； ? 應根據(jù)系統(tǒng)的重要性制定監(jiān)控系統(tǒng)的使用規(guī)程。? 必須維護監(jiān)控系統(tǒng)安全事件的審計跟蹤記錄； ? 為準確記錄安全事件，計算機時鐘應被同步。10風險管理及安全審計策略

信息安全審計及風險管理對于幫助公司識別和理解信息被攻擊、更改和不可用所帶來的（直接和間接的）潛在業(yè)務影響來說至關重要。所有信息內容和信息技術過程應通過信息安全審計活動及風險評估活動來識別與它們相關的安全風險并執(zhí)行適當?shù)陌踩珜Σ摺?/p>

計算機及信息系統(tǒng)的信息安全審計活動和風險評估應當定期執(zhí)行。特別是系統(tǒng)建設前或系統(tǒng)進行重大變更前，必須進行風險評估工作。

信息安全審計應當3個月進行一次，并形成文檔化的信息安全審計報告。信息安全風險評估應當至少1年一次，可由公司自己組織進行或委托有信息系統(tǒng)風險評估資質的第三方機構進行。信息安全風險評估必須形成文檔化的風險評估報告。

11信息系統(tǒng)應急計劃和響應策略

11.1信息應急計劃和響應的必要性

應該制定和實施應急計劃和響應管理程序，將預防和恢復控制措施相結合，將災難和安全故障（可能是由于自然災害、事故、設備故障和蓄意破壞等引起）造成的影響降低到可以接受的水平。

應該分析災難、安全故障和服務損失的后果。制定和實施應急計劃，確保能夠在要求的時間內恢復業(yè)務的流程。應該維護和執(zhí)行此類計劃，使之成為其它所有管理程序的一部分。

11.2應急計劃和響應管理程序

應該在整個計算機信息系統(tǒng)內部制定應急計劃和響應的管理流程。包括以下 主要內容：

? 考慮突發(fā)事件的可能性和影響。

? 了解中斷信息系統(tǒng)服務可能對業(yè)務造成的影響（必須找到適當?shù)慕鉀Q方案，正確處理較小事故以及可能威脅組織生存的大事故），并確定信息處理設施的業(yè)務目標。

? 適當考慮風險處理措施，可以將其作為業(yè)務連續(xù)性程序的一部分。? 定期對應急計劃和響應程序進行檢查和進行必要的演練，確保其始終有效。

? 適當?shù)貙夹g人員進行培訓，讓他們了解包括危機管理在內的應急程序。

12遵循性

計算機及信息系統(tǒng)必須遵守國家法律和法規(guī)的要求。

公司所有工作人員都有責任學習、理解并遵守安全策略，以確保公司敏感信息的安全。對違反安全策略的行為，根據(jù)事件性質和違規(guī)的嚴重程度，采取相應的處罰措施。信息安全管理部門應根據(jù)違規(guī)的嚴重程度向相關領導提出建議懲罰措施。除本安全策略中涉及的要求之外，所有部門和工作人員同樣需要遵守相關國家法律和法規(guī)的要求。

計算機和信息系統(tǒng)安全策略文件由信息安全管理部門負責制定和解釋，由公司保密委員會審批發(fā)布。

公司已存在的但內容與本安全策略文件不符的管理規(guī)定，應以本安全策略的要求為準，并參考本安全策略及時進行修訂。

第三篇：涉密信息系統(tǒng)保密管理探討（模版）

涉密信息系統(tǒng)安全保密管理探討

摘要：本文通過分析信息化條件下涉密信息系統(tǒng)保密管理與技術的關系，結合目前涉密信息系統(tǒng)保密管理的現(xiàn)狀與問題，根據(jù)涉密信息分級保護標準規(guī)范要求，從宏觀層面初步探討提出了當前形勢下涉密信息系統(tǒng)保密管理的原則、基本思路與方法，并提出了相應的建議。

關鍵詞：涉密信息系統(tǒng) 分級保護 信息系統(tǒng)建設生命周期

一、引言

涉密計算機信息系統(tǒng)（以下簡稱涉密信息系統(tǒng)）是指涉及國家秘密和黨政機關工作秘密的計算機信息系統(tǒng)，主要包括黨政軍領導機關用于處理涉密信息的單機和用于內部辦公自動化或涉密信息交換的信息系統(tǒng)；也包括企事業(yè)單位涉及國家秘密的信息系統(tǒng)。當前，隨著我國黨政軍領導機關和國防科研軍工單位信息化進程的全面加快，保密管理的對象、領域、方式和環(huán)境發(fā)生了深刻變化，在知密范圍、涉密行為以及涉密人員的界定和管控等方面，出現(xiàn)了許多新的問題，傳統(tǒng)的保密管理措施已經不能適應新形勢下保密工作發(fā)展的要求，由于涉密單位的業(yè)務特殊性，如何對涉密信息系統(tǒng)進行科學有效的保密管理，已經成為涉密信息系統(tǒng)建設使用單位急需解決的問題，迫切需要新的管理思路與辦法。

二、涉密信息系統(tǒng)保密管理與技術的關系

在網(wǎng)絡環(huán)境下，國家秘密的存儲、處理和流轉方式發(fā)生了根本性變化，涉密電子文件易復制、易傳播的特點，使得泄密渠道增多，一旦發(fā)生泄密情況，則擴散速度快，涉及范圍廣，且不易被發(fā)覺，危害特別大。面對信息化條件下保密工作新形勢，傳統(tǒng)的紙質涉密文件的保密管理措施已經不能完全適應新形勢下保密工作發(fā)展的要求，涉密信息系統(tǒng)的保密管理亟需提升技術支撐能力。在當前的形勢下，可以說技術與管理是涉密信息系統(tǒng)安全保障的兩個支撐要素，二者相輔相成，缺一不可：即使非常嚴密的管理，沒有技術手段支撐，也保證不了安全；無論多么先進保密技術，沒有管理措施保障，也不能發(fā)揮應有的作用。但在具備了一定技術手段的前提下，管理則成為決定因素。因此，各涉密單位應當根據(jù)涉密信息系統(tǒng)自身的特點，制定出具有針對性和可操作性的管理措施，并嚴格執(zhí)行。

三、涉密信息系統(tǒng)保密管理的現(xiàn)狀與問題

隨著我國綜合國力不斷增強和國際戰(zhàn)略地位顯著提高，我國已成為各種情報竊密的重點目標，境內外敵對勢力和國外情報機構加緊對我實施全方位的信息監(jiān)測和情報戰(zhàn)略，竊密活動十分猖獗，各級黨政軍機關、國防軍工科研生產單位作為國家秘密的主要生成區(qū)、密集區(qū)，更是成為敵對勢力竊密的重點對象。但目前我國涉密信息系統(tǒng)建設使用單位保密管理水平比較低，與形勢的發(fā)展很不適應，急需進一步加強。就拿航宇公司為例，該公司先后建立的涉密應用系統(tǒng)有：OA系統(tǒng)，CAPP系統(tǒng)，ERP系統(tǒng)，檔案管理系統(tǒng)，PDM系統(tǒng)等，這些系統(tǒng)在建設、規(guī)劃和保密管理中存在的問題主要表現(xiàn)在以下幾個方面：

(一)涉密信息系統(tǒng)定密的隨意性、不準確問題

目前該公司很多涉密信息系統(tǒng)定密比較隨意，不準確，界定不清楚，甚至很多涉密人員都不清楚自己管理的應用系統(tǒng)的密級別。究其原因主要是沒有嚴格確定定密責任，缺乏專業(yè)定密人員，定密依據(jù)不夠明確和細化，定密程序不規(guī)范等。

(二)涉密信息系統(tǒng)安全保密工作 “重技術、輕管理”的現(xiàn)象比較突出

目前公司很多涉密信息系統(tǒng)的安全保密方案只注重安全保密技術建設，過于依賴技術來實現(xiàn)保密要求，而忽略保密管理的重要性。由于缺乏有針對性的保密管理措施進行有機整合，所有的安全保密措施只是產品的簡單堆砌，使得整個安全保密方案先天性不足。眾所周知，如果沒有強有力的管理來支持，再好的技術防范措施都會大打折扣，再好的技術防范產品也將成為擺設，因此涉密信息系統(tǒng)安全保密工作的重點還是在于管理。

（三）涉密信息系統(tǒng)建設生命周期“重建設、輕監(jiān)管”

通常情況下，我們將信息系統(tǒng)建設生命周期（SDLC）劃分為五個階段：規(guī)劃需求階段、設計開發(fā)階段、實施階段、運行維護階段、廢棄階段。也就是說，系統(tǒng)是不斷變化的，安全保密工作也應隨之發(fā)生變化，各個階段安全保密要求不同，每個階段都應制定相應的保密制度，并落實執(zhí)行、監(jiān)管。由于公司很多應用項目都是和第三方公司合作，而這些公司可能存在著對系統(tǒng)建設生命周期各階段的保密標準的具體要求把握不準的情況，使得工程實施各階段沒有嚴格執(zhí)行保密要求或者與安全保密建設不同步情況時有發(fā)生，而這一塊我們又缺乏最起碼的監(jiān)管手段，從而給系統(tǒng)增加了安全隱患。舉個例子，在涉密信息系統(tǒng)經過保密審批投入運行后，由于一般都是由系統(tǒng)建設使用單位的信息化部門在負責日常的運行維護。但信息化部門并不清楚保密方面的要求，而保密部門又屬于行政部門，不熟悉系統(tǒng)業(yè)務應用情況，只能制定一些原則性管理規(guī)章制度，無法對系統(tǒng)進行有效的保密監(jiān)管，不能及時發(fā)現(xiàn)系統(tǒng)的違規(guī)行為和泄密隱患。

（四)涉密信息系統(tǒng)安全保密工作 “重制度、輕執(zhí)行”的現(xiàn)象比較突出

航宇公司在涉密信息系統(tǒng)安全保密工作上制定了大量的制度、規(guī)范，并且有專門的保密網(wǎng)站進行宣貫，但由于保密工作的長期性和繁瑣性不可避免地對日常工作造成影響，而我們某些員工認為保密工作對其日常工作造成居多不便，從而產生抵觸情緒，進而對保密制度進行抵制，或者“打折處理，表面執(zhí)行”，造成安全保密制度真正落實執(zhí)行的少，讓很多制度流于形式，流于紙面。另外，我們制定保密制度還存在一個錯誤觀念，就是：制定保密制度是為了應付保密檢查，至于落實不落實，執(zhí)行不執(zhí)行沒有多大關系。所以，要堅決克服為了制定制度而制定制度的錯誤觀念。制定制度不是目的，通過制定安全保密制度，并堅決落實執(zhí)行來加強軍工單位保密管理，保證國家秘密安全才是制定制度的根本目的。

四、涉密信息系統(tǒng)安全保密管理原則

（一）基于安全需求、適度安全的原則：由于信息泄露、濫用、非法訪問或非法修改而造成的危險和損害相適應的安全。沒有絕對安全的信息系統(tǒng)(網(wǎng)絡)，任何安全措施都是有限度的。關鍵在于“實事求是”、“因地制宜”地去確定安全措施的“度”，即根據(jù)信息系統(tǒng)因缺乏安全性造成損害后果的嚴重程度和實際需求來決定采取什么樣的安全措施。組織機構應根據(jù)其信息系統(tǒng)擔負的使命，積累的信息資產的重要性，可能受到的威脅及面臨的風險分析安全需求，按照信息系統(tǒng)等級保護要求確定相應的信息系統(tǒng)安全保護等級，遵從相應等級的規(guī)范要求，從全局上恰當?shù)仄胶獍踩度肱c效果；

（二）最小化授權以及分權和授權相結合原則：涉密信息系統(tǒng)的建設規(guī)模要最小化，非工作所必需的單位和崗位，不得建設可登陸涉密信息系統(tǒng)的終端；其次，涉密信息系統(tǒng)中涉密信息的訪問權限要最小化，非工作必需知悉的人員，不得具有關涉密信息的訪問權限。分權和授權原則是指對特定職能或責任領域的管理功能實施分離、獨立審計等實行分權，避免權力過分集中所帶來的隱患，以減小未授權的修改或濫用系統(tǒng)資源的機會。任何實體（如用戶、管理員、進程、應用或系統(tǒng)）僅享有該實體需要完成其任務所必須的權限，不應享有任何多余權限；

（三）同步建設、嚴格把關的原則：涉密信息系統(tǒng)的建設必須要與安全保密設施的建設同步規(guī)劃、同步實施、同步發(fā)展。要對涉密信息系統(tǒng)建設的全過程(各個環(huán)節(jié))進行保密審查、審批、把關。要防止并糾正“先建設，后防護，重使用，輕安全”的傾向，建立健全涉密信息系統(tǒng)使用審批制度。不經過保密部門的審批和論證，信息系統(tǒng)不得處理國家秘密信息。

（四）注重管理的原則：涉密信息系統(tǒng)的安全保密三分靠技術，七分靠管理。加強管理可以彌補技術上的不足；而放棄管理則再好的技術也不安全。采用管理與技術相結合，管理科學性和技術前瞻性結合的方法，保障信息系統(tǒng)的安全性達到所要求的目標。信息安全管理工作主要體現(xiàn)為管理行為，應保證信息系統(tǒng)安全管理主體合法、管理行為合法、管理內容合法、管理程序合法。對安全事件的處理，應由授權者適時發(fā)布準確一致的有關信息，避免帶來不良的影響；

（五）主要領導負責、全員參與原則：主要領導應確立其組織統(tǒng)一的信息安全保障的宗旨和政策，負責提高員工的安全意識，組織有效安全保障隊伍，調動并優(yōu)化配置必要的資源，協(xié)調安全管理工作與各部門工作的關系，并確保其落實、有效；信息系統(tǒng)所有相關人員應普遍參與信息系統(tǒng)的安全管理，并與相關方面協(xié)同、協(xié)調，共同保障信息系統(tǒng)安全；

（六）系統(tǒng)方法、持續(xù)改進原則：按照系統(tǒng)工程的要求，識別和理解信息安全保障相互關聯(lián)的層面和過程，采用管理和技術結合的方法，提高實現(xiàn)安全保障的目標的有效性和效率；安全管理是一種動態(tài)反饋過程，貫穿整個安全管理的生存周期，隨著安全需求和系統(tǒng)脆弱性的時空分布變化，威脅程度的提高，系統(tǒng)環(huán)境的變化以及對系統(tǒng)安全認識的深化等，應及時地將現(xiàn)有的安全策略、風險接受程度和保護措施進行復查、修改、調整以至提升安全管理等級，維護和持續(xù)改進信息安全管理體系的有效性；

（七）分級保護原則：涉密信息系統(tǒng)等級劃分需按照國家關于涉密計算機信息系統(tǒng)等級劃分指南，結合本單位實際情況進行涉密信息系統(tǒng)定級。按等級劃分標準確定信息系統(tǒng)的安全保護等級，實行分級保護；對多個子系統(tǒng)構成的大型信息系統(tǒng)，確定系統(tǒng)的基本安全保護等級，并根據(jù)實際安全需求，分別確定各子系統(tǒng)的安全保護等級，實行多級安全保護；

五、涉密信息系統(tǒng)保密管理的思路與方法

我國的涉密信息系統(tǒng)實行分級保護管理制度，即根據(jù)涉密程度，對涉密信息系統(tǒng)按照秘密級、機密級、絕密級進行分等級實施保護。目前，國家保密局已經制定發(fā)布了國家保密標準BMBl7--2006《涉及國家秘密的信息系統(tǒng)分級保護技術要求》和BMB20--2007《涉及國家秘密的信息系統(tǒng)分級保護管理規(guī)范》，從技術和管理兩個方面，詳細規(guī)定了涉密信息系統(tǒng)建設、使用和管理的保密要求。

涉密信息系統(tǒng)分級保護是國家信息安全等級保護的重要部分，其核心思想是“從實際出發(fā)，綜合平衡安全成本和風險，優(yōu)化信息安全資源的配置，確保重點?！币虼耍婷苄畔⑾到y(tǒng)應該遵循國家保密標準規(guī)范，在分級保護的框架下，按照“規(guī)范定密，準確定級；分域分級，科學防護；風險評估，動態(tài)調整；技管并重，全面保障”的基本思路進行保密管理，具體方法為：

(一)涉密信息系統(tǒng)應該嚴格按照以系統(tǒng)分域定級、方案設計、工程實施、系統(tǒng)測評為中心環(huán)節(jié)的操作流程，積極組織開展涉密信息系統(tǒng)建設工作

1．涉密信息系統(tǒng)建設使用單位應按照信息密級、行政級別、業(yè)務類別、系統(tǒng)重要性和安全策略等因素劃分安全域，并根據(jù)各安全域所處理信息的最高密級確定等級。

2．涉密信息系統(tǒng)建設使用單位應選擇具有涉密信息系統(tǒng)集成資質單位進行承建，結合國家保密標準BMBl7—2006《涉及國家秘密的信息系統(tǒng)分級保護技術要求》和BMB20--2007《涉及國家秘密的信息系統(tǒng)分級保護管理規(guī)范》等相關標準，在風險評估的基礎上，從技術和管理兩個方面進行綜合設計。保密工作部門應當參與方案審查論證，在系統(tǒng)總體安全保密性方面加強指導，嚴格把關。

3．涉密信息系統(tǒng)建設使用單位應按照BMBl8--2006《涉及國家秘密的信息系統(tǒng)工程監(jiān)理規(guī)范》進行工程監(jiān)理。在進行工程監(jiān)理時，應選擇具有涉密工程監(jiān)理單項資質的單位或組織自身力量加強監(jiān)督檢查。

4．涉密信息系統(tǒng)在投入使用前，經過保密工作部門授權測評機構的安全保密測評和保密工作部門審批。涉密信息系統(tǒng)建設使用單位應按照測評機構的要求，提交測評所需的必要資料，并配合系統(tǒng)測評工作。

(二)涉密信息系統(tǒng)建設使用單位應該整合保密部門、信息化建設部門和其他相關部門力量，密切合作，各負其責，形成合力共同加強系統(tǒng)的保密管理工作

1．在系統(tǒng)定級方面，保密部門發(fā)揮準確掌握國家保密政策的優(yōu)勢，與信息化部門、業(yè)務工作部門一起研究確定系統(tǒng)和安全域所處理信息的最高密級，從而確定保護等級。

2．在方案設計方面，信息化部門利用熟悉技術的特點，按照分級保護技術要求和管理規(guī)范，組織開展分級保護方案的設計工作。保密部門應對總體方案進行監(jiān)督、檢查和指導，組織專家進行評審論證。

3．在工程實施方面，信息化部門應具體承擔組織實施工作，并定期與保密部門對安全保密措施落實情況和工程進展情況監(jiān)督、檢查。4．在系統(tǒng)工程施工結束后，保密部門負責組織系統(tǒng)測評和系統(tǒng)審批工作，信息化部門密切配合。

5．在系統(tǒng)投入運行后，保密、信息化、密碼、業(yè)務工作、保衛(wèi)和人事等有關部門應按照“分工合作、各司其責”的原則，在滿足基本管理要求的基礎上，主要從人員管理、物理環(huán)境與設施管理、設備與介質管理、運行與開發(fā)管理和信息安全保密管理五個方面抓好系統(tǒng)應用中的日常管理，積極開展風險評估和保密監(jiān)督檢查，并做好系統(tǒng)廢止階段的善后工作。

六、涉密信息系統(tǒng)安全保密建議

（一）要樹立起有效控制的思想。

保密的實質是什么？筆者認為保密的實質就是控制，要做到國家秘密在任何時候、任何情況下都受控。而做好控制的最有效方法就是盡一切可能縮小知悉范圍，做到知悉必須以工作需要為原則。為檢驗控制的效果，則要做好全程登記工作，將所有知悉國家秘密的人和情況記錄在案，做到可查、可追溯。

（二）要建立起一個高效的保密機制。

保密工作機制就是將保密工作各相關要素組合在一起，通過各要素之間的相互聯(lián)系、相互制約、相互作用，使其向既定的保密工作目標自行運轉。比如保密資格認證制度就是一個好的機制。它將軍工單位承擔武器裝備科研生產任務與保密緊密聯(lián)系起來，與單位生存發(fā)展緊密聯(lián)系起來，通過開展達標活動，使保密工作按照相關標準的要求自行運轉。在單位內部，將各項保密要求制定成保密檢查標準，通過定期檢查，量化打分，發(fā)現(xiàn)和改進企業(yè)保密管理的薄弱環(huán)節(jié)，同時將每位涉密人員平時的保密工作情況納入綜合考評，與其晉級、晉職、獎懲等緊密聯(lián)系起來，激勵每一位涉密人員自覺地做好保密工作。建立這樣一個能夠自行運轉的系統(tǒng)，將從根本上解決做好保密工作的動力問題，由過去的讓我做變成我要做，促使軍工單位保密工作發(fā)生質的變化。

（三）要抓好保密工作三大體系建設

保密工作三大體系是指：保密組織管理體系，保密法規(guī)制度體系，保密技術防護體系。保密是一項管理工作，是需要有職能部門和專職人員開展的工作，且必須有經費的保障，建立保密組織管理體系是做好保密工作的基本條件和基本保障。保密法規(guī)制度是做好保密工作的重要基礎和前提。保密法規(guī)制度體系的建立要做到各類涉密事項和任何涉密活動都有制度進行約束和控制。保密技術防護體系是做好保密工作的重要手段和措施。要將涉密區(qū)域和要害部門部位通過技術手段全面控制起來。安裝必要的電視監(jiān)控系統(tǒng)、門禁系統(tǒng)、區(qū)域紅外報警系統(tǒng)等。

（四）要重視安全保密的管理工作

隨著信息安全技術的發(fā)展，信息安全產品正在向智能、整合和管理方向發(fā)展，未來的涉密信息系統(tǒng)安全保密技術防范方案將會越來越完善。同時我們也應該注意到，如果沒有強有力的管理來支持，再好的技術防范措施都會大打折扣，再好的技術防范產品也將成為擺設，因此涉密信息系統(tǒng)安全保密工作的重點還是在于管理，需要制定切實可行的規(guī)章制度，定期進行涉密信息系統(tǒng)的安全保密檢查，發(fā)現(xiàn)問題及時整改，并嚴肅處理違規(guī)的責任人，從而不斷強化員工的安全保密意識，使員工能夠自覺遵守企業(yè)安全保密的規(guī)章制度。

七、結束語

傳統(tǒng)的“規(guī)章制度建設”式保密管理方法已經不適應新的形勢，“管理以技術為依托，技術靠管理來保障”的模式已經成新的發(fā)展趨勢，因此必須按照“分級保護”和“技管并重”的原則開展涉密信息系統(tǒng)安全保密工作。

作者簡介：

陳金文，男，工程師，武漢理工大學畢業(yè)，目前從事航宇公司PDM、VPM等涉密應用系統(tǒng)的實施、推廣運維方面的技術工作。

聯(lián)系方式：辦公室 1097 手機 ***

第四篇：計算機信息系統(tǒng)涉密管理辦法

計算機信息系統(tǒng)涉密管理辦法

第一章 總 則

第一條 為保護農村商業(yè)銀行股份有限公司（以下簡稱“本行”）計算機網(wǎng)絡系統(tǒng)的安全，根據(jù)《中華人民共和國保守國家秘密法》、《計算機信息系統(tǒng)保密暫行規(guī)定》等法律、法規(guī)制訂本辦法。

第二條 本辦法所稱的計算機信息系統(tǒng)，是指由計算機、網(wǎng)絡設備、數(shù)據(jù)信息以及其相關配套的設備、設施構成的，按照一定的應用目標和規(guī)則對數(shù)據(jù)信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統(tǒng)。

第三條 概念釋義：

（一）計算機信息系統(tǒng)安全，是指計算機信息系統(tǒng)的硬件、軟件、網(wǎng)絡和數(shù)據(jù)的安全必須受到保護，不因自然的和人為的原因而遭到破壞、更改和丟失，以保證計算機信息系統(tǒng)能連續(xù)正常運行。

（二）計算機信息系統(tǒng)保密，是指對涉及本行商密的包括但不限于計算機信息系統(tǒng)的軟件、硬件、系統(tǒng)數(shù)據(jù)信息、技術開發(fā)文檔、管理及操作規(guī)定。

（三）計算機信息系統(tǒng)的安全保密，是指保障計算機、數(shù)據(jù)信息網(wǎng)絡及其相關的和配套的設備、設施的安全，保障運行環(huán)境（機房）的安全，保障信息的安全，保障計算機和網(wǎng)絡功能的正常發(fā)揮，防止工作或政治因素造成的失密、泄密，防止人為或自然災害等造成的破壞，以及防止利用計算機犯罪等。

第四條

本辦法適用于支行（部）的業(yè)務網(wǎng)、辦公網(wǎng)、互連網(wǎng)等三大計算機網(wǎng)絡系統(tǒng)涉密工作的管理。

第二章 組織管理及職責

第五條 本行成立計算機網(wǎng)絡系統(tǒng)保密領導小組，由行長任組長，分管副行長為副組長、各支行（部）負責人為小組成員，信息科技部負責保密領導小組的日常檢查工作。

（一）保密領導領導小組定期向本行領導報告安全保密工作情況；

（二）保密領導領導小組督促本部門安全保密措施的貫徹執(zhí)行；

（三）小組成員負責本部門安全保密檢查；進行安全保密教育。第七條 對涉密信息需要經計算機系統(tǒng)采集、加工、存儲、處理、輸出的，由信息的生成、擁有、管理、提供部門向總行保密領導小組進行申報，經總行保密領導小組核定并簽署意見后書面通知相關部門執(zhí)行。

第八條

總行保密領導小組不定期組織開展本行涉密計算機信息安全檢查，對檢查中發(fā)現(xiàn)的問題將及時予以糾正，對嚴重違反涉密規(guī)定，造成后果的，要進行通報，并按有關規(guī)定，追究領導責任，嚴肅處理。

第三章 計算機及網(wǎng)絡系統(tǒng)

第九條 設備選型、購置須經充分論證，做好驗收，對密鑰、密碼、參數(shù)等信息應做好接交保管，網(wǎng)絡設備要特別關注其保密性能。

第十條

建立常規(guī)硬件系統(tǒng)維護管理制度，保持維護計算機和網(wǎng)絡設備、工具和資料處于良好狀態(tài)。

第十一條 各級操作人員必須進行必要的安全保密培訓，在職責范圍內嚴格按相關操作規(guī)程進行操作。

第十二條 應用系統(tǒng)在設計上嚴格控制涉密文件信息查詢、檢索的人員范圍，嚴格管理用戶使用權限。系統(tǒng)軟硬件一經安裝、調試、正式運行，各支行（部）未經科技部門許可，不得自行對其更改配置。

第四章 介質、資料的管理

第十三條

應用系統(tǒng)使用、產生的介質（磁性存儲介質、電子存儲介質、光存儲介質等）或資料（紙質文檔、電子文檔、程序等）要按其重要性進行分類，對存放有關鍵或重要數(shù)據(jù)的介質和資料，應復制必要的份數(shù)，并分別存放在不同的安全地方，建立嚴格的保密保管制度。

第十四條 保留在機房內的介質或資料，應為系統(tǒng)有效運行所必需的最少數(shù)量，除此之外，不應保留在機房內。

第十五條 存放介質、資料的庫房，必須設有防火、防潮、防高溫、防震、防電磁場、防靜電及防盜等的設施。

第十六條 介質（資料）庫，應設專人負責登記保管，未經批準，不得向第三方提供。

第十七條 系統(tǒng)內有關人員在使用介質（資料）期間，應嚴格按國家相關保密規(guī)定進行控制，不得轉借或復制，需要使用或復制的須經相關領導批準。

第十八條

庫房保管人對所有介質（資料）應定期檢查，根據(jù)介質的安全保存期限，及時更新復制。損壞、廢棄或過期的介質（資料）應由專人負責處理，秘密級以上的介質（資料）在超過保密期或廢棄不用時，要及時銷毀。

第五章 安全保密管理

第十九條

計算機信息系統(tǒng)的建設和應用，應當遵守國家有關法律、行政法規(guī)和本行其它有關規(guī)定。

第二十條 計算機機房、辦公、防雷、消防、通訊及供配電設施應當符合國家標準和國家有關規(guī)定。在上述設施附近施工，不得危害計算機網(wǎng)絡系統(tǒng)的安全。

第二十一條 嚴禁任何涉及支行（部）機密的涉密計算機信息系統(tǒng)直接或間接地與國際互聯(lián)網(wǎng)或其他公共信息網(wǎng)絡相連接，必須實行內聯(lián)網(wǎng)與互聯(lián)網(wǎng)嚴格物理隔離。所有與互聯(lián)網(wǎng)連接的計算機必須使用專用的上網(wǎng)計算機或采用隔離措施的計算機，上網(wǎng)計算機中不得有涉及本機構保密信息的內容。

第二十二條 凡接入互聯(lián)網(wǎng)的單位，要實行保密領導責任制，各部門負責人是本部門保密工作的第一責任人，必須指定專人負責本部門上網(wǎng)信息的保密監(jiān)督檢查，確保涉密信息的安全。

第二十三條 要求接入國際互聯(lián)網(wǎng)的計算機，由使用部門提出申請，經科技部門按規(guī)定審核后，報分管領導審批?；ヂ?lián)網(wǎng)實行專網(wǎng)管理，由信息科技部統(tǒng)一出口管理，并向通信運營商提出申請安裝，嚴格控制各支行（部）自行申請安裝。互聯(lián)網(wǎng)申請安裝必須報市公安局網(wǎng)絡監(jiān)察大隊備案。為控制源頭，加強管理，支行（部）大樓實行單一互聯(lián)網(wǎng)專線，由信息科技部負責安全措施落實，各部門不得自行通過電話或其他方式上互聯(lián)網(wǎng)，以防止通過互聯(lián)網(wǎng)發(fā)生泄密事件。

第二十四條 對計算機信息系統(tǒng)中發(fā)生的案件，按規(guī)定及時向本行相關部門報告。

第二十五條 上網(wǎng)信息的保密管理堅持“誰上網(wǎng)，誰負責”的原則。凡向互聯(lián)網(wǎng)發(fā)布涉密信息，必須經過總行保密領導小組授權總行辦公室審查批準。第二十六條

本行員工必須接受保密安全教育，嚴格遵守保密紀律。在開展技能培訓的同時，必須把保密教育作為技能培訓的重要內容之一。

第二十七條 本行與外單位因業(yè)務關系進行網(wǎng)絡互聯(lián)時，必須在雙方設置硬件防火墻，并通過中間服務器訪問我行數(shù)據(jù)，與關聯(lián)單位簽定的協(xié)議中，必須含有保密條款。關聯(lián)單位必須遵守我行有關保密規(guī)定，不得泄露我行重要的保密信息。

第二十八條 總行保密領導小組不定期組織開展本行涉密計算機信息安全檢查，對檢查中發(fā)現(xiàn)的問題將及時予以糾正，對嚴重違反涉密規(guī)定，造成后果的，要進行通報，并按有關規(guī)定，追究領導責任，嚴肅處理。

第六章 人員內控管理

第二十九條 人員管理。

本行員工一旦發(fā)現(xiàn)涉密信息泄露或可能發(fā)生泄露的情況時，應立即向保密領導小組報告，并采取相應的保護措施。

第三十條 任何人不得擅自處理或破壞發(fā)生事故的涉密計算機信息系統(tǒng)現(xiàn)場，必須及時通知總行保密領導小組，經保密領導小組授權，信息科技部進行技術分析、取證，并及時做好相應的登記備案工作。

第三十一條 泄密事故相關人員應根據(jù)責任和損失大小承擔相關事故責任，給本行造成重大損失的將被依法追究責任，情節(jié)嚴重的將送交司法機關處理。

第三十二條

人員審查。

人員的審查必須根據(jù)計算機網(wǎng)絡系統(tǒng)所規(guī)定的安全等級來確定審查標準。凡接觸系統(tǒng)安全三級以上信息系統(tǒng)的所有人員，必須按機要人員的條件進行審查。

第三十三條

關鍵崗位人選。

對計算機信息系統(tǒng)的關鍵崗位人選，如安全負責人、系統(tǒng)管理員等，不僅需要進行嚴格的政審，還要考核其業(yè)務能力，以保證這部分人員可信可靠，能勝任本職工作。關鍵崗位人員要實行定期強制休假制度。

第三十四條

人員培訓。

計算機信息系統(tǒng)上崗的所有工作人員，均需由有關部門組織上崗培訓，包括計算機及網(wǎng)絡操作、維護培訓、應用軟件操作培訓、計算機網(wǎng)絡系統(tǒng)安全課程及保密教育培訓，經培訓合格的人員持證上崗。

第三十五條 人員考核。

人事部門要定期組織有關方面人員對計算機網(wǎng)絡系統(tǒng)所有的工作人員從政治思想、業(yè)務水平、工作表現(xiàn)、遵守安全規(guī)程等方面進行考核，對于考核發(fā)現(xiàn)有違反安全法規(guī)行為的人員或發(fā)現(xiàn)不適于接觸計算機網(wǎng)絡系統(tǒng)的人員要及時調離崗位，不應讓其再接觸系統(tǒng)，對情節(jié)嚴重的應追究其法律責任。

第三十六條

簽訂保密協(xié)議。

對于所有進入計算機網(wǎng)絡系統(tǒng)工作的人員，均應簽訂保密契約，承諾其對系統(tǒng)應盡的安全保密義務，保證在崗工作期間和離崗后均不得違反保密契約，泄漏系統(tǒng)秘密。對違反保密契約的，應有懲處條款。對接觸機密信息的人員，應規(guī)定在離崗后的一段時期內不得離境。

第三十七條 人員調離。

對調離人員，特別是因不適合安全管理要求被調離的人員，必須嚴格辦理調離手續(xù)。進行調離談話，承諾其調離后的保密義務，交還所有鑰匙及證件，退還全部技術手冊、軟件及有關資料。更換系統(tǒng)口令和用戶名。自調離決定通知之日起，必須立即進行上述工作，不得拖延。

第七章 操作安全管理

第三十八條 系統(tǒng)操作安全管理目標。

系統(tǒng)操作是指對計算機信息系統(tǒng)開發(fā)、操作、維護、系統(tǒng)管理等人員的行為或活動。計算機信息系統(tǒng)操作安全管理的目標是：

（一）對系統(tǒng)管理及系統(tǒng)操作均應進行有效的監(jiān)督或監(jiān)控；

（二）所有接觸系統(tǒng)的人員均應承擔與其工作性質相應的安全責任。

第三十九條 計算機操作人員分類。

對計算機信息系統(tǒng)的操作人員，應根據(jù)計算機信息系統(tǒng)有限職責、有限使用授權原則進行分類。

（一）營業(yè)網(wǎng)點操作員、管理人員。

（二）事后監(jiān)督系統(tǒng)操作員、管理人員。

（三）辦公自動化系統(tǒng)操作、管理人員。

（四）網(wǎng)絡及硬件維護人員。

（五）系統(tǒng)運行維護人員。

（六）中心系統(tǒng)管理人員。

（七）安全管理人員。

第四十條 系統(tǒng)操作控制管理。

（一）應按照分工負責、互相制約的原則制定各類系統(tǒng)操作人員的職責，職責不允許交叉覆蓋。

（二）各類人員在履行職責時要按規(guī)定行事，不得從事超越自己職責以外的任何操作。

（三）在對生產系統(tǒng)和監(jiān)督系統(tǒng)進行系統(tǒng)維護、恢復、強行更改數(shù)據(jù)時，至少應有兩名操作人員在場、并進行詳細的登記及簽名。

（四）系統(tǒng)檢查人員、安全管理人員有權對生產系統(tǒng)進行監(jiān)督與核查，但該過程必須履行必要的手續(xù)和按照一定的程序進行。

第八章 安全保密監(jiān)督

第四十一條 科技部門對計算機信息系統(tǒng)安全保密工作，行使下列監(jiān)督職權：

（一）監(jiān)督、檢查、指導計算機信息系統(tǒng)安全保密工作；

（二）檢查危害計算機信息系統(tǒng)安全的違規(guī)事件；

（三）履行計算機信息系統(tǒng)安全保密工作的其它監(jiān)督職責。

第四十二條 科技部門發(fā)現(xiàn)影響計算機信息系統(tǒng)安全保密的隱患時，應當及時通知本行保密領導小組采取保密保護措施，在緊急情況下，有權直接先采取必要的措施，然后再向領導報告，遇有重大問題，可以要求召集計算機保密領導小組成員會議商議對策。

第九章 泄密處理

第四十三條 如發(fā)生涉密計算機信息泄密事故，不得隱瞞，應立即向保密領導小組報告，并請求信息科技部給予技術支持；信息科技部將根據(jù)保密領導小組的要求，采取有效的技術措施，避免泄密進一步擴大。

第四十四條 本行員工一旦發(fā)現(xiàn)涉密信息泄露或可能發(fā)生泄露的情況時，應立即向保密領導小組報告，并采取相應的保護措施。

第四十五條 任何人不得擅自處理或破壞發(fā)生事故的涉密計算機信息系統(tǒng)現(xiàn)場，必須及時通知總行保密領導小組，經保密領導小組授權，信息科技部進行技術分析、取證，并及時做好相應的登記備案工作。

第四十六條 泄密事故相關人員應根據(jù)責任和損失大小承擔相關事故責任，給本行造成重大損失的將被依法追究責任，情節(jié)嚴重的將送交司法機關處理。

第四十七條 第四十八條

第十章 附則

本辦法由農村商業(yè)銀行股份有限公司負責解釋。本辦法自發(fā)布之日起執(zhí)行。

第五篇：信息管理與信息系統(tǒng)

中央財經大學行政管理專業(yè)法律錄取2個人去年最低524分（這個你或許可以考慮）

我看了一下你所說的信息管理與信息系統(tǒng)開設的院校 省外的有錄取的很少，而且都要理科生財經類的大部分都要理科生只有有本省的才收很少的文科生

1、該專業(yè)學習包括計算機開學與技術、經濟學、管理學，太雜了，很多同學讀完了還沒有讀到自己專業(yè)氣色；一個特點（多而不精），但是也有一個好處，那就是，什么工作你都可以干。

2、該專業(yè)面向比較廣，以后就要面向比其他專業(yè)更廣；

3、該專業(yè)算得上相關類似專業(yè)中，選擇專業(yè)發(fā)展方向的靈活性最大；

4、該專業(yè)學得多、深，路子就比其他專業(yè)絕對好！

現(xiàn)在的形式是很多學生找的工作都和專業(yè)沒有太大關系就是專業(yè)不對稱，占到了75%，這是事實

我自己的切身感受是大學是學習知識的一個階段這段時期最重要的不是你學到了什么東西你的專業(yè)好不好能不能找到一份好工作而是你學會學習學會接受失敗明確目標，知道你以后要干什么，有一個完整的知識結構，你自己要找一門自己喜歡的學科好好研究變成自己的專業(yè)課堂上學到的東西很有限很多都聽不懂關鍵在自己我感覺這個專業(yè)挺好的專業(yè)本身可以讓你了解很多知識你自己再鉆研一門學科知識結構就可以了就業(yè)自然不是問題

如果你要從一開始就鉆一門統(tǒng)計學金融學都比較好

蘭州商學院的會計金融也會不錯的計算機科學專業(yè)一定不要報難學 沒前途

中國農業(yè)大學只招理科生不要文科生

信息管理與信息系統(tǒng)專業(yè)

業(yè)務培養(yǎng)目標：

業(yè)務培養(yǎng)目標：本專業(yè)培養(yǎng)具備現(xiàn)代管理學理論基礎、計算機科學技術知識及應用能力，掌握系統(tǒng)思想和信息系統(tǒng)分析與設計方法以及信息管理等方面的知識與能力，能在國家各級管理部門、工商企業(yè)、金融機構、科研單位等部門從事信息管理以及信息系統(tǒng)分析、設計、實施管理和評價等方面的高級專門人才。

業(yè)務培養(yǎng)要求：本專業(yè)學生主要學習經濟、管理、數(shù)量分析方法、信息資源管理、計算機及信息系統(tǒng)方面的基本理論和基本知識，受到系統(tǒng)和設計方法以及信息管理方法的基本訓練，具備綜合運用所學知識分析和解決問題的基本能力。畢業(yè)生應獲得以下幾方面的知識和能力：

l．掌握信息管理和信息系統(tǒng)的基本理論基本知識；

2．掌握管理信息系統(tǒng)的分析方法、設計方法和實現(xiàn)技術；

3．具有信息組織、分析研究、傳播與開發(fā)利用的基本能力；

4．具有綜合運用所學知識分析和解決問題的基本能力；

5．了解本專業(yè)相關領域的發(fā)展動態(tài)；

6．掌握文獻檢索、資料查詢、收集的基本方法，具有一定的科研和實際工作能力。

主干課程：

主干學科：管理學、經濟學、計算機科學與技術。

主要課程：經濟學、會計學、市場營銷學、生產與運作管理、組織戰(zhàn)略與行為學、管理學原理、應用數(shù)理統(tǒng)計、運籌學、計算機系統(tǒng)與系統(tǒng)軟件、數(shù)據(jù)結構與數(shù)據(jù)庫等。

主要實踐性教學環(huán)節(jié)：程序設計實習、管理軟件實習、畢業(yè)設計等。一般安排18周，其中畢業(yè)設計不少于12周。

修業(yè)年限：四年

授予學位：管理學學士

相近專業(yè)：管理科學 工程管理 體育產業(yè)管理 資產評估

什么樣的一門學科-對信息進行分類、管理、以及研究如何應用的科學這個專業(yè)主要是研究信息管理以及信息系統(tǒng)分析、設計、實施、管理和評價等方面的基本理論和方法。通俗地講，就是從信息中發(fā)掘財富?，F(xiàn)代社會正是信息化社會，大量紛繁的信息如何管理，并且從中獲得有效的信息，正是信息管理科學的研究重點。與計算機結合，使計算機作為工具，信息管理更加有效和實用。隨著企業(yè)經營規(guī)模的現(xiàn)代化，對信息管理的要求越來越強烈。例如鐵路訂票系統(tǒng)，就是對車票這種信息的查詢和管理系統(tǒng)?？梢哉f軟件開發(fā)的最主要面向的客戶就是幫助企業(yè)制作良好的信息管理系統(tǒng)。信息管理涉及咨詢、服務、物流等很多行業(yè)，有很多的就業(yè)機會。

授課的內容— 偏重計算機、涉及管理課程

學習的內容涵蓋計算機學科和管理學科的核心課程。管理學科方面有會計學、經濟學、管理學、統(tǒng)計學；計算機方面有高級語言程序設計、數(shù)據(jù)結構、數(shù)據(jù)庫、操作系統(tǒng)、計算機網(wǎng)絡。兩學科綜合課程有電子商務、管理信息系統(tǒng)等。獨立設計、實現(xiàn)小型信息系統(tǒng)或大型信息系統(tǒng)中的某一子系統(tǒng)，并在此基礎上完成畢業(yè)設計論文，最后一個學期還應安排響應的管理軟件上機實習。

畢業(yè)后干什么— 主要是與計算機應用相關的工作，還有一些信息管理的工作

這是一個適應面相當廣的專業(yè)。就業(yè)機會很多，近年來主要是：

軟件開發(fā)人員-----幫助企業(yè)和組織問題，起薪一般在2000-3000元/月；網(wǎng)絡或系統(tǒng)管理員------企業(yè)或組織高效運行的保障，起薪一般在1500-3000元/月；

企業(yè)信息管理員 —— 在企業(yè)中從事信息搜集、管理工作，起薪一般在1000-3000元/月。

報考什么樣的學?！?應查明各校研究方向上的不同

專門設置信息管理和信息系統(tǒng)專業(yè)的院校很多，如中國人民大學、清華大學、北京大學、武漢大學、哈爾濱工業(yè)大學、西安交通大學、浙江大學等。其中工科院校偏重對計算機應用的學習，文理院校偏重在管理上的研究。

相關專業(yè)找一找

有關聯(lián)的其他專業(yè)：計算機科學與技術、企業(yè)管理、情報學、圖書館學。名稱不同但實質相同的專業(yè)： 計算機信息管理

信息管理專業(yè)，是一個涵蓋面很廣的專業(yè)，所以，在不同的學校的內容可能差異很大。

專家提醒

要注意這個專業(yè)在有的學校實際是學習計算機軟件，有的可能是以前的圖書館系的改名，報考是一定要查明這些情況。