第一篇：涉及國家秘密的計算機信息系統(tǒng)安全保密方案設計

一、前言

目前，計算機網絡在我國迅速普及，幾乎所有的黨政軍機關、企事業(yè)單位都在建設計算機網絡、使用計算機網絡。伴隨網絡的普及，安全保密日益成為影響網絡效能的重要問題，安全保密問題解決不好，會影響計算機網絡的應用，特別是涉密系統(tǒng)，專門用來處理和傳輸國家秘密信息，如果安全保密防范不力，稍有疏忽，就會危及國家的安全和利益。

對于涉密系統(tǒng)的建設，國家保密局提出了涉密系統(tǒng)保密管理的原則：“同步建設、嚴格審批、注重防范、規(guī)范管理”。具體來說，同步建設，就是涉密系統(tǒng)的建設必須與采用的保密設施同步規(guī)劃和建設；嚴格審批，就是涉密系統(tǒng)建成后必須經過保密部門批準才能使用；注重防范，就是涉密系統(tǒng)的建設必須突出保密防范，并加大技術和資金投入；規(guī)范管理，就是要針對涉密系統(tǒng)制定一套嚴格的防范和管理措施。

近年來，國家保密局已經發(fā)布了如下規(guī)定和技術規(guī)范，本文作者先后參與了這些規(guī)定和技術規(guī)范的制定：

1.《涉及國家秘密的通信、辦公自動化和計算機信息系統(tǒng)審批暫行辦法》（中保辦發(fā)[1998]6

號），主要提供保密部門審批涉密系統(tǒng)使用。

2.國家保密指南BMZ1-2000《涉及國家秘密的計算機信息系統(tǒng)保密技術要求》，主要提供涉密

系統(tǒng)用戶單位使用。

3.國家保密指南BMZ2-2001《涉及國家秘密的計算機信息系統(tǒng)安全保密方案設計指南》，主要

提供涉密系統(tǒng)安全保密設計、建設單位使用。

4.國家保密指南BMZ3-2001《涉及國家秘密的計算機信息系統(tǒng)安全保密測評指南》，主要提供

保密部門指定的涉密系統(tǒng)測評機構使用。

二、涉密系統(tǒng)安全保密方案的主要內容

涉密系統(tǒng)安全保密建設是一個復雜的系統(tǒng)工程，無論是對已建計算機信息系統(tǒng)進行安全保密改造，還是新建一個涉密系統(tǒng)，都必須進行安全保密設計，提供安全保密方案。

進行涉密系統(tǒng)安全保密方案設計，首先要進行系統(tǒng)分析，以了解、掌握涉密系統(tǒng)的詳細情況；然后，根據(jù)涉密系統(tǒng)的實際情況分析網絡的脆弱性和面臨的威脅，并進行風險分析，確定安全保密的防護重點；依據(jù)國家有關信息安全保密標準、法規(guī)和文件進行安全保密系統(tǒng)設計，明確所采用的安全保密技術、措施和產品，提供恰當?shù)呐渲梅桨?，并?guī)范整個涉密系統(tǒng)的安全保密管理；最后，提出安全保密建設的實施計劃和經費概算。因此，涉密系統(tǒng)安全保密方案的主要內容應包括：

? 系統(tǒng)分析

? 脆弱性分析和威脅分析

? 風險分析

? 安全保密系統(tǒng)設計

? 安全保密技術和措施

? 安全保密產品的選型原則

? 安全保密產品、設施選型和依據(jù)

? 安全保密系統(tǒng)配置方案

? 安全保密管理措施

? 安全保密建設實施計劃

? 安全保密系統(tǒng)的經費概算

2.1 系統(tǒng)分析

涉密系統(tǒng)安全保密方案應提供涉密系統(tǒng)的詳細情況，主要包括：

(1)硬件資源、存儲介質、軟件資源、信息資源等系統(tǒng)資源的情況；

(2)涉密系統(tǒng)的用戶和網絡管理人員的情況；

(3)網絡結構圖（含傳輸介質的情況）及相關描述；

(4)應用系統(tǒng)的情況，如應用系統(tǒng)的名稱、功能、所處理信息的密級、用戶范圍、訪問權限、安全保密措施等。

2.2 脆弱性分析和威脅分析

涉密系統(tǒng)安全保密方案應分析網絡的脆弱性，結合涉密系統(tǒng)的實際情況分析所面臨的威脅。例如，如果網絡中采用了公共網絡進行數(shù)據(jù)傳輸，就存在通信數(shù)據(jù)被竊聽的威脅。除此之外，可能還存在如下威脅：

(1)非法訪問

(2)電磁泄漏發(fā)射

(3)通信業(yè)務流分析

(4)假冒

(5)惡意代碼

(6)破壞信息完整性

(7)抵賴

(8)破壞網絡的可用性

(9)操作失誤

(10)自然災害和環(huán)境事故

(11)電力中斷

2.3 風險分析

涉密系統(tǒng)安全保密方案應對涉密系統(tǒng)進行風險分析。根據(jù)脆弱性分析和威脅分析的結果，分析利用這些薄弱環(huán)節(jié)進行攻擊的可能性，評估如果攻擊成功所帶來的后果，根據(jù)涉密系統(tǒng)所能承受的風險確定涉密系統(tǒng)的防護重點。

不同的網絡所能承受的風險不同。例如，如果網絡提供電子商務業(yè)務，那么其數(shù)據(jù)庫服務器和認證服務器的安全就是業(yè)務的直接保證；對于涉密系統(tǒng)，信息的保密性就是安全保密防護的重點；對于重要的涉密系統(tǒng)，如果日常工作對涉密系統(tǒng)的依賴性特別強，一旦網絡癱瘓后果非常嚴重，難以承受，就必須考慮建立比較完善的應急處理和災難恢復中心。

2.4 安全保密系統(tǒng)設計

涉密系統(tǒng)安全保密方案應根據(jù)脆弱性分析、威脅分析和風險分析的結果，依據(jù)國家有關信息安全保密標準、法規(guī)和文件進行涉密系統(tǒng)的安全保密系統(tǒng)設計，應該提出安全保密系統(tǒng)設計的目標、原則、安全策略和安全保密功能結構。

2.5 安全保密技術和措施

涉密系統(tǒng)安全保密方案應提供實現(xiàn)安全保密系統(tǒng)所采用的安全保密技術和措施。通常包括：

(1)物理安全防護措施

(2)備份與恢復

(3)計算機病毒防治

(4)電磁兼容

(5)身份鑒別

(6)訪問控制

(7)信息加密

(8)電磁泄漏發(fā)射防護

(9)信息完整性校驗

(10)抗抵賴

(11)安全審計

(12)安全保密性能檢測

(13)入侵監(jiān)控

(14)操作系統(tǒng)安全

(15)數(shù)據(jù)庫安全

2.6 安全保密產品的選型原則

涉密系統(tǒng)安全保密方案應提出安全保密產品的選型原則，通常包括：

(1)安全保密產品的接入應該不明顯影響網絡系統(tǒng)運行效率，并滿足工作的要求。

(2)涉密系統(tǒng)中使用的安全保密產品原則上必須選用國產設備，只有在無相應國產設備時方可選用經國家主管部門批準的國外設備。

(3)安全保密產品必須通過國家主管部門指定的測評機構的檢測。

(4)涉及密碼技術的安全保密產品必須獲得國家密碼主管部門的批準。

(5)安全保密產品必須具有自我保護能力。

2.7 安全保密產品、設施選型和依據(jù)

涉密系統(tǒng)安全保密方案應根據(jù)涉密系統(tǒng)的安全保密需求，比較不同廠家的產品，進行安全保密產品、設施的選型并提供有關情況，如生產廠家、主要功能、主要技術指標、是否通過測評機構的檢測等。

2.8 安全保密系統(tǒng)配置方案

涉密系統(tǒng)安全保密方案應提供安全保密系統(tǒng)的配置圖，指出安全控制點及其配置的安全保密產品，并說明安全保密產品配置符合安全保密系統(tǒng)的要求。

2.9 安全保密管理措施

安全保密管理在涉密系統(tǒng)的安全保密中占有非常重要的地位，即使有了較完善的安全保密技術措施，如果管理的力度不夠，將會造成很大的安全隱患。因此，涉密系統(tǒng)安全保密方案應特別強

調不能忽視安全保密管理，并提供安全保密管理的具體措施，如安全保密管理機構、管理制度、管理技術和涉密人員的管理。

2.10安全保密建設實施計劃

涉密系統(tǒng)安全保密方案應提供安全保密建設的實施計劃，包括：工程組織、任務分解、進度安排等。

2.11安全保密系統(tǒng)的經費概算

涉密系統(tǒng)安全保密方案應提供安全保密系統(tǒng)的經費概算，包括產品名稱、數(shù)量、單價、總價、合計等。如果安全保密系統(tǒng)的建設需要跨年度，應提供各年度的經費概算。

三、方案設計中的幾個主要問題

涉密系統(tǒng)安全保密方案設計中應該特別注意以下幾個主要問題。

1.涉密系統(tǒng)與非涉密系統(tǒng)的劃分

涉密系統(tǒng)安全保密方案設計首先應根據(jù)單位的業(yè)務工作要求，劃分涉密系統(tǒng)與非涉密系統(tǒng).。由于涉密系統(tǒng)不得直接或間接國際聯(lián)網，必須實行物理隔離，并嚴格按照涉密系統(tǒng)的安全保密技術要求進行防護，因此，應該使涉密最小化，才能使安全保密經費更加合理，才能更有利于網絡的發(fā)展應用。

確定恰當?shù)纳婷芟到y(tǒng)規(guī)模和范圍的前提是定密準確。對涉密系統(tǒng)所處理和傳輸?shù)男畔?，有的定密過嚴，把不該定密的定了密，該定低密級的定高了，增加了安全保密經費的負擔，也制約了應用；有的該定密的沒有定密，該定高密級的定低了，增加了泄密隱患。

2.涉密系統(tǒng)內安全域的劃分

涉密系統(tǒng)的安全域由實施共同安全策略的域及其中的主體、客體組成。涉密系統(tǒng)應該利用其網絡結構（如廣域網、局域網、物理子網和邏輯子網等），并按信息密級和信息重要性進行系統(tǒng)安全域劃分。不同的安全域需要互連互通時，應采用安全保密設備（如防火墻、保密網關等）進行邊界防護，并實施訪問控制。同一安全域應采用VLAN、域、組等方式根據(jù)信息的密級、重要性和授權進行進一步劃分。

3.重視管理

目前，涉密系統(tǒng)安全保密方案設計中存在忽視管理，以技術代替管理的現(xiàn)象。管理與技術的作用應該是七分管理，三分技術的關系。加強管理可以彌補技術的不足；而忽視管理則再好的技術也不安全。因此，涉密系統(tǒng)安全保密方案設計中必須特別強調不能忽視安全保密管理，應該強調管理和技術相結合的安全保密解決方案。

第二篇：計算機信息系統(tǒng)安全和保密管理制度

計算機信息系統(tǒng)安全和保密管理制度

為進一步加強我局計算機信息系統(tǒng)安全和保密管理，保障計算機信息系統(tǒng)和數(shù)據(jù)的安全，特制定本制度。

第一條 嚴格落實計算機信息系統(tǒng)安全和保密管理工作責任制，各部門負責人為信息安全系統(tǒng)第一責任人。按照“誰主管誰負責、誰運行誰負責、誰公開誰負責”的原則，各處室在其職責范圍內，負責本單位計算機信息系統(tǒng)安全和保密管理。

第二條 辦公室是全局計算機信息系統(tǒng)安全和保密管理的職能部門，信息中心具體負責技術保障工作。

第三條 局域網分為內網、外網。內網運行各類辦公軟件，專用于公文的處理和交換，屬涉密網；外網專用于各處室和個人瀏覽國際互聯(lián)網，屬非涉密網。上內網的計算機不得再上外網，涉及國家秘密的信息應當在制定的涉密信息系統(tǒng)中處理。

第四條 購置計算機及相關設備須按照保密局指定的有關參數(shù)指標，信息中心將新購置的計算機及相關設備的有關信息參數(shù)登記備案后，經辦公室驗收后，方可提供上網IP地接入機關局域網。

第五條 計算機的使用管理應符合下列要求：

(一)嚴禁同一計算機既上互聯(lián)網又處理涉密信息；

(二)信息中心要建立完整的辦公計算機及網絡設備技術檔案，定期對計算機及軟件安裝情況進行檢查和登記備案；

(三)設置開機口令，長度不得少于8個字符，并定期更換，防止口令被盜；

(四)安裝正版防病毒等安全防護軟件，并及時進行升級，及時更新操作系統(tǒng)補丁程序；

(五)未經信息中心認可，機關內所有辦公計算機不得修改上網IP地址、網關、DNS服務器、子網掩碼等設置；

(六)嚴禁使用含有無線網卡、無線鼠標、無線鍵盤等具有無線互聯(lián)功能的設備處理涉密信息；

(七)嚴禁將辦公計算機帶到與工作無關的場所；確因工作需要需攜帶有涉密信息的手提電腦外出的，必須確保涉密信息安全。

第六條 涉密移動存儲設備的使用管理應符合下列要求：

(一)分別由各處室兼職保密員負責登記，做到專人專用專管，并將登記情況報綜合處備案；

(二)嚴禁涉密移動存儲設備在內、外網之間交叉使用；

(三)移動存儲設備在接入本部門計算機信息系統(tǒng)之前，應查殺病毒、木馬等惡意代碼；

(四)鼓勵采用密碼技術等對移動存儲設備中的信息進行保護；

(五)嚴禁將涉密存儲設備帶到與工作無關的場所。

第七條 數(shù)據(jù)復制操作管理應符合下列要求：

(一)將互聯(lián)網上的信息復制到內網時，應采取嚴格的技術防護措施，查殺病毒、木馬等惡意代碼，嚴防病毒等傳播；

(二)使用移動存儲設備從內網向外網復制數(shù)據(jù)時，應當采取嚴格的保密措施，防止泄密；

(三)復制和傳遞密級電子文檔，應當嚴格按照復制和傳遞同等密級紙質文件的有關規(guī)定辦理。不得利用電子郵件傳遞、轉發(fā)或抄送涉密信息；

(四)各處室因工作需要向外網公開內部信息資料時，必須由該處室負責人審核同意，交由信息中心統(tǒng)一發(fā)布。

第八條 辦公計算機及相關設備由信息中心負責維護，按保密要求實行定點維修。需外

請維修的，要派專人全程監(jiān)督；需外送維修的，應由信息中心拆除信息存儲部件，以防止存儲資料泄密。

第九條 辦公計算機及相關設備報廢時，應由信息中心拆除存儲部件，然后交辦公室核定，由信息中心按有關要求統(tǒng)一銷毀，同時作好備案登記。嚴禁各單位自行處理報廢計算機。

第十條 辦公室和信息中心要加強機關計算機信息系統(tǒng)安全和保密管理情況的監(jiān)督，定期進行檢查，提高泄密隱患發(fā)現(xiàn)能力和泄密事件應急處置能力。其它各處室要密切配合，共同做好計算機信息系統(tǒng)安全和保密工作。

第十一條 機關工作人員離崗離職，有關處室應即時取消其計算機涉密信息系統(tǒng)訪問授權，收回計算機、移動存儲設備等相關物品。

第十二條 各處室和個人應當接受并配合保密監(jiān)督檢查，協(xié)助核查有關泄密行為。對違反本規(guī)定的有關人員應給予批評教育，并責令限期整改；造成泄密事件的，由有關部門根據(jù)國家相關保密法律法規(guī)進行查處，并追究相關責任人的責任。

第十三條 各處室要根據(jù)本規(guī)定，確保涉密信息安全。

第三篇：計算機信息系統(tǒng)安全和保密管理制度

計算機信息系統(tǒng)安全和保密管理制度

為加強開發(fā)區(qū)計算機信息系統(tǒng)安全和保密管理，保障計算機信息系統(tǒng)的安全，特制定本管理制度。

第一條 嚴格落實計算機信息系統(tǒng)安全和保密管理工作責任制。按照“誰主管誰負責、誰運行誰負責、誰公開誰負責”的原則，各科室在其職責范圍內，負責本單位計算機信息系統(tǒng)的安全和保密管理。

第二條 辦公室是全局計算機信息系統(tǒng)安全和保密管理的職能部門。辦公室負責具體管理和技術保障工作。

第三條 計算機信息系統(tǒng)應當按照國家保密法標準和國家信息安全等級保護的要求實行分類分級管理，并與保密設施同步規(guī)劃、同步建設。

第四條 局域網分為內網、外網。內網運行各類辦公軟件，專用于公文的處理和交換，屬涉密網；外網專用于各部門和個人瀏覽國際互聯(lián)網，屬非涉密網。上內網的計算機不得再上外網，涉及國家秘密的信息應當在指定的涉密信息系統(tǒng)中處理。

第五條 購置計算機及相關設備須按保密局指定的有關參數(shù)指標由機關事務中心統(tǒng)一購置，并對新購置的計算機及相關設備進行保密技術處理。辦公室將新購置的計算機及相關設備的有關信息參數(shù)登記備案后統(tǒng)一發(fā)放。經辦公室驗收的計算機，方可提供上網IP地址，接入機關局域網。

第六條 計算機的使用管理應符合下列要求：

（一）嚴禁同一計算機既上互聯(lián)網又處理涉密信息；

（二）各科室要建立完整的辦公計算機及網絡設備技術檔案，定期對計算機及軟件安裝情況進行檢查和登記備案；

（三）設置開機口令，長度不得少于8個字符，并定期更換，防止口令被盜；

（四）安裝正版防病毒等安全防護軟件，并及時進行升級，及時更新操作系統(tǒng)補丁程序；

（五）未經辦公室認可，機關內所有辦公計算機不得修改上網IP地址、網關、DNS服務器、子網掩碼等設置；

（六）嚴禁使用含有無線網卡、無線鼠標、無線鍵盤等具有無線互聯(lián)功能的設備處理涉密信息；

（七）嚴禁將辦公計算機帶到與工作無關的場所；確因工作需要需攜帶有涉密信息的手提電腦外出的，必須確保涉密信息安全。

第七條 涉密移動存儲設備的使用管理應符合下列要求：

（一）分別由各科室兼職保密員負責登記，做到專人專用專管，并將登記情況報信息中心備案；

（二）嚴禁涉密移動存儲設備在內、外網之間交叉使用；

（三）移動存儲設備在接入本部門計算機信息系統(tǒng)之前，應查殺病毒、木馬等惡意代碼；

（四）鼓勵采用密碼技術等對移動存儲設備中的信息進行保護；

（五）嚴禁將涉密存儲設備帶到與工作無關的場所。

第八條 數(shù)據(jù)復制操作管理應符合下列要求：

（一）將互聯(lián)網上的信息復制到內網時，應采取嚴格的技術防護措施，查殺病毒、木馬等惡意代碼，嚴防病毒等傳播；

（二）使用移動存儲設備從內網向外網復制數(shù)據(jù)時，應當采取嚴格的保密措施，防止泄密；

（三）復制和傳遞密級電子文檔，應當嚴格按照復制和傳遞同等密級紙質文件的有關規(guī)定辦理。不得利用電子郵件傳遞、轉發(fā)或抄送涉密信息；

（四）各科室因工作需要向外網公開內部信息資料時，必須由該科室負責人審核同意，交由辦公室統(tǒng)一發(fā)布。

第九條 辦公計算機及相關設備由機關事務中心負責維護，按保密要求實行定點維修。需外請維修的，要派專人全程監(jiān)督；需外送維修的，應由辦公室拆除信息存儲部件，以防止存儲資料泄密。

第十條 辦公計算機及相關設備在變更用途時，必須進行嚴格的消磁技術處理。

第十一條 辦公計算機及相關設備報廢時，應由信息中心拆除存儲部件，然后交辦公室核定，由機關事務中心按有關要求統(tǒng)一銷毀，同時作好備案登記。嚴禁各科室自行處理報廢計算機。

第十二條 加強對兼職保密員的管理，積極參加國家保密工作部門組織的崗位職能培訓。定期內辦公室組織開展經常性的保密教育培訓，提高機關工作人員的計算機信息安全保密意識與技能。

第十三條 辦公室要加強機關計算機信息系統(tǒng)安全和保密管理情況的監(jiān)督，定期進行檢查，提高泄密隱患發(fā)現(xiàn)能力和泄密事件應急處置能力。其它各科室要密切配合，共同做好計算機信息系統(tǒng)安全和保密工作。

第十四條 機關工作人員離崗離職，有關科室應即時取消其計算機涉密信息系統(tǒng)訪問授權，收回計算機、移動存儲設備等相關物品。

第十五條 各科室和個人應當接受并配合機關保密工作領導小組組織的保密監(jiān)督檢查，協(xié)助核查有關泄密行為。對違反本規(guī)定的有關人員應給予批評教育，并責令限期整改；造成泄密事件的，由有關部門根據(jù)國家相關保密法律法規(guī)進行查處，并追究相關責任人的責任。

第十六條 各科室要根據(jù)本規(guī)定，確保涉密信息安全。

第四篇：計算機和信息系統(tǒng)安全保密管理規(guī)定

信息系統(tǒng)安全保密管理制度

第一章

總

則

第一條

為加強公司信息化系統(tǒng)（包括涉密信息系統(tǒng)和非涉密信息系統(tǒng)）安全保密管理，確保國家秘密及公司商業(yè)秘密的安全，根據(jù)國家有關保密法規(guī)標準和中國華電集團公司有關規(guī)定，特制定本規(guī)定。

第二條

本規(guī)定所稱涉密信息系統(tǒng)是指由計算機及其相關的配套設備、設施構成的，按照一定的應用目標和規(guī)定存儲、處理、傳輸涉密信息的系統(tǒng)或網絡，包括機房、網絡設備、軟件、網絡線路、用戶終端、存儲介質等內容。

第三條

涉密信息系統(tǒng)的建設和應用要本著“預防為主、分級負責、科學管理、保障安全”的方針，堅持“誰主管、誰負責，誰使用、誰負責”和“控制源頭、歸口管理、加強檢查、落實制度”的原則，確保涉密信息系統(tǒng)和國家秘密信息安全。

第四條

涉密信息系統(tǒng)安全保密防護必須嚴格按照國家保密標準、規(guī)定和集團公司文件要求進行設計、實施、測評審查與審批和驗收；未通過國家審批的涉密信息系統(tǒng)，不得投入使用。

第五條

本規(guī)定適用于公司所有信息系統(tǒng)安全保密管理工作。

第二章

組織機構與職責

第六條

公司成立信息系統(tǒng)安全保密組織機構，人員結構與信息化領導小組和辦公室成員相同，信息化領導小組成員即為信息系統(tǒng)安全保密領導小組成員，信息化辦公室成員即為信息系統(tǒng)安全保密辦公室成員。

1、信息系統(tǒng)安全保密領導小組 組

長：

副組長： 組員：

2、信息系統(tǒng)安全保密辦公室 主

任： 副主任： 成員：

第七條 信息系統(tǒng)安全保密領導小組主要職責

公司信息系統(tǒng)安全保密領導小組是涉密信息系統(tǒng)安全保密管理決策機構，其主要職責：

（一）建立健全信息系統(tǒng)安全保密管理制度，并監(jiān)督檢查落實情況；

（二）協(xié)調處理有關涉密信息系統(tǒng)安全保密管理的重大問題，對重大失泄密事件進行查處。

第八條

信息系統(tǒng)安全保密辦公室（簡稱保密辦）主要職責：

（一）擬定信息系統(tǒng)安全保密管理制度，并組織落實各項保密防范措施；

（二）對系統(tǒng)用戶和安全保密管理人員進行資格審查和安全保密教育培訓，審查涉密信息系統(tǒng)用戶的職責和權限，并備案；

（三）組織對涉密信息系統(tǒng)進行安全保密監(jiān)督檢查和風險評估，提出涉密信息系統(tǒng)安全運行的保密要求；

（四）會同信息中心對涉密信息系統(tǒng)中介質、設備、設施的授權使用的審查，建立涉密信息系統(tǒng)安全評估制度，每年對涉密信息系統(tǒng)安全措施進行一次評審；

（五）對涉密信息系統(tǒng)設計、施工和集成單位進行資質審查，對進入涉密信息系統(tǒng)的安全保密產品進行準入審查和規(guī)范管理，對涉密信息系統(tǒng)進行安全保密性能檢測；

（六）對涉密信息系統(tǒng)中各應用系統(tǒng)進行定密、變更密級和解密工作進行審核；

（七）組織查處涉密信息系統(tǒng)失泄密事件。

第十條

辦公室（信息中心）主要職責是：

（一）組織、實施涉密信息系統(tǒng)的規(guī)劃、設計、建設，制定安全保密防護方案；

（二）落實涉密信息系統(tǒng)安全保密策略、運行安全控制、安全驗證等安全技術措施；每半年對涉密信息系統(tǒng)進行風險評估，提出整改措施，經涉密信息系統(tǒng)安全保密領導小組批準后組織實施，確保安全技術措施有效、可靠；

（三）落實涉密信息系統(tǒng)中各應用系統(tǒng)進行用戶權限設置及介質、設備、設施的授權使用、保管以及維護等安全保密管理措施；

（四）配備涉密信息系統(tǒng)管理員、安全保密管理員和安全審計員，并制定相應的職責；“三員”角色不得兼任，權限設置相互獨立、相互制約；“三員”應通過安全保密培訓持證上崗；

（五）落實計算機機房、配線間等重要部位的安全保密防范措施及網絡的安全管理，負責日常業(yè)務數(shù)據(jù)及其他重要數(shù)據(jù)的備份管理；

（六）配合保密辦對涉密信息系統(tǒng)進行安全檢查，對存在的隱患進行及時整改；

（七）制定應急預案并組織演練，落實應急措施，處理信息安全突發(fā)事件。

（八）按照國家密碼管理的相關要求，落實涉密信息系統(tǒng)中普密設備的管理措施。第十二條

相關業(yè)務部門、班組主要職責：

涉密信息系統(tǒng)的使用部門、班組要嚴格遵守保密管理規(guī)定，教育員工提高安全保密意識，落實涉密信息系統(tǒng)各項安全防范措施；準確確定應用系統(tǒng)密級，制定并落實相應的二級保密管理制度。

第十三條

涉密信息系統(tǒng)配備系統(tǒng)管理員、安全保密管理員、安全審計員，其職責是：

（一）系統(tǒng)管理員負責系統(tǒng)中軟硬件設備的運行、管理與維護工作，確保信息系統(tǒng)的安全、穩(wěn)定、連續(xù)運行。系統(tǒng)管理員包括網絡管理員、數(shù)據(jù)庫管理員、應用系統(tǒng)管理 2 員。

（二）安全保密管理員負責安全技術設備、策略實施和管理工作，包括用戶帳號管理以及安全保密設備和系統(tǒng)所產生日志的審查分析。

（三）安全審計員負責安全審計設備安裝調試，對各種系統(tǒng)操作行為進行安全審計跟蹤分析和監(jiān)督檢查，以及時發(fā)現(xiàn)違規(guī)行為，并每月向涉密信息系統(tǒng)安全保密領導小組辦公室匯報一次情況。

第三章

系統(tǒng)建設管理

第十四條

規(guī)劃和建設涉密信息系統(tǒng)時，按照涉密信息系統(tǒng)分級保護標準的規(guī)定，同步規(guī)劃和落實安全保密措施，系統(tǒng)建設與安全保密措施同計劃、同預算、同建設、同驗收。

第十五條

涉密信息系統(tǒng)規(guī)劃和建設的安全保密方案，應由具有“涉及國家秘密的計算機信息系統(tǒng)集成資質”的機構編制或自行編制，安全保密方案必須經上級保密主管部門審批后方可實施。

第十六條

涉密信息系統(tǒng)規(guī)劃和建設實施時，應由具有“涉及國家秘密的計算機信息系統(tǒng)集成資質”的機構實施或自行實施，并與實施方簽署保密協(xié)議，項目竣工后必須由保密辦和科技信息部共同組織驗收。

第十七條

對涉密信息系統(tǒng)要采取與密級相適應的保密措施，配備通過國家保密主管部門指定的測評機構檢測的安全保密產品。涉密信息系統(tǒng)使用的軟件產品必須是正版軟件。

第四章

信息管理

第一節(jié)

信息分類與控制

第十八條

涉密信息系統(tǒng)的密級，按系統(tǒng)中所處理信息的最高密級設定，嚴禁處理 3 高于涉密信息系統(tǒng)密級的涉密信息。

第十九條

涉密信息系統(tǒng)中產生、存儲、處理、傳輸、歸檔和輸出的文件、數(shù)據(jù)、圖紙等信息及其存儲介質應按要求及時定密、標密，并按涉密文件進行管理。電子文件密級標識應與信息主體不可分離，密級標識不得篡改。涉密信息系統(tǒng)中的涉密信息總量每半年進行一次分類統(tǒng)計、匯總，并在保密辦備案。

第二十條

涉密信息系統(tǒng)應建立安全保密策略，并采取有效措施，防止涉密信息被非授權訪問、篡改，刪除和丟失；防止高密級信息流向低密級計算機。涉密信息遠程傳輸必須采取密碼保護措施。

第二十一條

向涉密信息系統(tǒng)以外的單位傳遞涉密信息，一般只提供紙質文件，確需提供涉密電子文檔的，按信息交換及中間轉換機管理規(guī)定執(zhí)行。

第二十二條

清除涉密計算機、服務器等網絡設備、存儲介質中的涉密信息時，必須使用符合保密標準、要求的工具或軟件。

第二節(jié)

用戶管理與授權

第二十三條

根據(jù)本部門、單位使用涉密信息系統(tǒng)的密級和實際工作需要，確定人員知悉范圍，以此作為用戶授權的依據(jù)。

第二十四條

用戶清單管理

（一）科技信息部管理“研究試驗堆燃料元件數(shù)字化信息系統(tǒng)”和“中核集團涉密廣域網”用戶清單；財會部管理“財務會計核算網”用戶清單；

（二）新增用戶時，由用戶本人提出書面申請，經本部門、單位審核，科技信息部、保密辦審批后，由科技信息部備案并統(tǒng)一建立用戶；“財務會計核算網”的用戶由財會部統(tǒng)一建立；

（三）刪除用戶時，由用戶本人所在部門、單位書面通知科技信息部，核準后由安全保密管理員即時將用戶在涉密信息系統(tǒng)內的所有帳號、權限廢止；“財務會計核算網” 4 的刪除用戶由財會部統(tǒng)一刪除用戶帳號、權限。

第二十五條

用戶標識符管理

（一）用戶登錄系統(tǒng)時所使用的用戶身份標識，由用戶本人提出書面申請，經本部門、單位審核，科技信息部、保密辦審批后，由系統(tǒng)管理員產生，并確保用戶標識在此系統(tǒng)生命周期中的唯一性；

（二）安全保密管理員每月一次檢查與用戶身份標識相關的日志，發(fā)現(xiàn)異常情況，應及時向保密辦報告。

第二十六條 用戶授權管理

（一）涉密信息系統(tǒng)用戶授權應遵循最小授權分配原則，安全保密管理員對所有用戶的權限明細文檔化；

（二）安全審計員每月審查權限列表，發(fā)現(xiàn)異常情況，應及時向保密辦報告。

第三節(jié)

信息系統(tǒng)互聯(lián)

第二十七條 涉密信息系統(tǒng)必須與國際互聯(lián)網和其它公共信息系統(tǒng)實行物理隔離。禁止將涉密計算機和涉密信息系統(tǒng)直接接入公司內部非涉密信息系統(tǒng)，確因工作需要接入時必須采用符合保密標準的信息隔離交換系統(tǒng)進行必要的邊界控制措施。

第五章

運行維護管理

第二十八條 涉密信息系統(tǒng)投入運行前，應當經過國家保密工作部門審批，未經審批的涉密信息系統(tǒng)不得處理涉密信息。

第二十九條

涉密信息系統(tǒng)應與用戶終端實施IP-MAC，并隨人員、崗位等變化及時調整。涉密信息系統(tǒng)的用戶終端、服務器等設備設施應進行安全加固，關閉不必要的帳戶、服務和端口，并設置規(guī)范的口令策略。

涉密設備（導線）與外網、通訊設備（導線）和其他導體的隔離應符合保密要求。

第三十條

涉密信息系統(tǒng)與國際互聯(lián)網、公眾信息網絡等非涉密信息系統(tǒng)（以下簡稱外網）的信息交換，按信息交換及中間轉換機管理規(guī)定執(zhí)行。

第三十一條

禁止使用非涉密信息系統(tǒng)（包括非涉密單機）存儲和處理涉密信息。第三十二條

建立健全防病毒軟件（含木馬查殺）升級、打補丁機制，及時升級病毒和惡意代碼樣本庫，進行病毒和惡意代碼查殺，及時安裝操作系統(tǒng)、數(shù)據(jù)庫和應用系統(tǒng)的補丁程序。防病毒軟件應使用經國家主管部門批準的防病毒軟件。

第三十三條

未經科技信息部審批，禁止對涉密信息系統(tǒng)格式化或重裝操作系統(tǒng)，禁止刪除涉密信息系統(tǒng)的移動存儲介質及外部設備（包括服務器等網絡設備）等日志記錄。

第三十四條

涉密應用軟件開發(fā)及運行維護必須選擇具有相關保密資質的單位承擔，并與之簽訂《保密協(xié)議書》，協(xié)議書必須經保密辦審查備案，明確保密要求，防止國家秘密的泄露。

第三十五條

涉密信息系統(tǒng)中的信息輸出應當集中管理，有效控制，建立集中打印控制機制。

第三十六條

涉密信息系統(tǒng)用戶終端不準安裝、運行、使用與工作無關的軟件，嚴禁安裝具有無線通訊功能的軟件。未經科技信息部審批，用戶終端禁止安裝或拆卸硬件設備和軟件及更改系統(tǒng)設置。用戶終端的應用軟件安裝情況登記備案，每季度進行一次核查。

第三十七條

涉密設備嚴禁具有無線互聯(lián)功能，不能安裝紅外接口、無線網卡、無線鼠標、無線鍵盤等。

第三十八條

對集中存放涉密信息系統(tǒng)服務器、交換機等涉密設備的場所列入保密要害部位管理，建立出入登記、外來人員審查等管理制度。

第三十九條

涉密信息系統(tǒng)應采取身份鑒別、訪問控制和安全審計等技術保護措施。第四十條

涉密信息系統(tǒng)建立文檔化的安全保密策略，并根據(jù)環(huán)境、系統(tǒng)和威脅變 6 化情況及時調整更新安全保密策略。

第四十一條

涉密信息系統(tǒng)建立文檔化的安全保密審計報告，機密級1個月、秘密級3個月進行一次審計日志收集、整理、分析，按要求形成文檔化安全審計報告并備案。

第四十二條

涉密信息系統(tǒng)建立文檔化的風險評估分析報告，每半年根據(jù)系統(tǒng)綜合日志進行一次風險評估（自評估或檢查評估），形成文檔化的風險分析報告，對存在的風險及時采取補救措施。

第四十三條

涉密信息系統(tǒng)建立實時入侵檢測系統(tǒng)，做到實時監(jiān)測系統(tǒng)網絡設備、終端和服務器的各種攻擊行為。應具有漏洞掃描技術，以提前警告網絡系統(tǒng)中系統(tǒng)的弱點所在，防止黑客入侵和內部人員的誤用。

第四十四條

涉密信息系統(tǒng)使用國家有關主管部門批準的檢測工具對系統(tǒng)進行安全保密性能檢測，檢測工具版本應及時更新、升級。

第六章

設備與介質管理

第四十五條

計算機和信息系統(tǒng)設備包括：網絡設備、服務器、用戶終端（臺式計算機、便攜式計算機、工業(yè)控制機等）、掃描儀、打印輸出設備及網絡安全保密產品等；介質包括：紙介質、存儲介質及其它記錄載體（如計算機硬盤、光盤、移動硬盤、優(yōu)盤、軟盤和錄音帶、錄像帶、數(shù)碼相機存儲卡等）。

第四十六條

接入涉密信息系統(tǒng)的設備和介質稱為涉密設備和涉密存儲介質，并按統(tǒng)一技術要求和部署方式進行管理。涉密設備和存儲介質應與國際互聯(lián)網和其他公眾信息網絡實行物理隔離；系統(tǒng)內的設備、介質、設施根據(jù)其處理信息的最高密級標明涉密等級和主要用途。

第四十七條 計算機和信息系統(tǒng)中使用的設備、存儲介質應遵循“統(tǒng)一購置、統(tǒng)一標識、嚴格登記、規(guī)范管理”的原則，嚴格執(zhí)行國家秘密載體保密管理規(guī)定。

第四十八條 各部門、單位指定專人負責涉密設備和介質的日常管理工作，建立存儲介質登記備案、定期核查與信息清理制度。保密辦對涉密設備的采購、使用、維修、變更、報廢負有指導、監(jiān)督、檢查的職責，對存儲介質歸口管理。

第一節(jié)

設備管理

第四十九條 采購管理

（一）涉密設備選用國產設備，涉密系統(tǒng)集成與系統(tǒng)服務、安全產品的采購，不得進行公開招標，須在具有資質的單位和經國家主管部門批準范圍內選擇，且供方應具有完備的資質證明和良好的信譽，以及長期供貨和代維護能力；

（二）采購部門不得向供應方透露涉密設備的最終用戶；

（三）采購的計算機，統(tǒng)一不配備光驅、軟驅、視頻設備及具有無線互聯(lián)功能的無線鍵盤、無線鼠標、紅外接口、無線網卡等。確因工作需要配備的，經保密辦審批后配發(fā)；

（四）科技信息部做好資產清單和臺帳管理，涉密設備需在保密辦備案并粘貼密級標識后投入使用。臺帳注明涉密設備使用人、安全責任人、安全分類以及資產所在的位置，并且每半年對涉密設備清查核對一次。

第五十條

使用管理

（一）各部門、單位建立涉密設備、打印機等準入審批、使用登記、銷毀等備案制度。

（二）涉密設備的電磁泄露發(fā)射應符合國家有關保密標準，并采取相應防護措施。涉密設備和傳輸線路應符合紅黑隔離要求，并采取電源濾波防護措施。

（三）用戶終端登錄識別技術應采用以下二種方式之一：

1、數(shù)字證書機制采用USBKey與PIN口令相結合的方式進行身份鑒別，口令長度設置不少于十位。USBKey按機密級密件管理，應及時修改初始的PIN碼，并將USBKey 8 妥善保管。

2、密碼口令。機密級密碼口令長度不得少于十個字符，每周至少更換一次；秘密級密碼口令長度不得少于八個字符，每月至少更換一次；口令采用大小寫英文字母、數(shù)字和特殊字符等兩者以上的組合。

（四）在其他信息系統(tǒng)使用過的設備以及新增設備接入涉密計算機和信息系統(tǒng)之前，應進行病毒（含木馬）及惡意代碼的檢測、查殺。

第五十一條 維修管理

（一）涉密設備維修時，應向科技信息部提出申請，科技信息部對維修的涉密設備檢查診斷后，作出公司內維修或外出維修的判斷，并通知部門、單位；

（二）涉密設備維修原則上來公司現(xiàn)場維修，維修時應有專人現(xiàn)場監(jiān)管；

（三）涉密設備外出維修時，對涉密設備預先采取保密措施，拆除存儲部件，并有專人在場監(jiān)控維修全過程；外出維修的涉密設備，原則上不能在外存放，當日未維修完畢的應帶回公司存放，次日再送出去維修；涉密設備維修時應與維修單位簽訂保密協(xié)議；

（四）涉密設備確需恢復存儲的數(shù)據(jù)、信息時，應經保密辦審批后在具有涉密數(shù)據(jù)恢復資質的單位進行；

（五）維修時更換下的硬盤、存儲卡，必須將舊件按涉密載體進行管理，禁止將舊件抵價維修或隨意拋棄；

（六）維修的涉密設備應做好維修情況記錄，存檔備查。第五十二條 變更管理

（一）涉密設備變更用途時，應事先提出變更申請并清除其存儲的涉密信息，經保密辦審核批準后辦理變更。變更程序是：

1、公司內部門、單位之間調配涉密設備，由科技信息部提出變更調配計劃并作技術支持，接收單位辦理變更手續(xù)并到保密辦變更涉密設備臺帳；

2、部門、單位內部調整變更涉密設備，由部門、單位領導批準，并通知保密辦變更涉密計算機臺帳；

3、調配變更后的涉密設備要及時確定密級，并粘貼密級標識。

（二）涉密設備變更密級，遵循如下保密規(guī)定：

1、絕密級設備不得進行變更；

2、不變更使用人及使用部門、單位，升密時存儲介質（包括硬盤、儲存卡）可不更換，降密或脫密時必須更換存儲介質；

3、變更使用人或使用部門、單位，升密、降密必須更換存儲介質；

4、存儲介質的更換由科技信息部辦理，新存儲介質到保密辦領取，更換下的舊存儲介質交保密辦；

5、非涉密設備變更為涉密設備，需對存儲介質進行格式化，重新安裝操作系統(tǒng)，并拆除視頻設備和無線互聯(lián)功能模塊。

第五十三條 報廢管理

（一）對批準報廢的信息設備拆除存儲介質并交保密辦集中統(tǒng)一銷毀或再利用；

（二）淘汰或報廢的涉密設備，不得用于公益捐贈，或流入舊貨市場。

第二節(jié)

介質管理

第五十四條

購置和發(fā)放

（一）申請部門、單位根據(jù)需要向保密辦提出所需存儲介質種類、數(shù)量的申請；

（二）保密辦對申請進行審核后報主管領導審批，并按批準的種類、數(shù)量集中采購；

（三）保密辦按存儲介質種類和密級統(tǒng)一編號、登記、粘貼標識后發(fā)放存儲介質；

（四）各部門、單位由專人管理存儲介質，建立臺帳，定期核查。第五十五條 使用和維護

（一）涉密存儲介質應根據(jù)所存儲信息的最高密級劃定密級，并在明顯位置粘貼密 10 級標識，禁止使用無標識的存儲介質。涉密存儲介質嚴禁在聯(lián)接互聯(lián)網的計算機和非涉密計算機上使用；

（二）在涉密信息系統(tǒng)內使用的涉密存儲介質采取綁定或有效的技術接入控制措施，使涉密存儲介質只能在授權的涉密計算機上使用。未采用綁定技術的涉密計算機，須采取關閉和監(jiān)控數(shù)據(jù)端口（USB口）的物理防護措施進行控制；

（三）嚴格控制其它存儲介質的使用，對光盤、軟盤等移動存儲介質應采用關閉數(shù)據(jù)接口或禁止驅動設備使用等方式加以控制；

（四）禁止在低密級計算機上使用高密級存儲介質，禁止在低密級存儲介質上存儲高密級信息；

（五）高密級存儲介質用于存儲低密級信息時，應當按照存儲介質原標識的高密級進行管理；

（六）存放涉密存儲介質的場所、部位和設備應符合安全保密要求，集中統(tǒng)一管理；

（七）禁止外來的存儲介質接入涉密信息系統(tǒng)，如需導入信息，應采取安全準入許可制度，經部門、單位領導審批后，按信息交換及中間轉換機管理規(guī)定執(zhí)行；

（八）存儲過絕密級信息的介質不能降低密級使用；

（九）嚴禁將個人具有存儲功能的存儲介質和電子設備（mp3、mp4、優(yōu)盤、手機、掌上電腦等）帶入公司；嚴禁將涉密存儲介質帶出工作場所，確需攜帶外出，經本部門、單位領導審批且備案后方可出廠，隨身攜帶，嚴防被盜或丟失；

（十）經保密辦批準，允許與涉密信息系統(tǒng)相連的數(shù)碼設備（如相機、錄音筆）等，應按涉密載體管理；

（十一）涉密存儲介質的維修和維護由科技信息部統(tǒng)一負責，外送維修須經主管領導審批同意，并送指定維修點維修；

（十二）發(fā)現(xiàn)存儲介質丟失，應立即報告本部門、單位和保密辦，并及時組織查處。

第五十六條 保管和銷毀

（一）涉密存儲介質必須由本部門、單位集中統(tǒng)一保管并在有安全保障的保密柜中保存；

（二）對重要的存儲介質，應定期進行循環(huán)復制備份；

（三）存儲介質的報廢、銷毀，由應編制銷毀清單，由本部門、單位主要領導簽字后，統(tǒng)一交保密辦鑒定并做消磁或粉碎處理。

第七章

信息交換及中間轉換機管理

第五十七條

涉密計算機和信息系統(tǒng)與其他計算機和信息系統(tǒng)的信息交換必須經過中間轉換機。

中間轉換機是指與任何計算機和信息系統(tǒng)實現(xiàn)物理隔離、獨立運行的專用計算機，專門用于涉密計算機和涉密信息系統(tǒng)與其它計算機和信息系統(tǒng)之間的信息交換。中間轉換機分為非涉密中間轉換機和涉密中間轉換機，中間轉換機上應安裝符合國家保密要求的計算機病毒和惡意代碼防護產品。

非涉密中間轉換機用于從國際互聯(lián)網、公眾信息網絡和非涉密信息系統(tǒng)到涉密計算機和涉密信息系統(tǒng)進行外部非涉密信息的載入，包括計算機病毒和惡意代碼樣本庫、補丁程序、應用程序和其它相關信息等。

涉密中間轉換機用于從公司外部的涉密計算機和涉密信息系統(tǒng)（涉密移動存儲介質）到公司內部涉密計算機和涉密信息系統(tǒng)的信息交換。涉密中間轉換機的密級應根據(jù)轉換信息的最高密級確定。

涉密網絡中間轉換機是指單位接入涉密信息系統(tǒng)的管理員專用于信息交換的涉密計算機。

專用涉密傳遞盤是指經技術綁定后的公司各單位內部及各部門、單位之間用于涉密 12 信息系統(tǒng)與涉密單機、涉密單機之間信息傳遞的優(yōu)盤。

第五十八條

中間轉換機的配置、使用與日常管理

（一）涉密信息系統(tǒng)使用部門、單位需配置涉密網絡中間轉換機、非涉密中間轉換機和專用涉密傳遞盤；

（二）黨政辦設置1臺涉密中間轉換機（全公司共用），用于公司外部涉密存儲介質上載涉密信息到公司涉密信息系統(tǒng)（或涉密單機）；

（三）中間轉換機、專用涉密傳遞盤由各部門、單位中間轉換機管理員負責管理和使用；

（四）中間轉換機上應用軟件由科技信息部統(tǒng)一安裝，各單位不得安裝、使用除統(tǒng)一安裝軟件以外的任何軟件；

（五）防病毒軟件升級工作由中間轉換機管理員負責完成，必須保證每周對中間轉換機防病毒軟件升級1次，升級包到科技信息部統(tǒng)一制作、拷貝，并做好升級記錄；

（六）中間轉換機應專機專用，專人管理，不能用于其它工作。中間轉換機管理員做好工作記錄（包括信息名稱、密級、來源、用途、時間、人員等）。

第五十九條

從國際互聯(lián)網、公眾信息網和非涉密信息系統(tǒng)（含非涉密計算機）上載信息到涉密計算機和涉密信息系統(tǒng)操作步驟：

（一）填寫審批單，經部門、單位領導批準后方可進行上載信息；

（二）將信息上載到非涉密中間機；

（三）拔除上載信息存儲介質；

（四）在非涉密中間轉換機中對上載信息進行計算機病毒、惡意代碼、間諜軟件、木馬程序的查殺；

（五）將上載信息刻錄到只讀光盤；

（六）將存有上載信息的光盤放入涉密計算機或涉密網絡中間轉換機中，上載到涉 13 密計算機和涉密信息系統(tǒng)中；

（七）記錄上載過程，光盤應存檔備案，存儲介質格式化處理。

第六十條

公司內部單臺涉密計算機之間、單臺涉密計算機與涉密信息系統(tǒng)之間的信息交換，使用綁定措施的涉密存儲介質進行交換或刻錄到只讀光盤；記錄上載過程，光盤應存檔備案。

第六十一條

從公司外部涉密存儲介上載涉密信息到涉密計算機和涉密信息系統(tǒng)操作步驟：

（一）填寫審批單，經部門、單位領導批準后方可進行上載信息；

（二）將信息上載到涉密中間轉換機；

（三）拔除外部涉密存儲介質；

（四）在涉密中間轉換機中對上載信息進行計算機病毒、惡意代碼、間諜軟件、木馬程序的查殺；

（五）將需要上載的涉密信息刻錄到只讀光盤或拷貝到專用涉密傳遞盤；

（六）將存有上載信息的涉密光盤或介質放入涉密計算機或涉密網絡中間轉換機中，上載到涉密計算機和涉密信息系統(tǒng)中；

（七）記錄上載過程，光盤應存檔備案，專用涉密傳遞盤交還中間轉換機管理人員，并及時進行信息清除或格式化處理。

第六十二條

涉密計算機和涉密信息系統(tǒng)中的非涉密信息對外交換一般應當采用打印輸出紙質文件方式進行，確需電子信息時在涉密計算機和涉密網絡中間機將上載信息刻錄到只讀光盤，并記錄上載過程，光盤存檔備案。

第八章

國際互聯(lián)網計算機管理

第六十三條 接入國際互聯(lián)網的計算機，開通前須由接入部門、單位提出申請，保 14 密辦審核，公司分管領導審批。開通、審批堅持“工作必須”的原則。

第六十四條 國際互聯(lián)網計算機實行專人負責、專機上網管理，嚴禁存儲、處理、傳遞涉密信息和內部敏感信息。接入互聯(lián)網的計算機須建立使用登記制度。

第六十五條 上網信息實行“誰上網誰負責”的保密管理原則，信息上網必須經過嚴格審查和批準，堅決做到“涉密不上網，上網不涉密”。對上網信息進行擴充或更新，應重新進行保密審查。

第六十六條 任何部門、單位和個人不得在電子郵件、電子公告系統(tǒng)、聊天室、網絡新聞組、博客等上發(fā)布、談論、傳遞、轉發(fā)或抄送國家秘密信息。

第六十七條 從國際互聯(lián)網或其它公眾信息網下載程序和軟件工具等轉入涉密系統(tǒng)，經科技信息部審批后，按照信息交換及中間轉換機管理規(guī)定執(zhí)行。

第九章

便攜式計算機管理

第六十八條

便攜式計算機（包括涉密便攜式計算機和非涉密便攜式計算機）實行“誰擁有，誰使用，誰負責”的保密管理原則，使用者須與公司簽定保密承諾書。

第六十九條 涉密便攜式計算機根據(jù)工作需要確定密級，粘貼密級標識，按照涉密設備進行管理，保密辦備案后方可使用。

第七十條

便攜式計算機應具備防病毒、防非法外聯(lián)和身份認證（設置開機密碼口令）等安全保密防護措施。

第七十一條

禁止使用涉密便攜式計算機上國際互聯(lián)網和非涉密網絡；嚴禁涉密便攜式計算機與涉密信息系統(tǒng)互聯(lián)。

第七十二條

涉密便攜式計算機不得處理絕密級信息。未經保密辦審批，嚴禁在涉密便攜式計算機中存儲涉密信息。處理、存儲涉密信息應在涉密移動存儲介質上進行，并與涉密便攜式計算機分離保管。

第七十三條

禁止使用私有便攜式計算機處理辦公信息；嚴禁非涉密便攜式計算機存儲、處理涉密信息；嚴禁將涉密存儲介質接入非涉密便攜式計算機使用。

第七十四條 公司配備專供外出攜帶的涉密便攜式計算機和涉密存儲介質，按照“集中管理、審批借用”的原則進行管理，建立使用登記制度。外出攜帶的涉密便攜式計算機須經保密辦檢查后方可帶出公司，返回時須進行技術檢查。

第七十五條

因工作需要外單位攜帶便攜式計算機進入公司辦公區(qū)域，需辦理保密審批手續(xù)。

第十章

應急響應管理

第七十六條 為有效預防和處置涉密信息系統(tǒng)安全突發(fā)事件，及時控制和消除涉密信息系統(tǒng)安全突發(fā)事件的危害和影響，保障涉密信息系統(tǒng)的安全穩(wěn)定運行，科技信息部和財會部應分別制定相應應急響應預案，經公司涉密信息系統(tǒng)安全保密領導小組審批后實施。

第七十七條 應急響應預案用于涉密信息系統(tǒng)安全突發(fā)事件。突發(fā)事件分為系統(tǒng)運行安全事件和泄密事件，根據(jù)事件引發(fā)原因分為災害類、故障類或攻擊類三種情況。

（一）災害事件：根據(jù)實際情況，在保障人身安全前提下，保障數(shù)據(jù)安全和設備安全。

（二）故障或攻擊事件：判斷故障或攻擊的來源與性質，關閉影響安全與穩(wěn)定的網絡設備和服務器設備，斷開信息系統(tǒng)與攻擊來源的網絡物理連接，跟蹤并鎖定攻擊來源的IP地址或其它網絡用戶信息，修復被破壞的信息，恢復信息系統(tǒng)。按照事件發(fā)生的性質分別采用以下方案：

1、病毒傳播：及時尋找并斷開傳播源，判斷病毒的類型、性質、可能的危害范圍。為避免產生更大的損失，保護計算機，必要時可關閉相應的端口，尋找并公布病毒攻擊 16 信息，以及殺毒、防御方法；

2、外部入侵：判斷入侵的來源，評價入侵可能或已經造成的危害。對入侵未遂、未造成損害的，且評價威脅很小的外部入侵，定位入侵的IP地址，及時關閉入侵的端口，限制入侵的IP地址的訪問。對于已經造成危害的，應立即采用斷開網絡連接的方法，避免造成更大損失和帶來的影響；

3、內部入侵：查清入侵來源，如IP地址、所在區(qū)域、所處辦公室等信息，同時斷開對應的交換機端口，針對入侵方法調整或更新入侵檢測設備。對于無法制止的多點入侵和造成損害的，應及時關閉被入侵的服務器或相應設備；

4、網絡故障：判斷故障發(fā)生點和故障原因，能夠迅速解決的盡快排除故障，并優(yōu)先保證主要應用系統(tǒng)的運轉；

5、其它未列出的不確定因素造成的事件，結合具體的情況，做出相應的處理。不能處理的及時咨詢，上報公司信息安全領導小組。

第七十八條 按照信息安全突發(fā)事件的性質、影響范圍和造成的損失，將涉密信息系統(tǒng)安全突發(fā)事件分為特別重大事件（I級）、重大事件（II級）、較大事件（III級）和一般事件（IV級）四個等級。

（一）一般事件由科技信息部（或財會部）依據(jù)應急響應預案進行處置；

（二）較大事件由科技信息部（或財會部）、保密辦依據(jù)應急響應預案進行處置，及時向公司信息安全領導小組報告并提請協(xié)調處置；

（三）重大事件啟動應急響應預案，對突發(fā)事件進行處置，及時向公司黨政報告并提請協(xié)調處置；

（四）特別重大事件由公司報請中核集團公司對信息安全突發(fā)事件進行處置。第七十九條 發(fā)生突發(fā)事件（如涉密數(shù)據(jù)被竊取或信息系統(tǒng)癱瘓等）應按如下應急響應的基本步驟、基本處理辦法和流程進行處理：

（一）上報科技信息部和保密辦；

（二）關閉系統(tǒng)以防止造成數(shù)據(jù)損失；

（三）切斷網絡，隔離事件區(qū)域；

（四）查閱審計記錄尋找事件源頭；

（五）評估系統(tǒng)受損程度；

（六）對引起事件漏洞進行整改；

（七）對系統(tǒng)重新進行風險評估；

（八）由保密辦根據(jù)風險評估結果并書面確認安全后，系統(tǒng)方能重新運行；

（九）對事件類型、響應、影響范圍、補救措施和最終結果進行詳細的記錄；

（十）依照法規(guī)制度對責任人進行處理。

第八十條 科技信息部、財會部應會同保密辦每年組織一次應急響應預案演練，檢驗應急響應預案各環(huán)節(jié)之間的通信、協(xié)調、指揮等是否快速、高效，并對其效果進行評估，以使用戶明確自己的角色和責任。應急響應相關知識、技術、技能應納入信息安全保密培訓內容，并記錄備案。

第十一章

人員管理

第八十一條

各部門、單位每年應組織開展不少于1次的全員信息安全保密知識技能教育與培訓，并記錄備案。

第八十二條

涉密人員離崗、離職，應及時調整或取消其訪問授權，并將其保管的涉密設備、存儲介質全部清退并辦理移交手續(xù)。

第八十三條

承擔涉密信息系統(tǒng)日常管理工作的系統(tǒng)管理員、安全保密管理員、安全審計管理員應按重要涉密人員管理。

第十二章

督查與獎懲

第八十四條 公司每年應對涉密信息系統(tǒng)安全保密狀況、安全保密制度和措施的落實情況進行一次自查，并接受國家和上級單位的指導和監(jiān)督。涉密信息系統(tǒng)每兩年接受一次上級部門開展的安全保密測評或保密檢查，檢查結果存檔備查。

第八十五條 檢查涉密計算機和信息系統(tǒng)的保密檢查工具和涉密信息系統(tǒng)所使用的安全保密、漏洞檢查（取證）軟件等，應覆蓋保密檢查的項目，并通過國家保密局的檢測。安全保密檢查工具應及時升級或更新，確保檢查時使用最新版本。

第八十六條 各部門、單位應將員工遵守涉密計算機及信息系統(tǒng)安全保密管理制度的情況，納入保密自查、考核的重要內容。對違反本規(guī)定造成失泄密的當事人及有關責任人，按公司保密責任考核及獎懲規(guī)定執(zhí)行。

第十三章

附

則

第八十七條 本規(guī)定由保密辦負責解釋與修訂。

第八十八條 本規(guī)定自發(fā)布之日起實施。原《計算機磁（光）介質保密管理規(guī)定）[制度編號：（廠1908號）]、《涉密計算機信息系統(tǒng)保密管理規(guī)定》［制度編號:（2006）廠1911號］、《涉密計算機采購、維修、變更、報廢保密管理規(guī)定》［制度編號:（2007）廠1925號］、《國際互聯(lián)網信息發(fā)布保密管理規(guī)定》［制度編號:（2007）廠1926號］、《涉密信息系統(tǒng)信息保密管理規(guī)定》［制度通告:（2008）0934號］、《涉密信息系統(tǒng)安全保密管理規(guī)定》［制度通告:（2008）0935號］同時廢止。

第五篇：計算機和信息系統(tǒng)安全保密管理規(guī)定

計算機和信息系統(tǒng)安全保密管理規(guī)定

第一章 總則

第一條 為加強公司計算機和信息系統(tǒng)（包括涉密信息系統(tǒng)和非涉密信息系統(tǒng)）

安全保密管理，確保國家秘密及商業(yè)秘密的安全，根據(jù)國家有關保密法規(guī)標準和中核集團公司有關規(guī)定，制定本規(guī)定。

第二條 本規(guī)定所稱涉密信息系統(tǒng)是指由計算機及其相關的配套設備、設施構成的，按照一定的應用目標和規(guī)定存儲、處理、傳輸涉密信息的系統(tǒng)或網絡，包括機房、網絡設備、軟件、網絡線路、用戶終端等內容。

第三條 涉密信息系統(tǒng)的建設和應用要本著“預防為主、分級負責、科學管理、保障安全”的方針，堅持“誰主管、誰負責，誰使用、誰負責”和“控制源頭、歸口管理、加強檢查、落實制度”的原則，確保涉密信息系統(tǒng)和國家秘密信息安全。

第四條 涉密信息系統(tǒng)安全保密防護必須嚴格按照國家保密標準、規(guī)定和集團公司文件要求進行設計、實施、測評審查與審批和驗收；未通過國家審批的涉密信息系統(tǒng)，不得投入使用。

第五條 本規(guī)定適用于公司所有計算機和信息系統(tǒng)安全保密管理工作。第二章 管理機構與職責

第六條 公司法人代表是涉密信息系統(tǒng)安全保密第一責任人，確保涉密信息系統(tǒng)安全保密措施的落實，提供人力、物力、財力等條件保障，督促檢查領導責任制落實。第七條 公司保密委員會是涉密信息系統(tǒng)安全保密管理決策機構，其主要職責：

（一）建立健全安全保密管理制度和防范措施，并監(jiān)督檢查落實情況；

（二）協(xié)調處理有關涉密信息系統(tǒng)安全保密管理的重大問題，對重大失泄密事件進行查處。

第八條 成立公司涉密信息系統(tǒng)安全保密領導小組，保密辦、科技信息部（信息化）、黨政辦公室（密碼）、財會部、人力資源部、武裝保衛(wèi)部和相關業(yè)務部門、單位為成員單位，在公司黨政和保密委員會領導下，組織協(xié)調公司涉密信息系統(tǒng)安全保密管理工作。

第九條 保密辦主要職責：

（一）擬定涉密信息系統(tǒng)安全保密管理制度，并組織落實各項保密防范措施；

（二）對系統(tǒng)用戶和安全保密管理人員進行資格審查和安全保密教育培訓，審查涉密信息系統(tǒng)用戶的職責和權限，并備案；

（三）組織對涉密信息系統(tǒng)進行安全保密監(jiān)督檢查和風險評估，提出涉密信息系統(tǒng)安全運行的保密要求；

（四）會同科技信息部對涉密信息系統(tǒng)中介質、設備、設施的授權使用的審查，建立涉密信息系統(tǒng)安全評估制度，每年對涉密信息系統(tǒng)安全措施進行一次評審；

（五）對涉密信息系統(tǒng)設計、施工和集成單位進行資質審查，對進入涉密信息系統(tǒng)的安全保密產品進行準入審查和規(guī)范管理，對涉密信息系統(tǒng)進行安全保密性能檢測；

（六）對涉密信息系統(tǒng)中各應用系統(tǒng)進行定密、變更密級和解密工作進行審核；

（七）組織查處涉密信息系統(tǒng)失泄密事件。第十條

科技信息部、財會部主要職責是：

（一）組織、實施涉密信息系統(tǒng)的規(guī)劃、設計、建設，制定安全保密防護方案；

（二）落實涉密信息系統(tǒng)安全保密策略、運行安全控制、安全驗證等安全技術措施；每半年對涉密信息系統(tǒng)進行風險評估，提出整改措施，經涉密信息系統(tǒng)安全保密領導小組批準后組織實施，確保安全技術措施有效、可靠；

（三）落實涉密信息系統(tǒng)中各應用系統(tǒng)進行用戶權限設置及介質、設備、設施的授權使用、保管以及維護等安全保密管理措施；

（四）配備涉密信息系統(tǒng)管理員、安全保密管理員和安全審計員，并制定相應的職責； “三員”角色不得兼任，權限設置相互獨立、相互制約；“三員”應通過安全保密培訓持證上崗；

（五）落實計算機機房、配線間等重要部位的安全保密防范措施及網絡的安全管理，負責日常業(yè)務數(shù)據(jù)及其他重要數(shù)據(jù)的備份管理；

（六）配合保密辦對涉密信息系統(tǒng)進行安全檢查，對存在的隱患進行及時整改；

（七）制定應急預案并組織演練，落實應急措施，處理信息安全突發(fā)事件。第十一條 黨政辦公室主要職責：

按照國家密碼管理的相關要求，落實涉密信息系統(tǒng)中普密設備的管理措施。

第十二條 相關業(yè)務部門、單位主要職責：涉密信息系統(tǒng)的使用部門、單位要嚴格遵守保密管理規(guī)定，教育員工提高安全保密意識，落實涉密信息系統(tǒng)各項安全防范措施；準確確定應用系統(tǒng)密級，制定并落實相應的二級保密管理制度。

第十三條 涉密信息系統(tǒng)配備系統(tǒng)管理員、安全保密管理員、安全審計員，其職責是：

（一）系統(tǒng)管理員負責系統(tǒng)中軟硬件設備的運行、管理與維護工作，確保信息系統(tǒng)的安全、穩(wěn)定、連續(xù)運行。系統(tǒng)管理員包括網絡管理員、數(shù)據(jù)庫管理員、應用系統(tǒng)管理員。

（二）安全保密管理員負責安全技術設備、策略實施和管理工作，包括用戶帳號管理以及安全保密設備和系統(tǒng)所產生日志的審查分析。

（三）安全審計員負責安全審計設備安裝調試，對各種系統(tǒng)操作行為進行安全審計跟蹤分析和監(jiān)督檢查，以及時發(fā)現(xiàn)違規(guī)行為，并每月向涉密信息系統(tǒng)安全保密領導小組辦公室匯報一次情況。第三章 系統(tǒng)建設管理

第十四條 規(guī)劃和建設涉密信息系統(tǒng)時，按照涉密信息系統(tǒng)分級保護標準的規(guī)定，同步規(guī)劃和落實安全保密措施，系統(tǒng)建設與安全保密措施同計劃、同預算、同建設、同驗收。

第十五條 涉密信息系統(tǒng)規(guī)劃和建設的安全保密方案，應由具有“涉及國家秘密的計算機信息系統(tǒng)集成資質”的機構編制或自行編制，安全保密方案必須經上級保密主管部門審批后方可實施。

第十六條 涉密信息系統(tǒng)規(guī)劃和建設實施時，應由具有“涉及國家秘密的計算機信息系統(tǒng)集成資質”的機構實施或自行實施，并與實施方簽署保密協(xié)議，項目竣工后必須由保密辦和科技信息部共同組織驗收。

第十七條 對涉密信息系統(tǒng)要采取與密級相適應的保密措施，配備通過國家保密主管部門指定的測評機構檢測的安全保密產品。涉密信息系統(tǒng)使用的軟件產品必須是正版軟件。

第四章 信息管理

第一節(jié) 信息分類與控制

第十八條 涉密信息系統(tǒng)的密級，按系統(tǒng)中所處理信息的最高密級設定，嚴禁處理高于涉密信息系統(tǒng)密級的涉密信息。

第十九條 涉密信息系統(tǒng)中產生、存儲、處理、傳輸、歸檔和輸出的文件、數(shù)據(jù)、圖紙等信息及其存儲介質應按要求及時定密、標密，并按涉密文件進行管理。電子文件密級標識應與信息主體不可分離，密級標識不得篡改。涉密信息系統(tǒng)中的涉密信息總量每半年進行一次分類統(tǒng)計、匯總，并在保密辦備案。第二十條 涉密信息系統(tǒng)應建立安全保密策略，并采取有效措施，防止涉密信息被非授權訪問、篡改，刪除和丟失；防止高密級信息流向低密級計算機。涉密信息遠程傳輸必須采取密碼保護措施。

第二十一條 向涉密信息系統(tǒng)以外的單位傳遞涉密信息，一般只提供紙質文件，確需提供涉密電子文檔的，按信息交換及中間轉換機管理規(guī)定執(zhí)行。

第二十二條 清除涉密計算機、服務器等網絡設備、存儲介質中的涉密信息時，必須使用符合保密標準、要求的工具或軟件。第二節(jié) 用戶管理與授權

第二十三條 根據(jù)本部門、單位使用涉密信息系統(tǒng)的密級和實際工作需要，確定人員知悉范圍，以此作為用戶授權的依據(jù)。第二十四條 用戶清單管理

（一）科技信息部管理“研究試驗堆燃料元件數(shù)字化信息系統(tǒng)”和“中核集團涉密廣域網”用戶清單；財會部管理“財務會計核算網”用戶清單；

（二）新增用戶時，由用戶本人提出書面申請，經本部門、單位審核，科技信息部、保密辦審批后，由科技信息部備案并統(tǒng)一建立用戶；“財務會計核算網”的用戶由財會部統(tǒng)一建立；

（三）刪除用戶時，由用戶本人所在部門、單位書面通知科技信息部，核準后由安全保密管理員即時將用戶在涉密信息系統(tǒng)內的所有帳號、權限廢止；“財務會計核算網”密辦審核，公司分管領導審批。開通、審批堅持“工作必須”的原則。

第六十四條 國際互聯(lián)網計算機實行專人負責、專機上網管理，嚴禁存儲、處理、傳遞涉密信息和內部敏感信息。接入互聯(lián)網的計算機須建立使用登記制度。

第六十五條 上網信息實行“誰上網誰負責”的保密管理原則，信息上網必須經過嚴格審查和批準，堅決做到“涉密不上網，上網不涉密”。對上網信息進行擴充或更新，應重新進行保密審查。

第六十六條 任何部門、單位和個人不得在電子郵件、電子公告系統(tǒng)、聊天室、網絡新聞組、博客等上發(fā)布、談論、傳遞、轉發(fā)或抄送國家秘密信息。

第六十七條 從國際互聯(lián)網或其它公眾信息網下載程序和軟件工具等轉入涉密系統(tǒng)，經科技信息部審批后，按照信息交換及中間轉換機管理規(guī)定執(zhí)行。第九章 便攜式計算機管理 第六十八條 便攜式計算機（包括涉密便攜式計算機和非涉密便攜式計算機）實行 “誰擁有，誰使用，誰負責”的保密管理原則，使用者須與公司簽定保密承諾書。

第六十九條 涉密便攜式計算機根據(jù)工作需要確定密級，粘貼密級標識，按照涉密設備進行管理，保密辦備案后方可使用。

第七十條 便攜式計算機應具備防病毒、防非法外聯(lián)和身份認證（設置開機密碼口令）等安全保密防護措施。

第七十一條 禁止使用涉密便攜式計算機上國際互聯(lián)網和非涉密網絡；嚴禁涉密便攜式計算機與涉密信息系統(tǒng)互聯(lián)。

第七十二條 涉密便攜式計算機不得處理絕密級信息。未經保密辦審批，嚴禁在涉密便攜式計算機中存儲涉密信息。處理、存儲涉密信息應在涉密移動存儲介質上進行，并與涉密便攜式計算機分離保管。

第七十三條 禁止使用私有便攜式計算機處理辦公信息；嚴禁非涉密便攜式計算機存儲、處理涉密信息；嚴禁將涉密存儲介質接入非涉密便攜式計算機使用。

第七十四條 公司配備專供外出攜帶的涉密便攜式計算機和涉密存儲介質，按照 “集中管理、審批借用”的原則進行管理，建立使用登記制度。外出攜帶的涉密便攜式計算機須經保密辦檢查后方可帶出公司，返回時須進行技術檢查。第七十五條 因工作需要外單位攜帶便攜式計算機進入公司辦公區(qū)域，需辦理保密審批手續(xù)。

第十章 應急響應管理

第七十六條

為有效預防和處置涉密信息系統(tǒng)安全突發(fā)事件，及時控制和消除涉密信息系統(tǒng)安全突發(fā)事件的危害和影響，保障涉密信息系統(tǒng)的安全穩(wěn)定運行，科技信息部和財會部應分別制定相應應急響應預案，經公司涉密信息系統(tǒng)安全保密領導小組審批后實施。

第七十七條 應急響應預案用于涉密信息系統(tǒng)安全突發(fā)事件。突發(fā)事件分為系統(tǒng)運行安全事件和泄密事件，根據(jù)事件引發(fā)原因分為災害類、故障類或攻擊類三種情況。

（一）災害事件：根據(jù)實際情況，在保障人身安全前提下，保障數(shù)據(jù)安全和設備安

（二）故障或攻擊事件：判斷故障或攻擊的來源與性質，關閉影響安全與穩(wěn)定的網絡設備和服務器設備，斷開信息系統(tǒng)與攻擊來源的網絡物理連接，跟蹤并鎖定攻擊來源的IP地址或其它網絡用戶信息，修復被破壞的信息，恢復信息系統(tǒng)。按照事件發(fā)生的性質分別采用以下方案：

1、病毒傳播：及時尋找并斷開傳播源，判斷病毒的類型、性質、可能的危害范圍。為避免產生更大的損失，保護計算機，必要時可關閉相應的端口，尋找并公布病毒攻擊信息，以及殺毒、防御方法；

2、外部入侵：判斷入侵的來源，評價入侵可能或已經造成的危害。對入侵未遂、未造成損害的，且評價威脅很小的外部入侵，定位入侵的IP地址，及時關閉入侵的端口，限制入侵的IP地址的訪問。對于已經造成危害的，應立即采用斷開網絡連接的方法，避免造成更大損失和帶來的影響；

3、內部入侵：查清入侵來源，如IP地址、所在區(qū)域、所處辦公室等信息，同時斷開對應的交換機端口，針對入侵方法調整或更新入侵檢測設備。對于無法制止的多點入侵和造成損害的，應及時關閉被入侵的服務器或相應設備；

4、網絡故障：判斷故障發(fā)生點和故障原因，能夠迅速解決的盡快排除故障，并優(yōu)先保證主要應用系統(tǒng)的運轉；

5、其它未列出的不確定因素造成的事件，結合具體的情況，做出相應的處理。不能處理的及時咨詢，上報公司信息安全領導小組。

第七十八條 按照信息安全突發(fā)事件的性質、影響范圍和造成的損失，將涉密信息系統(tǒng)安全突發(fā)事件分為特別重大事件（I級）、重大事件（II級）、較大事件（III級）和一般事件（IV級）四個等級。

（一）一般事件由科技信息部（或財會部）依據(jù)應急響應預案進行處置；

（二）較大事件由科技信息部（或財會部）、保密辦依據(jù)應急響應預案進行處置，及時向公司信息安全領導小組報告并提請協(xié)調處置；

（三）重大事件啟動應急響應預案，對突發(fā)事件進行處置，及時向公司黨政報告并提請協(xié)調處置；

（四）特別重大事件由公司報請中核集團公司對信息安全突發(fā)事件進行處置。

第七十九條 發(fā)生突發(fā)事件（如涉密數(shù)據(jù)被竊取或信息系統(tǒng)癱瘓等）應按如下應急響應的基本步驟、基本處理辦法和流程進行處理：

（一）上報科技信息部和保密辦；

（二）關閉系統(tǒng)以防止造成數(shù)據(jù)損失；

（三）切斷網絡，隔離事件區(qū)域；

（四）查閱審計記錄尋找事件源頭；

（五）評估系統(tǒng)受損程度；

（六）對引起事件漏洞進行整改；

（七）對系統(tǒng)重新進行風險評估；

（八）由保密辦根據(jù)風險評估結果并書面確認安全后，系統(tǒng)方能重新運行；

（九）對事件類型、響應、影響范圍、補救措施和最終結果進行詳細的記錄；

（十）依照法規(guī)制度對責任人進行處理。

第八十條

科技信息部、財會部應會同保密辦每年組織一次應急響應預案演練，檢驗應急響應預案各環(huán)節(jié)之間的通信、協(xié)調、指揮等是否快速、高效，并對其效果進行評估，以使用戶明確自己的角色和責任。應急響應相關知識、技術、技能應納入信息安全保密培訓內容，并記錄備案。第十一章 人員管理

第八十一條 各部門、單位每年應組織開展不少于1次的全員信息安全保密知識技能教育與培訓，并記錄備案。第八十二條

涉密人員離崗、離職，應及時調整或取消其訪問授權，并將其保管的涉密設備、存儲介質全部清退并辦理移交手續(xù)。

第八十三條 承擔涉密信息系統(tǒng)日常管理工作的系統(tǒng)管理員、安全保密管理員、安全審計管理員應按重要涉密人員管理。第十二章 督查與獎懲

第八十四條 公司每年應對涉密信息系統(tǒng)安全保密狀況、安全保密制度和措施的落實情況進行一次自查，并接受國家和上級單位的指導和監(jiān)督。涉密信息系統(tǒng)每兩年接受一次上級部門開展的安全保密測評或保密檢查，檢查結果存檔備查。

第八十五條 檢查涉密計算機和信息系統(tǒng)的保密檢查工具和涉密信息系統(tǒng)所使用的安全保密、漏洞檢查（取證）軟件等，應覆蓋保密檢查的項目，并通過國家保密局的檢測。安全保密檢查工具應及時升級或更新，確保檢查時使用最新版本。

第八十六條 各部門、單位應將員工遵守涉密計算機及信息系統(tǒng)安全保密管理制度的情況，納入保密自查、考核的重要內容。對違反本規(guī)定造成失泄密的當事人及有關責任人，按公司保密責任考核及獎懲規(guī)定執(zhí)行。第十三章 附 則

第八十七條 本規(guī)定由保密辦負責解釋與修訂。

第八十八條 本規(guī)定自發(fā)布之日起實施。原《計算機磁（光）介質保密管理規(guī)定）[制度編號：（廠1908號）]、《涉密計算機信息系統(tǒng)保密管理規(guī)定》［制度編號:（2006）廠1911號］、《涉密計算機采購、維修、變更、報廢保密管理規(guī)定》［制度編號:（2007）廠1925號］、《國際互聯(lián)網信息發(fā)布保密管理規(guī)定》［制度編號:（2007）廠1926號］、《涉密信息系統(tǒng)信息保密管理規(guī)定》［制度通告:（2008）0934號］、《涉密信息系統(tǒng)安全保密管理規(guī)定》［制度通告:（2008）0935號］同時廢止。

關于公司計算機信息系統(tǒng)安全和保密管理工作的規(guī)定 各部門：

為了認真貫徹落實ＸＸ保密委《關于傳發(fā)<全市ＸＸ組織開展互聯(lián)網涉密及敏感信息檢查清除活動實施方案>的通知》精神和要求，進一步加強公司各部門網絡及計算機信息安全的保密管理，防止網上泄密事件發(fā)生，確保公司網絡及計算機工作安全可靠，結合公司實際情況，現(xiàn)就進一步加強計算機信息系統(tǒng)安全和保密管理工作有關事宜規(guī)定如下：

一、計算機操作人員必須遵守國家有關法律，任何人不得利用計算機從事違法活動。

二、按照“誰主管、誰負責”和“誰使用、誰負責”的原則，開展自查。

1.明確內網使用人責任，簽訂《職工信息安全保密責任書》，認真落實各項安全保密管理規(guī)章制度，積極參加各類安全保密學習和活動，知道“一機兩用”違規(guī)行為的類型，不違反相關的制度規(guī)定。

2.嚴禁在互聯(lián)網上發(fā)布公司涉密文件、資料、信息、數(shù)據(jù)。未經主管領導批準，不得向外提供公司信息和資料，堅持做到“誰上網、誰負責”，“上網不涉密、涉密不上網”。

三、嚴禁公司內網計算機終端上操作事項。2 / 3 1.內網計算機終端上違規(guī)處理、存儲的國家秘密信息； 2.內網移動存儲介質中違規(guī)存儲的國家秘密信息； 3.內網服務器上違規(guī)處理、存儲的國家秘密信息； 4.內網網站上違規(guī)發(fā)布的國家秘密信息。

四、嚴禁公司互聯(lián)網網計算機終端上操作事項。

1.互聯(lián)網計算機終端上違規(guī)處理、存儲的國家秘密和警務工作秘密信息；

2.互聯(lián)網移動存儲介質中違規(guī)存儲的國家秘密和警務工作秘密信息；

3.互聯(lián)網服務器上違規(guī)處理、存儲的國家秘密和警務工作秘密信息；

4.互聯(lián)網上開設的網站中違規(guī)發(fā)布的國家秘密和警務工作秘密信息；

5.互聯(lián)網社會網站上開通的微博、電子郵箱等信息發(fā)布和傳輸平臺中違規(guī)發(fā)布、存儲的國家秘密和警務工作秘密信息。

五、專用于存儲公司財務、工程設計方案、安保方案應急預案等資料和內部文件的計算機要由專人使用，并設置密碼，禁止網絡上的其它計算機訪問，禁止訪問互聯(lián)網及其它外部網絡系統(tǒng)。

六、做好計算機網絡病毒防治工作。每臺計算機要由專人負責，定期升級計算機殺毒軟件，進行查殺病毒，在使用3 / 3軟盤、U盤和移動硬盤等存儲、拷貝文件之前，要先查殺病毒。嚴禁在計算機有毒未殺的情況下發(fā)電子郵件和拷貝文件到公司的其它計算機上。

七、嚴格按照操作程序使用計算機，認真做好計算機防盜工作。公司員工要愛護計算機。下班及節(jié)假日，務必將電源開關關閉，徹底切斷計算機電源，關好門窗，做好防火、防盜工作。

八、嚴格工作紀律。禁止瀏覽和下載不健康的網上信息，禁止從網上下載與工作無關的軟件。二〇一二年五月三日

計算機網絡及信息資源安全保密管理制度 第一節(jié)總則

第一條為保護公司計算機信息資源的安全，并規(guī)范公司計算機及網絡 硬件的采購、安裝（建設）、維護、管理等環(huán)節(jié)的管理要求，根據(jù)《中華人民共和國保守國家秘密法》，《中華人民共和國計算機信息網絡國際互聯(lián)網管理暫行規(guī)定》和《中國公用計算機互聯(lián)網國際聯(lián)網管理辦法》，特制定本規(guī)定。第二條 本規(guī)定適用于公司內部所有單位所使用的計算機系統(tǒng)。第二節(jié)計算機的涉密管理規(guī)定

第三條 公司內部計算機信息系統(tǒng)的安全保密工作由信息技術部負責具體實施。公司各下屬單位、部門主要領導主管本單位、本部門的計算機信息系統(tǒng)的安全保密工作。第四條存放過秘密信息的計算機及相應介質未在徹底格式化前不能降低密級使用。第五條存儲有秘密信息的計算機及相應存儲裝置在維修時，應采取措施保 證所存儲的秘密信息不被泄露。

第六條企業(yè)內部規(guī)劃和建設任何計算機信息系統(tǒng)，應當同步規(guī)劃落實相應 的信息資源安全保密措施。

第七條對涉及企業(yè)經營、管理、技術和人事秘密的數(shù)據(jù)庫以及計算機應用系統(tǒng)，必須采取技術安全保密措施，并且不得與外部連通。第三節(jié)計算機及網絡硬件管理

第八條所有計算機及網絡硬件的采購和建設實施，須在總體規(guī)劃目標指導下進行。第九條進入總體規(guī)劃的計算機及網絡硬件在采購和建設實施時，需提前預算。作為預算的申請依據(jù)，信息技術部每年第四季度在公司開始下一的預算工作前，發(fā)布次年各類主要計算機設備的采購計劃價。

第十條總部部門或事業(yè)部在申請預算（或追加預算）時若涉及計算機購買計劃，須提交《計算機設備預算追加及采購審批表》，并履行相應的審核手續(xù)。

第十一條信息技術部負責編制公司網絡中心及主干網絡硬件采購計劃和預算，報公司批準后執(zhí)行?？偛扛鞑块T獲批準的計算機預算，由信息技術部監(jiān)管使用。

第十二條各事業(yè)部每年底將下的計算機及網絡硬件采購計劃和預算報信息技術部審核。信息技術部有權糾正事業(yè)部硬件采購計劃或硬件預算中不合理的需求。第十三條每預算定稿之后，運營管理部負責將總部部門及各事業(yè)部獲準采購計算機的數(shù)字通報信息技術部，信息技術部負責監(jiān)管各單位的采購行為。

第十四條信息技術部在每季度的第一周發(fā)布本季度的計算機硬件采購選型指導，供全公司統(tǒng)一執(zhí)行。

第十五條對公司總部及各事業(yè)部需求量較大的計算機設備，信息技術部會同運營管理部通過招標談判在計算機供貨商中選定戰(zhàn)略合作伙伴，使公司總部及各事業(yè)部能夠以統(tǒng)一的優(yōu)惠價格采購到所需的計算機產品。

第十六條公司總部的硬件采購工作，委托裝載機事業(yè)部代為實施。裝載機事業(yè)部接受委托時須對申請部門提交的《計算機設備預算追加及采購審批表》確認后,方可采購。第十七條各事業(yè)部計算機維修配件的采購，由各事業(yè)部根據(jù)不同計算機的具體情況相應處理。

第十八條在硬件采購合同執(zhí)行的過程中，如遇到特殊情況需要更改采購技術型號的，必須經過信息技術部復審同意。

第十九條公司總部的計算機，由信息技術部負責硬件安裝、維修、服務和管理。各事業(yè)部的計算機，由事業(yè)部備案的硬件崗位人員負責軟硬件安裝、維修、服務和管理。第二十條公司總部各部門和各事業(yè)部每年底要將本單位的計算機設備狀況、配置變動、責任人變動等情況填表報信息技術部。

第二十一條崗位上的計算機超過使用年限之后，如果因為主要部件的故障頻率高并無法修復的，經過所在資產管理實體的資產管理人員及硬件專業(yè)人員審核同意后，可以申

第四節(jié)網絡的接入管理

第二十二條信息技術部是管理企業(yè)網絡接入的責任部門。信息技術部的網絡管理員是整個柳工網絡的總管理員，對全網安全總負責，并牽頭與各子域網絡管理員組建企業(yè)網絡管理委員會，共同維護企業(yè)的網絡安全以及信息安全。

第二十三條為保障企業(yè)網絡的安全，所有連接到企業(yè)內部網的計算機必須經過信息技術部的企業(yè)網絡管理員注冊登記。每臺聯(lián)網的計算機都必須確定責任人，對該機的遵紀使用及安全狀況負責。不得私自在內部網上接入未經網管注冊的計算機，否則視同竊取企業(yè)機密，一旦發(fā)現(xiàn)，按照有關規(guī)定進行處理。

第二十四條為保證網絡信息資源安全，嚴格便攜機的管理，在柳工網內使用便攜機的特殊用戶必須登記備案，并接受網絡安全措施、信息安全培訓和病毒防護管理。第二十五條為防止信息流失和計算機病毒，要嚴格控制內部網與外部的直接I/O 通道，所有聯(lián)網的計算機都要拆除軟驅、光驅、刻錄設備及其他移動存儲設備。需要保留的，必須經過企業(yè)信息工作主管領導的特別批準，向信息技術部的網絡管理員登記注冊。第二十六條未經信息技術部批準和備案，私自在企業(yè)網絡的計算機上安裝各種通訊和存儲設備（如MODEM、軟驅、光驅等）、私自往廠區(qū)內帶入未經注冊登記的便攜機和存儲設備等行為，均視同竊取企業(yè)機密，一經發(fā)現(xiàn)，須沒收上交企業(yè)保密委員會，按照有關規(guī)定進行處理。

第二十七條合作單位人員因業(yè)務交流需要帶入計算機及有關設備的，不得接入企業(yè)網絡，由接待部門領導負責相應的信息安全責任。要進行數(shù)據(jù)交換的，按本規(guī)定有關條文處理。第二十八條

通過MODEM、VPN 等各種方式連入企業(yè)內部網的遠程訪問用戶也要柳工內部控制制度接受企業(yè)網絡總管理員的管理，否則將不允許連接到企業(yè)內部網。

第二十九條企業(yè)網絡是工作網絡，禁止任何利用企業(yè)網絡以及企業(yè)集成信息平臺進行有損企業(yè)安定團結局面的行為，違犯者將被追究紀律甚至法律的責任。

第三十條企業(yè)的網絡和計算機都屬于企業(yè)生產、工作的重要設備，任何破壞企業(yè)網絡和計算機的行為都視同破壞企業(yè)生產、工作的嚴重行為，需要追究紀律和法律的責任。第五節(jié)數(shù)據(jù)及信息安全的管理 第三十一條

數(shù)據(jù)及信息的安全包括數(shù)據(jù)的物理安全以及信息保密。企業(yè)各計算機信息系統(tǒng)都要建立相應的安全管理制度，信息技術部對企業(yè)的全局數(shù)據(jù)庫信息資源安全負責，各應用系統(tǒng)、單位部門的主要負責人對本應用系統(tǒng)、單位部門的計算機信息資源安全負責。第三十二條各應用系統(tǒng)、主要單位部門及各域都必須建立相應的數(shù)據(jù)備 份與災難恢復制度和策略，并切實執(zhí)行。

第三十三條

確有特殊需求經批準在企業(yè)網的某些計算機上保留有光驅和軟驅的部門，其部門領導和系統(tǒng)管理員必須對該I/O 通道的安全負責，各類數(shù)據(jù)的拷出必須有相關領導的審批以及文字性記錄備案。

第三十四條除網絡管理員及其授權人員外，其余人員無權擅自在網絡上傳播、擴散來自企業(yè)網絡以外的其它軟件和電子文檔。

第三十五條

計算機信息系統(tǒng)聯(lián)網應當采取系統(tǒng)訪問控制、數(shù)據(jù)保護和系統(tǒng)安全防火