第一篇：中國人民解放軍計算機(jī)信息系統(tǒng)安全保密規(guī)定

中國人民解放軍計算機(jī)信息系統(tǒng)安全保密規(guī)定

第一章 總則

第一條 為了加強(qiáng)軍隊計算機(jī)信息系統(tǒng)的安全保密，保障軍隊建設(shè)和軍事行動的順利進(jìn)行，根據(jù)《中國人民解放軍保密條例》和《中國人民解放軍技術(shù)安全保密條例》，制定本規(guī)定。

第二條 本規(guī)定所稱計算機(jī)信息系統(tǒng)，是指以計算機(jī)及其網(wǎng)絡(luò)為主體、按照一定的應(yīng)用目標(biāo)和規(guī)則構(gòu)成的用于處理軍事信息的人機(jī)系統(tǒng)。

計算機(jī)信息系統(tǒng)安全保密，是為防止泄密、竊密和破壞，對計算機(jī)信息系統(tǒng)及其所載的信息和數(shù)據(jù)、相關(guān)的環(huán)境與場所、安全保密產(chǎn)品的安全保護(hù)。

第三條 規(guī)定適用于軍隊涉及計算機(jī)信息系統(tǒng)的單位和人員。

第四條 軍隊計算機(jī)信息系統(tǒng)安全保密工作，實行保密委員會統(tǒng)一領(lǐng)導(dǎo)下的部門分工負(fù)責(zé)制，堅持行政管理與技術(shù)防范相結(jié)合。

各級計算機(jī)信息系統(tǒng)建設(shè)主管部門，負(fù)責(zé)本級和所屬計算機(jī)信息系統(tǒng)安全保密的規(guī)劃和建設(shè)。

各級密碼主管部門，按照規(guī)定負(fù)責(zé)計算機(jī)信息系統(tǒng)所需密碼系統(tǒng)的建設(shè)規(guī)劃以及對密碼設(shè)備和技術(shù)的研制開發(fā)管理。

計算機(jī)信息系統(tǒng)的使用單位，負(fù)責(zé)上網(wǎng)信息的審批和日常安全保密管理工作。

各級保密委員會辦事機(jī)構(gòu)，負(fù)責(zé)本級和所屬計算機(jī)信息系統(tǒng)安全保密工作的組織協(xié)調(diào)和監(jiān)督檢查。

解放軍信息安全測評認(rèn)證中心負(fù)責(zé)軍隊計算機(jī)信息系統(tǒng)安全技術(shù)和產(chǎn)品的測評認(rèn)證工作。

第五條 軍隊計算機(jī)信息系統(tǒng)的安全保密建設(shè)，應(yīng)當(dāng)與計算機(jī)信息系統(tǒng)的總體建設(shè)同步規(guī)劃，同步發(fā)展，其所需費(fèi)用列入系統(tǒng)建設(shè)預(yù)算。

第六條 任何單位或者個人不得利用軍隊計算機(jī)信息系統(tǒng)從事危害國家、軍隊和公民合法權(quán)益的活動，不得危害軍隊計算機(jī)信息系統(tǒng)的安全和正常運(yùn)行。

第二章 防護(hù)等級劃分

第七條 軍隊計算機(jī)信息系統(tǒng)，按照下列規(guī)定劃分防護(hù)等級：

（一）處理絕密信息或者遭受攻擊破壞后會給軍隊安全與利益造成特別嚴(yán)重?fù)p害的計算機(jī)信息系統(tǒng)，實行五級防護(hù)；

（二）處理機(jī)密信息或者遭受攻擊破壞后會給軍隊安全與利益造成嚴(yán)重?fù)p害的計算機(jī)信息系統(tǒng)，實行四級防護(hù)；

（三）處理秘密信息或者遭受攻擊破壞后會給軍隊安全與利益造成比較嚴(yán)重?fù)p害的計算機(jī)信息系統(tǒng)，實行三級防護(hù)；

（四）處理軍隊內(nèi)部信息或者遭受攻擊破壞后會給軍隊安全與利益造成一定損害的計算機(jī)信息系統(tǒng)，實行二級防護(hù)；

（五）接入軍外信息網(wǎng)的計算機(jī)信息系統(tǒng)，實行一級防護(hù)。

第八條 軍隊計算機(jī)信息系統(tǒng)應(yīng)當(dāng)按照《軍隊計算機(jī)信息系統(tǒng)安全防護(hù)標(biāo)準(zhǔn)》（見附錄一），采取與其防護(hù)等級相應(yīng)的防護(hù)措施，選用符合《軍用計算機(jī)安全評估準(zhǔn)則》的產(chǎn)品。因技術(shù)或者產(chǎn)品等原因，一時達(dá)不到防護(hù)標(biāo)準(zhǔn)要求的，必須采取有效的補(bǔ)救措施。

第三章 計算機(jī)及其網(wǎng)絡(luò)

第九條 軍隊計算機(jī)及其網(wǎng)絡(luò)的設(shè)計、研制、建設(shè)、運(yùn)行、使用和維護(hù)應(yīng)當(dāng)滿足規(guī)定的戰(zhàn)術(shù)、技術(shù)條件下的安全保密要求。

新建、改建重要計算機(jī)網(wǎng)絡(luò)必須報上一級軍事信息系統(tǒng)建設(shè)主管部門審批，并經(jīng)軍隊技術(shù)安全保密檢查機(jī)構(gòu)檢測評估。未通過檢測評估的不得交付使用。

第十條 軍隊計算機(jī)及其網(wǎng)絡(luò)應(yīng)當(dāng)盡量采取國產(chǎn)設(shè)備和軟件。確需要采取境外產(chǎn)品時，應(yīng)當(dāng)按照安全保密要求進(jìn)行技術(shù)改造。

第十一條 軍隊計算機(jī)及其網(wǎng)絡(luò)的安裝、調(diào)試和維修，應(yīng)當(dāng)由軍內(nèi)單位和人員承擔(dān)。確需軍外單位和人員承擔(dān)時，必須經(jīng)過師級以上單位批準(zhǔn)，并指定專人陪同，工作結(jié)束后進(jìn)行技術(shù)安全保密檢查。

第十二條 軍隊計算機(jī)及其網(wǎng)絡(luò)的設(shè)計、研制、建設(shè)和維修，不得使用國家和軍隊已明令禁用或者有嚴(yán)重安全保密缺陷的硬件和軟件。

第十三條 用于處理內(nèi)部信息和涉密信息的計算機(jī)及其網(wǎng)絡(luò)，必須與國外、軍外計算機(jī)及其網(wǎng)絡(luò)實行物理隔絕，并不得出借、轉(zhuǎn)讓給軍外單位或者個人。

第十四條 管理使用大型計算機(jī)信息系統(tǒng)的軍隊單位，應(yīng)當(dāng)設(shè)立安全保密小組。一般計算機(jī)信息系統(tǒng)，應(yīng)當(dāng)有負(fù)責(zé)安全保密日常工作的安全管理員。

第十五條 軍隊計算機(jī)信息系統(tǒng)操作人員、管理人員和安全保密人員（以下統(tǒng)稱計算機(jī)信息系統(tǒng)工作人員）的涉密范圍和訪問權(quán)限，由業(yè)務(wù)主官部門按照權(quán)限分隔、相互制約與最小授權(quán)的原則確定。

軍隊計算機(jī)信息系統(tǒng)工作人員上崗前應(yīng)當(dāng)經(jīng)過安全保密培訓(xùn)，工作時佩帶明顯的標(biāo)志，并遵守《軍隊計算機(jī)信息系統(tǒng)工作人員安全保密守則》（見附錄二）。

第十六條 管理使用計算機(jī)信息系統(tǒng)的軍隊單位和人員，必須接受保密管理部門的監(jiān)督檢查。對檢查中發(fā)現(xiàn)的問題，主管部門和使用單位應(yīng)當(dāng)及時解決。

第四章 信息與介質(zhì)

第十七條 軍隊計算機(jī)信息系統(tǒng)中的涉密信息和重要數(shù)據(jù)，必須按照秘密性、完整性、可用性和安全性的要求進(jìn)行生產(chǎn)、傳遞、存儲和使用。第十八條 軍隊計算機(jī)信息系統(tǒng)中的涉密信息，必須按照《中國人民解放軍保密條例》的有關(guān)規(guī)定劃定密級，并具有與該涉密信息不可分離的密級標(biāo)記和出網(wǎng)標(biāo)記。

第十九條 向軍隊計算機(jī)及其網(wǎng)絡(luò)所在控制區(qū)外傳輸秘密信息，必須按照信息的密級采取加密措施；在控制區(qū)內(nèi)傳輸秘密信息，視需要采取相應(yīng)的加密措施。

第二十條 軍隊計算機(jī)信息系統(tǒng)中的涉密信息和重要數(shù)據(jù)，應(yīng)當(dāng)根據(jù)工作需要和最小授權(quán)原則進(jìn)行存取，任何單位或者個人不得越權(quán)調(diào)閱、使用、修改、復(fù)制和刪除。

第二十一條 用于存儲涉密信息和重要數(shù)據(jù)的數(shù)據(jù)庫，必須具備相應(yīng)的安全保密防護(hù)措施。

第二十二條 軍隊計算機(jī)信息系統(tǒng)中重要的涉信息和數(shù)據(jù)，必須及時備份和異地存放，并按照其原密級采取相應(yīng)的安全保護(hù)措施。

第二十三條 存儲涉密信息的硬盤、軟盤、光盤、磁帶等介質(zhì)，應(yīng)當(dāng)按照其中存放信息的最高密級劃定秘密等級，并按照秘密載體安全保密要求進(jìn)行管理。

第二十四條 處理過軍隊涉密信息或者重要數(shù)據(jù)的存儲介質(zhì)，不得轉(zhuǎn)讓或者出借給無關(guān)人員使用，不得私自帶往境外，不得送往無安全保密保障的機(jī)構(gòu)修理。已劃定秘密等級的存儲介質(zhì)報廢后，應(yīng)當(dāng)徹底銷毀。

第五章 環(huán)境與場所

第二十五條 軍隊計算機(jī)信息系統(tǒng)所在的環(huán)境，必須符合國家和軍隊有關(guān)電磁環(huán)境的安全要求。對涉密或者重要的計算機(jī)信息系統(tǒng)，必須采取防電磁泄漏的措施。

第二十六條 集中設(shè)置計算機(jī)及其網(wǎng)絡(luò)設(shè)備的場所，應(yīng)當(dāng)根據(jù)涉密程度、重要程度和周圍環(huán)境狀況，按照國家與軍隊的有關(guān)規(guī)定、標(biāo)準(zhǔn)進(jìn)行建設(shè)管理，并劃定帶有明顯標(biāo)志的控制區(qū)。

分散設(shè)置的涉密計算機(jī)及其網(wǎng)絡(luò)設(shè)備，應(yīng)當(dāng)置于辦公區(qū)域的安全部位，并采取相應(yīng)的安全保密措施。

第二十七條 軍隊計算機(jī)信息系統(tǒng)的重要機(jī)房和網(wǎng)絡(luò)設(shè)施，必須按照國家和軍隊的有關(guān)規(guī)定，與境外駐華機(jī)構(gòu)、人員駐地和涉外建筑保持相應(yīng)的安全距離，并不得共用電源、金屬管線和通風(fēng)管道。無法達(dá)到上述要求的，必須采取有效的防護(hù)措施。

第二十八條 新建涉密的大型機(jī)房，必須經(jīng)過技術(shù)安全保密檢查合格后方可使用。

第六章 安全保密產(chǎn)品

第二十九條 用于軍隊計算機(jī)信息系統(tǒng)安全保密防護(hù)與檢測的硬件、軟件和系統(tǒng)，必須選用軍內(nèi)或者國內(nèi)研制開發(fā)并經(jīng)解放軍信息安全測評認(rèn)證中心測評認(rèn)證的產(chǎn)品；其中的密碼技術(shù)和設(shè)備，必須符合國家和軍隊有關(guān)密碼管理的政策和規(guī)定。

經(jīng)測評認(rèn)證合格的安全保密產(chǎn)品，由解放軍保密委員會技術(shù)安全檢查辦公室列入軍隊安全保密產(chǎn)品目錄；需要在全軍推廣應(yīng)用的，由解放軍保密委員會批準(zhǔn)。

第三十條 軍隊單位研制和開發(fā)安全保密產(chǎn)品，應(yīng)當(dāng)執(zhí)行軍隊有關(guān)的規(guī)定和標(biāo)準(zhǔn)；軍隊暫無規(guī)定和標(biāo)準(zhǔn)的參照國家有關(guān)規(guī)定和標(biāo)準(zhǔn)執(zhí)行。

第三十一條 專門用于軍隊計算機(jī)信息系統(tǒng)的安全保密產(chǎn)品，未經(jīng)解放軍保密委員會辦事機(jī)構(gòu)批準(zhǔn)，不得對外宣傳和銷售。

第七章 應(yīng)急處置

第三十二條 軍隊計算機(jī)信息系統(tǒng)在面臨危險或者遭受攻擊、破壞的情況下，必須采取安全保密應(yīng)急處置行動。

第三十三條 軍隊計算機(jī)信息系統(tǒng)應(yīng)急處置行動，由各級計算機(jī)信息系統(tǒng)主管部門組織實施；各級保密委員會技術(shù)安全檢查辦公室負(fù)責(zé)應(yīng)急行動的協(xié)調(diào)與支援。

第三十四條 師級以上單位計算機(jī)信息系統(tǒng)主管部門應(yīng)當(dāng)指定安全保密應(yīng)急組織，擔(dān)負(fù)下列任務(wù)：

（一）按照應(yīng)急處置方案組織演練；

（二）采取應(yīng)急處置措施，實施應(yīng)急處置計劃，阻止侵襲蔓延，消除泄密、竊密隱患和破壞威脅；

（三）查明侵襲破壞情況和威脅來源；

（四）恢復(fù)系統(tǒng)正常運(yùn)行；

（五）上級賦予的其他任務(wù)。

第三十五條 軍區(qū)級以上單位的技術(shù)安全檢查辦公室應(yīng)當(dāng)建立應(yīng)急支援與協(xié)調(diào)組織，擔(dān)負(fù)下列任務(wù)：

（一）制定本級安全保密應(yīng)急支援預(yù)案；

（二）發(fā)布應(yīng)急處置有關(guān)預(yù)警信息；

（三）采取應(yīng)急支援措施，實施應(yīng)急計劃；

（四）查明侵襲破壞情況和威脅來源，必要時組織反擊行動；

（五）對指揮機(jī)關(guān)和部隊有關(guān)的軍事行動提供安全保密應(yīng)急支援；

（六）上級賦予的其他任務(wù)。

第三十六條 計算機(jī)信息系統(tǒng)工作人員發(fā)現(xiàn)針對軍隊計算機(jī)信息系統(tǒng)的惡意攻擊、黑客侵襲、計算機(jī)病毒危害、網(wǎng)上竊密及破壞、電磁攻擊以及其他重大破壞活動或者征候時，應(yīng)當(dāng)立即報告計算機(jī)信息系統(tǒng)主管部門和本級保密委員會辦事機(jī)構(gòu)，并采取相應(yīng)的應(yīng)急措施。

第八章 獎勵與處分

第三十七條 符合下列條件之一的單位和人員，依照《中國人民解放軍紀(jì)律條令》的有關(guān)規(guī)定，給予獎勵：

（一）在計算機(jī)信息系統(tǒng)安全保密理論研究和法規(guī)標(biāo)準(zhǔn)制定方面做出重要貢獻(xiàn)的；

（二）研究、開發(fā)計算機(jī)信息系統(tǒng)安全保密技術(shù)、產(chǎn)品、設(shè)施取得重要成果的；

（三）在計算機(jī)信息系統(tǒng)安全保密檢查、檢測手段和方法方面有發(fā)明創(chuàng)造的；

（四）及時發(fā)現(xiàn)或者有效消除計算機(jī)信息系統(tǒng)安全保密重大缺陷或者隱患的；

（五）在緊急情況下保護(hù)計算機(jī)信息系統(tǒng)安全免遭損失的；

（六）在計算機(jī)信息系統(tǒng)安全保密工作的其他方面做出顯著成績的。

第三十八條 有下列情形之一的，依照《中國人民解放軍紀(jì)律條令》的有關(guān)規(guī)定，對負(fù)有直接責(zé)任的主管人員和其他直接責(zé)任人員給予處分；構(gòu)成犯罪的，依法追究刑事責(zé)任：

（一）侵襲計算機(jī)信息系統(tǒng)的；

（二）非法刪除、修改、增加、干擾計算機(jī)信息系統(tǒng)的功能、數(shù)據(jù)、程序，造成嚴(yán)重后果的；

（三）制造、傳播計算機(jī)病毒等破壞性程序，影響計算機(jī)信息系統(tǒng)正常運(yùn)行的；

（四）發(fā)現(xiàn)計算機(jī)信息系統(tǒng)安全保密隱患或者計算機(jī)病毒及其他破壞性威脅，不及時報告或者不采取措施，造成嚴(yán)重后果的；

（五）泄漏軍隊計算機(jī)信息系統(tǒng)安全保密防護(hù)技術(shù)、方法、措施、產(chǎn)品性能、效果和應(yīng)用范圍，造成后果的；

（六）使用已經(jīng)禁用或者不符合規(guī)定的計算機(jī)信息系統(tǒng)、安全保密產(chǎn)品，造成嚴(yán)重安全保密隱患的；

（七）其他危害計算機(jī)信息系統(tǒng)安全保密的。

第九章 附則

第三十九條 中國人民武裝警察部隊的計算機(jī)信息系統(tǒng)安全保密工作參照本規(guī)定執(zhí)行。

第四十條 本規(guī)定由中國人民解放軍保密委員會負(fù)責(zé)解釋。

第四十一條 本規(guī)定自發(fā)布之日起施行。

附錄

軍隊計算機(jī)信息系統(tǒng)安全防護(hù)標(biāo)準(zhǔn)

軍隊計算機(jī)網(wǎng)絡(luò)安全保密守則

第二篇：計算機(jī)和信息系統(tǒng)安全保密管理規(guī)定

信息系統(tǒng)安全保密管理制度

第一章

總

則

第一條

為加強(qiáng)公司信息化系統(tǒng)（包括涉密信息系統(tǒng)和非涉密信息系統(tǒng)）安全保密管理，確保國家秘密及公司商業(yè)秘密的安全，根據(jù)國家有關(guān)保密法規(guī)標(biāo)準(zhǔn)和中國華電集團(tuán)公司有關(guān)規(guī)定，特制定本規(guī)定。

第二條

本規(guī)定所稱涉密信息系統(tǒng)是指由計算機(jī)及其相關(guān)的配套設(shè)備、設(shè)施構(gòu)成的，按照一定的應(yīng)用目標(biāo)和規(guī)定存儲、處理、傳輸涉密信息的系統(tǒng)或網(wǎng)絡(luò)，包括機(jī)房、網(wǎng)絡(luò)設(shè)備、軟件、網(wǎng)絡(luò)線路、用戶終端、存儲介質(zhì)等內(nèi)容。

第三條

涉密信息系統(tǒng)的建設(shè)和應(yīng)用要本著“預(yù)防為主、分級負(fù)責(zé)、科學(xué)管理、保障安全”的方針，堅持“誰主管、誰負(fù)責(zé)，誰使用、誰負(fù)責(zé)”和“控制源頭、歸口管理、加強(qiáng)檢查、落實制度”的原則，確保涉密信息系統(tǒng)和國家秘密信息安全。

第四條

涉密信息系統(tǒng)安全保密防護(hù)必須嚴(yán)格按照國家保密標(biāo)準(zhǔn)、規(guī)定和集團(tuán)公司文件要求進(jìn)行設(shè)計、實施、測評審查與審批和驗收；未通過國家審批的涉密信息系統(tǒng)，不得投入使用。

第五條

本規(guī)定適用于公司所有信息系統(tǒng)安全保密管理工作。

第二章

組織機(jī)構(gòu)與職責(zé)

第六條

公司成立信息系統(tǒng)安全保密組織機(jī)構(gòu)，人員結(jié)構(gòu)與信息化領(lǐng)導(dǎo)小組和辦公室成員相同，信息化領(lǐng)導(dǎo)小組成員即為信息系統(tǒng)安全保密領(lǐng)導(dǎo)小組成員，信息化辦公室成員即為信息系統(tǒng)安全保密辦公室成員。

1、信息系統(tǒng)安全保密領(lǐng)導(dǎo)小組 組

長：

副組長： 組員：

2、信息系統(tǒng)安全保密辦公室 主

任： 副主任： 成員：

第七條 信息系統(tǒng)安全保密領(lǐng)導(dǎo)小組主要職責(zé)

公司信息系統(tǒng)安全保密領(lǐng)導(dǎo)小組是涉密信息系統(tǒng)安全保密管理決策機(jī)構(gòu)，其主要職責(zé)：

（一）建立健全信息系統(tǒng)安全保密管理制度，并監(jiān)督檢查落實情況；

（二）協(xié)調(diào)處理有關(guān)涉密信息系統(tǒng)安全保密管理的重大問題，對重大失泄密事件進(jìn)行查處。

第八條

信息系統(tǒng)安全保密辦公室（簡稱保密辦）主要職責(zé)：

（一）擬定信息系統(tǒng)安全保密管理制度，并組織落實各項保密防范措施；

（二）對系統(tǒng)用戶和安全保密管理人員進(jìn)行資格審查和安全保密教育培訓(xùn)，審查涉密信息系統(tǒng)用戶的職責(zé)和權(quán)限，并備案；

（三）組織對涉密信息系統(tǒng)進(jìn)行安全保密監(jiān)督檢查和風(fēng)險評估，提出涉密信息系統(tǒng)安全運(yùn)行的保密要求；

（四）會同信息中心對涉密信息系統(tǒng)中介質(zhì)、設(shè)備、設(shè)施的授權(quán)使用的審查，建立涉密信息系統(tǒng)安全評估制度，每年對涉密信息系統(tǒng)安全措施進(jìn)行一次評審；

（五）對涉密信息系統(tǒng)設(shè)計、施工和集成單位進(jìn)行資質(zhì)審查，對進(jìn)入涉密信息系統(tǒng)的安全保密產(chǎn)品進(jìn)行準(zhǔn)入審查和規(guī)范管理，對涉密信息系統(tǒng)進(jìn)行安全保密性能檢測；

（六）對涉密信息系統(tǒng)中各應(yīng)用系統(tǒng)進(jìn)行定密、變更密級和解密工作進(jìn)行審核；

（七）組織查處涉密信息系統(tǒng)失泄密事件。

第十條

辦公室（信息中心）主要職責(zé)是：

（一）組織、實施涉密信息系統(tǒng)的規(guī)劃、設(shè)計、建設(shè)，制定安全保密防護(hù)方案；

（二）落實涉密信息系統(tǒng)安全保密策略、運(yùn)行安全控制、安全驗證等安全技術(shù)措施；每半年對涉密信息系統(tǒng)進(jìn)行風(fēng)險評估，提出整改措施，經(jīng)涉密信息系統(tǒng)安全保密領(lǐng)導(dǎo)小組批準(zhǔn)后組織實施，確保安全技術(shù)措施有效、可靠；

（三）落實涉密信息系統(tǒng)中各應(yīng)用系統(tǒng)進(jìn)行用戶權(quán)限設(shè)置及介質(zhì)、設(shè)備、設(shè)施的授權(quán)使用、保管以及維護(hù)等安全保密管理措施；

（四）配備涉密信息系統(tǒng)管理員、安全保密管理員和安全審計員，并制定相應(yīng)的職責(zé)；“三員”角色不得兼任，權(quán)限設(shè)置相互獨立、相互制約；“三員”應(yīng)通過安全保密培訓(xùn)持證上崗；

（五）落實計算機(jī)機(jī)房、配線間等重要部位的安全保密防范措施及網(wǎng)絡(luò)的安全管理，負(fù)責(zé)日常業(yè)務(wù)數(shù)據(jù)及其他重要數(shù)據(jù)的備份管理；

（六）配合保密辦對涉密信息系統(tǒng)進(jìn)行安全檢查，對存在的隱患進(jìn)行及時整改；

（七）制定應(yīng)急預(yù)案并組織演練，落實應(yīng)急措施，處理信息安全突發(fā)事件。

（八）按照國家密碼管理的相關(guān)要求，落實涉密信息系統(tǒng)中普密設(shè)備的管理措施。第十二條

相關(guān)業(yè)務(wù)部門、班組主要職責(zé)：

涉密信息系統(tǒng)的使用部門、班組要嚴(yán)格遵守保密管理規(guī)定，教育員工提高安全保密意識，落實涉密信息系統(tǒng)各項安全防范措施；準(zhǔn)確確定應(yīng)用系統(tǒng)密級，制定并落實相應(yīng)的二級保密管理制度。

第十三條

涉密信息系統(tǒng)配備系統(tǒng)管理員、安全保密管理員、安全審計員，其職責(zé)是：

（一）系統(tǒng)管理員負(fù)責(zé)系統(tǒng)中軟硬件設(shè)備的運(yùn)行、管理與維護(hù)工作，確保信息系統(tǒng)的安全、穩(wěn)定、連續(xù)運(yùn)行。系統(tǒng)管理員包括網(wǎng)絡(luò)管理員、數(shù)據(jù)庫管理員、應(yīng)用系統(tǒng)管理 2 員。

（二）安全保密管理員負(fù)責(zé)安全技術(shù)設(shè)備、策略實施和管理工作，包括用戶帳號管理以及安全保密設(shè)備和系統(tǒng)所產(chǎn)生日志的審查分析。

（三）安全審計員負(fù)責(zé)安全審計設(shè)備安裝調(diào)試，對各種系統(tǒng)操作行為進(jìn)行安全審計跟蹤分析和監(jiān)督檢查，以及時發(fā)現(xiàn)違規(guī)行為，并每月向涉密信息系統(tǒng)安全保密領(lǐng)導(dǎo)小組辦公室匯報一次情況。

第三章

系統(tǒng)建設(shè)管理

第十四條

規(guī)劃和建設(shè)涉密信息系統(tǒng)時，按照涉密信息系統(tǒng)分級保護(hù)標(biāo)準(zhǔn)的規(guī)定，同步規(guī)劃和落實安全保密措施，系統(tǒng)建設(shè)與安全保密措施同計劃、同預(yù)算、同建設(shè)、同驗收。

第十五條

涉密信息系統(tǒng)規(guī)劃和建設(shè)的安全保密方案，應(yīng)由具有“涉及國家秘密的計算機(jī)信息系統(tǒng)集成資質(zhì)”的機(jī)構(gòu)編制或自行編制，安全保密方案必須經(jīng)上級保密主管部門審批后方可實施。

第十六條

涉密信息系統(tǒng)規(guī)劃和建設(shè)實施時，應(yīng)由具有“涉及國家秘密的計算機(jī)信息系統(tǒng)集成資質(zhì)”的機(jī)構(gòu)實施或自行實施，并與實施方簽署保密協(xié)議，項目竣工后必須由保密辦和科技信息部共同組織驗收。

第十七條

對涉密信息系統(tǒng)要采取與密級相適應(yīng)的保密措施，配備通過國家保密主管部門指定的測評機(jī)構(gòu)檢測的安全保密產(chǎn)品。涉密信息系統(tǒng)使用的軟件產(chǎn)品必須是正版軟件。

第四章

信息管理

第一節(jié)

信息分類與控制

第十八條

涉密信息系統(tǒng)的密級，按系統(tǒng)中所處理信息的最高密級設(shè)定，嚴(yán)禁處理 3 高于涉密信息系統(tǒng)密級的涉密信息。

第十九條

涉密信息系統(tǒng)中產(chǎn)生、存儲、處理、傳輸、歸檔和輸出的文件、數(shù)據(jù)、圖紙等信息及其存儲介質(zhì)應(yīng)按要求及時定密、標(biāo)密，并按涉密文件進(jìn)行管理。電子文件密級標(biāo)識應(yīng)與信息主體不可分離，密級標(biāo)識不得篡改。涉密信息系統(tǒng)中的涉密信息總量每半年進(jìn)行一次分類統(tǒng)計、匯總，并在保密辦備案。

第二十條

涉密信息系統(tǒng)應(yīng)建立安全保密策略，并采取有效措施，防止涉密信息被非授權(quán)訪問、篡改，刪除和丟失；防止高密級信息流向低密級計算機(jī)。涉密信息遠(yuǎn)程傳輸必須采取密碼保護(hù)措施。

第二十一條

向涉密信息系統(tǒng)以外的單位傳遞涉密信息，一般只提供紙質(zhì)文件，確需提供涉密電子文檔的，按信息交換及中間轉(zhuǎn)換機(jī)管理規(guī)定執(zhí)行。

第二十二條

清除涉密計算機(jī)、服務(wù)器等網(wǎng)絡(luò)設(shè)備、存儲介質(zhì)中的涉密信息時，必須使用符合保密標(biāo)準(zhǔn)、要求的工具或軟件。

第二節(jié)

用戶管理與授權(quán)

第二十三條

根據(jù)本部門、單位使用涉密信息系統(tǒng)的密級和實際工作需要，確定人員知悉范圍，以此作為用戶授權(quán)的依據(jù)。

第二十四條

用戶清單管理

（一）科技信息部管理“研究試驗堆燃料元件數(shù)字化信息系統(tǒng)”和“中核集團(tuán)涉密廣域網(wǎng)”用戶清單；財會部管理“財務(wù)會計核算網(wǎng)”用戶清單；

（二）新增用戶時，由用戶本人提出書面申請，經(jīng)本部門、單位審核，科技信息部、保密辦審批后，由科技信息部備案并統(tǒng)一建立用戶；“財務(wù)會計核算網(wǎng)”的用戶由財會部統(tǒng)一建立；

（三）刪除用戶時，由用戶本人所在部門、單位書面通知科技信息部，核準(zhǔn)后由安全保密管理員即時將用戶在涉密信息系統(tǒng)內(nèi)的所有帳號、權(quán)限廢止；“財務(wù)會計核算網(wǎng)” 4 的刪除用戶由財會部統(tǒng)一刪除用戶帳號、權(quán)限。

第二十五條

用戶標(biāo)識符管理

（一）用戶登錄系統(tǒng)時所使用的用戶身份標(biāo)識，由用戶本人提出書面申請，經(jīng)本部門、單位審核，科技信息部、保密辦審批后，由系統(tǒng)管理員產(chǎn)生，并確保用戶標(biāo)識在此系統(tǒng)生命周期中的唯一性；

（二）安全保密管理員每月一次檢查與用戶身份標(biāo)識相關(guān)的日志，發(fā)現(xiàn)異常情況，應(yīng)及時向保密辦報告。

第二十六條 用戶授權(quán)管理

（一）涉密信息系統(tǒng)用戶授權(quán)應(yīng)遵循最小授權(quán)分配原則，安全保密管理員對所有用戶的權(quán)限明細(xì)文檔化；

（二）安全審計員每月審查權(quán)限列表，發(fā)現(xiàn)異常情況，應(yīng)及時向保密辦報告。

第三節(jié)

信息系統(tǒng)互聯(lián)

第二十七條 涉密信息系統(tǒng)必須與國際互聯(lián)網(wǎng)和其它公共信息系統(tǒng)實行物理隔離。禁止將涉密計算機(jī)和涉密信息系統(tǒng)直接接入公司內(nèi)部非涉密信息系統(tǒng)，確因工作需要接入時必須采用符合保密標(biāo)準(zhǔn)的信息隔離交換系統(tǒng)進(jìn)行必要的邊界控制措施。

第五章

運(yùn)行維護(hù)管理

第二十八條 涉密信息系統(tǒng)投入運(yùn)行前，應(yīng)當(dāng)經(jīng)過國家保密工作部門審批，未經(jīng)審批的涉密信息系統(tǒng)不得處理涉密信息。

第二十九條

涉密信息系統(tǒng)應(yīng)與用戶終端實施IP-MAC，并隨人員、崗位等變化及時調(diào)整。涉密信息系統(tǒng)的用戶終端、服務(wù)器等設(shè)備設(shè)施應(yīng)進(jìn)行安全加固，關(guān)閉不必要的帳戶、服務(wù)和端口，并設(shè)置規(guī)范的口令策略。

涉密設(shè)備（導(dǎo)線）與外網(wǎng)、通訊設(shè)備（導(dǎo)線）和其他導(dǎo)體的隔離應(yīng)符合保密要求。

第三十條

涉密信息系統(tǒng)與國際互聯(lián)網(wǎng)、公眾信息網(wǎng)絡(luò)等非涉密信息系統(tǒng)（以下簡稱外網(wǎng)）的信息交換，按信息交換及中間轉(zhuǎn)換機(jī)管理規(guī)定執(zhí)行。

第三十一條

禁止使用非涉密信息系統(tǒng)（包括非涉密單機(jī)）存儲和處理涉密信息。第三十二條

建立健全防病毒軟件（含木馬查殺）升級、打補(bǔ)丁機(jī)制，及時升級病毒和惡意代碼樣本庫，進(jìn)行病毒和惡意代碼查殺，及時安裝操作系統(tǒng)、數(shù)據(jù)庫和應(yīng)用系統(tǒng)的補(bǔ)丁程序。防病毒軟件應(yīng)使用經(jīng)國家主管部門批準(zhǔn)的防病毒軟件。

第三十三條

未經(jīng)科技信息部審批，禁止對涉密信息系統(tǒng)格式化或重裝操作系統(tǒng)，禁止刪除涉密信息系統(tǒng)的移動存儲介質(zhì)及外部設(shè)備（包括服務(wù)器等網(wǎng)絡(luò)設(shè)備）等日志記錄。

第三十四條

涉密應(yīng)用軟件開發(fā)及運(yùn)行維護(hù)必須選擇具有相關(guān)保密資質(zhì)的單位承擔(dān)，并與之簽訂《保密協(xié)議書》，協(xié)議書必須經(jīng)保密辦審查備案，明確保密要求，防止國家秘密的泄露。

第三十五條

涉密信息系統(tǒng)中的信息輸出應(yīng)當(dāng)集中管理，有效控制，建立集中打印控制機(jī)制。

第三十六條

涉密信息系統(tǒng)用戶終端不準(zhǔn)安裝、運(yùn)行、使用與工作無關(guān)的軟件，嚴(yán)禁安裝具有無線通訊功能的軟件。未經(jīng)科技信息部審批，用戶終端禁止安裝或拆卸硬件設(shè)備和軟件及更改系統(tǒng)設(shè)置。用戶終端的應(yīng)用軟件安裝情況登記備案，每季度進(jìn)行一次核查。

第三十七條

涉密設(shè)備嚴(yán)禁具有無線互聯(lián)功能，不能安裝紅外接口、無線網(wǎng)卡、無線鼠標(biāo)、無線鍵盤等。

第三十八條

對集中存放涉密信息系統(tǒng)服務(wù)器、交換機(jī)等涉密設(shè)備的場所列入保密要害部位管理，建立出入登記、外來人員審查等管理制度。

第三十九條

涉密信息系統(tǒng)應(yīng)采取身份鑒別、訪問控制和安全審計等技術(shù)保護(hù)措施。第四十條

涉密信息系統(tǒng)建立文檔化的安全保密策略，并根據(jù)環(huán)境、系統(tǒng)和威脅變 6 化情況及時調(diào)整更新安全保密策略。

第四十一條

涉密信息系統(tǒng)建立文檔化的安全保密審計報告，機(jī)密級1個月、秘密級3個月進(jìn)行一次審計日志收集、整理、分析，按要求形成文檔化安全審計報告并備案。

第四十二條

涉密信息系統(tǒng)建立文檔化的風(fēng)險評估分析報告，每半年根據(jù)系統(tǒng)綜合日志進(jìn)行一次風(fēng)險評估（自評估或檢查評估），形成文檔化的風(fēng)險分析報告，對存在的風(fēng)險及時采取補(bǔ)救措施。

第四十三條

涉密信息系統(tǒng)建立實時入侵檢測系統(tǒng)，做到實時監(jiān)測系統(tǒng)網(wǎng)絡(luò)設(shè)備、終端和服務(wù)器的各種攻擊行為。應(yīng)具有漏洞掃描技術(shù)，以提前警告網(wǎng)絡(luò)系統(tǒng)中系統(tǒng)的弱點所在，防止黑客入侵和內(nèi)部人員的誤用。

第四十四條

涉密信息系統(tǒng)使用國家有關(guān)主管部門批準(zhǔn)的檢測工具對系統(tǒng)進(jìn)行安全保密性能檢測，檢測工具版本應(yīng)及時更新、升級。

第六章

設(shè)備與介質(zhì)管理

第四十五條

計算機(jī)和信息系統(tǒng)設(shè)備包括：網(wǎng)絡(luò)設(shè)備、服務(wù)器、用戶終端（臺式計算機(jī)、便攜式計算機(jī)、工業(yè)控制機(jī)等）、掃描儀、打印輸出設(shè)備及網(wǎng)絡(luò)安全保密產(chǎn)品等；介質(zhì)包括：紙介質(zhì)、存儲介質(zhì)及其它記錄載體（如計算機(jī)硬盤、光盤、移動硬盤、優(yōu)盤、軟盤和錄音帶、錄像帶、數(shù)碼相機(jī)存儲卡等）。

第四十六條

接入涉密信息系統(tǒng)的設(shè)備和介質(zhì)稱為涉密設(shè)備和涉密存儲介質(zhì)，并按統(tǒng)一技術(shù)要求和部署方式進(jìn)行管理。涉密設(shè)備和存儲介質(zhì)應(yīng)與國際互聯(lián)網(wǎng)和其他公眾信息網(wǎng)絡(luò)實行物理隔離；系統(tǒng)內(nèi)的設(shè)備、介質(zhì)、設(shè)施根據(jù)其處理信息的最高密級標(biāo)明涉密等級和主要用途。

第四十七條 計算機(jī)和信息系統(tǒng)中使用的設(shè)備、存儲介質(zhì)應(yīng)遵循“統(tǒng)一購置、統(tǒng)一標(biāo)識、嚴(yán)格登記、規(guī)范管理”的原則，嚴(yán)格執(zhí)行國家秘密載體保密管理規(guī)定。

第四十八條 各部門、單位指定專人負(fù)責(zé)涉密設(shè)備和介質(zhì)的日常管理工作，建立存儲介質(zhì)登記備案、定期核查與信息清理制度。保密辦對涉密設(shè)備的采購、使用、維修、變更、報廢負(fù)有指導(dǎo)、監(jiān)督、檢查的職責(zé)，對存儲介質(zhì)歸口管理。

第一節(jié)

設(shè)備管理

第四十九條 采購管理

（一）涉密設(shè)備選用國產(chǎn)設(shè)備，涉密系統(tǒng)集成與系統(tǒng)服務(wù)、安全產(chǎn)品的采購，不得進(jìn)行公開招標(biāo)，須在具有資質(zhì)的單位和經(jīng)國家主管部門批準(zhǔn)范圍內(nèi)選擇，且供方應(yīng)具有完備的資質(zhì)證明和良好的信譽(yù)，以及長期供貨和代維護(hù)能力；

（二）采購部門不得向供應(yīng)方透露涉密設(shè)備的最終用戶；

（三）采購的計算機(jī)，統(tǒng)一不配備光驅(qū)、軟驅(qū)、視頻設(shè)備及具有無線互聯(lián)功能的無線鍵盤、無線鼠標(biāo)、紅外接口、無線網(wǎng)卡等。確因工作需要配備的，經(jīng)保密辦審批后配發(fā)；

（四）科技信息部做好資產(chǎn)清單和臺帳管理，涉密設(shè)備需在保密辦備案并粘貼密級標(biāo)識后投入使用。臺帳注明涉密設(shè)備使用人、安全責(zé)任人、安全分類以及資產(chǎn)所在的位置，并且每半年對涉密設(shè)備清查核對一次。

第五十條

使用管理

（一）各部門、單位建立涉密設(shè)備、打印機(jī)等準(zhǔn)入審批、使用登記、銷毀等備案制度。

（二）涉密設(shè)備的電磁泄露發(fā)射應(yīng)符合國家有關(guān)保密標(biāo)準(zhǔn)，并采取相應(yīng)防護(hù)措施。涉密設(shè)備和傳輸線路應(yīng)符合紅黑隔離要求，并采取電源濾波防護(hù)措施。

（三）用戶終端登錄識別技術(shù)應(yīng)采用以下二種方式之一：

1、數(shù)字證書機(jī)制采用USBKey與PIN口令相結(jié)合的方式進(jìn)行身份鑒別，口令長度設(shè)置不少于十位。USBKey按機(jī)密級密件管理，應(yīng)及時修改初始的PIN碼，并將USBKey 8 妥善保管。

2、密碼口令。機(jī)密級密碼口令長度不得少于十個字符，每周至少更換一次；秘密級密碼口令長度不得少于八個字符，每月至少更換一次；口令采用大小寫英文字母、數(shù)字和特殊字符等兩者以上的組合。

（四）在其他信息系統(tǒng)使用過的設(shè)備以及新增設(shè)備接入涉密計算機(jī)和信息系統(tǒng)之前，應(yīng)進(jìn)行病毒（含木馬）及惡意代碼的檢測、查殺。

第五十一條 維修管理

（一）涉密設(shè)備維修時，應(yīng)向科技信息部提出申請，科技信息部對維修的涉密設(shè)備檢查診斷后，作出公司內(nèi)維修或外出維修的判斷，并通知部門、單位；

（二）涉密設(shè)備維修原則上來公司現(xiàn)場維修，維修時應(yīng)有專人現(xiàn)場監(jiān)管；

（三）涉密設(shè)備外出維修時，對涉密設(shè)備預(yù)先采取保密措施，拆除存儲部件，并有專人在場監(jiān)控維修全過程；外出維修的涉密設(shè)備，原則上不能在外存放，當(dāng)日未維修完畢的應(yīng)帶回公司存放，次日再送出去維修；涉密設(shè)備維修時應(yīng)與維修單位簽訂保密協(xié)議；

（四）涉密設(shè)備確需恢復(fù)存儲的數(shù)據(jù)、信息時，應(yīng)經(jīng)保密辦審批后在具有涉密數(shù)據(jù)恢復(fù)資質(zhì)的單位進(jìn)行；

（五）維修時更換下的硬盤、存儲卡，必須將舊件按涉密載體進(jìn)行管理，禁止將舊件抵價維修或隨意拋棄；

（六）維修的涉密設(shè)備應(yīng)做好維修情況記錄，存檔備查。第五十二條 變更管理

（一）涉密設(shè)備變更用途時，應(yīng)事先提出變更申請并清除其存儲的涉密信息，經(jīng)保密辦審核批準(zhǔn)后辦理變更。變更程序是：

1、公司內(nèi)部門、單位之間調(diào)配涉密設(shè)備，由科技信息部提出變更調(diào)配計劃并作技術(shù)支持，接收單位辦理變更手續(xù)并到保密辦變更涉密設(shè)備臺帳；

2、部門、單位內(nèi)部調(diào)整變更涉密設(shè)備，由部門、單位領(lǐng)導(dǎo)批準(zhǔn)，并通知保密辦變更涉密計算機(jī)臺帳；

3、調(diào)配變更后的涉密設(shè)備要及時確定密級，并粘貼密級標(biāo)識。

（二）涉密設(shè)備變更密級，遵循如下保密規(guī)定：

1、絕密級設(shè)備不得進(jìn)行變更；

2、不變更使用人及使用部門、單位，升密時存儲介質(zhì)（包括硬盤、儲存卡）可不更換，降密或脫密時必須更換存儲介質(zhì)；

3、變更使用人或使用部門、單位，升密、降密必須更換存儲介質(zhì)；

4、存儲介質(zhì)的更換由科技信息部辦理，新存儲介質(zhì)到保密辦領(lǐng)取，更換下的舊存儲介質(zhì)交保密辦；

5、非涉密設(shè)備變更為涉密設(shè)備，需對存儲介質(zhì)進(jìn)行格式化，重新安裝操作系統(tǒng)，并拆除視頻設(shè)備和無線互聯(lián)功能模塊。

第五十三條 報廢管理

（一）對批準(zhǔn)報廢的信息設(shè)備拆除存儲介質(zhì)并交保密辦集中統(tǒng)一銷毀或再利用；

（二）淘汰或報廢的涉密設(shè)備，不得用于公益捐贈，或流入舊貨市場。

第二節(jié)

介質(zhì)管理

第五十四條

購置和發(fā)放

（一）申請部門、單位根據(jù)需要向保密辦提出所需存儲介質(zhì)種類、數(shù)量的申請；

（二）保密辦對申請進(jìn)行審核后報主管領(lǐng)導(dǎo)審批，并按批準(zhǔn)的種類、數(shù)量集中采購；

（三）保密辦按存儲介質(zhì)種類和密級統(tǒng)一編號、登記、粘貼標(biāo)識后發(fā)放存儲介質(zhì)；

（四）各部門、單位由專人管理存儲介質(zhì)，建立臺帳，定期核查。第五十五條 使用和維護(hù)

（一）涉密存儲介質(zhì)應(yīng)根據(jù)所存儲信息的最高密級劃定密級，并在明顯位置粘貼密 10 級標(biāo)識，禁止使用無標(biāo)識的存儲介質(zhì)。涉密存儲介質(zhì)嚴(yán)禁在聯(lián)接互聯(lián)網(wǎng)的計算機(jī)和非涉密計算機(jī)上使用；

（二）在涉密信息系統(tǒng)內(nèi)使用的涉密存儲介質(zhì)采取綁定或有效的技術(shù)接入控制措施，使涉密存儲介質(zhì)只能在授權(quán)的涉密計算機(jī)上使用。未采用綁定技術(shù)的涉密計算機(jī)，須采取關(guān)閉和監(jiān)控數(shù)據(jù)端口（USB口）的物理防護(hù)措施進(jìn)行控制；

（三）嚴(yán)格控制其它存儲介質(zhì)的使用，對光盤、軟盤等移動存儲介質(zhì)應(yīng)采用關(guān)閉數(shù)據(jù)接口或禁止驅(qū)動設(shè)備使用等方式加以控制；

（四）禁止在低密級計算機(jī)上使用高密級存儲介質(zhì)，禁止在低密級存儲介質(zhì)上存儲高密級信息；

（五）高密級存儲介質(zhì)用于存儲低密級信息時，應(yīng)當(dāng)按照存儲介質(zhì)原標(biāo)識的高密級進(jìn)行管理；

（六）存放涉密存儲介質(zhì)的場所、部位和設(shè)備應(yīng)符合安全保密要求，集中統(tǒng)一管理；

（七）禁止外來的存儲介質(zhì)接入涉密信息系統(tǒng)，如需導(dǎo)入信息，應(yīng)采取安全準(zhǔn)入許可制度，經(jīng)部門、單位領(lǐng)導(dǎo)審批后，按信息交換及中間轉(zhuǎn)換機(jī)管理規(guī)定執(zhí)行；

（八）存儲過絕密級信息的介質(zhì)不能降低密級使用；

（九）嚴(yán)禁將個人具有存儲功能的存儲介質(zhì)和電子設(shè)備（mp3、mp4、優(yōu)盤、手機(jī)、掌上電腦等）帶入公司；嚴(yán)禁將涉密存儲介質(zhì)帶出工作場所，確需攜帶外出，經(jīng)本部門、單位領(lǐng)導(dǎo)審批且備案后方可出廠，隨身攜帶，嚴(yán)防被盜或丟失；

（十）經(jīng)保密辦批準(zhǔn)，允許與涉密信息系統(tǒng)相連的數(shù)碼設(shè)備（如相機(jī)、錄音筆）等，應(yīng)按涉密載體管理；

（十一）涉密存儲介質(zhì)的維修和維護(hù)由科技信息部統(tǒng)一負(fù)責(zé)，外送維修須經(jīng)主管領(lǐng)導(dǎo)審批同意，并送指定維修點維修；

（十二）發(fā)現(xiàn)存儲介質(zhì)丟失，應(yīng)立即報告本部門、單位和保密辦，并及時組織查處。

第五十六條 保管和銷毀

（一）涉密存儲介質(zhì)必須由本部門、單位集中統(tǒng)一保管并在有安全保障的保密柜中保存；

（二）對重要的存儲介質(zhì)，應(yīng)定期進(jìn)行循環(huán)復(fù)制備份；

（三）存儲介質(zhì)的報廢、銷毀，由應(yīng)編制銷毀清單，由本部門、單位主要領(lǐng)導(dǎo)簽字后，統(tǒng)一交保密辦鑒定并做消磁或粉碎處理。

第七章

信息交換及中間轉(zhuǎn)換機(jī)管理

第五十七條

涉密計算機(jī)和信息系統(tǒng)與其他計算機(jī)和信息系統(tǒng)的信息交換必須經(jīng)過中間轉(zhuǎn)換機(jī)。

中間轉(zhuǎn)換機(jī)是指與任何計算機(jī)和信息系統(tǒng)實現(xiàn)物理隔離、獨立運(yùn)行的專用計算機(jī)，專門用于涉密計算機(jī)和涉密信息系統(tǒng)與其它計算機(jī)和信息系統(tǒng)之間的信息交換。中間轉(zhuǎn)換機(jī)分為非涉密中間轉(zhuǎn)換機(jī)和涉密中間轉(zhuǎn)換機(jī)，中間轉(zhuǎn)換機(jī)上應(yīng)安裝符合國家保密要求的計算機(jī)病毒和惡意代碼防護(hù)產(chǎn)品。

非涉密中間轉(zhuǎn)換機(jī)用于從國際互聯(lián)網(wǎng)、公眾信息網(wǎng)絡(luò)和非涉密信息系統(tǒng)到涉密計算機(jī)和涉密信息系統(tǒng)進(jìn)行外部非涉密信息的載入，包括計算機(jī)病毒和惡意代碼樣本庫、補(bǔ)丁程序、應(yīng)用程序和其它相關(guān)信息等。

涉密中間轉(zhuǎn)換機(jī)用于從公司外部的涉密計算機(jī)和涉密信息系統(tǒng)（涉密移動存儲介質(zhì)）到公司內(nèi)部涉密計算機(jī)和涉密信息系統(tǒng)的信息交換。涉密中間轉(zhuǎn)換機(jī)的密級應(yīng)根據(jù)轉(zhuǎn)換信息的最高密級確定。

涉密網(wǎng)絡(luò)中間轉(zhuǎn)換機(jī)是指單位接入涉密信息系統(tǒng)的管理員專用于信息交換的涉密計算機(jī)。

專用涉密傳遞盤是指經(jīng)技術(shù)綁定后的公司各單位內(nèi)部及各部門、單位之間用于涉密 12 信息系統(tǒng)與涉密單機(jī)、涉密單機(jī)之間信息傳遞的優(yōu)盤。

第五十八條

中間轉(zhuǎn)換機(jī)的配置、使用與日常管理

（一）涉密信息系統(tǒng)使用部門、單位需配置涉密網(wǎng)絡(luò)中間轉(zhuǎn)換機(jī)、非涉密中間轉(zhuǎn)換機(jī)和專用涉密傳遞盤；

（二）黨政辦設(shè)置1臺涉密中間轉(zhuǎn)換機(jī)（全公司共用），用于公司外部涉密存儲介質(zhì)上載涉密信息到公司涉密信息系統(tǒng)（或涉密單機(jī)）；

（三）中間轉(zhuǎn)換機(jī)、專用涉密傳遞盤由各部門、單位中間轉(zhuǎn)換機(jī)管理員負(fù)責(zé)管理和使用；

（四）中間轉(zhuǎn)換機(jī)上應(yīng)用軟件由科技信息部統(tǒng)一安裝，各單位不得安裝、使用除統(tǒng)一安裝軟件以外的任何軟件；

（五）防病毒軟件升級工作由中間轉(zhuǎn)換機(jī)管理員負(fù)責(zé)完成，必須保證每周對中間轉(zhuǎn)換機(jī)防病毒軟件升級1次，升級包到科技信息部統(tǒng)一制作、拷貝，并做好升級記錄；

（六）中間轉(zhuǎn)換機(jī)應(yīng)專機(jī)專用，專人管理，不能用于其它工作。中間轉(zhuǎn)換機(jī)管理員做好工作記錄（包括信息名稱、密級、來源、用途、時間、人員等）。

第五十九條

從國際互聯(lián)網(wǎng)、公眾信息網(wǎng)和非涉密信息系統(tǒng)（含非涉密計算機(jī)）上載信息到涉密計算機(jī)和涉密信息系統(tǒng)操作步驟：

（一）填寫審批單，經(jīng)部門、單位領(lǐng)導(dǎo)批準(zhǔn)后方可進(jìn)行上載信息；

（二）將信息上載到非涉密中間機(jī)；

（三）拔除上載信息存儲介質(zhì)；

（四）在非涉密中間轉(zhuǎn)換機(jī)中對上載信息進(jìn)行計算機(jī)病毒、惡意代碼、間諜軟件、木馬程序的查殺；

（五）將上載信息刻錄到只讀光盤；

（六）將存有上載信息的光盤放入涉密計算機(jī)或涉密網(wǎng)絡(luò)中間轉(zhuǎn)換機(jī)中，上載到涉 13 密計算機(jī)和涉密信息系統(tǒng)中；

（七）記錄上載過程，光盤應(yīng)存檔備案，存儲介質(zhì)格式化處理。

第六十條

公司內(nèi)部單臺涉密計算機(jī)之間、單臺涉密計算機(jī)與涉密信息系統(tǒng)之間的信息交換，使用綁定措施的涉密存儲介質(zhì)進(jìn)行交換或刻錄到只讀光盤；記錄上載過程，光盤應(yīng)存檔備案。

第六十一條

從公司外部涉密存儲介上載涉密信息到涉密計算機(jī)和涉密信息系統(tǒng)操作步驟：

（一）填寫審批單，經(jīng)部門、單位領(lǐng)導(dǎo)批準(zhǔn)后方可進(jìn)行上載信息；

（二）將信息上載到涉密中間轉(zhuǎn)換機(jī)；

（三）拔除外部涉密存儲介質(zhì)；

（四）在涉密中間轉(zhuǎn)換機(jī)中對上載信息進(jìn)行計算機(jī)病毒、惡意代碼、間諜軟件、木馬程序的查殺；

（五）將需要上載的涉密信息刻錄到只讀光盤或拷貝到專用涉密傳遞盤；

（六）將存有上載信息的涉密光盤或介質(zhì)放入涉密計算機(jī)或涉密網(wǎng)絡(luò)中間轉(zhuǎn)換機(jī)中，上載到涉密計算機(jī)和涉密信息系統(tǒng)中；

（七）記錄上載過程，光盤應(yīng)存檔備案，專用涉密傳遞盤交還中間轉(zhuǎn)換機(jī)管理人員，并及時進(jìn)行信息清除或格式化處理。

第六十二條

涉密計算機(jī)和涉密信息系統(tǒng)中的非涉密信息對外交換一般應(yīng)當(dāng)采用打印輸出紙質(zhì)文件方式進(jìn)行，確需電子信息時在涉密計算機(jī)和涉密網(wǎng)絡(luò)中間機(jī)將上載信息刻錄到只讀光盤，并記錄上載過程，光盤存檔備案。

第八章

國際互聯(lián)網(wǎng)計算機(jī)管理

第六十三條 接入國際互聯(lián)網(wǎng)的計算機(jī)，開通前須由接入部門、單位提出申請，保 14 密辦審核，公司分管領(lǐng)導(dǎo)審批。開通、審批堅持“工作必須”的原則。

第六十四條 國際互聯(lián)網(wǎng)計算機(jī)實行專人負(fù)責(zé)、專機(jī)上網(wǎng)管理，嚴(yán)禁存儲、處理、傳遞涉密信息和內(nèi)部敏感信息。接入互聯(lián)網(wǎng)的計算機(jī)須建立使用登記制度。

第六十五條 上網(wǎng)信息實行“誰上網(wǎng)誰負(fù)責(zé)”的保密管理原則，信息上網(wǎng)必須經(jīng)過嚴(yán)格審查和批準(zhǔn)，堅決做到“涉密不上網(wǎng)，上網(wǎng)不涉密”。對上網(wǎng)信息進(jìn)行擴(kuò)充或更新，應(yīng)重新進(jìn)行保密審查。

第六十六條 任何部門、單位和個人不得在電子郵件、電子公告系統(tǒng)、聊天室、網(wǎng)絡(luò)新聞組、博客等上發(fā)布、談?wù)摗鬟f、轉(zhuǎn)發(fā)或抄送國家秘密信息。

第六十七條 從國際互聯(lián)網(wǎng)或其它公眾信息網(wǎng)下載程序和軟件工具等轉(zhuǎn)入涉密系統(tǒng)，經(jīng)科技信息部審批后，按照信息交換及中間轉(zhuǎn)換機(jī)管理規(guī)定執(zhí)行。

第九章

便攜式計算機(jī)管理

第六十八條

便攜式計算機(jī)（包括涉密便攜式計算機(jī)和非涉密便攜式計算機(jī)）實行“誰擁有，誰使用，誰負(fù)責(zé)”的保密管理原則，使用者須與公司簽定保密承諾書。

第六十九條 涉密便攜式計算機(jī)根據(jù)工作需要確定密級，粘貼密級標(biāo)識，按照涉密設(shè)備進(jìn)行管理，保密辦備案后方可使用。

第七十條

便攜式計算機(jī)應(yīng)具備防病毒、防非法外聯(lián)和身份認(rèn)證（設(shè)置開機(jī)密碼口令）等安全保密防護(hù)措施。

第七十一條

禁止使用涉密便攜式計算機(jī)上國際互聯(lián)網(wǎng)和非涉密網(wǎng)絡(luò)；嚴(yán)禁涉密便攜式計算機(jī)與涉密信息系統(tǒng)互聯(lián)。

第七十二條

涉密便攜式計算機(jī)不得處理絕密級信息。未經(jīng)保密辦審批，嚴(yán)禁在涉密便攜式計算機(jī)中存儲涉密信息。處理、存儲涉密信息應(yīng)在涉密移動存儲介質(zhì)上進(jìn)行，并與涉密便攜式計算機(jī)分離保管。

第七十三條

禁止使用私有便攜式計算機(jī)處理辦公信息；嚴(yán)禁非涉密便攜式計算機(jī)存儲、處理涉密信息；嚴(yán)禁將涉密存儲介質(zhì)接入非涉密便攜式計算機(jī)使用。

第七十四條 公司配備專供外出攜帶的涉密便攜式計算機(jī)和涉密存儲介質(zhì)，按照“集中管理、審批借用”的原則進(jìn)行管理，建立使用登記制度。外出攜帶的涉密便攜式計算機(jī)須經(jīng)保密辦檢查后方可帶出公司，返回時須進(jìn)行技術(shù)檢查。

第七十五條

因工作需要外單位攜帶便攜式計算機(jī)進(jìn)入公司辦公區(qū)域，需辦理保密審批手續(xù)。

第十章

應(yīng)急響應(yīng)管理

第七十六條 為有效預(yù)防和處置涉密信息系統(tǒng)安全突發(fā)事件，及時控制和消除涉密信息系統(tǒng)安全突發(fā)事件的危害和影響，保障涉密信息系統(tǒng)的安全穩(wěn)定運(yùn)行，科技信息部和財會部應(yīng)分別制定相應(yīng)應(yīng)急響應(yīng)預(yù)案，經(jīng)公司涉密信息系統(tǒng)安全保密領(lǐng)導(dǎo)小組審批后實施。

第七十七條 應(yīng)急響應(yīng)預(yù)案用于涉密信息系統(tǒng)安全突發(fā)事件。突發(fā)事件分為系統(tǒng)運(yùn)行安全事件和泄密事件，根據(jù)事件引發(fā)原因分為災(zāi)害類、故障類或攻擊類三種情況。

（一）災(zāi)害事件：根據(jù)實際情況，在保障人身安全前提下，保障數(shù)據(jù)安全和設(shè)備安全。

（二）故障或攻擊事件：判斷故障或攻擊的來源與性質(zhì)，關(guān)閉影響安全與穩(wěn)定的網(wǎng)絡(luò)設(shè)備和服務(wù)器設(shè)備，斷開信息系統(tǒng)與攻擊來源的網(wǎng)絡(luò)物理連接，跟蹤并鎖定攻擊來源的IP地址或其它網(wǎng)絡(luò)用戶信息，修復(fù)被破壞的信息，恢復(fù)信息系統(tǒng)。按照事件發(fā)生的性質(zhì)分別采用以下方案：

1、病毒傳播：及時尋找并斷開傳播源，判斷病毒的類型、性質(zhì)、可能的危害范圍。為避免產(chǎn)生更大的損失，保護(hù)計算機(jī)，必要時可關(guān)閉相應(yīng)的端口，尋找并公布病毒攻擊 16 信息，以及殺毒、防御方法；

2、外部入侵：判斷入侵的來源，評價入侵可能或已經(jīng)造成的危害。對入侵未遂、未造成損害的，且評價威脅很小的外部入侵，定位入侵的IP地址，及時關(guān)閉入侵的端口，限制入侵的IP地址的訪問。對于已經(jīng)造成危害的，應(yīng)立即采用斷開網(wǎng)絡(luò)連接的方法，避免造成更大損失和帶來的影響；

3、內(nèi)部入侵：查清入侵來源，如IP地址、所在區(qū)域、所處辦公室等信息，同時斷開對應(yīng)的交換機(jī)端口，針對入侵方法調(diào)整或更新入侵檢測設(shè)備。對于無法制止的多點入侵和造成損害的，應(yīng)及時關(guān)閉被入侵的服務(wù)器或相應(yīng)設(shè)備；

4、網(wǎng)絡(luò)故障：判斷故障發(fā)生點和故障原因，能夠迅速解決的盡快排除故障，并優(yōu)先保證主要應(yīng)用系統(tǒng)的運(yùn)轉(zhuǎn)；

5、其它未列出的不確定因素造成的事件，結(jié)合具體的情況，做出相應(yīng)的處理。不能處理的及時咨詢，上報公司信息安全領(lǐng)導(dǎo)小組。

第七十八條 按照信息安全突發(fā)事件的性質(zhì)、影響范圍和造成的損失，將涉密信息系統(tǒng)安全突發(fā)事件分為特別重大事件（I級）、重大事件（II級）、較大事件（III級）和一般事件（IV級）四個等級。

（一）一般事件由科技信息部（或財會部）依據(jù)應(yīng)急響應(yīng)預(yù)案進(jìn)行處置；

（二）較大事件由科技信息部（或財會部）、保密辦依據(jù)應(yīng)急響應(yīng)預(yù)案進(jìn)行處置，及時向公司信息安全領(lǐng)導(dǎo)小組報告并提請協(xié)調(diào)處置；

（三）重大事件啟動應(yīng)急響應(yīng)預(yù)案，對突發(fā)事件進(jìn)行處置，及時向公司黨政報告并提請協(xié)調(diào)處置；

（四）特別重大事件由公司報請中核集團(tuán)公司對信息安全突發(fā)事件進(jìn)行處置。第七十九條 發(fā)生突發(fā)事件（如涉密數(shù)據(jù)被竊取或信息系統(tǒng)癱瘓等）應(yīng)按如下應(yīng)急響應(yīng)的基本步驟、基本處理辦法和流程進(jìn)行處理：

（一）上報科技信息部和保密辦；

（二）關(guān)閉系統(tǒng)以防止造成數(shù)據(jù)損失；

（三）切斷網(wǎng)絡(luò)，隔離事件區(qū)域；

（四）查閱審計記錄尋找事件源頭；

（五）評估系統(tǒng)受損程度；

（六）對引起事件漏洞進(jìn)行整改；

（七）對系統(tǒng)重新進(jìn)行風(fēng)險評估；

（八）由保密辦根據(jù)風(fēng)險評估結(jié)果并書面確認(rèn)安全后，系統(tǒng)方能重新運(yùn)行；

（九）對事件類型、響應(yīng)、影響范圍、補(bǔ)救措施和最終結(jié)果進(jìn)行詳細(xì)的記錄；

（十）依照法規(guī)制度對責(zé)任人進(jìn)行處理。

第八十條 科技信息部、財會部應(yīng)會同保密辦每年組織一次應(yīng)急響應(yīng)預(yù)案演練，檢驗應(yīng)急響應(yīng)預(yù)案各環(huán)節(jié)之間的通信、協(xié)調(diào)、指揮等是否快速、高效，并對其效果進(jìn)行評估，以使用戶明確自己的角色和責(zé)任。應(yīng)急響應(yīng)相關(guān)知識、技術(shù)、技能應(yīng)納入信息安全保密培訓(xùn)內(nèi)容，并記錄備案。

第十一章

人員管理

第八十一條

各部門、單位每年應(yīng)組織開展不少于1次的全員信息安全保密知識技能教育與培訓(xùn)，并記錄備案。

第八十二條

涉密人員離崗、離職，應(yīng)及時調(diào)整或取消其訪問授權(quán)，并將其保管的涉密設(shè)備、存儲介質(zhì)全部清退并辦理移交手續(xù)。

第八十三條

承擔(dān)涉密信息系統(tǒng)日常管理工作的系統(tǒng)管理員、安全保密管理員、安全審計管理員應(yīng)按重要涉密人員管理。

第十二章

督查與獎懲

第八十四條 公司每年應(yīng)對涉密信息系統(tǒng)安全保密狀況、安全保密制度和措施的落實情況進(jìn)行一次自查，并接受國家和上級單位的指導(dǎo)和監(jiān)督。涉密信息系統(tǒng)每兩年接受一次上級部門開展的安全保密測評或保密檢查，檢查結(jié)果存檔備查。

第八十五條 檢查涉密計算機(jī)和信息系統(tǒng)的保密檢查工具和涉密信息系統(tǒng)所使用的安全保密、漏洞檢查（取證）軟件等，應(yīng)覆蓋保密檢查的項目，并通過國家保密局的檢測。安全保密檢查工具應(yīng)及時升級或更新，確保檢查時使用最新版本。

第八十六條 各部門、單位應(yīng)將員工遵守涉密計算機(jī)及信息系統(tǒng)安全保密管理制度的情況，納入保密自查、考核的重要內(nèi)容。對違反本規(guī)定造成失泄密的當(dāng)事人及有關(guān)責(zé)任人，按公司保密責(zé)任考核及獎懲規(guī)定執(zhí)行。

第十三章

附

則

第八十七條 本規(guī)定由保密辦負(fù)責(zé)解釋與修訂。

第八十八條 本規(guī)定自發(fā)布之日起實施。原《計算機(jī)磁（光）介質(zhì)保密管理規(guī)定）[制度編號：（廠1908號）]、《涉密計算機(jī)信息系統(tǒng)保密管理規(guī)定》［制度編號:（2006）廠1911號］、《涉密計算機(jī)采購、維修、變更、報廢保密管理規(guī)定》［制度編號:（2007）廠1925號］、《國際互聯(lián)網(wǎng)信息發(fā)布保密管理規(guī)定》［制度編號:（2007）廠1926號］、《涉密信息系統(tǒng)信息保密管理規(guī)定》［制度通告:（2008）0934號］、《涉密信息系統(tǒng)安全保密管理規(guī)定》［制度通告:（2008）0935號］同時廢止。

第三篇：計算機(jī)和信息系統(tǒng)安全保密管理規(guī)定

計算機(jī)和信息系統(tǒng)安全保密管理規(guī)定

第一章 總則

第一條 為加強(qiáng)公司計算機(jī)和信息系統(tǒng)（包括涉密信息系統(tǒng)和非涉密信息系統(tǒng)）

安全保密管理，確保國家秘密及商業(yè)秘密的安全，根據(jù)國家有關(guān)保密法規(guī)標(biāo)準(zhǔn)和中核集團(tuán)公司有關(guān)規(guī)定，制定本規(guī)定。

第二條 本規(guī)定所稱涉密信息系統(tǒng)是指由計算機(jī)及其相關(guān)的配套設(shè)備、設(shè)施構(gòu)成的，按照一定的應(yīng)用目標(biāo)和規(guī)定存儲、處理、傳輸涉密信息的系統(tǒng)或網(wǎng)絡(luò)，包括機(jī)房、網(wǎng)絡(luò)設(shè)備、軟件、網(wǎng)絡(luò)線路、用戶終端等內(nèi)容。

第三條 涉密信息系統(tǒng)的建設(shè)和應(yīng)用要本著“預(yù)防為主、分級負(fù)責(zé)、科學(xué)管理、保障安全”的方針，堅持“誰主管、誰負(fù)責(zé)，誰使用、誰負(fù)責(zé)”和“控制源頭、歸口管理、加強(qiáng)檢查、落實制度”的原則，確保涉密信息系統(tǒng)和國家秘密信息安全。

第四條 涉密信息系統(tǒng)安全保密防護(hù)必須嚴(yán)格按照國家保密標(biāo)準(zhǔn)、規(guī)定和集團(tuán)公司文件要求進(jìn)行設(shè)計、實施、測評審查與審批和驗收；未通過國家審批的涉密信息系統(tǒng)，不得投入使用。

第五條 本規(guī)定適用于公司所有計算機(jī)和信息系統(tǒng)安全保密管理工作。第二章 管理機(jī)構(gòu)與職責(zé)

第六條 公司法人代表是涉密信息系統(tǒng)安全保密第一責(zé)任人，確保涉密信息系統(tǒng)安全保密措施的落實，提供人力、物力、財力等條件保障，督促檢查領(lǐng)導(dǎo)責(zé)任制落實。第七條 公司保密委員會是涉密信息系統(tǒng)安全保密管理決策機(jī)構(gòu)，其主要職責(zé)：

（一）建立健全安全保密管理制度和防范措施，并監(jiān)督檢查落實情況；

（二）協(xié)調(diào)處理有關(guān)涉密信息系統(tǒng)安全保密管理的重大問題，對重大失泄密事件進(jìn)行查處。

第八條 成立公司涉密信息系統(tǒng)安全保密領(lǐng)導(dǎo)小組，保密辦、科技信息部（信息化）、黨政辦公室（密碼）、財會部、人力資源部、武裝保衛(wèi)部和相關(guān)業(yè)務(wù)部門、單位為成員單位，在公司黨政和保密委員會領(lǐng)導(dǎo)下，組織協(xié)調(diào)公司涉密信息系統(tǒng)安全保密管理工作。

第九條 保密辦主要職責(zé)：

（一）擬定涉密信息系統(tǒng)安全保密管理制度，并組織落實各項保密防范措施；

（二）對系統(tǒng)用戶和安全保密管理人員進(jìn)行資格審查和安全保密教育培訓(xùn)，審查涉密信息系統(tǒng)用戶的職責(zé)和權(quán)限，并備案；

（三）組織對涉密信息系統(tǒng)進(jìn)行安全保密監(jiān)督檢查和風(fēng)險評估，提出涉密信息系統(tǒng)安全運(yùn)行的保密要求；

（四）會同科技信息部對涉密信息系統(tǒng)中介質(zhì)、設(shè)備、設(shè)施的授權(quán)使用的審查，建立涉密信息系統(tǒng)安全評估制度，每年對涉密信息系統(tǒng)安全措施進(jìn)行一次評審；

（五）對涉密信息系統(tǒng)設(shè)計、施工和集成單位進(jìn)行資質(zhì)審查，對進(jìn)入涉密信息系統(tǒng)的安全保密產(chǎn)品進(jìn)行準(zhǔn)入審查和規(guī)范管理，對涉密信息系統(tǒng)進(jìn)行安全保密性能檢測；

（六）對涉密信息系統(tǒng)中各應(yīng)用系統(tǒng)進(jìn)行定密、變更密級和解密工作進(jìn)行審核；

（七）組織查處涉密信息系統(tǒng)失泄密事件。第十條

科技信息部、財會部主要職責(zé)是：

（一）組織、實施涉密信息系統(tǒng)的規(guī)劃、設(shè)計、建設(shè)，制定安全保密防護(hù)方案；

（二）落實涉密信息系統(tǒng)安全保密策略、運(yùn)行安全控制、安全驗證等安全技術(shù)措施；每半年對涉密信息系統(tǒng)進(jìn)行風(fēng)險評估，提出整改措施，經(jīng)涉密信息系統(tǒng)安全保密領(lǐng)導(dǎo)小組批準(zhǔn)后組織實施，確保安全技術(shù)措施有效、可靠；

（三）落實涉密信息系統(tǒng)中各應(yīng)用系統(tǒng)進(jìn)行用戶權(quán)限設(shè)置及介質(zhì)、設(shè)備、設(shè)施的授權(quán)使用、保管以及維護(hù)等安全保密管理措施；

（四）配備涉密信息系統(tǒng)管理員、安全保密管理員和安全審計員，并制定相應(yīng)的職責(zé)； “三員”角色不得兼任，權(quán)限設(shè)置相互獨立、相互制約；“三員”應(yīng)通過安全保密培訓(xùn)持證上崗；

（五）落實計算機(jī)機(jī)房、配線間等重要部位的安全保密防范措施及網(wǎng)絡(luò)的安全管理，負(fù)責(zé)日常業(yè)務(wù)數(shù)據(jù)及其他重要數(shù)據(jù)的備份管理；

（六）配合保密辦對涉密信息系統(tǒng)進(jìn)行安全檢查，對存在的隱患進(jìn)行及時整改；

（七）制定應(yīng)急預(yù)案并組織演練，落實應(yīng)急措施，處理信息安全突發(fā)事件。第十一條 黨政辦公室主要職責(zé)：

按照國家密碼管理的相關(guān)要求，落實涉密信息系統(tǒng)中普密設(shè)備的管理措施。

第十二條 相關(guān)業(yè)務(wù)部門、單位主要職責(zé)：涉密信息系統(tǒng)的使用部門、單位要嚴(yán)格遵守保密管理規(guī)定，教育員工提高安全保密意識，落實涉密信息系統(tǒng)各項安全防范措施；準(zhǔn)確確定應(yīng)用系統(tǒng)密級，制定并落實相應(yīng)的二級保密管理制度。

第十三條 涉密信息系統(tǒng)配備系統(tǒng)管理員、安全保密管理員、安全審計員，其職責(zé)是：

（一）系統(tǒng)管理員負(fù)責(zé)系統(tǒng)中軟硬件設(shè)備的運(yùn)行、管理與維護(hù)工作，確保信息系統(tǒng)的安全、穩(wěn)定、連續(xù)運(yùn)行。系統(tǒng)管理員包括網(wǎng)絡(luò)管理員、數(shù)據(jù)庫管理員、應(yīng)用系統(tǒng)管理員。

（二）安全保密管理員負(fù)責(zé)安全技術(shù)設(shè)備、策略實施和管理工作，包括用戶帳號管理以及安全保密設(shè)備和系統(tǒng)所產(chǎn)生日志的審查分析。

（三）安全審計員負(fù)責(zé)安全審計設(shè)備安裝調(diào)試，對各種系統(tǒng)操作行為進(jìn)行安全審計跟蹤分析和監(jiān)督檢查，以及時發(fā)現(xiàn)違規(guī)行為，并每月向涉密信息系統(tǒng)安全保密領(lǐng)導(dǎo)小組辦公室匯報一次情況。第三章 系統(tǒng)建設(shè)管理

第十四條 規(guī)劃和建設(shè)涉密信息系統(tǒng)時，按照涉密信息系統(tǒng)分級保護(hù)標(biāo)準(zhǔn)的規(guī)定，同步規(guī)劃和落實安全保密措施，系統(tǒng)建設(shè)與安全保密措施同計劃、同預(yù)算、同建設(shè)、同驗收。

第十五條 涉密信息系統(tǒng)規(guī)劃和建設(shè)的安全保密方案，應(yīng)由具有“涉及國家秘密的計算機(jī)信息系統(tǒng)集成資質(zhì)”的機(jī)構(gòu)編制或自行編制，安全保密方案必須經(jīng)上級保密主管部門審批后方可實施。

第十六條 涉密信息系統(tǒng)規(guī)劃和建設(shè)實施時，應(yīng)由具有“涉及國家秘密的計算機(jī)信息系統(tǒng)集成資質(zhì)”的機(jī)構(gòu)實施或自行實施，并與實施方簽署保密協(xié)議，項目竣工后必須由保密辦和科技信息部共同組織驗收。

第十七條 對涉密信息系統(tǒng)要采取與密級相適應(yīng)的保密措施，配備通過國家保密主管部門指定的測評機(jī)構(gòu)檢測的安全保密產(chǎn)品。涉密信息系統(tǒng)使用的軟件產(chǎn)品必須是正版軟件。

第四章 信息管理

第一節(jié) 信息分類與控制

第十八條 涉密信息系統(tǒng)的密級，按系統(tǒng)中所處理信息的最高密級設(shè)定，嚴(yán)禁處理高于涉密信息系統(tǒng)密級的涉密信息。

第十九條 涉密信息系統(tǒng)中產(chǎn)生、存儲、處理、傳輸、歸檔和輸出的文件、數(shù)據(jù)、圖紙等信息及其存儲介質(zhì)應(yīng)按要求及時定密、標(biāo)密，并按涉密文件進(jìn)行管理。電子文件密級標(biāo)識應(yīng)與信息主體不可分離，密級標(biāo)識不得篡改。涉密信息系統(tǒng)中的涉密信息總量每半年進(jìn)行一次分類統(tǒng)計、匯總，并在保密辦備案。第二十條 涉密信息系統(tǒng)應(yīng)建立安全保密策略，并采取有效措施，防止涉密信息被非授權(quán)訪問、篡改，刪除和丟失；防止高密級信息流向低密級計算機(jī)。涉密信息遠(yuǎn)程傳輸必須采取密碼保護(hù)措施。

第二十一條 向涉密信息系統(tǒng)以外的單位傳遞涉密信息，一般只提供紙質(zhì)文件，確需提供涉密電子文檔的，按信息交換及中間轉(zhuǎn)換機(jī)管理規(guī)定執(zhí)行。

第二十二條 清除涉密計算機(jī)、服務(wù)器等網(wǎng)絡(luò)設(shè)備、存儲介質(zhì)中的涉密信息時，必須使用符合保密標(biāo)準(zhǔn)、要求的工具或軟件。第二節(jié) 用戶管理與授權(quán)

第二十三條 根據(jù)本部門、單位使用涉密信息系統(tǒng)的密級和實際工作需要，確定人員知悉范圍，以此作為用戶授權(quán)的依據(jù)。第二十四條 用戶清單管理

（一）科技信息部管理“研究試驗堆燃料元件數(shù)字化信息系統(tǒng)”和“中核集團(tuán)涉密廣域網(wǎng)”用戶清單；財會部管理“財務(wù)會計核算網(wǎng)”用戶清單；

（二）新增用戶時，由用戶本人提出書面申請，經(jīng)本部門、單位審核，科技信息部、保密辦審批后，由科技信息部備案并統(tǒng)一建立用戶；“財務(wù)會計核算網(wǎng)”的用戶由財會部統(tǒng)一建立；

（三）刪除用戶時，由用戶本人所在部門、單位書面通知科技信息部，核準(zhǔn)后由安全保密管理員即時將用戶在涉密信息系統(tǒng)內(nèi)的所有帳號、權(quán)限廢止；“財務(wù)會計核算網(wǎng)”密辦審核，公司分管領(lǐng)導(dǎo)審批。開通、審批堅持“工作必須”的原則。

第六十四條 國際互聯(lián)網(wǎng)計算機(jī)實行專人負(fù)責(zé)、專機(jī)上網(wǎng)管理，嚴(yán)禁存儲、處理、傳遞涉密信息和內(nèi)部敏感信息。接入互聯(lián)網(wǎng)的計算機(jī)須建立使用登記制度。

第六十五條 上網(wǎng)信息實行“誰上網(wǎng)誰負(fù)責(zé)”的保密管理原則，信息上網(wǎng)必須經(jīng)過嚴(yán)格審查和批準(zhǔn)，堅決做到“涉密不上網(wǎng)，上網(wǎng)不涉密”。對上網(wǎng)信息進(jìn)行擴(kuò)充或更新，應(yīng)重新進(jìn)行保密審查。

第六十六條 任何部門、單位和個人不得在電子郵件、電子公告系統(tǒng)、聊天室、網(wǎng)絡(luò)新聞組、博客等上發(fā)布、談?wù)?、傳遞、轉(zhuǎn)發(fā)或抄送國家秘密信息。

第六十七條 從國際互聯(lián)網(wǎng)或其它公眾信息網(wǎng)下載程序和軟件工具等轉(zhuǎn)入涉密系統(tǒng)，經(jīng)科技信息部審批后，按照信息交換及中間轉(zhuǎn)換機(jī)管理規(guī)定執(zhí)行。第九章 便攜式計算機(jī)管理 第六十八條 便攜式計算機(jī)（包括涉密便攜式計算機(jī)和非涉密便攜式計算機(jī)）實行 “誰擁有，誰使用，誰負(fù)責(zé)”的保密管理原則，使用者須與公司簽定保密承諾書。

第六十九條 涉密便攜式計算機(jī)根據(jù)工作需要確定密級，粘貼密級標(biāo)識，按照涉密設(shè)備進(jìn)行管理，保密辦備案后方可使用。

第七十條 便攜式計算機(jī)應(yīng)具備防病毒、防非法外聯(lián)和身份認(rèn)證（設(shè)置開機(jī)密碼口令）等安全保密防護(hù)措施。

第七十一條 禁止使用涉密便攜式計算機(jī)上國際互聯(lián)網(wǎng)和非涉密網(wǎng)絡(luò)；嚴(yán)禁涉密便攜式計算機(jī)與涉密信息系統(tǒng)互聯(lián)。

第七十二條 涉密便攜式計算機(jī)不得處理絕密級信息。未經(jīng)保密辦審批，嚴(yán)禁在涉密便攜式計算機(jī)中存儲涉密信息。處理、存儲涉密信息應(yīng)在涉密移動存儲介質(zhì)上進(jìn)行，并與涉密便攜式計算機(jī)分離保管。

第七十三條 禁止使用私有便攜式計算機(jī)處理辦公信息；嚴(yán)禁非涉密便攜式計算機(jī)存儲、處理涉密信息；嚴(yán)禁將涉密存儲介質(zhì)接入非涉密便攜式計算機(jī)使用。

第七十四條 公司配備專供外出攜帶的涉密便攜式計算機(jī)和涉密存儲介質(zhì)，按照 “集中管理、審批借用”的原則進(jìn)行管理，建立使用登記制度。外出攜帶的涉密便攜式計算機(jī)須經(jīng)保密辦檢查后方可帶出公司，返回時須進(jìn)行技術(shù)檢查。第七十五條 因工作需要外單位攜帶便攜式計算機(jī)進(jìn)入公司辦公區(qū)域，需辦理保密審批手續(xù)。

第十章 應(yīng)急響應(yīng)管理

第七十六條

為有效預(yù)防和處置涉密信息系統(tǒng)安全突發(fā)事件，及時控制和消除涉密信息系統(tǒng)安全突發(fā)事件的危害和影響，保障涉密信息系統(tǒng)的安全穩(wěn)定運(yùn)行，科技信息部和財會部應(yīng)分別制定相應(yīng)應(yīng)急響應(yīng)預(yù)案，經(jīng)公司涉密信息系統(tǒng)安全保密領(lǐng)導(dǎo)小組審批后實施。

第七十七條 應(yīng)急響應(yīng)預(yù)案用于涉密信息系統(tǒng)安全突發(fā)事件。突發(fā)事件分為系統(tǒng)運(yùn)行安全事件和泄密事件，根據(jù)事件引發(fā)原因分為災(zāi)害類、故障類或攻擊類三種情況。

（一）災(zāi)害事件：根據(jù)實際情況，在保障人身安全前提下，保障數(shù)據(jù)安全和設(shè)備安

（二）故障或攻擊事件：判斷故障或攻擊的來源與性質(zhì)，關(guān)閉影響安全與穩(wěn)定的網(wǎng)絡(luò)設(shè)備和服務(wù)器設(shè)備，斷開信息系統(tǒng)與攻擊來源的網(wǎng)絡(luò)物理連接，跟蹤并鎖定攻擊來源的IP地址或其它網(wǎng)絡(luò)用戶信息，修復(fù)被破壞的信息，恢復(fù)信息系統(tǒng)。按照事件發(fā)生的性質(zhì)分別采用以下方案：

1、病毒傳播：及時尋找并斷開傳播源，判斷病毒的類型、性質(zhì)、可能的危害范圍。為避免產(chǎn)生更大的損失，保護(hù)計算機(jī)，必要時可關(guān)閉相應(yīng)的端口，尋找并公布病毒攻擊信息，以及殺毒、防御方法；

2、外部入侵：判斷入侵的來源，評價入侵可能或已經(jīng)造成的危害。對入侵未遂、未造成損害的，且評價威脅很小的外部入侵，定位入侵的IP地址，及時關(guān)閉入侵的端口，限制入侵的IP地址的訪問。對于已經(jīng)造成危害的，應(yīng)立即采用斷開網(wǎng)絡(luò)連接的方法，避免造成更大損失和帶來的影響；

3、內(nèi)部入侵：查清入侵來源，如IP地址、所在區(qū)域、所處辦公室等信息，同時斷開對應(yīng)的交換機(jī)端口，針對入侵方法調(diào)整或更新入侵檢測設(shè)備。對于無法制止的多點入侵和造成損害的，應(yīng)及時關(guān)閉被入侵的服務(wù)器或相應(yīng)設(shè)備；

4、網(wǎng)絡(luò)故障：判斷故障發(fā)生點和故障原因，能夠迅速解決的盡快排除故障，并優(yōu)先保證主要應(yīng)用系統(tǒng)的運(yùn)轉(zhuǎn)；

5、其它未列出的不確定因素造成的事件，結(jié)合具體的情況，做出相應(yīng)的處理。不能處理的及時咨詢，上報公司信息安全領(lǐng)導(dǎo)小組。

第七十八條 按照信息安全突發(fā)事件的性質(zhì)、影響范圍和造成的損失，將涉密信息系統(tǒng)安全突發(fā)事件分為特別重大事件（I級）、重大事件（II級）、較大事件（III級）和一般事件（IV級）四個等級。

（一）一般事件由科技信息部（或財會部）依據(jù)應(yīng)急響應(yīng)預(yù)案進(jìn)行處置；

（二）較大事件由科技信息部（或財會部）、保密辦依據(jù)應(yīng)急響應(yīng)預(yù)案進(jìn)行處置，及時向公司信息安全領(lǐng)導(dǎo)小組報告并提請協(xié)調(diào)處置；

（三）重大事件啟動應(yīng)急響應(yīng)預(yù)案，對突發(fā)事件進(jìn)行處置，及時向公司黨政報告并提請協(xié)調(diào)處置；

（四）特別重大事件由公司報請中核集團(tuán)公司對信息安全突發(fā)事件進(jìn)行處置。

第七十九條 發(fā)生突發(fā)事件（如涉密數(shù)據(jù)被竊取或信息系統(tǒng)癱瘓等）應(yīng)按如下應(yīng)急響應(yīng)的基本步驟、基本處理辦法和流程進(jìn)行處理：

（一）上報科技信息部和保密辦；

（二）關(guān)閉系統(tǒng)以防止造成數(shù)據(jù)損失；

（三）切斷網(wǎng)絡(luò)，隔離事件區(qū)域；

（四）查閱審計記錄尋找事件源頭；

（五）評估系統(tǒng)受損程度；

（六）對引起事件漏洞進(jìn)行整改；

（七）對系統(tǒng)重新進(jìn)行風(fēng)險評估；

（八）由保密辦根據(jù)風(fēng)險評估結(jié)果并書面確認(rèn)安全后，系統(tǒng)方能重新運(yùn)行；

（九）對事件類型、響應(yīng)、影響范圍、補(bǔ)救措施和最終結(jié)果進(jìn)行詳細(xì)的記錄；

（十）依照法規(guī)制度對責(zé)任人進(jìn)行處理。

第八十條

科技信息部、財會部應(yīng)會同保密辦每年組織一次應(yīng)急響應(yīng)預(yù)案演練，檢驗應(yīng)急響應(yīng)預(yù)案各環(huán)節(jié)之間的通信、協(xié)調(diào)、指揮等是否快速、高效，并對其效果進(jìn)行評估，以使用戶明確自己的角色和責(zé)任。應(yīng)急響應(yīng)相關(guān)知識、技術(shù)、技能應(yīng)納入信息安全保密培訓(xùn)內(nèi)容，并記錄備案。第十一章 人員管理

第八十一條 各部門、單位每年應(yīng)組織開展不少于1次的全員信息安全保密知識技能教育與培訓(xùn)，并記錄備案。第八十二條

涉密人員離崗、離職，應(yīng)及時調(diào)整或取消其訪問授權(quán)，并將其保管的涉密設(shè)備、存儲介質(zhì)全部清退并辦理移交手續(xù)。

第八十三條 承擔(dān)涉密信息系統(tǒng)日常管理工作的系統(tǒng)管理員、安全保密管理員、安全審計管理員應(yīng)按重要涉密人員管理。第十二章 督查與獎懲

第八十四條 公司每年應(yīng)對涉密信息系統(tǒng)安全保密狀況、安全保密制度和措施的落實情況進(jìn)行一次自查，并接受國家和上級單位的指導(dǎo)和監(jiān)督。涉密信息系統(tǒng)每兩年接受一次上級部門開展的安全保密測評或保密檢查，檢查結(jié)果存檔備查。

第八十五條 檢查涉密計算機(jī)和信息系統(tǒng)的保密檢查工具和涉密信息系統(tǒng)所使用的安全保密、漏洞檢查（取證）軟件等，應(yīng)覆蓋保密檢查的項目，并通過國家保密局的檢測。安全保密檢查工具應(yīng)及時升級或更新，確保檢查時使用最新版本。

第八十六條 各部門、單位應(yīng)將員工遵守涉密計算機(jī)及信息系統(tǒng)安全保密管理制度的情況，納入保密自查、考核的重要內(nèi)容。對違反本規(guī)定造成失泄密的當(dāng)事人及有關(guān)責(zé)任人，按公司保密責(zé)任考核及獎懲規(guī)定執(zhí)行。第十三章 附 則

第八十七條 本規(guī)定由保密辦負(fù)責(zé)解釋與修訂。

第八十八條 本規(guī)定自發(fā)布之日起實施。原《計算機(jī)磁（光）介質(zhì)保密管理規(guī)定）[制度編號：（廠1908號）]、《涉密計算機(jī)信息系統(tǒng)保密管理規(guī)定》［制度編號:（2006）廠1911號］、《涉密計算機(jī)采購、維修、變更、報廢保密管理規(guī)定》［制度編號:（2007）廠1925號］、《國際互聯(lián)網(wǎng)信息發(fā)布保密管理規(guī)定》［制度編號:（2007）廠1926號］、《涉密信息系統(tǒng)信息保密管理規(guī)定》［制度通告:（2008）0934號］、《涉密信息系統(tǒng)安全保密管理規(guī)定》［制度通告:（2008）0935號］同時廢止。

關(guān)于公司計算機(jī)信息系統(tǒng)安全和保密管理工作的規(guī)定 各部門：

為了認(rèn)真貫徹落實ＸＸ保密委《關(guān)于傳發(fā)<全市ＸＸ組織開展互聯(lián)網(wǎng)涉密及敏感信息檢查清除活動實施方案>的通知》精神和要求，進(jìn)一步加強(qiáng)公司各部門網(wǎng)絡(luò)及計算機(jī)信息安全的保密管理，防止網(wǎng)上泄密事件發(fā)生，確保公司網(wǎng)絡(luò)及計算機(jī)工作安全可靠，結(jié)合公司實際情況，現(xiàn)就進(jìn)一步加強(qiáng)計算機(jī)信息系統(tǒng)安全和保密管理工作有關(guān)事宜規(guī)定如下：

一、計算機(jī)操作人員必須遵守國家有關(guān)法律，任何人不得利用計算機(jī)從事違法活動。

二、按照“誰主管、誰負(fù)責(zé)”和“誰使用、誰負(fù)責(zé)”的原則，開展自查。

1.明確內(nèi)網(wǎng)使用人責(zé)任，簽訂《職工信息安全保密責(zé)任書》，認(rèn)真落實各項安全保密管理規(guī)章制度，積極參加各類安全保密學(xué)習(xí)和活動，知道“一機(jī)兩用”違規(guī)行為的類型，不違反相關(guān)的制度規(guī)定。

2.嚴(yán)禁在互聯(lián)網(wǎng)上發(fā)布公司涉密文件、資料、信息、數(shù)據(jù)。未經(jīng)主管領(lǐng)導(dǎo)批準(zhǔn)，不得向外提供公司信息和資料，堅持做到“誰上網(wǎng)、誰負(fù)責(zé)”，“上網(wǎng)不涉密、涉密不上網(wǎng)”。

三、嚴(yán)禁公司內(nèi)網(wǎng)計算機(jī)終端上操作事項。2 / 3 1.內(nèi)網(wǎng)計算機(jī)終端上違規(guī)處理、存儲的國家秘密信息； 2.內(nèi)網(wǎng)移動存儲介質(zhì)中違規(guī)存儲的國家秘密信息； 3.內(nèi)網(wǎng)服務(wù)器上違規(guī)處理、存儲的國家秘密信息； 4.內(nèi)網(wǎng)網(wǎng)站上違規(guī)發(fā)布的國家秘密信息。

四、嚴(yán)禁公司互聯(lián)網(wǎng)網(wǎng)計算機(jī)終端上操作事項。

1.互聯(lián)網(wǎng)計算機(jī)終端上違規(guī)處理、存儲的國家秘密和警務(wù)工作秘密信息；

2.互聯(lián)網(wǎng)移動存儲介質(zhì)中違規(guī)存儲的國家秘密和警務(wù)工作秘密信息；

3.互聯(lián)網(wǎng)服務(wù)器上違規(guī)處理、存儲的國家秘密和警務(wù)工作秘密信息；

4.互聯(lián)網(wǎng)上開設(shè)的網(wǎng)站中違規(guī)發(fā)布的國家秘密和警務(wù)工作秘密信息；

5.互聯(lián)網(wǎng)社會網(wǎng)站上開通的微博、電子郵箱等信息發(fā)布和傳輸平臺中違規(guī)發(fā)布、存儲的國家秘密和警務(wù)工作秘密信息。

五、專用于存儲公司財務(wù)、工程設(shè)計方案、安保方案應(yīng)急預(yù)案等資料和內(nèi)部文件的計算機(jī)要由專人使用，并設(shè)置密碼，禁止網(wǎng)絡(luò)上的其它計算機(jī)訪問，禁止訪問互聯(lián)網(wǎng)及其它外部網(wǎng)絡(luò)系統(tǒng)。

六、做好計算機(jī)網(wǎng)絡(luò)病毒防治工作。每臺計算機(jī)要由專人負(fù)責(zé)，定期升級計算機(jī)殺毒軟件，進(jìn)行查殺病毒，在使用3 / 3軟盤、U盤和移動硬盤等存儲、拷貝文件之前，要先查殺病毒。嚴(yán)禁在計算機(jī)有毒未殺的情況下發(fā)電子郵件和拷貝文件到公司的其它計算機(jī)上。

七、嚴(yán)格按照操作程序使用計算機(jī)，認(rèn)真做好計算機(jī)防盜工作。公司員工要愛護(hù)計算機(jī)。下班及節(jié)假日，務(wù)必將電源開關(guān)關(guān)閉，徹底切斷計算機(jī)電源，關(guān)好門窗，做好防火、防盜工作。

八、嚴(yán)格工作紀(jì)律。禁止瀏覽和下載不健康的網(wǎng)上信息，禁止從網(wǎng)上下載與工作無關(guān)的軟件。二〇一二年五月三日

計算機(jī)網(wǎng)絡(luò)及信息資源安全保密管理制度 第一節(jié)總則

第一條為保護(hù)公司計算機(jī)信息資源的安全，并規(guī)范公司計算機(jī)及網(wǎng)絡(luò) 硬件的采購、安裝（建設(shè)）、維護(hù)、管理等環(huán)節(jié)的管理要求，根據(jù)《中華人民共和國保守國家秘密法》，《中華人民共和國計算機(jī)信息網(wǎng)絡(luò)國際互聯(lián)網(wǎng)管理暫行規(guī)定》和《中國公用計算機(jī)互聯(lián)網(wǎng)國際聯(lián)網(wǎng)管理辦法》，特制定本規(guī)定。第二條 本規(guī)定適用于公司內(nèi)部所有單位所使用的計算機(jī)系統(tǒng)。第二節(jié)計算機(jī)的涉密管理規(guī)定

第三條 公司內(nèi)部計算機(jī)信息系統(tǒng)的安全保密工作由信息技術(shù)部負(fù)責(zé)具體實施。公司各下屬單位、部門主要領(lǐng)導(dǎo)主管本單位、本部門的計算機(jī)信息系統(tǒng)的安全保密工作。第四條存放過秘密信息的計算機(jī)及相應(yīng)介質(zhì)未在徹底格式化前不能降低密級使用。第五條存儲有秘密信息的計算機(jī)及相應(yīng)存儲裝置在維修時，應(yīng)采取措施保 證所存儲的秘密信息不被泄露。

第六條企業(yè)內(nèi)部規(guī)劃和建設(shè)任何計算機(jī)信息系統(tǒng)，應(yīng)當(dāng)同步規(guī)劃落實相應(yīng) 的信息資源安全保密措施。

第七條對涉及企業(yè)經(jīng)營、管理、技術(shù)和人事秘密的數(shù)據(jù)庫以及計算機(jī)應(yīng)用系統(tǒng)，必須采取技術(shù)安全保密措施，并且不得與外部連通。第三節(jié)計算機(jī)及網(wǎng)絡(luò)硬件管理

第八條所有計算機(jī)及網(wǎng)絡(luò)硬件的采購和建設(shè)實施，須在總體規(guī)劃目標(biāo)指導(dǎo)下進(jìn)行。第九條進(jìn)入總體規(guī)劃的計算機(jī)及網(wǎng)絡(luò)硬件在采購和建設(shè)實施時，需提前預(yù)算。作為預(yù)算的申請依據(jù)，信息技術(shù)部每年第四季度在公司開始下一的預(yù)算工作前，發(fā)布次年各類主要計算機(jī)設(shè)備的采購計劃價。

第十條總部部門或事業(yè)部在申請預(yù)算（或追加預(yù)算）時若涉及計算機(jī)購買計劃，須提交《計算機(jī)設(shè)備預(yù)算追加及采購審批表》，并履行相應(yīng)的審核手續(xù)。

第十一條信息技術(shù)部負(fù)責(zé)編制公司網(wǎng)絡(luò)中心及主干網(wǎng)絡(luò)硬件采購計劃和預(yù)算，報公司批準(zhǔn)后執(zhí)行?？偛扛鞑块T獲批準(zhǔn)的計算機(jī)預(yù)算，由信息技術(shù)部監(jiān)管使用。

第十二條各事業(yè)部每年底將下的計算機(jī)及網(wǎng)絡(luò)硬件采購計劃和預(yù)算報信息技術(shù)部審核。信息技術(shù)部有權(quán)糾正事業(yè)部硬件采購計劃或硬件預(yù)算中不合理的需求。第十三條每預(yù)算定稿之后，運(yùn)營管理部負(fù)責(zé)將總部部門及各事業(yè)部獲準(zhǔn)采購計算機(jī)的數(shù)字通報信息技術(shù)部，信息技術(shù)部負(fù)責(zé)監(jiān)管各單位的采購行為。

第十四條信息技術(shù)部在每季度的第一周發(fā)布本季度的計算機(jī)硬件采購選型指導(dǎo)，供全公司統(tǒng)一執(zhí)行。

第十五條對公司總部及各事業(yè)部需求量較大的計算機(jī)設(shè)備，信息技術(shù)部會同運(yùn)營管理部通過招標(biāo)談判在計算機(jī)供貨商中選定戰(zhàn)略合作伙伴，使公司總部及各事業(yè)部能夠以統(tǒng)一的優(yōu)惠價格采購到所需的計算機(jī)產(chǎn)品。

第十六條公司總部的硬件采購工作，委托裝載機(jī)事業(yè)部代為實施。裝載機(jī)事業(yè)部接受委托時須對申請部門提交的《計算機(jī)設(shè)備預(yù)算追加及采購審批表》確認(rèn)后,方可采購。第十七條各事業(yè)部計算機(jī)維修配件的采購，由各事業(yè)部根據(jù)不同計算機(jī)的具體情況相應(yīng)處理。

第十八條在硬件采購合同執(zhí)行的過程中，如遇到特殊情況需要更改采購技術(shù)型號的，必須經(jīng)過信息技術(shù)部復(fù)審?fù)狻?/p>

第十九條公司總部的計算機(jī)，由信息技術(shù)部負(fù)責(zé)硬件安裝、維修、服務(wù)和管理。各事業(yè)部的計算機(jī)，由事業(yè)部備案的硬件崗位人員負(fù)責(zé)軟硬件安裝、維修、服務(wù)和管理。第二十條公司總部各部門和各事業(yè)部每年底要將本單位的計算機(jī)設(shè)備狀況、配置變動、責(zé)任人變動等情況填表報信息技術(shù)部。

第二十一條崗位上的計算機(jī)超過使用年限之后，如果因為主要部件的故障頻率高并無法修復(fù)的，經(jīng)過所在資產(chǎn)管理實體的資產(chǎn)管理人員及硬件專業(yè)人員審核同意后，可以申

第四節(jié)網(wǎng)絡(luò)的接入管理

第二十二條信息技術(shù)部是管理企業(yè)網(wǎng)絡(luò)接入的責(zé)任部門。信息技術(shù)部的網(wǎng)絡(luò)管理員是整個柳工網(wǎng)絡(luò)的總管理員，對全網(wǎng)安全總負(fù)責(zé)，并牽頭與各子域網(wǎng)絡(luò)管理員組建企業(yè)網(wǎng)絡(luò)管理委員會，共同維護(hù)企業(yè)的網(wǎng)絡(luò)安全以及信息安全。

第二十三條為保障企業(yè)網(wǎng)絡(luò)的安全，所有連接到企業(yè)內(nèi)部網(wǎng)的計算機(jī)必須經(jīng)過信息技術(shù)部的企業(yè)網(wǎng)絡(luò)管理員注冊登記。每臺聯(lián)網(wǎng)的計算機(jī)都必須確定責(zé)任人，對該機(jī)的遵紀(jì)使用及安全狀況負(fù)責(zé)。不得私自在內(nèi)部網(wǎng)上接入未經(jīng)網(wǎng)管注冊的計算機(jī)，否則視同竊取企業(yè)機(jī)密，一旦發(fā)現(xiàn)，按照有關(guān)規(guī)定進(jìn)行處理。

第二十四條為保證網(wǎng)絡(luò)信息資源安全，嚴(yán)格便攜機(jī)的管理，在柳工網(wǎng)內(nèi)使用便攜機(jī)的特殊用戶必須登記備案，并接受網(wǎng)絡(luò)安全措施、信息安全培訓(xùn)和病毒防護(hù)管理。第二十五條為防止信息流失和計算機(jī)病毒，要嚴(yán)格控制內(nèi)部網(wǎng)與外部的直接I/O 通道，所有聯(lián)網(wǎng)的計算機(jī)都要拆除軟驅(qū)、光驅(qū)、刻錄設(shè)備及其他移動存儲設(shè)備。需要保留的，必須經(jīng)過企業(yè)信息工作主管領(lǐng)導(dǎo)的特別批準(zhǔn)，向信息技術(shù)部的網(wǎng)絡(luò)管理員登記注冊。第二十六條未經(jīng)信息技術(shù)部批準(zhǔn)和備案，私自在企業(yè)網(wǎng)絡(luò)的計算機(jī)上安裝各種通訊和存儲設(shè)備（如MODEM、軟驅(qū)、光驅(qū)等）、私自往廠區(qū)內(nèi)帶入未經(jīng)注冊登記的便攜機(jī)和存儲設(shè)備等行為，均視同竊取企業(yè)機(jī)密，一經(jīng)發(fā)現(xiàn)，須沒收上交企業(yè)保密委員會，按照有關(guān)規(guī)定進(jìn)行處理。

第二十七條合作單位人員因業(yè)務(wù)交流需要帶入計算機(jī)及有關(guān)設(shè)備的，不得接入企業(yè)網(wǎng)絡(luò)，由接待部門領(lǐng)導(dǎo)負(fù)責(zé)相應(yīng)的信息安全責(zé)任。要進(jìn)行數(shù)據(jù)交換的，按本規(guī)定有關(guān)條文處理。第二十八條

通過MODEM、VPN 等各種方式連入企業(yè)內(nèi)部網(wǎng)的遠(yuǎn)程訪問用戶也要柳工內(nèi)部控制制度接受企業(yè)網(wǎng)絡(luò)總管理員的管理，否則將不允許連接到企業(yè)內(nèi)部網(wǎng)。

第二十九條企業(yè)網(wǎng)絡(luò)是工作網(wǎng)絡(luò)，禁止任何利用企業(yè)網(wǎng)絡(luò)以及企業(yè)集成信息平臺進(jìn)行有損企業(yè)安定團(tuán)結(jié)局面的行為，違犯者將被追究紀(jì)律甚至法律的責(zé)任。

第三十條企業(yè)的網(wǎng)絡(luò)和計算機(jī)都屬于企業(yè)生產(chǎn)、工作的重要設(shè)備，任何破壞企業(yè)網(wǎng)絡(luò)和計算機(jī)的行為都視同破壞企業(yè)生產(chǎn)、工作的嚴(yán)重行為，需要追究紀(jì)律和法律的責(zé)任。第五節(jié)數(shù)據(jù)及信息安全的管理 第三十一條

數(shù)據(jù)及信息的安全包括數(shù)據(jù)的物理安全以及信息保密。企業(yè)各計算機(jī)信息系統(tǒng)都要建立相應(yīng)的安全管理制度，信息技術(shù)部對企業(yè)的全局?jǐn)?shù)據(jù)庫信息資源安全負(fù)責(zé)，各應(yīng)用系統(tǒng)、單位部門的主要負(fù)責(zé)人對本應(yīng)用系統(tǒng)、單位部門的計算機(jī)信息資源安全負(fù)責(zé)。第三十二條各應(yīng)用系統(tǒng)、主要單位部門及各域都必須建立相應(yīng)的數(shù)據(jù)備 份與災(zāi)難恢復(fù)制度和策略，并切實執(zhí)行。

第三十三條

確有特殊需求經(jīng)批準(zhǔn)在企業(yè)網(wǎng)的某些計算機(jī)上保留有光驅(qū)和軟驅(qū)的部門，其部門領(lǐng)導(dǎo)和系統(tǒng)管理員必須對該I/O 通道的安全負(fù)責(zé)，各類數(shù)據(jù)的拷出必須有相關(guān)領(lǐng)導(dǎo)的審批以及文字性記錄備案。

第三十四條除網(wǎng)絡(luò)管理員及其授權(quán)人員外，其余人員無權(quán)擅自在網(wǎng)絡(luò)上傳播、擴(kuò)散來自企業(yè)網(wǎng)絡(luò)以外的其它軟件和電子文檔。

第三十五條

計算機(jī)信息系統(tǒng)聯(lián)網(wǎng)應(yīng)當(dāng)采取系統(tǒng)訪問控制、數(shù)據(jù)保護(hù)和系統(tǒng)安全防火

第四篇：公司計算機(jī)信息系統(tǒng)安全保密規(guī)定第二章

公司計算機(jī)信息系統(tǒng)安全保密規(guī)定

第二章管理職責(zé)

第四條集團(tuán)公司辦公室負(fù)責(zé)集團(tuán)公司計算機(jī)信息系統(tǒng)的保密管理工作。主要職責(zé)是：

（一）負(fù)責(zé)全公司計算機(jī)信息系統(tǒng)保密管理的指導(dǎo)、監(jiān)督、檢查和考核。

（二）協(xié)助信息管理部門，負(fù)責(zé)查處造成計算機(jī)信息系統(tǒng)故障、損壞、數(shù)據(jù)丟失或涉密信息泄露事件。

（三）負(fù)責(zé)集團(tuán)公司本部計算機(jī)信息系統(tǒng)保密設(shè)備的審批、備案。

第五條 各單位保密主管領(lǐng)導(dǎo)對所屬單位和人員在使用計算機(jī)信息系統(tǒng)過程中的保密工作負(fù)全責(zé)，分管領(lǐng)導(dǎo)負(fù)具體組織領(lǐng)導(dǎo)責(zé)任。

（一）要定期對相關(guān)人員進(jìn)行計算機(jī)信息系統(tǒng)安全保密的法制教育和防范意識教育，加強(qiáng)防范技能培訓(xùn)。組織安全保密檢查，對存在的問題及時采取整改措施。協(xié)助查處計算機(jī)信息系統(tǒng)的泄密隱患及事件。

（二）各單位、各部門要明確計算機(jī)信息系統(tǒng)安全保密管理員，并進(jìn)行日常保密管理工作。

（三）各單位信息網(wǎng)絡(luò)管理部門要確保計算機(jī)信息系統(tǒng)運(yùn)行中的保密安全，發(fā)現(xiàn)重大隱患要及時整改，并將情況及時報單位保密辦。

第六條信息管理部門是各單位計算機(jī)信息管理中心。各單位、各部門在計算機(jī)信息系統(tǒng)安全保密管理上，實行“誰主管，誰負(fù)責(zé)”的原則。

第五篇：計算機(jī)信息系統(tǒng)安全和保密管理制度

計算機(jī)信息系統(tǒng)安全和保密管理制度

為進(jìn)一步加強(qiáng)我局計算機(jī)信息系統(tǒng)安全和保密管理，保障計算機(jī)信息系統(tǒng)和數(shù)據(jù)的安全，特制定本制度。

第一條 嚴(yán)格落實計算機(jī)信息系統(tǒng)安全和保密管理工作責(zé)任制，各部門負(fù)責(zé)人為信息安全系統(tǒng)第一責(zé)任人。按照“誰主管誰負(fù)責(zé)、誰運(yùn)行誰負(fù)責(zé)、誰公開誰負(fù)責(zé)”的原則，各處室在其職責(zé)范圍內(nèi)，負(fù)責(zé)本單位計算機(jī)信息系統(tǒng)安全和保密管理。

第二條 辦公室是全局計算機(jī)信息系統(tǒng)安全和保密管理的職能部門，信息中心具體負(fù)責(zé)技術(shù)保障工作。

第三條 局域網(wǎng)分為內(nèi)網(wǎng)、外網(wǎng)。內(nèi)網(wǎng)運(yùn)行各類辦公軟件，專用于公文的處理和交換，屬涉密網(wǎng)；外網(wǎng)專用于各處室和個人瀏覽國際互聯(lián)網(wǎng)，屬非涉密網(wǎng)。上內(nèi)網(wǎng)的計算機(jī)不得再上外網(wǎng)，涉及國家秘密的信息應(yīng)當(dāng)在制定的涉密信息系統(tǒng)中處理。

第四條 購置計算機(jī)及相關(guān)設(shè)備須按照保密局指定的有關(guān)參數(shù)指標(biāo)，信息中心將新購置的計算機(jī)及相關(guān)設(shè)備的有關(guān)信息參數(shù)登記備案后，經(jīng)辦公室驗收后，方可提供上網(wǎng)IP地接入機(jī)關(guān)局域網(wǎng)。

第五條 計算機(jī)的使用管理應(yīng)符合下列要求：

(一)嚴(yán)禁同一計算機(jī)既上互聯(lián)網(wǎng)又處理涉密信息；

(二)信息中心要建立完整的辦公計算機(jī)及網(wǎng)絡(luò)設(shè)備技術(shù)檔案，定期對計算機(jī)及軟件安裝情況進(jìn)行檢查和登記備案；

(三)設(shè)置開機(jī)口令，長度不得少于8個字符，并定期更換，防止口令被盜；

(四)安裝正版防病毒等安全防護(hù)軟件，并及時進(jìn)行升級，及時更新操作系統(tǒng)補(bǔ)丁程序；

(五)未經(jīng)信息中心認(rèn)可，機(jī)關(guān)內(nèi)所有辦公計算機(jī)不得修改上網(wǎng)IP地址、網(wǎng)關(guān)、DNS服務(wù)器、子網(wǎng)掩碼等設(shè)置；

(六)嚴(yán)禁使用含有無線網(wǎng)卡、無線鼠標(biāo)、無線鍵盤等具有無線互聯(lián)功能的設(shè)備處理涉密信息；

(七)嚴(yán)禁將辦公計算機(jī)帶到與工作無關(guān)的場所；確因工作需要需攜帶有涉密信息的手提電腦外出的，必須確保涉密信息安全。

第六條 涉密移動存儲設(shè)備的使用管理應(yīng)符合下列要求：

(一)分別由各處室兼職保密員負(fù)責(zé)登記，做到專人專用專管，并將登記情況報綜合處備案；

(二)嚴(yán)禁涉密移動存儲設(shè)備在內(nèi)、外網(wǎng)之間交叉使用；

(三)移動存儲設(shè)備在接入本部門計算機(jī)信息系統(tǒng)之前，應(yīng)查殺病毒、木馬等惡意代碼；

(四)鼓勵采用密碼技術(shù)等對移動存儲設(shè)備中的信息進(jìn)行保護(hù)；

(五)嚴(yán)禁將涉密存儲設(shè)備帶到與工作無關(guān)的場所。

第七條 數(shù)據(jù)復(fù)制操作管理應(yīng)符合下列要求：

(一)將互聯(lián)網(wǎng)上的信息復(fù)制到內(nèi)網(wǎng)時，應(yīng)采取嚴(yán)格的技術(shù)防護(hù)措施，查殺病毒、木馬等惡意代碼，嚴(yán)防病毒等傳播；

(二)使用移動存儲設(shè)備從內(nèi)網(wǎng)向外網(wǎng)復(fù)制數(shù)據(jù)時，應(yīng)當(dāng)采取嚴(yán)格的保密措施，防止泄密；

(三)復(fù)制和傳遞密級電子文檔，應(yīng)當(dāng)嚴(yán)格按照復(fù)制和傳遞同等密級紙質(zhì)文件的有關(guān)規(guī)定辦理。不得利用電子郵件傳遞、轉(zhuǎn)發(fā)或抄送涉密信息；

(四)各處室因工作需要向外網(wǎng)公開內(nèi)部信息資料時，必須由該處室負(fù)責(zé)人審核同意，交由信息中心統(tǒng)一發(fā)布。

第八條 辦公計算機(jī)及相關(guān)設(shè)備由信息中心負(fù)責(zé)維護(hù)，按保密要求實行定點維修。需外

請維修的，要派專人全程監(jiān)督；需外送維修的，應(yīng)由信息中心拆除信息存儲部件，以防止存儲資料泄密。

第九條 辦公計算機(jī)及相關(guān)設(shè)備報廢時，應(yīng)由信息中心拆除存儲部件，然后交辦公室核定，由信息中心按有關(guān)要求統(tǒng)一銷毀，同時作好備案登記。嚴(yán)禁各單位自行處理報廢計算機(jī)。

第十條 辦公室和信息中心要加強(qiáng)機(jī)關(guān)計算機(jī)信息系統(tǒng)安全和保密管理情況的監(jiān)督，定期進(jìn)行檢查，提高泄密隱患發(fā)現(xiàn)能力和泄密事件應(yīng)急處置能力。其它各處室要密切配合，共同做好計算機(jī)信息系統(tǒng)安全和保密工作。

第十一條 機(jī)關(guān)工作人員離崗離職，有關(guān)處室應(yīng)即時取消其計算機(jī)涉密信息系統(tǒng)訪問授權(quán)，收回計算機(jī)、移動存儲設(shè)備等相關(guān)物品。

第十二條 各處室和個人應(yīng)當(dāng)接受并配合保密監(jiān)督檢查，協(xié)助核查有關(guān)泄密行為。對違反本規(guī)定的有關(guān)人員應(yīng)給予批評教育，并責(zé)令限期整改；造成泄密事件的，由有關(guān)部門根據(jù)國家相關(guān)保密法律法規(guī)進(jìn)行查處，并追究相關(guān)責(zé)任人的責(zé)任。

第十三條 各處室要根據(jù)本規(guī)定，確保涉密信息安全。