松江區(qū)醫(yī)療機構(gòu)計算機網(wǎng)絡(luò)信息系統(tǒng)安全管理規(guī)定

第一篇：松江區(qū)醫(yī)療機構(gòu)計算機網(wǎng)絡(luò)信息系統(tǒng)安全管理規(guī)定

為保障松江區(qū)醫(yī)療機構(gòu)網(wǎng)絡(luò)信息系統(tǒng)安全穩(wěn)定地運行，加強計算機信息網(wǎng)絡(luò)的管理，促進衛(wèi)生信息化建設(shè)，確保各醫(yī)療機構(gòu)（醫(yī)院和社區(qū)衛(wèi)生服務(wù)中心）正常開展醫(yī)療衛(wèi)生服務(wù)，現(xiàn)將有關(guān)事項規(guī)定如下：

一、網(wǎng)絡(luò)信息安全管理組織

各醫(yī)療機構(gòu)應(yīng)成立信息安全工作領(lǐng)導(dǎo)小組，確定第一責(zé)任人、責(zé)任部門；成立信息安全應(yīng)急響應(yīng)小組；確定信息安全專管人員，明確責(zé)任，并定期檢查、督促落實。

二、計算機機房安全管理規(guī)定

1、做好中心機房安全保衛(wèi)工作，機房無人時應(yīng)及時上鎖。機房管理人員必須遵守國家有關(guān)法律、法規(guī)，認(rèn)真執(zhí)行機房管理制度、安全等級保護制度等各項規(guī)章制度，認(rèn)真地做好本職工作，保障系統(tǒng)正常、安全、可靠地運行。

2、機房門鑰匙、電子令牌及設(shè)備機柜鑰匙應(yīng)由機房管理人員集中保管，不經(jīng)允許不得轉(zhuǎn)讓他人。進入機房所有人員，應(yīng)填寫中心機房進出登記簿，以備記錄。外來人員參觀主機房，必須經(jīng)有關(guān)領(lǐng)導(dǎo)批準(zhǔn)并辦理登記手續(xù)。未經(jīng)機房管理人批準(zhǔn)，非相關(guān)人員不得進入中心機房。

3、嚴(yán)禁在機房內(nèi)計算機上擅自運行外來的光盤、軟盤。若工作確需使用，應(yīng)報告機房管理員，并嚴(yán)格進行病毒檢測后方可使用。

4、處理涉及敏感信息事務(wù)時，不得接待參觀人員，非相關(guān)人員不得靠近觀看，無關(guān)人員不得擅自操作機房設(shè)備。

5、所有設(shè)備要制定嚴(yán)格的符合安全要求的口令，口令要嚴(yán)格管理，定期更換。

6、未經(jīng)允許，機房內(nèi)部設(shè)備情況、機器性能、網(wǎng)絡(luò)地址、使用的程序及業(yè)務(wù)處理范圍，一律不準(zhǔn)對外傳播、解答。

7、機房管理員應(yīng)做好計算機相關(guān)資料如操作系統(tǒng)、業(yè)務(wù)程序、業(yè)務(wù)源程序等書面資料、磁介質(zhì)的保管工作。相關(guān)工作人員如需借閱資料，應(yīng)至機房管理人員處按規(guī)定辦理借閱手續(xù)。

8、機房內(nèi)所有設(shè)備應(yīng)嚴(yán)格管理，各種設(shè)備、材料要登記在帳，并由機房管理員負(fù)責(zé)。機房設(shè)備由專人操作、管理，專機專用，設(shè)定用途的設(shè)備一般不得用作其他用途。

9、機房內(nèi)嚴(yán)禁存放易燃易爆物品，嚴(yán)禁使用明火或吸煙，消防器材應(yīng)固定位置存放，不得隨意挪動。

10、嚴(yán)禁攜帶大頭針、曲別針、強磁性物品、帶灰塵物品進入中心機房。中心機房內(nèi)不得有衛(wèi)生死角、可見灰塵；調(diào)節(jié)適合計算機的溫度、濕度；門窗密封，防止外來粉塵污染。

11、設(shè)立機房安全防火人員，并加強安全防火教育，學(xué)好安全防火條例，嚴(yán)肅紀(jì)律，提高思想認(rèn)識，發(fā)現(xiàn)安全隱患及時向機房管理人員匯報并解決問題。

12、機房管理人員要嚴(yán)格執(zhí)行以上操作規(guī)程，不得違章操作，如發(fā)現(xiàn)異常應(yīng)立即向系統(tǒng)安全管理人員報告，并認(rèn)真做好記錄，配合應(yīng)急響應(yīng)小組采取相應(yīng)應(yīng)急措施。

三、網(wǎng)絡(luò)設(shè)備管理規(guī)定

1．醫(yī)療機構(gòu)必須實現(xiàn)內(nèi)外網(wǎng)隔離（此處將醫(yī)院核心業(yè)務(wù)局域網(wǎng)、松江衛(wèi)生專網(wǎng)稱為“內(nèi)網(wǎng)”，醫(yī)療機構(gòu)行政辦公局域網(wǎng)與互聯(lián)網(wǎng)稱為“外網(wǎng)”），確實沒條件實現(xiàn)物理隔離的，過渡期可以使用劃分不同VLAN的方式使用交換機，嚴(yán)禁混用內(nèi)外網(wǎng)交換機、集線器；

2．網(wǎng)絡(luò)設(shè)備應(yīng)統(tǒng)一配置和安裝，由專人進行參數(shù)設(shè)置和管理，并形成記錄；

3．路由器、交換機等網(wǎng)絡(luò)設(shè)備應(yīng)固定在機房、分機房或設(shè)備間，應(yīng)放置于一般人不易觸及的地方；

4．監(jiān)護室、急救室等場所慎用無線網(wǎng)絡(luò)設(shè)備； 5．發(fā)現(xiàn)不能正常工作的設(shè)備應(yīng)及時更換； 6．應(yīng)該使用由有關(guān)部門安全認(rèn)證的網(wǎng)絡(luò)安全設(shè)備；

7．網(wǎng)絡(luò)安全設(shè)備由專人負(fù)責(zé)其參數(shù)的設(shè)置和管理，定期升級。

四、服務(wù)器與存儲安全管理規(guī)定

1．服務(wù)器與存儲設(shè)備應(yīng)由專人負(fù)責(zé)，并記錄詳細的運行維護日志記錄；未經(jīng)主管同意，其他人員不得對服務(wù)器/存儲進行操作；

2．應(yīng)由專人定期對服務(wù)器和存儲設(shè)備進行檢測維護,做好記錄，發(fā)現(xiàn)異常及時通知主管；

3．提供關(guān)鍵服務(wù)和涉及核心機密數(shù)據(jù)的服務(wù)器（如數(shù)據(jù)庫服務(wù)器、應(yīng)用服務(wù)器）必須采用在線雙機熱備方案，確保關(guān)鍵服務(wù)的連續(xù)性和穩(wěn)定性，并做好防病毒工作和安全防護工作；

4．服務(wù)器管理員密碼僅限管理員及信息主管掌握，密碼必須定期更改，并有書面記錄，嚴(yán)格保管；

5．PC服務(wù)器必須每月進行一次常規(guī)性檢查和重啟，小型機必須每三個月進行一次常規(guī)檢查和必要的重啟；

6．服務(wù)器和存儲設(shè)備的維護和升級必須有預(yù)案和實施記錄。

五、網(wǎng)絡(luò)工作站管理規(guī)定

1．對各工作站應(yīng)進行編號，登記在冊，統(tǒng)一管理；嚴(yán)禁使用未經(jīng)檢查的工作站?？臻e工作站不得接入網(wǎng)絡(luò)，備用工作站只在需要時才允許接入網(wǎng)絡(luò)，平常必須保持?jǐn)嚅_狀態(tài)。空閑和備用工作站應(yīng)有明確標(biāo)識；

2．工作站必須設(shè)置密碼，密碼包括開機密碼、登陸網(wǎng)絡(luò)密碼和屏幕保護密碼；

3．業(yè)務(wù)網(wǎng)內(nèi)工作站應(yīng)保證專機專用，不做與業(yè)務(wù)無關(guān)的事； 4．操作人員不得更改系統(tǒng)配置，不得擅自安裝軟件。應(yīng)用軟件必須由技術(shù)管理部門負(fù)責(zé)安裝；

5．操作人員不得擅自增減硬件設(shè)備，如果出現(xiàn)硬件故障，應(yīng)及時與管理員聯(lián)系，由管理員進行維護；

6．原則上工作站不能安裝光驅(qū)、軟驅(qū)、外接存儲設(shè)備； 7．操作人員應(yīng)定期對工作站進行清潔；

8．未經(jīng)主管領(lǐng)導(dǎo)同意，各部門不得私自將設(shè)備接入業(yè)務(wù)網(wǎng)。

六、網(wǎng)絡(luò)工作人員管理規(guī)定 1．網(wǎng)絡(luò)技術(shù)人員職責(zé)

（1）在信息科主任或計算機室主任的領(lǐng)導(dǎo)下進行工作；（2）負(fù)責(zé)“網(wǎng)絡(luò)系統(tǒng)”的運行監(jiān)護、及時維護和數(shù)據(jù)備份，保證網(wǎng)絡(luò)正常運轉(zhuǎn)；

（3）負(fù)責(zé)網(wǎng)絡(luò)中心和各工作站系統(tǒng)軟件、應(yīng)用軟件的安裝、調(diào)試和維護。負(fù)責(zé)各用戶軟件權(quán)限的分配、授權(quán)，嚴(yán)格注意口令的保密；

（4）負(fù)責(zé)對網(wǎng)絡(luò)工作站操作員的培訓(xùn)、技術(shù)指導(dǎo)工作；（5）妥善保管光盤、軟盤、磁帶、資料、修理工具等物品；（6）檢查網(wǎng)絡(luò)工作站運行情況，發(fā)現(xiàn)問題及時糾正，遇有重大問題，及時報告；

（7）負(fù)責(zé)“網(wǎng)絡(luò)系統(tǒng)”的逐步拓展和新增功能模塊的應(yīng)用；（8）積極鉆研計算機網(wǎng)絡(luò)和醫(yī)療信息管理業(yè)務(wù)，不斷提高業(yè)務(wù)水平。

2．系統(tǒng)管理員職責(zé)

（1）負(fù)責(zé)服務(wù)器、備用服務(wù)器及網(wǎng)絡(luò)重要設(shè)備的軟、硬件安全保護，要求責(zé)任心強、業(yè)務(wù)精；

（2）負(fù)責(zé)操作系統(tǒng)、數(shù)據(jù)庫的密碼設(shè)置，及時更新密碼，并詳細記錄密碼內(nèi)容、更新時間，更新后及時將密碼報告信息科負(fù)責(zé)人；

（3）負(fù)責(zé)用戶字典的維護，負(fù)責(zé)上網(wǎng)人員的用戶權(quán)限分配，并詳細登記；

（4）負(fù)責(zé)“網(wǎng)絡(luò)系統(tǒng)”的數(shù)據(jù)備份、介質(zhì)存放；（5）每天登記服務(wù)器、備用服務(wù)器運行狀況；（6）系統(tǒng)出現(xiàn)重大故障時，及時報告有關(guān)負(fù)責(zé)人；

（7）建立專柜保存服務(wù)器、備用服務(wù)器等各項文檔及系統(tǒng)重要資料。

七、“第三方”訪問管理規(guī)定 1．“第三方”定義

“第三方”為除醫(yī)療機構(gòu)內(nèi)與“網(wǎng)絡(luò)系統(tǒng)”相關(guān)的操作、管理和咨詢?nèi)藛T以外的所有人員，即包括醫(yī)療機構(gòu)外的系統(tǒng)開發(fā)供應(yīng)商、交流訪問人員、咨詢?nèi)藛T、病人及其家屬以及醫(yī)療機構(gòu)內(nèi)與“網(wǎng)絡(luò)系統(tǒng)”無關(guān)的人員。

2．系統(tǒng)定義

用于信息化建設(shè)的所有網(wǎng)絡(luò)布線、網(wǎng)絡(luò)設(shè)備、計算機設(shè)備、計算機外圍設(shè)備、數(shù)據(jù)庫以及在系統(tǒng)上運行的所有數(shù)據(jù)和程序。其中包括醫(yī)院管理信息系統(tǒng)（HMIS）、醫(yī)學(xué)影像系統(tǒng)（PACS）、辦公自動化系統(tǒng)（OA）等。

3．實體訪問的規(guī)定

所指的實體為中心機房、信息科以及計算機設(shè)備專用場所或柜子，同時包括所有系統(tǒng)操作終端所在部門或房間，這些場所必須建設(shè)為可封閉場所（即有門及門鎖），并掛牌告示，鑰匙由專人保管并記錄在案。明確在非工作時間這些場所為保安巡視點。

“第三方”在工作時間未經(jīng)允許不得進入上述場所；如進入必須由醫(yī)療機構(gòu)內(nèi)相關(guān)人員全程陪同，不允許“第三方”人員單獨滯留。“第三方”如在滯留期間未經(jīng)允許不得查看、使用場所內(nèi)任何設(shè)施或文檔。在非工作時間原則上不允許“第三方”進入，如確有需要則必須通知總值班由相關(guān)人員全程陪同并記錄在案。

4．邏輯訪問的規(guī)定

“第三方”原則上不允許操作、訪問“網(wǎng)絡(luò)系統(tǒng)”，如確有需要則必須在相關(guān)人員的全程陪同下使用系統(tǒng)的最低權(quán)限用戶（如guest）進入系統(tǒng)進行所允許的操作。如果無最低權(quán)限用戶而使用了其他用戶進入系統(tǒng)，在“第三方”離開后必須立即更改密碼。

“第三方”在訪問系統(tǒng)期間，未經(jīng)許可不允許使用任何方法（如拷貝磁盤、刻錄光盤、打印數(shù)據(jù)、手工記錄等）帶走任何數(shù)據(jù)和程序。

八、網(wǎng)絡(luò)信息系統(tǒng)應(yīng)急事故處理管理規(guī)定

在系統(tǒng)中建立完備的事故應(yīng)急響應(yīng)處理規(guī)定，包括以下幾點：

1、系統(tǒng)用戶發(fā)現(xiàn)系統(tǒng)運行可疑現(xiàn)象后，應(yīng)立即報告本部門系統(tǒng)安全管理員；

2、系統(tǒng)安全管理員應(yīng)盡可能采取相應(yīng)措施保護現(xiàn)場，并在半小時內(nèi)向應(yīng)急響應(yīng)小組進行報告，同時報本部門安全主管領(lǐng)導(dǎo)；

3、應(yīng)急響應(yīng)小組應(yīng)在一小時內(nèi)確定現(xiàn)象的性質(zhì)，并采取措施，收集現(xiàn)場數(shù)據(jù)，避免嚴(yán)重安全后果的發(fā)生，同時，對于安全事故，要上報信息安全領(lǐng)導(dǎo)小組；

4、安全領(lǐng)導(dǎo)小組根據(jù)事故的性質(zhì)，向相應(yīng)的主管部門進行報告。

5、匯報完畢，將事故定性之后，接到上級指示，對于被破壞的系統(tǒng)和數(shù)據(jù)，采取可行的措施進行恢復(fù)，使之重新正常運行。

6、對安全事件進行總結(jié)，用于指導(dǎo)今后的應(yīng)急；對于嚴(yán)重的安全事件，必要時申請司法程序介入。

九、本規(guī)定自發(fā)布之日起施行。

第二篇：計算機信息系統(tǒng)安全管理規(guī)定

信息安全管理制度

一、安全管理人員崗位工作職責(zé)

1、組織工作人員認(rèn)真學(xué)習(xí)《計算機信息網(wǎng)絡(luò)國際互聯(lián)網(wǎng)安全保護管理辦法》，提高工作人員的維護信息安全的警惕性和自覺性。

2、負(fù)責(zé)對信息系統(tǒng)用戶進行安全教育和培訓(xùn)，使用戶自覺遵守和維護《計算機信息網(wǎng)絡(luò)國際互聯(lián)網(wǎng)安全保護管理辦法》，使他們具備基本的網(wǎng)絡(luò)安全知識。

3、加強對信息發(fā)布的審核管理工作，杜絕違犯《計算機信息網(wǎng)絡(luò)國際互聯(lián)網(wǎng)安全保護管理辦法》的內(nèi)容出現(xiàn)。

4、一旦發(fā)現(xiàn)從事各種危害計算機信息網(wǎng)絡(luò)安全的活動的行為做好記錄并立即向當(dāng)?shù)毓蔡幘W(wǎng)絡(luò)監(jiān)察科報告。

5、接受并配合公安機關(guān)的安全監(jiān)督、檢查和指導(dǎo)，如實向公安機關(guān)提供有關(guān)安全保護的信息、資料及數(shù)據(jù)文件，協(xié)助公安機關(guān)查處通過國際聯(lián)網(wǎng)的計算機信息網(wǎng)絡(luò)的違法犯罪行為。

二、病毒以及系統(tǒng)漏洞檢測制度：

1、工作計算機中一律要求安裝殺毒軟件，計算機病毒庫要求定期升級。

2、任何個人或團體未經(jīng)同意，不得在工作計算機上安裝和工作無關(guān)的軟件，不得制造傳播病毒。

3、各種操作系統(tǒng)要打上最新系統(tǒng)補丁，杜絕各種系統(tǒng)漏洞帶來的安全隱患。

4、嚴(yán)禁任何非法對網(wǎng)絡(luò)進行端口掃描的行為。

5、發(fā)現(xiàn)不能處理的病毒要報告本部門安全員。

三、密碼管理制度：

1、工作計算機一律要按要求設(shè)置密碼，不得采用缺省方式。

2、密碼設(shè)置要有字母和數(shù)字，位數(shù)不得少于六位，不能隨意用明紙記載放置公開處，口令應(yīng)定期修改。

3、重要密碼在可以的情況下，要在部門主管領(lǐng)導(dǎo)處備份。

4、密碼權(quán)限要根據(jù)實際情況授予，操作員不能擁有系統(tǒng)維護人員的權(quán)限，對于有特殊要求的系統(tǒng)，要實行特殊制度。

5、計算機操作人員，任何非系統(tǒng)管理員嚴(yán)禁使用、猜測各類管理員口令，不能利用工作之便，把獲取的特權(quán)密碼泄露給其他人，或未經(jīng)計算機管理人員授權(quán)，使用特權(quán)用戶對計算機或網(wǎng)絡(luò)進行操作。

6、發(fā)現(xiàn)密碼丟失，要通報相關(guān)部門，同時盡快修改密碼，一旦發(fā)現(xiàn)密碼已經(jīng)被改，要采取措施找回密碼，必要時更換系統(tǒng)設(shè)備，同時根據(jù)具體情況通知保衛(wèi)、公安部門。

四、信息發(fā)布審核、登記制度

1、網(wǎng)站工作人員必須認(rèn)真執(zhí)行信息發(fā)布審核管理工作，杜絕違犯《計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護管理辦法》的情形出現(xiàn)。

2、對在本網(wǎng)站發(fā)布信息的信源單位提供的信息進行程序限定，限制帶有某些不良詞匯的信息發(fā)布。

3、對在本網(wǎng)站發(fā)布信息的信源單位提供的信息進行認(rèn)真人工檢查，不得有危害國家安全、泄露國家秘密，侵犯國家的、社會的、集體的利益和公民的合法權(quán)益的內(nèi)容出現(xiàn)。

4、對委托發(fā)布信息的單位和個人進行登記并存檔。

五、信息監(jiān)視、保存、清除和備份制度

1、本制度適用于所有本網(wǎng)站發(fā)布信息及網(wǎng)站用戶發(fā)布信息。

2、對本網(wǎng)站自身發(fā)布的信息，必須認(rèn)真檢查，杜絕不良內(nèi)容出現(xiàn)。

3、對網(wǎng)站引用的他人信息，必須注明來源。

4、若發(fā)現(xiàn)本網(wǎng)有不良有害信息，應(yīng)主動舉報。

5、對網(wǎng)站用戶發(fā)布信息，必須首先經(jīng)過程序核查，對其發(fā)布內(nèi)容進行檢查、過濾、限制。

六、安全教育和培訓(xùn)制度

1、應(yīng)定期開辦信息系統(tǒng)安全培訓(xùn)班，組織工作人員學(xué)習(xí)信息安全法律、法規(guī)，提高工作人員的信息安全水平。

2、應(yīng)對信息系統(tǒng)用戶進行安全教育和培訓(xùn)，使用戶自覺遵守和維護《計算機信息網(wǎng)絡(luò)國際互聯(lián)網(wǎng)安全保護管理辦法》，使他們具備基本的信息安全知識，強化信息安全意識。增強守法觀念。

3、定期召開信息安全會議，通報信息安全狀況，解決信息安全問題。

4、應(yīng)積極配合當(dāng)?shù)毓簿旨捌渌霞壒芾碇行牡墓ぷ鳎杂X參加各種培訓(xùn)活動。

第三篇：計算機和信息系統(tǒng)安全保密管理規(guī)定

信息系統(tǒng)安全保密管理制度

第一章

總

則

第一條

為加強公司信息化系統(tǒng)（包括涉密信息系統(tǒng)和非涉密信息系統(tǒng)）安全保密管理，確保國家秘密及公司商業(yè)秘密的安全，根據(jù)國家有關(guān)保密法規(guī)標(biāo)準(zhǔn)和中國華電集團公司有關(guān)規(guī)定，特制定本規(guī)定。

第二條

本規(guī)定所稱涉密信息系統(tǒng)是指由計算機及其相關(guān)的配套設(shè)備、設(shè)施構(gòu)成的，按照一定的應(yīng)用目標(biāo)和規(guī)定存儲、處理、傳輸涉密信息的系統(tǒng)或網(wǎng)絡(luò)，包括機房、網(wǎng)絡(luò)設(shè)備、軟件、網(wǎng)絡(luò)線路、用戶終端、存儲介質(zhì)等內(nèi)容。

第三條

涉密信息系統(tǒng)的建設(shè)和應(yīng)用要本著“預(yù)防為主、分級負(fù)責(zé)、科學(xué)管理、保障安全”的方針，堅持“誰主管、誰負(fù)責(zé)，誰使用、誰負(fù)責(zé)”和“控制源頭、歸口管理、加強檢查、落實制度”的原則，確保涉密信息系統(tǒng)和國家秘密信息安全。

第四條

涉密信息系統(tǒng)安全保密防護必須嚴(yán)格按照國家保密標(biāo)準(zhǔn)、規(guī)定和集團公司文件要求進行設(shè)計、實施、測評審查與審批和驗收；未通過國家審批的涉密信息系統(tǒng)，不得投入使用。

第五條

本規(guī)定適用于公司所有信息系統(tǒng)安全保密管理工作。

第二章

組織機構(gòu)與職責(zé)

第六條

公司成立信息系統(tǒng)安全保密組織機構(gòu)，人員結(jié)構(gòu)與信息化領(lǐng)導(dǎo)小組和辦公室成員相同，信息化領(lǐng)導(dǎo)小組成員即為信息系統(tǒng)安全保密領(lǐng)導(dǎo)小組成員，信息化辦公室成員即為信息系統(tǒng)安全保密辦公室成員。

1、信息系統(tǒng)安全保密領(lǐng)導(dǎo)小組組

長：

副組長：組員：

2、信息系統(tǒng)安全保密辦公室主

任：副主任：成員：

第七條信息系統(tǒng)安全保密領(lǐng)導(dǎo)小組主要職責(zé)

公司信息系統(tǒng)安全保密領(lǐng)導(dǎo)小組是涉密信息系統(tǒng)安全保密管理決策機構(gòu)，其主要職責(zé)：

（一）建立健全信息系統(tǒng)安全保密管理制度，并監(jiān)督檢查落實情況；

（二）協(xié)調(diào)處理有關(guān)涉密信息系統(tǒng)安全保密管理的重大問題，對重大失泄密事件進行查處。

第八條

信息系統(tǒng)安全保密辦公室（簡稱保密辦）主要職責(zé)：

（一）擬定信息系統(tǒng)安全保密管理制度，并組織落實各項保密防范措施；

（二）對系統(tǒng)用戶和安全保密管理人員進行資格審查和安全保密教育培訓(xùn)，審查涉密信息系統(tǒng)用戶的職責(zé)和權(quán)限，并備案；

（三）組織對涉密信息系統(tǒng)進行安全保密監(jiān)督檢查和風(fēng)險評估，提出涉密信息系統(tǒng)安全運行的保密要求；

（四）會同信息中心對涉密信息系統(tǒng)中介質(zhì)、設(shè)備、設(shè)施的授權(quán)使用的審查，建立涉密信息系統(tǒng)安全評估制度，每年對涉密信息系統(tǒng)安全措施進行一次評審；

（五）對涉密信息系統(tǒng)設(shè)計、施工和集成單位進行資質(zhì)審查，對進入涉密信息系統(tǒng)的安全保密產(chǎn)品進行準(zhǔn)入審查和規(guī)范管理，對涉密信息系統(tǒng)進行安全保密性能檢測；

（六）對涉密信息系統(tǒng)中各應(yīng)用系統(tǒng)進行定密、變更密級和解密工作進行審核；

（七）組織查處涉密信息系統(tǒng)失泄密事件。

第十條

辦公室（信息中心）主要職責(zé)是：

（一）組織、實施涉密信息系統(tǒng)的規(guī)劃、設(shè)計、建設(shè)，制定安全保密防護方案；

（二）落實涉密信息系統(tǒng)安全保密策略、運行安全控制、安全驗證等安全技術(shù)措施；每半年對涉密信息系統(tǒng)進行風(fēng)險評估，提出整改措施，經(jīng)涉密信息系統(tǒng)安全保密領(lǐng)導(dǎo)小組批準(zhǔn)后組織實施，確保安全技術(shù)措施有效、可靠；

（三）落實涉密信息系統(tǒng)中各應(yīng)用系統(tǒng)進行用戶權(quán)限設(shè)置及介質(zhì)、設(shè)備、設(shè)施的授權(quán)使用、保管以及維護等安全保密管理措施；

（四）配備涉密信息系統(tǒng)管理員、安全保密管理員和安全審計員，并制定相應(yīng)的職責(zé)；“三員”角色不得兼任，權(quán)限設(shè)置相互獨立、相互制約；“三員”應(yīng)通過安全保密培訓(xùn)持證上崗；

（五）落實計算機機房、配線間等重要部位的安全保密防范措施及網(wǎng)絡(luò)的安全管理，負(fù)責(zé)日常業(yè)務(wù)數(shù)據(jù)及其他重要數(shù)據(jù)的備份管理；

（六）配合保密辦對涉密信息系統(tǒng)進行安全檢查，對存在的隱患進行及時整改；

（七）制定應(yīng)急預(yù)案并組織演練，落實應(yīng)急措施，處理信息安全突發(fā)事件。

（八）按照國家密碼管理的相關(guān)要求，落實涉密信息系統(tǒng)中普密設(shè)備的管理措施。第十二條

相關(guān)業(yè)務(wù)部門、班組主要職責(zé)：

涉密信息系統(tǒng)的使用部門、班組要嚴(yán)格遵守保密管理規(guī)定，教育員工提高安全保密意識，落實涉密信息系統(tǒng)各項安全防范措施；準(zhǔn)確確定應(yīng)用系統(tǒng)密級，制定并落實相應(yīng)的二級保密管理制度。

第十三條

涉密信息系統(tǒng)配備系統(tǒng)管理員、安全保密管理員、安全審計員，其職責(zé)是：

（一）系統(tǒng)管理員負(fù)責(zé)系統(tǒng)中軟硬件設(shè)備的運行、管理與維護工作，確保信息系統(tǒng)的安全、穩(wěn)定、連續(xù)運行。系統(tǒng)管理員包括網(wǎng)絡(luò)管理員、數(shù)據(jù)庫管理員、應(yīng)用系統(tǒng)管理 2 員。

（二）安全保密管理員負(fù)責(zé)安全技術(shù)設(shè)備、策略實施和管理工作，包括用戶帳號管理以及安全保密設(shè)備和系統(tǒng)所產(chǎn)生日志的審查分析。

（三）安全審計員負(fù)責(zé)安全審計設(shè)備安裝調(diào)試，對各種系統(tǒng)操作行為進行安全審計跟蹤分析和監(jiān)督檢查，以及時發(fā)現(xiàn)違規(guī)行為，并每月向涉密信息系統(tǒng)安全保密領(lǐng)導(dǎo)小組辦公室匯報一次情況。

第三章

系統(tǒng)建設(shè)管理

第十四條

規(guī)劃和建設(shè)涉密信息系統(tǒng)時，按照涉密信息系統(tǒng)分級保護標(biāo)準(zhǔn)的規(guī)定，同步規(guī)劃和落實安全保密措施，系統(tǒng)建設(shè)與安全保密措施同計劃、同預(yù)算、同建設(shè)、同驗收。

第十五條

涉密信息系統(tǒng)規(guī)劃和建設(shè)的安全保密方案，應(yīng)由具有“涉及國家秘密的計算機信息系統(tǒng)集成資質(zhì)”的機構(gòu)編制或自行編制，安全保密方案必須經(jīng)上級保密主管部門審批后方可實施。

第十六條

涉密信息系統(tǒng)規(guī)劃和建設(shè)實施時，應(yīng)由具有“涉及國家秘密的計算機信息系統(tǒng)集成資質(zhì)”的機構(gòu)實施或自行實施，并與實施方簽署保密協(xié)議，項目竣工后必須由保密辦和科技信息部共同組織驗收。

第十七條

對涉密信息系統(tǒng)要采取與密級相適應(yīng)的保密措施，配備通過國家保密主管部門指定的測評機構(gòu)檢測的安全保密產(chǎn)品。涉密信息系統(tǒng)使用的軟件產(chǎn)品必須是正版軟件。

第四章

信息管理

第一節(jié)

信息分類與控制

第十八條

涉密信息系統(tǒng)的密級，按系統(tǒng)中所處理信息的最高密級設(shè)定，嚴(yán)禁處理 3 高于涉密信息系統(tǒng)密級的涉密信息。

第十九條

涉密信息系統(tǒng)中產(chǎn)生、存儲、處理、傳輸、歸檔和輸出的文件、數(shù)據(jù)、圖紙等信息及其存儲介質(zhì)應(yīng)按要求及時定密、標(biāo)密，并按涉密文件進行管理。電子文件密級標(biāo)識應(yīng)與信息主體不可分離，密級標(biāo)識不得篡改。涉密信息系統(tǒng)中的涉密信息總量每半年進行一次分類統(tǒng)計、匯總，并在保密辦備案。

第二十條

涉密信息系統(tǒng)應(yīng)建立安全保密策略，并采取有效措施，防止涉密信息被非授權(quán)訪問、篡改，刪除和丟失；防止高密級信息流向低密級計算機。涉密信息遠程傳輸必須采取密碼保護措施。

第二十一條

向涉密信息系統(tǒng)以外的單位傳遞涉密信息，一般只提供紙質(zhì)文件，確需提供涉密電子文檔的，按信息交換及中間轉(zhuǎn)換機管理規(guī)定執(zhí)行。

第二十二條

清除涉密計算機、服務(wù)器等網(wǎng)絡(luò)設(shè)備、存儲介質(zhì)中的涉密信息時，必須使用符合保密標(biāo)準(zhǔn)、要求的工具或軟件。

第二節(jié)

用戶管理與授權(quán)

第二十三條

根據(jù)本部門、單位使用涉密信息系統(tǒng)的密級和實際工作需要，確定人員知悉范圍，以此作為用戶授權(quán)的依據(jù)。

第二十四條

用戶清單管理

（一）科技信息部管理“研究試驗堆燃料元件數(shù)字化信息系統(tǒng)”和“中核集團涉密廣域網(wǎng)”用戶清單；財會部管理“財務(wù)會計核算網(wǎng)”用戶清單；

（二）新增用戶時，由用戶本人提出書面申請，經(jīng)本部門、單位審核，科技信息部、保密辦審批后，由科技信息部備案并統(tǒng)一建立用戶；“財務(wù)會計核算網(wǎng)”的用戶由財會部統(tǒng)一建立；

（三）刪除用戶時，由用戶本人所在部門、單位書面通知科技信息部，核準(zhǔn)后由安全保密管理員即時將用戶在涉密信息系統(tǒng)內(nèi)的所有帳號、權(quán)限廢止；“財務(wù)會計核算網(wǎng)” 4 的刪除用戶由財會部統(tǒng)一刪除用戶帳號、權(quán)限。

第二十五條

用戶標(biāo)識符管理

（一）用戶登錄系統(tǒng)時所使用的用戶身份標(biāo)識，由用戶本人提出書面申請，經(jīng)本部門、單位審核，科技信息部、保密辦審批后，由系統(tǒng)管理員產(chǎn)生，并確保用戶標(biāo)識在此系統(tǒng)生命周期中的唯一性；

（二）安全保密管理員每月一次檢查與用戶身份標(biāo)識相關(guān)的日志，發(fā)現(xiàn)異常情況，應(yīng)及時向保密辦報告。

第二十六條用戶授權(quán)管理

（一）涉密信息系統(tǒng)用戶授權(quán)應(yīng)遵循最小授權(quán)分配原則，安全保密管理員對所有用戶的權(quán)限明細文檔化；

（二）安全審計員每月審查權(quán)限列表，發(fā)現(xiàn)異常情況，應(yīng)及時向保密辦報告。

第三節(jié)

信息系統(tǒng)互聯(lián)

第二十七條涉密信息系統(tǒng)必須與國際互聯(lián)網(wǎng)和其它公共信息系統(tǒng)實行物理隔離。禁止將涉密計算機和涉密信息系統(tǒng)直接接入公司內(nèi)部非涉密信息系統(tǒng)，確因工作需要接入時必須采用符合保密標(biāo)準(zhǔn)的信息隔離交換系統(tǒng)進行必要的邊界控制措施。

第五章

運行維護管理

第二十八條涉密信息系統(tǒng)投入運行前，應(yīng)當(dāng)經(jīng)過國家保密工作部門審批，未經(jīng)審批的涉密信息系統(tǒng)不得處理涉密信息。

第二十九條

涉密信息系統(tǒng)應(yīng)與用戶終端實施IP-MAC，并隨人員、崗位等變化及時調(diào)整。涉密信息系統(tǒng)的用戶終端、服務(wù)器等設(shè)備設(shè)施應(yīng)進行安全加固，關(guān)閉不必要的帳戶、服務(wù)和端口，并設(shè)置規(guī)范的口令策略。

涉密設(shè)備（導(dǎo)線）與外網(wǎng)、通訊設(shè)備（導(dǎo)線）和其他導(dǎo)體的隔離應(yīng)符合保密要求。

第三十條

涉密信息系統(tǒng)與國際互聯(lián)網(wǎng)、公眾信息網(wǎng)絡(luò)等非涉密信息系統(tǒng)（以下簡稱外網(wǎng)）的信息交換，按信息交換及中間轉(zhuǎn)換機管理規(guī)定執(zhí)行。

第三十一條

禁止使用非涉密信息系統(tǒng)（包括非涉密單機）存儲和處理涉密信息。第三十二條

建立健全防病毒軟件（含木馬查殺）升級、打補丁機制，及時升級病毒和惡意代碼樣本庫，進行病毒和惡意代碼查殺，及時安裝操作系統(tǒng)、數(shù)據(jù)庫和應(yīng)用系統(tǒng)的補丁程序。防病毒軟件應(yīng)使用經(jīng)國家主管部門批準(zhǔn)的防病毒軟件。

第三十三條

未經(jīng)科技信息部審批，禁止對涉密信息系統(tǒng)格式化或重裝操作系統(tǒng)，禁止刪除涉密信息系統(tǒng)的移動存儲介質(zhì)及外部設(shè)備（包括服務(wù)器等網(wǎng)絡(luò)設(shè)備）等日志記錄。

第三十四條

涉密應(yīng)用軟件開發(fā)及運行維護必須選擇具有相關(guān)保密資質(zhì)的單位承擔(dān)，并與之簽訂《保密協(xié)議書》，協(xié)議書必須經(jīng)保密辦審查備案，明確保密要求，防止國家秘密的泄露。

第三十五條

涉密信息系統(tǒng)中的信息輸出應(yīng)當(dāng)集中管理，有效控制，建立集中打印控制機制。

第三十六條

涉密信息系統(tǒng)用戶終端不準(zhǔn)安裝、運行、使用與工作無關(guān)的軟件，嚴(yán)禁安裝具有無線通訊功能的軟件。未經(jīng)科技信息部審批，用戶終端禁止安裝或拆卸硬件設(shè)備和軟件及更改系統(tǒng)設(shè)置。用戶終端的應(yīng)用軟件安裝情況登記備案，每季度進行一次核查。

第三十七條

涉密設(shè)備嚴(yán)禁具有無線互聯(lián)功能，不能安裝紅外接口、無線網(wǎng)卡、無線鼠標(biāo)、無線鍵盤等。

第三十八條

對集中存放涉密信息系統(tǒng)服務(wù)器、交換機等涉密設(shè)備的場所列入保密要害部位管理，建立出入登記、外來人員審查等管理制度。

第三十九條

涉密信息系統(tǒng)應(yīng)采取身份鑒別、訪問控制和安全審計等技術(shù)保護措施。第四十條

涉密信息系統(tǒng)建立文檔化的安全保密策略，并根據(jù)環(huán)境、系統(tǒng)和威脅變 6 化情況及時調(diào)整更新安全保密策略。

第四十一條

涉密信息系統(tǒng)建立文檔化的安全保密審計報告，機密級1個月、秘密級3個月進行一次審計日志收集、整理、分析，按要求形成文檔化安全審計報告并備案。

第四十二條

涉密信息系統(tǒng)建立文檔化的風(fēng)險評估分析報告，每半年根據(jù)系統(tǒng)綜合日志進行一次風(fēng)險評估（自評估或檢查評估），形成文檔化的風(fēng)險分析報告，對存在的風(fēng)險及時采取補救措施。

第四十三條

涉密信息系統(tǒng)建立實時入侵檢測系統(tǒng)，做到實時監(jiān)測系統(tǒng)網(wǎng)絡(luò)設(shè)備、終端和服務(wù)器的各種攻擊行為。應(yīng)具有漏洞掃描技術(shù)，以提前警告網(wǎng)絡(luò)系統(tǒng)中系統(tǒng)的弱點所在，防止黑客入侵和內(nèi)部人員的誤用。

第四十四條

涉密信息系統(tǒng)使用國家有關(guān)主管部門批準(zhǔn)的檢測工具對系統(tǒng)進行安全保密性能檢測，檢測工具版本應(yīng)及時更新、升級。

第六章

設(shè)備與介質(zhì)管理

第四十五條

計算機和信息系統(tǒng)設(shè)備包括：網(wǎng)絡(luò)設(shè)備、服務(wù)器、用戶終端（臺式計算機、便攜式計算機、工業(yè)控制機等）、掃描儀、打印輸出設(shè)備及網(wǎng)絡(luò)安全保密產(chǎn)品等；介質(zhì)包括：紙介質(zhì)、存儲介質(zhì)及其它記錄載體（如計算機硬盤、光盤、移動硬盤、優(yōu)盤、軟盤和錄音帶、錄像帶、數(shù)碼相機存儲卡等）。

第四十六條

接入涉密信息系統(tǒng)的設(shè)備和介質(zhì)稱為涉密設(shè)備和涉密存儲介質(zhì)，并按統(tǒng)一技術(shù)要求和部署方式進行管理。涉密設(shè)備和存儲介質(zhì)應(yīng)與國際互聯(lián)網(wǎng)和其他公眾信息網(wǎng)絡(luò)實行物理隔離；系統(tǒng)內(nèi)的設(shè)備、介質(zhì)、設(shè)施根據(jù)其處理信息的最高密級標(biāo)明涉密等級和主要用途。

第四十七條計算機和信息系統(tǒng)中使用的設(shè)備、存儲介質(zhì)應(yīng)遵循“統(tǒng)一購置、統(tǒng)一標(biāo)識、嚴(yán)格登記、規(guī)范管理”的原則，嚴(yán)格執(zhí)行國家秘密載體保密管理規(guī)定。

第四十八條各部門、單位指定專人負(fù)責(zé)涉密設(shè)備和介質(zhì)的日常管理工作，建立存儲介質(zhì)登記備案、定期核查與信息清理制度。保密辦對涉密設(shè)備的采購、使用、維修、變更、報廢負(fù)有指導(dǎo)、監(jiān)督、檢查的職責(zé)，對存儲介質(zhì)歸口管理。

第一節(jié)

設(shè)備管理

第四十九條采購管理

（一）涉密設(shè)備選用國產(chǎn)設(shè)備，涉密系統(tǒng)集成與系統(tǒng)服務(wù)、安全產(chǎn)品的采購，不得進行公開招標(biāo)，須在具有資質(zhì)的單位和經(jīng)國家主管部門批準(zhǔn)范圍內(nèi)選擇，且供方應(yīng)具有完備的資質(zhì)證明和良好的信譽，以及長期供貨和代維護能力；

（二）采購部門不得向供應(yīng)方透露涉密設(shè)備的最終用戶；

（三）采購的計算機，統(tǒng)一不配備光驅(qū)、軟驅(qū)、視頻設(shè)備及具有無線互聯(lián)功能的無線鍵盤、無線鼠標(biāo)、紅外接口、無線網(wǎng)卡等。確因工作需要配備的，經(jīng)保密辦審批后配發(fā)；

（四）科技信息部做好資產(chǎn)清單和臺帳管理，涉密設(shè)備需在保密辦備案并粘貼密級標(biāo)識后投入使用。臺帳注明涉密設(shè)備使用人、安全責(zé)任人、安全分類以及資產(chǎn)所在的位置，并且每半年對涉密設(shè)備清查核對一次。

第五十條

使用管理

（一）各部門、單位建立涉密設(shè)備、打印機等準(zhǔn)入審批、使用登記、銷毀等備案制度。

（二）涉密設(shè)備的電磁泄露發(fā)射應(yīng)符合國家有關(guān)保密標(biāo)準(zhǔn)，并采取相應(yīng)防護措施。涉密設(shè)備和傳輸線路應(yīng)符合紅黑隔離要求，并采取電源濾波防護措施。

（三）用戶終端登錄識別技術(shù)應(yīng)采用以下二種方式之一：

1、數(shù)字證書機制采用USBKey與PIN口令相結(jié)合的方式進行身份鑒別，口令長度設(shè)置不少于十位。USBKey按機密級密件管理，應(yīng)及時修改初始的PIN碼，并將USBKey 8 妥善保管。

2、密碼口令。機密級密碼口令長度不得少于十個字符，每周至少更換一次；秘密級密碼口令長度不得少于八個字符，每月至少更換一次；口令采用大小寫英文字母、數(shù)字和特殊字符等兩者以上的組合。

（四）在其他信息系統(tǒng)使用過的設(shè)備以及新增設(shè)備接入涉密計算機和信息系統(tǒng)之前，應(yīng)進行病毒（含木馬）及惡意代碼的檢測、查殺。

第五十一條維修管理

（一）涉密設(shè)備維修時，應(yīng)向科技信息部提出申請，科技信息部對維修的涉密設(shè)備檢查診斷后，作出公司內(nèi)維修或外出維修的判斷，并通知部門、單位；

（二）涉密設(shè)備維修原則上來公司現(xiàn)場維修，維修時應(yīng)有專人現(xiàn)場監(jiān)管；

（三）涉密設(shè)備外出維修時，對涉密設(shè)備預(yù)先采取保密措施，拆除存儲部件，并有專人在場監(jiān)控維修全過程；外出維修的涉密設(shè)備，原則上不能在外存放，當(dāng)日未維修完畢的應(yīng)帶回公司存放，次日再送出去維修；涉密設(shè)備維修時應(yīng)與維修單位簽訂保密協(xié)議；

（四）涉密設(shè)備確需恢復(fù)存儲的數(shù)據(jù)、信息時，應(yīng)經(jīng)保密辦審批后在具有涉密數(shù)據(jù)恢復(fù)資質(zhì)的單位進行；

（五）維修時更換下的硬盤、存儲卡，必須將舊件按涉密載體進行管理，禁止將舊件抵價維修或隨意拋棄；

（六）維修的涉密設(shè)備應(yīng)做好維修情況記錄，存檔備查。第五十二條變更管理

（一）涉密設(shè)備變更用途時，應(yīng)事先提出變更申請并清除其存儲的涉密信息，經(jīng)保密辦審核批準(zhǔn)后辦理變更。變更程序是：

1、公司內(nèi)部門、單位之間調(diào)配涉密設(shè)備，由科技信息部提出變更調(diào)配計劃并作技術(shù)支持，接收單位辦理變更手續(xù)并到保密辦變更涉密設(shè)備臺帳；

2、部門、單位內(nèi)部調(diào)整變更涉密設(shè)備，由部門、單位領(lǐng)導(dǎo)批準(zhǔn)，并通知保密辦變更涉密計算機臺帳；

3、調(diào)配變更后的涉密設(shè)備要及時確定密級，并粘貼密級標(biāo)識。

（二）涉密設(shè)備變更密級，遵循如下保密規(guī)定：

1、絕密級設(shè)備不得進行變更；

2、不變更使用人及使用部門、單位，升密時存儲介質(zhì)（包括硬盤、儲存卡）可不更換，降密或脫密時必須更換存儲介質(zhì)；

3、變更使用人或使用部門、單位，升密、降密必須更換存儲介質(zhì)；

4、存儲介質(zhì)的更換由科技信息部辦理，新存儲介質(zhì)到保密辦領(lǐng)取，更換下的舊存儲介質(zhì)交保密辦；

5、非涉密設(shè)備變更為涉密設(shè)備，需對存儲介質(zhì)進行格式化，重新安裝操作系統(tǒng)，并拆除視頻設(shè)備和無線互聯(lián)功能模塊。

第五十三條報廢管理

（一）對批準(zhǔn)報廢的信息設(shè)備拆除存儲介質(zhì)并交保密辦集中統(tǒng)一銷毀或再利用；

（二）淘汰或報廢的涉密設(shè)備，不得用于公益捐贈，或流入舊貨市場。

第二節(jié)

介質(zhì)管理

第五十四條

購置和發(fā)放

（一）申請部門、單位根據(jù)需要向保密辦提出所需存儲介質(zhì)種類、數(shù)量的申請；

（二）保密辦對申請進行審核后報主管領(lǐng)導(dǎo)審批，并按批準(zhǔn)的種類、數(shù)量集中采購；

（三）保密辦按存儲介質(zhì)種類和密級統(tǒng)一編號、登記、粘貼標(biāo)識后發(fā)放存儲介質(zhì)；

（四）各部門、單位由專人管理存儲介質(zhì)，建立臺帳，定期核查。第五十五條使用和維護

（一）涉密存儲介質(zhì)應(yīng)根據(jù)所存儲信息的最高密級劃定密級，并在明顯位置粘貼密 10 級標(biāo)識，禁止使用無標(biāo)識的存儲介質(zhì)。涉密存儲介質(zhì)嚴(yán)禁在聯(lián)接互聯(lián)網(wǎng)的計算機和非涉密計算機上使用；

（二）在涉密信息系統(tǒng)內(nèi)使用的涉密存儲介質(zhì)采取綁定或有效的技術(shù)接入控制措施，使涉密存儲介質(zhì)只能在授權(quán)的涉密計算機上使用。未采用綁定技術(shù)的涉密計算機，須采取關(guān)閉和監(jiān)控數(shù)據(jù)端口（USB口）的物理防護措施進行控制；

（三）嚴(yán)格控制其它存儲介質(zhì)的使用，對光盤、軟盤等移動存儲介質(zhì)應(yīng)采用關(guān)閉數(shù)據(jù)接口或禁止驅(qū)動設(shè)備使用等方式加以控制；

（四）禁止在低密級計算機上使用高密級存儲介質(zhì)，禁止在低密級存儲介質(zhì)上存儲高密級信息；

（五）高密級存儲介質(zhì)用于存儲低密級信息時，應(yīng)當(dāng)按照存儲介質(zhì)原標(biāo)識的高密級進行管理；

（六）存放涉密存儲介質(zhì)的場所、部位和設(shè)備應(yīng)符合安全保密要求，集中統(tǒng)一管理；

（七）禁止外來的存儲介質(zhì)接入涉密信息系統(tǒng)，如需導(dǎo)入信息，應(yīng)采取安全準(zhǔn)入許可制度，經(jīng)部門、單位領(lǐng)導(dǎo)審批后，按信息交換及中間轉(zhuǎn)換機管理規(guī)定執(zhí)行；

（八）存儲過絕密級信息的介質(zhì)不能降低密級使用；

（九）嚴(yán)禁將個人具有存儲功能的存儲介質(zhì)和電子設(shè)備（mp3、mp4、優(yōu)盤、手機、掌上電腦等）帶入公司；嚴(yán)禁將涉密存儲介質(zhì)帶出工作場所，確需攜帶外出，經(jīng)本部門、單位領(lǐng)導(dǎo)審批且備案后方可出廠，隨身攜帶，嚴(yán)防被盜或丟失；

（十）經(jīng)保密辦批準(zhǔn)，允許與涉密信息系統(tǒng)相連的數(shù)碼設(shè)備（如相機、錄音筆）等，應(yīng)按涉密載體管理；

（十一）涉密存儲介質(zhì)的維修和維護由科技信息部統(tǒng)一負(fù)責(zé)，外送維修須經(jīng)主管領(lǐng)導(dǎo)審批同意，并送指定維修點維修；

（十二）發(fā)現(xiàn)存儲介質(zhì)丟失，應(yīng)立即報告本部門、單位和保密辦，并及時組織查處。

第五十六條保管和銷毀

（一）涉密存儲介質(zhì)必須由本部門、單位集中統(tǒng)一保管并在有安全保障的保密柜中保存；

（二）對重要的存儲介質(zhì)，應(yīng)定期進行循環(huán)復(fù)制備份；

（三）存儲介質(zhì)的報廢、銷毀，由應(yīng)編制銷毀清單，由本部門、單位主要領(lǐng)導(dǎo)簽字后，統(tǒng)一交保密辦鑒定并做消磁或粉碎處理。

第七章

信息交換及中間轉(zhuǎn)換機管理

第五十七條

涉密計算機和信息系統(tǒng)與其他計算機和信息系統(tǒng)的信息交換必須經(jīng)過中間轉(zhuǎn)換機。

中間轉(zhuǎn)換機是指與任何計算機和信息系統(tǒng)實現(xiàn)物理隔離、獨立運行的專用計算機，專門用于涉密計算機和涉密信息系統(tǒng)與其它計算機和信息系統(tǒng)之間的信息交換。中間轉(zhuǎn)換機分為非涉密中間轉(zhuǎn)換機和涉密中間轉(zhuǎn)換機，中間轉(zhuǎn)換機上應(yīng)安裝符合國家保密要求的計算機病毒和惡意代碼防護產(chǎn)品。

非涉密中間轉(zhuǎn)換機用于從國際互聯(lián)網(wǎng)、公眾信息網(wǎng)絡(luò)和非涉密信息系統(tǒng)到涉密計算機和涉密信息系統(tǒng)進行外部非涉密信息的載入，包括計算機病毒和惡意代碼樣本庫、補丁程序、應(yīng)用程序和其它相關(guān)信息等。

涉密中間轉(zhuǎn)換機用于從公司外部的涉密計算機和涉密信息系統(tǒng)（涉密移動存儲介質(zhì)）到公司內(nèi)部涉密計算機和涉密信息系統(tǒng)的信息交換。涉密中間轉(zhuǎn)換機的密級應(yīng)根據(jù)轉(zhuǎn)換信息的最高密級確定。

涉密網(wǎng)絡(luò)中間轉(zhuǎn)換機是指單位接入涉密信息系統(tǒng)的管理員專用于信息交換的涉密計算機。

專用涉密傳遞盤是指經(jīng)技術(shù)綁定后的公司各單位內(nèi)部及各部門、單位之間用于涉密 12 信息系統(tǒng)與涉密單機、涉密單機之間信息傳遞的優(yōu)盤。

第五十八條

中間轉(zhuǎn)換機的配置、使用與日常管理

（一）涉密信息系統(tǒng)使用部門、單位需配置涉密網(wǎng)絡(luò)中間轉(zhuǎn)換機、非涉密中間轉(zhuǎn)換機和專用涉密傳遞盤；

（二）黨政辦設(shè)置1臺涉密中間轉(zhuǎn)換機（全公司共用），用于公司外部涉密存儲介質(zhì)上載涉密信息到公司涉密信息系統(tǒng)（或涉密單機）；

（三）中間轉(zhuǎn)換機、專用涉密傳遞盤由各部門、單位中間轉(zhuǎn)換機管理員負(fù)責(zé)管理和使用；

（四）中間轉(zhuǎn)換機上應(yīng)用軟件由科技信息部統(tǒng)一安裝，各單位不得安裝、使用除統(tǒng)一安裝軟件以外的任何軟件；

（五）防病毒軟件升級工作由中間轉(zhuǎn)換機管理員負(fù)責(zé)完成，必須保證每周對中間轉(zhuǎn)換機防病毒軟件升級1次，升級包到科技信息部統(tǒng)一制作、拷貝，并做好升級記錄；

（六）中間轉(zhuǎn)換機應(yīng)專機專用，專人管理，不能用于其它工作。中間轉(zhuǎn)換機管理員做好工作記錄（包括信息名稱、密級、來源、用途、時間、人員等）。

第五十九條

從國際互聯(lián)網(wǎng)、公眾信息網(wǎng)和非涉密信息系統(tǒng)（含非涉密計算機）上載信息到涉密計算機和涉密信息系統(tǒng)操作步驟：

（一）填寫審批單，經(jīng)部門、單位領(lǐng)導(dǎo)批準(zhǔn)后方可進行上載信息；

（二）將信息上載到非涉密中間機；

（三）拔除上載信息存儲介質(zhì)；

（四）在非涉密中間轉(zhuǎn)換機中對上載信息進行計算機病毒、惡意代碼、間諜軟件、木馬程序的查殺；

（五）將上載信息刻錄到只讀光盤；

（六）將存有上載信息的光盤放入涉密計算機或涉密網(wǎng)絡(luò)中間轉(zhuǎn)換機中，上載到涉 13 密計算機和涉密信息系統(tǒng)中；

（七）記錄上載過程，光盤應(yīng)存檔備案，存儲介質(zhì)格式化處理。

第六十條

公司內(nèi)部單臺涉密計算機之間、單臺涉密計算機與涉密信息系統(tǒng)之間的信息交換，使用綁定措施的涉密存儲介質(zhì)進行交換或刻錄到只讀光盤；記錄上載過程，光盤應(yīng)存檔備案。

第六十一條

從公司外部涉密存儲介上載涉密信息到涉密計算機和涉密信息系統(tǒng)操作步驟：

（一）填寫審批單，經(jīng)部門、單位領(lǐng)導(dǎo)批準(zhǔn)后方可進行上載信息；

（二）將信息上載到涉密中間轉(zhuǎn)換機；

（三）拔除外部涉密存儲介質(zhì)；

（四）在涉密中間轉(zhuǎn)換機中對上載信息進行計算機病毒、惡意代碼、間諜軟件、木馬程序的查殺；

（五）將需要上載的涉密信息刻錄到只讀光盤或拷貝到專用涉密傳遞盤；

（六）將存有上載信息的涉密光盤或介質(zhì)放入涉密計算機或涉密網(wǎng)絡(luò)中間轉(zhuǎn)換機中，上載到涉密計算機和涉密信息系統(tǒng)中；

（七）記錄上載過程，光盤應(yīng)存檔備案，專用涉密傳遞盤交還中間轉(zhuǎn)換機管理人員，并及時進行信息清除或格式化處理。

第六十二條

涉密計算機和涉密信息系統(tǒng)中的非涉密信息對外交換一般應(yīng)當(dāng)采用打印輸出紙質(zhì)文件方式進行，確需電子信息時在涉密計算機和涉密網(wǎng)絡(luò)中間機將上載信息刻錄到只讀光盤，并記錄上載過程，光盤存檔備案。

第八章

國際互聯(lián)網(wǎng)計算機管理

第六十三條接入國際互聯(lián)網(wǎng)的計算機，開通前須由接入部門、單位提出申請，保 14 密辦審核，公司分管領(lǐng)導(dǎo)審批。開通、審批堅持“工作必須”的原則。

第六十四條國際互聯(lián)網(wǎng)計算機實行專人負(fù)責(zé)、專機上網(wǎng)管理，嚴(yán)禁存儲、處理、傳遞涉密信息和內(nèi)部敏感信息。接入互聯(lián)網(wǎng)的計算機須建立使用登記制度。

第六十五條上網(wǎng)信息實行“誰上網(wǎng)誰負(fù)責(zé)”的保密管理原則，信息上網(wǎng)必須經(jīng)過嚴(yán)格審查和批準(zhǔn)，堅決做到“涉密不上網(wǎng)，上網(wǎng)不涉密”。對上網(wǎng)信息進行擴充或更新，應(yīng)重新進行保密審查。

第六十六條任何部門、單位和個人不得在電子郵件、電子公告系統(tǒng)、聊天室、網(wǎng)絡(luò)新聞組、博客等上發(fā)布、談?wù)?、傳遞、轉(zhuǎn)發(fā)或抄送國家秘密信息。

第六十七條從國際互聯(lián)網(wǎng)或其它公眾信息網(wǎng)下載程序和軟件工具等轉(zhuǎn)入涉密系統(tǒng)，經(jīng)科技信息部審批后，按照信息交換及中間轉(zhuǎn)換機管理規(guī)定執(zhí)行。

第九章

便攜式計算機管理

第六十八條

便攜式計算機（包括涉密便攜式計算機和非涉密便攜式計算機）實行“誰擁有，誰使用，誰負(fù)責(zé)”的保密管理原則，使用者須與公司簽定保密承諾書。

第六十九條涉密便攜式計算機根據(jù)工作需要確定密級，粘貼密級標(biāo)識，按照涉密設(shè)備進行管理，保密辦備案后方可使用。

第七十條

便攜式計算機應(yīng)具備防病毒、防非法外聯(lián)和身份認(rèn)證（設(shè)置開機密碼口令）等安全保密防護措施。

第七十一條

禁止使用涉密便攜式計算機上國際互聯(lián)網(wǎng)和非涉密網(wǎng)絡(luò)；嚴(yán)禁涉密便攜式計算機與涉密信息系統(tǒng)互聯(lián)。

第七十二條

涉密便攜式計算機不得處理絕密級信息。未經(jīng)保密辦審批，嚴(yán)禁在涉密便攜式計算機中存儲涉密信息。處理、存儲涉密信息應(yīng)在涉密移動存儲介質(zhì)上進行，并與涉密便攜式計算機分離保管。

第七十三條

禁止使用私有便攜式計算機處理辦公信息；嚴(yán)禁非涉密便攜式計算機存儲、處理涉密信息；嚴(yán)禁將涉密存儲介質(zhì)接入非涉密便攜式計算機使用。

第七十四條公司配備專供外出攜帶的涉密便攜式計算機和涉密存儲介質(zhì)，按照“集中管理、審批借用”的原則進行管理，建立使用登記制度。外出攜帶的涉密便攜式計算機須經(jīng)保密辦檢查后方可帶出公司，返回時須進行技術(shù)檢查。

第七十五條

因工作需要外單位攜帶便攜式計算機進入公司辦公區(qū)域，需辦理保密審批手續(xù)。

第十章

應(yīng)急響應(yīng)管理

第七十六條為有效預(yù)防和處置涉密信息系統(tǒng)安全突發(fā)事件，及時控制和消除涉密信息系統(tǒng)安全突發(fā)事件的危害和影響，保障涉密信息系統(tǒng)的安全穩(wěn)定運行，科技信息部和財會部應(yīng)分別制定相應(yīng)應(yīng)急響應(yīng)預(yù)案，經(jīng)公司涉密信息系統(tǒng)安全保密領(lǐng)導(dǎo)小組審批后實施。

第七十七條應(yīng)急響應(yīng)預(yù)案用于涉密信息系統(tǒng)安全突發(fā)事件。突發(fā)事件分為系統(tǒng)運行安全事件和泄密事件，根據(jù)事件引發(fā)原因分為災(zāi)害類、故障類或攻擊類三種情況。

（一）災(zāi)害事件：根據(jù)實際情況，在保障人身安全前提下，保障數(shù)據(jù)安全和設(shè)備安全。

（二）故障或攻擊事件：判斷故障或攻擊的來源與性質(zhì)，關(guān)閉影響安全與穩(wěn)定的網(wǎng)絡(luò)設(shè)備和服務(wù)器設(shè)備，斷開信息系統(tǒng)與攻擊來源的網(wǎng)絡(luò)物理連接，跟蹤并鎖定攻擊來源的IP地址或其它網(wǎng)絡(luò)用戶信息，修復(fù)被破壞的信息，恢復(fù)信息系統(tǒng)。按照事件發(fā)生的性質(zhì)分別采用以下方案：

1、病毒傳播：及時尋找并斷開傳播源，判斷病毒的類型、性質(zhì)、可能的危害范圍。為避免產(chǎn)生更大的損失，保護計算機，必要時可關(guān)閉相應(yīng)的端口，尋找并公布病毒攻擊 16 信息，以及殺毒、防御方法；

2、外部入侵：判斷入侵的來源，評價入侵可能或已經(jīng)造成的危害。對入侵未遂、未造成損害的，且評價威脅很小的外部入侵，定位入侵的IP地址，及時關(guān)閉入侵的端口，限制入侵的IP地址的訪問。對于已經(jīng)造成危害的，應(yīng)立即采用斷開網(wǎng)絡(luò)連接的方法，避免造成更大損失和帶來的影響；

3、內(nèi)部入侵：查清入侵來源，如IP地址、所在區(qū)域、所處辦公室等信息，同時斷開對應(yīng)的交換機端口，針對入侵方法調(diào)整或更新入侵檢測設(shè)備。對于無法制止的多點入侵和造成損害的，應(yīng)及時關(guān)閉被入侵的服務(wù)器或相應(yīng)設(shè)備；

4、網(wǎng)絡(luò)故障：判斷故障發(fā)生點和故障原因，能夠迅速解決的盡快排除故障，并優(yōu)先保證主要應(yīng)用系統(tǒng)的運轉(zhuǎn)；

5、其它未列出的不確定因素造成的事件，結(jié)合具體的情況，做出相應(yīng)的處理。不能處理的及時咨詢，上報公司信息安全領(lǐng)導(dǎo)小組。

第七十八條按照信息安全突發(fā)事件的性質(zhì)、影響范圍和造成的損失，將涉密信息系統(tǒng)安全突發(fā)事件分為特別重大事件（I級）、重大事件（II級）、較大事件（III級）和一般事件（IV級）四個等級。

（一）一般事件由科技信息部（或財會部）依據(jù)應(yīng)急響應(yīng)預(yù)案進行處置；

（二）較大事件由科技信息部（或財會部）、保密辦依據(jù)應(yīng)急響應(yīng)預(yù)案進行處置，及時向公司信息安全領(lǐng)導(dǎo)小組報告并提請協(xié)調(diào)處置；

（三）重大事件啟動應(yīng)急響應(yīng)預(yù)案，對突發(fā)事件進行處置，及時向公司黨政報告并提請協(xié)調(diào)處置；

（四）特別重大事件由公司報請中核集團公司對信息安全突發(fā)事件進行處置。第七十九條發(fā)生突發(fā)事件（如涉密數(shù)據(jù)被竊取或信息系統(tǒng)癱瘓等）應(yīng)按如下應(yīng)急響應(yīng)的基本步驟、基本處理辦法和流程進行處理：

（一）上報科技信息部和保密辦；

（二）關(guān)閉系統(tǒng)以防止造成數(shù)據(jù)損失；

（三）切斷網(wǎng)絡(luò)，隔離事件區(qū)域；

（四）查閱審計記錄尋找事件源頭；

（五）評估系統(tǒng)受損程度；

（六）對引起事件漏洞進行整改；

（七）對系統(tǒng)重新進行風(fēng)險評估；

（八）由保密辦根據(jù)風(fēng)險評估結(jié)果并書面確認(rèn)安全后，系統(tǒng)方能重新運行；

（九）對事件類型、響應(yīng)、影響范圍、補救措施和最終結(jié)果進行詳細的記錄；

（十）依照法規(guī)制度對責(zé)任人進行處理。

第八十條科技信息部、財會部應(yīng)會同保密辦每年組織一次應(yīng)急響應(yīng)預(yù)案演練，檢驗應(yīng)急響應(yīng)預(yù)案各環(huán)節(jié)之間的通信、協(xié)調(diào)、指揮等是否快速、高效，并對其效果進行評估，以使用戶明確自己的角色和責(zé)任。應(yīng)急響應(yīng)相關(guān)知識、技術(shù)、技能應(yīng)納入信息安全保密培訓(xùn)內(nèi)容，并記錄備案。

第十一章

人員管理

第八十一條

各部門、單位每年應(yīng)組織開展不少于1次的全員信息安全保密知識技能教育與培訓(xùn)，并記錄備案。

第八十二條

涉密人員離崗、離職，應(yīng)及時調(diào)整或取消其訪問授權(quán)，并將其保管的涉密設(shè)備、存儲介質(zhì)全部清退并辦理移交手續(xù)。

第八十三條

承擔(dān)涉密信息系統(tǒng)日常管理工作的系統(tǒng)管理員、安全保密管理員、安全審計管理員應(yīng)按重要涉密人員管理。

第十二章

督查與獎懲

第八十四條公司每年應(yīng)對涉密信息系統(tǒng)安全保密狀況、安全保密制度和措施的落實情況進行一次自查，并接受國家和上級單位的指導(dǎo)和監(jiān)督。涉密信息系統(tǒng)每兩年接受一次上級部門開展的安全保密測評或保密檢查，檢查結(jié)果存檔備查。

第八十五條檢查涉密計算機和信息系統(tǒng)的保密檢查工具和涉密信息系統(tǒng)所使用的安全保密、漏洞檢查（取證）軟件等，應(yīng)覆蓋保密檢查的項目，并通過國家保密局的檢測。安全保密檢查工具應(yīng)及時升級或更新，確保檢查時使用最新版本。

第八十六條各部門、單位應(yīng)將員工遵守涉密計算機及信息系統(tǒng)安全保密管理制度的情況，納入保密自查、考核的重要內(nèi)容。對違反本規(guī)定造成失泄密的當(dāng)事人及有關(guān)責(zé)任人，按公司保密責(zé)任考核及獎懲規(guī)定執(zhí)行。

第十三章

附

則

第八十七條本規(guī)定由保密辦負(fù)責(zé)解釋與修訂。

第八十八條本規(guī)定自發(fā)布之日起實施。原《計算機磁（光）介質(zhì)保密管理規(guī)定）[制度編號：（廠1908號）]、《涉密計算機信息系統(tǒng)保密管理規(guī)定》［制度編號:（2006）廠1911號］、《涉密計算機采購、維修、變更、報廢保密管理規(guī)定》［制度編號:（2007）廠1925號］、《國際互聯(lián)網(wǎng)信息發(fā)布保密管理規(guī)定》［制度編號:（2007）廠1926號］、《涉密信息系統(tǒng)信息保密管理規(guī)定》［制度通告:（2008）0934號］、《涉密信息系統(tǒng)安全保密管理規(guī)定》［制度通告:（2008）0935號］同時廢止。

第四篇：計算機和信息系統(tǒng)安全保密管理規(guī)定

計算機和信息系統(tǒng)安全保密管理規(guī)定

第一章總則

第一條為加強公司計算機和信息系統(tǒng)（包括涉密信息系統(tǒng)和非涉密信息系統(tǒng)）

安全保密管理，確保國家秘密及商業(yè)秘密的安全，根據(jù)國家有關(guān)保密法規(guī)標(biāo)準(zhǔn)和中核集團公司有關(guān)規(guī)定，制定本規(guī)定。

第二條本規(guī)定所稱涉密信息系統(tǒng)是指由計算機及其相關(guān)的配套設(shè)備、設(shè)施構(gòu)成的，按照一定的應(yīng)用目標(biāo)和規(guī)定存儲、處理、傳輸涉密信息的系統(tǒng)或網(wǎng)絡(luò)，包括機房、網(wǎng)絡(luò)設(shè)備、軟件、網(wǎng)絡(luò)線路、用戶終端等內(nèi)容。

第三條涉密信息系統(tǒng)的建設(shè)和應(yīng)用要本著“預(yù)防為主、分級負(fù)責(zé)、科學(xué)管理、保障安全”的方針，堅持“誰主管、誰負(fù)責(zé)，誰使用、誰負(fù)責(zé)”和“控制源頭、歸口管理、加強檢查、落實制度”的原則，確保涉密信息系統(tǒng)和國家秘密信息安全。

第四條涉密信息系統(tǒng)安全保密防護必須嚴(yán)格按照國家保密標(biāo)準(zhǔn)、規(guī)定和集團公司文件要求進行設(shè)計、實施、測評審查與審批和驗收；未通過國家審批的涉密信息系統(tǒng)，不得投入使用。

第五條本規(guī)定適用于公司所有計算機和信息系統(tǒng)安全保密管理工作。第二章管理機構(gòu)與職責(zé)

第六條公司法人代表是涉密信息系統(tǒng)安全保密第一責(zé)任人，確保涉密信息系統(tǒng)安全保密措施的落實，提供人力、物力、財力等條件保障，督促檢查領(lǐng)導(dǎo)責(zé)任制落實。第七條公司保密委員會是涉密信息系統(tǒng)安全保密管理決策機構(gòu)，其主要職責(zé)：

（一）建立健全安全保密管理制度和防范措施，并監(jiān)督檢查落實情況；

（二）協(xié)調(diào)處理有關(guān)涉密信息系統(tǒng)安全保密管理的重大問題，對重大失泄密事件進行查處。

第八條成立公司涉密信息系統(tǒng)安全保密領(lǐng)導(dǎo)小組，保密辦、科技信息部（信息化）、黨政辦公室（密碼）、財會部、人力資源部、武裝保衛(wèi)部和相關(guān)業(yè)務(wù)部門、單位為成員單位，在公司黨政和保密委員會領(lǐng)導(dǎo)下，組織協(xié)調(diào)公司涉密信息系統(tǒng)安全保密管理工作。

第九條保密辦主要職責(zé)：

（一）擬定涉密信息系統(tǒng)安全保密管理制度，并組織落實各項保密防范措施；

（二）對系統(tǒng)用戶和安全保密管理人員進行資格審查和安全保密教育培訓(xùn)，審查涉密信息系統(tǒng)用戶的職責(zé)和權(quán)限，并備案；

（三）組織對涉密信息系統(tǒng)進行安全保密監(jiān)督檢查和風(fēng)險評估，提出涉密信息系統(tǒng)安全運行的保密要求；

（四）會同科技信息部對涉密信息系統(tǒng)中介質(zhì)、設(shè)備、設(shè)施的授權(quán)使用的審查，建立涉密信息系統(tǒng)安全評估制度，每年對涉密信息系統(tǒng)安全措施進行一次評審；

（六）對涉密信息系統(tǒng)中各應(yīng)用系統(tǒng)進行定密、變更密級和解密工作進行審核；

（七）組織查處涉密信息系統(tǒng)失泄密事件。第十條

科技信息部、財會部主要職責(zé)是：

（一）組織、實施涉密信息系統(tǒng)的規(guī)劃、設(shè)計、建設(shè)，制定安全保密防護方案；

（四）配備涉密信息系統(tǒng)管理員、安全保密管理員和安全審計員，并制定相應(yīng)的職責(zé)； “三員”角色不得兼任，權(quán)限設(shè)置相互獨立、相互制約；“三員”應(yīng)通過安全保密培訓(xùn)持證上崗；

（六）配合保密辦對涉密信息系統(tǒng)進行安全檢查，對存在的隱患進行及時整改；

（七）制定應(yīng)急預(yù)案并組織演練，落實應(yīng)急措施，處理信息安全突發(fā)事件。第十一條黨政辦公室主要職責(zé)：

按照國家密碼管理的相關(guān)要求，落實涉密信息系統(tǒng)中普密設(shè)備的管理措施。

第十二條相關(guān)業(yè)務(wù)部門、單位主要職責(zé)：涉密信息系統(tǒng)的使用部門、單位要嚴(yán)格遵守保密管理規(guī)定，教育員工提高安全保密意識，落實涉密信息系統(tǒng)各項安全防范措施；準(zhǔn)確確定應(yīng)用系統(tǒng)密級，制定并落實相應(yīng)的二級保密管理制度。

第十三條涉密信息系統(tǒng)配備系統(tǒng)管理員、安全保密管理員、安全審計員，其職責(zé)是：

（三）安全審計員負(fù)責(zé)安全審計設(shè)備安裝調(diào)試，對各種系統(tǒng)操作行為進行安全審計跟蹤分析和監(jiān)督檢查，以及時發(fā)現(xiàn)違規(guī)行為，并每月向涉密信息系統(tǒng)安全保密領(lǐng)導(dǎo)小組辦公室匯報一次情況。第三章系統(tǒng)建設(shè)管理

第十四條規(guī)劃和建設(shè)涉密信息系統(tǒng)時，按照涉密信息系統(tǒng)分級保護標(biāo)準(zhǔn)的規(guī)定，同步規(guī)劃和落實安全保密措施，系統(tǒng)建設(shè)與安全保密措施同計劃、同預(yù)算、同建設(shè)、同驗收。

第十五條涉密信息系統(tǒng)規(guī)劃和建設(shè)的安全保密方案，應(yīng)由具有“涉及國家秘密的計算機信息系統(tǒng)集成資質(zhì)”的機構(gòu)編制或自行編制，安全保密方案必須經(jīng)上級保密主管部門審批后方可實施。

第十六條涉密信息系統(tǒng)規(guī)劃和建設(shè)實施時，應(yīng)由具有“涉及國家秘密的計算機信息系統(tǒng)集成資質(zhì)”的機構(gòu)實施或自行實施，并與實施方簽署保密協(xié)議，項目竣工后必須由保密辦和科技信息部共同組織驗收。

第十七條對涉密信息系統(tǒng)要采取與密級相適應(yīng)的保密措施，配備通過國家保密主管部門指定的測評機構(gòu)檢測的安全保密產(chǎn)品。涉密信息系統(tǒng)使用的軟件產(chǎn)品必須是正版軟件。

第四章信息管理

第一節(jié) 信息分類與控制

第十八條涉密信息系統(tǒng)的密級，按系統(tǒng)中所處理信息的最高密級設(shè)定，嚴(yán)禁處理高于涉密信息系統(tǒng)密級的涉密信息。

第十九條涉密信息系統(tǒng)中產(chǎn)生、存儲、處理、傳輸、歸檔和輸出的文件、數(shù)據(jù)、圖紙等信息及其存儲介質(zhì)應(yīng)按要求及時定密、標(biāo)密，并按涉密文件進行管理。電子文件密級標(biāo)識應(yīng)與信息主體不可分離，密級標(biāo)識不得篡改。涉密信息系統(tǒng)中的涉密信息總量每半年進行一次分類統(tǒng)計、匯總，并在保密辦備案。第二十條涉密信息系統(tǒng)應(yīng)建立安全保密策略，并采取有效措施，防止涉密信息被非授權(quán)訪問、篡改，刪除和丟失；防止高密級信息流向低密級計算機。涉密信息遠程傳輸必須采取密碼保護措施。

第二十一條向涉密信息系統(tǒng)以外的單位傳遞涉密信息，一般只提供紙質(zhì)文件，確需提供涉密電子文檔的，按信息交換及中間轉(zhuǎn)換機管理規(guī)定執(zhí)行。

第二十二條清除涉密計算機、服務(wù)器等網(wǎng)絡(luò)設(shè)備、存儲介質(zhì)中的涉密信息時，必須使用符合保密標(biāo)準(zhǔn)、要求的工具或軟件。第二節(jié) 用戶管理與授權(quán)

第二十三條根據(jù)本部門、單位使用涉密信息系統(tǒng)的密級和實際工作需要，確定人員知悉范圍，以此作為用戶授權(quán)的依據(jù)。第二十四條用戶清單管理

（三）刪除用戶時，由用戶本人所在部門、單位書面通知科技信息部，核準(zhǔn)后由安全保密管理員即時將用戶在涉密信息系統(tǒng)內(nèi)的所有帳號、權(quán)限廢止；“財務(wù)會計核算網(wǎng)”密辦審核，公司分管領(lǐng)導(dǎo)審批。開通、審批堅持“工作必須”的原則。

第六十七條從國際互聯(lián)網(wǎng)或其它公眾信息網(wǎng)下載程序和軟件工具等轉(zhuǎn)入涉密系統(tǒng)，經(jīng)科技信息部審批后，按照信息交換及中間轉(zhuǎn)換機管理規(guī)定執(zhí)行。第九章便攜式計算機管理第六十八條便攜式計算機（包括涉密便攜式計算機和非涉密便攜式計算機）實行 “誰擁有，誰使用，誰負(fù)責(zé)”的保密管理原則，使用者須與公司簽定保密承諾書。

第六十九條涉密便攜式計算機根據(jù)工作需要確定密級，粘貼密級標(biāo)識，按照涉密設(shè)備進行管理，保密辦備案后方可使用。

第七十條便攜式計算機應(yīng)具備防病毒、防非法外聯(lián)和身份認(rèn)證（設(shè)置開機密碼口令）等安全保密防護措施。

第七十一條禁止使用涉密便攜式計算機上國際互聯(lián)網(wǎng)和非涉密網(wǎng)絡(luò)；嚴(yán)禁涉密便攜式計算機與涉密信息系統(tǒng)互聯(lián)。

第七十二條涉密便攜式計算機不得處理絕密級信息。未經(jīng)保密辦審批，嚴(yán)禁在涉密便攜式計算機中存儲涉密信息。處理、存儲涉密信息應(yīng)在涉密移動存儲介質(zhì)上進行，并與涉密便攜式計算機分離保管。

第七十三條禁止使用私有便攜式計算機處理辦公信息；嚴(yán)禁非涉密便攜式計算機存儲、處理涉密信息；嚴(yán)禁將涉密存儲介質(zhì)接入非涉密便攜式計算機使用。

第七十四條公司配備專供外出攜帶的涉密便攜式計算機和涉密存儲介質(zhì)，按照 “集中管理、審批借用”的原則進行管理，建立使用登記制度。外出攜帶的涉密便攜式計算機須經(jīng)保密辦檢查后方可帶出公司，返回時須進行技術(shù)檢查。第七十五條因工作需要外單位攜帶便攜式計算機進入公司辦公區(qū)域，需辦理保密審批手續(xù)。

第十章應(yīng)急響應(yīng)管理

第七十六條

為有效預(yù)防和處置涉密信息系統(tǒng)安全突發(fā)事件，及時控制和消除涉密信息系統(tǒng)安全突發(fā)事件的危害和影響，保障涉密信息系統(tǒng)的安全穩(wěn)定運行，科技信息部和財會部應(yīng)分別制定相應(yīng)應(yīng)急響應(yīng)預(yù)案，經(jīng)公司涉密信息系統(tǒng)安全保密領(lǐng)導(dǎo)小組審批后實施。

（一）災(zāi)害事件：根據(jù)實際情況，在保障人身安全前提下，保障數(shù)據(jù)安全和設(shè)備安

1、病毒傳播：及時尋找并斷開傳播源，判斷病毒的類型、性質(zhì)、可能的危害范圍。為避免產(chǎn)生更大的損失，保護計算機，必要時可關(guān)閉相應(yīng)的端口，尋找并公布病毒攻擊信息，以及殺毒、防御方法；

4、網(wǎng)絡(luò)故障：判斷故障發(fā)生點和故障原因，能夠迅速解決的盡快排除故障，并優(yōu)先保證主要應(yīng)用系統(tǒng)的運轉(zhuǎn)；

5、其它未列出的不確定因素造成的事件，結(jié)合具體的情況，做出相應(yīng)的處理。不能處理的及時咨詢，上報公司信息安全領(lǐng)導(dǎo)小組。

（一）一般事件由科技信息部（或財會部）依據(jù)應(yīng)急響應(yīng)預(yù)案進行處置；

（三）重大事件啟動應(yīng)急響應(yīng)預(yù)案，對突發(fā)事件進行處置，及時向公司黨政報告并提請協(xié)調(diào)處置；

（四）特別重大事件由公司報請中核集團公司對信息安全突發(fā)事件進行處置。

第七十九條發(fā)生突發(fā)事件（如涉密數(shù)據(jù)被竊取或信息系統(tǒng)癱瘓等）應(yīng)按如下應(yīng)急響應(yīng)的基本步驟、基本處理辦法和流程進行處理：

（一）上報科技信息部和保密辦；

（二）關(guān)閉系統(tǒng)以防止造成數(shù)據(jù)損失；

（三）切斷網(wǎng)絡(luò)，隔離事件區(qū)域；

（四）查閱審計記錄尋找事件源頭；

（五）評估系統(tǒng)受損程度；

（六）對引起事件漏洞進行整改；

（七）對系統(tǒng)重新進行風(fēng)險評估；

（八）由保密辦根據(jù)風(fēng)險評估結(jié)果并書面確認(rèn)安全后，系統(tǒng)方能重新運行；

（九）對事件類型、響應(yīng)、影響范圍、補救措施和最終結(jié)果進行詳細的記錄；

（十）依照法規(guī)制度對責(zé)任人進行處理。

第八十條

科技信息部、財會部應(yīng)會同保密辦每年組織一次應(yīng)急響應(yīng)預(yù)案演練，檢驗應(yīng)急響應(yīng)預(yù)案各環(huán)節(jié)之間的通信、協(xié)調(diào)、指揮等是否快速、高效，并對其效果進行評估，以使用戶明確自己的角色和責(zé)任。應(yīng)急響應(yīng)相關(guān)知識、技術(shù)、技能應(yīng)納入信息安全保密培訓(xùn)內(nèi)容，并記錄備案。第十一章人員管理

第八十一條各部門、單位每年應(yīng)組織開展不少于1次的全員信息安全保密知識技能教育與培訓(xùn)，并記錄備案。第八十二條

涉密人員離崗、離職，應(yīng)及時調(diào)整或取消其訪問授權(quán)，并將其保管的涉密設(shè)備、存儲介質(zhì)全部清退并辦理移交手續(xù)。

第八十三條承擔(dān)涉密信息系統(tǒng)日常管理工作的系統(tǒng)管理員、安全保密管理員、安全審計管理員應(yīng)按重要涉密人員管理。第十二章督查與獎懲

第八十六條各部門、單位應(yīng)將員工遵守涉密計算機及信息系統(tǒng)安全保密管理制度的情況，納入保密自查、考核的重要內(nèi)容。對違反本規(guī)定造成失泄密的當(dāng)事人及有關(guān)責(zé)任人，按公司保密責(zé)任考核及獎懲規(guī)定執(zhí)行。第十三章附則

第八十七條本規(guī)定由保密辦負(fù)責(zé)解釋與修訂。

關(guān)于公司計算機信息系統(tǒng)安全和保密管理工作的規(guī)定各部門：

為了認(rèn)真貫徹落實ＸＸ保密委《關(guān)于傳發(fā)<全市ＸＸ組織開展互聯(lián)網(wǎng)涉密及敏感信息檢查清除活動實施方案>的通知》精神和要求，進一步加強公司各部門網(wǎng)絡(luò)及計算機信息安全的保密管理，防止網(wǎng)上泄密事件發(fā)生，確保公司網(wǎng)絡(luò)及計算機工作安全可靠，結(jié)合公司實際情況，現(xiàn)就進一步加強計算機信息系統(tǒng)安全和保密管理工作有關(guān)事宜規(guī)定如下：

一、計算機操作人員必須遵守國家有關(guān)法律，任何人不得利用計算機從事違法活動。

二、按照“誰主管、誰負(fù)責(zé)”和“誰使用、誰負(fù)責(zé)”的原則，開展自查。

1.明確內(nèi)網(wǎng)使用人責(zé)任，簽訂《職工信息安全保密責(zé)任書》，認(rèn)真落實各項安全保密管理規(guī)章制度，積極參加各類安全保密學(xué)習(xí)和活動，知道“一機兩用”違規(guī)行為的類型，不違反相關(guān)的制度規(guī)定。

2.嚴(yán)禁在互聯(lián)網(wǎng)上發(fā)布公司涉密文件、資料、信息、數(shù)據(jù)。未經(jīng)主管領(lǐng)導(dǎo)批準(zhǔn)，不得向外提供公司信息和資料，堅持做到“誰上網(wǎng)、誰負(fù)責(zé)”，“上網(wǎng)不涉密、涉密不上網(wǎng)”。

三、嚴(yán)禁公司內(nèi)網(wǎng)計算機終端上操作事項。2 / 3 1.內(nèi)網(wǎng)計算機終端上違規(guī)處理、存儲的國家秘密信息； 2.內(nèi)網(wǎng)移動存儲介質(zhì)中違規(guī)存儲的國家秘密信息； 3.內(nèi)網(wǎng)服務(wù)器上違規(guī)處理、存儲的國家秘密信息； 4.內(nèi)網(wǎng)網(wǎng)站上違規(guī)發(fā)布的國家秘密信息。

四、嚴(yán)禁公司互聯(lián)網(wǎng)網(wǎng)計算機終端上操作事項。

1.互聯(lián)網(wǎng)計算機終端上違規(guī)處理、存儲的國家秘密和警務(wù)工作秘密信息；

2.互聯(lián)網(wǎng)移動存儲介質(zhì)中違規(guī)存儲的國家秘密和警務(wù)工作秘密信息；

3.互聯(lián)網(wǎng)服務(wù)器上違規(guī)處理、存儲的國家秘密和警務(wù)工作秘密信息；

4.互聯(lián)網(wǎng)上開設(shè)的網(wǎng)站中違規(guī)發(fā)布的國家秘密和警務(wù)工作秘密信息；

5.互聯(lián)網(wǎng)社會網(wǎng)站上開通的微博、電子郵箱等信息發(fā)布和傳輸平臺中違規(guī)發(fā)布、存儲的國家秘密和警務(wù)工作秘密信息。

五、專用于存儲公司財務(wù)、工程設(shè)計方案、安保方案應(yīng)急預(yù)案等資料和內(nèi)部文件的計算機要由專人使用，并設(shè)置密碼，禁止網(wǎng)絡(luò)上的其它計算機訪問，禁止訪問互聯(lián)網(wǎng)及其它外部網(wǎng)絡(luò)系統(tǒng)。

六、做好計算機網(wǎng)絡(luò)病毒防治工作。每臺計算機要由專人負(fù)責(zé)，定期升級計算機殺毒軟件，進行查殺病毒，在使用3 / 3軟盤、U盤和移動硬盤等存儲、拷貝文件之前，要先查殺病毒。嚴(yán)禁在計算機有毒未殺的情況下發(fā)電子郵件和拷貝文件到公司的其它計算機上。

七、嚴(yán)格按照操作程序使用計算機，認(rèn)真做好計算機防盜工作。公司員工要愛護計算機。下班及節(jié)假日，務(wù)必將電源開關(guān)關(guān)閉，徹底切斷計算機電源，關(guān)好門窗，做好防火、防盜工作。

八、嚴(yán)格工作紀(jì)律。禁止瀏覽和下載不健康的網(wǎng)上信息，禁止從網(wǎng)上下載與工作無關(guān)的軟件。二〇一二年五月三日

計算機網(wǎng)絡(luò)及信息資源安全保密管理制度第一節(jié)總則

第一條為保護公司計算機信息資源的安全，并規(guī)范公司計算機及網(wǎng)絡(luò) 硬件的采購、安裝（建設(shè)）、維護、管理等環(huán)節(jié)的管理要求，根據(jù)《中華人民共和國保守國家秘密法》，《中華人民共和國計算機信息網(wǎng)絡(luò)國際互聯(lián)網(wǎng)管理暫行規(guī)定》和《中國公用計算機互聯(lián)網(wǎng)國際聯(lián)網(wǎng)管理辦法》，特制定本規(guī)定。第二條本規(guī)定適用于公司內(nèi)部所有單位所使用的計算機系統(tǒng)。第二節(jié)計算機的涉密管理規(guī)定

第三條公司內(nèi)部計算機信息系統(tǒng)的安全保密工作由信息技術(shù)部負(fù)責(zé)具體實施。公司各下屬單位、部門主要領(lǐng)導(dǎo)主管本單位、本部門的計算機信息系統(tǒng)的安全保密工作。第四條存放過秘密信息的計算機及相應(yīng)介質(zhì)未在徹底格式化前不能降低密級使用。第五條存儲有秘密信息的計算機及相應(yīng)存儲裝置在維修時，應(yīng)采取措施保證所存儲的秘密信息不被泄露。

第六條企業(yè)內(nèi)部規(guī)劃和建設(shè)任何計算機信息系統(tǒng)，應(yīng)當(dāng)同步規(guī)劃落實相應(yīng) 的信息資源安全保密措施。

第七條對涉及企業(yè)經(jīng)營、管理、技術(shù)和人事秘密的數(shù)據(jù)庫以及計算機應(yīng)用系統(tǒng)，必須采取技術(shù)安全保密措施，并且不得與外部連通。第三節(jié)計算機及網(wǎng)絡(luò)硬件管理

第八條所有計算機及網(wǎng)絡(luò)硬件的采購和建設(shè)實施，須在總體規(guī)劃目標(biāo)指導(dǎo)下進行。第九條進入總體規(guī)劃的計算機及網(wǎng)絡(luò)硬件在采購和建設(shè)實施時，需提前預(yù)算。作為預(yù)算的申請依據(jù)，信息技術(shù)部每年第四季度在公司開始下一的預(yù)算工作前，發(fā)布次年各類主要計算機設(shè)備的采購計劃價。

第十條總部部門或事業(yè)部在申請預(yù)算（或追加預(yù)算）時若涉及計算機購買計劃，須提交《計算機設(shè)備預(yù)算追加及采購審批表》，并履行相應(yīng)的審核手續(xù)。

第十一條信息技術(shù)部負(fù)責(zé)編制公司網(wǎng)絡(luò)中心及主干網(wǎng)絡(luò)硬件采購計劃和預(yù)算，報公司批準(zhǔn)后執(zhí)行。總部各部門獲批準(zhǔn)的計算機預(yù)算，由信息技術(shù)部監(jiān)管使用。

第十二條各事業(yè)部每年底將下的計算機及網(wǎng)絡(luò)硬件采購計劃和預(yù)算報信息技術(shù)部審核。信息技術(shù)部有權(quán)糾正事業(yè)部硬件采購計劃或硬件預(yù)算中不合理的需求。第十三條每預(yù)算定稿之后，運營管理部負(fù)責(zé)將總部部門及各事業(yè)部獲準(zhǔn)采購計算機的數(shù)字通報信息技術(shù)部，信息技術(shù)部負(fù)責(zé)監(jiān)管各單位的采購行為。

第十四條信息技術(shù)部在每季度的第一周發(fā)布本季度的計算機硬件采購選型指導(dǎo)，供全公司統(tǒng)一執(zhí)行。

第十五條對公司總部及各事業(yè)部需求量較大的計算機設(shè)備，信息技術(shù)部會同運營管理部通過招標(biāo)談判在計算機供貨商中選定戰(zhàn)略合作伙伴，使公司總部及各事業(yè)部能夠以統(tǒng)一的優(yōu)惠價格采購到所需的計算機產(chǎn)品。

第十六條公司總部的硬件采購工作，委托裝載機事業(yè)部代為實施。裝載機事業(yè)部接受委托時須對申請部門提交的《計算機設(shè)備預(yù)算追加及采購審批表》確認(rèn)后,方可采購。第十七條各事業(yè)部計算機維修配件的采購，由各事業(yè)部根據(jù)不同計算機的具體情況相應(yīng)處理。

第十八條在硬件采購合同執(zhí)行的過程中，如遇到特殊情況需要更改采購技術(shù)型號的，必須經(jīng)過信息技術(shù)部復(fù)審?fù)狻?/p>

第十九條公司總部的計算機，由信息技術(shù)部負(fù)責(zé)硬件安裝、維修、服務(wù)和管理。各事業(yè)部的計算機，由事業(yè)部備案的硬件崗位人員負(fù)責(zé)軟硬件安裝、維修、服務(wù)和管理。第二十條公司總部各部門和各事業(yè)部每年底要將本單位的計算機設(shè)備狀況、配置變動、責(zé)任人變動等情況填表報信息技術(shù)部。

第二十一條崗位上的計算機超過使用年限之后，如果因為主要部件的故障頻率高并無法修復(fù)的，經(jīng)過所在資產(chǎn)管理實體的資產(chǎn)管理人員及硬件專業(yè)人員審核同意后，可以申

第四節(jié)網(wǎng)絡(luò)的接入管理

第二十二條信息技術(shù)部是管理企業(yè)網(wǎng)絡(luò)接入的責(zé)任部門。信息技術(shù)部的網(wǎng)絡(luò)管理員是整個柳工網(wǎng)絡(luò)的總管理員，對全網(wǎng)安全總負(fù)責(zé)，并牽頭與各子域網(wǎng)絡(luò)管理員組建企業(yè)網(wǎng)絡(luò)管理委員會，共同維護企業(yè)的網(wǎng)絡(luò)安全以及信息安全。

第二十三條為保障企業(yè)網(wǎng)絡(luò)的安全，所有連接到企業(yè)內(nèi)部網(wǎng)的計算機必須經(jīng)過信息技術(shù)部的企業(yè)網(wǎng)絡(luò)管理員注冊登記。每臺聯(lián)網(wǎng)的計算機都必須確定責(zé)任人，對該機的遵紀(jì)使用及安全狀況負(fù)責(zé)。不得私自在內(nèi)部網(wǎng)上接入未經(jīng)網(wǎng)管注冊的計算機，否則視同竊取企業(yè)機密，一旦發(fā)現(xiàn)，按照有關(guān)規(guī)定進行處理。

第二十四條為保證網(wǎng)絡(luò)信息資源安全，嚴(yán)格便攜機的管理，在柳工網(wǎng)內(nèi)使用便攜機的特殊用戶必須登記備案，并接受網(wǎng)絡(luò)安全措施、信息安全培訓(xùn)和病毒防護管理。第二十五條為防止信息流失和計算機病毒，要嚴(yán)格控制內(nèi)部網(wǎng)與外部的直接I/O 通道，所有聯(lián)網(wǎng)的計算機都要拆除軟驅(qū)、光驅(qū)、刻錄設(shè)備及其他移動存儲設(shè)備。需要保留的，必須經(jīng)過企業(yè)信息工作主管領(lǐng)導(dǎo)的特別批準(zhǔn)，向信息技術(shù)部的網(wǎng)絡(luò)管理員登記注冊。第二十六條未經(jīng)信息技術(shù)部批準(zhǔn)和備案，私自在企業(yè)網(wǎng)絡(luò)的計算機上安裝各種通訊和存儲設(shè)備（如MODEM、軟驅(qū)、光驅(qū)等）、私自往廠區(qū)內(nèi)帶入未經(jīng)注冊登記的便攜機和存儲設(shè)備等行為，均視同竊取企業(yè)機密，一經(jīng)發(fā)現(xiàn)，須沒收上交企業(yè)保密委員會，按照有關(guān)規(guī)定進行處理。

第二十七條合作單位人員因業(yè)務(wù)交流需要帶入計算機及有關(guān)設(shè)備的，不得接入企業(yè)網(wǎng)絡(luò)，由接待部門領(lǐng)導(dǎo)負(fù)責(zé)相應(yīng)的信息安全責(zé)任。要進行數(shù)據(jù)交換的，按本規(guī)定有關(guān)條文處理。第二十八條

通過MODEM、VPN 等各種方式連入企業(yè)內(nèi)部網(wǎng)的遠程訪問用戶也要柳工內(nèi)部控制制度接受企業(yè)網(wǎng)絡(luò)總管理員的管理，否則將不允許連接到企業(yè)內(nèi)部網(wǎng)。

第二十九條企業(yè)網(wǎng)絡(luò)是工作網(wǎng)絡(luò)，禁止任何利用企業(yè)網(wǎng)絡(luò)以及企業(yè)集成信息平臺進行有損企業(yè)安定團結(jié)局面的行為，違犯者將被追究紀(jì)律甚至法律的責(zé)任。

第三十條企業(yè)的網(wǎng)絡(luò)和計算機都屬于企業(yè)生產(chǎn)、工作的重要設(shè)備，任何破壞企業(yè)網(wǎng)絡(luò)和計算機的行為都視同破壞企業(yè)生產(chǎn)、工作的嚴(yán)重行為，需要追究紀(jì)律和法律的責(zé)任。第五節(jié)數(shù)據(jù)及信息安全的管理第三十一條

數(shù)據(jù)及信息的安全包括數(shù)據(jù)的物理安全以及信息保密。企業(yè)各計算機信息系統(tǒng)都要建立相應(yīng)的安全管理制度，信息技術(shù)部對企業(yè)的全局?jǐn)?shù)據(jù)庫信息資源安全負(fù)責(zé)，各應(yīng)用系統(tǒng)、單位部門的主要負(fù)責(zé)人對本應(yīng)用系統(tǒng)、單位部門的計算機信息資源安全負(fù)責(zé)。第三十二條各應(yīng)用系統(tǒng)、主要單位部門及各域都必須建立相應(yīng)的數(shù)據(jù)備份與災(zāi)難恢復(fù)制度和策略，并切實執(zhí)行。

第三十三條

確有特殊需求經(jīng)批準(zhǔn)在企業(yè)網(wǎng)的某些計算機上保留有光驅(qū)和軟驅(qū)的部門，其部門領(lǐng)導(dǎo)和系統(tǒng)管理員必須對該I/O 通道的安全負(fù)責(zé)，各類數(shù)據(jù)的拷出必須有相關(guān)領(lǐng)導(dǎo)的審批以及文字性記錄備案。

第三十四條除網(wǎng)絡(luò)管理員及其授權(quán)人員外，其余人員無權(quán)擅自在網(wǎng)絡(luò)上傳播、擴散來自企業(yè)網(wǎng)絡(luò)以外的其它軟件和電子文檔。

第三十五條

計算機信息系統(tǒng)聯(lián)網(wǎng)應(yīng)當(dāng)采取系統(tǒng)訪問控制、數(shù)據(jù)保護和系統(tǒng)安全防火

第五篇：《稅務(wù)計算機信息系統(tǒng)安全管理規(guī)定》

國家稅務(wù)總局關(guān)于印發(fā)《稅務(wù)計算機

信息系統(tǒng)安全管理規(guī)定》的通知

1999年7月20日國稅發(fā)【1999】131號

各省、自治區(qū)、直轄市和計劃單列市國家稅務(wù)局、地方稅務(wù)局，揚州培訓(xùn)中心、長春稅務(wù)學(xué)院：

為加強全國稅務(wù)機關(guān)計算機信息系統(tǒng)安全保護工作，保證稅收電子化事業(yè)的順利發(fā)展，根據(jù)公安部、國家保密局的有關(guān)規(guī)定，針對新形勢下計算機應(yīng)用的特點，總局對1997年發(fā)布的《稅務(wù)系統(tǒng)計算機系統(tǒng)安全管理暫行規(guī)定》（國稅發(fā)

【1997】069號）進行了修訂和完善，并更名為《稅務(wù)計算機信息系統(tǒng)安全管理規(guī)定》?，F(xiàn)印發(fā)給你們，請遵照執(zhí)行。原國稅發(fā)【1997】069號同時作廢。

國家保密局國保發(fā)【1998】1號、中央保密委員會、國家保密局中保發(fā)【1998】6號、中華人民共和國公安部令第33號等文件隨本文一并印發(fā)。

稅務(wù)計算機信息系統(tǒng)安全管理規(guī)定

第一章總則

第一條根據(jù)《中華人民共和國保守國家秘密法》和公安部、國家保密局的有關(guān)規(guī)定及要求，為了更好地規(guī)范和管理稅務(wù)系統(tǒng)的計算機、網(wǎng)絡(luò)設(shè)備和電子信息，使之安全運行，更好地發(fā)揮計算機、網(wǎng)絡(luò)和信息資源的作用，特制定《稅務(wù)計算機信息系統(tǒng)安全管理規(guī)定》（以下簡稱《規(guī)定》）。

第二條本《規(guī)定》適用于全國地市級以上稅務(wù)機關(guān)的網(wǎng)絡(luò)、計算機及附屬設(shè)備和電子數(shù)據(jù)的管理。

第三條稅務(wù)系統(tǒng)計算機信息系統(tǒng)安全保護工作誰主管、誰負(fù)責(zé)，預(yù)防為主、綜合治理、人員防范與技術(shù)防范相結(jié)合的原則，逐級建立安全保護責(zé)任制，加強

制度建設(shè)，逐步實現(xiàn)管理科學(xué)化、規(guī)范化。

第四條任何組織或個人，不得利用計算機信息系統(tǒng)從事危害國家利益、集體利益和公民合法利益的活動，不得危害計算機信息系統(tǒng)的安全。

第五條各級稅務(wù)機關(guān)計算機信息系統(tǒng)的建設(shè)和規(guī)劃應(yīng)按國家保密局（國保發(fā)【1998】1號）文件的規(guī)定，同步規(guī)劃并落實相應(yīng)的保密措施。

第六條涉及國家秘密的計算機信息系統(tǒng)的建設(shè)，必須嚴(yán)格按照中共中央保密委員公辦公室和國家保密局（中保辦發(fā)【1998】6號）的通知要求，報經(jīng)省局以上保密部門審批后，方可投入使用。

第七條違反規(guī)定并造成重大事故的，將追究主管負(fù)責(zé)人和直接責(zé)任人的責(zé)任，觸犯法律的將依法處理。

第二章計算機系統(tǒng)安全組織及職管理

第八條國家稅務(wù)總局保密委員會主管全國稅務(wù)機關(guān)計算機信息系統(tǒng)的安全管理工作。地方各級稅務(wù)機關(guān)的保密委員會應(yīng)負(fù)責(zé)本機關(guān)和下屬單位計算機信息系統(tǒng)的安全管理工作。

第九條計算機信息系統(tǒng)的安全管理應(yīng)實行領(lǐng)導(dǎo)負(fù)責(zé)制，由使用計算機信息系統(tǒng)的單位主管領(lǐng)導(dǎo)負(fù)責(zé)本單位的計算機系統(tǒng)的安全工作，并指定有關(guān)機構(gòu)和人員具體承辦。

第十條凡稅務(wù)系統(tǒng)省、地、市（縣）以上的稅務(wù)機關(guān)，其計算機使用具一定規(guī)模的均應(yīng)成立計算機信息系統(tǒng)安全小組；條件不夠成熟的，可指定計算機信息系統(tǒng)安全管理員具體負(fù)責(zé)。

第十一條計算機信息系統(tǒng)的安全管理機構(gòu)由各級保密委員會辦公室與計算機管理部門共同負(fù)責(zé)組建，并吸收具有專業(yè)技術(shù)水平和實踐工作經(jīng)驗的計算機技術(shù)人員參加，認(rèn)真履行安全管理職責(zé)。

第十二條計算機信息系統(tǒng)安全小組的主要職責(zé)：

一、全面負(fù)責(zé)本單位計算機信息系統(tǒng)的安全管理、監(jiān)督檢查和指導(dǎo)計算機

安全方面的工作。

二、負(fù)責(zé)制定具體的安全管理辦法和規(guī)章制度，檢查規(guī)章制度的執(zhí)行落實

情況。

三、面向系統(tǒng)內(nèi)用戶和所屬單位通報計算機病毒情況，提供防治計算機病

毒的技術(shù)服務(wù)。

四、負(fù)責(zé)向公安部門辦理有關(guān)備案手續(xù)，協(xié)助安全管理方面的其它工作和

查處事故。

第三章機房人員管理

第十三條各級稅務(wù)機關(guān)的計算機房是重要性的經(jīng)濟基礎(chǔ)信息處理場所，必須嚴(yán)格執(zhí)行國家有關(guān)安全保密制度的規(guī)定，防止重要經(jīng)濟信息的泄露。

第十四條各用機單位對可能接觸到機要信息的計算機管理人員，應(yīng)定期進行保密教育。

第十五條網(wǎng)絡(luò)系統(tǒng)管理員等重要崗位，應(yīng)選派責(zé)任心強，工作認(rèn)真負(fù)責(zé)的人員擔(dān)任。

第十六條機房內(nèi)嚴(yán)禁未經(jīng)許可的非有關(guān)人員進。如需進入，必須由本單位有關(guān)統(tǒng)口令，以防機密信息的泄露。

第十七條嚴(yán)禁各崗位人員越權(quán)操作，對重要的計算機信息處理系統(tǒng)應(yīng)分級加設(shè)系統(tǒng)口令，以防機密信息的泄露。

第十八條涉密計算機、服務(wù)系統(tǒng)管理員的口令其長度必須超過8位字符，每月至少更換一次。

第十九條涉及密碼的文件須妥善保存，不得隨意公布。

第二十條對重要的資料檔案要妥善保管，以防丟失泄露。機房內(nèi)廢棄的打印紙及磁介質(zhì)等，應(yīng)按國家有關(guān)規(guī)定進行銷毀。

第二十一條提高警惕，防止和打擊竊取、泄露、私自修改計算機重要信息、破壞干憂計算機系統(tǒng)和網(wǎng)絡(luò)正常運行的違法犯罪行為。

第二十二條嚴(yán)格遵守保密制度，保證稅收數(shù)據(jù)、信息、資料的準(zhǔn)確、安全可靠。

第二十三條調(diào)離人員必須移交全部技術(shù)資料和有關(guān)文檔，刪除自己的文件、賬號，由系統(tǒng)管理員修改有關(guān)的口令。

第四章計算機安全產(chǎn)品的管理

第二十四條對新購進的計算機及其設(shè)備，須組織專業(yè)人員檢測后，方可安裝運行，防止由于質(zhì)量引起的總是和原始病毒的侵害。

第二十五條計算機及網(wǎng)絡(luò)的安全產(chǎn)品（防病毒軟件防火墻、安全隔離產(chǎn)品、安全監(jiān)控產(chǎn)品等）必須使用經(jīng)過公安部、國家保密局等有關(guān)部門鑒定批準(zhǔn)銷售的產(chǎn)品，并及時更新版本。不得使用國外同類產(chǎn)品。

第二十六條不得傳播、復(fù)制病毒和病毒程序，不得撰寫這方面的文章。第十七條加密產(chǎn)品的核心機密應(yīng)交本單位辦公廳（室）機要部門或保密辦公室保存，嚴(yán)禁隨意存放，嚴(yán)禁交于公司管理。

第二十八條網(wǎng)絡(luò)加密物理產(chǎn)品，在有條件的地方應(yīng)安置監(jiān)控設(shè)備。

第五章網(wǎng)絡(luò)安全管理

第二十九條在網(wǎng)絡(luò)建設(shè)的設(shè)計中即應(yīng)考慮安全檢查技術(shù)措施，采用較成熟的安全管理和監(jiān)控技術(shù)、防治病毒技術(shù)。

第三十條使用MODEM經(jīng)電話線上Internet終端，在撥號上網(wǎng)時，必須中斷與局域網(wǎng)和廣域網(wǎng)的聯(lián)接，以防止內(nèi)部數(shù)據(jù)的外匯和遭受惡意攻擊。

第三十一條根據(jù)中保辦發(fā)【1998】6號文第十六條的規(guī)定：稅務(wù)系統(tǒng)Internet的建設(shè)，物理上應(yīng)與本地局域網(wǎng)隔離。

第三十二條廣域網(wǎng)通訊服務(wù)器、撥號服務(wù)器、Internet服務(wù)器等與外界聯(lián)接設(shè)備需設(shè)立防火墻、代理服務(wù)器、網(wǎng)關(guān)等防護措施，以防止外界的惡意攻擊。

第三十三條涉密計算機嚴(yán)禁訪問Internet。

第三十四條涉密數(shù)據(jù)的存儲和傳輸應(yīng)當(dāng)按照國家保密局和公安部保密規(guī)定配有相應(yīng)的加密措施。

第三十五條涉密數(shù)據(jù)在數(shù)據(jù)加密網(wǎng)絡(luò)建立之前，嚴(yán)禁通過公網(wǎng)傳遞。第三十六條涉密數(shù)據(jù)加密網(wǎng)絡(luò)建立之前，嚴(yán)禁通過公網(wǎng)傳遞。

第三十六條涉密計算機設(shè)備的維修應(yīng)確保密級數(shù)據(jù)不被泄露。對報廢計算機應(yīng)將硬盤拆除后，由專人負(fù)責(zé)集中銷毀。

第六章數(shù)據(jù)、資料和信息的安全管理

第三十七條機房及使用計算機的單位都要設(shè)專人負(fù)責(zé)文字及磁介質(zhì)資料的安全管理工作。

第三十八條建立資料管理登記簿，詳細記錄資料的分類、名稱、用途、借閱情況等，便于查找和使用。

第三十九條技術(shù)資料應(yīng)集中統(tǒng)一保管，嚴(yán)格借閱制度。

第四十條應(yīng)用系統(tǒng)和操作系統(tǒng)需用磁帶、磁盤備份。對重要的可變數(shù)據(jù)應(yīng)定時清理、備份，并送指定地點存放。

第四十一條存放稅收業(yè)務(wù)應(yīng)用系統(tǒng)及重要信息的磁帶磁盤嚴(yán)禁外借，確因工作需要，須報請有關(guān)領(lǐng)導(dǎo)批準(zhǔn)。

第四十二條對需要長期保存的數(shù)據(jù)磁帶、磁盤，應(yīng)在質(zhì)量保證期內(nèi)（一般為一年）進行轉(zhuǎn)儲，以防止數(shù)據(jù)失效造成損失。

第四十三條按照總局IP地址的統(tǒng)一安排，設(shè)置本系統(tǒng)網(wǎng)絡(luò)的總體布局、局域網(wǎng)段和下屬單位的IP地址的劃分，各級稅務(wù)機關(guān)需將本單位和下屬單位的網(wǎng)段分配報送上一級稅務(wù)機關(guān)備案。

第四十四條有關(guān)路由表、網(wǎng)絡(luò)IP地址的變更，應(yīng)做好記錄，同時需報上級主管部門備案。

第七章機房環(huán)境、消防安全管理

第四十五條計算機設(shè)備和機房應(yīng)保持其工作環(huán)境整潔，保持其所必須的濕度。

第四十六條計算機房應(yīng)列為單位要害和重點防火部位，按照規(guī)定配備足夠數(shù)量的消防器材，機房工作人員要熟悉機房消防器材的存放位置及使用方法，并定期檢查更換。

第四十七條嚴(yán)禁在防火通道內(nèi)堆放雜物，確保設(shè)備及工作人員的安全。第四十八條機房及其附近嚴(yán)禁吸咽、焚燒任何物品。

第四十九條嚴(yán)禁攜帶易燃易爆品進入機房，因工作需要使用易燃物品時，應(yīng)嚴(yán)格執(zhí)行操作規(guī)程，用后必須置于安全狀態(tài)，妥善保管。

第五十條機房用電量嚴(yán)禁超負(fù)荷運行，禁止使用時，應(yīng)按規(guī)定操作，有專人看守，確保安全。

第五十一條機房內(nèi)使用電烙鐵要嚴(yán)格控制，必須使用時，應(yīng)按規(guī)定操作，有專人看守，確保安全。

第五十二條定期對機房供電線路及照明器具進行檢查，防止因線路老化短路造成火災(zāi)。

第五十三條機房工作臺人員要熟悉設(shè)備電源和照明用電以及其他電氣設(shè)備總開關(guān)位置，掌握切斷電源的方法的步驟，發(fā)現(xiàn)火情及時報告，沉著判斷電源及通風(fēng)系統(tǒng)，采取有效措施及時滅火。

第五十四條機房內(nèi)應(yīng)定期除塵，在除塵時應(yīng)確保計算機設(shè)備的安全。第五十五條機房內(nèi)嚴(yán)禁存放、食用任何食品。

第五十六條節(jié)假日期間，如工作需要開機，應(yīng)留有值班人員，或開啟監(jiān)控設(shè)備。

第八章附則

第五十七條本《規(guī)定》由國家稅務(wù)總局信息中心負(fù)責(zé)解釋。

第五十八條本《規(guī)定》自發(fā)布之日起施行。

欧美色欧美亚洲高清在线观看,国产特黄特色a级在线视频,国产一区视频一区欧美,亚洲成a 人在线观看中文

松江區(qū)醫(yī)療機構(gòu)計算機網(wǎng)絡(luò)信息系統(tǒng)安全管理規(guī)定

第一篇：松江區(qū)醫(yī)療機構(gòu)計算機網(wǎng)絡(luò)信息系統(tǒng)安全管理規(guī)定

第二篇：計算機信息系統(tǒng)安全管理規(guī)定

第三篇：計算機和信息系統(tǒng)安全保密管理規(guī)定

第四篇：計算機和信息系統(tǒng)安全保密管理規(guī)定

第五篇：《稅務(wù)計算機信息系統(tǒng)安全管理規(guī)定》

相關(guān)范文推薦

計算機網(wǎng)絡(luò)管理規(guī)定

計算機網(wǎng)絡(luò)管理規(guī)定

廣東省計算機信息系統(tǒng)安全保護管理規(guī)定（精選合集）

XXX市計算機信息系統(tǒng)安全管理規(guī)定

信息系統(tǒng)安全管理方案

信息系統(tǒng)安全管理規(guī)范

系統(tǒng)安全管理規(guī)定[大全5篇]

《關(guān)于加強黨政機關(guān)計算機信息系統(tǒng)安全和保密管理的若干規(guī)定》（本站推薦）