- 目录
-
第1篇公共安全图像信息系统管理办法制度 第2篇涉密计算机及信息系统安全和保密管理办法 第3篇计算机和信息系统安全保密管理办法 第4篇安全管理信息系统运行管理办法 第5篇信息系统密码安全管理办法 第6篇公共安全图像信息系统管理办法
第1篇 信息系统密码安全管理办法
1.1制定目的
(1) 规范公司信息系统密码管理。
(2) 确保网络安全运行,保护信息系统、服务器不受侵害。
1.2适用范围
凡隶属本公司信息系统用户,悉依照本办法所规范之体制管理。
1.3权责单位
(1) 信息科负责本办法制定、修改、废止之起草工作。
(2) 总经理负责本办法、修改、废止之核准。
2 信息系统密码安全管理办法
(1) 服务器、应用系统账号和密码要专人专管不得转借他人使用。为了避免账号被盗,密码不定期更换,建议密码长度不少于6位,建议数字与密码组合使用。
(2) 如果用户密码忘记,需用户本人亲自申请恢复密码。
(3) 拥有新账户的员工,需尽快修改初始密码,防止账号被盗用。
(4) 服务器和服务器数据库超级用户必须设置密码,系统管理员严格保管数据库和服务器的登录密码。
(5) 服务器和数据库的超级用户密码设置位数必须大于10位。除数据库的超级用户密码和服务器密码不定期更换,其他密码由信息中心工程师定期更换,操作时间为每月1号,并在信息总监处以电子形式留有备份,提交备份时间为每月1号。 密码类型 密码长度 更换时间 服务器超级用户密码 大于10位 两个月更换一次 数据库超级用户密码 大于10位 设置好后不做更换 系统管理员密码 大于6位 一个月更换一次 ftp及防火墙等管理员密码 大于6位 一个月更换一次
(6) 机房工作人员应严格执行密码管理规定,对操作密码定期更改,任何密码不得外泄,如有因密码外泄而造成各种损失的,由当事人负全部责任。
2022-2-1
第2篇 安全管理信息系统运行管理办法
第一章 总则
第一条 为加强中心安全管理信息系统(以下简称系统)运行管理,确保系统稳定高效运行,根据神东煤炭集团安全风险预控管理体系运行要求,制定本办法。
第二条 本办法适用于中心业务部门(以下简称部门)和本质安全管理体系实施单位(以下简称单位)。
第三条 本办法中的网络包含服务器及软件;基础数据包括单位、部门及职员信息、考核评分标准、危险源及管控标准、不安全行为认定标准、承包商信息;应用数据指系统运行中录入的业务数据。
第二章 系统管理
第四条 基础数据管理及维护
中心安管部负责基础数据管理及维护,相关部门必须落实专人进行管理,并严格履行下列职责:
(一)负责组织各单位上报基础数据修改意见的审核工作;
(二)负责数据库基础数据的监视和优化,并定期组织评估;
(三)负责对数据库中基础数据的变更操作;
(四)负责对新增数据的导入;
(五)对应用单位反馈的相关问题和数据错误予以答复和更正。
第五条 系统运行管理模式
系统运行管理采取中心统一组织,各部门、单位分工负责的方式,中心在安管部设专职系统管理员,所有部门和单位设置系统管理员。中心系统管理员负责系统运行总体协调,在业务上具有指导和监督其他系统管理员的权利。
第六条 系统管理员岗位及任职条件
系统管理员岗位要列入本单位岗位设置,职员配备由各部门、单位自行确定,可兼职、兼岗,但必须具备下列条件:
(一)熟悉本质安全管理体系及本安信息系统;
(二)具备一定计算机应用基础;
(三)能够深入基层和生产一线。
第七条 系统管理员职责
(一)中心系统管理员
1.维护管理层用户账户、密码及权限;
2.解答管理层用户在使用本系统时提出的操作问题;
3. 管理各单位、部门系统管理员的权限;
4. 及时发布升级程序;
5.收集整理系统软件问题和故障并及时记录,定期向安监局反馈改进意见;
6.负责对各单位、部门系统管理员的业务指导,并解答其遇到的系统操作问题。
(二)单位(部门)系统管理员
1.负责本单位(部门)人员的系统应用培训;
2.负责本单位(部门)系统应用人员账户、密码管理及权限分配(权限分配详见附件1);
3.负责本单位(部门)基础数据的维护,以及应用数据真实性、规范性的监督管理;
4.接受中心系统管理员的业务指导,及时将系统问题和故障反馈中心系统管理员;
5.系统管理员变更时,负责对本单位(部门)继任人员进行相关知识的培训。
第三章 系统应用
第八条 各单位(部门)都必须制定本单位(部门)系统运行管理办法,明确分管领导,落实管理责任,每年至少进行一次修订,并上报中心备案。
第九条 各单位(部门)员工都有浏览系统的权利,具有安全管理职责的员工均有录入信息的义务和要求督促员工应用系统的责任。
第十条 账户管理
系统设有独立的用户名和登录密码,非授权人员不得用他人密码进入系统。所有用户要及时修改密码,并妥善保管。所有用户要对自己账户下录入数据的真实性和规范性负责。
第十一条 应用数据要求
(一)动态检查中发现的隐患(问题)和人员不安全行为,通过登录本人账户后录入系统。对权限受限的区队(车间)级管理人员,发现非本区队(车间)存在的隐患(问题)和人员不安全行为,可向本单位安全管理部门报告、录入,并予以说明。
(二)应用数据要按照系统表单或格式要求完整填写,信息真实、及时、规范、准确。隐患(问题)和人员不安全行为描述要具体,对应标准及危险源要准确,录入工作要在检查后24小时内完成。对现场发现的隐患(问题)、不安全行为无法对应相应标准时,可先行录入,并按《安全管理信息系统运行规范》要求上报存在的问题。对发现的不安全行为当事人信息未纳入系统时,要及时反馈所在单位系统管理员进行数据补充后进行录入。
(三)单位内部审核必须按程序文件规定的程序和周期组织,信息要完整录入系统。
第十二条 预警与消警信息管理
各级管理人员要及时关注和查看与本单位、本部门及岗位人员相关的信息,涉及与其相关的整改项时,要及时整改,整改后要及时反馈。
检查人员对查出的限期整改隐患,要及时跟踪复查,并对已完成整改的隐患进行消警。本人因故不能及时完成复查工作时,可委托他人复查,但被委托人必须使用本人账号进行复查消警。
被检查单位(车间、区队)确因实际情况无法按期整改的,需在信息录入后24小时内,联系检查人对整改期限进行延长。
第十三条 基础数据改进
各部门、单位负责动态考核评分标准的改进,要将审核后的数据通过“增补考核标准意见”途径上报。
各部门、单位负责人员不安全行为认定标准的改进以及危险源与动态考核评分标准的对应关系确定。中心定期对各部门、单位通过“增补考核标准意见”上报的数据组织审核,并及时上报安监局。
危险源辨识及风险评估成果依据《神东煤炭集团安全风险管理办法》,纳入系统管理。
各单位要通过系统,及时查看已通过安监局审核并导入公司数据库的考核评分标准、危险源及管控标准,并将适用于本单位的数据选取到单位数据库中,实时应用。
第十四条 系统的改进与升级
各单位(部门)应将系统应用过程中发现的问题以及改进意见,通过“员工建议管理”途径上报,由安监局定期组织审核,并及时纠正系统错误或作为系统升级的依据。
第四章 罚则
第十五条 未按本办法相关条款规定职责履行管理义务的,且造成系统不能正常运行的单位和部门,除按日常动态检查和季度定期检查进行考核外,将视情节严重给予相应处罚。
第十六条 系统应用过程中,对存在下列情形之一的单位予以通报批评,并视情节处以500-2000元/次罚款:
(一)未严格执行本单位的安全管理信息系统管理办法;
(二)未设置系统管理员岗位,未明确人员和职责;
(三)未履行本办法中规定的管理职责。
第五章 附则
第十九条 本办法解释权归神东煤炭集团洗选中心。
第二十条 本办法自公布之日起执行,原《神东煤炭集团洗选中心本质安全管理信息系统运行管理办法(试行)》同时废止。
第3篇 涉密计算机及信息系统安全和保密管理办法
第一条 为加强公司涉密计算机及涉密计算机信息系统的安全保密管理,根据国家有关保密法规和铁道部的有关规定,结合哈佳铁路客运专线有限责任公司(以下简称“公司”)实际,制定本办法。
第二条 本办法所称的涉密计算机,是指专门用于处理或存储国家秘密信息、收发文电、连接互联网的台式计算机;涉密计算机信息系统,是指专门用于处理国家秘密信息的计算机信息系统。
第三条 为确保国家秘密、公司工程项目相关技术资料的安全,公司各部门或个人不得使用便携式计算机处理国家秘密信息。
第四条 公司设保密领导小组,具体负责公司内部的涉密计算机及信息系统的安全保密管理工作,日常保密管理、监督职责如下:
(一)审查、选定专人分别作为涉密计算机信息及信息系统的系统管理员、安全保密管理员和密钥口令管理员,要求职责清晰,分工明确。
(二)定期对涉密计算机、涉密计算机信息系统以及涉密移动存储介质的使用、保管情况进行安全保密检查,及时消除隐患。
(三)加强对有关人员的安全保密教育,建立健全保密规章制度,完善各项保密防范措施。
第五条 涉密计算机日常管理人员是涉密计算机安全保密的责任人,其日常保密管理监督职责如下:
(一)对计算机及软件安装情况进行登记备案,定期核查。
(二)设置开机口令,长度在8个字符以上,并定期更换,防止他人盗用和破译。
(三)不得安装、运行、使用与工作无关的软件。
(四)应在涉密计算机的显著位置进行标识,不得让其他无关人员使用涉密计算机。
(五)未安装隔离卡的涉密计算机单机,管理人员应拆除网卡,严禁涉密计算机上网;已安装隔离卡的涉密计算机应严格按照正确方法使用,严禁他人在外网上处理(即打开、查看、拷贝、传递涉密文件)和存储任何涉密信息;严禁他人在外网上使用涉密移动存储介质。
(六)定期做好涉密计算机的病毒查杀、防治和系统升级工作,及时进行数据备份,防止涉密信息的意外丢失。
第六条 涉密计算机信息系统的管理人员由系统管理员、安全保密管理员和密钥口令管理员组成,具体职责如下:
(一)系统管理员负责涉密计算机信息系统的登录权限分配、访问控制和日常维护及修理,保证系统和单机的正常运行。定期开展涉密计算机信息系统重要数据的备份工作,防止因系统的损坏或意外造成的数据丢失。
(二)安全保密管理员负责涉密计算机信息系统的病毒防治、安全审计等工作,并负责对系统的运行进行安全保密监视。
(三)密钥口令管理员负责定期更换并管理系统登录口令、开机密码及部分重要程序和文件的密钥,保证口令和密钥的安全。对集中产生的涉密计算机信息系统口令,应定期分发并更改,不得由用户自行产生。处理秘密级信息的系统,口令长度不得少于8个字符,口令更换周期不得超过一个月;处理机密级信息的系统,口令长度不得少于10个字符,口令更改周期不得超过一周。口令必须加密存储,口令在网络中必须加密传输,口令的存放载体必须保证物理安全。
第七条 涉密计算机信息系统实行“同步建设、严格审批、注重防范、规范管理”的保密管理原则。
第八条 涉密计算机及信息系统所在的场所,必须采取必要的安全防护措施,安装防盗门窗和报警器,并指定专人进行日常管理,严禁无关人员进入该场所。
第九条 涉密计算机及信息系统不得直接或间接与国际互联网连接,必须实行严格的物理隔离,并采取相应的防电磁信息泄漏的保密措施。
第十条 涉密计算机按所存储和处理的涉密信息的最高密级进行标识;对涉密计算机信息系统的服务器,应按本系统所存储和处理的涉密信息的最高级别进行标识。
第十一条 涉密计算机中的涉密信息应有相应的密级标识,密级标识不能与正文分离。对图形、程序等首页无法标注的,应标注在文件名后。打印输出的涉密文件、资料,应按相应的密级文件进行管理。
第十二条 涉密计算机的维修或销毁一般应由公司人员在本公司内部进行,并应确保秘密信息在维修、销毁过程中不被泄露。公司不具备自行维修、销毁条件的,应报公司主管领导批准,委托保密部门认定的定点单位进行维修或销毁。销毁涉密存储介质,应采用物理或化学的方法彻底销毁。
第十三条 对于违反本办法的有关人员,应给予批评教育,责令其限期整改;造成泄密的,公司将根据有关保密法规进行查处,追究有关人员泄密责任。
第十四条 本办法由公司保密委员会负责解释。
第十五条 本办法自发布之日起执行。
第4篇 公共安全图像信息系统管理办法制度
第一条 为了规范本市公共安全图像信息系统的建设和管理,提高预防和处置突发公共事件的能力,保障公共安全,保护公民的合法权益,制定本办法。
第二条 本办法适用于本市行政区域内公共安全图像信息系统的建设和管理。
第三条 本办法所称的公共安全图像信息系统,是指利用图像采集设备和其他相关设备对涉及公共安全的区域进行信息记录的视频系统。
第四条 市人民政府有关部门和区、县人民政府负责本行业、本系统、本地区公共安全图像信息系统建设的组织实施,并协助做好公共安全图像信息系统使用、维护等方面的监督管理工作。
市和区、县公安机关负责公共安全图像信息系统建设、使用、维护的日常监督管理工作。
第五条 下列单位和区域,应当安装公共安全图像信息系统:
(一)党政机关、国家机关所在地,广播电台、电视台,电信、邮政、金融、服务单位,博物馆、档案馆、重点文物保护单位,危险物品生产、销售、存放场所等重要单位;
(二)宾馆、饭店、商场、医院、学校、幼儿园、文化娱乐场所,举办体育赛事的场馆、场地,住宅区、停车场等人员聚集的公共场所;
(三)重点道路、路段和主要交通路口,地下通道、过街天桥,机场、火车站、地铁和城铁车站,公共电汽车的重要交通枢纽等;
(四)城市供排水、电力、燃气、热力设施,城市河湖及其他重要水务工程等重要城市基础设施;
(五)国家法律、法规规定的其他地点和区域。
公共安全图像信息系统建设的市级主管部门可以根据需要确定其他应当安装公共安全图像信息系统的区域,报市人民政府批准。
第六条 单位按照本办法规定自建公共安全图像信息系统,应当符合政府的统一规划和要求,不得采集本单位范围以外的公共区域的图像信息。
第七条 交通道路、广场等公共场所公共安全图像信息系统的建设由政府负责,其他任何单位和个人不得在该区域设置公共安全图像信息系统。
第八条 公共安全图像信息系统的建设,应当符合国家和本市的技术规范和标准。
市质量技术监督、信息化主管部门和公安机关共同制定本市公共安全图像信息系统的技术规范和标准,公共图像信息系统应当具有采集、录像、传输等功能。
第九条 设置公共安全图像信息系统,不得侵犯公民个人隐私;对涉及公民个人隐私的图像信息,应当采取保密措施。
涉及国家秘密、商业秘密的公共安全图像信息系统的建设,按照国家有关规定执行。
第十条 新建、改建、扩建建设项目应当安装公共安全图像信息系统的,公共安全图像信息系统应当与项目主体工程同步规划、同步建设、同时投入使用。
第十一条 公共安全图像信息系统的使用单位,应当自系统竣工验收合格之日起30日内,将公共安全图像信息系统的建设情况按照保卫隶属关系向市或者区、县公安机关备案;没有保卫隶属关系的,向本单位所在地的区、县公安机关备案。
本办法施行前已经建成的公共安全图像信息系统的使用单位应当自本办法施行之日起30日内,将公共安全图像信息系统的建设情况按照前款规定向公安机关备案。
第十二条 公共安全图像信息系统的使用单位,应当采取下列措施,保证公共安全图像信息系统安全运行:
(一)对与公共安全图像信息系统密切接触的人员进行岗位技能和保密知识的培训;
(二)建立安全检查、运行维护、应急处理等制度;
(三)保持图像信息画面清晰,保证系统正常运行;
(四)不得擅自改变公共安全图像信息系统的用途和摄像设备的位置。
使用单位委托其他单位运营、维护、管理公共安全图像信息系统的,双方应当明确保证系统安全运行的责任。
第十三条 公共安全图像信息系统的使用单位,应当建立、健全图像信息安全管理制度,遵守下列规定:
(一)建立值班监看制度,发现涉及公共安全的可疑信息及时向公安机关报告;
(二)建立图像信息使用登记制度,对图像信息的录制人员、调取时间、调取用途等事项进行登记;
(三)按照规定期限留存图像信息,不得擅自删改、破坏留存期限内图像信息的原始数据记录。
第十四条 负责图像信息监看的工作人员,应当遵守各项图像信息安全管理制度,坚守岗位,爱护仪器设备,保守秘密。
与图像信息监看工作无关的人员不得擅自进入监看场所。留存的图像信息除按照本办法的规定使用外,任何人不得擅自查阅、复制、提供、传播。
第十五条 在公共场所设置公共安全图像信息系统,应当设置标识。
第十六条 发生社会治安、自然灾害、事故灾难、公共卫生等突发公共事件时,具有突发公共事件调查、处置权的政府有关主管部门有权查看、调取、复制图像信息,有关单位应当予以配合。
第十七条 政府有关主管部门工作人员查看、调取、复制图像信息时,应当遵守下列规定:
(一)工作人员不得少于二人;
(二)出示工作证件和证明文件;
(三)填写查看、调取、复制图像信息情况登记表;
(四)遵守图像信息的使用、保密制度,不得擅自提供、传播图像信息,对涉及国家秘密、商业秘密和公民个人隐私的图像信息予以保密。
第十八条 公安机关应当对公共安全图像信息系统的日常使用、维护情况进行监督检查,发现问题督促相关单位及时整改;必要时,质量技术监督、信息化主管部门在技术检测等方面应当予以协助。
第十九条 违反本办法的规定,应当建设公共安全图像信息系统不建设或者不按照规范和标准建设的,由公安机关责令限期整改并予以警告;逾期不整改或者整改不合格的,对单位处1万元以上3万元以下的罚款,对单位主要负责人、直接责任人员分别处500元以上1000元以下的罚款。
第二十条 违反本办法第六条的规定,单位设置公共安全图像信息系统擅自采集本单位范围以外的公共区域的图像信息的,由公安机关责令改正,并对单位处1万元以上3万元以下的罚款,对单位主要负责人、直接责任人员分别处500元以上1000元以下的罚款。
第二十一条 违反本办法第七条的规定,擅自在公共场所设置公共安全图像信息系统,由公安机关责令拆除;单位设置的,对单位处1万元以上3万元以下的罚款,对单位主要负责人、直接责任人员分别处500元以上1000元以下的罚款;个人设置的,对个人处500元以上1000元以下的罚款。
第二十二条 违反本办法第十一条的规定,不遵守备案制度的,由公安机关责令改正,并对单位处1000元以上1万元以下的罚款,对单位主要负责人、直接责任人员分别处500元以下的罚款。
第二十三条 违反本办法第十二条的规定,未采取保障图像信息系统运行安全管理措施,影响系统安全运行的,由公安机关责令限期整改,可以对单位并处1000元以上1万元以下的罚款,对单位主要负责人、直接责任人员分别处500元以下的罚款;逾期不整改或者整改不合格的,对单位处1万元以上3万元以下的罚款,对单位主要负责人、直接责任人员分别处500元以上1000元以下的罚款。
第二十四条 违反本办法第十三条、第十四条的规定,未建立、健全或者违反图像信息安全管理制度,以及擅自查阅、复制、提供、传播图像信息的,由公安机关对单位处1万元以上3万元以下的罚款,对单位主要负责人、直接责任人员分别处500元以上1000元以下的罚款;构成违反治安管理行为的,由公安机关依法处罚;构成犯罪的,依法追究刑事责任。
第二十五条 违反本办法第十六条的规定,拒不提供图像信息的,由公安机关对单位处1万元以上3万元以下的罚款,对单位主要负责人、直接责任人员分别处500元以上1000元以下的罚款;构成违反治安管理行为的,由公安机关依法处罚;构成犯罪的,依法追究刑事责任。
第二十六条 违反本办法第十七条的规定,政府有关主管部门的工作人员查看、调取、复制图像信息时违反相关管理制度,由主管部门追究其行政责任。构成犯罪的,依法追究刑事责任。
第二十七条 本办法自2007年4月1日起施行。
第5篇 公共安全图像信息系统管理办法
第一条 为了规范本市公共安全图像信息系统的建设和管理,提高预防和处置突发公共事件的能力,保障公共安全,保护公民的合法权益,制定本办法。
第二条 本办法适用于本市行政区域内公共安全图像信息系统的建设和管理。
第三条 本办法所称的公共安全图像信息系统,是指利用图像采集设备和其他相关设备对涉及公共安全的区域进行信息记录的视频系统。
第四条 市人民政府有关部门和区、县人民政府负责本行业、本系统、本地区公共安全图像信息系统建设的组织实施,并协助做好公共安全图像信息系统使用、维护等方面的监督管理工作。
市和区、县公安机关负责公共安全图像信息系统建设、使用、维护的日常监督管理工作。
第五条 下列单位和区域,应当安装公共安全图像信息系统:
(一)党政机关、国家机关所在地,广播电台、电视台,电信、邮政、金融、服务单位,博物馆、档案馆、重点文物保护单位,危险物品生产、销售、存放场所等重要单位;
(二)宾馆、饭店、商场、医院、学校、幼儿园、文化娱乐场所,举办体育赛事的场馆、场地,住宅区、停车场等人员聚集的公共场所;
(三)重点道路、路段和主要交通路口,地下通道、过街天桥,机场、火车站、地铁和城铁车站,公共电汽车的重要交通枢纽等;
(四)城市供排水、电力、燃气、热力设施,城市河湖及其他重要水务工程等重要城市基础设施;
(五)国家法律、法规规定的其他地点和区域。
公共安全图像信息系统建设的市级主管部门可以根据需要确定其他应当安装公共安全图像信息系统的区域,报市人民政府批准。
第六条 单位按照本办法规定自建公共安全图像信息系统,应当符合政府的统一规划和要求,不得采集本单位范围以外的公共区域的图像信息。
第七条 交通道路、广场等公共场所公共安全图像信息系统的建设由政府负责,其他任何单位和个人不得在该区域设置公共安全图像信息系统。
第八条 公共安全图像信息系统的建设,应当符合国家和本市的技术规范和标准。
市质量技术监督、信息化主管部门和公安机关共同制定本市公共安全图像信息系统的技术规范和标准,公共图像信息系统应当具有采集、录像、传输等功能。
第九条 设置公共安全图像信息系统,不得侵犯公民个人隐私;对涉及公民个人隐私的图像信息,应当采取保密措施。
涉及国家秘密、商业秘密的公共安全图像信息系统的建设,按照国家有关规定执行。
第十条 新建、改建、扩建建设项目应当安装公共安全图像信息系统的,公共安全图像信息系统应当与项目主体工程同步规划、同步建设、同时投入使用。
第十一条 公共安全图像信息系统的使用单位,应当自系统竣工验收合格之日起30日内,将公共安全图像信息系统的建设情况按照保卫隶属关系向市或者区、县公安机关备案;没有保卫隶属关系的,向本单位所在地的区、县公安机关备案。
本办法施行前已经建成的公共安全图像信息系统的使用单位应当自本办法施行之日起30日内,将公共安全图像信息系统的建设情况按照前款规定向公安机关备案。
第十二条 公共安全图像信息系统的使用单位,应当采取下列措施,保证公共安全图像信息系统安全运行:
(一)对与公共安全图像信息系统密切接触的人员进行岗位技能和保密知识的培训;
(二)建立安全检查、运行维护、应急处理等制度;
(三)保持图像信息画面清晰,保证系统正常运行;
(四)不得擅自改变公共安全图像信息系统的用途和摄像设备的位置。
第6篇 计算机和信息系统安全保密管理办法
第一章 总 则
第一条 为确保公司计算机和信息系统的运行安全,确保国家秘密安全,根据国家有关规定和要求,结合工作实际情况,制定本办法。
第二条 公司计算机和信息系统安全保密工作遵循“积极防范、突出重点、依法管理”的方针,切实加强领导,明确管理职责,落实制度措施,强化技术防范,不断提高信息安全保障能力和水平。
第二章 组织机构与职责
第三条 计算机和信息系统安全保密管理工作贯彻“谁主管,谁负责”、“谁使用,谁负责”的原则,实行统一领导,分级管理,分工负责,有效监督。
第四条 保密委员会全面负责计算机和信息系统安全保密工作的组织领导。主要职责是:
(一)审订计算机和信息系统安全保密建设规划、方案;
(二)研究解决计算机和信息系统安全保密工作中的重大事项和问题;
(三)对发生计算机和信息系统泄密事件及严重违规、违纪行为做出处理决定。
第五条 保密管理部门负责计算机和信息系统的安全保密指导、监督和检查。主要职责是:
(一)指导计算机和信息系统安全保密建设规划、方案的编制及实施工作;
(二)监督计算机和信息系统安全保密管理制度、措施的落实;
(三)组织开展计算机和信息系统安全保密专项检查和技术培训;
(四)参与计算机和信息系统安全保密的风险评估、分析及安全保密策略的制定工作。
第六条 信息化管理部门负责计算机和信息系统的安全保密管理工作。主要职责是:
(一)负责计算机和信息系统安全保密建设规划、方案、制度的制订和实施;
(二)负责计算机和信息系统安全保密技术措施的落实及运行维护管理;
(三)负责建立、管理信息设备台帐;
(四)负责计算机和信息系统安全保密策略的制定、调整、更新和实施;
(五)定期组织开展风险评估、风险分析,提出相应的安全措施建议,并编制安全保密评估报告;
(六)开展计算机和信息系统安全保密技术检查工作;
(七)涉及计算机和信息系统有关事项的审查、审批;
(八)计算机和信息系统安全保密的日常管理工作。
第七条 公司应结合工作实际设定涉密计算机和信息系统的系统管理员、安全保密管理员、安全审计员,分别负责涉密计算机和信息系统的运行、安全保密和安全审计工作。“三员”的权限设置应当相互独立、相互制约,安全保密管理员与安全审计员不得由一人兼任。
没有涉密信息系统,只使用单台涉密计算机的单位,应当配备安全保密管理员。
第八条 涉密计算机和信息系统管理人员应当符合以下要求:
(一)符合国家及集团公司对涉密人员的要求;
(二)熟悉计算机和信息系统各项安全保密法律、法规和标准;
(三)熟练掌握有关专业知识和业务技能;
(四)通过国家有关部门的上岗培训,并获得上岗资格。
第三章 涉密信息系统的建设管理
第九条 建设涉密信息系统必须依照国家有关规定、标准和规范进行,安全保密设施必须与涉密信息系统同步规划、同步建设、同步运行。
第十条 建设涉密信息系统,应当在方案设计前,由保密委员会根据所建系统拟涉及国家秘密的最高密级确定保护等级。
第十一条 涉密信息系统建设方案的设计应当选择具有相应涉密资质的单位承担,建设方案按照建设系统的对应密级进行定密和管理。建设方案完成后,由保密办报请上级保密管理部门组织评审并备案。
第十二条 涉密信息系统建设过程中,必须采取严格的安全保密管理措施。系统集成、综合布线、系统服务、系统咨询、软件开发、工程监理等,应当选择具有相应资质的单位承担,并明确提出保密要求,签订保密协议。涉及国家秘密的工程资料应当根据需要控制发放,并做出登记。工程完工后,应当按登记如数收回。施工现场应当采取措施,禁止无关人员进入。
第十三条 涉密信息系统所采用的安全保密产品,必须选用通过国家相关主管部门授权测评机构检测合格的产品,并应当查验产品合格证书、产品检测报告中所描述的适用范围及其有效期。
第十四条 涉密信息系统的测评工作统一由集团公司保密办委托国家涉密信息系统测评中心兵器分中心实施。
第十五条 涉密信息系统经测评完成,取得涉密信息系统检测评估报告后,由上级保密管理部门向集团公司保密办正式提交《涉及国家秘密的信息系统投入使用申请书》,并经集团公司保密办审核批准后,报相关保密行政管理部门审批,领取《涉及国家秘密的信息系统使用许可证》。
第十六条 新建涉密信息系统在投入运行前,应当经地方保密工作部门审批,在未取得《涉及国家秘密的信息系统使用许可证》前,不得投入使用。在正式运行之前,不得存储和处理国家秘密信息。
第十七条 涉密信息系统在设计、评审、施工及验收过程中发生失泄密事件或因有关工程信息资料泄露导致涉密信息系统防护措施失效、削弱的,属于建设单位责任的,由建设单位承担;属于其他环节责任的,由相关环节负责人负责。
第四章 信息设备台帐与标识管理
第十八条 信息化管理部门应当根据实际,建立信息设备总台帐,内设机构或部门应当相应建立二级台帐。信息设备台帐可按以下类别分类:
(一)计算机,包括服务器、用户终端;
(二)网络设备和外部设备,包括交换机、路由器、网关、网闸、vpn设备、打印机、制图(绘图)机、扫描仪、光盘刻录机(外接式)等;
(三)安全保密产品,包括计算机病毒防护产品,密码产品及身份鉴别、访问控制、安全审计、入侵检测、边界防护和电磁泄漏发射防护等产品;
(四)移动存储介质。
第十九条 各类台帐应当包括以下内容:
(一)计算机管理台帐:部门、责任人、名称型号、密级或用途、操作系统安装日期、硬盘序列号、ip地址、mac地址、使用情况等;
(二)网络设备和外部设备管理台帐:部门、责任人、名称、型号、使用情况等;
(三)安全保密产品管理台帐:责任人、名称、型号、检测证书名称和编号、购置时间、使用情况等;
(四)移动存储介质管理台帐:部门、责任人、名称、编号、序列号、密级或用途、使用情况等。
第二十条 信息设备台帐管理工作实行专人负责,动态管理,并建立、健全信息设备从配置到销毁全过程的报告、审批和定期核验机制,确保信息设备台帐能够适时、准确的反映信息设备的客观情况。
第二十一条 公司应对信息设备进行标识管理。设备标识由公司统一制作。
标识内容应与台帐信息的主要内容相符,并保持完好。不得故意损毁、涂改、撕揭或擦除。计算机和信息系统中的服务器、用户终端、外部设备、存储介质、安全保密产品等,应当根据其处理和存储信息的最高密级或主要用途进行标识。标识应当粘贴在明显位置,并与涉密信息的存储部件相关联。
移动存储介质如无法粘贴标识的,可以采取不可擦除的方式标注。
第五章 计算机和信息系统的保密管理
第二十二条 计算机和信息系统的使用管理必须遵守如下规定:
(一)严禁使用涉密计算机和信息系统连接国际互联网或公共信息网络;
(二)严禁使用连接国际互联网或公共信息网络的计算机及其它非涉密计算机存储、处理涉密信息;
(三)严禁将涉密计算机接入内部非涉密网络。
第二十三条 涉密信息系统经安全保密技术测评,并正式投入运行后,如发生下列变更事项时,应当及时报告上级保密管理部门和负责审批的保密行政管理部门:
(一)涉密等级;
(二)连接范围;
(三)环境设施;
(四)主要应用;
(五)安全保密责任管理单位。
由保密行政管理部门决定是否需要重新进行测评和审批。
第二十四条 外部信息导入涉密计算机和信息系统的,应当通过中间转换机或经过国家相关部门批准的安全可靠的信息交换措施进行。使用中间转换机转换信息的,中间转换机应当按涉密和非涉密分别设立,并严格按照相关标准的规定程序进行操作。
第二十五条 涉及涉密计算机和信息系统的设备,应当由单位统一选配,统一安装,严格控制,规范使用。
第二十六条 禁止在涉密计算机和信息系统中使用无线键盘、无线鼠标、无线网卡、无线路由器等具有无线功能的设备或产品。
第二十七条 涉密计算机和信息系统应当根据其相应密级采取对应的身份鉴别、数字签名、访问控制、安全审计、信息加密、数据保护、介质管理、防违规外联等技术措施。
第二十八条 涉密计算机和信息系统服务器、用户终端应当设置相关安全策略,设置原则是:关闭全部共享、与应用无关的所有端口、服务、链接和系统授权。
第二十九条 涉密计算机和信息系统应当采取计算机病毒防护措施,定期对计算机病毒与恶意代码防护措施进行查验,并及时更新计算机病毒与恶意代码样本库。更新周期为:涉密信息系统不超过3天,单台涉密计算机不超过15天。
第三十条 各单位应建立统一的补丁程序分发安装机制,在补丁程序发布后3个月内及时安装,保证系统的安全性,对不能安装系统补丁程序的非正版操作系统,应当更换操作系统。
第三十一条 下列事项必须报经信息化管理部门批准后由相关管理人员实施:
(一)因系统崩溃、操作系统损坏等原因需重新安装操作系统的;
(二)更改或清除涉密计算机和信息系统的移动存储介质及外部设备安装、使用等日志记录的;
(三)因工作需要对涉密计算机和信息系统安装、扩展、缩减、拆卸软硬件的;
(四)因工作需要卸载、修改涉密信息系统的安全技术程序、管理程序的。
第三十二条 需经常安装的应用软件和软件工具,经信息化管理部门审批后,由系统管理员上传到指定的服务器或存储在一次性刻录光盘中,供涉密计算机和信息系统用户终端下载、安装使用。
第三十三条 公司要加强对连接国际互联网计算机的管理和使用,应遵循以下原则:
(一)未经批准,不得擅自以任何方式连接国际互联网;
(二)公司集中使用的国际互联网计算机应当指定专人负责管理,分散使用的国际互联网计算机应当明确责任人,做好上网记录;
(三)应制定国际互联网信息发布管理制度,明确需要通过保密审查的信息范围和审查程序。审查一般应由拟发布信息的业务主管部门负责,业务主管部门把握不准的,由保密管理部门审查,单位业务主管领导审批;
(四)公司应采取有效技术措施,对通过互联网或公共信息系统发送电子邮件等信息进行监控和记录。
第三十四条 密码设备的使用和管理按照公司有关规定执行。
第六章 便携式计算机和存储介质保密管理
第三十五条 建立健全便携式计算机和移动存储介质的管理制度和措施,根据工作实际,采取集中管理,指定专人负责。
第三十六条 涉密便携式计算机应当拆除具有无线联网功能(如无线网卡、蓝牙、红外等)的硬件模块,如无法进行拆除的,不得作为涉密计算机使用。
第三十七条 携带涉密便携式计算机和移动存储介质外出,应当履行审批手续和领用前状态检查;返还时,应当对外出使用情况进行技术检查。
第三十八条 外出携带涉密便携式计算机和移动存储介质要确保安全,全程有效控制。同时携带涉密便携式计算机和移动存储介质时,二者应分开保管。
第三十九条 不得使用低密级便携式计算机和移动存储介质存储、处理高密级信息;不得在低密级计算机上使用高密级移动存储介质。
第四十条 在涉密计算机和信息系统内使用的存储介质应当采取有效的技术控制措施,确保未经授权的移动存储介质不能在涉密计算机和信息系统中使用。
第四十一条 在使用便携式计算机和移动存储介质时不得有下列行为:
(一)在非涉密便携式计算机和移动存储介质中存储、处理涉密信息的;
(二)涉密移动存储介质在非涉密计算机和信息系统中使用的;
(三)将非涉密和个人具有存储功能的介质和设备接入涉密计算机和信息系统的;
(四)私自携带涉密便携式计算机和移动存储介质外出的;
(五)移动存储介质在涉密计算机、信息系统和非涉密计算机、信息系统之间交叉使用的。
第四十二条 涉密移动存储介质不得降为非涉密移动存储介质使用。
第七章 信息安全保密管理
第四十三条 涉密计算机和信息系统中的涉密信息应当标明密级,密级标识不得与正文分离。标注方式应当遵行以下原则:
(一)处于起草、设计、编辑、修改过程中和已完成的电子文档、图表、图形、图像、数据等,只要内容涉及国家秘密,在首页应当标明密级;
(二)电子数据文件、图表、图形、图像等涉密信息在首页无法直接标注密级标识的,可将密级标识作为文件名称的一部分进行标注;
(三)涉及国家秘密的程序、数据库文件、数据文件、视频文件等,在软件运行首页、数据视图首页和影像播映首页应当标注密级。
第四十四条 涉密计算机和信息系统应当采取有效的技术控制措施,禁止涉密信息非授权输出。涉密信息系统中涉密信息输出点要按照最小化原则设置。指定专人负责。
第四十五条 涉密信息远程传输应当按照国家有关规定采取密码保护措施,存储与传输、使用的加密措施应当与涉密信息的密级相适应,并得到国家主管部门批准。
第四十六条 密钥的管理和使用应符合国家有关安全保密规定,并接受国家相关主管部门的指导和监督。
第四十七条 公司应当制定完善的涉密信息备份制度,并采取有效的防盗、防灾措施,保证备份的安全。
第四十八条 涉密计算机软硬件配置情况及本身有涉密内容的各种应用软件等信息,不得进行公开学术交流,不得公开发表。
第八章 维修、报废与销毁
第四十九条 涉密计算机和信息系统服务器、用户终端、外部设备、存储介质发生故障时,使用部门应当向信息管理部门提出维修申请,经批准后维修。涉密计算机和信息系统、存储介质维修应当遵循以下原则:
(一)现场维修时,一般应当由公司内部维修人员实施;需外部人员到现场维修时,维修过程中应当由有关人员旁站陪同;禁止维修人员恢复、读取和复制被维修设备中的涉密信息;禁止通过远程连接,对涉密计算机和信息系统进行维修和维护工作;
(二)需要带离现场进行维修的,应当拆除所有可能存储过涉密信息的硬件和固件。维修地点在公司内部的,应在符合保密要求的维修场所进行;维修地点在外部的,应与维修单位和维修人员签订保密协议;
(三)设备中存储过涉密信息的硬件和固件不能拆除或发生故障时,如不能保证安全的,应当按照涉密载体销毁要求予以销毁;确需维修时,送至具有涉密信息系统数据恢复资质的单位进行维修,并由专人负责取送;
(四)信息化管理部门应当建立维修日志和档案,并将所有涉密设备维修情况记录在案,记录内容应包括维修单位、维修人、故障现象、保密措施、维修内容、维修结果、监督检查等。
第五十条 禁止将未经安全技术处理的退出使用的涉密计算机、涉密存储设备赠送、出售、丢弃或改作其他用途。如将退出使用的涉密计算机、涉密存储设备赠送、出售、丢弃或改作其他用途时,应当经信息化管理部门审批,拆除涉密存储部件和固件上交保密办进行销毁处理。
第五十一条 保密管理部门应建立报废、销毁涉密设备和存储介质台帐。报废、销毁涉密设备和存储介质应当履行清点、登记、审批手续,并将涉密设备和存储介质的密级、型号规格、经办人、采取的方法措施以及最终去向等情况记录在案并归档。
第九章 场所的安全保密
第五十二条 安装、使用涉密计算机信息系统的场所,应与境外机构驻地和人员住所保持相应的安全距离,并根据所处理信息的涉密程度设立必要的控制区域,未经批准无关人员不得进入。
第五十三条 安装、使用涉密计算机信息系统的场所应当每半年或根据需要,由公司保密管理部门组织安全保密技术检查。
第五十四条 安装、使用涉密计算机和信息系统的场所采取的电磁泄漏发射防护措施应当满足bmb5-2000《涉密信息设备使用现场的电磁泄漏发射防护要求》,有关设备或技术措施应得到国家保密行政管理部门或国家安全部门的认可。
第五十五条 安装、使用涉密计算机信息系统场所的其它物理安全要求,应符合国家有关安全保密管理要求,保密级别按系统中的最高密级设定。
第五十六条 涉密计算机信息系统的中心机房和密码机房应列为保密要害部位进行管理,建立健全相应安全保密制度和采取有效的出入控制措施。
第十章 监督管理
第五十七条 对违反本办法使用涉密信息系统的部门和个人,保密办责令其限期整改。对拒不整改的,停止使用,由单位给予处罚。
第五十八条 保密管理部门和信息化管理部门要经常对涉密计算机和信息系统、存储介质的使用、管理情况进行检查。对违反保密管理规定的,及时做出处理。造成失泄密的,要给予相关责任人行政处分和经济处罚,情节严重的,应依据国家有关法律追究有关领导和直接责任人的法律责任。
第五十九条 发现涉密信息设备、移动存储介质遗失、被盗,在全力查找、追缴的同时,报告上级保密管理部门和当地保密行政管理部门,并采取积极有效的措施减少失泄密隐患。
第十一章 附 则
第六十条 本办法由公司保密办负责解释。
第六十一条 本办法自_____年__月___日起执行。
