武汉XXXXXXXXXXXXXXXXX公司计算机和信息系统保密管理制度精要.docVIP

武汉XXXXXXXXXX公司 计算机和信息系统保密管理制度 第一章 总 则 为加强公司计算机和信息系统的保密管理，根据《中华人民共和国保守国家秘密法》等有关法律法规，结合公司实际，特制定本制度。 本制度所称信息系统是指由计算机及其相关的和配套的设备设施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。包括：单台计算机及外连设备组成的单机系统以及各种结构的计算机网络系统。 本制度适用于公司各二级部门及分（子）公司。 第二章 公司信息系统分类 公司信息系统分为： （一）涉密信息系统：由“金戈网”（涉密广域网和局域网）系统和单台涉密计算机构成； （二）非涉密信息系统：由处理内部工作信息的计算机和连接国际互联网的计算机构成。 第三章 涉密信息系统建设 涉密信息系统必须与国际互联网和其它非涉密信息系统进行物理隔离，严禁直接或间接相连。 规划、建设涉密信息系统时，须执行国家保密局《涉及国家秘密的信息系统分级保护管理办法》（国保发[2005]16号）和《涉及国家秘密的信息系统分级保护技术要求》（BMB17—2006）等国家保密规定和标准。 涉密信息系统建设时信息系统主管部门必须严格把关，选择具有相应涉密资质的承建单位承担或参与涉密信息系统的方案设计与实施、软件开发、综合布线、系统服务、系统咨询、风险评估、屏蔽室建设、工程监理和保密安防监控等。 涉密信息系统总体的安全保密性，必须依据分级保护方案设计指南、分级保护技术要求和分级保护管理规范进行方案设计，并经过专家组的审查论证。 涉密信息系统选用的产品、设备必须符合国家相应标准。涉密信息系统中使用的安全保密产品应选用国产设备，非安全保密产品应优先选用国产设备。在选用国外设备时，不得选用国家保密工作部门禁用的设备或附件，必要时，应对选用的国外产品进行安全保密检测。 涉密信息系统建成后，必须经过国家保密工作部门授权的系统测评机构对涉密信息系统进行安全保密测评。在投入运行前应经过国家保密局审批。 涉密信息系统投入运行后，每两年至少进行一次安全保密测评或保密检查；每一年至少进行一次安全风险评估。当系统环境或应用发生重大改变时，应及时进行方案论证和安全保密测评，并采取相应的补充保护措施。 涉密信息系统投入运行后的日常保密管理、保密检查和安全风险评估，由信息主管部门负责。每两年一次的安全保密测评或保密检查，由保密办组织，信息主管部门配合，相关单位实施。 日常保密管理、保密检查和安全风险评估及安全保密测评过程中形成的有关数据、记录和报告应及时定密，并按相应密级文件进行管理。 第四章 涉密信息系统管理 涉密信息系统的管理须执行国家保密标准《涉及国家秘密的信息系统分级保护管理规范》（BMB20—2007）和《国防科技工业计算机信息系统安全保密技术规范》。 信息系统主管部门应根据涉密信息系统的保护等级、安全保密需求和安全保密目标，结合公司的实际，依据国家保密标准，制定安全保密管理策略。系统、环境和威胁发生变化时，应及时调整现有的安全保密策略，实现动态保障系统的安全保密性。 信息系统主管部门须设立安全保密管理机构，制定安全保密管理机构的工作职责和公司信息系统相关的各类安全保密管理制度。建立相应的安全保密责任制度，明确各岗位职责和每个工作人员应承担相应的责任和义务；建立安全保密工作制度，明确在涉密信息产生、存储、处理、传输、归档和销毁的全过程中，各类人员、物理设施与环境、设备与介质、运行与开发和信息保密等安全保密工作制度。 涉密信息系统应配备安全保密管理人员，设立系统管理员、安全保密管理员和安全审计员。安全保密管理人员的权限设置应相互独立、相互制约，由不同人员担任，并保持相对稳定。系统管理员主要负责系统的日常运行维护工作，定期对涉密信息系统进行扫描、查杀病毒与恶意代码，并做好记录；安全保密管理员主要负责系统的日常安全保密管理工作，包括对用户账号以及安全保密设备和系统所产生的日志进行审查分析，对系统安全经常进行检查，发现问题，提出整改要求；安全审计员主要负责对系统管理员、安全保密管理员的操作行为进行审计跟踪分析和监督检查，及时发现违规行为，并定期报告相关工作情况。 涉密场所无线、多媒体产品使用应严格执行如下规定： （一）禁止使用具有无线功能的信息设备处理涉密信息，凡用于处理涉密信息的信息设备应拆除具有无线联网功能的硬件模块； （二）用于处理涉密信息的信息设备禁止使用无线键盘、无线鼠标及其他无线互联的外围设备； （三）严禁在涉密场所连接互联网的信息设备上配备、安装和使用摄像头、麦克风等视频音频输入设备； （四）在涉密场所讨论国家秘密时，应对具有音频输入功能并与互联网连接的信息设备采取关机断电措施； （五）手机使用按照《武汉XXXXXXXXXX公司通信及办公自动化设