计算机信息系统保密管理规定.docVIP

xxxxxx公司 计算机信息系统保密管理规定 编制： 审核： 批准： xxxxx公司计算机信息系统保密管理规定 总则 第一条 为保护计算机信息系统处理的国家秘密信息安全，根据国保发（1998）1号文件精神，依照BMB17-2006《涉及国家秘密的信息系统分级保护技术要求》、BMB20-2007《涉及国家秘密的信息系统分级保护管理规范》的要求制定本规定。 第二条 本规定适用于公司涉密信息系统的运行管理，规定所称的计算机信息系统由本单位的各类涉密计算机（便携式计算机、服务器、用户终端）、网络设备、外部设备、存储介质、安全保密产品等构成的人机系统。 第三条 本规定包括：信息系统基本要求、台账、维修、报废、审计、安全保密防护、密码保护、存储介质、外出携带、互联网计算机使用等内容。 第四条 计算机信息系统保密管理实行“积极防范、突出重点、分级负责、责任到人”的原则。严禁涉密信息系统直接或间接连接互联网及其他公共网络；严禁使用连接国际互联网或其他公共信息网络的计算机和信息设备进行存储和处理涉密信息。 第五条 保密办公室负责公司各部门计算机信息安全 台账、维修、报废管理 第六条 本单位的计算机和信息系统设备总台账由保密办公室负责统计、维护和管理，涵盖本单位的各类计算机（便携式计算机、服务器、用户终端）、网络设备、外部设备、存储介质、安全保密产品等。 第七条 各部门应建立本部门计算机和信息系统分台账。由各部门负责统计、维护和管理。 第八条 台账应以电子和文档版本形式存在，总台账和分台账内容应当吻合，并与实物相符，发现问题实时更新台账，保证台账与实物相符。 第九条 台账信息按照设备分类，应包含以下信息： ㈠计算机台账应当包含：密级、放置地点、使用人、操作系统版本、安装时间、硬盘物理号、IP地址、MAC地址和使用情况（包含再用、停用、报废、销毁等）；见附表九。 ㈡存储介质台账应当包含：责任人、名称、型号、密级、启用时间、标识和警示语以及销毁时间；见附表十。 ㈢安全保密产品台账应包含：（名称、型号、数量、单位、责任人、证书有效期等。）见附件十一 第十条 涉密计算机信息系统设备需要维修时，由设备责任人提出申请，由公司保密办计算机信息系统维护人员进行维修，如果需聘请外部人员到公司进行现场维修，需经公司主管领导批准后进行现场维修，维修时应将设备中的涉密信息转储后清除，并由设备责任人全过程进行监督。严禁维修人员恢复、读取和拷贝被维修设备中存储的涉密信息。 第十一条 对于确实必须外送维修的，由设备责任人提出申请，公司主管领导批准后，保密办办理有关手续，拆除所有存储过涉密信息的硬件和固体妥善保管（如设备中存储过涉密信息的硬盘和固件不能拆除，应当办理审批手续），由保密办计算机信息系统管理人员派专人送到国家保密行政管理部门指定的具有涉密信息系统维修资质的单位进行维修。 第十二条 严禁在涉密信息系统外部通过远程维护和远程桌面连接方式，对涉密计算机和信息设备进行维修和维护工作。维修应当建立维修日志和档案，对所有涉密设备的维修情况进行记录留证。 第十三条 不再使用或无法使用的涉密计算机信息系统设备需要报废时，应当由设备管理人填写《xxxx公司涉密办公设备报废、销毁审批表》，上报保密办进行审核，由公司主管领导批准后实施。 第十四条 在经过批准后，报废前应拆除所有存储过涉密信息的硬件和固体，如无法拆除，则应将设备整体进行报废。如需销毁，必须送到具有涉密信息系统销毁资质的单位进行销毁。 第十五条 报废和销毁的涉密设备需要建立清单，还需要对其密级、经办人、采取措施、以及最终去向进行文档化记录。 密级标识管理 第十六条 计算机信息系统必须按照处理和存储信息的最高密级建立标识；设备标识中应包含设备密级、设备编号、主要用途、责任人等内容，且标识不易损毁和丢失，信息也应有密级标识，且与信息主题不可分割。标识应与台账信息相符。 第十七条 密级标识颜色鲜明，主题、徽标、警示语明确突出，由公司保密办统一制作，并与台账信息相符。 第十八条 标识粘贴在设备的显著位置，不得私自损坏、涂改或擦除。 第十九条 未最后定稿的过程文件（处于起草、设计、编辑、修改过程中）和已完成的电子文档、图表、图形、图像、数据，只要内容涉及国家秘密，首页就应当标注密级标识，首页无法直接标注秘密标识的，可以将密级标识作为文件名称的一部分进行标注。 安全策略与审计 第二十条 保密办按照公司涉密计算机及信息系统的实际情况建立文档化的安全保密策略文件