计算机和信息系统安全保密管理规定.pdfVIP

计算机和信息系统安全保密管理规定 第一章 总则 第一条 为加强公司计算机和信息系统（包括涉密信息系统和非涉密信息系统） 安全保密管理，确保国家秘密及商业秘密的安全，根据国家有关保密法规标准和中核 集团公司有关规定，制定本规定。 第二条 本规定所称涉密信息系统是指由计算机及其相关的配套设备、设施构成的， 按照一定的应用目标和规定存储、处理、传输涉密信息的系统或网络，包括机房、网 络设备、软件、网络线路、用户终端等内容。 第三条 涉密信息系统的建设和应用要本着“预防为主、分级负责、科学管理、保障 安全”的方针，坚持“谁主管、谁负责，谁使用、谁负责”和“控制源头、归口管理、 加强检查、落实制度”的原则，确保涉密信息系统和国家秘密信息安全。 第四条 涉密信息系统安全保密防护必须严格按照国家保密标准、规定和集团公司文 件要求进行设计、实施、测评审查与审批和验收；未通过国家审批的涉密信息系统， 不得投入使用。 第五条 本规定适用于公司所有计算机和信息系统安全保密管理工作。 第二章 管理机构与职责 第六条 公司法人代表是涉密信息系统安全保密第一责任人，确保涉密信息系统安全 保密措施的落实，提供人力、物力、财力等条件保障，督促检查领导责任制落实。 第七条 公司保密委员会是涉密信息系统安全保密管理决策机构，其主要职责： （一）建立健全安全保密管理制度和防范措施，并监督检查落实情况； （二）协调处理有关涉密信息系统安全保密管理的重大问题，对重大失泄密事件进行 查处。 第八条 成立公司涉密信息系统安全保密领导小组，保密办、科技信息部（信息化） 、 党政办公室（密码）、财会部、人力资源部、武装保卫部和相关业务部门、单位为成 员单位，在公司党政和保密委员会领导下，组织协调公司涉密信息系统安全保密管理 工作。 第九条 保密办主要职责： （一）拟定涉密信息系统安全保密管理制度，并组织落实各项保密防范措施； （二）对系统用户和安全保密管理人员进行资格审查和安全保密教育培训，审查涉密 信息系统用户的职责和权限，并备案； （三）组织对涉密信息系统进行安全保密监督检查和风险评估，提出涉密信息系统安 全运行的保密要求； （四）会同科技信息部对涉密信息系统中介质、设备、设施的授权使用的审查，建立 涉密信息系统安全评估制度，每年对涉密信息系统安全措施进行一次评审； （五）对涉密信息系统设计、施工和集成单位进行资质审查，对进入涉密信息系统的 安全保密产品进行准入审查和规范管理，对涉密信息系统进行安全保密性能检测； （六）对涉密信息系统中各应用系统进行定密、变更密级和解密工作进行审核； （七）组织查处涉密信息系统失泄密事件。 第十条 科技信息部、财会部主要职责是： （一）组织、实施涉密信息系统的规划、设计、建设，制定安全保密防护方案； （二）落实涉密信息系统安全保密策略、运行安全控制、安全验证等安全技术措施； 每半年对涉密信息系统进行风险评估，提出整改措施，经涉密信息系统安全保密领导 小组批准后组织实施，确保安全技术措施有效、可靠； （三）落实涉密信息系统中各应用系统进行用户权限设置及介质、设备、设施的授权 使用、保管以及维护等安全保密管理措施； （四）配备涉密信息系统管理员、安全保密管理员和安全审计员，并制定相应的职责； “三员”角色不得兼任，权限设置相互独立、相互制约；“三员”应通过安全保密 培训持证上岗； （五）落实计算机机房、配线间等重要部位的安全保密防范措施及网络的安全管理， 负责日常业务数据及其他重要数据的备份管理； （六）配合保密办对涉密信息系统进行安全检查，对存在的隐患进行及时整改； （七）制定应急预案并组织演练，落实应急措施，处理信息安全突发事件。 第十一条 党政办公室主要职责： 按照国家密码管理的相关要求，落实涉密信息系统中普密设备的管理措施。 第十二条 相关业务部门、单位主要职责：涉密信息系统的使用部门、单位要严格遵 守保密管理规定，教育员工提高安全保密意识，落实涉密信息系统各项安全防范措施； 准确确定应用系统密级，制定并落实相应的二级保密管理制度。 第十三条 涉密信息系统配备系统管理员、安全保密管理员、安全审计员，其职责是： （一）系统管理员负责系统中软硬件设备的运行、管理与维护工作，确保信息系统的 安全、稳定、连续运行。系统管理员包括网络管理员、数据库管理员、应用系统管理 员。 （二）安全保密管理