涉密信息系统台账管理规范.docxVIP

涉密信息系统台账管理规范

一、总则

（一）目的与依据

为规范[单位名称]涉密信息系统（以下简称“涉密系统”）台账的建立、登记、变更、使用和保管等管理工作，确保涉密系统及其相关设备、介质、人员等信息的准确、完整和可追溯，强化涉密信息系统的全过程保密管理，防范泄密风险，依据国家有关保密法律法规及相关标准，结合本单位实际，制定本规范。

（二）适用范围

本规范适用于本单位所有涉密信息系统（包括分级保护和等级保护范围内的各类涉密网络、业务系统及单机）的台账管理活动。凡涉及涉密系统规划、建设、运行、维护、使用及销毁等各环节的单位、部门和个人，均须遵守本规范。

（三）基本原则

涉密系统台账管理遵循以下原则：

1.全程管控原则：台账管理应覆盖涉密系统从规划立项到报废销毁的全生命周期。

2.准确完整原则：台账信息必须真实、准确、完整，符合实际情况，不得漏记、错记、虚记。

3.动态更新原则：涉密系统及其相关要素发生变化时，应及时更新台账信息，确保台账的现时有效性。

4.安全保密原则：台账本身作为涉密载体进行管理，其建立、存储、查阅、复制、传输和销毁等环节，须严格遵守保密规定，严防台账信息泄露。

二、管理职责

（一）单位保密委员会（领导小组）

负责统筹协调涉密系统台账管理工作，审定相关管理制度，解决管理中出现的重大问题，保障必要的资源投入。

（二）保密管理部门

作为涉密系统台账管理的归口管理部门，主要职责包括：

1.组织制定和修订涉密系统台账管理相关制度及规范。

2.指导、监督和检查各部门、各单位涉密系统台账的建立、登记、更新和保管工作。

3.组织对台账管理人员的保密教育培训和业务指导。

4.负责单位级核心涉密系统台账的集中保管和归档。

5.组织对过期或作废台账的销毁工作进行监督。

（三）系统建设与运维部门

负责在涉密系统规划、建设、集成、运维过程中，及时、准确地记录和提供系统相关信息，建立并维护本部门职责范围内的系统技术台账和运维台账，配合保密管理部门完成综合台账的汇总。

（四）系统使用部门

负责本部门涉密系统使用人员、操作权限、介质使用等基础信息的登记与及时更新，并报保密管理部门备案。

（五）台账管理人员

1.严格按照本规范要求，认真履行台账登记、录入、核对、更新、保管等职责。

2.确保台账信息的真实性、准确性、完整性和及时性。

3.严格遵守保密纪律，妥善保管台账，防止台账丢失、损毁或信息泄露。

4.发现台账信息有误或系统发生重大变更时，及时报告并按程序处理。

三、台账内容

涉密系统台账应全面反映系统的构成、配置、状态、使用及安全管理等情况，主要包括以下内容：

（一）系统基本信息

1.系统名称及唯一标识符：规范的全称及内部编号。

2.系统密级：明确标注系统所承载信息的最高密级。

3.建设单位、承建单位、监理单位（如适用）。

4.系统用途及主要功能。

5.建设日期、启用日期、最近一次重大升级或变更日期。

6.责任单位：系统运行维护的责任部门。

7.责任人及联系方式：系统安全保密第一责任人及日常运维负责人。

8.审批备案情况：系统投入使用前的保密审批和备案信息。

（二）系统构成要素信息

1.硬件设备：

*服务器（名称/型号、编号、配置、密级、用途、所在位置、启用日期、责任人）。

*网络设备（交换机、路由器、防火墙、安全隔离设备等，同上）。

*安全设备（入侵检测/防御系统、防病毒网关、审计设备、加密设备等，同上）。

*终端设备（计算机、打印机、复印机、扫描仪等，同上）。

*其他相关硬件。

2.软件信息：

*操作系统（名称、版本、补丁级别、安装位置）。

*数据库管理系统（名称、版本、安装位置）。

*应用软件（名称、版本、开发/采购单位、功能描述、安装位置）。

*安全软件（防病毒软件、主机监控与审计软件等，名称、版本、安装位置）。

3.存储媒介：

*内置硬盘、外部硬盘、U盘、移动硬盘、光盘、磁带等。

*登记内容包括：介质名称/型号、编号、密级、容量、用途、所属设备/系统、保管人、当前状态（在用、备用、维修、报废等）。

4.网络拓扑与安全域划分：网络拓扑图（含物理拓扑和逻辑拓扑）、安全域划分情况、IP地址分配方案。

5.安全保密设施设备：如密码机、身份鉴别设备、视频干扰器等，登记内容参照硬件设备。

（三）系统安全管理信息

1.安全保密制度与操作规程：清单及版本信息。

2.安全策略：系统访问控制策略、密码策略、审计策略等。

3.访问控制信息：

*用户账户列表（用户名、姓名、所属部门、岗位、分配的终端/设备、系统角色及权限、账户创建/修改/注销日期）。

*管理员账户清单