计算机信息保密制度.docxVIP

计算机信息保密制度

为规范本单位计算机信息系统使用行为，保障国家秘密、工作秘密及敏感信息安全，防范信息泄露风险，依据《中华人民共和国保守国家秘密法》《中华人民共和国网络安全法》等相关法律法规，结合单位实际，制定本制度。本制度适用于单位所有使用计算机信息设备（含台式机、笔记本电脑、移动终端、存储介质及配套网络设备）处理、存储、传输信息的部门及人员（以下简称“信息使用主体”）。

一、管理职责划分

（一）单位保密委员会为计算机信息保密工作的最高决策机构，负责审定保密策略、重大安全事件处置方案，监督保密制度执行情况，每季度至少召开一次专题会议研究信息安全形势。

（二）信息中心为计算机信息保密工作的执行部门，具体职责包括：制定信息分类标准及技术防护措施；部署并维护身份认证、访问控制、日志审计等安全系统；定期开展设备安全检查与风险评估；组织保密技术培训；接收并处理信息安全事件报告。

（三）各部门负责人为部门信息保密第一责任人，负责落实本部门计算机使用规范，监督员工遵守保密要求，对本部门存储、处理的信息安全负直接管理责任。

（四）信息使用主体需严格遵守本制度，妥善保管个人账号及设备，及时报告安全隐患，配合开展安全检查。

二、信息分类与标识管理

（一）信息按敏感程度划分为四个等级：

1.绝密级：泄露会使单位利益遭受特别严重损害的信息，包括核心技术参数、未公开重大决策方案、涉及国家秘密的内部文件等；

2.机密级：泄露会使单位利益遭受严重损害的信息，包括重要业务数据、未发布的财务报表、客户隐私信息等；

3.秘密级：泄露会使单位利益遭受较大损害的信息，包括一般性业务记录、内部通知、非核心技术文档等；

4.内部公开级：仅限单位内部人员知悉的信息，如常规管理制度、公共通知等。

（二）信息产生部门需在信息形成时完成密级判定，填写《信息密级确认表》，经部门负责人审核后标注密级标识（格式为“密级+★+保密期限”，如“机密★5年”；无明确保密期限的标注“长期”）。

（三）存储介质（含硬盘、U盘、移动硬盘等）需根据存储信息的最高密级标注密级标识，标识应清晰、不易脱落，禁止超密级标注或未标注使用。

三、访问控制管理

（一）所有计算机信息系统实行“最小授权”原则，信息使用主体仅能访问完成岗位职责所需的最低密级信息。

（二）用户账号实行“一人一账号”制度，禁止共享账号或使用他人账号登录。账号创建需由使用人提出申请，经部门负责人审核、信息中心审批后开通，审批记录留存至少3年。

（三）登录涉密信息系统需采用双因素认证（如账号密码+动态令牌或指纹识别），首次登录需修改初始密码，密码长度不少于12位，包含字母、数字、特殊符号，每90天强制更换一次，禁止使用生日、手机号等弱密码。

（四）临时访问（如外单位人员因工作需要访问内部系统）需由业务对接部门提交《临时访问申请表》，注明访问目的、时间、权限范围，经部门负责人、保密委员会审批后，由信息中心分配临时账号并设置访问时限（最长不超过7个工作日）。临时访问结束后，账号需在24小时内注销，访问日志留存至少1年。

（五）离开计算机超过15分钟时，需启用屏幕锁定功能（密码解锁）；离开超过1小时或下班时，需关闭计算机或切换至休眠状态（需设置开机密码）。

四、操作规范要求

（一）设备使用管理

1.办公计算机（含笔记本电脑）须统一安装单位指定的终端安全管理软件（含杀毒软件、防火墙、违规外联监控模块），禁止卸载或关闭防护功能；

2.严禁将办公计算机接入互联网（专用互联网设备除外），互联网设备与内部涉密设备物理隔离，禁止混用；

3.移动终端（如平板电脑、智能手机）仅允许使用单位统一配发的设备处理内部信息，私人移动终端禁止接入内部网络或存储涉密信息；

4.外接设备（U盘、移动硬盘、打印机等）使用前需经信息中心检测，确认无病毒、木马后登记备案；非备案设备禁止接入办公计算机；

5.禁止在办公计算机上安装非授权软件（如游戏、视频播放、即时通讯工具等），因工作需要安装专用软件的，需提交《软件安装申请表》，经信息中心审核、保密委员会批准后由技术人员安装。

（二）文件处理规范

1.处理绝密级信息时，须在专用设备上进行，禁止通过网络传输或拷贝至移动存储介质；

2.复制机密级及以上信息需经原信息产生部门负责人审批，复制件需标注与原件相同的密级标识，并与原件同等管理；

3.编辑、修改涉密文件时，需使用单位指定的加密文档编辑器（如WPS加密模式、Office信息权限管理功能），禁止使用无加密功能的普通编辑器；

4.打印涉密文件需登记《打印记录表》，注明文件名称、密级、打印份数，打印后当场取走，废页即时销毁（碎纸机粉碎或焚烧）；

5.共享文件