1、(一)符合国家及集团公司对涉密人员的要求;(二)熟悉计算机和信息系统各项安全保密法律、法规和标准;(三)熟练掌握有关专业知识和业务技能;(四)通过国家有关部门的上岗培训,并获得上岗资格。第三章 涉密信息系统的建设管理第九条 建设涉密信息系统必须依照国家有关规定、标准和规范进行,安全保密设施必须与涉密信息系统同步规划、同步建设、同步运行。第十条 建设涉密信息系统,应当在方案设计前,由保密委员会根据所建系统拟涉及国家秘密的最高密级确定保护等级。第十一条 涉密信息系统建设方案的设计应当选择具有相应涉密资质的单位承担,建设方案按照建设系统的对应密级进行定密和管理。建设方案完成后,由保密办报请上级保密管
2、理部门组织评审并备案。第十二条 涉密信息系统建设过程中,必须采取严格的安全保密管理措施。系统集成、综合布线、系统服务、系统咨询、软件开发、工程监理等,应当选择具有相应资质的单位承担,并明确提出保密要求,签订保密协议。涉及国家秘密的工程资料应当根据需要控制发放,并做出登记。工程完工后,应当按登记如数收回。施工现场应当采取措施,禁止无关人员进入。第十三条 涉密信息系统所采用的安全保密产品,必须选用通过国家相关主管部门授权测评机构检测合格的产品,并应当查验产品合格证书、产品检测报告中所描述的适用范围及其有效期。 第十四条 涉密信息系统的测评工作统一由集团公司保密办委托国家涉密信息系统测评中心兵器分中
3、心实施。第十五条 涉密信息系统经测评完成,取得涉密信息系统检测评估报告后,由上级保密管理部门向集团公司保密办正式提交涉及国家秘密的信息系统投入使用申请书,并经集团公司保密办审核批准后,报相关保密行政管理部门审批,领取涉及国家秘密的信息系统使用许可证。第十六条 新建涉密信息系统在投入运行前,应当经地方保密工作部门审批,在未取得涉及国家秘密的信息系统使用许可证前,不得投入使用。在正式运行之前,不得存储和处理国家秘密信息。第十七条 涉密信息系统在设计、评审、施工及验收过程中发生失泄密事件或因有关工程信息资料泄露导致涉密信息系统防护措施失效、削弱的,属于建设单位责任的,由建设单位承担;属于其他环节责任
4、的,由相关环节负责人负责。第四章 信息设备台帐与标识管理第十八条 信息化管理部门应当根据实际,建立信息设备总台帐,内设机构或部门应当相应建立二级台帐。信息设备台帐可按以下类别分类:(一)计算机,包括服务器、用户终端;(二)网络设备和外部设备,包括交换机、路由器、网关、网闸、VPN设备、打印机、制图(绘图)机、扫描仪、光盘刻录机(外接式)等;(三)安全保密产品,包括计算机病毒防护产品,密码产品及身份鉴别、访问控制、安全审计、入侵检测、边界防护和电磁泄漏发射防护等产品;(四)移动存储介质。第十九条 各类台帐应当包括以下内容:(一)计算机管理台帐:部门、责任人、名称型号、密级或用途、操作系统安装日期
5、、硬盘序列号、IP地址、MAC地址、使用情况等;(二)网络设备和外部设备管理台帐:部门、责任人、名称、型号、使用情况等;(三)安全保密产品管理台帐:责任人、名称、型号、检测证书名称和编号、购置时间、使用情况等;(四)移动存储介质管理台帐:部门、责任人、名称、编号、序列号、密级或用途、使用情况等。第二十条 信息设备台帐管理工作实行专人负责,动态管理,并建立、健全信息设备从配置到销毁全过程的报告、审批和定期核验机制,确保信息设备台帐能够适时、准确的反映信息设备的客观情况。第二十一条 公司应对信息设备进行标识管理。设备标识由公司统一制作。标识内容应与台帐信息的主要内容相符,并保持完好。不得故意损毁、
6、涂改、撕揭或擦除。计算机和信息系统中的服务器、用户终端、外部设备、存储介质、安全保密产品等,应当根据其处理和存储信息的最高密级或主要用途进行标识。标识应当粘贴在明显位置,并与涉密信息的存储部件相关联。移动存储介质如无法粘贴标识的,可以采取不可擦除的方式标注。第五章 计算机和信息系统的保密管理第二十二条 计算机和信息系统的使用管理必须遵守如下规定:(一)严禁使用涉密计算机和信息系统连接国际互联网或公共信息网络;(二)严禁使用连接国际互联网或公共信息网络的计算机及其它非涉密计算机存储、处理涉密信息;(三)严禁将涉密计算机接入内部非涉密网络。第二十三条 涉密信息系统经安全保密技术测评,并正式投入运行
7、后,如发生下列变更事项时,应当及时报告上级保密管理部门和负责审批的保密行政管理部门:(一)涉密等级;(二)连接范围;(三)环境设施;(四)主要应用;(五)安全保密责任管理单位。由保密行政管理部门决定是否需要重新进行测评和审批。第二十四条 外部信息导入涉密计算机和信息系统的,应当通过中间转换机或经过国家相关部门批准的安全可靠的信息交换措施进行。使用中间转换机转换信息的,中间转换机应当按涉密和非涉密分别设立,并严格按照相关标准的规定程序进行操作。第二十五条 涉及涉密计算机和信息系统的设备,应当由单位统一选配,统一安装,严格控制,规范使用。第二十六条 禁止在涉密计算机和信息系统中使用无线键盘、无线鼠
8、标、无线网卡、无线路由器等具有无线功能的设备或产品。第二十七条 涉密计算机和信息系统应当根据其相应密级采取对应的身份鉴别、数字签名、访问控制、安全审计、信息加密、数据保护、介质管理、防违规外联等技术措施。第二十八条 涉密计算机和信息系统服务器、用户终端应当设置相关安全策略,设置原则是:关闭全部共享、与应用无关的所有端口、服务、链接和系统授权。第二十九条 涉密计算机和信息系统应当采取计算机病毒防护措施,定期对计算机病毒与恶意代码防护措施进行查验,并及时更新计算机病毒与恶意代码样本库。更新周期为:涉密信息系统不超过3天,单台涉密计算机不超过15天。第三十条 各单位应建立统一的补丁程序分发安装机制,
9、在补丁程序发布后3个月内及时安装,保证系统的安全性,对不能安装系统补丁程序的非正版操作系统,应当更换操作系统。第三十一条 下列事项必须报经信息化管理部门批准后由相关管理人员实施:(一)因系统崩溃、操作系统损坏等原因需重新安装操作系统的;(二)更改或清除涉密计算机和信息系统的移动存储介质及外部设备安装、使用等日志记录的;(三)因工作需要对涉密计算机和信息系统安装、扩展、缩减、拆卸软硬件的;(四)因工作需要卸载、修改涉密信息系统的安全技术程序、管理程序的。第三十二条 需经常安装的应用软件和软件工具,经信息化管理部门审批后,由系统管理员上传到指定的服务器或存储在一次性刻录光盘中,供涉密计算机和信息系
10、统用户终端下载、安装使用。第三十三条 公司要加强对连接国际互联网计算机的管理和使用,应遵循以下原则:(一)未经批准,不得擅自以任何方式连接国际互联网;(二)公司集中使用的国际互联网计算机应当指定专人负责管理,分散使用的国际互联网计算机应当明确责任人,做好上网记录;(三)应制定国际互联网信息发布管理制度,明确需要通过保密审查的信息范围和审查程序。审查一般应由拟发布信息的业务主管部门负责,业务主管部门把握不准的,由保密管理部门审查,单位业务主管领导审批;(四)公司应采取有效技术措施,对通过互联网或公共信息系统发送电子邮件等信息进行监控和记录。第三十四条 密码设备的使用和管理按照公司有关规定执行。第
11、六章 便携式计算机和存储介质保密管理第三十五条 建立健全便携式计算机和移动存储介质的管理制度和措施,根据工作实际,采取集中管理,指定专人负责。第三十六条 涉密便携式计算机应当拆除具有无线联网功能(如无线网卡、蓝牙、红外等)的硬件模块,如无法进行拆除的,不得作为涉密计算机使用。第三十七条 携带涉密便携式计算机和移动存储介质外出,应当履行审批手续和领用前状态检查;返还时,应当对外出使用情况进行技术检查。第三十八条 外出携带涉密便携式计算机和移动存储介质要确保安全,全程有效控制。同时携带涉密便携式计算机和移动存储介质时,二者应分开保管。第三十九条 不得使用低密级便携式计算机和移动存储介质存储、处理高
12、密级信息;不得在低密级计算机上使用高密级移动存储介质。第四十条 在涉密计算机和信息系统内使用的存储介质应当采取有效的技术控制措施,确保未经授权的移动存储介质不能在涉密计算机和信息系统中使用。第四十一条 在使用便携式计算机和移动存储介质时不得有下列行为:(一)在非涉密便携式计算机和移动存储介质中存储、处理涉密信息的;(二)涉密移动存储介质在非涉密计算机和信息系统中使用的;(三)将非涉密和个人具有存储功能的介质和设备接入涉密计算机和信息系统的;(四)私自携带涉密便携式计算机和移动存储介质外出的;(五)移动存储介质在涉密计算机、信息系统和非涉密计算机、信息系统之间交叉使用的。第四十二条 涉密移动存储
13、介质不得降为非涉密移动存储介质使用。第七章 信息安全保密管理第四十三条 涉密计算机和信息系统中的涉密信息应当标明密级,密级标识不得与正文分离。标注方式应当遵行以下原则:(一)处于起草、设计、编辑、修改过程中和已完成的电子文档、图表、图形、图像、数据等,只要内容涉及国家秘密,在首页应当标明密级;(二)电子数据文件、图表、图形、图像等涉密信息在首页无法直接标注密级标识的,可将密级标识作为文件名称的一部分进行标注;(三)涉及国家秘密的程序、数据库文件、数据文件、视频文件等,在软件运行首页、数据视图首页和影像播映首页应当标注密级。第四十四条 涉密计算机和信息系统应当采取有效的技术控制措施,禁止涉密信息
14、非授权输出。涉密信息系统中涉密信息输出点要按照最小化原则设置。指定专人负责。第四十五条 涉密信息远程传输应当按照国家有关规定采取密码保护措施,存储与传输、使用的加密措施应当与涉密信息的密级相适应,并得到国家主管部门批准。第四十六条 密钥的管理和使用应符合国家有关安全保密规定,并接受国家相关主管部门的指导和监督。第四十七条 公司应当制定完善的涉密信息备份制度,并采取有效的防盗、防灾措施,保证备份的安全。第四十八条 涉密计算机软硬件配置情况及本身有涉密内容的各种应用软件等信息,不得进行公开学术交流,不得公开发表。第八章 维修、报废与销毁第四十九条 涉密计算机和信息系统服务器、用户终端、外部设备、存
15、储介质发生故障时,使用部门应当向信息管理部门提出维修申请,经批准后维修。涉密计算机和信息系统、存储介质维修应当遵循以下原则:(一)现场维修时,一般应当由公司内部维修人员实施;需外部人员到现场维修时,维修过程中应当由有关人员旁站陪同;禁止维修人员恢复、读取和复制被维修设备中的涉密信息;禁止通过远程连接,对涉密计算机和信息系统进行维修和维护工作;(二)需要带离现场进行维修的,应当拆除所有可能存储过涉密信息的硬件和固件。维修地点在公司内部的,应在符合保密要求的维修场所进行;维修地点在外部的,应与维修单位和维修人员签订保密协议;(三)设备中存储过涉密信息的硬件和固件不能拆除或发生故障时,如不能保证安全
16、的,应当按照涉密载体销毁要求予以销毁;确需维修时,送至具有涉密信息系统数据恢复资质的单位进行维修,并由专人负责取送;(四)信息化管理部门应当建立维修日志和档案,并将所有涉密设备维修情况记录在案,记录内容应包括维修单位、维修人、故障现象、保密措施、维修内容、维修结果、监督检查等。第五十条 禁止将未经安全技术处理的退出使用的涉密计算机、涉密存储设备赠送、出售、丢弃或改作其他用途。如将退出使用的涉密计算机、涉密存储设备赠送、出售、丢弃或改作其他用途时,应当经信息化管理部门审批,拆除涉密存储部件和固件上交保密办进行销毁处理。第五十一条 保密管理部门应建立报废、销毁涉密设备和存储介质台帐。报废、销毁涉密
17、设备和存储介质应当履行清点、登记、审批手续,并将涉密设备和存储介质的密级、型号规格、经办人、采取的方法措施以及最终去向等情况记录在案并归档。第九章 场所的安全保密第五十二条 安装、使用涉密计算机信息系统的场所,应与境外机构驻地和人员住所保持相应的安全距离,并根据所处理信息的涉密程度设立必要的控制区域,未经批准无关人员不得进入。第五十三条 安装、使用涉密计算机信息系统的场所应当每半年或根据需要,由公司保密管理部门组织安全保密技术检查。第五十四条 安装、使用涉密计算机和信息系统的场所采取的电磁泄漏发射防护措施应当满足BMB5-2000涉密信息设备使用现场的电磁泄漏发射防护要求,有关设备或技术措施应
18、得到国家保密行政管理部门或国家安全部门的认可。第五十五条 安装、使用涉密计算机信息系统场所的其它物理安全要求,应符合国家有关安全保密管理要求,保密级别按系统中的最高密级设定。第五十六条 涉密计算机信息系统的中心机房和密码机房应列为保密要害部位进行管理,建立健全相应安全保密制度和采取有效的出入控制措施。第十章 监督管理第五十七条 对违反本办法使用涉密信息系统的部门和个人,保密办责令其限期整改。对拒不整改的,停止使用,由单位给予处罚。第五十八条 保密管理部门和信息化管理部门要经常对涉密计算机和信息系统、存储介质的使用、管理情况进行检查。对违反保密管理规定的,及时做出处理。造成失泄密的,要给予相关责
19、任人行政处分和经济处罚,情节严重的,应依据国家有关法律追究有关领导和直接责任人的法律责任。第五十九条 发现涉密信息设备、移动存储介质遗失、被盗,在全力查找、追缴的同时,报告上级保密管理部门和当地保密行政管理部门,并采取积极有效的措施减少失泄密隐患。第十一章 附 则第六十条 本办法由公司保密办负责解释。第六十一条 本办法自XXXXX年XX月XXX日起执行。涉密计算机接入园区网审批表所在部门安装地点保密编号责任人基本配置意见签字: 年 月 日保密办审核 年 月 日分管领导审批以 下 由 技 术 人 员 填 写操作系统初始密码KEY编号IP地址预装软件变更维护备注技术人员注:此表由情报信息部门负责保
20、存。设备接入园区网审批表经办部门经办人设备名称设备接入起止时间用途 年 月 日计算机台帐部门:序号密级(非密请注明用途)房间号硬盘物理序列号1.非涉密计算机在“密级”一栏内注明用途;2.没有连接内网的计算机不填“IP地址”。部门负责人: 制表人: 日期:涉密文件打印登记表文件名称页数份数打印日期用途及去向打印人签字部门负责人签字信息交换审批单(导入/导出)部门介质编号日期导入(导出)信息名称刻录光盘编号来源/去向综合管理处 此表由保密办负责保密检查、保存。涉密中间机使用情况登记表 中间机编号:文件内容源介质编号刻录光盘编号经办单位签字管理人员签字、日期非涉密中间机使用情况登记表 中间机编号:涉密便携式计算机领用审批表申请部门申请人领用时间年 月 日至 月 日领用事由部门意见 年 月 日保密办审核分管领导审批保 密 检 查 情 况计算机保密编号领用前检查情况管理员签字:申请人签字:年 月 日交回后检查情况涉密便携式计算机外出审批表外出时间预计交回时间携带涉密介质类型、编号去往地点、单位任务要求所在部门意见 年 月 日 保密办意见保密委主任审批 此表由保密办负责保存。非密便携式计算机登记表品牌规格型号使用单位制表人: 日期:涉密便携式计算机登记表 日期:涉密便携式计算机存储涉密资料审批表涉密便携式计算机保密编号存储涉密资料名称存储事由部门责任人
