第一章 计算机和信息系统管理制度
第一条 为加强计算机和信息系统的保密管理,确保计算机和信息系统存储、处理信息的安全,根据《武器装备科研生产单位三级保密资格标准》和有关规定,结合公司实际,制定本制度。
第二条 计算机和信息系统是指以计算机、移动存储介质、打印机等为终端设备,利用计算机、通信等技术进行信息的采集、处理、存储和传输的设备、技术、管理的组合。
第三条 公司成立“计算机和信息系统、通信及办公自动化设备管理工作小组”(简称计算机管理小组),配备系统管理员、安全保密管理员、安全审计员(简称“三员”),对公司计算机和信息系统、通信及办公自动化设备的使用进行监督管理。各部门负责人负责本部门计算机和信息系统、通信及办公自动化设备的使用和管理。
第四条 计算机和信息系统管理“三员”权限设置应当相互独立,相互制约,三员角色不得兼任,三员应经过严格的审查,通过安全保密培训,持证上岗,并按照涉密人员进行管理。
第五条 涉密计算机和信息系统用于存储和处理国家秘密信息。公司未建立涉密信息系统,采用涉密单机存储、处理涉密信息。公司涉密单机均为秘密级,禁止存储、处理绝密级和机密级信息。
第六条 内部非涉密计算机和信息系统是指用于存储、处理非涉密信息,实行单机操作或者两台(含)以上计算机组成局域网的计算机和信息系统。
公司组建了内部非涉密局域网,不与互联网和其他公共信息网络连接。
第七条 互联网计算机和信息系统是指用于存储、处理完全公开信息,连接互联网和其他公共信息网络的计算机和信息系统。
第八条 中间转换机(简称中间机)是指与任何计算机和信息系统物理隔离,独立运行的专用计算机,主要用于将外部信息导入到公司涉密、非涉密计算机和信息系统。 第九条 计算机和信息系统设备购置
1、因工作需要购置计算机和信息系统设备,按照公司相关规定办理申请手续。
2、用于处理国家秘密信息的计算机和信息系统设备,在购置前应进行调研,选择具有相关资质的单位购置,并选择国产设备,符合国家有关的保密技术规定,并在使用前进行保密检查。 第十条 计算机和信息系统设备台帐管理
1、保密办公室负责建立公司计算机和信息系统设备台帐,包括计算机(含服务器)、移动存储介质、网络及外部设备、安全保密产品等。
2、计算机包括涉密计算机(含涉密中间机)、内部非涉密计算机(含非涉密中间机)、互联网计算机、各类服务器等,应分别建立《涉密计算机台帐》、《内部非涉密计算机台帐》、《互联网计算机台帐》。
3、移动存储介质包括U盘、移动硬盘、光盘、各类数码产品中的存储卡及财务使用的U盾、网银、C-KEY等。其中U盘、移动硬盘、存储卡等应分别建立《涉密移动存储介质台帐》、《内部非涉密移动存储介质台帐》、《互联网移动存储介质台帐》;光盘单独登记,建立《涉密光盘台帐》、《非涉密光盘台帐》;各类安全保密产品的USBKEY、财务使用的U盾、网银、C-KEY等单独建立《USB设备台帐》。
4、网路及外部设备包括交换机、路由器、网关、网闸、VPN设备等,应建立《非涉密网络及外部设备台帐》。
5、安全保密产品包括计算机防病毒产品、密码产品、身份鉴别、访问控制、安全审计、入侵检测、边界防护、移动存储介质绑定、红黑电源隔离插座、视频干扰器、保密柜、碎纸机等产品,应建立《安全保密产品台帐》。
6、各类台帐应当以电子和文档版本两种形式存在,并按照密级文件进行管理,保密办公室每12个月应当进行一次清查核对。 第十一条 标识与登记管理
1、计算机和信息系统设备应当根据所存储和处理信息的最高密级或主要用途粘贴标签,涉密的标明密级,非涉密的标明用途,并在显著部位张贴警示标语。
2、保密办公室负责制作计算机和信息系统设备标签,并粘贴于设备明显位置,内容包括名称、型号、编号、密级、责任人等,其中密级分为秘密、内部、互联网等。其中不涉及存储的,可以不注明密级,而是按照其用途分为涉密专用、内部非涉密专用或者互联网专用。
3、公司各部门使用的光盘,应在光盘表面用油性笔标明使用部门、密级、编号、责任人等。
4、计算机、U盘、移动硬盘、存储卡等在投入使用前由计算机管理小组进行登记备案。 第十二条 涉密计算机按照“先审批、后使用”的原则实行审批制度,由计算机使用人填写《涉密计算机备审批案登记表》,经部门负责人同意后,报计算机管理小组进行审批。计算机管理小组根据有关法规及标准,对申报计算机的性能、环境、管理措施等进行审核,对符合标准要求的,确定为涉密计算机,并核准涉密计算机编号。涉密计算机的密级按所(拟)存储、处理涉密信息的最高密级确定。 第十三条 非涉密计算机由使用人填写《内部非涉密计算机审批备案登记表》或者《互联网计算机审批备案登记表》,经部门负责人同意后,报计算机管理小组进行审批。
第十四条 移动存储介质由使用人填写《移动存储介质审批备案登记表》,经部门负责人同意后,报计算机管理小组进行审批。 第十五条 使用涉密计算机应填写《涉密计算机运行台帐》,使用涉密中间机进行信息交换应填写《涉密中间机运行台帐》,使用互联网计算机应填写《互联网计算机运行台帐》,记录使用情况。 第十六条 计算机和信息系统设备使用基本要求
1、涉密计算机和信息系统设备禁止连接国际互联网和其他公共信息网络,必须实行物理隔离;涉密计算机和信息系统应当安装“三合一”防护系统软件实现违规外联监控;
2、涉密计算机和信息系统设备禁止与普通电话机、手机、照相机等具有即时通信、存储、联网功能的设备连接;
3、涉密计算机和信息系统设备禁止接入内部非涉密信息系统;
4、禁止使用连接国际互联网和其他公共信息网络的计算机、信息设备、存储介质存储和处理涉军、涉密信息;
5、禁止使用内部非涉密的计算机、信息系统和存储介质存储和处理涉密信息;
6、未经计算机管理小组批准,严禁对涉密计算机进行格式化或重新安装操作系统;
7、未经计算机管理小组批准,严禁删除涉密计算机的移动存储介质及外部设备日志记录。
第十七条 涉密计算机管理措施
1、涉密计算机使用前必须拆除网卡,不能拆除的,必须卸载其驱动程序。涉密计算机禁止使用无线键盘、无线鼠标及其它具有无线功能的外部设备,其无线功能硬件模块可拆除的,必须拆除;不可拆除的,必须卸载其驱动程序。便携式涉密计算机必须拆除具有无线功能的硬件模块。
2、涉密计算机硬盘与涉密计算机实行绑定,任何个人不得随意进行拆卸和更换。涉密计算机根据工作需要设置用户帐户和系统管理员帐户,并禁用guest帐户。
3、多人共同使用一台涉密计算机时,应当以不扩大国家秘密的知悉范围为原则,由系统管理员为每个使用者分别设置用户标识和权限,使用者的权限应当设置为一般用户,不得设置为系统管理员级用户,应当为每个使用者划分一个独立的硬盘分区用于处理涉密信息。
4、涉密计算机采用口令密码进行身份鉴别,口令长度不得少于八个字符(一般采用英文字母、数字、特殊符号中两者以上的组合),口令更换周期不得长于一个月。涉密计算机设置开机口令,登陆操作系统时进行身份鉴别;空闲操作时间超过10分钟时,应当重新进行身份鉴别;用户身份鉴别尝试失败次数达到5次时,应当进行登录锁定。涉密计算机口令由系统管理员统一生成,填写《涉密计算机密码口令更改记录表》,按要求进行更改,并按照密级文件进行管理。
5、涉密计算机和信息系统使用的安全保密产品应当采用国产设备,并获得国家相关部门批准。在购买安全保密产品时,应验证厂商提供的国家相关部门授权测评机构的检测证书,确认安全保密产品名称、版本序列号和有效期。安全保密产品的有效性应定期进行检查,发现故障及时维修,不能维修的要及时更换。
6、涉密信息远程传输应按国家有关部门要求采取密码保护措施。
7、涉密计算机和信息系统设备以及传输线路应采取电磁泄漏防护措施,配备合格的防护产品,如视频干扰器、红黑电源隔离插座等。
8、涉密计算机和信息系统使用的存储介质应当采取绑定或有效措施,禁止在涉密计算机和信息系统上使用内部、互联网、无标识的存储介质;禁止在低密级的计算机上使用高密级的存储介质;禁止在高密级的计算机上使用低密级的存储介质。 第十八条 内部非涉密计算机管理措施
1、内部非涉密计算机严禁使用具有无线功能的外部设备。
2、内部非涉密计算机由系统管理员设置用户账户,由责任人设置开机口令、登录口令和屏保口令,并定期进行更改。
3、内部非涉密计算机严禁存储处理涉密信息,严禁使用涉密移动存储介质,严禁连接使用涉密办公自动化设备。
4、内部非涉密计算机严禁接入互联网和其他公共信息网,严禁连接使用普通电话机、手机等具有即时通信和联网功能的设备。
5、内部非涉密计算机应使用登记在册的非涉密移动存储介质和设备,未经批准,不得连接使用外来设备。
6、未经批准,不得随意拆卸和更换计算机硬盘,不得对计算机进行格式化或重新安装操作系统,不得删除计算机的移动存储介质和外部设备的使用记录。
7、内部非涉密计算机不得安装与工作无关的软件。未经批准,不得私自安装外来软件。
8、内部非涉密计算机应安装防病毒软件,定期进行病毒和恶意代码查杀,升级病毒与恶意代码样本库,安装操作系统、数据库和应用程序补丁。
第十九条 互联网计算机管理措施
1、互联网计算机由系统管理员设置用户帐户,由责任人设置开机口令、登录口令和屏保口令,并定期进行更改。
2、互联网计算机主要用于查阅资料、收发邮件等,只能处理完全公开的信息,严禁存储和处理涉军、涉密信息。
3、互联网计算机严禁使用涉密移动存储介质,严禁连使用涉密办公自动化设备。
4、互联网计算机应使用登记在册的互联网移动存储介质,未经批准,不得使用私人和外来移动存储介质和设备。
5、使用互联网计算机发送电子邮件,应填写《邮件发送审批表》,经部门负责人批准后方可对外发送,发送完毕后,填写《邮件发送登记表》,进行登记。
6、使用互联网计算机在公开的网站、论坛等发布信息,应填写《互联网信息发布审批表》,经部门负责人批准后方可发布,发布完毕后,填写《互联网信息发布登记表》,进行登记。
7、未经批准,不得随意拆卸和更换计算机硬盘。不得对计算机进行格式化或重新安装操作系统。不得删除计算机的移动存储介质和外部设备的使用记录。
第二十条 中间转换机管理措施
1、中间转换机分为涉密中间转换机和非涉密中间转换机。
2、涉密中间转换机用于将外部的信息导入到涉密计算机和信息系统,涉密中间转换机的密级应当根据转换信息的最高密级确定,并按照涉密计算机的管理措施进行管理,并做好使用记录。
3、非涉密中间转换机用于将国际互联网、公共信息网络和其他非涉密信息系统的信息导入到内部非涉密计算机和信息系统,按照内部非涉密计算机管理措施进行管理。 第二十一条 移动存储介质管理措施
1、移动存储介质由保密办统一采购,经登记备案后发放至个人使用。
2、涉密移动存储介质禁止在内部非涉密计算机、互联网计算机或其他公共信息网上的计算机及其他设备上使用。
3、内部非涉密移动存储介质禁止存储涉密信息,禁止在涉密计算机、互联网计算机及其它设备上使用。
4、互联网移动存储介质禁止存储、处理涉军、涉密信息,禁止在涉密计算机、内部非涉密计算机及其它涉密和内部非涉密设备上使用。
5、不得在低密级的计算机上使用高密级的移动存储介质;不得在高密级计算机上使用低密级移动存储介质。
6、涉密移动存储介质中存储的涉密信息必须标注相应的密级标识,不得在低密级移动存储介质中存储处理高密级涉密信息。
7、移动存储介质的密级只能由低密级向高密级变更,不得降低密级使用。
8、因工作需要使用外来移动存储介质的,应填写《外来移动存储介质使用审批表》,经部门负责人批准后,方可安装使用。 第二十二条 涉密计算机和信息系统安全保密策略与审计
1、涉密计算机和信息系统应制定文档化的安全保密策略文件,定期形成安全审计报告和风险评估报告。
2、安全保密策略文件应包括物理安全策略、身份鉴别策略、密码策略、账户锁定策略、访问控制策略、运行管理策略、计算机病毒与恶意代码防护策略、信息交换策略、本地安全审核策略、备份与恢复策略等,并经公司保密委员会批准,经过培训教育,传达给涉密计算机和信息系统的全体管理和使用人员。安全保密策略应根据环境、系统和威胁的变化情况及时调整更新。
3、安全审计报告是依据涉密计算机和信息系统的安全保密策略,通过对可审计事件、异常事件和行为进行统计分析,形成的综合性报告。计算机管理小组根据安全审计报告的内容掌握涉密计算机和信息系统的管理、运行和维护情况。计算机管理小组每三个月形成文档化的安全审计报告。
4、计算机管理小组根据审计日志,每年对涉密计算机和信息系统进行风险自评估,形成文档化的风险评估报告,对存在的风险隐患,及时采取防范措施予以改进。应根据风险评估报告,及时调整更新安全保密策略文件。
第二十三条 涉密计算机和信息系统存储、处理、传递、输出的涉密信息要有相应的密级标识,密级标识不能与正文分离。涉密电子文档应从完整路径(所在盘符-文件夹-文件名-文件)进行密级标识,正文中的密级标识位置为:office文档首页的左上角,图片、软件、视频的首页(或首页面)的明显位置。
第二十四条 未经批准,涉密便携式计算机禁止存储涉密信息。 第二十五条 计算机和信息系统信息交换
1、因工作需要,将外部涉密/非涉密信息导入涉密计算机和信息系统,应填写《信息交换审批表》,经部门负责人批准后,由专职人员通过涉密/非涉密中间转换机刻录一次性光盘,或者通过单导装置进行导入,操作人员应记录导入过程。
2、因工作需要,将互联网、公共信息网等外部信息导入到内部非涉密计算机和信息系统,由专职人员进行审查,通过非涉密中间转换机刻录一次性光盘进行导入,或者通过单导装置进行导入。操作人员应填写《内部非涉密计算机信息交换登记表》,记录导入过程。
3、计算机和信息系统中的信息需要对外输出时,一般应当直接打印输出纸质文件;涉密/非涉密文件的打印按照《通信及办公自动化设备管理制度》相关规定执行。
4、需要以电子文件输出信息时,应当采取刻录一次性光盘的方式进行输出。
第二十六条 计算机应根据工作需要的原则,选择安装应用软件。计算机在投入使用前,由系统管理员安装操作系统和应用软件,在计算机使用过程中需要安装其他软件的,由使用人填写《计算机和信息系统软件硬件安装审批表》,经计算机管理小组批准后,由系统管理员进行安装或者系统管理员授权用户安装,安装完毕后,填写《计算机和信息系统软件硬件安装登记表》,进行登记。
第二十七条
计算机因系统崩溃、操作系统损坏等原因需重新安装操作系统的,由申请人提出申请,经计算机管理小组批准后,由系统管理员进行安装或者系统管理员授权用户安装。重新弄安装操作系统后,应按照规定的要求配置安全策略,更新台帐。
第二十八条 计算机和信息系统应不定期进行病毒和恶意代码查杀,涉密计算机应每15天更新一次计算机病毒与恶意代码样本库,并填写《计算机病毒与恶意代码更新记录表》。
第二十九条 计算机和信息系统应定期安装操作系统、数据库和应用程序补丁程序,涉密计算机应在补丁程序发布后三个月内及时安装。 第三十条 因工作需要携带便携式计算机和存储介质外出,应填写《便携式计算机及移动存储介质外带使用审批表》,经部门负责人同意后方可携带外出,带回后要进行保密检查。
第三十一条 保密办配备专供携带外出的涉密便携式计算机和涉密移动存储介质,由保密员集中管理。携带涉密计算机和存储介质外出,须经保密办主任批准后方可带出。保密员对需要带出的涉密计算机和存储介质,应进行信息清除处理,保证涉密计算机和存储介质上只存有与本次外出相关的涉密信息。每次归还涉密计算机和移动存储介质应进行保密检查并清除信息。
第三十二条
计算机使用场所、使用人、密级等发生变化时,由计算机使用人填写《计算机变更申请表》,经计算机管理小组批准后,办理变更手续,并重新粘贴标签。禁止高密级涉密计算机变更为低密级涉密计算机或非涉密计算机。
第三十三条 计算机和信息系统设备的维修,由使用人填写《计算机和信息系统设备维修申请表》,经计算机管理小组批准后,由相关人员进行维修。涉密计算机维修时,必须有专人在场监督,禁止维修人员复制、读取和恢复计算机中的涉密信息。需要带离现场进行维修的,应当拆卸所有存储过涉密信息的硬件,方可送维修单位进行维修。不能拆除,或存储过涉密信息的硬件发生故障需要维修时,应送至具有涉密信息数据恢复资质的单位进行维修,并由专职人员负责送取。 第三十四条 无法继续使用,需要报废的计算机和信息系统设备,由使用人填写《计算机和信息系统设备报废申请表》,经计算机管理小组批准后,办理报废手续,涉密计算机和信息系统设备必须将所有存储过涉密信息的硬件移交至保密办进行封存。 第三十五条
涉密部门应当每月对本部门使用的计算机和信息系统设备进行保密自查,对存在的问题及时进行纠正。
第三十六条 保密办公室每季度组织开展一次计算机和信息系统的保密检查,对存在的问题及时进行纠正。
第三十七条 计算机使用和管理人员要严格遵守本制度,对违反本制度,造成泄密事件或者造成泄密隐患的,根据情节轻重,给予处罚,构成犯罪的,还要追究其刑事责任。
第二章 通信及办公自动化设备管理制度
第一条 为加强公司通信及办公自动化设备的保密管理工作,确保国家秘密安全,根据《武器装备科研生产单位三级保密资格标准》和有关规定,结合公司实际,制定本制度。
第二条 本制度所称通信及办公自动化设备,主要包括电话机、手机、复印机、打印机、传真机、一体机、扫描仪、刻录机、照相机等设备。 第三条 通信及办公自动化设备的保密管理实行“谁使用、谁负责”的原则,保密办对通信及办公自动化设备的使用进行监督。 第四条 涉密通信及办公自动化设备用于存储和处理国家秘密信息;内部非涉密通信及办公自动化设备用于存储和处理内部非涉密信息;互联网通信及办公自动化设备用于存储和处理完全公开的信息。 第五条 通信及办公自动化设备购置
1、因工作需要购置通信及办公自动化设备,按照公司相关规定办理申请手续。
2、用于处理国家秘密信息的通信及办公自动化设备,应尽量选择国产设备,符合国家保密技术和有关保密规定,并在使用前进行安全保密检查。
第六条 通信及办公自动化设备台帐管理
1、保密办公室负责建立公司通信及办公自动化设备台帐,分别填写《涉密通信及办公自动化设备台帐》、《内部非涉密通信及办公自动化设备台帐》、《互联网通信及办公自动化设备台帐》。
2、各类台帐应当以电子和文档版本两种形式存在,并按照密级文件进行管理,保密办公室每12个月应当进行一次清查核对。 第七条 标识管理
1、通信及办公自动化设备应当根据所存储和处理信息的最高密级或主要用途粘贴标签,涉密的标明密级,非涉密的标明用途,并在显著部位张贴警示标语。
2、保密办公室负责制作通信及办公自动化设备标签,并粘贴于设备明显位置,内容包括名称、型号、编号、密级、责任人等,其中密级分为秘密、内部、互联网等。
第八条 涉密通信及办公自动化设备实行“先审批、后使用”的原则,使用部门填写《涉密通信及办公自动化设备审批表》,经批准后方可投入使用,其密级按所(拟)处理涉密信息的最高密级确定。具有无线互联功能的设备不能申报涉密设备。 第九条 通信及办公自动化设备使用基本要求
1、涉密通信及办公自动化设备禁止连接国际互联网和其他公共信息网络,禁止连接内部非涉密计算机和其他任何非涉密设备。
2、内部非涉密通信及办公自动化设备禁止连接涉密计算机和信息系统设备;禁止连接国际互联网和其他公共信息网络。
3、互联网通信及办公自动化设备禁止连接涉密、内部非涉密计算机和信息系统设备。
4、禁止使用内部非涉密、互联网通信及办公自动化设备存储、处理和传输涉密信息。
第十条 通信设备的使用管理
1、严禁在无保密措施的有线、无线通信中涉及国家秘密事项,严禁通过无任何保密措施的通信设备传递国家秘密信息。保密要害部门、部位严禁使用无线、字母电话机。
2、手机使用保密管理
1)保密办公室负责对涉密人员的手机使用情况进行登记备案; 2)不得在手机通信中涉及国家秘密;
3)不得在手机上存储、处理、传输国家秘密信息;
4)不得将手机连接涉密信息系统、信息设备或者载体,不得将手机连接红黑隔离电源插座进行充电;
5)涉密人员严禁使用他人赠予的手机,并应当按照国家有关规定及时关闭定位、远程服务等功能;
6)不得将手机带入保密要害部位、涉密会议和场所,重要涉密场所应配备手机存放屏蔽柜,集中保管进入人员的手机。涉密会议、活动应安装和使用手机信号干扰器。 第十一条 办公自动化设备使用管理规定
1、使用普通传真机发送非涉密文件、资料,须填写《传真发文审批表》,经部门负责人批准后进行发送,发送完毕后,填写《传真发文登记表》。普通传真机严禁收发涉密文件、资料等。
2、使用普通传真机接受文件,应填写《传真收文登记表》。
3、使用内部非涉密的打印机、复印机、扫描仪,需进行登记;分别填写《非涉密文件打印登记表》、《非涉密文件复印登记表》、《非涉密文件扫描登记表》。
4、涉密计算机配备涉密打印机,并落实专人管理。打印涉密文件,必须办理审批手续,承办人填写《涉密文件打印、复印、扫描审批表》,经批准后方可打印,打印完毕后填写《涉密文件打印登记表》,进行登记。
5、保密办公室配备涉密复印机,实行单机操作,不得与其他任何设备连接,并落实专人管理。复印涉密文件,经批准后方可复印;复印非涉密文件,须进行登记。
6、保密办公室配备涉密扫描仪,并落实专人管理。扫描涉密文件,经批准后方可扫描;扫描非涉密文件,须进行登记。
7、操作人员在打印、复印、扫描涉密文件前,要严格核对文件名称、密级、数量、编号和审批签名,并做好登记,打印、复印的废页应及时用文件粉碎机销毁。复印涉密文件,不得改变其密级、保密期限和知悉范围,并视同原件管理。
8、公司其他部门的非涉密打印机、复印机、扫描仪均不得打印、复印、扫描涉密文件资料。 第十二条
涉密通信及办公自动化设备使用场所、密级等发生变化时,由责任人员填写《通信及办公自动化设备变更申请表》,经审批后办理变更手续,重新粘贴设备标签等。禁止涉密设备变更为非涉密设备。 第十三条 通信及办公自动化设备的维修,由责任人员填写《通信及办公自动化设备维修申请表》,经批准后,由相关人员进行维修。涉密通信及办公自动化设备维修时,必须有管理人员在场监督。需要带离现场进行维修的,应到保密办公室指定的单位进行维修,必要时应当拆除所有可能存储过涉密信息的硬件。
第十四条 无法继续使用,需要报废的通信及办公自动化设备,责任人员应填写《通信及办公自动化设备报废申请表》,经批准后,办理报废手续。涉密通信及办公自动化设备必须将所有存储过涉密信息的硬件模块移交至保密办进行封存。
第十五条 通信和办公自动化设备使用和管理人员要严格遵守本制度,对违反本制度,造成泄密事件或者造成泄密隐患的,根据情节轻重,给予处罚,构成犯罪的,还要追究其刑事责任。
