网络信息安全保密管理制度.docx

上传人:太** 文档编号:74292465 上传时间:2023-02-25 格式:DOCX 页数:12 大小:16.05KB
返回 下载 相关 举报
网络信息安全保密管理制度.docx_第1页
第1页 / 共12页
网络信息安全保密管理制度.docx_第2页
第2页 / 共12页
点击查看更多>>
资源描述

《网络信息安全保密管理制度.docx》由会员分享,可在线阅读,更多相关《网络信息安全保密管理制度.docx(12页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、第一章总那么第一条为加强公司计算机和信息系统(包括涉密信息系统和非涉 密信息系统)安全保密管理,确保国家秘密及商业秘密的安全,根据国家有关 保密法规标准XX有关规定,制定本规定。第二条本规定所称涉密信息系统是指由计算机及其相关的配套 设备、设施构成的,按照一定的应用目标和规定存储、处理、传输涉 密信息的系统或网络,包括机房、网络设备、软件、网络线路、用户 终端等内容。第三条涉密信息系统的建设和应用要本着“预防为主、分级负责、 科学管理、保障安全”的方针,坚持“谁主管、谁负责,谁使用、谁 负责”和“控制源头、归口管理、加强检查、落实制度”的原那么,确 保涉密信息系统和国家秘密信息安全。第四条涉密

2、信息系统安全保密防护必须严格按照国家保密标准、 规定和集团公司文件要求进行设计、实施、测评审查与审批和验收; 未通过国家审批的涉密信息系统,不得投入使用。第五条本规定适用于公司所有计算机和信息系统安全保密管理 工作。第二章管理机构与职责第六条公亘法人代表是涉密信息系统安全保密第一责任人,确保 涉密信息系统安全保密措施的落实,提供人力、物力、财力等条件保 障,催促检查领导责任制落实。第七十八条按照信息安全突发事件的性质、影响范围和造成的损 失,将涉密信息系统安全突发事件分为特别重大事件(I级)、重大 事件(口级)、较大事件(HI级)和一般事件(IV级)四个等级。(一)一般事件由科技信息部(或财会

3、部)依据应急响应预案进 行处置;(二)较大事件由科技信息部(或财会部)、保密办依据应急响 应预案进行处置,及时向公司信息安全领导小组报告并提请协调处置;(三)重大事件启动应急响应预案,对突发事件进行处置,及时 向公司党政报告并提请协调处置;(四)特别重大事件由公司报请中核集团公司对信息安全突发事 件进行处置。第七十九条发生突发事件(如涉密数据被窃取或信息系统瘫痪等) 应按如下应急响应的基本步骤、基本处理方法和流程进行处理:(一)上报科技信息部和保密办;(二)关闭系统以防止造成数据损失;(三)切断网络,隔离事件区域;(四)查阅审计记录寻找事件源头;(五)评估系统受损程度;(六)对引起事件漏洞进行

4、整改;(七)对系统重新进行风险评估;(八)由保密办根据风险评估结果并书面确认安全后,系统方能 重新运行;(九)对事件类型、响应、影响范围、补救措施和最终结果进行 详细的记录;(十)依照法规制度对责任人进行处理。第八十条科技信息部、财会部应会同保密办每年组织一次应急响 应预案演练,检验应急响应预案各环节之间的通信、协调、指挥等是 否快速、高效,并对其效果进行评估,以使用户明确自己的角色和责 任。应急响应相关知识、技术、技能应纳入信息安全保密培训内容, 并记录备案。第七章人员管理第八十一条各部门、单位每年应组织开展不少于1次的全员信息 安全保密知识技能教育与培训,并记录备案。第八十二条涉密人员离岗

5、、离职,应及时调整或取消其访问授权,并将其保 管的涉密设备、存储介质全部清退并办理移交手续。第八十三条承当涉密信息系统日常管理工作的系统管理员、安全 保密管理员、安全审计管理员应按重要涉密人员管理。第八章督查与奖惩第八十四条公司每年应对涉密信息系统安全保密状况、安全保密 制度和措施的落实情况进行一次自查,并接受国家和上级单位的指导 和监督。涉密信息系统每两年接受一次上级部门开展的安全保密测评 或保密检查,检查结果存档备查。第八十五条检查涉密计算机和信息系统的保密检查工具和涉密信息系统所使用的安全保密、漏洞检查(取证)软件等,应覆盖保密 检查的工程,并通过国家保密局的检测。安全保密检查工具应及时

6、升 级或更新,确保检查时使用最新版本。第八十六条各部门、单位应将员工遵守涉密计算机及信息系统安 全保密管理制度的情况,纳入保密自查、考核的重要内容。对违反本 规定造成失泄密的当事人及有关责任人,按公司保密责任考核及奖惩 规定执行。第九章附那么第八十七条本规定由保密办负责解释与修订。第七条公司保密委员会是涉密信息系统安全保密管理决策机构, 其主要职责:(一)建立健全安全保密管理制度和防范措施,并监督检查落实 情况;(二)协调处理有关涉密信息系统安全保密管理的重大问题,对 重大失泄密事件进行查处。第八条成立公司涉密信息系统安全保密领导小组,保密办、科技 信息部(信息化)、党政办公室(密码)、财会部

7、、人力资源部、武 装保卫部和相关业务部门、单位为成员单位,在公司党政和保密委员 会领导下,组织协调公司涉密信息系统安全保密管理工作。第九条保密办主要职责:(一)拟定涉密信息系统安全保密管理制度,并组织落实各项保 密防范措施;(二)对系统用户和安全保密管理人员进行资格审查和安全保密 教育培训,审查涉密信息系统用户的职责和权限,并备案;(三)组织对涉密信息系统进行安全保密监督检查和风险评估, 提出涉密信息系统安全运行的保密要求;(四)会同科技信息部对涉密信息系统中介质、设备、设施的授 权使用的审查,建立涉密信息系统安全评估制度,每年对涉密信息系 统安全措施进行一次评审;(五)对涉密信息系统设计、施

8、工和集成单位进行资质审查,对 进入涉密信息系统的安全保密产品进行准入审查和规范管理,对涉密 信息系统进行安全保密性能检测;(六)对涉密信息系统中各应用系统进行定密、变更密级和解密 工作进行审核;(七)组织查处涉密信息系统失泄密事件。第十条科技信息部、财会部主要职责是:(一)组织、实施涉密信息系统的规划、设计、建设,制定安全 保密防护方案;(二)落实涉密信息系统安全保密策略、运行安全控制、安全验 证等安全技术措施;每半年对涉密信息系统进行风险评估,提出整改 措施,经涉密信息系统安全保密领导小组批准后组织实施,确保安全 技术措施有效、可靠;(三)落实涉密信息系统中各应用系统进行用户权限设置及介质、

9、 设备、设施的授权使用、保管以及维护等安全保密管理措施;(四)配备涉密信息系统管理员、安全保密管理员和安全审计员, 并制定相应的职责;“三员”角色不得兼任,权限设置相互独立、相 互制约;“三员”应通过安全保密培训持证上岗;(五)落实计算机机房、配线间等重要部位的安全保密防范措施 及网络的安全管理,负责日常业务数据及其他重要数据的备份管理;(六)配合保密办对涉密信息系统进行安全检查,对存在的隐患 进行及时整改;(七)制定应急预案并组织演练,落实应急措施,处理信息安全 突发事件。第十一条党政办公室主要职责:按照国家密码管理的相关要求,落实涉密信息系统中普密设备的 管理措施。第十二条相关业务部门、单

10、位主要职责:涉密信息系统的使用部 门、单位要严格遵守保密管理规定,教育员工提高安全保密意识,落 实涉密信息系统各项安全防范措施;准确确定应用系统密级,制定并 落实相应的二级保密管理制度。第十三条涉密信息系统配备系统管理员、安全保密管理员、安全 审计员,其职责是:(一)系统管理员负责系统中软硬件设备的运行、管理与维护工 作,确保信息系统的安全、稳定、连续运行。系统管理员包括网络管 理员、数据库管理员、应用系统管理员。(二)安全保密管理员负责安全技术设备、策略实施和管理工作, 包括用户帐号管理以及安全保密设备和系统所产生日志的审查分析。(三)安全审计员负责安全审计设备安装调试,对各种系统操作 行为

11、进行安全审计跟踪分析和监督检查,以及时发现违规行为,并每 月向涉密信息系统安全保密领导小组办公室汇报一次情况。第三章系统建设管理第十四条规划和建设涉密信息系统时,按照涉密信息系统分级保 护标准的规定,同步规划和落实安全保密措施,系统建设与安全保密 措施同计划、同预算、同建设、同验收。第十五条涉密信息系统规划和建设的安全保密方案,应由具有 “涉及国家秘密的计算机信息系统集成资质”的机构编制或自行编制, 安全保密方案必须经上级保密主管部门审批后方可实施。第十六条涉密信息系统规划和建设实施时,应由具有“涉及国家 秘密的计算机信息系统集成资质”的机构实施或自行实施,并与实施 方签署保密协议,工程竣工后

12、必须由保密办和科技信息部共同组织验 收。第十七条对涉密信息系统要采取与密级相适应的保密措施,配备 通过国家保密主管部门指定的测评机构检测的安全保密产品。涉密信 息系统使用的软件产品必须是正版软件。第四章信息管理第一节信息分类与控制第十八条涉密信息系统的密级,按系统中所处理信息的最高密级 设定,严禁处理高于涉密信息系统密级的涉密信息。第十九条涉密信息系统中产生、存储、处理、传输、归档和输出 的文件、数据、图纸等信息及其存储介质应按要求及时定密、标密, 并按涉密文件进行管理。电子文件密级标识应与信息主体不可别离, 密级标识不得篡改。涉密信息系统中的涉密信息总量每半年进行一次 分类统计、汇总,并在保

13、密办备案。第二十条涉密信息系统应建立安全保密策略,并采取有效措施, 防止涉密信息被非授权访问、篡改,删除和丧失;防止高密级信息流 向低密级计算机。涉密信息远程传输必须采取密码保护措施。第二十一条向涉密信息系统以外的单位传递涉密信息,一般只提 供纸质文件,确需提供涉密电子文档的,按信息交换及中间转换机管 理规定执行。第二十二条清除涉密计算机、服务器等网络设备、存储介质中的 涉密信息时,必须使用符合保密标准、要求的工具或软件。第二节用户管理与授权第二十三条根据本部门、单位使用涉密信息系统的密级和实际工 作需要,确定人员知悉范围,以此作为用户授权的依据。第二十四条用户清单管理(一)科技信息部管理“研

14、究试验堆燃料元件数字化信息系统” 和“中核集团涉密广域网”用户清单;财会部管理“财务会计核算网” 用户清单;(二)新增用户时,由用户本人提出书面申请,经本部门、单位 审核,科技信息部、保密办审批后,由科技信息部备案并统一建立用 户;“财务会计核算网”的用户由财会部统一建立;(三)删除用户时; 由用户本人所在部门、单位书面通知科技信 息部,核准后由安全保密管理员即时将用户在涉密信息系统内的所有 帐号、权限废止;“财务会计核算网”密办审核,公司分管领导审批。 开通、审批坚持“工作必须”的原那么。第六十四条国际互联网计算机实行专人负责、专机上网管理,严 禁存储、处理、传递涉密信息和内部敏感信息。接入

15、互联网的计算机 须建立使用登记制度。第六十五条上网信息实行“谁上网谁负责”的保密管理原那么,信 息上网必须经过严格审查和批准,坚决做到“涉密不上网,上网不涉 密”。对上网信息进行扩充或更新,应重新进行保密审查。第六十六条任何部门、单位和个人不得在电子邮件、电子公告系 统、聊天室、网络新闻组、博客等上发布、谈论、传递、转发或抄送 国家秘密信息。第六十七条从国际互联网或其它公众信息网下载程序和软件工 具等转入涉密系统,经科技信息部审批后,按照信息交换及中间转换 机管理规定执行。第五章便携式计算机管理第六十八条便携式计算机(包括涉密便携式计算机和非涉密便携 式计算机)实行“谁拥有,谁使用,谁负责”的

16、保密管理原那么,使用 者须与公司签定保密承诺书。第六十九条涉密便携式计算机根据工作需要确定密级,粘贴密级 标识,按照涉密设备进行管理,保密办备案后方可使用。第七十条便携式计算机应具备防病毒、防非法外联和身份认证 (设置开机密码口令)等安全保密防护措施。第七十一条禁止使用涉密便携式计算机上国际互联网和非涉密 网络;严禁涉密便携式计算机与涉密信息系统互联。第七十二条涉密便携式计算机不得处理绝密级信息。未经保密办 审批,严禁在涉密便携式计算机中存储涉密信息。处理、存储涉密信 息应在涉密移动存储介质上进行,并与涉密便携式计算机别离保管。第七十三条禁止使用私有便携式计算机处理办公信息;严禁非涉 密便携式

17、计算机存储、处理涉密信息;严禁将涉密存储介质接入非涉 密便携式计算机使用。第七十四条公司配备专供外出携带的涉密便携式计算机和涉密 存储介质,按照“集中管理、审批借用”的原那么进行管理,建立使用 登记制度。外出携带的涉密便携式计算机须经保密办检查后方可带出 公司,返回时须进行技术检查。第七十五条因工作需要外单位携带便携式计算机进入公司办公 区域,需办理保密审批手续。第六章应急响应管理第七十六条为有效预防和处置涉密信息系统安全突发事件,及时 控制和消除涉密信息系统安全突发事件的危害和影响,保障涉密信息 系统的安全稳定运行,科技信息部和财会部应分别制定相应应急响应 预案,经公司涉密信息系统安全保密领

18、导小组审批后实施。第七十七条应急响应预案用于涉密信息系统安全突发事件。突发 事件分为系统运行安全事件和泄密事件,根据事件引发原因分为灾害 类、故障类或攻击类三种情况。(一)灾害事件:根据实际情况,在保障人身安全前提下,保障 数据安全和设备安(二)故障或攻击事件:判断故障或攻击的来源与性质,关闭影 响安全与稳定的网络设备和服务器设备,断开信息系统与攻击来源的 网络物理连接,跟踪并锁定攻击来源的IP地址或其它网络用户信息, 修复被破坏的信息,恢复信息系统。按照事件发生的性质分别采用以 下方案:1、病毒传播:及时寻找并断开传播源,判断病毒的类型、性质、 可能的危害范围。为防止产生更大的损失,保护计算

19、机,必要时可关 闭相应的端口,寻找并公布病毒攻击信息,以及杀毒、防御方法;2、外部入侵:判断入侵的来源,评价入侵可能或已经造成的危 害。对入侵未遂、未造成损害的,且评价威胁很小的外部入侵,定位 入侵的IP地址,及时关闭入侵的端口,限制入侵的IP地址的访问。 对于已经造成危害的,应立即采用断开网络连接的方法,防止造成更 大损失和带来的影响;3、内部入侵:查清入侵来源,如IP地址、所在区域、所处办公 室等信息,同时断开对应的交换机端口,针对入侵方法调整或更新入 侵检测设备。对于无法制止的多点入侵和造成损害的,应及时关闭被 入侵的服务器或相应设备;4、网络故障:判断故障发生点和故障原因,能够迅速解决的尽 快排除故障,并优先保证主要应用系统的运转;5、其它未列出的不确定因素造成的事件,结合具体的情况,做 出相应的处理。不能处理的及时咨询,上报公司信息安全领导小组。

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 应用文书 > 解决方案

本站为文档C TO C交易模式,本站只提供存储空间、用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。本站仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知淘文阁网,我们立即给予删除!客服QQ:136780468 微信:18945177775 电话:18904686070

工信部备案号:黑ICP备15003705号© 2020-2023 www.taowenge.com 淘文阁