《涉密计算机信息系统安全管理制度.docx》由会员分享,可在线阅读,更多相关《涉密计算机信息系统安全管理制度.docx(4页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、涉密计算机信息系统安全管理制度为加强涉密计算机信息系统(以下简称涉密信息系统)的安全管理,确保数 据信息、计算机网络和设备安全,特制定如下规定:第一章管理机构第一条保密委组织处理重大安全违规、违纪及泄密事件;负责协调涉及多 个部门的或综合性问题。第二条办公室负责本信息安全保密管理工作,包括:信息安全保密制度的 落实和检查;负责涉密介质、口令文件的管理,对涉密人员进行安全保密教育。第三条科技教育处负责本信息安全技术管理工作,包括:涉密信息系统方 案、应急方案制定与实施,日常工作检查;负责审阅系统安全报告。第四条信息中心负责涉密信息系统的运行维护,提供技术保障。包括系统 维护、数据备份、设备、技术
2、文档管理;制定安全策略,查看系统日志,提交系 统安全报告。第二章人员管理第五条岗位涉密信息系统安全管理工作的岗位:安全负责人、安全管理员、保密员、系 统管理员、文档管理员等。人员必须具有政治可靠、思想进步、作风正派、技术 合格等基本素质。根据工作任务确定活动范围,严禁越范围使用权限。第六条培训每半年对从事操作和维护信息系统的工作人员进行操作技能、保密知识培训, 未经培训的人员不得上岗。第七条签订保密合同参与涉密信息系统工作的人员,应与所在单位保密委签订保密合同。第八条调离对调离人员,应交回所有钥匙及证件,退还全部技术手册、软件及有关资料, 更换系统口令。第九条考核组织人事部门年终组织对涉密信息
3、系统的所有工作人员进行考核。经考核不 合格者应及时调离岗位,不得让其再接触系统。第三章软件管理软件管理的范围包括:操作系统、数据库、应用软件、防病毒软件的使用、 维护、更新。第十条软件的安装和使用涉密信息系统所使用的操作系统、应用软件、数据库、安全软件必须是正版 软件,严禁使用盗版软件。软件安装后,须进行安全性测试,重新审查系统安全状态,必要时对安全策 略进行调整。第十一条软件的登记和保管软件安装或更新后,新旧版本均须登记造册,由文档管理员负责保管。操作 系统、应用系统软件介质应做好备份,一份交 保密室保存,一份由信息中心保 存。第十二条日志审查操作系统和数据库以及安全软件由系统管理员负责维护
4、,定期进行审计、安 全漏洞扫描,分析与安全有关的事件,堵塞安全漏洞,并做好记录。处理秘密级、机密级信息的系统审查周期不得长于一个月。第十三条软件的防病毒管理计算机必须安装经国家安全部门认可的防、杀病毒软件产品。病毒代码库更 新周期为4小时。发现病毒后立即使用防病毒软件等工具进行控制,并详细记录。第四章设备管理设备管理范围包括的网络设备、安全设备、密码设备、计算机。第十四条设备环境涉密信息系统应与其它网络实行严格的物理隔离,主要网络设备、服务器、 信息安全设备(防火墙、IDS)应放置在具有一定防灾能力的屏蔽机柜内。第十五条设备安装安全设备(防火墙、入侵检测)均应在测试环境下经过连续72小时以上的
5、 单机运行测试和联机48小时的应用系统兼容性运行测试。测试通过方可正式运 行。第十六条设备管理涉密信息系统所涉及的网络设备、安全设备、计算机设备由 负责管理。设备管理参见计算机系统管理办法。涉密信息系统所涉及的密码设备(加密机用户IC卡、USB数字证书)由保 密员负责。第十七条设备维修系统应建立满足正常运行最低要求的易损件的备件库。安全设备维修时应有安全管理员在场,并由国家保密 指定的资质合格的维 修单位负责维修。设备达到规定的使用期限或因严重故障不能恢复时,应由 对设备进行鉴 定,科技教育处提出处理意见,由资产管理部门批准后方能送国家保密 指定的 单位进行报废处理。第五章介质管理涉密介质包括
6、软盘、磁带、硬盘、光盘。涉密介质的管理应严格按照中共 中央保密委员会办公室、国家保密 关于国家秘密载体保密管理的规定执行。第十八条涉密介质的管理部门及要求涉密介质由保密室负责按照同密级纸质文件的要求进行管理。涉密介质根 据其中信息的最高密级决定介质的密级。涉密系统必须使用由保密室签发标识 的介质。涉密介质不得挪作它用。发现涉密介质失窃应立即向主管部门报告,并 及时查处。第十九条涉密介质登记和借用新购置或系统生成的介质应造册登记。涉密人员需要借用涉密介质时,应填 写申请表,报 办公室主管领导审批。使用归还时,应检验并消除其上的涉密信 息,并做好登记工作。第二十条涉密介质的复制和销毁涉密介质根据需
7、要定期复制备份。涉密介质的销毁须报办公室主管领导审批。介质销毁前,需要清除介质上 的信息,并做好销毁记录第六章信息管理第二H条口令管理口令的长度根据访问等级确定,涉及国家机密级信息的口令不应少于十个字 符(或五个汉字),更换周期不得长于一周。口令表必须备份。严禁将口令记载在不保密的媒介物上,或贴在终端上。输入的口令字不应显 示在显示终端上。.第二十二条涉密信息涉密信息应严格按照有关规定划分密级,对涉密信息的密级进行标识,并根 据需要设定保密期限。涉密信息系统必须采取身份认证、访问控制、审计跟踪、防电磁辐射等技术 防范措施。第二十三条涉密信息传输涉密信息应当加密传输,使用的加密措施必须经过国家保密 批准,并且与 所保护的信息密级一致。第二十四条数据备份与恢复管理系统管理员负责系统的数据备份及灾难恢复,应制定系统数据备份计划及灾 难恢复方案,并做好备份记录工作。第七章其他第二十五条技术文档技术文档是指涉密信息系统的设计方案、实施方案、IP地址分配表及有关 系统配置文件。借阅、复制技术文档要履行相应的手续。对报废的技术文档,要 有严格的销毁的措施。第二十六条机房机房管理参见计算机信息系统管理办法。第二十七条应急制度机房实行24小时手机、电话值班制度,机房人员在接到远程报警电话后, 应立即奔赴现场查看。按事件程度,启动不同预案。湖南交通工程学院信息中心汇编2021年1月22日