计算机信息系统安全保密管理规定

计算机信息系统安全保密管理规定

一、适用范围

（一）本规定适用于本公司范围内的计算机信息系统。

（二）本规定所称的计算机信息系统是指由公司各部门计算机及其相关的配套设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、存储、加工、传递、输出、检索等处理的人机系统。

二、引用标准

《中华人民共和国保守国家秘密法》

《中华人民共和国计算机信息系统安全保护条例》

三、名词和术语

（一）涉密计算机系统——涉及国家秘密和公司商业秘密的计算机信息系统（以下简称涉密系统）。

（二）计算机系统的保密工作——指涉密系统的操作系统、数据库、介质、口令、主机房、防电磁辐射泄漏、通信电缆、设备维修和设备采购等各个环节的保密管理工作。

四、管理职能

（一）公司保密委员会主管本公司计算机信息系统的保密工作。

（二）公司保密办公室具体组织实施保密委员会下达的各项任务，同时负责日常的保密管理工作和查处有关泄密事件。

（三）各部门的主管领导负责本部门计算机信息系统的安全保密工作，制订保密规章制度，进行保密检查、组织保密教育等。

五、管理内容

（一）计算机设备、主机房按涉密应用情况分类

1、不涉密的计算机设备、计算机主房（以下简称C类设备、C类机房）。

2、涉及公司商业秘密的计算机设备、计算机主机房（以下简称B类设备、B类机房）。

3、涉及国家秘密的计算机设备、计算机主机房（以下简称A类设备、A类机房）。

（二）人员管理与保密制度

1、各部门涉密系统工作人员应当按涉密人员的条件要求先审后用，并对其进行经常性的保密教育。一旦出现不适宜在涉密系统工作的人员应及时调离，并报公司保密办公室。

涉密系统的系统开发人员，不得留作该系统的系统管理员。

2、各计算机机房、站点必须设一名兼职安全保密员，负责本机房、站点日常的计算机安全保密管理工作。安全保密员由本部门遴选，报公司保密办公室备案。

3、各部门应当根据有关法规，重点做好A类、B类设备和机房的保密工作，要结合本部门的实际情况建立完善的保密规章制度。如工作人员保密守则、机房、站点保密管理制度、涉密介质保密管理制度和设备维修保密制度等。

4、进入涉密系统中的各类信息，应当事先根据公司制订的《国家秘密项目一览表》和《商业秘密项目》确定密级并标明密级标识。密级标识不得与正文分离。绝密级国家秘密信息不得进入涉密系统。涉密计算机信息系统应当采取有效的保密措施，配置合格的保密专用设备、防泄密、防窃密。所采取的保密措施应与所处理信息的密级要求相一致。

5、未采取保密措施的计算机设备（含个人电脑、手提电脑）不得作为临时终端用于采集、处理、存储、传输和检索涉密信息，不得与涉密系统联网。手提电脑存贮涉密信息应当采取保密措施，并标明密级，按密级文件进行管理，不得带回家和带入公共场所。

6、规划设计涉密系统应同时制订严密的保密方案，上报公司保密委员会批准后方可实施。涉密系统建成后，应当由有关部门进行保密验收，保密方案中的各项保密措施全部落实的，方可通过保密验收。

7、任何部门和个人不得擅自使用单位计算机上国际互联网。需联国际互联网和国内公众网络的公司内部局域网或单机，必须经过公司主管领导批准，并报公司保密办公室备案。涉及国家秘密和公司商业秘密的计算机信息系统不得直接或间接地与国际互联网或其他公共信息网络相连接，必须实行物理隔离。

8、上网信息的保密管理坚持“谁上网，谁负责”的原则。凡向国际互联网的站点提供或发布信息，必须经过保密审查和公司主管领导批准。不得涉及国家秘密和公司商业秘密。

（三）计算机环境设备安全

1、A类、B类机房必须设立在建筑物套间的内间，并与普通办公室分开，且相邻房间之间除安全门外不得留有任何窗口，同时各类机房内应有有效的灭火设备及防盗报警设施，周围必须有防雷电设施，机房周围十米内严禁烟火。

2、A类、B类机房、站点实行专人专管，严禁无关人员进出。非本部门人员进入机房必须经部门领导批准，并办理登记手续。外藉人员不准进入机房，如确因工作需要，须经公司主管领导批准，并有专人负责陪同直至离开。外单位来公司参观机房、站点，由接待部门报请公司主管领导批准，并做好登记手续。

3、各类机房应当埋设专用接地线，不得和其他接地线相连。A类机房应采取防电磁辐射泄露的措施。机房电源应当与空调和照明等电源分开，并配备专用滤波器。

各类计算机设备必须有电源保护设备和应急断电开关，防止在发生意外事件时损坏计算机设备。

4、涉密系统必须采用低辐射设备（包括各类计算机、终端、外部设备和网络设备），非低辐射设备必须采取屏蔽或加装视屏信息保护机（干扰器）等防电磁辐射泄漏措施。

5、A类、B类计算机设备必须设置开机口令、系统口令，口令由各部门计算机安全系统员设定，操作人员不得任意修改系统口令及非法进入系统口令区。

编制口令应当选择由大小写英文字母与数字混合组成，字长不得少于6个字符。不得选择常用、易猜或有特殊意义的名字或单词。口令应当经常变换，不得长期使用同一口令字。

口令字（表）必须注意保密，不得记载或张贴在外。

6、各类设备、机房必须有专人维护、专人管理。技术中心负责公司内各类计算机设备的管理和维护工作。涉密系统设备原则上由技术中心统一检修。不能检修的，尽可能请外单位维修人员上门修理。必须外出修理的，应当经有关领导批准，并清理设备内部存储的涉密信息（如硬盘格式化等），修理时内部人员应当在场，当日修理不完，要带回本部门保存。

7、涉密系统应当尽量采购国产设备；重要涉密系统的进口设备，应请有关部门进行安全检查。

（四）计算机信息、数据管理

1、各机房、站点的计算机设备不得随意让其他人员学习、练习、使用；外来的盘片一律不准带入机房使用，如确因工作需要使用的，须通过机房负责人或安全保密员的检查审核。

2、A类、B类计算机设备中运行的系统、数据、程序等都必须定期做好多重备份。各类数据库应当建立用户身份鉴别、访问权限控制和数据库审计等保密安全措施，重要的数据应当加密存放。

3、A类计算机房、站点在工作中需使用的存储介质（如磁盘、磁带、光盘等）应当由专人负责保管。涉密介质应当与非涉密介质分开保管。涉密介质应按秘密文件进行管理，标明密级并造册登记，收发、传递和使用应当有审批手续和传递记录。

涉密介质要有防复制措施，复制涉密信息要经领导审批，复制的涉密介质按原涉密介质进行管理。

涉密介质不得降低密级使用和记录非密信息，无保存价值的涉密介质应报部门领导批准后，由各机房、站点的安全保密员统一回收交部门保卫员销毁，并作好销毁记录，不得私自丢弃或格式化后派其他用途。

4、涉密数据按涉密文件进行管理，若需携带出境应按国家有关规定办理《出境许可证》手续。

计算机信息系统打印输出的涉密文档按相应密级的文件进行管理。无用的文档要统一销毁。

A类、B类计算机操作时附近不得有无关人员在场；计算机所使用的数据、文件、程序及其所产生的数据、文件、程序、图形、多媒体制品等不得随意带出机房。

（五）计算机网络的管理

1、公司内部局域网应向公司保密办公室申报备案，经审核符合内部网络安全方可运行。涉及国家秘密和公司商业秘密的内部局域网一律不许对外联网和对外通讯联系。不许通过其他计算机及公司其他内部局域网络搭桥联接上国际互联网络和国内公众网络。

2、司内部涉密局域网必须使用专用光缆或专用屏蔽双绞线，同时要配备专用监测设备防止搭线窃听、中断、截取、修改、伪造等情况发生。如使用公司内部电话线通过调制解调器传递的数据，也必须经数据加密，用户身份确认等安全认证后方可传递。

未经主管领导同意，任何人不得改变网络拓朴结构、网络配置或网络参数等。

3、公司内部涉密局域网，应建立用户身份验证，访问权限控制等保密防御机制和审计机制，重点涉密系统必须建立具有实时报警功能的监控系统。传输重要信息时，必须采取数字签名技术，同时采取多重加密等保密方法后尚可传递。

4、严格上网纪律，未经批准任何人不得擅自使用、登录涉及国家秘密和公司商业秘密的网络或计算机设备；不准越权访问涉密信息，违者将从严处罚。

在网络使用过程中一旦发现异常情况，如有害信息、恶意攻击、越权访问、非法闯入者等等，应立即报告领导，同时报公司保密办公室。

六、检查与考核

（一）各部门定期对计算机安全保密管理工作进行检查和总结，对在计算机信息系统保密工作中做出显著成绩的部门和人员，公司给予表彰和奖励。

（二）违反本规定，有下列行为之一的，处以警告或者停机整顿。

1、违反计算机信息系统安全制度规定，对国家秘密和公司商业秘密构成威胁的；

2、不按照规定及时报告计算机信息系统中发生案件的（包括越权入侵涉密系统等）；

3、接到公司保密办公室整改通知后，在限期内拒不整改的；

4、有危害计算机信息系统安全的其他行为的。

（三）违反本管理规定，有下列行为之一的，对当事人处以5000元以下罚款。有违法所得的除予以没收外，可处以违法所得的1-3倍罚款。情节严重的可同时给予行政处分，直至追究法律责任。

1、故意输入计算机病毒以及其他有害数据，危害计算机信息安全的；

2、越权入侵涉及国家秘密或公司商业秘密信息造成泄密的；

3、个人、单位利用非法手段窃取国家秘密和公司商业秘密的。

（四）任何组织或个人违反本规定，给国家或公司造成损失的，依据《中华人民共和国保守国家秘密法》及其实施办法公司《关于保密工作责任制考核暂行办法》等规定进行处理，性质严重的除追究当事者责任外，还将追究有关领导的责任。