|
1 目 的 为加强对公司信息设备和保密设施设备的安全以及正常使用管理,落实保密责任,确保国家秘密信息的安全,根据《中华人民共和国保守国家秘密法》和其他保密相关的法律、法规、公司相关制度以及有关保密工作规定,结合公司实际,采取身份鉴别、访问控制、安全审计、边界安全防护、信息流转控制等防护措施,制订本制度。 2 适用范围 本制度适用于公司信息设备和保密设施设备的管理。 3 职责 3.1 企管部(归口部门) 3.1.1负责公司非涉密信息设备、非涉密办公设备的登记、标识、维护和管理。 3.1.2负责公司计算机和信息系统及互联网使用的归口管理,负责全公司总台帐管理,并按 要求开展检查,负责涉密计算机、涉密移动存储设备、涉密办公自动化设备集中管理。 3.1.3负责公司计算机信息系统安全保密工作。 3.1.4负责协助计算机安全管理员对涉密和非涉密办公设备的监督检查工作。 3.1.5负责全体员工的保密教育,提高防范意识,消除失、泄密隐患。 3.2保密办公室 3.2.1 负责监督检验信息设备和储存设备的工作落实情况。 3.2.2 负责信息设备和储存设备的安全管理。 3.3计算机安全管理员 进行计算机信息系统安全保密措施的规划,负责对计算机信息系统安全保密措施的组织实施;主动与保密办公室有关部门协调,采取必要的技术和管理措施,保证涉密计算机单机系统的正常运行;负责组织制订、修订计算机信息系统安全保密工作管理制度;负责组织计算机信息系统安全保密措施的规划、督促和检查工作;负责组织对计算机信息系统安全保密工作情况进行分析,对存在的失、泄密隐患采取改进措施。负责涉密计算机的日常监督管理。主要包括:存储介质管理、连接外部设备管理、涉密信息管理、登陆口令管理、数据备份管理、系统维护、应用软件维护等。利用检查工具定期对计算机检查,并制定安全保密策略。 4名词解释 保密措施:指为防止涉密信息泄漏或被非法窃取而采用的软、硬件设施,以及技术、管理行为的组合。 a.涉密介质:U盘、光盘、移动硬盘。 b.通信设备:是指电话机、手机、传真机等设备; c.办公自动化设备:是指打印机、复印机、扫描仪、照相机、摄像机等设备。 5管理要求 a) 涉密信息系统投入运行前,应当经国家保密工作部门审批。 b)涉密计算机或处理内部信息计算机禁止通过任何方式连接国际互联网或其它公共信 息网络。 c) 非涉密计算机及存储设备禁止存储和处理涉密信息。 d)涉密等级不同的计算机和信息系统之间须实行物理隔离,禁止任何形式的直接或间接 连接。 e) 高密级存储设备不得接入低密级计算机和信息系统。 f) 涉密计算机和信息系统输入输出电子数据信息应通过指定中间转换机进行。 g)未经计算机管理部门审批,禁止对涉密计算机和信息系统格式化或重装操作系统,禁止删 除涉密计算机和信息系统的移动存储设备及外部设备等日志记录。 6工作程序 6.1涉密信息设备台账、维修、报废管理 涉密计算机实行申报登记制度,凡用于处理国家涉密信息的计算机,必须进行申报登记,填写《涉密设备启用审批表》, 经保密委审批后方可使用,并统一建立《涉密计算机台帐》。 按照保密要求在涉密计算机的显著位置进行标识,设备标签应至少包括以下内容:设备名称、 密级、保密编号、责任部门、责任人等;并根据其所处理信息的最高密级标明涉密属性和主要用途,统一存放于公司指定的涉密部位,禁止其他无关人员使用涉密计算机,禁止涉密计算机未进行非密化处理(更换存储部件)前,转为非密普通计算机使用。 6.1. 1 各类台帐须包含以下要素: a)总台帐应当包含:计算机(含服务器、用户终端)、网络设备和外部设备、存储设备、 安全保密产品、外部设备(打印机、扫描仪、外置光驱等)、USBKey、读卡器、录音笔等。 b)计算机类台帐(含服务器、用户终端)至少应当包括:部门、责任人、编号、名称型号、 密级(非密的标明用途)、操作系统安装日期、硬盘序列号、IP地址(信息系统的设备填写)、MAC地址(信息系统的设备填写)、使用情况等。 c)网络设备和外部设备台帐至少应当包括:部门、责任人、编号、名称型号、使用情况等。 d)安全保密产品台帐至少应当包括:责任人、编号、名称型号、检测证书名称和编号、购 置时间、使用情况等。 e)存储设备台帐至少应当包括:部门、责任人、名称、编号、序列号、密级(按照实际情 况填写绝密、机密、秘密、内部、非密、外联等)、使用情况等。 f) 信息要素中的“使用情况”包括在用、停用、维修、报废、销毁等。 6.1. 2涉密信息设备由保密办公室负责统一维修;需要送外修理的,要送保密行政管理部门审 查批准的定点单位进行。 6.1.3 非涉密信息设备的维修在计算机管理部门的统一管理下按指定程序处理。 6.1.4 所有存储设备由保密办公室统一维修,报废的存储设备由保密办公室消磁并处理。 6.1.5 涉密信息设备、涉密存储设备报废和销毁必须按照国家保密要求处理。 6.2 外出携带 a)配备便携式涉密计算机和存储设备,并由保密办公室专人进行集中管理和维护。 b)涉密计算机、涉密存储设备及涉密信息化设备(含涉密电子信息)携带外出应履行审批手 续,确保仅包含与本次外出工作相关的涉密信息。 c)涉密计算机和存储设备携带外出返回后应由专管人进行安全保密检查,并用符合国家保密 要求的技术、设备和措施进行信息消除。 6.3 标识 a)计算机和信息系统相关设备及存储设备均须、进行编号与标识管理。所有信息设备和存储设备 按照相应密级进行标识。 b)涉密信息设备和存储设备中的涉密信息按照相应密级进行密级标识。 (三)标识内容: 1.涉密的设备及介质必须应有资产编号、涉密等级、责任部门、责任人等内容(计算机应增 加硬盘序列号和显示器编号); 2.非密的设备及介质应有设备编号、用途、责任部门、责任人等内容,标识的内容应与台账 的信息相符。 3.其中涉密属性或一般用途可分为:机密、秘密、内部、非密、互联网专用、中间转换机等。 (四)标识位置: 1.台式计算机:主机正面右上角和显示器正面底座前方位置。 2.便携式电脑:标识在面板右上方位置。 3.打印机、复印机、传真机、碎纸机标识在设备右侧显著位置。 4.磁介质:标识在不影响其功能的适当位置。 6.4安全保密策略与审计 a)建立文档化的涉密计算机和涉密信息系统安全保密管理策略,并根据环境、系统和威胁变 化情况及时调整更新。 b) 每月对涉密计算机和信息系统安全保密管理进行审计分析,形成审计报告。 c)每6个月根据系统综合日志,进行风险评估,形成文档化的风险分析报告,对存在的风险 应当及时采取补救措施。 6.5安全保密措施 6.5.1涉密计算机实行单机操作,与其他非涉密计算机及互联网实行物理隔离,涉密计算机 禁止使用无线网络设备。如:无线网卡、无线键盘,无线鼠标,蓝牙及红外通讯设备等。 a.涉密计算机需设置Bios密码,并设置成硬盘启动,禁止光盘、软驱等其它设备引导。 b.涉密计算机操作系统应采取安全加密措施,关闭135、139、445 等端口,关闭网络文件共 享和打印共享,关闭DHCP、Telnet、Message、Remote Registry、WirelessZero Configuration 等服务。涉密单机须安装主机监控与审计系统,对涉密终端的并口、串口、USB 接口等数据 接口以及软驱、光驱等设备进行控制。涉密单机应仅有管理员账号(administrator)和用户 日常使用账号,删除其他账号,禁用guest 账号。 c.公司涉密计算机如一台电脑多人使用,在不扩大国家秘密知悉范围为原则的前提下,指派 计算机安全管理员担任涉密计算机的安全管理员,为每个使用者分别设置用户名和口令,权 限为一般用户,并为每个用户划分一个独立硬盘涉密分区,保证国家秘密在知悉范围可控原 则下独立处理,互不干涉。 d.涉密计算机应安装由国家相关主管部门授权测评机构检测在有效期内的三合一软件、主机 审计、安全登陆软件。采取必要的身份鉴别、病毒和恶意代码防护、电磁泄漏发射防护等措 施,对软、硬件设备接入和信息输出进行有效控制。涉密计算机终端应使用红黑隔离电源插 座,插座上不能接任何非密设备电源。涉密计算机终端应加装符合国家保密技术要求的视频 干扰装置。 e.涉密计算机必须设置开机密码、系统密码和屏保密码,机密级计算机口令长度不得少于10 个字符,更换周期不得长于一周;秘密级计算机口令长度不得少于8个字符,更换周期不得长 于一个月;密码须采用大小写英文字母、数字和字符中两者以上的组合。涉密计算机须设置 屏幕保护程序,等待时间不得超过10分钟,并且在恢复时显示登录屏幕。 f.涉密计算机要设置本地登录锁定策略,并在锁定用户安全事件发生时,形成审计事件并报 警。操作系统秘密级:五次密码输入错误,进行账号锁定。 g.涉密计算机必须设置屏幕保护程序,屏幕保护程序的等待时间不超过10分钟,并设定为“在 恢复时使用密码保护”。 h.涉密计算机还要安装单机版的国产防病毒软件,防病毒软件应获得公安部门批准,必须及 时升级病毒库和扫描系统漏洞,更新不超过15天,管理员每15天不少于1次从互联网下载 杀毒软件升级包的最新版本,对涉密计算机进行升级和病毒查杀,每次更新病毒后对涉密计 算机全盘查杀病毒;适时对系统补丁进行更新,安装补丁时间不得晚于系统补丁发布后三个 月,并做好记录。 i.禁止未经审批擅自对涉密计算机进行低级格式化、格式化或重装操作系统。禁止删除涉密 计算机的任何日志记录。如因系统崩溃必须重装操作系统要填写《涉密计算机重装操作系统 审批表》,经审批后,由保密办公室授权的责任人安装,安装后应及时更新台帐。 j.涉密计算机硬件安装、扩展、缩减、拆卸等都应该填写《计算机增加、更换、卸除硬件审 批表》,获得批准后才能操作。禁止私自卸载或删除涉密计算机配置的安全产品。 k.公司应制定《软件白名单》,并定期更新白名单程序,因工作需要在涉密计算机安装白名单范围之外的软件程序,必须填写《涉密计算机软件安装审批表》,经过审批后才可安装。 l.涉密计算机密级及使用场所发生变化时,由计算机的责任人填写《涉密计算机变更审批表》, 报保密管理委员会审批后及时变更。 m.涉密计算机中的涉密信息都要进行密级标识。处于起草、设计、编辑、修改过程中的文档、 图表、图形、数据,应在首页标明密级。对于加密文件夹中存储的涉密文档、图表、图形、 数据等也必须有相应的密级标识。 n.计算机安全管理员和审计员负责根据涉密计算机系统综合日志,每月进行一次涉密计算机 审计工作,导出检查报告电子版,分析问题采取措施。每半年对涉密单机进行一次风险评估, 形成文档化的风险分析报告,对存在的风险应当及时采取补救措施。 o.涉密计算机需要维修的,经批准并由管理员对维修情况做详细记录。必须填写《涉密计算 机、办公自动化设备维修审批表》,经保密办公室和保密委审批同意后进行维修。如果是非硬盘损坏应拆除硬盘,在保密办公室指定专人监督的情况下送修,送修至具有保密维修资质的单位;如果是硬盘损坏,需将硬盘送至国家保密部门定点单位进行修理或销毁。 p.报废涉密计算机等涉密设备,首先填写《涉密计算机、办公自动化设备、存储介质报废审 批表》,将计算机硬盘等磁介质交保密办公室统一处理,由保密委在《涉密计算机、办公自动化设备、存储介质报废审批表》上盖章确认后办理报废手续。 6.6信息输入与输出管理 a.信息输入输出需使用中间机,中间机分为涉密中间机和非涉密中间机,是在涉密单机和外 部计算机之间专门用于传递信息的计算机。 b.涉密中间机通过使用“三合一”系统实现将外部涉密存储介质中的数据导入涉密计算机和 信息系统。非涉密中间机用于将国际互联网、公共信息网络和其他非涉密信息系统的数据导 入信息系统,包括计算机病毒与恶意代码样本库、补丁程序、应用程序、数据和其他相关信 息等。严禁涉密中间机和非涉密中间机混用。 c.中间机由计算机安全管理员参照涉密计算机模式进行管理;中间机应安装与公司涉密计算 机不同的病毒与恶意代码防护产品,每十五天升级一次。 d.公司对所有的输入输出行为进行严格管理,填写《信息导入\导出审批表》,非密信息在涉 密机的输入输出需经保密办公室审批,对涉密信息的输入输出必须经保密办公室审核、保密 委主任审批。保密员应做好每次操作的相关记录(内容、密级、时间、操作人、编号等)。 e.通过非密中间机输入信息的具体步骤如下: 1)保密办公室审批通过后,计算机安全管理员将外部计算机上的非涉密内容刻录写入光盘 (A),对光盘进行编号; 2)将光盘(A)插入非密中间机中,利用杀毒工具将其查杀无误后,并转刻一次性光盘(B), 对光盘进行编号; 3)将光盘(B)放入涉密光驱,通过涉密机查毒后,再将信息复制到涉密机中;操作完毕,计算 机安全管理员负责记录全部操作流程,并将《信息导入\导出审批表》、《涉密计算机、中间机、光盘使用登记表》及光盘(A)、(B)进行归档管理; 4)上述过程不能逆向操作,决不可通过上述方式传递涉密信息。 f.通过涉密中间机输入涉密信息的具体步骤如下: 1)保密办公室和保密委审批通过后,计算机安全管理员将外部的涉密信息光盘插入涉密中间 机进行杀毒; 2)将涉密信息复制到绑定的专用涉密优盘; 3)通过“三合一”装置将专业涉密优盘中的涉密信息复制到涉密机中,并再次杀毒; 4)将涉密优盘格式化; 5)操作完毕,计算机安全管理员负责记录全部操作流程,并将审批表、操作登记表、光盘(外 部涉密信息光盘,对光盘进行编号)进行归档管理。 g.涉密信息输出的具体步骤如下: 1)涉密信息输出需填写《信息导入\导出审批表》报保密办公室和保密委审批通过后,由计算 机安全管理员将导出信息复制到绑定的专用涉密优盘; 2)通过“三合一”装置,将专用涉密优盘中信息直接刻录到专用光盘中,然后将涉密U盘格 式化;导出信息需刻录光盘时,必须采取保护措施,对文档或文档压缩包添加密码,以防外 带秘密载体丢失后造成涉密信息泄露; 3)导出信息需打印涉密文档时,应填写《涉密打印机使用记录》并使用涉密专用打印机打印; 4)操作完毕,计算机安全管理员负责记录全部操作流程,并将审批表、操作登记表进行归档 管理; 5)存储涉密信息的“导出光盘”或纸质涉密文档,均按公司涉密载体管理规定进行闭环管理。 h.非涉密计算机管理 1)连接互联网的非涉密计算机和涉密计算机进行分房间摆放,进行物理隔离,保密办公室负 责对非涉密计算机统一编号、登记,标明用途,明确责任人,按要求粘贴标识;编制《非涉 密计算机台账》,存入保密工作档案。 2)互联网计算机仅用于查找、浏览、下载与工作有关的信息。除工作需要外,禁止上网浏览、 游戏或聊天。 3)严禁公司工作人员使用非涉密计算机存储和处理涉密信息。 i.涉密移动存储介质管理 1)公司保密办公室依据有关法规及标准对申报的涉密移动存储介质进行审核,填写《涉密设 备启用审批表》,报保密办公室审核、保密委审批。对符合标准要求的,确定为涉密移动存储介质,建立《涉密存储介质》台帐,并核发公司统一编制的涉密编号和密级标识。 2)涉密移动存储介质包括光盘、U盘、移动硬盘等,涉密移动存储介质不得插入或安装在非 涉密计算机上使用,不得存储非涉密信息。 3)涉密移动存储介质存放在保密室由保密员管理。涉密人员如需借用,需填写《涉密移动存 储介质借用审批表》,经部门负责人同意,保密办公室审核、保密委审批后,方可借用。借用人员应严格按照规范使用,妥善保管,不得私自借与他人使用。 4)涉密移动存储介质的维修与报废,需经保密委批准,指派专人送国家指定单位进行维修与 报废。 6.7保密办公室对公司内部使用非密移动存储介质统一登记编号进行管理,编制《非密移动存储介质台帐》,保密办公室负责监督检查。 6.8涉密便携式计算机管理 a.涉密便携式计算机必须拆除具有无线功能的硬件模块,涉密便携式计算机未经审批不能存 储涉密信息。 b.涉密便携式计算机存放在保密室由计算机安全保密管理员管理。涉密人员如需借用,需填 写《便携式涉密计算机、存储介质外出携带审批表》,所在部门负责人填写借用意见,报保密 办公室审核、保密委审批后,到计算机安全保密管理员处领取,保密办公室登记备案。 c.在使用涉密便携式计算机时,如暂时不能控制涉密便携式计算机,可将其存放在保密柜中 或交回保密室保管。在涉密便携式计算机被借用期间发生的任何情况,由使用人负全责。 d.涉密便携式计算机不得私自携带出公司,确因工作需要带出公司的,由涉密人员提出书面 申请,报保密委审批,并在保密办公室备案。并做到:由两人以上携带涉密便携式计算机外 出,回来后及时按程序要求交还保密办公室; e.外出期间涉密便携式计算机及涉密移动介质须贴身携带,或存入合作单位保密设备中,并 采取相应的防护措施,确保安全。 f.涉密便携笔记本携带外出归还后由保密办公室进行检查,填写《涉密便携笔记本、存储介 质外出携带检查表》,并将计算机内信息进行清除。 6.9涉密办公自动化设备管理 a.涉密计算机单机的办公自动化设备包括打印机、扫描仪等。办公自动化设备应按所接入计 算机的密级等同保密管理与防护。接入非涉密计算机和信息系统的外设不得处理涉密信息。 b.涉密办公自动化设备应固定使用,未经批准不得调换外部设备。涉密办公自动化设备的保 密管理由计算机保密责任人负责。 c涉密办公自动化设备要建立《涉密办公自动化台帐》,利用外部设备输出、制作、产生的各 类秘密载体必须按《国家秘密载体管理制度》要求,履行审批、登记、确定密级等手续。 d.摄像、录像、照相等设备在处理涉密信息过程中,要有专人负责,保密办公室应根据现场 环境,采取必要的保密措施。 e.严禁非涉密外部设备接入涉密单机处理涉密信息。 f.涉密办公自动化设备的维修应送到市保密局审批的定点单位,或在确保国家秘密安全的前 提下,请厂家上门维修,部门须派人现场监修,并填写《涉密计算机、办公自动化设备维修 审批表》。 g.报废涉密办公自动化设备,应填写《涉密计算机、办公自动化设备、存储介质报废审批表》, 经本部门主管领导签字、经保密办公室审核、报保密委批准后,履行登记手续,按照保密规 定实施。 6.10非密办公自动化设备管理制度 a.严禁在无保密措施的有线、无线通讯中涉及国家秘密事项,严禁通过无任何保密措施的通 信设备传递国家保密信息。保密办公室负责公司非密办公自动化设备的监督检查工作,并对 设备进行登记编号,编制《非密办公自动化设备台帐》。 b.非密办公自动化设备要统一编号登记,粘贴标识,标识内容含:名称、编号、用途、责任 人、责任部门。 d.非密设备的购置、维修、报废和销毁履行公司办公用品相关规定程序。 7相关记录 《涉密办公自动化设备台帐》 《非密办公自动化设备台帐》 《涉密计算机台帐》 《非密计算机台帐》 《涉密存储介质台帐》 《非密存储介质台帐》 《安全保密产品台帐》 《计算机病毒库升级登记表》 《计算机密码变更登记表》 《涉密计算机三员配置及基本情况》 《涉密设备启用审批表》 《涉密计算机、中间机、光盘使用登记表》 《信息导入导出审批表》 《便携式涉密计算机、存储介质外出携带检查表》 《便携式涉密计算机、存储介质外出携带审批表》 《涉密办公自动化设备使用登记表》 《涉密存储介质借用审批表》 《涉密打印机使用记录表》 《涉密计算机、办公自动化设备、存储介质报废审批表》 《涉密计算机、办公自动化设备维修审批表》 《涉密计算机变更审批表》 《涉密计算机软件安装审批表》 《涉密计算机增加、更换、卸除硬件审批表》 《涉密计算机重装操作系统审批表》 《涉密碎纸机使用登记表》 |
|
|
