关于印发《XXX公司信息系统、信息设备和存储设备安全策略》的通知 公司各部门:
为进一步加强公司信息系统、信息设备和存储设备的规范化管理,确保公司各类信息系统、信息设备和存储设备正常运行,现将修订后《XXX公司信息系统、信息设备和存储设备安全策略》印发给你们,请严格遵照执行。原安全策略同时作废。
智能美甲
XXX公司
2021年6月28日
XXX公司
信息系统、信息设备和存储设备安全策略
第一条激光熔覆头 定义
XXX公司(以下简称“XXX公司公司”)信息系统、信息设备和存储设备安全策略包括:物理环境安全、信息设备安全、存储介质安全、操作安全、信息交换安全、审计安全以及运维安全。
本策略文件规定各项安全策略的配置要求,在日常运行维护过程中按策略变更审批单进行调整。
第二条 安全目标
XXX公司公司信息系统、信息设备和存储设备的安全目标为:依据《中华人民共和国保守国家秘密法》、《中华人民共和国保守国家秘密法实施条例》、《武器装备科研生产单位保密资格认定办法》及《武器装备科研生产单位保密资格标准》(二级)等有关法律法规,结合公司实际情况,采用符合国家保密相关要求的技术和管理措施,对公司信息系统、信息设备和存储设备中应当遵循的规则和要求进行了详细的叙述,以保障公司涉密信息安全。
第三条 编制与适用范围
公司信息系统、信息设备和存储设备安全保密策略编制依据如下:
《中华人民共和国保守国家秘密法》;
《中华人民共和国保守国家秘密法实施条例》;
《武器装备科研生产单位保密资格认定办法》;
《武器装备科研生产单位保密资格标准》(二级);
病历夹
本安全策略适用于公司信息系统、信息设备和存储设备安全保密管理工作。
第四条 安全方针及原则
信息系统、信息设备和存储设备安全保密管理的安全方针:分类管理、责任到人,预防为主、积极防范,共同努力、保证安全。
信息系统、信息设备和存储设备安全保密管理的安全原则:运行规范、事先预防、分类管
直流电机编码器
控、按责落实。
第五条 安全组织机构
保密委员会是公司保密管理的领导机构,贯彻国家有关保密工作的法律、法规、方针、政策,落实集团公司等上级单位及公司党支部关于保密工作的部署和要求,组织开展各项保密工作,指导、检查各部门保密工作,审议解决保密工作中的重大问题,督促落实有关重大泄密隐患的整改工作。
产业发展部是公司信息化及网络安全归口管理部门,负责信息系统、信息设备和存储设备的规划、建设、运行维护以及安全保密的监督管理工作,接受保密工作机构的指导、监督和检查。
科研生产部是公司信息系统、信息设备和存储设备的运行维护机构,负责公司信息系统、信息设备和存储设备的日常运维和安全保密日常管理工作,接受信息化主管部门监督管理。
第六条 安全管理人员
信息化管理部门配备相应的技术管理人员对公司信息系统、信息设备和存储设备的安全保密工作进行专业化管理。运行维护机构配备安全保密管理员,负责公司信息系统、信息设备和存储设备的日常运维,落实安全保密技术防护措施。技术管理人员兼任安全审计员,负责对运维人员的日常操作行为进行审计。
第七条 安全保密产品和工具
公司涉密信息设备和存储设备使用的安全保密产品和工具主要有:
(一)涉密计算机及移动存储介质保密管理系统(三合一); (二)病毒防护:江民单机版病毒防护软件、瑞星单机版病毒防护软件;
(三)恶意代码辅助检测系统;
(四)终端安全登录系统;
(五)主机监控审计系统;
(六)输出审计:打印刻录监控与审计系统;
(七)电磁泄漏发射防护:视频干扰器、红黑隔离电源插座;
(八)保密技术检查工具;
第八条 安全策略
(一)物理环境安全策略
涉密信息设备不得与互联网及其他任何信息网络有直接或间接的连接,保证网络在物理连接上是完全隔离的。具体物理环境安全策略如下:
1.涉密信息设备和存储设备禁止采用有线或无线方式与互联网及其他任何信息网络的交换机、服务器、信息终端等设备进行连接;
2.涉密台式计算机在机箱黏贴易碎贴,确保用户不能私自拆开计算机机箱接触到硬盘等存储设备;
3.涉密信息设备和存储设备连接的外部设备禁止采用有线或无线方式与互联网及其他信息网络的交换机、服务器、信息终端等设备进行连接;
4.涉密计算机严禁安装调制解调器或采取其他方式直接、间接与互联网及其它外部信息网络连接;
5.涉密计算机严禁安装或使用任何无线设备,包括无线键盘、无线鼠标和无线网卡等;
6.严禁将涉密存储介质在连接互联网的计算机及其它非涉密计算机中使用;
7.采用电子门禁系统、视频监控系统和警报系统对保密室的人员出入情况进行监控;
8.加强所处周边环境边界、涉密计算机和存储设备所在建筑物主要出入口的安全控制,外部人员进出实行登记制度。
9.保密室门外安装视频监控与门窗内安装红外报警系统,在人防、物防、技防等方面采取24 小时值守。
(二)信息设备安全
1.涉密计算机基本安全策略
(1)确定涉密计算机密级。根据计算机处理的国家秘密信息的最高密级,确定该台计算机的密级,确定计算机密级应办理审批手续。
(2)建立完善的涉密计算机台账,台账中应至少包括保密编号、设备编号、密级、责任部门、责任人、物理安装位置、用途、品牌型号、操作系统版本、操作系统安装日期、硬盘序列号、使用情况等项目。
(3)涉密计算机应粘贴保密标识。保密标识中包含设备名称、密级、编号、责任人、用途等信息。标识粘贴在设备明显位置,不可涂改,并与涉密信息的存储部件相关联。
(4)严禁将涉密计算机以有线或无线等任何连接方式接入互联网及其他任何信息网络。
(5)涉密计算机使用的安全保密产品应选择国产设备。所选产品必须通过国家保密局授权测评机构的检测,并获得产品证书。采购安全保密产品时应通过测评机构网站对证书有效性进行检查核对,并将检测报告和证书等相关材料归档管理。
(6)涉密计算机不得存在摄像头和无线网卡、蓝牙、红外等无线模块。
(7)严禁在涉密计算机上接入手机、无线鼠标、键盘等无线设备和非授权使用的存储介质。
(8)严禁未经审批擅自给涉密计算机连接设备,涉密计算机如需连接或移除打印机外部设备,应履行审批手续。涉密计算机输出涉密文件资料应办理审批和登记手续。
(9)涉密计算机必须配备并正确使用红黑电源滤波隔离插座(通过UPS设备供电的除外)。
(10)涉密计算机电磁辐射不满足安全警戒距离要求的,应更换为满足要求的低辐射计算机或采用一级视频干扰器进行防护。
(11)涉密计算机使用人不得私自格式化硬盘,如确因系统问题需要格式化的,必须先履行审批手续。禁止私自更换硬盘和其他硬件设备。
(12)涉密计算机不得私自重装操作系统,如确因系统问题需要重新安装的,必须先履行审批手续。
(13)涉密计算机不得随意安装软件,涉密计算机上禁止安装和存放与工作无关的软件或文件。因工作需要确需安装软件的,必须履行软件安装审批。
(14)涉密计算机禁止删除存储介质及外部设备等日志记录。
(15)涉密计算机数据存储介质和移动存储介质发生故障后,如确需送外进行数据恢复的,应当履行审批程序,选择具有保密行政管理部门颁发的涉密信息数据恢复资质的单位进行维修,并由设备责任人和保密办派人共同负责设备送取工作。
(16)涉密计算机和移动存储介质需要报废处理时,必须送到国家保密行政管理部门指定的销毁机构进行销毁。
无尘清洗2.涉密中间机、工作机、便携式计算机安全策略
涉密中间机、工作机、便携式计算机以下均统称为涉密计算机。涉密计算机除执行基本安全策略外,还需具备以下安全策略:
(1)涉密计算机必须设置BIOS管理口令、用户口令、操作系统登录口令、屏保口令,且
不可为默认口令。开机时屏蔽启动菜单选项。涉密计算机必须在BIOS中设置硬盘为第一启动项,并禁止其他方式启动机器,防止通过光盘、USB介质等引导方式绕过身份鉴别策略直接访问涉密信息。计算机BIOS口令长度不少于8位(机密级10位),且为复杂密码;如不能满足10位的,以最长口令长度设置,口令更改周期不长于1个月(机密级不长于1周)。登陆操作系统采用USB Key + Pin码进行身份鉴别时Pin码长度不少于6位。强制使用屏幕保护功能,屏幕保护启动等待时间不超过为10分钟,屏保恢复时使用密码保护。
(2)涉密计算机应安装主机监控审计、防病毒等安全软件,审计日志应保存6个月以上,病毒库每两周升级一次,操作系统补丁每季度升级一次。
(3)涉密计算机必须使用USB-Key进行登录,拔出USB-Key自动锁定计算机。用户身份鉴别成功后,当其空闲操作的时间超过规定值(通常为10分钟以内)后,在该用户需要执行其它操作之前,应对该用户重新进行身份鉴别。当用户身份鉴别尝试失败次数达到五次后,应进行登录锁定,同时形成审计事件并告警。
(4)涉密计算机应保留管理员账号(administrator)和用户日常使用账号,删除其他账号,禁用guest账号。
(5)涉密计算机安装三合一软件,策略配置按照第八(四)2(1)节执行。
(6)严禁未经审批擅自给涉密计算机连接设备,涉密计算机如需连接或移除打印机、扫描仪等外部设备,应履行审批手续。涉密计算机输出涉密文件资料应办理审批和登记手续。
(7)涉密计算机不得保留操作系统恢复分区和一键恢复功能。
(9)公司涉密便携式计算机由运维机构集中管理,各部门使用时应办理借用手续,涉密便携式计算机在使用过程中应使用红黑电源隔离插座。
(10)涉密便携式计算机不得带有无线上网功能。
(11)涉密便携式计算机绑定使用经过注册的涉密专用移动存储介质(涉密计算机及移动存储介质保密管理系统配套的涉密专用移动存储介质),涉密便携式计算机归还时由安全保密管理员进行检查并对计算机和存储介质上的信息进行清除处理。
(12)公司设置专供外出携带的涉密便携式计算机,外出使用时须办理借用及外出携带审批手续。借用前根据需求开放输入输出端口,归还时由安全保密管理员进行检查并对计算机和存储介质进行清除处理,所采用的技术、设备和措施应当符合国家有关标准要求。
(13)由于操作系统版本或软件冲突等特殊原因难以在涉密计算机上采取某项技术控制措施的,必须由运维部门壁炉门根据具体情况进行技术分析和风险评估。经分析和评估后确认无法在技术上控制的,由运维部门、信息化主管部门与责任部门共同研究加强保密管理的措施,保证安全可控,对该涉密计算机落实责任人,明确管理要求和具体措施,并由责任人书面签字确认。
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议