一、总则
1.为加强和规范公司信息系统、信息设备和存储设备的保密管理工作,确保国家秘密的安全,根据国家相关法规和《涉密信息系统集成资质保密标准》要求,结合公司实际,制定本规定。 2.本规定适用于公司范围内的信息系统、信息设备和存储设备的保密管理工作。本规定所称信息系统、信息设备和存储设备是指公司在日常工作中配备和使用的各类应用系统、服务器、计算机、网络设备、外部设施设备、存储介质、办公自动化设备、声像设备和安全保密产品。
3.信息设备包括:服务器、终端、堡垒机、交换机、路由器、网关、网闸、VPN设备、KVM设备、各类台式计算机、便携式计算机、各种工作站、非线性编辑机、工业控制机、打印机、制图机、绘图仪、扫描仪、投影仪等。
4.存储设备包括:移动硬盘、光盘、U盘、软盘、存储卡、记忆棒等。
5.安全保密产品包括:计算机病毒查杀工具、密码产品、身份鉴别设备(IC卡、USB Key、指纹仪等)、访问控制设备、输入输出控制产品、安全审计系统、入侵监测系统、边界控制和防护系统、电磁辐射和传导泄漏发射防护产品、存储保护系统、信息消除工具、移动存储设备销毁工具、检查工具等。
6.信息设备和存储设备的保密管理工作,遵循“谁主管,谁负责”和“谁使用,谁负责”的原则,明确制度、分清职责、分级管理、逐级落实、责任到人。
7.本单位没有建设涉密信息系统,采用单台计算机处理涉密信息。
二、信息设备和保密设施设备管理要求
1.计算机安全保密管理员负责信息系统、信息设备和存储设备的运行维护及信息系统、信息设备和存储设备的安全保密管理;该岗位组织制定由信息安全策略、管理制度和操作规程等组成的信息安全保密管理体系文件,维护工作的操作内容和处理过程应留有工作记录和日志文档,并妥善保存,组织对信息系统、信息设备和存储设备的安全保密检查。
2.各部门主管领导对本部门信息系统、信息设备和存储设备的保密管理工作负领导责任,
信息系统、信息设备和存储设备的责任人和使用人员负直接责任。
3.应当按照岗位职能、涉密程度和对国家秘密的知悉范围,以及业务工作中接触、存储、处理涉密信息的需求,为涉密人员配发涉密信息系统用户终端等涉密信息设备和涉密存储设备。非涉密人员一般不得配备、管理或者使用涉密用户终端等涉密信息设备和涉密存储设备。
4.单位内部非涉密人员在岗位工作中,确需少量接触、存储、处理涉密信息的,经过批准,可以配备、管理或使用涉密信息系统中秘密级用户终端,或者秘密级计算机等信息设备,但是秘密级用户终端、秘密级计算机等信息设备中,年度存储和处理秘密级信息不得超过6份。
5.非涉密人员不得配备、管理或者使用机密级以上涉密信息设备和涉密存储设备。一般涉密人员不得配备、管理或者使用绝密级信息设备和绝密级存储设备。
6.涉密信息设备和涉密存储设备,不得存储、处理或传输高于其设备涉密等级的涉密信息。
7.信息设备和存储设备的管理和使用应当符合国家有关保密法律法规和标准要求,禁止以下行为:
1)将涉密信息设备和涉密存储设备接入互联网及其他公共信息网络;
2)在未采取防护措施的情况下,在涉密信息设备和涉密存储设备与互联网及其他公共信息网络之间进行信息交换;
3)使用非涉密信息系统、非涉密信息设备和非涉密存储设备存储、处理、传输国家秘密信息;
4)在未采取保密措施的有线或者无线通信中传递国家秘密;
5)未经安全技术处理,将退出使用的涉密信息设备、涉密存储设备赠送、出售、丢弃或者改作其他用途;
6)擅自卸载、修改涉密信息设备和涉密存储设备的安全技术程序、管理程序;
7)擅自访问、下载、存储、传输知悉范围以外的国家秘密;
8)擅自扫描或者检测涉密信息设备的基础设施、安全保密产品以及应用系统等。
8.计算机安全保密管理员负责建立公司信息系统、信息设备、存储设备和安全保密产品总台账(见附件M08-O01),各业务部门建立本部门管辖范围内的设备台账。台账应做到信息要素完整、账物相符,其变化情况应当可追溯,并保留一个审查周期。涉密信息设备和涉密存储设备应当实行全生命周期管理。
9.计算机安全保密管理员负责定期(机密级6个月、秘密级12个月)对信息系统、信息设备、存储设备和安全保密产品进行清查核对,并将结果报保密管理办公室存档。
10.计算机安全可移动存储设备保密管理员应当为每台涉密信息设备、涉密存储设备建立单独档案,并保存其各类相关记录文档,包括定密记录、变更记录、运维记录、维修记录、报废和销毁记录等。
11.涉密信息设备统一制定文档化的安全保密策略,并根据环境、系统和威胁变化情况及时调整更新;定期(机密级1个月、秘密级3个月,内部6个月、互联网3个月)形成文档化的安全保密审计报告,绝密级信息设备每半年进行一次,机密级或秘密级信息设备每年进行
一次对涉密信息设备和存储设备进行风险评估。形成文档化的风险评估报告,并对存在的风险及时采取补救措施。
12.应当定期对涉密信息设备和涉密存储设备进行风险自评估,查脆弱性和威胁,确定风险和隐患,及时采取整改措施,并报保密管理办公室负责人和分管业务负责人。保密管理办公室负责人应当根据风险自评估的结果,形成风险自评估报告,进行隐患漏洞和危害性分析评估,针对隐患漏洞和风险,进行来源和威胁分析,及时修改安全策略,并提出可行和管理和技术改进措施建议。风险自评估报告应当上报单位保密管理办公室负责人以及单位分管业务负责人,保密管理办公室负责人和单位分管业务负责人应当通过风险评估报告,了解和掌握单位信息系统、信息设备和存储设备的安全风险情况,根据保密管理办公室负责人的建议决定整改方案,提供人力、财力、物力的支持,监督整改落实,并留有文字记录。保密管理办公室负责人应当依据方案尽快落实整改措施。风险自评估过程中形成的各种记录、文档、资料和最终评估报告应当归档,妥善管理。
三、涉密信息设备和涉密存储设备的确定和密级变更
1.本规定所称涉密信息设备和涉密存储设备是指公司所属各部门按照本规定明确的程序,
经过申报、登记,并经公司保密工作领导小组批准,用于处理国家秘密信息的设备。
2.公司涉密信息设备和涉密存储设备实行申报登记制度。凡涉及国家秘密的部门,必须明确专门用于处理国家秘密信息的设备,并进行申报登记。凡未进行申报登记的设备均属非涉密信息设备,严禁用于处理国家秘密信息。
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议