信息安全保密管理制度條例
篇一:信息系統(tǒng)安全保密制度
信息系統(tǒng)的安全保密工作是保證數(shù)據(jù)信息安全的基礎(chǔ),同時給全院的信息安全保密工作提供了一個工作指導(dǎo)。為了加強我院信息系統(tǒng)的安全保密管理工作,根據(jù)上級要求,結(jié)合我院的實際情況,現(xiàn)制定如下制度:
第一章總則
第一條*學(xué)院校園網(wǎng)和各個信息系統(tǒng)的服務(wù)對象是學(xué)校教學(xué)、科研和管理機構(gòu),全校教職工和學(xué)生,以及其他經(jīng)學(xué)校授權(quán)的單位及個人。
第二條我院內(nèi)任何部門及個人不得利用校園網(wǎng)危害國家安全、泄露國家秘密,不得侵犯國家、社會、集體利益和個人的合法權(quán)益,不得從事違法犯罪活動。
第三條未經(jīng)批準,任何單位或個人不得將校園網(wǎng)延伸至校外或?qū)⑿M饩W(wǎng)絡(luò)引入至校園內(nèi)。未經(jīng)批準,任何數(shù)據(jù)業(yè)務(wù)運營商或電信代理商不得擅自進入山東信息職業(yè)技術(shù)學(xué)院內(nèi)進行工程施工,開展因特網(wǎng)業(yè)務(wù)。
第四條各部門應(yīng)按照國家信息系統(tǒng)等級保護制度的相關(guān)法律法規(guī)、標準規(guī)范的要求,落實信息系統(tǒng)安全等級保護制度。
第五條各部門要規(guī)范信息維護、信息管理、運行維護等方面的工作流程和機制,指定專人負責系統(tǒng)運行的日常工作,做好用戶授權(quán)等管理服務(wù)工作。
第二章數(shù)據(jù)安全
第六條本制度中的數(shù)據(jù)是指各類信息系統(tǒng)所覆蓋的所有數(shù)據(jù),包括檔案管理系統(tǒng)、財務(wù)管理系統(tǒng)、資產(chǎn)管理系統(tǒng)、安防監(jiān)控系統(tǒng)以及學(xué)院網(wǎng)站等網(wǎng)站和系統(tǒng)的所有數(shù)據(jù)。
第七條各部門要及時補充和更新管理系統(tǒng)的業(yè)務(wù)數(shù)據(jù),確保數(shù)據(jù)的完整性、時效性和準確性。
第八條各部門要保證信息系統(tǒng)安全和數(shù)據(jù)安全,制定重要數(shù)據(jù)庫和系統(tǒng)主要設(shè)備的容災(zāi)備案措施。記錄并保留至少60天系統(tǒng)維護日志。各系統(tǒng)管理員和個人要妥善保管好賬號和密碼,定期更新密碼,防止密碼外泄。
第九條保證各系統(tǒng)相關(guān)數(shù)據(jù)安全。各部門和系統(tǒng)管理人員,要對自己所管理的數(shù)據(jù)負責,保證數(shù)據(jù)安全,防止數(shù)據(jù)泄漏。
第十條學(xué)校數(shù)據(jù)信息主要用于教學(xué)、科研、管理、生活服務(wù)等,申請數(shù)據(jù)獲取的單位有義務(wù)保護數(shù)據(jù)的隱秘性,不得將數(shù)據(jù)信息用于申請用途外的活動。
第十一條未經(jīng)批準,任何部門和個人不得擅自提供信息系統(tǒng)的內(nèi)部數(shù)據(jù)。對于違反規(guī)定、非法披露、提供數(shù)據(jù)的單位和個人,應(yīng)依照相關(guān)規(guī)定予以處罰。
第三章信息安全
第十二條任何部門和個人不得利用校園網(wǎng)及各系統(tǒng)制作、復(fù)制、傳播和查閱下列信息:
(一)危害國家安全,泄露國家秘密,顛覆國家政權(quán),破壞國家統(tǒng)一的;
(二)損害國家榮譽和利益的;
(三)煽動民族仇恨、民族歧視,破壞民族團結(jié)的;
(四)破壞國家宗教政策,宣揚邪教和封建迷信的;
(五)散布謠言,擾亂社會公共秩序,破壞國家穩(wěn)定的;
(六)散步淫穢、色情、暴力、兇殺、恐怖或者教唆犯罪的;
(七)侮辱和誹謗他人,侵害他人合法權(quán)益的;
(八)含有國家法律和行政法規(guī)禁止的其他內(nèi)容的;
(九)煽動抗拒、破壞憲法和法律、法規(guī)實施的;
第十三條未經(jīng)批準,任何個人和部門不能擅自發(fā)布、刪除和改動學(xué)院網(wǎng)站和系統(tǒng)信息。凡發(fā)布信息,必須經(jīng)過嚴格審核。
第十四條校園網(wǎng)用戶必須自覺配合國家和學(xué)校有關(guān)部門依法進行的監(jiān)督、檢查。用戶若發(fā)現(xiàn)違法有害信息,有義務(wù)向?qū)W校有關(guān)部門報告。
第十五條學(xué)院內(nèi)部所有人員上網(wǎng)均需實名制,并執(zhí)行嚴格的實名備案制度。一經(jīng)發(fā)現(xiàn)上網(wǎng)本制度禁止信息,要盡快查處,情節(jié)嚴重者交由公安機關(guān)。
第四章學(xué)院網(wǎng)站安全
第十六條學(xué)院網(wǎng)站是學(xué)院的門戶,學(xué)院網(wǎng)站信息安全是至關(guān)重要的。*學(xué)院門戶網(wǎng)站已按照相關(guān)部門要求,委托信息中心備案,備案域名為:。
第十七條凡上線網(wǎng)站,山東信息職業(yè)技術(shù)學(xué)院實行網(wǎng)站備案,未經(jīng)備案的網(wǎng)站,學(xué)院一律停止對該網(wǎng)站的運行。
第十八條各部門要保證網(wǎng)站的數(shù)據(jù)安全和系統(tǒng)安全,制定重要數(shù)據(jù)庫和系統(tǒng)主要設(shè)備的容災(zāi)備案措施。記錄并保留至少60天系統(tǒng)維護日志。
第十九條各部門網(wǎng)站信息發(fā)布嚴格實行信息發(fā)布審核登記制度,發(fā)現(xiàn)有害信息,應(yīng)當在保留有關(guān)原始記錄后,及時予以刪除,并在第一時間向?qū)W校辦公室和網(wǎng)絡(luò)管理中心報告。發(fā)現(xiàn)計算機犯罪案件,要立即向公安機關(guān)網(wǎng)警部門報案。
第二十條學(xué)院辦公室、網(wǎng)絡(luò)管理中心負責對學(xué)校網(wǎng)站進行監(jiān)督、檢查。對于存在安全隱患的網(wǎng)站,網(wǎng)絡(luò)信息中心有權(quán)停止其對外服務(wù)。
第五章其他
第二十一條違反本管理規(guī)定的,視情節(jié)輕重采用以下其中一種或多種處理措施:
(一)批評整改;
(二)報相關(guān)部門領(lǐng)導(dǎo)處理;
(三)移交公安、司法部門處理。
第二十二條本規(guī)定由網(wǎng)絡(luò)信息中心負責解釋。
第二十三條本規(guī)定自公布之日起生效。
篇二:計算機和信息系統(tǒng)安全保密管理規(guī)定
第一章 總則
第一條 為加強公司計算機和信息系統(tǒng)(包括涉密信息系統(tǒng)和非涉密信息系統(tǒng))
安全保密管理,確保國家秘密及商業(yè)秘密的安全,根據(jù)國家有關(guān)保密法規(guī)標準和中核集團公司有關(guān)規(guī)定,制定本規(guī)定。
第二條 本規(guī)定所稱涉密信息系統(tǒng)是指由計算機及其相關(guān)的配套設(shè)備、設(shè)施構(gòu)成的,按照一定的應(yīng)用目標和規(guī)定存儲、處理、傳輸涉密信息的系統(tǒng)或網(wǎng)絡(luò),包括機房、網(wǎng)絡(luò)設(shè)備、軟件、網(wǎng)絡(luò)線路、用戶終端等內(nèi)容。
第三條 涉密信息系統(tǒng)的建設(shè)和應(yīng)用要本著“預(yù)防為主、分級負責、科學(xué)管理、保障安全”的方針,堅持“誰主管、誰負責,誰使用、誰負責”和“控制源頭、歸口管理、加強檢查、落實制度”的原則,確保涉密信息系統(tǒng)和國家秘密信息安全。
第四條 涉密信息系統(tǒng)安全保密防護必須嚴格按照國家保密標準、規(guī)定和集團公司文件要求進行設(shè)計、實施、測評審查與審批和驗收;未通過國家審批的涉密信息系統(tǒng),不得投入使用。
第五條 本規(guī)定適用于公司所有計算機和信息系統(tǒng)安全保密管理工作。
第二章 管理機構(gòu)與職責
第六條 公司法人代表是涉密信息系統(tǒng)安全保密第一責任人,確保涉密信息系統(tǒng)安全保密措施的落實,提供人力、物力、財力等條件保障,督促檢查領(lǐng)導(dǎo)責任制落實。
第七條 公司保密委員會是涉密信息系統(tǒng)安全保密管理決策機構(gòu),其主要職責:
(一)建立健全安全保密管理制度和防范措施,并監(jiān)督檢查落實情況;
(二)協(xié)調(diào)處理有關(guān)涉密信息系統(tǒng)安全保密管理的重大問題,對重大失泄密事件進行查處。
第八條 成立公司涉密信息系統(tǒng)安全保密領(lǐng)導(dǎo)小組,保密辦、科技信息部(信息化)、黨政辦公室(密碼)、財會部、人力資源部、武裝保衛(wèi)部和相關(guān)業(yè)務(wù)部門、單位為成員單位,在公司黨政和保密委員會領(lǐng)導(dǎo)下,組織協(xié)調(diào)公司涉密信息系統(tǒng)安全保密管理工作。
第九條 保密辦主要職責:
(一)擬定涉密信息系統(tǒng)安全保密管理制度,并組織落實各項保密防范措施;
(二)對系統(tǒng)用戶和安全保密管理人員進行資格審查和安全保密教育培訓(xùn),審查涉密信息系統(tǒng)用戶的職責和權(quán)限,并備案;
(三)組織對涉密信息系統(tǒng)進行安全保密監(jiān)督檢查和風險評估,提出涉密信息系統(tǒng)安全運行的保密要求;
(四)會同科技信息部對涉密信息系統(tǒng)中介質(zhì)、設(shè)備、設(shè)施的授權(quán)使用的審查,建立涉密信息系統(tǒng)安全評估制度,每年對涉密信息系統(tǒng)安全措施進行一次評審;
(五)對涉密信息系統(tǒng)設(shè)計、施工和集成單位進行資質(zhì)審查,對進入涉密信息系統(tǒng)的安全保密產(chǎn)品進行準入審查和規(guī)范管理,對涉密信息系統(tǒng)進行安全保密性能檢測;
(六)對涉密信息系統(tǒng)中各應(yīng)用系統(tǒng)進行定密、變更密級和解密工作進行審核;
(七)組織查處涉密信息系統(tǒng)失泄密事件。
第十條
科技信息部、財會部主要職責是:
(一)組織、實施涉密信息系統(tǒng)的規(guī)劃、設(shè)計、建設(shè),制定安全保密防護方案;
(二)落實涉密信息系統(tǒng)安全保密策略、運行安全控制、安全驗證等安全技術(shù)措施;每半年對涉密信息系統(tǒng)進行風險評估,提出整改措施,經(jīng)涉密信息系統(tǒng)安全保密領(lǐng)導(dǎo)
小組批準后組織實施,確保安全技術(shù)措施有效、可靠;
(三)落實涉密信息系統(tǒng)中各應(yīng)用系統(tǒng)進行用戶權(quán)限設(shè)置及介質(zhì)、設(shè)備、設(shè)施的授權(quán)使用、保管以及維護等安全保密管理措施;
(四)配備涉密信息系統(tǒng)管理員、安全保密管理員和安全審計員,并制定相應(yīng)的職責; “三員”角色不得兼任,權(quán)限設(shè)置相互獨立、相互制約;“三員”應(yīng)通過安全保密培訓(xùn)持證上崗;
(五)落實計算機機房、配線間等重要部位的安全保密防范措施及網(wǎng)絡(luò)的安全管理,負責日常業(yè)務(wù)數(shù)據(jù)及其他重要數(shù)據(jù)的備份管理;
(六)配合保密辦對涉密信息系統(tǒng)進行安全檢查,對存在的隱患進行及時整改;
(七)制定應(yīng)急預(yù)案并組織演練,落實應(yīng)急措施,處理信息安全突發(fā)事件。
第十一條 黨政辦公室主要職責:
按照國家密碼管理的相關(guān)要求,落實涉密信息系統(tǒng)中普密設(shè)備的管理措施。
第十二條 相關(guān)業(yè)務(wù)部門、單位主要職責:涉密信息系統(tǒng)的使用部門、單位要嚴格遵守保密管理規(guī)定,教育員工提高安全保密意識,落實涉密信息系統(tǒng)各項安全防范措施;準確確定應(yīng)用系統(tǒng)密級,制定并落實相應(yīng)的二級保密管理制度。
第十三條 涉密信息系統(tǒng)配備系統(tǒng)管理員、安全保密管理員、安全審計員,其職責是:
(一)系統(tǒng)管理員負責系統(tǒng)中軟硬件設(shè)備的運行、管理與維護工作,確保信息系統(tǒng)的安全、穩(wěn)定、連續(xù)運行。系統(tǒng)管理員包括網(wǎng)絡(luò)管理員、數(shù)據(jù)庫管理員、應(yīng)用系統(tǒng)管理員。
(二)安全保密管理員負責安全技術(shù)設(shè)備、策略實施和管理工作,包括用戶帳號管理以及安全保密設(shè)備和系統(tǒng)所產(chǎn)生日志的審查分析。
(三)安全審計員負責安全審計設(shè)備安裝調(diào)試,對各種系統(tǒng)操作行為進行安全審計跟蹤分析和監(jiān)督檢查,以及時發(fā)現(xiàn)違規(guī)行為,并每月向涉密信息系統(tǒng)安全保密領(lǐng)導(dǎo)小組辦公室匯報一次情況。
第三章 系統(tǒng)建設(shè)管理
第十四條 規(guī)劃和建設(shè)涉密信息系統(tǒng)時,按照涉密信息系統(tǒng)分級保護標準的規(guī)定,同步規(guī)劃和落實安全保密措施,系統(tǒng)建設(shè)與安全保密措施同計劃、同預(yù)算、同建設(shè)、同驗收。
第十五條 涉密信息系統(tǒng)規(guī)劃和建設(shè)的安全保密方案,應(yīng)由具有“涉及國家秘密的計算機信息系統(tǒng)集成資質(zhì)”的機構(gòu)編制或自行編制,安全保密方案必須經(jīng)上級保密主管部門審批后方可實施。
第十六條 涉密信息系統(tǒng)規(guī)劃和建設(shè)實施時,應(yīng)由具有“涉及國家秘密的計算機信息系統(tǒng)集成資質(zhì)”的機構(gòu)實施或自行實施,并與實施方簽署保密協(xié)議,項目竣工后必須由保密辦和科技信息部共同組織驗收。
第十七條 對涉密信息系統(tǒng)要采取與密級相適應(yīng)的保密措施,配備通過國家保密主管部門指定的測評機構(gòu)檢測的安全保密產(chǎn)品。涉密信息系統(tǒng)使用的軟件產(chǎn)品必須是正版軟件。
第四章 信息管理
第一節(jié) 信息分類與控制
第十八條 涉密信息系統(tǒng)的密級,按系統(tǒng)中所處理信息的最高密級設(shè)定,嚴禁處理高于涉密信息系統(tǒng)密級的涉密信息。
第十九條 涉密信息系統(tǒng)中產(chǎn)生、存儲、處理、傳輸、歸檔和輸出的文件、數(shù)據(jù)、圖紙等信息及其存儲介質(zhì)應(yīng)按要求及時定密、標密,并按涉密文件進行管理。電子文件密級標識應(yīng)與信息主體不可分離,密級標識不得篡改。涉密信息系統(tǒng)中的涉密信息總量每半年進行一次分類統(tǒng)計、匯總,并在保密辦備案。
第二十條 涉密信息系統(tǒng)應(yīng)建立安全保密策略,并采取有效措施,防止涉密信息被非授權(quán)訪問、篡改,刪除和丟失;防止高密級信息流向低密級計算機。涉密信息遠程傳輸必須采取密碼保護措施。
第二十一條 向涉密信息系統(tǒng)以外的單位傳遞涉密信息,一般只提供紙質(zhì)文件,確需提供涉密電子文檔的,按信息交換及中間轉(zhuǎn)換機管理規(guī)定執(zhí)行。
第二十二條 清除涉密計算機、服務(wù)器等網(wǎng)絡(luò)設(shè)備、存儲介質(zhì)中的涉密信息時,必須使用符合保密標準、要求的工具或軟件。
第二節(jié) 用戶管理與授權(quán)
第二十三條 根據(jù)本部門、單位使用涉密信息系統(tǒng)的密級和實際工作需要,確定人員知悉范圍,以此作為用戶授權(quán)的依據(jù)。
第二十四條 用戶清單管理
(一)科技信息部管理“研究試驗堆燃料元件數(shù)字化信息系統(tǒng)”和“中核集團涉密廣域網(wǎng)”用戶清單;財會部管理“財務(wù)會計核算網(wǎng)”用戶清單;
(二)新增用戶時,由用戶本人提出書面申請,經(jīng)本部門、單位審核,科技信息部、保密辦審批后,由科技信息部備案并統(tǒng)一建立用戶;“財務(wù)會計核算網(wǎng)”的用戶由財會部統(tǒng)一建立;
(三)刪除用戶時,由用戶本人所在部門、單位書面通知科技信息部,核準后由安全保密管理員即時將用戶在涉密信息系統(tǒng)內(nèi)的所有帳號、權(quán)限廢止;“財務(wù)會計核算網(wǎng)”密辦審核,公司分管領(lǐng)導(dǎo)審批。開通、審批堅持“工作必須”的原則。
第六十四條 國際互聯(lián)網(wǎng)計算機實行專人負責、專機上網(wǎng)管理,嚴禁存儲、處理、傳遞涉密信息和內(nèi)部敏感信息。接入互聯(lián)網(wǎng)的計算機須建立使用登記制度。
第六十五條 上網(wǎng)信息實行“誰上網(wǎng)誰負責”的保密管理原則,信息上網(wǎng)必須經(jīng)過嚴格審查和批準,堅決做到“涉密不上網(wǎng),上網(wǎng)不涉密”。對上網(wǎng)信息進行擴充或更新,應(yīng)重新進行保密審查。
第六十六條 任何部門、單位和個人不得在電子郵件、電子公告系統(tǒng)、聊天室、網(wǎng)絡(luò)新聞組、博客等上發(fā)布、談?wù)摗鬟f、轉(zhuǎn)發(fā)或抄送國家秘密信息。
第六十七條 從國際互聯(lián)網(wǎng)或其它公眾信息網(wǎng)下載程序和軟件工具等轉(zhuǎn)入涉密系統(tǒng),經(jīng)科技信息部審批后,按照信息交換及中間轉(zhuǎn)換機管理規(guī)定執(zhí)行。
第九章 便攜式計算機管理
第六十八條 便攜式計算機(包括涉密便攜式計算機和非涉密便攜式計算機)實行 “誰擁有,誰使用,誰負責”的保密管理原則,使用者須與公司簽定保密承諾書。
第六十九條 涉密便攜式計算機根據(jù)工作需要確定密級,粘貼密級標識,按照涉密設(shè)備進行管理,保密辦備案后方可使用。
第七十條 便攜式計算機應(yīng)具備防病毒、防非法外聯(lián)和身份認證(設(shè)置開機密碼口令)等安全保密防護措施。
第七十一條 禁止使用涉密便攜式計算機上國際互聯(lián)網(wǎng)和非涉密網(wǎng)絡(luò);嚴禁涉密便攜式計算機與涉密信息系統(tǒng)互聯(lián)。
第七十二條 涉密便攜式計算機不得處理絕密級信息。未經(jīng)保密辦審批,嚴禁在涉密便攜式計算機中存儲涉密信息。處理、存儲涉密信息應(yīng)在涉密移動存儲介質(zhì)上進行,并與涉密便攜式計算機分離保管。
第七十三條 禁止使用私有便攜式計算機處理辦公信息;嚴禁非涉密便攜式計算機存儲、處理涉密信息;嚴禁將涉密存儲介質(zhì)接入非涉密便攜式計算機使用。
第七十四條 公司配備專供外出攜帶的涉密便攜式計算機和涉密存儲介質(zhì),按照 “集中管理、審批借用”的原則進行管理,建立使用登記制度。外出攜帶的涉密便攜式計算機須經(jīng)保密辦檢查后方可帶出公司,返回時須進行技術(shù)檢查。
第七十五條 因工作需要外單位攜帶便攜式計算機進入公司辦公區(qū)域,需辦理保密審批手續(xù)。
第十章 應(yīng)急響應(yīng)管理
第七十六條 為有效預(yù)防和處置涉密信息系統(tǒng)安全突發(fā)事件,及時控制和消除涉密信息系統(tǒng)安全突發(fā)事件的危害和影響,保障涉密信息系統(tǒng)的安全穩(wěn)定運行,科技信息部和財會部應(yīng)分別制定相應(yīng)應(yīng)急響應(yīng)預(yù)案,經(jīng)公司涉密信息系統(tǒng)安全保密領(lǐng)導(dǎo)小組審批后實施。
第七十七條 應(yīng)急響應(yīng)預(yù)案用于涉密信息系統(tǒng)安全突發(fā)事件。突發(fā)事件分為系統(tǒng)運行安全事件和泄密事件,根據(jù)事件引發(fā)原因分為災(zāi)害類、故障類或攻擊類三種情況。
(一)災(zāi)害事件:根據(jù)實際情況,在保障人身安全前提下,保障數(shù)據(jù)安全和設(shè)備安
(二)故障或攻擊事件:判斷故障或攻擊的來源與性質(zhì),關(guān)閉影響安全與穩(wěn)定的網(wǎng)絡(luò)設(shè)備和服務(wù)器設(shè)備,斷開信息系統(tǒng)與攻擊來源的網(wǎng)絡(luò)物理連接,跟蹤并鎖定攻擊來源的IP地址或其它網(wǎng)絡(luò)用戶信息,修復(fù)被破壞的信息,恢復(fù)信息系統(tǒng)。按照事件發(fā)生的性質(zhì)分別采用以下方案:1、病毒傳播:及時尋找并斷開傳播源,判斷病毒的類型、性質(zhì)、可能的危害范圍。為避免產(chǎn)生更大的損失,保護計算機,必要時可關(guān)閉相應(yīng)的端口,尋找并公布病毒攻擊信息,以及殺毒、防御方法;
2、外部入侵:判斷入侵的來源,評價入侵可能或已經(jīng)造成的危害。對入侵未遂、未造成損害的,且評價威脅很小的外部入侵,定位入侵的IP地址,及時關(guān)閉入侵的端口,限制入侵的IP地址的訪問。對于已經(jīng)造成危害的,應(yīng)立即采用斷開網(wǎng)絡(luò)連接的方法,避免造成更大損失和帶來的影響;
3、內(nèi)部入侵:查清入侵來源,如IP地址、所在區(qū)域、所處辦公室等信息,同時斷開對應(yīng)的交換機端口,針對入侵方法調(diào)整或更新入侵檢測設(shè)備。對于無法制止的多點入侵和造成損害的,應(yīng)及時關(guān)閉被入侵的服務(wù)器或相應(yīng)設(shè)備;
4、網(wǎng)絡(luò)故障:判斷故障發(fā)生點和故障原因,能夠迅速解決的盡快排除故障,并優(yōu)先保證主要應(yīng)用系統(tǒng)的運轉(zhuǎn);
5、其它未列出的不確定因素造成的事件,結(jié)合具體的情況,做出相應(yīng)的處理。不能處理的及時咨詢,上報公司信息安全領(lǐng)導(dǎo)小組。
第七十八條 按照信息安全突發(fā)事件的性質(zhì)、影響范圍和造成的損失,將涉密信息系統(tǒng)安全突發(fā)事件分為特別重大事件(I級)、重大事件(II級)、較大事件(III級)和一般事件(IV級)四個等級。
(一)一般事件由科技信息部(或財會部)依據(jù)應(yīng)急響應(yīng)預(yù)案進行處置;
(二)較大事件由科技信息部(或財會部)、保密辦依據(jù)應(yīng)急響應(yīng)預(yù)案進行處置,及時向公司信息安全領(lǐng)導(dǎo)小組報告并提請協(xié)調(diào)處置;
(三)重大事件啟動應(yīng)急響應(yīng)預(yù)案,對突發(fā)事件進行處置,及時向公司黨政報告并提請協(xié)調(diào)處置;
(四)特別重大事件由公司報請中核集團公司對信息安全突發(fā)事件進行處置。
第七十九條 發(fā)生突發(fā)事件(如涉密數(shù)據(jù)被竊取或信息系統(tǒng)癱瘓等)應(yīng)按如下應(yīng)急響應(yīng)的基本步驟、基本處理辦法和流程進行處理:
(一)上報科技信息部和保密辦;
(二)關(guān)閉系統(tǒng)以防止造成數(shù)據(jù)損失;
(三)切斷網(wǎng)絡(luò),隔離事件區(qū)域;
(四)查閱審計記錄尋找事件源頭;
(五)評估系統(tǒng)受損程度;
(六)對引起事件漏洞進行整改;
(七)對系統(tǒng)重新進行風險評估;
(八)由保密辦根據(jù)風險評估結(jié)果并書面確認安全后,系統(tǒng)方能重新運行;
(九)對事件類型、響應(yīng)、影響范圍、補救措施和最終結(jié)果進行詳細的記錄;
(十)依照法規(guī)制度對責任人進行處理。
第八十條 科技信息部、財會部應(yīng)會同保密辦每年組織一次應(yīng)急響應(yīng)預(yù)案演練,檢驗應(yīng)急響應(yīng)預(yù)案各環(huán)節(jié)之間的通信、協(xié)調(diào)、指揮等是否快速、高效,并對其效果進行評估,以使用戶明確自己的角色和責任。應(yīng)急響應(yīng)相關(guān)知識、技術(shù)、技能應(yīng)納入信息安全保密培訓(xùn)內(nèi)容,并記錄備案。
第十一章 人員管理
第八十一條 各部門、單位每年應(yīng)組織開展不少于1次的全員信息安全保密知識技能教育與培訓(xùn),并記錄備案。
第八十二條
涉密人員離崗、離職,應(yīng)及時調(diào)整或取消其訪問授權(quán),并將其保管的涉密設(shè)備、存儲介質(zhì)全部清退并辦理移交手續(xù)。
第八十三條 承擔涉密信息系統(tǒng)日常管理工作的系統(tǒng)管理員、安全保密管理員、安全審計管理員應(yīng)按重要涉密人員管理。
第十二章 督查與獎懲
第八十四條 公司每年應(yīng)對涉密信息系統(tǒng)安全保密狀況、安全保密制度和措施的落實情況進行一次自查,并接受國家和上級單位的指導(dǎo)和監(jiān)督。涉密信息系統(tǒng)每兩年接受一次上級部門開展的安全保密測評或保密檢查,檢查結(jié)果存檔備查。
第八十五條 檢查涉密計算機和信息系統(tǒng)的保密檢查工具和涉密信息系統(tǒng)所使用的安全保密、漏洞檢查(取證)軟件等,應(yīng)覆蓋保密檢查的項目,并通過國家保密局的檢測。安全保密檢查工具應(yīng)及時升級或更新,確保檢查時使用最新版本。
第八十六條 各部門、單位應(yīng)將員工遵守涉密計算機及信息系統(tǒng)安全保密管理制度的情況,納入保密自查、考核的重要內(nèi)容。對違反本規(guī)定造成失泄密的當事人及有關(guān)責任人,按公司保密責任考核及獎懲規(guī)定執(zhí)行。
第十三章 附 則
第八十七條 本規(guī)定由保密辦負責解釋與修訂。
第八十八條 本規(guī)定自發(fā)布之日起實施。原《計算機磁(光)介質(zhì)保密管理規(guī)定)[制度編號:(廠1908號)]、《涉密計算機信息系統(tǒng)保密管理規(guī)定》[制度編號:(20xx)廠1911號]、《涉密計算機采購、維修、變更、報廢保密管理規(guī)定》[制度編號:(20xx)廠1925號]、《國際互聯(lián)網(wǎng)信息發(fā)布保密管理規(guī)定》[制度編號:(20xx)廠1926號]、《涉密信息系統(tǒng)信息保密管理規(guī)定》[制度通告:(20xx)0934號]、《涉密信息系統(tǒng)安全保密管理規(guī)定》[制度通告:(20xx)0935號]同時廢止。
篇三:信息安全保密制度
第1條 為了加強知識產(chǎn)權(quán)保護,防止信息數(shù)據(jù)丟失和外泄,保持信息系統(tǒng)庫正常運行,特制定安全保密制度。
第2條 安全保障對象包括辦公場所安全,設(shè)備安全,軟件安全,系統(tǒng)庫安全,計算機及通信安全;保密對象包括檔案資料,醫(yī)療數(shù)據(jù)資料,信息系統(tǒng)庫資料。
第3條 信息中心主任、工程師必須嚴格執(zhí)行國家的有關(guān)規(guī)定和院里的有關(guān)制度,認真管理檔案、醫(yī)療數(shù)據(jù)資料、數(shù)據(jù)庫系統(tǒng)。
第4條 信息中心的所有工作人員必須嚴格遵守院里的規(guī)章制度和信息中心的有關(guān)規(guī)定,認真做好檔案、醫(yī)療數(shù)據(jù)資料、數(shù)據(jù)庫系統(tǒng)的管理和維護工作。
第5條 未經(jīng)院領(lǐng)導(dǎo)和信息中心負責人同意,非管理人員不得進入控制機房,不得擅自操作系統(tǒng)服務(wù)器、鏡像服務(wù)器、應(yīng)用服務(wù)器、控制服務(wù)器及控制機房的其他設(shè)備。
第6條 未經(jīng)院領(lǐng)導(dǎo)和信息中心負責人同意,嚴禁任何人以任何形式向外提供數(shù)據(jù)。實行嚴格的安全準入制度,檔案管理、信息系統(tǒng)管理、作業(yè)流程管理權(quán)限明確。管理者在授權(quán)范圍內(nèi)按資料應(yīng)用程序提供數(shù)據(jù)。
第7條 檔案資料安全保密管理,遵循《檔案庫房管理制度》、《保密守冊》、《檔案室職責》、《檔案資料利用管理規(guī)定》、《檔案安全消防措施》執(zhí)行。
第8條 醫(yī)療數(shù)據(jù)資料、信息系統(tǒng)庫資料,除參照執(zhí)行第7條相關(guān)規(guī)定外,還應(yīng)遵循:
第1款 資料建檔和資料派發(fā)要履行交接手續(xù)。
第2款 原始數(shù)據(jù)、中間數(shù)據(jù)、成果數(shù)據(jù)等,應(yīng)按規(guī)定作業(yè)流程辦理。數(shù)據(jù)提供方要確保數(shù)據(jù)齊全、正確、安全、可靠;辦公文員要對數(shù)據(jù)進行校驗,注意
作業(yè)流程把關(guān)、資料完整性檢查、數(shù)據(jù)殺毒處理;數(shù)據(jù)處理員要嚴格按照“基礎(chǔ)地理信息系統(tǒng)建庫技術(shù)規(guī)范” 要求作業(yè);專檢員要嚴格按照“資料成果專檢”規(guī)定把關(guān);系統(tǒng)入庫員、系統(tǒng)管理員、網(wǎng)絡(luò)管理員要保證入庫、出庫數(shù)據(jù)質(zhì)量和數(shù)據(jù)安全保密。
第3款 定期對數(shù)據(jù)庫進行檢查、維護,發(fā)現(xiàn)問題及時解決和備案,保證數(shù)據(jù)庫系統(tǒng)的正常運行。
第4款 未經(jīng)許可數(shù)據(jù)庫內(nèi)的數(shù)據(jù)信息不得隨意修改或刪除,更不能對外提供。
第5款 除授權(quán)管理人員外,未經(jīng)許可,任何人不能動用他人設(shè)備,不得通過網(wǎng)絡(luò)(局域網(wǎng)、VPN虛擬專網(wǎng)、內(nèi)部網(wǎng)等)聯(lián)機調(diào)閱數(shù)據(jù)。
第6款 醫(yī)療數(shù)據(jù)資料按規(guī)定要求進行計算機建檔和處理,數(shù)據(jù)入庫后要及時刪除工作終端中的原有數(shù)據(jù)。
第7款 嚴格遵守信息中心工作流程,不得做任何違反工作流程的操作。
第8款 定期對數(shù)據(jù)庫的信息數(shù)據(jù)進行備份,要求每增加或更新批次,數(shù)據(jù)備份一次,包括異地熱機備份和刻盤備份兩種方式;每月定期刻盤兩套,異地保存。
第9條 軟件開發(fā)要求功能齊全、操作方便、容錯能力強、運行效率高、安全保密性好,建庫技術(shù)標準規(guī)范、應(yīng)用服務(wù)體系完善。
第10條 信息中心辦公場所要建立防火、防盜、防爆、防塵、防潮、防蟲、防曬、防雷擊、防斷電、防腐蝕、防高溫等基本防護設(shè)施。消除安全隱患,杜絕安全事故。
第11條 權(quán)限管理是生產(chǎn)有序進行和信息資料合法利用的有效保證。任何法人或自然人只能在授權(quán)范圍操作。
第12條 權(quán)限管理從安全級別上分為絕密、機密、秘密;從適用對象上分為高級管理員、系統(tǒng)管理員、高級用戶、中級用戶、一般用戶、特殊用戶;從操作承載體上分為服務(wù)器(包括系統(tǒng)服務(wù)器、鏡像服務(wù)器、應(yīng)用服務(wù)器和控制服務(wù)器)、工作終端、用戶終端;從設(shè)定內(nèi)容上分為完全控制、權(quán)限設(shè)置變更廢止、創(chuàng)建、刪除、添加、編輯、更新、運行、讀取、拷貝、其他操作。
第1款 安全級別中絕密資料內(nèi)容包括用戶名及密鑰、信息系統(tǒng)庫密鑰、系統(tǒng)運行日志、控制信息資料;
第2款 設(shè)定內(nèi)容中,完全控制是指對VPN虛擬專網(wǎng)中服務(wù)器(包括系統(tǒng)服務(wù)器、鏡像服務(wù)器、應(yīng)用服務(wù)器和控制服務(wù)器)、終端(包括工作終端和用戶終端)有絕對控制權(quán),包括IP地址、網(wǎng)關(guān)、DNS服務(wù)器地址、超級用戶密碼、系統(tǒng)庫密碼、操作系統(tǒng)、程序、信息數(shù)據(jù)的設(shè)定、修改、刪除權(quán)利等;
第3款 高級管理員為最高權(quán)限人,設(shè)定權(quán)限為完全控制,即擁有對所有用戶名及密鑰管理,查看系統(tǒng)運行日志,擁有對服務(wù)器、終端的所有權(quán)限管理,即對絕密、機密、秘密資料擁有權(quán)限、創(chuàng)建、刪除、添加、編輯、更新、運行、讀取、拷貝及其他操作權(quán);系統(tǒng)管理員權(quán)限包括對工作終端用戶名及密鑰管理,擁有對服務(wù)器(不包括控制服務(wù)器)和終端所有權(quán)限管理,即對機密、秘密資料擁有權(quán)限、創(chuàng)建、刪除、添加、編輯、更新、運行、讀取、拷貝及其他操作權(quán);高級用戶在本工作終端擁有對系統(tǒng)服務(wù)器中的機密、秘密資料進行編輯、更新、運行、讀取、部分拷貝及其他操作權(quán);中級用戶在本工作終端擁有對系統(tǒng)服務(wù)器中的秘密資料進行更新、運行、讀取、部分拷貝及其他操作權(quán); 一般用戶在本工作終端擁有對系統(tǒng)服務(wù)器中的秘密資料進行讀取、部分拷貝及其他操作權(quán);特殊用戶在本工作終端擁有對應(yīng)用服務(wù)器中的機密資料進行讀取、部分拷貝及其他操作權(quán)。
第13條 控制服務(wù)器中建立運行日志,以便記錄系統(tǒng)運行痕跡。運行日志中至少包括各服務(wù)器開關(guān)記錄及運行診斷情況記錄;信息系統(tǒng)庫運行情況記錄;各終端訪問系統(tǒng)服務(wù)器時的用戶名、對象級別、訪問內(nèi)容、訪問起止時間。運行日志中內(nèi)容記錄方式以時間為序。
第14條 強化信息安全保密管理,加強安全保密意識教育。因人為原因造成信息數(shù)據(jù)泄密及安全事故,追究當事人責任;觸犯法律的,依法追究。
信息中心