第七章信息系统、信息设备和保密设施设备管理制度
一、总则
1.为加强和规范公司信息系统、信息设备和存储设备的保密管理工作,确保国家秘密的安全,
根据国家相关法规和《涉密信息系统集成资质保密标准》要求,结合公司实际,制定本规定。
2.本规定适用于公司范围内的信息系统、信息设备和存储设备的保密管理工作。本规定所称信
息系统、信息设备和存储设备是指公司在日常工作中配备和使用的各类应用系统、服务器、计算机、网络设备、外部设施设备、存储介质、办公自动化设备、声像设备和安全保密产品。
3.信息设备包括:服务器、终端、堡垒机、交换机、路由器、网关、网闸、VPN设备、KVM设备、
各类台式计算机、便携式计算机、各种工作站、非线性编辑机、工业控制机、打印机、制图机、绘图仪、扫描仪、投影仪等。
4.存储设备包括:移动硬盘、光盘、U盘、软盘、存储卡、记忆棒等。
5.安全保密产品包括:计算机病毒查杀工具、密码产品、身份鉴别设备(IC卡、USB Key、指
纹仪等)、访问控制设备、输入输出控制产品、安全审计系统、入侵监测系统、边界控制和防护系统、电磁辐射和传导泄漏发射防护产品、存储保护系统、信息消除工具、移动存储设备销毁工具、检查工具等。
6.信息设备和存储设备的保密管理工作,遵循“谁主管,谁负责”和“谁使用,谁负责”的原
则,明确制度、分清职责、分级管理、逐级落实、责任到人。
7.本单位没有建设涉密信息系统,采用单台计算机处理涉密信息。
二、信息设备和保密设施设备管理要求
1.计算机安全保密管理员负责信息系统、信息设备和存储设备的运行维护及信息系统、信息设
备和存储设备的安全保密管理;该岗位组织制定由信息安全策略、管理制度和操作规程等组成的信息安全保密管理体系文件,维护工作的操作内容和处理过程应留有工作记录和日志文档,并妥善保存,组织对信息系统、信息设备和存储设备的安全保密检查。
2.各部门主管领导对本部门信息系统、信息设备和存储设备的保密管理工作负领导责任,信息
系统、信息设备和存储设备的责任人和使用人员负直接责任。
3.应当按照岗位职能、涉密程度和对国家秘密的知悉范围,以及业务工作中接触、存储、处理
涉密信息的需求,为涉密人员配发涉密信息系统用户终端等涉密信息设备和涉密存储设备。
非涉密人员一般不得配备、管理或者使用涉密用户终端等涉密信息设备和涉密存储设备。4.单位内部非涉密人员在岗位工作中,确需少量接触、存储、处理涉密信息的,经过批准,可
以配备、管理或使用涉密信息系统中秘密级用户终端,或者秘密级计算机等信息设备,但是秘密级用户终端、秘密级计算机等信息设备中,年度存储和处理秘密级信息不得超过6份。
5.非涉密人员不得配备、管理或者使用机密级以上涉密信息设备和涉密存储设备。一般涉密人
员不得配备、管理或者使用绝密级信息设备和绝密级存储设备。
6.涉密信息设备和涉密存储设备,不得存储、处理或传输高于其设备涉密等级的涉密信息。
7.信息设备和存储设备的管理和使用应当符合国家有关保密法律法规和标准要求,禁止以下行
为:
1)将涉密信息设备和涉密存储设备接入互联网及其他公共信息网络;
2)在未采取防护措施的情况下,在涉密信息设备和涉密存储设备与互联网及其他公共信息
网络之间进行信息交换;
3)使用非涉密信息系统、非涉密信息设备和非涉密存储设备存储、处理、传输国家秘密信
息;
4)在未采取保密措施的有线或者无线通信中传递国家秘密;
5)未经安全技术处理,将退出使用的涉密信息设备、涉密存储设备赠送、出售、丢弃或者
改作其他用途;
6)擅自卸载、修改涉密信息设备和涉密存储设备的安全技术程序、管理程序;
7)擅自访问、下载、存储、传输知悉范围以外的国家秘密;
8)擅自扫描或者检测涉密信息设备的基础设施、安全保密产品以及应用系统等。
8.计算机安全保密管理员负责建立公司信息系统、信息设备、存储设备和安全保密产品总台账
(见附件M08-O01),各业务部门建立本部门管辖范围内的设备台账。台账应做到信息要素完整、账物相符,其变化情况应当可追溯,并保留一个审查周期。涉密信息设备和涉密存储设备应当实行全生命周期管理。
9.计算机安全保密管理员负责定期(机密级6个月、秘密级12个月)对信息系统、信息设备、
存储设备和安全保密产品进行清查核对,并将结果报保密管理办公室存档。
10.计算机安全保密管理员应当为每台涉密信息设备、涉密存储设备建立单独档案,并保存其
各类相关记录文档,包括定密记录、变更记录、运维记录、维修记录、报废和销毁记录等。
11.涉密信息设备统一制定文档化的安全保密策略,并根据环境、系统和威胁变化情况及时调
整更新;定期(机密级1个月、秘密级3个月,内部6个月、互联网3个月)形成文档化的安全保密审计报告,绝密级信息设备每半年进行一次,机密级或秘密级信息设备每年进行一次对涉密信息设备和存储设备进行风险评估。形成文档化的风险评估报告,并对存在的风险
及时采取补救措施。
12.应当定期对涉密信息设备和涉密存储设备进行风险自评估,查找脆弱性和威胁,确定风险
和隐患,及时采取整改措施,并报保密管理办公室负责人和分管业务负责人。保密管理办公室负责人应当根据风险自评估的结果,形成风险自评估报告,进行隐患漏洞和危害性分析评估,针对隐患漏洞和风险,进行来源和威胁分析,及时修改安全策略,并提出可行和管理和技术改进措施建议。风险自评估报告应当上报单位保密管理办公室负责人以及单位分管业务负责人,保密管理办公室负责人和单位分管业务负责人应当通过风险评估报告,了解和掌握单位信息系统、信息设备和存储设备的安全风险情况,根据保密管理办公室负责人的建议决定整改方案,提供人力、财力、物力的支持,监督整改落实,并留有文字记录。保密管理办公室负责人应当依据方案尽快落实整改措施。风险自评估过程中形成的各种记录、文档、资料和最终评估报告应当归档,妥善管理。
三、涉密信息设备和涉密存储设备的确定和密级变更
1.本规定所称涉密信息设备和涉密存储设备是指公司所属各部门按照本规定明确的程序,经过
申报、登记,并经公司保密工作领导小组批准,用于处理国家秘密信息的设备。
2.公司涉密信息设备和涉密存储设备实行申报登记制度。凡涉及国家秘密的部门,必须明确专
门用于处理国家秘密信息的设备,并进行申报登记。凡未进行申报登记的设备均属非涉密信息设备,严禁用于处理国家秘密信息。
3.申报登记涉密信息设备和涉密存储设备,由设备的使用人填写《涉密信息设备审批表》(见附
件M7-002)、《涉密存储设备审批表》(见附件M7-003),经保密管理办公室和保密领导小组审查后确定密级,报计算机安全保密管理员备案,并核发公司统一编制的涉密设备编号和密级标识。
4.计算机安全保密管理员负责对拟确定为涉密计算机的新购计算机进行申报,在申报前应当重
新安装操作系统以及安全保密产品,并进行相关的安全配置和设置。新购计算机在确定为涉密计算机时,应当重新安装操作系统(应当选用非家庭版的操作系统;如果使用Windows系统,则应当选用XP、Windows7)以及安全保密产品,并进行相关的安全配置和设置后,及时变更台账信息,保证台账信息的唯一性。
5.保密管理办公室负责人和各业务部门应依据审批结果及时变更台账信息,保障台账信息的唯
一性。
6.对不符合保密要求的信息设备和存储设备,不能批准为涉密信息设备和涉密存储设备。
7.涉密信息设备和涉密存储设备的密级按照该设备存储、处理国家秘密信息的最高密级确定。
8.禁止涉密信息设备和存储设备及固件由高密集变更为低密级;禁止涉密信息设备和存储设备
及固件由涉密变成非涉密。
9.低密级信息设备变更为高密级信息设备时,由信息设备的责任人填写《涉密信息设备和涉密
存储设备变更审批表》(见附件M7-004),并对存储过涉密信息的硬件和固件以及相应的安全保密产品进行保护和控制,经分管领导审定合格后重新进行编号,按照新确定的涉密等级进行管理和使用。
四、涉密信息设备保密管理规定
1.本章所称信息设备含服务器、终端、堡垒机、交换机、路由器、网关、网闸、VPN设备、KVM
设备、各类台式计算机、便携式计算机、各种工作站、非线性编辑机、工业控制机、打印机、制图机、绘图仪、扫描仪、投影仪等。
2.公司涉密信息设备的保密管理,必须遵守以下规定:
1)每台涉密信息设备的责任人负责设备的日常管理和维护,应按照岗位职能、涉密程度和
对国家秘密的知悉范围,以及业务工作中接触、存储、处理涉密信息的需求,为涉密人员配发涉密信息设备,严格控制使用范围。
2)涉密信息设备要专机专用。在使用、管理、维护等方面要严格区别于非涉密信息设备,
禁止混用。
3)涉密信息设备必须放置于符合安全保密要求的房间内使用。
4)涉密信息设备电磁辐射和传导泄漏发射防护应当按有关保密规定,采取干扰或滤波防护
措施;
5)涉密信息设备编号及密级标识要按照公司统一要求粘贴在设备的明显位置上。
6)涉密信息设备必须与非涉密设备和信息网络实行物理隔离。
7)涉密计算机要按照国家保密技术要求设置开机口令、系统登录口令和屏幕保护口令(开
启屏幕保护程序的时间设置为10分钟以内)并定期更换。口令必须由大小写字母、数字、特殊符号组合而成。涉密人员离开时,必须关闭当时屏幕显示的涉密工作内容;
8)秘密级:口令长度不得少于八位,一月至少更换一次;
9)机密级:口令长度不得少于十位,一周至少更换一次。
10)涉密计算机应当关闭信息共享功能、关闭各种不需要的服务端口。
11)涉密计算机应当采取计算机病毒与恶意代码防护措施,定期对计算机病毒与恶意代码防
护措施进行查验,及时清除隔离区和未被删除的病毒。应当及时更新计算机病毒与恶意
代码样本库,每十五天更新一次,填写《病毒/补丁/恶意代码防护产品更新记录表》
(见附件M7-005)。
12)涉密计算机应当及时安装操作系统和应用系统的补丁程序。
13)涉密信息设备应当根据工作需要设置涉密信息的输出点,专人负责管理,达到相对集
中,有效控制的目的。没有确定为输出点的涉密信息设备,应当采取技术措施,禁止安装和使用输出设备,防止涉密信息非授权输出。对涉密信息设备的输出等操作,必须登记审核,签字领取输出信息。
14)涉密信息设备中的涉密信息(包括文档、图表、图形和数据等)必须按公司有关规定标
注密级标识,密级标识不能与正文分离。涉密信息应集中存放到专用文件夹内,按所涉及的最高密级管理(一般涉密人员仅能少量存储和处理机密信息,年度不超过6
份)。涉及国家秘密的软件程序、数据库文件、音频文件、视频文件等,在软件运行首页、数据视图首页、音频播放首段和影像播映首段应当标注密级。
15)未经审批,禁止在涉密便携式信息设备硬盘内存储任何形式的国家秘密信息;
16)涉密信息设备处理、存储的涉密信息密级不得超过该涉密信息设备的涉密等级。
17)严禁擅自访问、下载、存储、传输知悉范围以外的国家秘密。
18)涉密信息设备不得随意私自重新安装系统。若需要重新安装操作系统,由使用人提出申
请,填写《信息设备格式化/重装系统审批表》(见附件M7-006),经部门主管审核,信息化管理部门批准后,由计算机安全保密管理员进行安装;严禁擅自卸载、修改涉密信息设备的安全技术程序、管理程序。
19)涉密信息设备使用人和负责人应当清楚涉密信息设备中的涉密文件数量,密级和存放位
置。
20)涉密信息设备和涉密存储设备禁止接入互联网及其他公共信息网络。
21)涉密信息设备禁止安装和使用具有无线功能的外部设备。
22)禁止涉密人员私自在涉密信息设备中安装、删除软件或接入他人来历不明的U盘、存储
设备和软件,如需安装配备所需软件或导入外来信息,应向保密管理办公室负责人提出申请,填写《涉密信息设备软件安装/卸载申请(审批)表》(见附件M7-007),经信息化管理部门批准后,由计算机安全保密管理员进行安装并填写《涉密信息设备软件安装/卸载记录表》(见附件M7-008)、《外来信息进入涉密信息设备审批表》(见附件M7-009)存放到保密文件柜里备案。
3.涉密信息设备的访问控制详见附件:《信息系统、信息设备和存储设备安全策略》(见附件M7-
010)。
4.涉密信息设备应当按照存储和处理信息的相应密级进行管理和保护;涉密信息设备应该选择
通过国家相关主管部门授权测评机构检测的安全保密产品,并正确配置和使用;对涉密信息设备和存储设备采取身份鉴别、访问控制和安全审计等技术保护措施。
五、涉密存储设备的保密管理规定
1.本章所称存储设备含各类硬盘和固态存储器、移动硬盘、光盘、U盘、软盘、存储卡、记忆
棒、录音带、录像带等。涉密存储设备是指用于存储和处理涉密信息的存储设备。
2.公司对各类存储设备实行登记制度。由公司信息化管理负责人统一对各类存储设备进行登记
编号,并粘贴统一标识。需要确定为涉密存储设备的,由存储设备的使用人填写《涉密存储设备审批表》,经所在部门审核并签署意见后,报分管领导审批,通过后,核发公司统一编制的存储设备编号和密级标识。存储设备应建立完整的台账做到要素完整、账物相符、涉密存储设备实行全生命周期管理。
各种不同标识的存储设备功能区分如下:
1)涉密存储设备,采取绑定或有效的存储技术措施仅在本人涉密信息设备或被授权使用的
涉密信息设备上使用,由计算机安全保密管理员进行集中管理;
2)中间导入光盘,仅用于从中间机向涉密信息设备导入信息;
3)非涉密存储设备,在非涉密信息设备上使用,严禁处理任何形式的涉密信息。
4)涉密外带U盘用于涉密信息带出单位使用,涉密外带U盘应由专人管理,填写外出携带
审批单,经审批后方可带出。涉密外带U盘使用完后,要及时交回,并将所存储的信息清除干净。
3.使用涉密移动存储设备时,由使用人填写《涉密移动存储设备借用登记表》(见附件M7-011),
管理人员在借出前和归还后应及时进行检查。
4.计算机安全保密管理员对现有的非密移动存储设备数量、使用人等情况进行登记统计后,进
行动态化管理。
5.严禁使用无本公司标识的存储设备;涉密存储设备只能在涉密信息设备上使用,严禁涉密存
储设备在与互联网连接的信息设备和非涉密信息设备和和信息系统上使用;严禁涉密存储设备以任何方式接入国际互联网或其它非涉密信息系统、信息设备和存储设备;严禁在低密级信息设备上使用高密级存储设备;非涉密存储设备只能在非涉密信息设备上使用,严禁处理存储任何涉密信息。
6.严禁未登记备案的非涉密存储设备进入涉密工作区域。携带涉密存储设备离开工作区域必须
履行审查审批程序。
7.涉密存储设备离开工作区域应先清除与当次工作无关的涉密信息。
8.严禁违规携带涉密存储设备参加涉外活动。
9.严禁违规携带涉密存储设备出境。确因工作需要携带出境的,并按有关规定向地市级(含)
以上保密工作部门申办《中华人民共和国涉密载体出境许可申请证》。携带出境的涉密存储设备必须采用经保密部门认可的安全保密防范措施,并严加保管,使其始终处于有效控制之下,或交我驻外机构代为保存。
10.涉密存储设备不得降密使用,不得变为非密存储设备。涉密存储设备内存储的涉密信息密
级不得超越存储设备本身的密级。
11.涉密存储设备应由专人负责管理,必须保存于密码文件柜中。发现涉密存储设备遗失,应
当立即向本部门领导和保密管理办公室报告,并配合保密管理办公室组织查处。必要时,可直接向公安、安全机关报告。
12.公司保密管理办公室负责对各部门的涉密存储设备的使用及管理情况进行指导、监督和检
查。
13.保密管理办公室负责指导和监管涉密存储设备的购置、维修、报废和销毁。
六、涉密信息设备和涉密存储设备的维修、报废规定
1.涉密信息设备和涉密存储设备出现故障时,应首先考虑维修,维修时尽量依靠本单位技术力
量完成,如确需送外维修,须到国家保密部门认可的机构进行。公司保密管理办公室负责人应当建立维修日志和档案,并将所有涉密设备维修情况记录在案。
2.涉密信息设备和涉密存储设备的维修必须填写《涉密信息设备和涉密存储设备维修申请表》
(见附件M7-012),经主管部门批准后在现场进行维修,维修后应当进行保密检查。
1)公司应当选择保密行政管理部门批准或授权的维修机构,并与之签订维修合同和保密协
议。外单位人员到现场维修,应当记录外来维修人员的身份信息和联系方式,并告知保密要求,并对其进行保密提醒。维修人员应当签订《外来维修人员保密承诺书》(见附件M7-013)。
2)现场维修时,一般应当由本公司内部维修人员实施,且维修人员应当是涉密人员;需由
合同维修单位人员到现场维修时,应当由内部维修人员或者设备责任人全程旁站陪同。
维修前,应当对涉密信息和存储涉密信息的硬件和固件采取必要的保护措施。禁止维修人员恢复、读取和复制被维修设备中的涉密信息。禁止通过远程维护和远程监控,对涉密信息设备服务器、用户终端进行维修和维护工作。
3)送外维修时,应当由单位保密管理办公室负责人统一送修。送出前应当拆除所有存储过
涉密信息的硬件和固件,并按照保密要求进行管理。维修完成后,应当进行保密检查,安装存储涉密信息的固件和硬件,由责任人办理交接手续后取回使用。
4)设备中存储过涉密信息的硬件和固件不能拆除,或涉密存储硬件和固件发生故障时,如
不能保证安全保密,应当按照涉密载体销毁要求予以销毁;确需要维修时,应当办理审批手续,送至具有涉密信息数据恢复资质的单位进行维修,并由专人负责送取。
3.不再使用或无法使用的涉密信息设备和涉密存储设备,首先填写《涉密信息设备和涉密存储
设备报废审批表》(见附件M7-014),报本部门领导批准,经公司信息化部门审批并进行信息消除后,将需要报废的涉密信息设备和涉密存储设备上缴公司保密管理办公室。严禁将未经安全技术处理的退出使用的涉密信息设备、存储设备赠送、出售、丢弃或者改作其他用途。
4.公司保密管理办公室负责建立销毁涉密信息设备和涉密存储设备清单,填写《涉密信息设备
和涉密存储设备销毁审批表》(见附件M7-015),销毁前,应当将待销毁设备与清单一一核对,经保密工作领导小组审批,送国家保密行政管理部门指定的销毁机构进行销毁,销毁机构出具的销毁证明和清单应当妥善保存。销毁过程应当履行审批、登记手续,将涉密信息设备和涉密存储设备、经办人、采取的方法措施以及最终去向等情况记录在案并归档。
七、便携式信息设备和存储设备的管理规定
1.本章适用于公司所属各部门用于科研、生产、管理等工作的便携式信息设备和存储设备的保
密管理。
2.拟用于处理涉密信息的便携式信息设备和存储设备必须按照本制度第三章所明确的方法及
程序进行申报登记,经审查批准后方可作为涉密信息设备和存储设备使用。
3.凡未按照本制度所明确的方法及程序进行申报登记,以及申报登记未获批准的便携式信息设
备和存储设备均属非涉密信息设备或非密存储设备,严禁用于处理涉密信息。
4.根据工作需要,可配备专供外出携带的涉密信息设备和存储设备,并由专人集中进行管理维
护。计算机安全保密管理员负责专供外出携带的涉密信息设备和涉密存储设备的集中管理。
一般不得在单位内使用(如有特殊使用需求,或设备不够用时,经业务主管负责人和保密管理办公室负责人批准,可相互借用,年度不超过3次)便携式涉密信息设备和涉密存储设备的使用、管理必须严格执行《涉密信息设备和存储设备保密管理规定》,此外还必须做到:1)便携式涉密信息设备和涉密存储设备必须专人管理,责任人对信息设备的保密及安全管
理负责;
2)涉密便携式信息设备与涉密存储设备结合使用,涉密便携式信息设备硬盘内禁止存储秘
密信息;
3)涉密便携式信息设备及配套使用的涉密存储设备必须明确相对固定的使用和存放场所,
不使用时要锁入密码文件柜或密码保险柜;
4)便携式涉密信息设备和涉密存储设备禁止任何无线设备的安装和使用。
5.不得携带未采取安全防范措施的便携式涉密信息设备和涉密存储设备外出使用。未经审批,
严禁违规携带涉密信息设备和涉密存储设备离开工作场所或公司区域。确因工作需要,须将便携式涉密信息设备和涉密存储设备带出公司区域的,须按下列程序办理相关手续:
1)携带便携式涉密信息设备和涉密存储设备外出时,借用人需填写《携带涉密便携式信息
设备或存储设备外出审批表》(见附件M7-016),由业务部门领导审批后,向负责集
中管理的部门借出使用;
2)管理人员应依据审批结果对涉密信息设备或涉密存储设备应进行必要的信息清除处理,
以确保外出时涉密信息设备和存储设备中仅存有与本次外出工作有关的涉密信息。
3)管理人员应对借用人进行提醒,填写《携带涉密信息设备或涉密存储设备外出提醒书》
(见附件M7-017),借用人签字。
4)外出期间,借用人员对涉密信息设备和涉密存储设备负有保密管理责任。携带外出的设
备应当配备使用记录本,外出使用期间,对设备使用人、开关机时间、外部设备接入、接入外单位涉密信息系统或者其他涉密信息设备连接、导入导出等情况进行记录。导出的涉密信息应当做到安全可控,存储涉密信息的载体按保密要求管理。如果外出前未批准允许导入导出,则禁止在外出期间进行导入导出操作。外出期间,涉密信息设备或涉密存储设备连接投影仪等外部设备的,也应当记录。
5)外出后归还的涉密信息设备和涉密存储设备,应当由借用人负责信息清除,以确保外出
时,涉密信息设备和涉密存储设备中仅存有与本次外出工作有关的涉密信息。借用人清除时所采用的技术、设备和措施应当符合国家有关保密标准要求。信息清除只允许对硬盘的数据区进行操作,禁止清除系统区以及各类系统日志和安全产品日志文件。
6)管理人员和借用人应共同对归还的涉密信息设备和涉密存储设备进行安全保密检查并在
《携带涉密便携式信息设备或存储设备外出归还检查表》(见附件M7-018)中填写检
查记录,两人应同时签字确认记录情况。
6.不得携带便携式涉密信息设备和涉密存储设备参加涉外活动。
7.严禁违规携带涉密便携式信息设备出境。
8.经批准携带便携式涉密信息设备和涉密存储设备外出的工作人员应做到:
1)不在信息设备和存储设备内存储任何形式的秘密信息;
2)将涉密便携式信息设备与存储秘密信息的存储设备分开保管,并分别采取相应的安全措
施,确保涉密信息的安全;
3)不携带便携式涉密信息设备和涉密存储设备出入商场、公园、歌舞厅等无安全保障的公
共场所;
4)发生便携式涉密信息设备和涉密存储设备丢失或被盗事件,要及时向当地公安机关报
案,并报告所属部门及公司保密管理办公室;
八、信息交换及中间机的管理
1.中间机作为单向导入设备,不允许处理与信息导入无关的业务工作,禁止进行除单向导入以
外的任何导出操作。分为非涉密中间机和涉密中间机。
2.非密中间机用于将国际互联网、公共信息网络和其它非涉密信息系统的信息导入涉密信息设
备,包括信息设备病毒与恶意代码样本库、补丁程序、应用程序、数据和其它相关信息等。
3.涉密中间机用于外部涉密信息的导入。涉密中间机的密级应当根据导入信息的最高密级确定。
4.中间机应当指定专人管理,控制使用范围,并安装信息设备病毒与恶意代码防护产品,使用
时,责任人应填写《中间机使用登记表》(见附件M7-019)经信息化管理负责人批准后进行导入操作。
5.通过非密中间机导入非涉密信息的具体步骤如下:
6.非涉密信息需要导入到涉密信息设备时,应当填写审批单,注明信息的名称、来源、用途等,
经业务部门和保密管理办公室负责人批准后将信息导入到非涉密中间机,拔除导入信息存储设备,进行信息设备病毒与恶意代码、间谍软件、木马程序的查杀,然后将信息刻录到一次性写入光盘,用光盘将信息导入到涉密信息设备中,记录导入过程,审批单、操作记录和光盘应当保存完好。
7.上述过程不能逆向操作,决不可通过上述方式传递涉密信息。
8.涉密信息设备中的非涉密信息需要对外交换时,一般应当输出纸介质文件。确因工作需要使
用电子文件输出时,应当采取刻录一次性写入光盘的方式进行。非涉密信息需要由涉密信息设备导出时,应当填写审批单,经管理部门批准后,到指定的具有输出权限的涉密信息设备上,由管理人员刻录一次性写入光盘,并对信息内容进行检查,需要人员签字领取光盘。输出完成后应当做好记录,关闭数据接口。
9.涉密信息导入:
1)有外部涉密信息需要导入涉密信息设备时,应当由承办人填写《外来信息进入涉密信息
设备保密审批表》,经业务部门和运维机构批准后,采用下列方式导入:
①外来涉密信息的载体为“三合一”涉密移动存储设备(红盘),且适合接入本单位导入
装置的,可将其接入“三合一”单向导入装置(红口)。
②外来涉密信息的载体为涉密存储设备(非“三合一”涉密移动存储设备),具有明确的
密级标志、编号和责任人时,将承载涉密信息的光盘接入涉密中间机,进行计算机病
毒、木马程序、恶意代码和间谍软件的查杀后,可以直接使用该光盘将涉密信息导入
涉密信息系统和涉密信息设备;也可以将涉密信息从涉密中间机上拷贝到本单位“三
合一”涉密移动存储设备中,再导入涉密信息系统和涉密信息设备。记录导入过程,
涉密光盘应当按照保密要求进行管理。
③外来涉密信息的载体不能判定为涉密存储设备(非“三合一”涉密移动存储设备,不
具有明确的密级标志、编号和责任人)时,应当退还提供单位,并对其进行保密警示
提醒。
2)单位内部单台涉密信息设备之间,进行信息交换时应当由使用人进行填写《涉密专用移
动存储介质使用登记表》(见附件M7-020),经本部门负责人批准后通过“三合一”
单向导入装置进行信息交换。
10.涉密信息设备导出涉密信息时,由承办人填写《涉密载体制作审批单》,经本部门领导审批
后,由信息管理员在公司涉密集中输出机进行操作,卸载移动光盘刻录装置,或关闭数据接口。导出的纸质涉密文件应当有不可篡改的标志,导出的涉密光盘应当制作光盘封面,封面上应当有不可篡改的标志,保证导出信息的唯一可核查性。任何部门和个人发现涉密信息设备存储和处理的国家秘密信息泄漏,应及时采取补救措施,并报告公司保密工作领导小组。
11.涉密信息设备导出非密信息时,由承办人填写《涉密信息设备导出非密信息登记表》(见附
件M7-021),经本部门领导审批后,由信息管理员进行操作。涉密信息设备中的非涉密信息需要导出时,一般应当导出到纸质介质。确因工作需要将信息导出到存储介质时,应当采取刻录一次性光盘的方式进行。不得导出到其他移动存储设备。应当在导出点指定专人负责管理和使用。导出完成后应当作好记录,非涉密信息导出后应由保密管理办公室对信息内容进行非涉密审查,确认无涉密信息后,方可领用以及对外传递和发布。
九、非密信息设备的管理
1.本规定所称非密信息设备是指公司所属各部门按照公司规定明确的程序,经过申报、登记,
并经公司保密管理办公室负责人批准,用于处理国家非涉密信息的信息设备。非密信息设备
包括内部信息设备和互联网信息设备。
2.公司所有非密信息设备与涉密信息设备实行物理隔离。禁止接入涉密信息设备和涉密存储设
备,禁止存储、处理涉密信息。
3.在公司非密信息设备禁止编辑导入以及发布涉密信息。
4.公司内部信息设备必须安装正版杀毒软件,以保护内部信息系统及内部信息设备安全,防范
信息设备病毒的侵袭,并及时更新病毒库和恶意代码样本库。
5.公司员工使用内部信息设备办公时,发现病毒、具有潜在危险的程序或被非法侵入、系统被
修改破坏等现象时,应及时报告并由安全保密管理员进行处理。
6.员工对于内部信息系统的设备信息、口令及联网方式、技术等要严格保密,不得对外泄露、
转让。
7.通过更改系统硬件设置,禁用USB端口。禁止员工个人信息设备及外部信息设备接入内部信
息系统。
8.设置系统登录密码,建议密码长度8位以上,密码应包含字母和数字,更换周期为30天,
并设置屏幕保护密码,时间间隔10分钟。
9.单位应当选择依法取得经营许可证的互联网接入服务提供商,采取有线局域网的方式接入互
联网。建立互联网接入审批和登记制度,由保密管理办公室负责人填写《互联网接入审批表》(端口接入数量、位置、网络设备(路由、网关、交换机)、服务器、终端)(见附件M7-022),经保密工作领导小组批准,建立并登记。互联网接入口不得超过2个。
10.集中使用的互联网接入终端应当指定专人负责管理和维护并对使用情况和信息的导入导出
进行监控和记录。分散使用的互联网接入终端也应当明确责任人,责任人对互联网接入终端使用和信息导入导出情况负责管理。
11.应当采取技术措施对互联网接入终端的使用情况进行监控。使用互联网应当采用实名制方
式登录,并通过上网行为监控审计系统,对上网时间、浏览网页、发送邮件、下载信息等进行监控和记录。监控和记录的信息应当至少保存100天,在保存期内记录不得修改或者删除。
12.使用外网信息设备应遵循“谁上网,谁负责”的原则,使用者应严格遵守公司上网规定。
13.上网时如发现可疑木马程序或病毒,应及时向公司安全保密管理员报告并及时处理。
14.严格禁止未经批准的信息设备与互联网连接,上网信息设备更换时,必须经公司保密管理
办公室负责人批准后方可进行。
15.除公司批准的连接互联网的输出设备外,严禁将传真机、打印机等各种输出设备与互联网
信息设备连接,以防止公司内部信息经由输出设备通过互联网信息设备泄密。
十、信息设备病毒防护管理规定
1.公司所有信息设备必须安装杀毒软件,任何使用人员不得擅自删除、更改或关闭杀毒软件。
2.对于上国际互联网的信息设备,杀毒软件应处于实时监控状态;对于公司非密信息设备、涉
密信息设备,由信息设备管理员每两周对信息设备病毒与恶意代码防护产品特征库进行查验,及时清除隔离区和未被删除的病毒。应当及时更新信息设备病毒与恶意代码样本库。
3.所有信息设备使用人员在信息设备更新杀毒软件后,需要及时对信息设备硬盘及使用的存储
设备进行病毒扫描工作,在扫描过程中如发现有病毒,应立即告知安全保密管理员,并经杀毒后,方可继续使用。
4.使用上网信息设备下载资料后,须进行查杀病毒操作,在确认无病毒后,方可拷贝。下载的
资料中发现来历不明的文件,及时报告安全保密管理员处理。
十一、信息设备管理人员安全保密管理制度
1.信息设备管理人员的主要职责:
1)负责制定公司信息系统、信息设备和存储设备建设及运行中重要技术问题的论证;
2)负责安全保密设备的选型、配备和管理;
3)负责系统(网络)安全运行的维修,安全制度的制定;
4)落实安全、保密技术防护措施,采用各种先进技术,保障公司信息系统、信息设备和存
储设备(网络)的运行安全和信息安全;
5)负责为信息系统、信息设备和存储设备用户提供技术咨询和技术服务,并开展有关培
训;
6)配合公司保密工作领导小组进行信息系统、信息设备和存储设备的安全保密检查。
2.公司信息设备操作人员应履行以下安全保密职责:
1)遵守安全保密操作规程,严格执行操作程序;
2)严禁使用来历不明的软件和数据,维护信息设备运行安全;
3)严格遵守保密规定,未经批准,严禁下载、打印、软盘拷贝、光盘刻录和复制、传递涉
密信息;
4)涉密信息设备必须使用公司统一配置标有密级的U盘
5)公司人事行政部协助信息设备管理人员对信息系统、信息设备和存储设备操作人员进行
业务和保密培训。
十二、本规定由保密管理办公室负责解释。
十三、本规定自下发之日起执行。
附件M7-001
信息设备台账
部门:
制表人/日期:审核人/日期:
注:1.此表一式一份,由计算机安全保密管理员存档备案;2.信息设备:各类台式计算机、便携式计算机、打印机、扫描仪等;3.操作系统名称/位数/版本需写全称;4.使用情况:在用、停用、归库、维修、报废;
存储设备台账
部门:
制表人/日期:审核人/日期:
注:1.此表一式一份,由计算机安全保密管理员存档备案;2.存储设备:移动硬盘、光盘、U盘等;3.非密光盘可不建账,但操作系统安装、软件安装、病毒库升级、清除/检查工具等应当上账。
安全保密产品台账
制表人/日期:审核人/日期:
注:1.此表一式一份,由计算机安全保密管理员存档备案;2.安全保密产品:计算机病毒查杀工具、身份鉴别设备(IC卡、USB Key)、单向导入、访问控制、监控审计、干扰滤波、漏洞扫描等;
涉密信息设备审批表
涉密存储设备审批表
涉密信息设备和涉密存储设备变更审批表
病毒/补丁/恶意代码防护产品更新记录表
信息设备编号:信息设备名称:
信息系统运维管理制度 为了规公司信息系统的管理维护,确保系统硬、软件稳定和安全运行,结合公司实际,制定本制度。制度包括信息机房管理、硬件管理、ERP系统应用管理、信息系统变更管理、信息系统应用控制。 一、信息机房管理 1、硬件配备及巡检 1.1、格做好防鼠、防盗、UPS、恒温、恒湿等工作。 1.2、定期对机房硬件设备设施进行巡检,以保证其正常运行。 1.3、建立相关的出入登记、设备机历登记、设备巡检、重大故障等记录,并认真填写。 2、出入管理 2.1、禁非机房工作人员进入机房,特殊情况需经人事总务部批准并进行登记后可进入。 2.2、进入机房人员应遵守机房管理制度,不乱动机房设备。 2.3、进入机房人员不得携带任易燃、易爆、腐蚀性、强电磁、辐射性、流体物质等对设备正常运行构成威胁的物品。 3、安全管理 3.1、IT操作人员随时监控中心设备运行状况,发现异常情况应立即按照应急预案规程进行操作,并及时上报和详细记录。
3.2、未经批准,不得在机房设备上随意编写、修改、更换各类软件系统及更改设备参数配置。 3.3、软件系统的维护、增删、配置的更改,必须按规定详细记入相关记录,并对各类记录和档案整理存档。 3.4、机房工作人员应恪守保密制度,不得擅自泄露信息资料与数据。 3.5、机房禁吸烟、喝水、吃食物、嬉戏和进行剧烈运动,保持机房安静。 3.6、禁在机房计算机设备上做与工作无关的事情(如聊天、玩游戏),对外来存储设备(如U盘、移动硬盘等),做到先杀病毒后使用。 3.7、机房禁乱拉接电源,应不定期对机房设置的报警、恒温设备进行检查,保障机房安全。 4、操作管理 4.1、从机房离开时,必须关闭显示器,关好门窗,关闭电灯,锁好机房门。 4.2、每对机房环境进行清洁,以保持机房整洁;每季度进行一次大清扫,对机器设备检查与除尘。 4.3、格做好各种数据、文件的备份工作。服务器数据库要定期进行双备份,并格实行异地存放、专人保管。所有重要文档定期整理装订,专人保管,以备后查。 5、运行管理 5.1、机房的各类计算机设备,未经负责人批准,不得随意编写、修改、更换各类软件系统及更改设备参数配置。
国企保密工作管理制度 令狐采学 1 总则 1.1 保守国家秘密是关系到国家安全和利益的大事。保守企业商业秘密是关系到企业的生存和发展。为增强各单位(部门)和全体员工的保密观念,更好地贯彻国家保密法,为保障改革开放和企业发展发挥应有的作用,特制订本制度。 1.2 在党委统一领导下,公司成立保密委员会,保密委员会的工作机构设在党委工作部,负责日常工作。 1.3 公司密级分为三级,即绝密、机密、秘密。 1.4 保密工作要贯彻“预防为主,突出重点,既能保守国家机密和企业商业秘密又便于生产经营”的方针。 2 管理职责 2.1 贯彻执行国家的保密法律、法规和公司保密制度及上级主管部门的工作部署。 2.2 确定公司保密重点和抓好公司保密工作法规文件及规章制度的实施和贯彻。 2.3 对全体员工及其出国人员进行保密教育,防止失、泄密事
件的发生。 2.4 负责对保密工作的安排、指导和检查,对工作中的问题及时采取措施,总结经验。 2.5 负责对失、泄密事件的调查、处理,严重事件报上级主管部门处理。 3 保密工作的原则 3.1 确保党和国家机密的安全,为经济工作服务。 3.2 保护企业的知识产权和商业秘密,为公司生产经营服务。 3.3 严格划分保密范围,严格划分密级。 3.4 严格管理机密事项。 4 保密工作的范围 4.1 上级下达或公司内形成的带有密级字样及指定阅读范围的文件、电报资料、党内刊物、科技情报或其他有保密要求的事项。 4.2 公司内控数据、统计报表及文件资料。 4.3 属于国际、国内先进水平的新产品、新技术、新工艺、新材料和重大科学技术成果及相应的数据、报告、论文等。 4.4 党、政重要会议的记录,重要的印信及技术、人事、文件、保卫、财务档案。
信息系统建设管理制度 一章总则 第一条为加快公司信息系统建设步伐,规范信息系统工程项目建设安全管理,提升信息系统建设和管理水平,保障信息系统工程项目建设安全,特制定本规范。 第二条本规范主要对XX公司(以下简称“公司”)信息系统建设过程提出安全管理规范。保证安全运行必须依靠强有力的安全技术,同时更要有全面动态的安全策略和良好的内部管理机制,本规范包括五个部分: 1)项目建设安全管理的总体要求:明确项目建设安全管理的目标和原则; 2)项目规划安全管理:对信息化项目建设各个环节的规划提出安全管理要求,确定各个环节的安全需求、目标和建设方案; 3)方案论证和审批安全管理:由安全管理部门组织行内外专家对项目建设安全方案进行论证,确保安全方案的合理性、有效性和可行性。标明参加项目建设的安全管理和技术人员及责任,并按规定安全内容和审批程序进行审批; 4)项目实施方案和实施过程安全管理:包括确定项目实施的阶段的安全管理目标和实施办法,并完成项目安全专用产品的确定、非安全产品安全性的确定等; 5)项目投产与验收安全管理:制定项目安全测评与验收方法、项目投产的安全管理规范,以及相关依据。 第三条规范性引用文件 下列文件中的条款通过本规范的引用而成为本规范的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本规范,但鼓励研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本规范。 GB/T 5271.8-2001信息技术词汇第8部分安全 第四条术语和定义 本规范引用GB/T 5271.8-2001中的术语和定义,还采用了以下术语和定义:
信息系统帐号管理制度 第一节总则 第一条为加强用户帐号管理,规范公司信息系统用户帐号的使用,确保用户帐号的安全性,特制定本制度。 第二条本制度中系统帐号是指应用层面及系统层面(操作系统、数据库、防火墙及其它网络设备)的用户帐号。 第三条用户帐号申请、审批及设置由不同人员负责。 第四条系统拥有部门负责建立《岗位权限对照表》(附件六)。 第五条本制度适用于公司总部和各分、子公司(含郑州研究院)。 第二节普通帐号管理 第六条申请人使用统一而规范的《帐号/权限申请表》(附件七)提出用户帐号创建、修改、删除/禁用等申请。 第七条帐号申请人所属部门负责人及系统拥有部门负责人根据《岗位权限对照表》对应用层面的普通用户帐号申请进行审批。 第八条信息部负责人根据《岗位权限对照表》对系统层面的普通用户帐号申请进行审批。 第九条帐号管理人员建立各种帐号的文档记录,记录用户帐号的相关信息,并在帐号变动时同时更新此记录,具体内容见《用户帐号记录》(附 件八)。具体流程参见《普通帐号管理流程》(附件一)。 第三节特权帐号和超级用户帐号管理 第十条特权帐号指在系统中有专用权限的帐号,如备份帐号、权限管理帐号、系统维护帐号等。超级用户帐号指系统中最高权限帐号,如root 等管理员帐号。
号。 第十二条信息部每季度查看系统日志,监督特权帐号和超级用户帐号使用情况。 第十三条尽量避免特权帐号和超级用户帐号的临时使用,确需使用时必须履行正规的申请及审批流程,并保留相应的文档。 第十四条临时使用超级用户帐号必须有监督人员在场记录其工作内容。 第十五条超级用户帐号临时使用完毕后,帐号管理人员立即更改帐号密码。 具体流程参见《特权帐号和超级用户帐号管理流程》(附件二)。 第四节临时帐号管理 第十六条使用临时帐号时(如内外部审计人员、临时岗位调动人员),须填写统一的《帐号/权限申请表》(附件七)。 第十七条帐号申请人所属部门负责人及系统拥有部门负责人根据《岗位权限对照表》对应用层面的临时用户帐号申请进行审批。 第十八条信息部负责人根据《岗位权限对照表》对系统层面的临时用户帐号申请进行审批。 第十九条帐号管理人员负责临时帐号的建立和记录。 第二十条临时帐号使用完毕后,申请人及时通知帐号管理人员注销临时帐号。 具体流程参见《临时访问帐号管理流程》(附件三)。 第五节紧急帐号管理 第二十一条根据紧急事件的等级建立相应权限的紧急帐号,专门处理紧急事件。第二十二条帐号管理人员负责紧急帐号的下发和记录。 第二十三条紧急帐号使用人员必须在事件处理完毕后补办相关手续。 第二十四条紧急帐号使用完毕后,紧急帐号使用人员及时通知帐号管理人员禁
信息系统、信息设备和保密设施设备管理制度 1.信息系统、信息设备和保密设施设备管理总则 1)为了加强公司涉密计算机信息系统、信息设备的保密管理,防止和杜绝失泄密事件的发生,确保国家秘密安全,根据《中华人民共和国保守国家秘密法》、《保密工作概论》、《保密法规汇编》等国家有关规定,结合公司实际,特制定本制度。 2)公司涉密计算机信息系统为单机涉密计算机信息系统,保密管理实行“控制源头、归口管理、逐级负责、确保安全”的原则。 3)本规定适用于使用公司涉密计算机信息系统的部门和个人。 4)本制度所称涉密计算机是指公司所属各部门按照本规定明确的程序,经过申报、登记、审定,并在公司保密办公室备案的计算机。信息系统是由计算机及其配套设备、设施构成,按照一定的应用目标和规则存储、处理、传输信息的系统或网络。信息设备是指计算机及其存储介质、打印机、传真机、复印机、扫描仪、照相机、摄像机等具有信息存储和处理功能的设备。 2.责任分工 1)公司技术部经理负责涉密信息系统、信息设备的保密安全管理工作。涉密信息系统、信息设备的使用部门指定专人负责本部门计算机信息系统安全保密管理,对本部门涉密信息系统的安全保密负主要责任。 2)公司保密办公室负责公司涉密信息系统、信息设备安全保密工作的指导、协调、监督、检查以及对失泄密事件的查处。 3)公司保密办公室设密钥管理员负责公司涉密信息系统、信息设备内部密码(密钥)的生成、分配和保密管理工作。 4)公司各涉密部门需设系统管理员、安全保密员,按有关保密规定和要求负责公司涉密计算机的管理及其设备的日常维护和维修工作,具体落实有关涉密计算机、信息设备的安全保密管理规定和措施。 3.涉密计算机的确定及变更 1)公司涉密计算机实行申报登记制度。凡涉及国家秘密的单位拟用于处理国家秘密信息的计算机、涉密信息系统必须经过申报、登记、审定,并在公司保密
1总则 1.1根据中央和浙江省、国机集团有关保密工作的指示和当前有关保密工作的形势 和任务,结合公司本部的实际情况,制订保密管理规定。 2上级来文传阅管理 2.1上级来文登记、传阅由综合管理部统一归口管理,各职能部门应予配合。2.2每年六月底前由综合管理部根据来文性质归类并将归档文件送档案室归档。要 销毁的文件经审查后由浙江省保密局负责销毁。 2.3绝密级文件当天阅后收回,必须存放在加锁的保险柜内。 2.4秘密等级以上的文件资料,只能在办公室阅看。 2.5秘密等级以上的内部资料、图书、简报、领导讲话材料等,必须专人管理、登 记、签收、收回销毁,不准作为废纸处理。 2.6秘密等级以上的文件资料传阅登记时,应与非秘密文件分开登记。 2.7秘密等级以上的文件资料不得上传至互联网。充分认识互联网失泄密问题的严 重危害,做到涉密信息不上网,上网信息不涉密。 2.8公司设立机要室,每天由文书专员专机、专线上省政府网收取文件。并严格杜 绝此台电脑上互联网。 3公司工作秘密的管理
3.1工作秘密文件范围: 3.1.1公司领导班子会、公司办公会、公司本部干部(扩大)会等会议记录。3.1.2人事档案、干部考察材料、出国政审材料等。 3.1.3违法违纪问题的举报揭发材料和立案查处违法违纪问题的材料等。 3.1.4生产统计报表、财务统计、存款帐号等。 3.1.5文书档案。 3.1.6涉及有关国家秘密的文书、资料。 3.1.7其他涉及公司重要决策和有关工作秘密的重要文件等。 3.2公司工作秘密文书资料的借用、查阅、复印,必须经部门负责人和分管部门的 公司领导批准,未经批准不准随意把公司工作秘密文书资料外借或者复印。 3.3公司行政和党委系统形成的红头文件,作为内部文件管理,各部门要指定专人 保管,定期清理。已经过期的文件,经审查后由浙江省保密局负责销毁,不准作为废纸处理。 4商业秘密的管理 4.1商业秘密范围: 4.1.1经营信息和经营网络。 4.1.2招投标书和标的。 4.1.3 各种合同书和协议书。
信息系统管理制度 第一章总则 第一条为了保护公司计算机信息系统安全,规范信息系统管理,合理利用信息系统资源,推进公司信息化建设,促进计算机的应用和发展,保障公司信息系统的正常运行,充分发挥信息系统在企业管理中的作用,更好地为公司生产经营服务,根据《中华人民共和国计算机信息系统安全保护条例》及有关法律、法规,结合公司实际情况,制定本制度。 第二条本制度所称的信息系统,是指由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。 第三条信息系统的安全保护应当保障计算机及其相关的和配套的设备、设施(含网络)的安全,运行环境的安全,应当保障信息的安全,保障计算机功能的正常发挥,保障应用系统的正常运行,以维护计算机信息系统的安全运行。 第二章硬件 第四条按照谁使用谁负责的原则,落实责任人,负责保管所用的网络设备和线路的完好。两人以上的用户,必须明确一人负责。 第五条计算机设备的日常维护由各业务部门、子公司、分支机构负责。计算机设备和软件发生故障或异常情况,由公司网管统一进行处理。 第六条按照作息时间准时开关机,及时处理有关文件,严禁使用公司计算机玩游戏、听音乐、看影碟等。 第七条计算机操作人员应保持计算机环境清洁,下班之前退出所有程序关闭计算机,切断插板电源后方可下班离开。 第八条各负责人应对计算机定时杀毒,对外来不明存储设备,必须经过严格的病毒检测,方可使用。 第三章软件及账号管理制度
第九条各业务部门、分公司配备的计算机及网络设备根据使用者落实到人,各责任人对于计算机系统必须设置账号密码,严格控制非使用人员使用计算机,使用软件系统必需经公司批准,使用分配的账号,并设置密码后方可使用,网络管理员根据企业制度的账号管理规则对用户账号实行管理,并对用户账号的安全和保密负责。 第十条责任人对自己的计算机要经常进行病毒检测与杀毒。严禁外单位人员操作公司信息系统,严禁使用外来存储设备,以防泄密和病毒侵入。 第十一条操作计算机时不得使用一些危险性的命令,严禁分区及格式化硬盘等操作。 第十二条计算机操作人员不得随意在各终端及局域网上安装任何与工作 无关的软件程序,但经审批通过的管理软件除外。 第四章网络和互联网访问 第十三条未经网管批准,任何人不得改变网络拓扑结构、网络设备布置、服务器、路由器配置和网络参数,外部电脑未经网管允许, 常州千红生化制药股份有限公司 信息系统管理制度不得接入公司网络。 第十四条网络使用划分为五级安全保护等级,联接局域网内的任何一台计算机按照确定的等级进行使用,不得随意更改,用途须与工作有关,使用互联网必须遵守国家相关法律法规,否则其所带来的后果由用户责任人承担。 第一级:办公电脑可以在网络监控下,使用互联网,访问外部网站,能够使用外部即时通信工具。 第二级:办公电脑可以在网络监控下,使用互联网,访问外部网站,只能访问指定的网站,不能使用外部即时通信工具。 第三级:办公电脑只能在公司局域网内联网,使用公司内部的网络资源,不能够联接互联网。 第四级:办公电脑只能在本部门或分公司网段联网,可以使用公司统一资源,不能访问跨部门网络资源。
国企保密工作管理制度标准化文件发布号:(9312-EUATWW-MWUB-WUNN-INNUL-DQQTY-
国企保密工作管理制度 1 总则 保守国家秘密是关系到国家安全和利益的大事。保守企业商业秘密是关系到企业的生存和发展。为增强各单位(部门)和全体员工的保密观念,更好地贯彻国家保密法,为保障改革开放和企业发展发挥应有的作用,特制订本制度。 在党委统一领导下,公司成立保密委员会,保密委员会的工作机构设在党委工作部,负责日常工作。 公司密级分为三级,即绝密、机密、秘密。 保密工作要贯彻“预防为主,突出重点,既能保守国家机密和企业商业秘密又便于生产经营”的方针。 2 管理职责 贯彻执行国家的保密法律、法规和公司保密制度及上级主管部门的工作部署。 确定公司保密重点和抓好公司保密工作法规文件及规章制度的实施和贯彻。 对全体员工及其出国人员进行保密教育,防止失、泄密事件的发生。 负责对保密工作的安排、指导和检查,对工作中的问题及时采取措施,总结经验。负责对失、泄密事件的调查、处理,严重事件报上级主管部门处理。 3 保密工作的原则 确保党和国家机密的安全,为经济工作服务。 保护企业的知识产权和商业秘密,为公司生产经营服务。 严格划分保密范围,严格划分密级。 严格管理机密事项。 4 保密工作的范围 上级下达或公司内形成的带有密级字样及指定阅读范围的文件、电报资料、党内刊物、科技情报或其他有保密要求的事项。 公司内控数据、统计报表及文件资料。 属于国际、国内先进水平的新产品、新技术、新工艺、新材料和重大科学技术成果及相应的数据、报告、论文等。 党、政重要会议的记录,重要的印信及技术、人事、文件、保卫、财务档案。 外事接待工作的接待人员、参观线路、介绍材料、会议记录及双方签订的各种协议、合同等。
信息系统运维管理制度 为了规范公司信息系统的管理维护,确保系统硬、软件稳定、安全运行,结合公司实际,制定本制度。制度包括信息机房管理、服务器管理、信息系统应用管理、信息系统变更管理、信息系统应用控制。 一、信息机房管理 1、硬件配备及巡检 1.1、各单位信息机房按规定配备防静电地板、UPS、恒温设备、温湿度感应器、消防设备、防鼠设施等相关基础设施。 1.2、各单位机房管理人员应定期(如每月或每季度)对机房硬件设备设施进行巡检,以保证其有效性。 1.3、各单位机房应建立相关的出入登记、设备机历登记、设备巡检、重大故障等记录,并认真填写。 2、出入管理 2.1、严禁非机房工作人员进入机房,特殊情况需经信息中心批准,并认真填写登记表后方可进入。 2.2、进入机房人员应遵守机房管理制度,更换专用工作鞋。 2.3、进入机房人员不得携带任何易燃、易爆、腐蚀性、强电磁、辐射性、流体物质等对设备正常运行构成威胁的物品。
3、安全管理 3.1、操作人员随时监控中心设备运行状况,发现异常情况应立即按照应急预案规程进行操作,并及时上报和详细记录。 3.2、未经批准,不得在机房设备上随意编写、修改、更换各类软件系统及更改设备参数配置; 3.3、软件系统的维护、增删、配置的更改,必须按规定详细记入相关记录,并对各类记录和档案整理存档。 3.4、机房工作人员应恪守保密制度,不得擅自泄露信息资料与数据。 3.5、机房内严禁吸烟、喝水、吃食物、嬉戏和进行剧烈运动,保持机房安静。 3.6、严禁在机房计算机设备上做与工作无关的事情(如聊天、玩游戏),对外来存储设备(如U盘、移动硬盘等),做到先杀病毒后使用。 3.7、机房严禁乱拉接电源,应不定期对机房内设置的消防器材、烟雾报警、恒温设备进行检查,保障机房安全。 4、操作管理 4.1、机房的工作人员不得擅自脱岗,遇特殊情况离开时,需经机房负责人同意方可离开。 4.2、机房工作人员在有公务离开岗位时,必须关闭显示器;离开岗位1小时以上,必须关闭主机及供电电源。 4.3、每周对机房环境进行清洁,以保持机房整洁;每季度进行一次大清扫,对机器设备检查与除尘。
神华乌海能源公司机电设备管理信息系统 运行管理办法 1 总则 1.1为进一步提高机电设备管理水平,公司统一部署实施了机电设备管理信息系统,为了保证机电设备管理信息系统的正常运行,特制定本办法。 1.2本办法适用范围:乌海能源公司实施机电设备管理信息系统的使用单位和相关业务管理单位。 1.3本办法为原则性纲领文件,项目实施过程中已制定的具体技术管理制度为本办法的附件,各单位应严格按照相关附件规定进行工作。 2 目的 2.1公司各单位所有的机电设备台帐,要按照规则要求全部录入本系统中管理,机电设备相关的图纸、技术文档也应制作成电子版本,关联至系统本设备台帐项下。机电设备台帐和图纸资料应定期维护、更新,确保信息真实、完整。 2.2公司各单位机电设备维修、管理人员的简历,要按照规则要求全部录入本系统中管理,员工信息应定期维护、更新,确保信息真实、完整。 2.3公司各单位应改变过去的事后维修为以预防为主的维修策略,机电设备应按照规则编制建立预防性维护体系,定期工作、点巡检、润滑等作业程序应严格按照相关法律法规、厂家要求、实际使用经验编制,合理制定作业计划,确保作业人员按要求执行。 2.4公司各单位机电设备的隐患管理到维修处理应形成一个完整的闭环管理模式。发现隐患应及时登录本系统中,需要处理的隐患应及时开出工单,按照设定的流程审核批准后,维修人员凭批准工单开始维修工作。维修结束后应由点检人员验收合格后关闭工单,工单关闭后隐患才可认为已消除。 3 职责 3.1 机电动力部职责: 3.1.1机电动力部是公司机电设备管理信息系统的业务主管部门,应设 专人负责监控和维护机电设备管理信息系统的日常运行。
XX局信息化系统管理制度 第一章总则 第一条随着大集中系统应用推广、随着我局信息化建设的推进及计算机装备水平的提高,为加强计算机、网络系统运行的管理工作和税收信息化建设工作,规范计算机应用,保障网络系统和业务数据的稳定、高效、安全运行,提高科技管税水平,促进信息化建设稳步发展。原有《XX市地方税务局计算机系统管理办法》已不能完全适应现信息化建设管理需要。结合我局的业务需求和实际情况,根据《计算机保护条例》、《中华人民共和国计算机信息系统安全保护条例》、《国家税务局总局税务系统电子数据处理管理办法(试行)》、《昆明市计算机信息系统安全监察暂行办法》、《昆明市地方税务局计算机管理试行办法》、《XX地方税务局信息化安全管理制度》等有关法律法规及管理制度。现将原来《办法》修订为《XX市地方税务局信息化系统管理制度》。 第二条XX市地方税务局信息化系统的管理工作,必须按照国家的法律和国家税务总局制定的“统一领导、统一规划、统一标准、分步实施”的原则,在省、市地税局的领导下进行。 第三条信息化系统管理含盖计算机系统运行管理、网络安全管理、业务电子数据管理、设备及耗材管理,等四个方面。 第四条各科室、分局、稽查局(以下统称各部门)。各部门的计算机运用工作应遵守国家有关法律法规和省、市地方税务局有关规定,在局计算机管理部门授权范围内按照本办法规范运作。 页脚内容1
第五条我局设立计算机管理部门负责全局的计算机系统管理工作,研究制定相关的工作规划、措施,监督、检查计算机系统的使用、运行情况,传达、协调、制定有关技术和应用标准。使用计算机的各部门,负责相关业务应用程序的操作、日常维护及安全保密工作。及时向计算机管理部门报告应用中发现的有关问题。 第六条XX市地税局计算机管理部门内设专职系统维护员职位,负责软件、硬件、数据库和业务系统管理。计算机系统操作员是指经局计算机管理部门授权,在授权范围内使用我局计算机系统相关功能的操作人员。 第七条本办法适用于XX市地税局使用计算机的各部门和全体干部职工(含协管员)。 第二章计算机系统运行管理 第八条根据省、市地方税务局的规定与要求设置计算机管理部门、配备专职系统维护员负责全局的信息化建设和计算机系统维护、管理工作;各部门指定即兼职计算机管理员员(信息安全员)负责本部门计算机、网络设备、打印设备的日常维护管理,对本部门其他人员计算机应用的辅导。 第九条 XX市地税局专职系统管理人员应履行以下职责: 一、按照省、市地方税务局的要求和本局实际情况,负责对全局信息化建设工作进行总体规划和组织实施。 二、负责起草全局计算机管理工作的各项规章制度。 三、配合省、市地方税务局的总体业务目标,制定技术工作计划并组织实施。 四、协助各部门对单行业务应用软件的维护工作,并为各部门业务应用软件及基础数据资料管理提供技术支持。 五、保障全局计算机软、硬件、网络系统的正常运行。 六、负责监督、检查、协调,并从技术上指导各部门的计算机工作,提供技术支持。 页脚内容2
信息系统账号管理制度 第一节总则 第一条为加强用户账号管理,规范用户账号的使用,提高用户账号的安全性,特制定本制度。 第二条本制度中系统账号是指应用层面及系统层面(操作系统、数据库、防火墙及其它网络设备)的用户账号。 第三条本规定所指账号管理包括: 1、应用层面用户账号的申请、审批、分配、删除/禁用等的管理。 2、系统层面用户账号的申请、审批、分配、删除/禁用等的管理 3、用户账号密码的管理。 第四条系统拥有部门负责建立《岗位权限对照表》(附件一),制定工作岗位与系统权限的对应关系和互斥原则,对具体岗位做出具体的权限管理规定。 第五条信息中心根据系统拥有部门提交的《岗位权限对照表》增加系统中进行必要有效的逻辑控制。 第六条用户账号申请、审批及设置由不同人员负责。 第二节普通账号管理 第七条申请人使用统一而规范的《账号/权限申请表》(附件二)提出用户账号创建、修改、删除/禁用等申请。 第八条账号申请人所属部门负责人及系统拥有部门负责人根据《岗位权限对照表》审核申请人所申请的权限是否与其岗位一致,确保权限分配的合理性、必 要性和符合职责分工的要求。 第九条在受理申请时,权限管理人员根据申请配置权限,在系统条件具备的情况下,给用户分配独有的用户账号或禁用用户账号权限,以使用户对其行为 负责。一旦分配好账号,用户不得使用他人账号或者允许他人使用自己的 账号。 第十条新员工入职或员工岗位发生变化时,应主动申请所需系统的账号及权限。 第十一条人员离职的情况下,该员工的账户应当被及时的禁用。离职人员的离职手续办理完毕后,人力资源部需通过邮件或书面的方式通知员工所属部门主
管负责该员工权限收回的工作。员工所属部门主管根据该用户的岗位申请 删除离职人员账号及权限。 第十二条账号管理人员建立各种账号的文档记录,记录用户账号的相关信息,并在账号变动时同时更新此记录。 第三节特权账号和超级用户账号管理 第十三条特权账号指在系统中有专用权限的账号,如备份账号、权限管理账号、系统维护账号等。超级用户账号指系统中最高权限账号,如administrator (或admin)、root等管理员账号。 第十四条只有经授权的用户才可使用特权账号和超级用户账号,严禁共享账号。 第十五条信息中心每季度查看系统日志,监督特权账号和超级用户账号使用情况,并填写《系统日志审阅表》(附件三)。 第十六条尽量避免特权账号和超级用户账号的临时使用,确需使用时必须履行正规的申请及审批流程,并保留相应的文档。 第十七条临时使用超级用户账号必须有监督人员在场记录其工作内容。 第十八条超级用户账号临时使用完毕后,账号管理人员立即更改账号密码。 第四节用户账号及权限审阅 第十九条系统拥有部门指定专人负责每季度对系统应用层面账号及权限进行审阅,并填写《账号/权限清理清单》(附件四)。 第二十条信息中心指定专人负责每季度对系统层面账号及权限进行审阅,并填写《账号/权限清理清单》。 第二十一条员工离职后,账号管理人员及时禁用或删除离职人员所使用的账号。如果离职人员是系统管理员,则及时更改特权账号或超级用户口令。
承德市国有投资集团有限责任公司 保密管理规定 第一章总则 第一条为保守国投集团秘密,维护集团权益,保障集团经营发展顺利进行,特制定本制度。 第二条集团秘密是关系集团发展和利益,不为公众所知悉,具有实用性并经集团采取保密措施的业务信息和经营信息,依照特定程序确定,在一定时间内只限一定范围的人员知悉的事项。 第三条对集团的秘密事项,集团及下属各子公司全体员工都负有保密义务,并有权制止一切泄露集团秘密的行为。 第四条凡本集团员工,在任职期间内应遵守本制度。任职期间包括试用期。 第二章组织职能 第五条集团审计法务部负责保密制度的制定、监督和执行检查。 第六条集团各部门和各子公司负责采取保密措施、履行保密义务。 第七条集团及各子公司人力资源管理职能部门在所有员工入职时组织与其签订《保密协议》(附件1);高层
以上管理人员、业务人员入职时组织与其签订《保密协议》(附件2),集团及各子公司业务部门在所有员工参与重大投融资项目时组织签订《保密协议(项目)》(附件3)。 第三章保密范围 第八条秘密包括员工在工作期间接触到的集团、集团客户及集团关联客户的任何形式的秘密信息,包括但不限于以下内容: (一)中央、省、市等各级领导部门秘密级以上的文电; (二)尚未公布或不予公布的中央、国务院、省委、省政府及上级领导同志的讲话、指示; (三)集团重大决策中的有关事项; (四)集团的经营战略、经营方向、经营规划、经营项目及经营决策; (五)集团所掌握的尚未公开的各类信息资料。 (六)集团财务预决算报告及各类财务报表,统计报表,集团经营状况统计报表; (七)集团的业务信息、市场信息、服务价格、客户名单、客户关系、电话号码等信息资料; (八)集团内部掌握的合同协议,意见书及可行性报告,重要会议记录; (九)集团业务的合作条件、招投标项目的标底及标书内容;
信息系统规划、建设管理制度 第一章总则 第一条为加强某某单位信息系统规划、建设阶段项目管理,规范信息系统规划、建设管理流程,及时提供满足管理和业务需求的应用系统,特制定本制度。 第二条本制度适用于某某单位信息系统规划、建设管理工作。 第二章职责 第三条某某单位办公室职责: 负责受理各处室提交的信息系统需求的申请进行审核; 负责对各处室提交的信息系统需求进行需求分析,同时需要进行安全分析,主持需求规格说明书、概要设计、演示版的审核;负责质量控制,组织信息系统验收和正式上线使用;负责软件开发过程中的整体协调工作。 负责对新建的信息系统、设备、配套设施进行监督及管理。 第三章工作程序 第四条提出需求: 各处室提出开发的应用软件的需求,具体包括:时间要求、功能要求、权限控制、安全要求和业务流程。 第五条受理: 某某单位办公室在接到各处室的要求后,立即着手安排各项准备工作,制定任务计划,包括人力资源的考虑和时间要求的考虑,寻找软件开发商进行协商,向信息系统开发商提出开发要求。 第六条需求分析: 信息系统开发商在接到开发要求后,与某某单位办公室共同进行需求分析。 第七条需求审核: 某某单位办公室组织各处室信息系统开发商共同进行需求规格说明书的审核,信息系统开发商提供审核
所需的材料和需求规格说明书,负责技术问题的解释。各处室应认真审核需求规格说书所描述的内容是否符合业务和管理要求,如果不符合要求某某单位办公室和信息系统开发商重新进行需求分析,直到审核通过为止,各处室签字认可。 第八条概要设计: 信息系统开发商对审核通过后的需求按软件建设标准开始进行概要设计。 第九条概要设计审核: 某某单位办公室组织需求部门对信息系统开发商的概要设计进行审核,包括:是否符合各处室提出的业务和管理要求,是否符合软件建设标准的要求,结构是否合理。审核未通过,信息系统开发商重新进行概要设计。 第十条演示版建设: 信息系统开发商对概要设计通过后的需求进行演示版的建设,完成所有界面设计、业务流程和功能规划。 第十一条演示版的审核: 某某单位办公室组织各处室信息系统开发商共同进行演示版的审核,业务部门要对界面、业务流程和功能划分进行确认,如未达到各处室的要求,重新进行演示版的建设,直到审核通过为止,由各处室签字认可。 第十二条详细设计和代码编制: 信息系统开发商对演示版审核通过后的应用开始进行详细设计和代码编写,并按软件建设标准文档模版补充和完善详细设计说明书。 信息系统开发商对代码编写完的应用产品编写安装维护手册、升级安装手册、用户操作手册、测试用例报告,并进行多种方式的测试,包括:开发人员自身的测试、测试人员的测试,测试环境的测试。测试的内容不仅需要包含功能需求,也需要包含业务系统的安全需求,测试人员在测试完成后应编制测试报告,如果出现BUG或者不满足安全需求,要求填写BUG记录表,开发人员修订程序代码,直到测试完全通过。 第十三条安装部署试运行: 某某单位办公室根据安排通知信息系统开发商开始安装部署试运行时间。由某某单位办公室组织各处室进行安装部署试运行工作,并由各处室负责用户测试工作。 第十四条试运行审核: 某某单位办公室组织各处室试运行进行审核,审查测试用例、报告测试报告以及相关的技术文档,对程序中的关键点和安全需求按照测试用例报告进行严格测试,各处室应配合某某单位办公室对应用系统进行试用,验证系统功能是否满足业务和管理要求,如果试用过程中发现不符合业务和管理要求,应认真填写问题反馈意见。如果各处室反馈意见表明试运行不合格,某某单位办公室将要求信息系统开发商重新进行代码编写和测试,直到试运行通过。 第十五条信息系统验收: 某某单位办公室组织各处室对信息系统开发商提交的应用系统进行验收,主要根据试运行用户测试结果和合同中规定的验收文档和其他要求进行验收工作,某某单位办公室负责严格检查技术文档,各处室负责严
信息系统帐户密码管理规 定 This model paper was revised by the Standardization Office on December 10, 2020
信息 账 户、密码管理规定 1.目的: 为进一步加强与规范公司信息系统帐户、密码的管理,提高信息系统的安全性,避免 信息系统权限的滥用以及机密信息的泄漏,特制定本规定。 2.范围: 适用范围:本制度适用于国美电器有限公司信息系统平台上所使用的全部操作系统、应 用系统(包括但不限于邮件系统、OA系统、HR系统、NC系统、ERP系统等)以及各类网 络设备必须遵守本条例的规定。 发布范围:国美电器总部各中心、各大区所有人员。 3.名词解释: 信息系统帐户、密码:特指国美电器有限公司信息系统中所使用的各类用于系统身份识 别的账户及密码。 4.职责: 总部信息中心及分部IT部门: 总部信息中心负责规划和制定信息系统帐户、密码管理的相关流程和制度。 总部信息中心及分部IT部门负责信息系统帐户、密码的初始化生成。
总部信息中心信息安全部负责的制度的执行情况进行检查与监督。 其他部门及全体员工: 负责员工个人的系统帐户、密码的使用及管理,并对该帐户的所有行为负责。 5. 管理制度: 帐户、密码的管理: 信息管理中心信息安全部负责制定并管理信息系统账户密码管理制度、策略及具体落实。 信息系统账户、密码分为管理员账户、密码以及普通用户账户、密码两类。总部信息管理中心负责信息系统账户的命名、建立、分发以及初始密码的设置;信息管理中心信息安全部将负责对执行情况进行监督与复核。 总部信息管理中心授权各分公司、事业部系统部负责辖区内信息系统账户命名、建立以及分发工作,但必须遵守本条例的规定;总部信息管理中心信息安全部将进行不定期审计。 账户、密码的使用及维护: 网络设备、服务器设备以及应用系统的管理员账户(超级用户)由信息管理中心统一制定与分发,并授权相应的系统管理人员使用与维护,但必须遵守本条例的相关规定以及其他相关安全制度的要求,确保其安全性。 系统管理员账户(超级用户)的使用范围授权严格受限,所有系统中必须开启超级用户的使用日志审计功能。
精心整理信息系统、信息设备和保密设施设备管理制度 1.信息系统、信息设备和保密设施设备管理总则 1)为了加强公司涉密计算机信息系统、信息设备的保密管理,防止和杜绝失泄密事件的发生,确保国家秘密安全,根据《中华人民共和国保守国家秘密法》、《保密 本部门涉密信息系统的安全保密负主要责任。 2)公司保密办公室负责公司涉密信息系统、信息设备安全保密工作的指导、协调、监督、检查以及对失泄密事件的查处。 3)公司保密办公室设密钥管理员负责公司涉密信息系统、信息设备内部密码(密钥)的生成、分配和保密管理工作。
4)公司各涉密部门需设系统管理员、安全保密员,按有关保密规定和要求负责公司涉密计算机的管理及其设备的日常维护和维修工作,具体落实有关涉密计算机、信息设备的安全保密管理规定和措施。 3.涉密计算机的确定及变更 1)公司涉密计算机实行申报登记制度。凡涉及国家秘密的单位拟用于处理国家秘 ,经 环境 ,按照涉密计算机申报登记程序,报公司保密办公室。 6)公司保密办公室对申请变更为非涉密计算机进行检查,收回硬盘,到具有处理资质的单位进行集中销毁,确认计算机内不包含任何形式的国家秘密信息后,批准变更,并注销涉密计算机编号。 4.管理制度
公司涉密信息系统、信息设备的保密管理遵循“业务谁主管、保密谁负责”、“谁使用、谁负责”的原则,明确制度、分清职责、分级管理、逐级落实。各部门主管领导负责本部门涉密计算机的保密管理工作,并负有领导责任。同时,要指定人员具体负责涉密计算机的保密管理工作。公司保密办公室对全公司涉密计算机的保密工作进行指导、协调、监督和检查。并负责培训涉密计算机安全保密管理人员,查 ●数字证书机制; ●密码口令。密码口令长度不得少于十个字符,定期更换,采用大小写英文字 母、数字和特殊字符等两者以上的组合。密码(钥)应与计算机分离,妥善保管。
公司保密工作管理办法 第一章总则 第一条为保守商业秘密,增强公司(以下简称中国节能) 的竞争优势,维护中国节能及其各级全资、控股子公司(以下统称公司)的合法权益,根据?中华人民共和国保守国家秘密法?(以下简称保密法)、?中华人民共和国反不正当竞争法?(以下简称反不正当竞争法)、?中央企业商业秘密保护暂行规定?(以下简称暂行规定)及其他有关法律法规的规定,结合中国节能保密工作实际,制定本办法。 第二条本办法适用于中国节能及其各级全资、控股子公司(以下简称子公司)的所有员工。 第三条本办法所指保密对象是?保密法?认定的国家秘密、?反不正当竞争法?、?暂行规定?认定的商业秘密以及公司依本办法进行管理的其他信息(以下统称公司秘密)。 国家秘密是指关系国家的安全和利益,依照法定程序确定,在一定时间内只限一定范围人员知悉的事项。 商业秘密是指不为公众所知悉,能为公司带来经济利益、具有实用性并经公司采取保密措施的经营信息和技术信息。 第四条公司秘密中涉及知识产权内容的,按国家知识产权有关法律法规进行管理。 第五条保守公司秘密工作,要认真贯彻执行依法防范、企业负责、预防为主、突出重点、便利工作、保障安全的方针。
第二章保密组织 第六条中国节能保密工作实行统一领导、分级管理的原则。 第七条中国节能保密工作委员会(以下简称保密委员会)是保密工作的领导和管理机构,全面负责公司的保密工作,并指导子公司开展保密工作。保密委员会由中国节能主管领导和各职能部门主任或副主任组成。保密委员会的主要职责: (一)学习、宣传、贯彻落实党和国家有关保密工作方针、政策和法律法规,落实上级保密机构、部门的工作要求; (二)依据有关法律、法规,制定和修改公司保密工作年度计划、保密规章制度,并督促检查落实; (三)督促总部各部门、各全资、控股二级子公司(以下简称二级子公司) 落实保密工作,并与各部门、各二级子公司签订?公司保密工作责任书?; 总结、推广保密工作先进经验,表彰、奖励保密工作先进集体和个人;依法依纪查处泄密事件; 处理、决定保密工作中的其他重大事项; 第八条中国节能实行保密工作领导责任制。 公司法定代表人对公司保密工作负有全面领导责任,分管保密工作的领导对公司保密工作负有直接的领导责任。
系统账号管理制度第一节总则
第一条为加强用户账号管理,规范用户账号的使用,提高用户账号的安全性,特制定本制度。 第二条本制度中系统账号是指应用层面及系统层面(操作系统、数据库、防火墙及其它网络设备)的用户账号。第三条本规定所指账号管理包括: 1、应用层面用户账号的申请、审批、分配、删除/禁 用等的管理。 2、系统层面用户账号的申请、审批、分配、删除/禁 用等的管理 3、用户账号密码的管理。 第四条系统拥有部门负责建立《岗位权限对照表》(附件一),制定工作岗位与系统权限的对应关系和互斥原 则,对具体岗位做出具体的权限管理规定。 第五条信息技术部根据系统拥有部门提交的《岗位权限对照表》增加系统中进行必要有效的逻辑控制。 第六条用户账号申请、审批及设置由不同人员负责。
第二节普通账号管理 第七条申请人使用统一而规范的《账号/权限申请表》(附件二)提出用户账号创建、修改、删除/禁用等申请。 第八条账号申请人所属部门负责人及系统拥有部门负责人根据《岗位权限对照表》审核申请人所申请的权限是否 与其岗位一致,确保权限分配的合理性、必要性和符 合职责分工的要求。 第九条在受理申请时,权限管理人员根据申请配置权限,在系统条件具备的情况下,给用户分配独有的用户账号 或禁用用户账号权限,以使用户对其行为负责。一旦 分配好账号,用户不得使用他人账号或者允许他人使 用自己的账号。 第十条新员工入职或员工岗位发生变化时,应主动申请所需系统的账号及权限。 第十一条人员离职的情况下,该员工的账户应当被及时的禁用。离职人员的离职手续办理完毕后,人力资源部需 通过邮件或书面的方式通知员工所属部门主管负责该 员工权限收回的工作。员工所属部门主管根据该用户
信息化软硬件设备安全管理制度 1 目的 为了提高本单位计算机及信息系统的管理水平,确保生产装置实现安、稳、长、满、优运行,制定本制度。 2 适用范围 适用于本单位信息化软硬件设备安全管理。 3 职责 3.1 XX科是本单位信息化软硬件设备管理的归口部门。负责计算机等办公设备及网络的维护管理,负责各类软件安装程序的保管及公共数据的备份与维护,负责计算机、网络及信息的安全管理和控制。 3.2 各部门是计算机等办公设备的使用部门,负责本部门使用办公设备的日常维护和保养。 4 管理内容 4.1计算机及相关设备的管理 1)计算机及相关设备申请 按照工作需要,各部门提出配备所需办公设备的申请,由XX科提出设备的型号及相关配置,根据所提出的要求统一向本单位领《办公设备申请计划表》。 2)计算机及相关设备配备 设备落实后,由XX科室做好硬件及软件全面测试后,统一配备给相应部门,讲解操作方法,并附带一份《办公设备基本资料及使用人登记表》交与使用人,XX科室做好存档记录工作。 3)计算机及相关设备的转移 因工作岗位在分本单位内部调动,原则上计算机跟使用人同步调动。在调动期间XX科室需做好网络地址配置更新的准备,若新的工作岗位不需要使用计算机,须将计算机送交XX科室并填写《办公设备上交表》。 4.2计算机使用与维护 1)计算机使用管理 使用本单位信息网络的所有用户必须遵守国家有关法律、法规,严格执行安全保密制度,对个人的计算机操作和对外所提供的信息负责。 a. 计算机日常使用 每天下班后或长时间不使用计算机时要自觉关闭计算机。禁止擅自移动、拆卸、改变计算机内部配件及其连接线路; b. 软件使用管理 ①各部门在XX科室的授权下安装软件。 ②已安装到计算机上的软件,任何人和部门不得自行卸载或更改。如需要卸载或更改须经XX科室同意后方可进行操作。 c. 不得在办公用计算机上安装、使用P2P视频播放、及带有P2P下载功能等严重占用带宽的软件。 2) 计算机维护管理 当计算机出现故障时,报XX科室统一安排人员进行维修。禁止在未得到授权的情况下擅自开启机箱自行维修。如无法及时修复计算机,且使用人急需继续进行网络化办公时,可由XX科室安排调配一台临时计算机,供使用人正常办公。 4.3 网络安全管理 网络安全实行统一管理、使用人负责。XX科室负责对全网安全进行监督管理,对个人的计算机,禁止利用网络从事危害国家安全、泄露国家及企业秘密或危害信息专网活动,不得查阅、复制和传播有碍社会治安和不健康的信息。不得做任何有损于企业形象的事。计算机使用人要对自己的行为负责。 1) 本单位电脑的IP地址由XX科室统一分配,不得擅自更改其IP地址,更不得恶意占用他人的地址。如有违反并拒不接受管理,XX科室将在不影响正常工作的前提下断开其与局域网的连接。 2) 需要接入因特网的部门及个人,必须提出申请,经批准后方可实施因特网接入。对未经批准擅自接入因特网的部门及个人XX科室将在不影响正常工作的前提下断开其与局域网的连接。 3) 使用部门及个人禁止私接、改动计算机网络基础设备设施,网络的调试、升级由XX科室组织实施。