计算机信息保密管理制度文件发放范围:部门领导层、所有部门
【目的】明确各有关部门信息系统保密的职责,理顺相关业务流程,规范工作行为。
【职责】
1. 计算机中心职责
1.1.部门计算机信息保密体系的建设,包括制度建设、计算机信息保密技术措施的实施、日常计算机信息保密体系运行情况的监督检查等。
1.2.制定部门完善的计算机信息保密管理制度,并组织各部门执行,根据执行情况和我计算机信息
安全状况进行及时修订完善。
1.3.根据部门计算机信息安全现状,采取必要的技术手段,进行部门计算机信息安全系统建设,保
障部门计算机信息安全。
1.4.日常组织各部门计算机管理员进行计算机信息安全现场检查,包括制度执行情况、计算机操作
人员网络行为、各种计算机系统安全情况等。
2. 各部门职责
2.1.监督检查本部门计算机涉密信息状况,具体执行部门计算机信息保密管理制度,保障本部门计算机涉密信息处于可控状态。
【内容】
1.计算机涉密信息日常管理机制
1.1计算机涉密信息采取归口管理,分级负责的原则,信息中心为计算机涉密信息归口管理部门,采取有效管理及技术措施将涉密信息控制在可控范围内。各部门正职、各部门信息安全员、计算机操作人员逐级负责。
1.2各部门正职(或负责本部门全面工作的人员)为本部门计算机信息安全第一负责人。负责本部门计算机信息安全全面管理工作。
1.3部门计算机信息安全第一负责人指派计算机管理员作为本部门信息安全员,各部门信息安全员对本部门计算机涉密信息状况具有监督检查权,负责随机检查本部门计算机涉密信息管理及技术措施执行情况,发现涉密信息不安全因素及时上报部门正职(或主管本部门全面工作人员),同时组织整改。
1.4各部门信息安全员负责具体组织本部门涉密人员进行计算机涉密信息辨识,对计算机涉密信息进行分类,及时登记。
1.5各部门计算机操作人员须有高度的信息保密意识和责任感,计算机涉密信息的直接操作人员为直接涉密人员(如成本管理员、质量技术人员、生产管理人员等),须掌握必要的计算机安全知识。
1.6 发现重大计算机涉密行为及漏洞,知情人须及时向部门正职(或代理部门全面工作人员)进行汇报,各部门正职及时向公司相关领导汇报,以便最大限度挽回损失。
1.7信息中心各片区信息管理员日常巡检中负责检查各部门计算机系统及操作人员网络行为,对于
发现的信息安全隐患及时向计算机中心汇报,并提出通报处罚意见。
1.8信息中心定期组织进行公司各部门计算机涉密信息管理联合检查,对不符合保密要求的提出整改及通报处罚意见。对于较大信息安全隐患,制定整改措施,报部门领导审批。
1.9信息中心须不断了解业内先进计算机系统保密技术,通过配备必要的技术检查监管系统,不断实施改进我行计算机系统安全环境。
2.计算机涉密信息的来源、日常存储、传送及销毁。
2.1计算机涉密信息的来源。
2.1.1涉密信息进入计算机系统方式包括文档录入、移动存储设备拷贝存入、网络拷贝存入、现场仪器仪表自动采集、手工录入信息系统等等。
2.2 计算机涉密信息的存储。
2.2.1 各部门针对本部门各个涉密岗位工作特点,在本制度的规定的原则和条款基础上,制定本部门每种计算机涉密信息存储详细规定。各部门的规定须遵循存储权限清晰(要求控制在涉密人员范围内),方式明确(如硬盘存储,光盘存储等)不得随意拷贝存储、便于工作的原则。
2.2.2涉密文档文件(包括文字文档、影音文件、图片照片文件、压缩文件、动画演示文件等一切以文件方式存储的信息)须由本部门信息安全员定期统一刻录或打印,送交档案室归档存储。
2.2.3 涉密电子文档文件在归档前,操作人员须将其加密保存,不得交与未授权人员查阅处理。2.2.4 涉密电子文档文件操作人员须每周将定稿文档提交部门信息安全员归档保存,由本部门信息安全员定期交档案室归档。
2.2.5计算机涉密信息中所有涉密文档文件须加密保存,密码复杂度须符合字母加数字加特殊字符形式,长度最少六位。
2.2.6涉密信息系统数据库或裸设备等应用系统后台数据须由计算机中心系统管理人员备份存储,并定期刻录归档,其它任何人不得随意转出数据库系统数据。
2.2.7 移动存储介质未经审批不得在部门主机上使用。
2.2.8 涉密信息只能由本部门信息安全员按归档需要统一刻录归档,其他人员不得刻录或以任何方式拷贝储存。
2.3 计算机涉密信息的传送。
2.3.1部门内部流转:各部门须为每种涉密信息流转制定严格的流转流程并培训,以保证计算机涉密信息严格控制在工作需要的涉密工作人员范围内流转。
2.3.2 涉密信息外发:各部门须对本部门每种涉密信息制定严格的涉密信息外发审批流程,须经至少公司级领导审批通过方可外发。核心机密和重要机密需要外发的,须经公司总经理审批通过。2.3.3 涉密信息外发时,须与接收部门或个人约定保密协议,电子文档外发须留有屏幕截图等技术手段留下存根,移动存储介质或纸质文件等介质外发须有对方签字的存根或其它可供查证的存根,以便日后查证。
2.3.4 计算机涉密信息打印、复印、扫描须经审批。且打印人员要严格按照审批的打印、复印份数,
不得留有额外副本。过程由信息安全员监督。
2.3.5 计算机涉密信息打印件须控制涉密人员范围内流转。若打印件需外发,须进行审批通过。2.3.6 各部门信息安全员负责涉密信息存储介质的管理,外来存储介质不得在公司计算机上使用。用于统一归档的存储介质(如移动硬盘、光盘、纸质打印复印件等)不得交与无浏览权限的人员查看浏览。
2.4计算机涉密信息的销毁
2.4.1 计算机涉密信息直接操作人员为直接涉密人员,依照2.2.3条规定,每周将涉密信息归档后,即行在本机上将涉密信息彻底销毁删除。确因工作需要须在本机临时存储的,要严格加密存储。2.4.2 部门信息安全员负责对本部门报废计算机上涉密信息进行销毁删除。
2.4.3 各部门信息安全员负责监督涉密信息的销毁,确保不留有拷贝副本。
3.计算机涉密信息权限管理
3.1 各部门依照本制度2.3.1条款要求,结合本部门涉密人员工作需要,制定计算机涉密信息流转流程。在流程制定过程中,要充分考虑各个环节的涉密人员权限。
3.2 各部门信息安全员负责本部门计算机系统(包括所有操作系统及应用系统)账户管理,信息安全员须依据申请人的工作职责,授予其审批通过的系统权限。并登记。
3.3 各部门计算机操作人员发生岗位变更、离岗离职等,部门信息安全员负责将系统账号及时进行权限变更及注销。管理权限在计算机中心的,及时申报信息中心系统管理员进行权限变更及注销工作。
3.4 各部门及档案室须建立归档的涉密信息查阅登记审批制度,对超权限又因工作需要确需查阅涉密信息的人员进行权限审核,审批通过并登记后方可浏览查阅。查阅人须对该涉密信息保密负责。对于未超权限需要查阅归档涉密信息的,仍需进行登记。
4.计算机涉密人员管理
4.1 计算机涉密人员施行登记备案制度,各部门建立涉密人员档案。
4.2 当涉密人员发生内岗位变更,档案随人员调入调出变更更新。
4.3 计算机涉密人员因离职等调出本部门,部门要进行涉密信息行为审计,具体核实是否有相关涉密资料被拷贝,个人办公涉密计算机上的涉密信息是否完整无缺等等,核实个人手上无部门涉密资料,并做好涉密工作交接,方可签字放行。
4.4 计算机信息涉密人员对计算机涉密信息有保密责任,不得将涉密信息公示给没有权限或未得审批人员。
5.计算机的使用
5.1设备使用
5.1.1离开办公区域,便携机及其他移动计算设备、存储设备应该存放在文件柜等安全的地方。
