计算机信息系统保密管理规定

公司管理制度制度通告：（2010）号批准：计算机和信息系统安全保密管理规定第一章总则第一条为加强公司计算机和信息系统（包括涉密信息系统和非涉密信息系统）安全保密管理，确保国家秘密及商业秘密的安全，根据国家有关保密法规标准和中核集团公司有关规定，制定本规定。

第二条本规定所称涉密信息系统是指由计算机及其相关的配套设备、设施构成的，按照一定的应用目标和规定存储、处理、传输涉密信息的系统或网络，包括机房、网络设备、软件、网络线路、用户终端等内容。

第三条涉密信息系统的建设和应用要本着“预防为主、分级负责、科学管理、保障安全”的方针，坚持“谁主管、谁负责，谁使用、谁负责”和“控制源头、归口管理、加强检查、落实制度”的原则，确保涉密信息系统和国家秘密信息安全。

第四条涉密信息系统安全保密防护必须严格按照国家保密标准、规定和集团公司文件要求进行设计、实施、测评审查与审批和验收；未通过国家审批的涉密信息系统，不得投入使用。

第五条本规定适用于公司所有计算机和信息系统安全保密管理工作。

第二章管理机构与职责2009 —05 —18发布2009 —05 —18实施第六条公司法人代表是涉密信息系统安全保密第一责任人，确保涉密信息系统安全保密措施的落实，提供人力、物力、财力等条件保障，督促检查领导责任制落实。

第七条公司保密委员会是涉密信息系统安全保密管理决策机构，其主要职责：（一）建立健全安全保密管理制度和防范措施，并监督检查落实情况；（二）协调处理有关涉密信息系统安全保密管理的重大问题，对重大失泄密事件进行查处。

第八条成立公司涉密信息系统安全保密领导小组，保密办、科技信息部（信息化）、党政办公室（密码）、财会部、人力资源部、武装保卫部和相关业务部门、单位为成员单位，在公司党政和保密委员会领导下，组织协调公司涉密信息系统安全保密管理工作。

第九条保密办主要职责：（一）拟定涉密信息系统安全保密管理制度，并组织落实各项保密防范措施；（二）对系统用户和安全保密管理人员进行资格审查和安全保密教育培训，审查涉密信息系统用户的职责和权限，并备案；（三）组织对涉密信息系统进行安全保密监督检查和风险评估，提出涉密信息系统安全运行的保密要求；（四）会同科技信息部对涉密信息系统中介质、设备、设施的授权使用的审查，建立涉密信息系统安全评估制度，每年对涉密信息系统安全措施进行一次评审；（五）对涉密信息系统设计、施工和集成单位进行资质审查，对进入涉密信息系统的安全保密产品进行准入审查和规范管理，对涉密信息系统进行安全保密性能检测；（六）对涉密信息系统中各应用系统进行定密、变更密级和解密工作进行审核；（七）组织查处涉密信息系统失泄密事件。

计算机信息系统保密管理暂行规定正文：---------------------------------------------------------------------------------------------------------------------------------------------------- 国家保密局关于印发《计算机信息系统保密管理暂行规定》的通知（国保发［１９９８］１号）各省、自治区、直辖市保密局，中央和国家机关各部委保密委员会办公室，解放军保密委员会办公室，各人民团体保密委员会办室：《计算机信息系统保密管理暂行规定》，已经国务院领导批准，现印发给你们，请遵照执行。

国家保密局一九九八年二月二十六日计算机信息系统保密管理暂行规定第一章总则第一条为保护计算机信息系统处理的国家秘密安全，根据《中华人民共和国保守国家秘密法》，制定本规定。

第二条本规定适用于采集、存储、处理、传递、输出国家秘密信息的计算机信息系统。

第三条国家保密局主管全国计算机信息系统的保密工作。

各级保密部门和中央、国家机关保密工作机构主管本地区、本部门的计算机信息系统的保密工作。

第二章涉密系统第四条规划和建设计算机信息系统，应当同步规划落实相应的保密设施。

第五条计算机信息系统的研制、安装和使用，必须符合保密要求。

第六条计算机信息系统应当采取有效的保密措施，配置合格的保密专用设备，防泄密、防窃密。

所采取的保密措施应与所处理信息的密级要求相一致。

第七条计算机信息系统联网应当采取系统访问控制、数据保护和系统安全保密监控管理等技术措施。

第八条计算机信息系统的访问应当按照权限控制，不得进行越权操作。

未采取技术安全保密措施的数据库不得联网。

第三章涉密信息第九条涉密信息和数据必须按照保密规定进行采集、存储、处理、传递、使用和销毁。

第十条计算机信息系统存储、处理、传递、输出的涉密信息要有相应的密级标识，密级标识不能与正文分离。

xxxxxx公司计算机信息系统保密管理规定编制：审核：批准：xxxxx公司计算机信息系统保密管理规定第一章总则第一条为保护计算机信息系统处理的国家秘密信息安全，根据国保发（1998）1号文件精神，依照BMB17-2006《涉及国家秘密的信息系统分级保护技术要求》、BMB20-2007《涉及国家秘密的信息系统分级保护管理规范》的要求制定本规定。

第二条本规定适用于公司涉密信息系统的运行管理，规定所称的计算机信息系统由本单位的各类涉密计算机（便携式计算机、服务器、用户终端）、网络设备、外部设备、存储介质、安全保密产品等构成的人机系统。

第三条本规定包括：信息系统基本要求、台账、维修、报废、审计、安全保密防护、密码保护、存储介质、外出携带、互联网计算机使用等内容。

第四条计算机信息系统保密管理实行“积极防范、突出重点、分级负责、责任到人”的原则。

严禁涉密信息系统直接或间接连接互联网及其他公共网络；严禁使用连接国际互联网或其他公共信息网络的计算机和信息设备进行存储和处理涉密信息。

第五条保密办公室负责公司各部门计算机信息系统安全工作的监督和检查，发现问题，及时提出并督促整改。

各部门负责本部门计算机信息系统及涉密信息的安全保密工作。

第二章台账、维修、报废管理第六条本单位的计算机和信息系统设备总台账由保密办公室负责统计、维护和管理，涵盖本单位的各类计算机（便携式计算机、服务器、用户终端）、网络设备、外部设备、存储介质、安全保密产品等。

第七条各部门应建立本部门计算机和信息系统分台账。

由各部门负责统计、维护和管理。

第八条台账应以电子和文档版本形式存在，总台账和分台账内容应当吻合，并与实物相符，发现问题实时更新台账，保证台账与实物相符。

第九条台账信息按照设备分类，应包含以下信息：㈠计算机台账应当包含：密级、放置地点、使用人、操作系统版本、安装时间、硬盘物理号、IP地址、MAC地址和使用情况（包含再用、停用、报废、销毁等）；见附表九。

计算机信息系统保密管理规定模版第一条：为了加强对计算机信息系统中关键数据、关键技术和网络安全的保护，规范计算机信息系统的运行管理，保障国家和个人信息的安全，依据有关法律法规，制定本规定。

第二条：计算机信息系统保密管理是指对计算机信息系统中的数据、技术和网络进行保密和安全管理的活动，包括技术和制度两方面。

技术措施主要是通过技术手段加密、访问控制、监测和检测等措施；制度措施主要是通过规章制度、权限管理、人员培训和监督检查等措施。

第三条：计算机信息系统保密管理应遵循保密需要与工作需要相结合的原则，享受国家法定保密权益的计算机信息系统不受本规定限制。

第四条：计算机信息系统的保密级别划分按照国家有关保密规定执行，分为绝密、机密、秘密和一般四个级别。

第五条：计算机信息系统保密资格审定采用的是积分制，并需经过有关部门的备案和审批。

计算机信息系统保密资格审定的流程和标准，由国家有关部门另行规定。

第六条：计算机信息系统管理员应当具备相应的保密技术和管理知识，并且有相关保密岗位资格证书。

第七条：计算机信息系统管理员的职责包括：（一）组织制定计算机信息系统的保密制度和规章制度，负责计算机信息系统的保密工作；（二）组织进行计算机信息系统的保密培训，提高员工的保密意识和技能；（三）负责计算机信息系统的安全控制，对系统中的数据、技术和网络进行保密和安全管理；（四）及时处理计算机信息系统的安全事件，防范和应对各种计算机信息系统威胁和风险；（五）定期开展计算机信息系统的保密检查和评估，确保系统的安全性和保密性；（六）协助有关部门开展对计算机信息系统的保密审计和调查。

第八条：计算机信息系统保密制度应包括以下内容：（一）计算机信息系统的保密级别划分和管理权限的分配；（二）计算机信息系统的安全控制措施，包括访问控制、加密技术、数据库安全、网络安全等；（三）计算机信息系统的备份和恢复管理，确保数据的完整性和可用性；（四）计算机信息系统的安全漏洞处理，及时修补系统中的漏洞；（五）计算机信息系统的日志记录和审计，确保对系统操作的追踪和监控；（六）计算机信息系统的应急响应和灾备管理，应对各种安全事件和灾害事故。

国家保密局关于印发《计算机信息系统保密管理暂行规定》的通知（国保发［１９９８］１号）各省、自治区、直辖市保密局，中央和国家机关各部委保密委员会办公室，解放军保密委员会办公室，各人民团体保密委员会办室：《计算机信息系统保密管理暂行规定》，已经国务院领导批准，现印发给你们，请遵照执行。

国家保密局一九九八年二月二十六日计算机信息系统保密管理暂行规定第一章总则第一条为保护计算机信息系统处理的国家秘密安全，根据《中华人民共和国保守国家秘密法》，制定本规定。

第二条本规定适用于采集、存储、处理、传递、输出国家秘密信息的计算机信息系统。

第三条国家保密局主管全国计算机信息系统的保密工作。

各级保密部门和中央、国家机关保密工作机构主管本地区、本部门的计算机信息系统的保密工作。

第二章涉密系统第四条规划和建设计算机信息系统，应当同步规划落实相应的保密设施。

第五条计算机信息系统的研制、安装和使用，必须符合保密要求。

第六条计算机信息系统应当采取有效的保密措施，配置合格的保密专用设备，防泄密、防窃密。

所采取的保密措施应与所处理信息的密级要求相一致。

第七条计算机信息系统联网应当采取系统访问控制、数据保护和系统安全保密监控管理等技术措施。

第八条计算机信息系统的访问应当按照权限控制，不得进行越权操作。

未采取技术安全保密措施的数据库不得联网。

第三章涉密信息第九条涉密信息和数据必须按照保密规定进行采集、存储、处理、传递、使用和销毁。

第十条计算机信息系统存储、处理、传递、输出的涉密信息要有相应的密级标识，密级标识不能与正文分离。

第十一条国家秘密信息不得在与国际网络联网的计算机信息系统中存储、处理、传递。

第四章涉密媒体第十二条存储国家秘密信息的计算机媒体，应按所存储存信息的最高密级标明密级，并按相应密级的文件进行管理。

存储在计算机信息系统内的国家秘密信息应当采取保护措施。

第十三条存储过国家秘密信息的计算机媒体不能降低密级使用。

不再使用的媒体应及时销毁。

计算机信息系统保密管理制度
1、规划和建设涉密系统，应当同步规划、同步预算、同步建设相应的信息安全保密防范措施，并履行审批手续。

2、涉密计算机信息系统建设必须选择有涉密系统集成资质的单位承建，建成后经市保密部门验收合格方能投入使用。

3、计算机信息系统使用的信息安全保密防范措施或设备，应当是经有认证权的部门认证许可的产品。

4、涉密计算机房，应当设在有利于安全保密的场所，建立和健全机房管理制度。

5、涉密计算机系统或单机，不得直接或间接与国际互联网、公共信息网相联接，必须实行物理隔离；非涉密计算机信息系统不得采集、存储、处理、传输涉密信息。

6、涉密计算机信息系统更换或维修，应当在涉密场所进行，并有专人监督。

所更换的设备或配件，在未采取技术处理时，不得挪为他用。

7、对需报废的涉密载体、设备或配件，应当登记造册，经单位领导批准后，送市公文销毁站销毁。

8、对涉密计算机设备进行登记管理，粘贴涉密计算机标识。

计算机和信息系统安全保密管理规定1. 引言计算机和信息系统安全保密管理是指为了保护计算机和信息系统中的数据和资源，防止非授权访问和恶意攻击造成的损失，制定的一系列管理规定和措施。

本文档旨在规范计算机和信息系统安全保密管理，确保组织及其成员的信息资产安全。

2. 目标本文档的主要目标是：•确保计算机和信息系统的机密性，防止未经授权的访问；•确保计算机和信息系统的完整性，防止数据被篡改或损坏；•确保计算机和信息系统的可用性，防止服务中断或停止；•促进计算机和信息系统的合规性，符合相关法律法规和行业标准。

3. 安全保密管理责任3.1 信息资产管理责任所有组织成员均有责任保护和管理相关的信息资产。

信息资产管理责任包括但不限于：•确保信息资产的安全性，防止数据泄露和非授权访问；•制定有效的信息资产管理策略和措施；•审查和评估信息资产的风险，并采取相应的措施减轻或消除风险；•培训组织成员关于信息资产管理的知识和技能。

3.2 网络安全管理责任网络安全管理是保证计算机和信息系统安全的重要组成部分。

网络安全管理责任包括但不限于：•设计和建立安全的网络架构，保护计算机和信息系统免受网络攻击；•监测和检测网络流量，发现和阻止可能的网络攻击；•及时修补和更新网络设备和系统的漏洞；•建立网络安全应急响应机制，处理网络安全事故。

3.3 访问控制管理责任访问控制管理是防止非授权访问的重要手段。

访问控制管理责任包括但不限于：•建立和维护用户账户和权限管理系统，确保只有授权用户能够访问计算机和信息系统；•定期审查和评估用户账户和权限，及时删除或禁用不再需要的账户和权限；•限制和监控敏感数据的访问，确保数据的机密性和完整性；•定期备份数据，并存储在安全的地方，以防止数据丢失和损坏。

4. 安全保密措施4.1 密码策略密码是保护信息资产安全的重要手段之一。

密码策略应包括但不限于以下措施：•强制要求密码复杂度，包括长度、字母、数字和特殊字符的组合；•要求用户定期更换密码，并限制密码的重复使用；•禁止将密码写在容易被他人看到的地方；•采用多因素身份验证，提高密码安全性。

xxxxxx公司计算机信息系统保密管理规定编制：审核：批准：xxxxx公司计算机信息系统保密管理规定第一章总则第一条为保护计算机信息系统处理的国家秘密信息安全，根据国保发（1998）1号文件精神，依照BMB17-2006《涉及国家秘密的信息系统分级保护技术要求》、BMB20-2007《涉及国家秘密的信息系统分级保护管理规范》的要求制定本规定。

第二条本规定适用于公司涉密信息系统的运行管理，规定所称的计算机信息系统由本单位的各类涉密计算机（便携式计算机、服务器、用户终端）、网络设备、外部设备、存储介质、安全保密产品等构成的人机系统。

第三条本规定包括：信息系统基本要求、台账、维修、报废、审计、安全保密防护、密码保护、存储介质、外出携带、互联网计算机使用等内容。

第四条计算机信息系统保密管理实行“积极防范、突出重点、分级负责、责任到人”的原则。

严禁涉密信息系统直接或间接连接互联网及其他公共网络；严禁使用连接国际互联网或其他公共信息网络的计算机和信息设备进行存储和处理涉密信息。

第五条保密办公室负责公司各部门计算机信息系统安全工作的监督和检查，发现问题，及时提出并督促整改。

各部门负责本部门计算机信息系统及涉密信息的安全保密工作。

第二章台账、维修、报废管理第六条本单位的计算机和信息系统设备总台账由保密办公室负责统计、维护和管理，涵盖本单位的各类计算机（便携式计算机、服务器、用户终端）、网络设备、外部设备、存储介质、安全保密产品等。

第七条各部门应建立本部门计算机和信息系统分台账。

由各部门负责统计、维护和管理。

第八条台账应以电子和文档版本形式存在，总台账和分台账内容应当吻合，并与实物相符，发现问题实时更新台账，保证台账与实物相符。

第九条台账信息按照设备分类，应包含以下信息：㈠计算机台账应当包含：密级、放置地点、使用人、操作系统版本、安装时间、硬盘物理号、IP地址、MAC地址和使用情况（包含再用、停用、报废、销毁等）；见附表九。

涉密计算机及信息系统安全和保密管理办法一、总则第一条为了加强涉密计算机及信息系统的安全和保密管理，保障国家秘密的安全，根据《中华人民共和国保守国家秘密法》等相关法律法规，结合本单位实际情况，制定本办法。

第二条本办法适用于本单位内所有使用、管理涉密计算机及信息系统的部门和个人。

第三条涉密计算机及信息系统的安全和保密管理，应当遵循“突出重点、积极防范、确保安全、便利工作”的原则，实行分级保护，强化管理措施，落实责任制度。

二、涉密计算机及信息系统的确定与分类第四条本单位根据处理信息的最高密级，将涉密计算机及信息系统分为绝密级、机密级、秘密级。

第五条确定涉密计算机及信息系统的密级，应当按照国家有关规定，由本单位保密工作领导小组进行审定。

第六条涉密计算机及信息系统的密级一经确定，应当在其显著位置标明相应的密级标识。

三、涉密计算机及信息系统的建设与管理第七条涉密计算机及信息系统的建设应当符合国家有关保密规定和标准，具备相应的安全保密防护措施。

第八条建设涉密计算机及信息系统，应当选用国产设备和软件，并进行安全保密检测和评估。

第九条涉密计算机及信息系统的运行维护应当由本单位内部专门人员负责，严禁外部人员进行操作和维护。

第十条对涉密计算机及信息系统进行设备更新、软件升级、系统改造等，应当事先进行安全保密评估和审批。

四、涉密计算机及信息系统的使用第十一条使用者应当经过保密培训，并签订保密承诺书，明确保密责任和义务。

第十二条涉密计算机应当设定开机密码、登录密码等，密码应当定期更换，且复杂度符合保密要求。

第十三条严禁在涉密计算机上使用非涉密存储介质，严禁在非涉密计算机上使用涉密存储介质。

第十四条涉密计算机及信息系统应当与互联网及其他公共信息网络实行物理隔离，严禁连接无线网络。

第十五条涉密计算机及信息系统中的信息应当按照相应密级进行存储、处理和传输，不得擅自降低密级。

第十六条打印、复印涉密文件资料应当在专门的涉密设备上进行，并严格控制知悉范围。

计算机信息系统保密管理规定范本一、总则1. 为了保护计算机信息系统的安全，防止未经授权的访问、使用、披露和篡改等行为，制定本规定。

2. 本规定适用于本公司及其所有部门、员工和外部合作伙伴等与本公司相关的范围。

二、基本原则1. 保密责任原则：所有参与计算机信息系统的人员都应承担保密责任，不得泄露任何机密信息。

2. 严格访问控制原则：未经授权的人员不得访问计算机信息系统，且已授权人员仅限于其工作职责范围内的访问。

3. 用途限制原则：计算机信息系统仅用于本公司业务相关的目的，任何非法、违规的使用行为均禁止。

4. 安全审计原则：对计算机信息系统进行定期安全审计，及时发现和解决潜在的安全问题。

5. 安全教育培训原则：对参与计算机信息系统的人员进行安全教育培训，提高其保密意识和安全知识。

三、保密管理措施1. 访问控制措施(1) 分配唯一账户和密码给计算机信息系统的每个授权人员。

(2) 设置严格的权限控制，根据不同职责和需求，给予不同人员不同的访问权限。

(3) 定期更新账户密码，并要求授权人员采用强密码规范。

(4) 禁止共享账户和密码，严禁借用他人账户进行操作。

(5) 使用双因素认证或其他更加安全的认证方式，提高系统的访问控制能力。

2. 数据加密措施(1) 对计算机信息系统中的重要数据进行加密，确保数据在传输和存储过程中不被非法获取。

(2) 对敏感信息进行脱敏处理，确保敏感信息在系统中的使用不暴露真实内容。

(3) 采用强加密算法和安全协议，保障数据传输的安全性。

3. 安全审计措施(1) 定期对计算机信息系统进行安全审计，发现潜在漏洞和安全威胁，并及时采取措施解决。

(2) 监控计算机信息系统的登录、操作和访问记录，排查异常操作和异常行为。

4. 安全教育培训措施(1) 定期组织计算机信息系统安全知识培训，提高员工的保密意识和安全素养。

(2) 向员工普及信息安全的基本知识，包括密码安全、网络钓鱼等常见安全威胁。

(3) 强调员工在使用计算机信息系统时的责任和义务，警示员工遵守规定，确保安全使用。