信息安全与保密管理制度
- 格式:doc
- 大小:644.50 KB
- 文档页数:2
保密管理与信息安全制度第一章总则为了加强企业的保密管理与信息安全工作,确保企业内部信息的保密性、完整性和可用性,维护企业的商业利益和声誉,保障员工的合法权益,订立本《保密管理与信息安全制度》(以下称本制度)。
第二章保密工作的范围本制度适用于企业内部全部部门、机构和岗位,包含全体员工、临时员工、外包人员等。
保密工作的范围涵盖企业全部涉及保密信息的处理活动。
第三章保密责任1.全体员工都应当具备保密意识,保护企业的商业秘密和知识产权。
2.高级管理人员应当带头履行保密责任,确保企业内部信息的保密和安全,对保密工作进行管理和监督。
3.具体负责保密工作的部门应当订立相应的保密制度、规范和流程,并组织员工进行保密培训。
第四章保密分类与标识1.企业全部信息依照保密程度分为三个级别:一般级、紧要级和绝密级。
具体的保密级别由保密部门依据信息的紧要性、涉及范围、可能造成的损失等因素确定。
2.保密文件、资料以及电子文件应当依据保密级别进行标识。
标识内容包含文件名称、编码、保密级别等,并在文件、资料或电子文件的各页右上角加盖保密章。
保密知识与培训1.企业应当组织员工进行保密培训,提高员工保密意识和保密技能。
2.新员工入职时应当接受保密培训,并签署保密协议。
3.企业应定期开展保密培训活动,并对员工进行考核。
第六章保密措施1.企业应当建立健全信息安全管理制度,包含网络安全、设备管理、数据备份等方面的规定。
2.网络访问应进行身份认证和授权,禁止私自外连、下载、安装软件。
3.公司电脑、移动存储设备等信息载体应定期进行安全检查和维护,禁止私自带出公司。
4.数据备份应依照规定进行,并定期检查备份的完整性和可用性。
第七章保密违规行为处理1.对于泄露、窜改、破坏紧要信息的违规行为,将依法追究法律责任,并予以相应的纪律处分。
2.对于细小的保密违规行为,将予以口头警告、书面警告等相应的处理措施。
3.对于重点保密违规行为,将由保密部门进行调查处理,并依据调查结果做出相应的处理措施。
信息安全与保密责任制度范本一、总则为了保障公司的信息安全与保密工作,确保信息资产得到有效保护,规范员工的信息处理行为,特制定本制度。
二、遵守原则1. 合法合规原则:员工在信息处理过程中必须遵守国家法律法规及公司相关规定,不得从事任何违法违规行为。
2. 保密原则:员工必须妥善保管公司信息资产,不得泄露、篡改、误用信息,不得进行未经授权的访问。
3. 个人隐私原则:员工个人的隐私权利应得到充分尊重和保护。
4. 责任追究原则:对于违反本制度的行为,将按照公司规定进行相应处罚和追究责任。
三、信息安全责任1. 上级主管部门负责对信息安全工作进行统筹、协调,确保信息安全政策的贯彻执行。
2. 每个员工都有信息安全责任,应采取措施保护公司信息资产的安全。
3. 部门负责人应确保部门内信息安全体系的建立和运行,指定专人负责信息安全工作,制定和执行相关安全制度。
4. 维护信息安全的工作由信息安全小组负责协调,定期组织信息安全培训和演练,提升员工的安全意识和应急响应能力。
四、保密责任1. 保密工作由保密办公室负责协调,负责制定保密管理规定,并监督执行。
2. 各部门负责人应加强对下属员工的保密教育和管理,保证员工了解保密工作的重要性,提醒员工保密意识。
3. 员工在工作中接触到的公司机密信息,包括但不限于策划、技术、财务等,均应严格保密。
4. 员工在离职时应签署保密协议,对其在工作期间接触到并了解的公司机密信息负有终身保密责任。
五、信息安全措施1. 信息资产管理:建立完善的信息管理制度,包括信息登记、调配和归档等,确保信息资产的完整性和可用性。
2. 访问控制:对信息系统进行权限分级管理,权限按照分级规定严格分配,确保权限合理、安全。
3. 网络安全:建立防火墙、入侵检测和防病毒系统等网络安全设施,保障公司网络运行的安全与稳定。
4. 安全备份和恢复:建立信息安全备份和灾难恢复机制,确保信息资产在系统故障或灾难事件后能够及时恢复和重建。
信息安全与保密责任制度一、目的与范围信息安全与保密责任制度(以下简称“本制度”)的目的是为了规范和保障组织内信息的安全与保密工作,并明确相关人员的责任和义务。
本制度适用于组织内所有员工、合作伙伴和相关外部人员。
二、定义1. 信息安全:指对信息进行保护和管理,以防止信息的泄露、破坏、篡改、丢失等安全事件的发生。
2. 保密:指对组织内的机密信息进行严格的控制和保护,不允许未经授权的人员获取或使用。
三、基本原则1. 安全责任:组织内每个人都有保护信息安全的责任,需要遵守相关的安全规定和要求,积极参与信息安全工作。
2. 保密义务:组织内的员工必须遵守保密协议和保密约定,不得泄露机密信息,对泄露信息造成的损失承担相应责任。
3. 授权原则:只有经过授权的人员才有权访问、使用和处理相应的信息,未经授权不得擅自使用信息。
4. 安全教育:组织将定期对员工进行有关信息安全的培训和教育,提高员工的安全意识和技能。
5. 事件报告:任何安全事件或泄露行为应立即向信息安全部门或上级主管报告,及时采取措施进行处理和调查。
四、责任与义务1. 组织:(1)建立和完善信息安全管理制度;(2)制定和推行相关安全政策、规定和流程;(3)组织安全培训和教育,提高员工的安全意识和技能;(4)定期进行安全检查和评估,及时修复安全漏洞和隐患。
2. 部门负责人:(1)负责本部门的信息安全工作,确保信息的安全性和保密性;(2)组织安全培训和教育,推动员工的安全意识和技能提升;(3)定期检查和评估本部门的安全工作,修复安全漏洞和隐患。
3. 员工:(1)保护组织内的信息安全和保密;(2)不得泄露机密信息,不得擅自访问无权限的信息;(3)积极参与安全培训和教育,提高安全意识和技能;(4)发现安全问题或泄露行为应及时报告,积极配合相关调查和处理工作。
五、违规处理对于违反本制度的行为,将按照组织的纪律处分规定进行处理,包括警告、记过、降职、辞退等,情节严重的还可能承担法律责任。
信息安全保密管理制度范本第一章总则第一条为加强企事业单位对信息资产的保护,维护信息系统安全和信息安全,提高工作效率和质量,根据国家相关法律、法规和标准,制订本制度。
第二条本制度适用于公司内部所有涉及信息资产的管理人员和使用人员,包括公司内部员工、合作伙伴、供应商等。
第三条本制度的宗旨是,通过制定和执行信息安全保密管理制度,保护信息资产的机密性、完整性和可用性,确保信息系统和数据的安全可靠。
第四条公司内部应建立完善的信息安全管理体系,包括组织机构、管理职责、工作流程和技术措施等。
第五条信息安全保密管理制度应与公司其他管理制度相衔接,形成统一的管理体系。
第六条公司应设立信息安全保密管理委员会,负责审核、审批信息安全相关事项。
第二章信息资产管理第七条公司应对信息资产进行分类,根据不同级别的机密性和重要性确定相应的保护措施。
第八条信息资产进行分类、评估、授权、记录、标识、备份、存储、传输等工作应在信息安全保密管理制度的指导下进行。
第九条信息资产的保护措施应包括物理安全、网络安全、访问控制、密码管理等方面。
第十条对系统和网络进行安全检查和评估,发现安全漏洞应及时修复。
第十一条重要数据和资料应进行备份和恢复措施的规划和实施,确保数据的可用性和安全性。
第十二条信息资产的归档和销毁应按照相关规定进行,确保信息资产的完整性和保密性。
第三章信息安全的技术措施第十三条公司应采取合适的技术措施,确保信息系统和数据的安全可靠。
第十四条公司应加强对信息系统的安全防护,包括入侵检测、防火墙、反病毒等技术的应用。
第十五条公司应采用合适的身份认证和访问控制机制,限制非授权人员的访问权限。
第十六条公司应建立完善的密码管理制度,包括密码复杂程度、有效期限和变更机制等。
第十七条公司应加强对网络安全的监控和防护,及时发现和处理网络安全事件。
第四章信息安全的管理措施第十八条公司应明确信息安全保密的组织结构和职责分工,建立信息安全管理委员会。
信息安全管理规范和保密制度模版一、引言本信息安全管理规范和保密制度模板旨在规范和管理组织内部的信息安全工作,确保机构的信息系统和信息资产得到有效的保护和管理。
本规范和制度适用于所有使用和处理机构信息系统和信息资产的人员,包括员工、合作伙伴和供应商。
二、基本原则1. 机构的信息安全管理遵循以下基本原则:(1) 整体风险管理:将信息安全纳入组织的整体风险管理体系中。
(2) 合法合规性:遵守国家法律法规和相关规定,确保信息处理活动的合法性和合规性。
(3) 保密性原则:确保对机构的信息资产以及客户、员工、供应商的个人信息进行保密。
(4) 完整性和可用性原则:保证信息资产的完整性和可用性,防止信息被不合法或未经授权地篡改、破坏、丢失或不可用。
(5) 风险评估和处理原则:根据风险评估结果,采取相应的风险处理措施。
(6) 持续监测和改进原则:持续监测信息安全环境,不断改进信息安全管理机制和措施。
三、信息安全管理规范1. 信息资产分类和保护(1) 信息资产分类:对信息资产进行分类,并确定不同分类的保护级别和相应的安全措施。
(2) 信息资产保护:根据信息资产的保护级别,采取相应的安全措施,包括物理、技术和组织控制措施。
(3) 信息资产使用:明确信息资产的使用规定,包括访问权限管理、使用限制和操作规程等。
2. 访问控制(1) 用户身份验证:建立用户身份验证与授权机制,确保只有经过身份验证的用户可以访问信息系统。
(2) 授权管理:为用户分配合适的访问权限,并定期进行权限审查和撤销。
(3) 审计跟踪:记录和审计用户的访问行为,确保对访问行为进行监控和追踪。
3. 系统安全(1) 系统配置与加固:按照安全标准和最佳实践要求,对信息系统进行配置和加固,包括操作系统、数据库和网络设备等。
(2) 弱点管理:定期进行弱点扫描和漏洞评估,及时修补和补丁更新。
(3) 应急响应和恢复:建立应急响应和恢复机制,通过灾备备份和紧急处理措施,确保信息系统的可用性和业务连续性。
信息安全管理规范和保密制度范本信息安全管理规范范本:1. 引言信息安全是企业运营的重要保障,为了确保企业信息资产的保密、完整和可用性,制定本规范。
2. 目的本规范的目的是为企业建立一套完整的信息安全管理制度,保护企业的核心竞争力和客户利益。
3. 信息安全政策3.1 管理层应明确制定信息安全政策,并将其进行通知和培训。
3.2 信息安全政策包括但不限于:信息资产的分类、使用权限的管理、信息安全培训等。
4. 信息资产管理4.1 企业应设立专门的信息资产管理团队,负责信息资产的管理和维护。
4.2 信息资产应按照一定的分类和重要程度进行管理,并采取适当的技术和管理手段进行保护。
5. 访问控制5.1 企业应建立统一的身份认证和授权系统,确保只有经过授权的用户可以访问相关信息资产。
5.2 企业应定期审查和更新用户的访问权限,并及时删除无效的用户账户。
6. 网络安全6.1 企业应建立安全的网络架构,并采取相应的技术手段进行安全防护。
6.2 企业应定期进行网络安全漏洞扫描和风险评估,及时修补漏洞以防止未授权的访问。
7. 信息安全事件处理7.1 企业应建立完善的信息安全事件处理流程,及时响应和处置安全事件。
7.2 企业应对所有的信息安全事件进行记录和分析,以便改进安全措施和预防类似事件的发生。
8. 审计和监督8.1 企业应定期进行信息安全审计,评估信息安全制度的有效性和合规性。
8.2 企业应建立信息安全监督机制,及时发现和纠正信息安全问题。
9. 文件和记录管理9.1 企业应建立信息安全文件和记录管理制度,确保文件和记录的完整性和可靠性。
9.2 企业应制定合适的文件和记录保密措施,防止信息泄露和丢失。
10. 培训和宣传10.1 企业应定期对员工进行信息安全培训和宣传,提高员工的信息安全意识。
10.2 企业应建立信息安全奖惩机制,鼓励员工遵守信息安全规范。
保密制度范本:1. 引言信息保密是企业运营的重要保障,为了确保企业的核心技术和商业机密的保密,制定本保密制度。
信息系统安全保密制度为加强开发区计算机信息系统安全和保密管理,保障计算机信息系统的安全,特制定本管理制度。
第一条严格落实计算机信息系统安全和保密管理工作责任制。
按照“谁主管谁负责、谁运行谁负责、谁公开谁负责”的原则,各科室在其职责范围内,负责本单位计算机信息系统的安全和保密管理。
第二条办公室是全局计算机信息系统安全和保密管理的职能部门。
办公室负责具体管理和技术保障工作。
第三条计算机信息系统应当按照国家保密法标准和国家信息安全等级保护的要求实行分类分级管理,并与保密设施同步规划、同步建设。
第四条局域网分为内网、外网。
内网运行各类办公软件,专用于公文的处理和交换,属____网;外网专用于各部门和个人浏览国际互联网,属非____网。
上内网的计算机不得再上外网,涉及国家____的信息应当在指定的____信息系统中处理。
第五条购置计算机及相关设备须按保密局指定的有关参数指标由机关事务中心统一购置,并对新购置的计算机及相关设备进行保密技术处理。
办公室将新购置的计算机及相关设备的有关信息参数登记备案后统一发放。
经办公室验收的计算机,方可提供上网ip地址,接入机关局域网。
第六条计算机的使用管理应符合下列要求:(一)严禁同一计算机既上互联网又处理____信息;(二)各科室要建立完整的办公计算机及网络设备技术档案,定期对计算机及软件____情况进行检查和登记备案;(三)设置开机口令,长度不得少于____个字符,并定期更换,防止口令被盗;(四)____正版防病毒等安全防护软件,并及时进行升级,及时更新操作系统补丁程序;(五)未经办公室认可,机关内所有办公计算机不得修改上网ip地址、网关、dns服务器、子网掩码等设置;(六)严禁使用含有无线网卡、无线鼠标、无线键盘等具有无线互联功能的设备处理____信息;(七)严禁将办公计算机带到与工作无关的场所;确因工作需要需携带有____信息的手提电脑外出的,必须确保____信息安全。
信息系统安全保密制度一、总则为了确保信息系统的安全性和保密性,保障重要信息资料不被泄露、篡改和丢失,规范信息系统的使用,保护用户的合法权益,制定本信息系统安全保密制度。
二、适用范围本制度适用于公司内所有使用和管理信息系统的人员。
三、保密责任1. 所有人员都有保密责任,必须妥善保管和使用系统账号和密码。
2. 未经授权,禁止向他人透露、复制、篡改、销毁或提供与工作相关的信息资料。
3. 在终止使用信息系统时,必须及时注销账号,并归还或销毁与该账号相关的一切资料。
四、账号管理1. 所有用户都必须有唯一的账号和密码,且禁止共享账号和密码。
2. 账号和密码应采用复杂的组合,并定期更换。
3. 管理人员对账号进行严格授权和权限管理,按照不同的工作职责分配不同的权限。
五、信息安全技术措施1. 信息系统应采用防火墙、入侵检测系统、安全审计系统等技术手段,保证系统的安全性。
2. 数据库应进行定期备份,以防止数据丢失。
3. 系统应定期进行漏洞扫描和风险评估,及时修补系统的安全漏洞。
4. 系统应定期开展培训和演练,提高员工的安全意识和技能。
六、信息安全事件处理1. 任何发现或怀疑信息安全事件的人员,应立即报告信息安全管理员。
2. 信息安全管理员应及时采取措施,调查和处理信息安全事件,并将处理结果及时报告给公司领导。
3. 对于因违反保密规定而造成的损失,相关人员应依法承担责任。
七、违规处理1. 对于未经授权访问、篡改或毁坏信息资料的行为,将依法给予处理,并承担法律责任。
2. 对于泄露重要信息或故意传播虚假信息的行为,将严肃追究相关人员的责任,并保留追究法律责任的权利。
3. 对于其他违反保密规定的行为,将依情节轻重给予批评、警告、处分等处罚。
八、附则1. 本制度自发布之日起生效,并适用于当前和未来的所有信息系统。
2. 涉及外部合作伙伴和第三方供应商的合作,必须在合同中明确信息安全保密要求,并加以监督和检查。
3. 本制度的解释权归公司所有,并可以根据需要进行修改和补充。
信息安全与保密责任制度范本____信息安全保密制度〔编号: 〕一、总则为确保公司的技术、经营____不流失, 确保公司各项工作安全、迅速地进行, 保证公司的合法利益不受损害, 根据《____保密法》有关规定, 结合本公司实际情况, 特制定本制度。
二、适用范围(一)公司____是指关系公司权力和利益、依照特定程序确定、在一定时间内只限一定范围内的人员知悉的事项。
凡是与本公司保密相关的工作内容均应保密, 并适用本制度。
(二)本制度适用于公司全体员工, 每个员工均有保守公司____的义务和制止他人____的权利。
(三)保密工作由公司总经理领导, 各部门负责人具体实施。
各部门应将保密工作纳入本部门的工作计划, 保障本部门工作的顺利开展。
三、保密守则:(一)不该说的保密信息, 绝对不说;(二)不该问的保密信息, 绝对不问;(三)不该看的保密信息, 绝对不看;(四)不该记录的保密信息, 绝对不记录;(五)不在不利于保密的地方记录或存放应保密的文件和资料;(六)不在私人通讯中涉及保密信息;(七)不在公共场所和家属、子女、亲友面前谈论保密信息;(八)不在互联网、电话、邮寄邮件等不利于保密的通讯渠道中传达保密信息;(九)非工作必要的情况下, 不携带保密资料游览、参观、探亲、访友和出入公共场所。
(十)在保密岗位工作接触保密信息的人员, 应按照核准的权限使用保密信息。
四、保密范围和密级划分(一)密级划分:1、绝密级:是公司____中的核心部分, 限极少数人知悉的事项, 一旦泄露将对公司造成特别严重的损失, 影响到公司发展。
主要包括以下内容:(1)公司尚未公布或实施的经营战略、经营方向、经营规划、经营项目以及经营决策。
(2)公司发展相关的市场调查与预测报告、投资计划等。
(3)股东资料、财务预算决算报告、审计报告等各类财务报表、统计报表。
(4)公司的各类印章、营业证照、合同、协议、意见书及可行性报告等。
(5)公司的工作总结和计划、会议纪录、____、保密期限内的重要决定事项。
信息安全管理规范和保密制度范例一、引言信息安全是指确保信息系统及其中所储存、传输、处理的信息免受未经授权的访问、利用、披露、干扰、破坏的状态和措施。
为了保障公司的重要信息安全和防止机密信息外泄,制定本信息安全管理规范和保密制度。
二、信息安全管理规范1.信息安全责任1.1 公司将建立信息安全管理委员会,负责信息安全相关工作的决策和监督。
1.2 公司将指定信息安全管理负责人,负责协调和推动信息安全工作。
1.3 公司全体员工要遵守信息安全管理规定,保护公司的信息资产安全。
1.4 公司将定期组织信息安全教育培训,提高员工的信息安全意识。
1.5 公司将建立信息安全应急响应机制,及时应对和处置信息安全事件。
2.信息资产保护2.1 公司将对重要信息资产进行分类并制定相应的安全防护级别。
2.2 公司将对信息资产进行全面的风险评估和安全审计,及时发现和解决存在的安全问题。
2.3 公司将使用合法、正版的软件和硬件设备,确保信息系统的安全稳定运行。
2.4 公司将建立信息备份和恢复制度,保障关键数据的安全和可靠性。
3.网络安全保护3.1 公司将建立网络安全防护体系,包括网络入侵检测系统、防火墙等安全设备的部署和维护。
3.2 公司将加强对内网和外网的访问控制管理,设置严格的权限控制和身份认证机制。
3.3 公司将定期进行网络安全漏洞扫描和安全测试,及时修复和升级系统漏洞。
3.4 公司将对互联网上的敏感信息进行加密和传输安全保护,防止信息泄露和篡改。
4.应用系统安全4.1 公司将建立应用系统开发和运维的安全标准和流程,确保系统的安全可靠。
4.2 公司将对应用系统进行安全审计,确保系统没有存在潜在的安全漏洞。
4.3 公司将建立合理的访问控制策略,限制用户的操作权限和数据访问权限。
4.4 公司将加强对程序代码的安全审查,防止恶意代码的注入和攻击。
5.员工行为管理5.1 公司将制定员工信息安全管理章程,明确各级员工的信息安全责任和义务。
信息安全与保密管理制度
一、组织机构及职责
成立信息安全和保密管理工作领导小组,负责局内信息安全和保密管理工作。
组长由李荣春副局长担任。
副组长由陈旺玉副局长、江祖斌总规划师、汤陈健纪检组组长、魏鼎副调研员、陈幼祥副调研员办公室主任担任。
成员由各相关科室负责人组成。
领导小组下设信息安全和保密办公室,挂靠局办公室,由陈幼祥同志兼任主任,同时抽调郑宜美、薛赞钊、丁伏容、丁婷、陈锦斌等5位同志为信息安全和保密办公室成员,负责信息安全和保密工作日常运作与联络。
二、人员管理
(一)重要岗位信息安全和保密责任
1、对重要岗位指定专人负责接入网络的安全管理,并对上网信息进行保密检查,切实做好保密防范工作。
2、重要岗位中的涉密信息不得在与国际网络联网的计算机系统中存储,处理和传输,严格做到“涉密不上网,上网不涉密”。
3、重要岗位工作人员要加强网络监控,若发现计算机或网络遭到大规模的攻击,要及时向局领导汇报,并依据有关规定处理。
如发现资料泄露的情况,在采取应急措施的同时,应及时将情况上报市网络与信息安全协调小组和局领导。
4、重要岗位的重要资料要做好备份,以防止资料遗失、损毁。
5、重要岗位工作人员要遵守局信息储存、清除和备份的制度,定期开展信息安全检查,及时更新系统漏洞补丁,升级杀毒软件。
6、信息安全和保密办公室要组织各科室加强机关重要岗位的信息安全和保密管理情况的监督,定期进行检查,提高泄密隐患发现能力和泄密事件处置能力,共同做好信息安全和保密工作。
(二)人员离岗离职时信息安全管理规定
机关工作人员离岗离职,有关科室应即时取消其计算机涉密信息系统访问授权,收回计算机、移动存储设备等相关物品。
三、信息安全、保密管理
(一)计算机及软件备案管理制度
1、购买计算机及相关公文处理设备须由局办公室统一组织购买或接受捐赠,并由信息安全和保密办公室对计算机及相关设备的有关信息参数登记备案后统一发放。
2、信息安全和保密办公室要建立完整的计算机及网络设备技术档案,定期对计算机及软件安装情况进行检查和登记备案。
3、计算机要安装正版信息安全防护软件,及时升级更新操作系统漏洞补丁与信息安全软件。
4、拒绝使用来历不明的软件和光盘。
凡需引入使用的软件,均须首先防止病毒传染。
(二)计算机安全使用与保密管理规定
1、计算机信息系统应当按照国家保密法标准和国家信息安全等级保护的要求实行分类分级管理,并与保密设施同步规划、同步建设。
2、办公用计算机局域网分为内网、外网。
内网运行政府OA系统软件,专用于公文的处理和交换,属涉密网;外网专用于各部门和个人浏览国际互联网,属非涉密网。
内、外网采用双线路,实行物理隔离。
3、测绘院(筹)用于存储测绘资料、档案等电子资料的计算机必须与内、外网(含政府专网)实行物理隔离,不得联入任何网络。
4、涉及机关工作秘密的信息(以下简称涉密信息)应当在规定的涉密信息系统中处理。
严禁同一计算机既上互联网又处理涉密信息
5、未经申报同意,局机关所有办公计算机不得修改上网IP地址、网关、DNS服务器、子网掩码等设置。
6、严禁使用含有无线网卡、无线鼠标、无线键盘等具有无线互联功能的设备处理涉密信息。
7、严禁将办公计算机带到与工作无关的场所,确因工作需要需携带有涉密信息的手提电脑外出的,必须做好备案登记,并确保涉密信息安全。
(三)用户密码安全保密管理规定
1、用户密码管理的范围是指涉密计算机所使用的密码。
2、涉密计算机设置的密码长度要大于等于5个字符,密码要定期更换。
3、涉密计算机需要设置操作系统开机登录和屏幕保护等多个密码保护方式。
(四)涉密移动存储设备的使用管理
1、涉密移动存储设备由信息安全和保密办公室负责登记备案后,由各科室负责人负责管理,做到专人专用。
2、严禁涉密移动存储设备在内、外网之间交叉使用。
3、移动存储设备在接入本部门计算机信息系统之前,
应查杀病毒、木马等恶意代码。
4、严禁将涉密存储设备带到与工作无关的场所。
(五)数据复制操作管理规定
1、将互联网上的信息复制到内网时,应采取严格的技术防护措施,查杀病毒、木马等恶意代码,严防病毒等传播。
2、使用移动存储设备从内网向外网复制数据时,应当采取严格的保密措施,防止泄密。
3、复制和传递密级电子文档,应当严格按照复制和传递同等密级纸质文件的有关规定办理。
不得在外网传递、转发或抄送涉密信息。
4、各科室因工作需要向外网公开内部信息资料时,必须由该科室负责人审核、有关领导同意后交由相关负责人统一发布。
(六)计算机、存储介质、及相关设备维修、维护、报废、销毁管理规定
1、计算机、存储介质及相关设备维修、维护、报废、销毁由信息安全和保密办公室负责,按保密要求实行定点维修。
需外请维修的,要派专人全程监督;需外送维修的,应由信息安全和保密办公室拆除信息存储部件,以防止存储资料泄密。
2、办公计算机、存储介质及相关设备在变更用途时,必须进行严格的消磁技术处理。
3、机关使用的计算机、存储介质及相关设备报废、销毁时,应拆除存储部件,由信息安全和保密办公室按有关要求统一销毁,同时作好备案登。
(七)上网发布信息保密规定
1、局网站信息内容的更新由信息安全和保密办公室工作人员完成。
凡上网的信息,上网前必须经过保密审查,报分管领导审批,严格按照"谁主管,谁负责","谁主办,谁负责"的原则,落实责任制,明确责任人和职责。
2、凡以提供网上信息服务为目的而采集的信息,除在其它新闻媒体上已公开发表的,组织者在上网发布前,应当征得提供信息单位的同意。
凡对网上信息进行扩充或更新,应当认真执行信息保密审核制度。
3、涉密人员在其它场所上国际互联网时,要提高保密意识,不得在聊天室、电子公告系统、网络新闻上发布、谈论和传播国家秘密信息。
4、使用电子函件或其他方式进行网上信息交流时,应当遵守国家保密规定,不得利用电子函件传递、转发或抄送国家秘密信息。
四、应急管理
(一)应急措施
1、网站出现非法信息的应急处理。
发现我局网站出现非法信息时,发现人应第一时间向网站管理员报告。
网站管理员应迅速清除非法信息,做好记录,同时向领导汇报情况。
如认为事态严重,应向公安部门报警。
2、网站无法正常打开的应急处理。
发现我局网站不能正常打开时,发现人应第一时间向网站管理员报告。
若故障无法处理,应立即通知网站建设方处理。
待故障处理完成并经过测试后,恢复系统的正常运行。
3、黑客入侵的应急处理。
当发现我局网站有网页内容被篡改,或发现有黑客正在进行攻击时,应立即通知服务方将网站服务器从网络中隔离出来,并向领导报告。
若系统已被破坏,应立即通知网站建设方恢复与重建系统。
如认为事态严重,应向公安部门报警。
4、网站程序遭破坏性攻击的应急处理。
网站应做好备份工作,并将备份保存在安全的地方。
一旦网站遭到破坏性攻击,应立即向领导报告,同时通知网站建设方。
网站建设方负责检查系统日志等资料,确定攻击来源,恢复系统和数据。
如认为事态严重,应向公安部门报警。
5、网站数据库崩溃的应急处理。
网站建设方每月至少备份一次网站数据,并将备份保存在安全的地方。
一旦数据库崩溃,立即通知网站建设方负责进行数据恢复。
(二)应急管理的后期处置
在应急处置工作结束后,要迅速采取有效措施,尽快查明原因,对事件造成的损失和影响以及恢复重建能力进行分析评估,认真制定恢复重建计划,并迅速组织实施。
五、责任追究
信息安全和保密办公室要加强本局信息安全和保密管理情况的监督,定期开展检查,发现问题及时纠正。
计算机信息系统使用、管理人员违反本制度,情节较轻的,应予以批评教育;情节严重,造成安全和泄密隐患的,按有关规定处理。
违反本制度泄漏国家秘密的,按照有关规定给予处分;构成犯罪的,依法追究刑事责任.。