区供销社涉密计算机信息系统管理制度

区供销社涉密计算机信息系统管理制度

规划和建设涉密计算机信息系统，应当符合《涉及国家秘密的计算机系统保密技术要求》，同步规划和落实相应的保密技术防范措施。

第一条 计算机设备保密管理

（一）应选择经国家保密局测评机构认可的涉密计算机及网络产品或设备。

（二）涉密计算机、涉密存储介质及涉密计算机网络产品或设备在使用前，由区社办公室进行登记，标明密级，粘贴密级标识，并向本单位保密部门备案。

（三）未在部门登记的计算机、存储介质、计算机网络产品或设备等不得接入涉密计算机系统或处理涉密信息。因特殊情况处理过涉密信息的，在部门登记后纳入机关保密管理范畴。

（四）区社人员不得擅自更改或变动涉密计算机、涉密计算机网络配置、密级标识等。

（五）涉密计算机在淘汰、报废或送出机关维修前，要拆除涉密存储介质。

第二条 涉密计算机系统保密管理

（一）涉密计算机系统保密建设方案应经过本单位保密部门审查备案。

（二）涉密计算机系统在投入使用前应经过保密委员会审批，未通过审批的涉密系统不准运行涉密信息。

（三）进入涉密计算机系统应进行身份鉴别。要按要求设置并定期更新涉密系统口令。

（四）涉密计算机系统应该与国际互联网物理隔离。严禁以任何方式将涉密计算机接入国际互联网或其他非涉密计算机系统。

（五）涉密计算机系统中心机房、绝密级计算机系统工作场所等应作为保密要害部位进行管理。

（六）区社人员不得越级访问涉密信息。

（七）涉密计算机系统安全保密管理员、密钥管理员和系统管理员应由不同人员担任，并且职责明确。

（八）系统安全保密管理员应定期审查系统日志并作审查记录。机密级以下涉密系统审查周期不得长于1个月。

第三条 涉密信息保密管理

（一）各机关、单位对所产生的涉密信息，应当依照保密范围的规定及时确定密级。密级确定后，确定密级的机关、单位发现不符合保密范围规定的，应当及时纠正。

（二）涉密计算机处理、存储的涉密信息应有相应的密级标识，密级标识不能与正文分离。

（三）各单位工作人员中产生的机密级以下秘密信息原则上在单位内网中处理，存储在个人移动硬盘内。

（四）绝密级秘密信息必须用绝密计算机处理，并在专用存储介质中加密存储。

（五）发往各上级或下属单位的涉密电子邮件，应当通过本系统普密网传递，不得在低于涉密邮件密级的网络中发送涉密邮件。

（六）未经批准严禁私自下载涉密信息。因工作需要打印或下载的涉密信息应当按密级文件进行管理。

（七）保存涉密信息，应当选择安全保密的场所和部位，并配备必要的保密设备。

（八）不得在非涉密的计算机信息系统上存储、处理、传递涉密信息。

第四条 涉密计算机（单机）保密管理

（一）涉密单机保密管理实行领导责任制，坚持“谁使用谁负责”的原则，各部门负责人是保密管理责任人，使用人员是保密直接责任人。

（二）涉密计算机必须放置在具有安全保护措施的专用房间内使用，无关人员禁止入内。

（三）未采用低辐射材料的涉密计算机，必须配备电磁干扰器，且涉密计算机工作时必须保证电磁干扰器已打开并正常工作。

（四）涉密计算机（机密级以下）应专机专用，临时调用需经单位领导批准。严禁个人私用，不得在密码设备上安装与密码工作无关的部件（含软件）。

（五）绝密计算机由部门指定专人按核心密码设备管理，使用时应当履行登记手续。

（六）除核心涉密人员外，其他任何人员不得使用绝密计算机。

（七）绝密计算机必须单机使用，禁止将绝密计算机接入其他任何网络。

（八）绝密计算机只限在单位内部使用，不得以任何理由带出。

（九）涉密计算机的维修要由保密主管部门指定维修点，并做好维修日志记录，涉密计算机的报废须经过市保密局涉密载体销毁中心报废，不得私自交易到废品收购站。

第五条 涉密便携式计算机保密管理

（一）涉密便携式计算机由各单位保密部门统一管理，使用时应履行借用登记制度。

（二）严禁使用涉密便携计算机接入互联网及其他非涉密网。

（三）便携涉密计算机登录时应采取口令登录或其他技术防范措施防止其他无关人员使用。

（四）涉密便携式计算机须和移动存储介质配合使用，所有涉密信息必须存储在移动存储介质中，涉密便携式计算机中不得存储涉密信息。

（五）携带涉密便携式计算机外出，须填写审批表，经单位主管领导批准后方可带出，携带外出应严格遵守国家安全保密制度。涉密便携式计算机归还后，本单位保密部门要对其使用情况进行保密检查。

（六）携带涉密便携式计算机外出时，尽可能随身携带便携式计算机，在任何地方离开计算机时，必须拔出移动存储器，并关闭计算机。

（七）对保管和使用便携计算机中发生的安全事件，必须及时对主管领导和保密部门报告，任何部门或个人不得隐瞒。

第六条 密钥、口令管理

（一）口令由系统安全保密管理人员集中产生供用户选用，并对口令更换进行记录。

（二）处理秘密级信息的系统口令长度不得少于八个字符，口令更换周期不得长于一个月；处理机密级信息的系统口令长度不得少于十个字符，口令更换周期不得长于一周。处理绝密级信息的系统，应采用一次性口令或生理特征等强制认证措施。

（三）应采用组成复杂、不易猜测的口令，一般应是大小写英文字母、数字和特殊字符中两者以上的组合。

（四）口令必须加密存储，在网络传输时必须有加密措施，并且保证口令存放载体的物理安全。

第七条 涉密存储介质保密管理

（一）存储介质的范围：软磁盘、硬盘、磁带、移动硬盘、U盘、刻录光盘、纸质文件等。

（二）涉密存储介质应按存储信息的最高密级标注密级，并按相应密级的秘密载体管理。

（三）存储过国家秘密信息的介质不能降低密级使用。不再使用或损坏的存储介质应及时交由本单位保密部门统一送市涉密载体销毁中心销毁。

（四）禁止绝密级存储介质接入机关内网。

（五）涉密存储介质不得带出单位。确因工作需要，经批准可以携带涉密U盘外出，但外出携带的涉密U盘内只能存储与外出工作任务有关的涉密信息。

（六）一切带有密级的存储介质，要严格控制接触范围，不准个人私自复制、抄录、打印，否则追究领用者的责任。

（七）人员离岗、离职前，应到保密管理部门清退其保存或使用的移动存储介质，并办理变更手续。

（八）涉密计算机的维修应由本单位保密部门批准的人员在本单位保密部门批准的地方进行，严禁在其他地点或由其他人员维修涉密计算机。

（九）涉密介质管理制度应符合《中共中央保密委员会办公室、国家保密局关于国家秘密载体保密管理的规定》（厅字〔2000〕58号）文件要求。

第八条 互联网保密管理

（一）禁止在互联网中处理、发布以及利用电子邮件传递国家秘密和其他可能涉及国家秘密的信息。

（二）凡向互联网上提供或发布信息，必须经过保密审查批准。审查工作按宣传报道保密管理规定办理。

（三）本单位互联网网点变动情况应及时向单位保密部门备案。

第九条 病毒防治管理

（一）涉密系统应采用国家主管部门批准的查毒杀毒软件，并及时升级病毒样本库。

（二）应适时进行包括服务器和客户端的查毒杀毒，并对染毒次数、杀毒次数、杀毒结果作出记录。

（三）不允许使用来历不明、未经杀毒的软件，不阅读和下载来历不明的邮件或文件，严禁控制，阻断病毒来源。

（四）应制定对查、杀病毒软件的使用规定、定时查毒的周期时间、控制病毒来源的具体措施，并由安全保密管理员对其中某些具体项目进行检查。

第十条 安全审计管理

（一）处理秘密级、机密级信息的涉密系统应采用独立审计系统，将审计信息存放在各个服务器和安全保密设备上，各审计日志独立，彼此没有联系，供系统安全保密管理员审查。

（二）处理绝密级信息或信息内容特别重要的涉密系统应采用综合审计系统，将各服务器、安全保密设备及数据库等的审计信息收集、整理、分析汇总，供系统安全保密管理员审查。

（三）审计日志应记录审计事件发生的日期和时间、主体身份、事件类型、事件结果(成功或失败)，对于鉴别失败、系统配置修改、用户权限修改等重要审计事件应明确记录。

（四）处理绝密级信息的涉密系统，应当能够检测并记录侵犯系统的事件和各种违规操作，并及时自动告警，自动告警应足以提醒安全保密管理员有安全事件发生。

（五）应设置审计日志的访问权限，定期备份审计日志，并提供完整性保护；并保证审计不被旁路，防止漏记审计数据。

（六）审计存储空间将满时，应能自动告警提醒系统管理员采取措施防止审计数据的丢失。绝密级系统在审计存储空间将满时，应能对审计数据归档并在归档前禁止任何其它活动。

（七）系统安全保密管理员应定期审查系统日志，并有相应的记录，审查记录不得更改、删除。处理秘密级、机密级信息的涉密系统审查周期不得长于一个月；处理绝密级信息的涉密系统审查周期不得长于一周。

第十一条 通信、办公自动化安全保密管理

（一）通过加密传真机传输涉密信息，应当履行登记手续，并严格执行有关规定。禁止使用普通传真机传递国家秘密信息。

（二）原则上不使用复印机复制秘密载体。确因工作需要复制秘密载体要履行审批手续。

1.复制绝密级载体，须经该秘密载体制发单位批准。

2.复制机密级载体，须当经本单位主管领导批准。

3.复制秘密级载体，须经本部门领导批准。

4.密码电报严禁复制。

（三）复制秘密载体不得改变其密级、保密期限和知悉范围。

（四）严禁在移动电话、办公电话、对讲机等普通通信设备中谈论国家秘密事项。