计算机和信息系统安全保密管理规定-资料下载页

　　

【正文】 业务主官部门按照权限分隔、相互制约与最小授权的原则确定。军队计算机信息系统工作人员上岗前应当经过安全保密培训，工作时佩带明显的标志，并遵守《军队计算机信息系统工作人员安全保密守则》（见附录二）。第十六条 管理使用计算机信息系统的军队单位和人员，必须接受保密管理部门的监督检查。对检查中发现的问题，主管部门和使用单位应当及时解决。第四章 信息与介质第十七条 军队计算机信息系统中的涉密信息和重要数据，必须按照秘密性、完整性、可用性和安全性的要求进行生产、传递、存储和使用。第十八条 军队计算机信息系统中的涉密信息，必须按照《中国人民解放军保密条例》的有关规定划定密级，并具有与该涉密信息不可分离的密级标记和出网标记。第十九条 向军队计算机及其网络所在控制区外传输秘密信息，必须按照信息的密级采取加密措施；在控制区内传输秘密信息，视需要采取相应的加密措施。第二十条 军队计算机信息系统中的涉密信息和重要数据，应当根据工作需要和最小授权原则进行存取，任何单位或者个人不得越权调阅、使用、修改、复制和删除。第二十一条 用于存储涉密信息和重要数据的数据库，必须具备相应的安全保密防护措施。第二十二条 军队计算机信息系统中重要的涉信息和数据，必须及时备份和异地存放，并按照其原密级采取相应的安全保护措施。第二十三条 存储涉密信息的硬盘、软盘、光盘、磁带等介质，应当按照其中存放信息的最高密级划定秘密等级，并按照秘密载体安全保密要求进行管理。第二十四条 处理过军队涉密信息或者重要数据的存储介质，不得转让或者出借给无关人员使用，不得私自带往境外，不得送往无安全保密保障的机构修理。已划定秘密等级的存储介质报废后，应当彻底销毁。第五章 环境与场所第二十五条 军队计算机信息系统所在的环境，必须符合国家和军队有关电磁环境的安全要求。对涉密或者重要的计算机信息系统，必须采取防电磁泄漏的措施。第二十六条 集中设置计算机及其网络设备的场所，应当根据涉密程度、重要程度和周围环境状况，按照国家与军队的有关规定、标准进行建设管理，并划定带有明显标志的控制区。分散设置的涉密计算机及其网络设备，应当置于办公区域的安全部位，并采取相应的安全保密措施。第二十七条 军队计算机信息系统的重要机房和网络设施，必须按照国家和军队的有关规定，与境外驻华机构、人员驻地和涉外建筑保持相应的安全距离，并不得共用电源、金属管线和通风管道。无法达到上述要求的，必须采取有效的防护措施。第二十八条 新建涉密的大型机房，必须经过技术安全保密检查合格后方可使用。第六章 安全保密产品第二十九条 用于军队计算机信息系统安全保密防护与检测的硬件、软件和系统，必须选用军内或者国内研制开发并经解放军信息安全测评认证中心测评认证的产品；其中的密码技术和设备，必须符合国家和军队有关密码管理的政策和规定。经测评认证合格的安全保密产品，由解放军保密委员会技术安全检查办公室列入军队安全保密产品目录；需要在全军推广应用的，由解放军保密委员会批准。第三十条 军队单位研制和开发安全保密产品，应当执行军队有关的规定和标准；军队暂无规定和标准的参照国家有关规定和标准执行。第三十一条 专门用于军队计算机信息系统的安全保密产品，未经解放军保密委员会办事机构批准，不得对外宣传和销售。第七章 应急处置第三十二条 军队计算机信息系统在面临危险或者遭受攻击、破坏的情况下，必须采取安全保密应急处置行动。第三十三条 军队计算机信息系统应急处置行动，由各级计算机信息系统主管部门组织实施；各级保密委员会技术安全检查办公室负责应急行动的协调与支援。第三十四条 师级以上单位计算机信息系统主管部门应当指定安全保密应急组织，担负下列任务：（一）按照应急处置方案组织演练；（二）采取应急处置措施，实施应急处置计划，阻止侵袭蔓延，消除泄密、窃密隐患和破坏威胁；（三）查明侵袭破坏情况和威胁来源；（四）恢复系统正常运行；（五）上级赋予的其他任务。第三十五条 军区级以上单位的技术安全检查办公室应当建立应急支援与协调组织，担负下列任务：（一）制定本级安全保密应急支援预案；（二）发布应急处置有关预警信息；（三）采取应急支援措施，实施应急计划；（四）查明侵袭破坏情况和威胁来源，必要时组织反击行动；（五）对指挥机关和部队有关的军事行动提供安全保密应急支援；（六）上级赋予的其他任务。第三十六条 计算机信息系统工作人员发现针对军队计算机信息系统的恶意攻击、黑客侵袭、计算机病毒危害、网上窃密及破坏、电磁攻击以及其他重大破坏活动或者征候时，应当立即报告计算机信息系统主管部门和本级保密委员会办事机构，并采取相应的应急措施。第八章 奖励与处分第三十七条 符合下列条件之一的单位和人员，依照《中国人民解放军纪律条令》的有关规定，给予奖励：（一）在计算机信息系统安全保密理论研究和法规标准制定方面做出重要贡献的；（二）研究、开发计算机信息系统安全保密技术、产品、设施取得重要成果的；（三）在计算机信息系统安全保密检查、检测手段和方法方面有发明创造的；（四）及时发现或者有效消除计算机信息系统安全保密重大缺陷或者隐患的；（五）在紧急情况下保护计算机信息系统安全免遭损失的；（六）在计算机信息系统安全保密工作的其他方面做出显著成绩的。第三十八条 有下列情形之一的，依照《中国人民解放军纪律条令》的有关规定，对负有直接责任的主管人员和其他直接责任人员给予处分；构成犯罪的，依法追究刑事责任：（一）侵袭计算机信息系统的；（二）非法删除、修改、增加、干扰计算机信息系统的功能、数据、程序，造成严重后果的；（三）制造、传播计算机病毒等破坏性程序，影响计算机信息系统正常运行的；（四）发现计算机信息系统安全保密隐患或者计算机病毒及其他破坏性威胁，不及时报告或者不采取措施，造成严重后果的；（五）泄漏军队计算机信息系统安全保密防护技术、方法、措施、产品性能、效果和应用范围，造成后果的；（六）使用已经禁用或者不符合规定的计算机信息系统、安全保密产品，造成严重安全保密隐患的；（七）其他危害计算机信息系统安全保密的。第九章 附则第三十九条 中国人民武装警察部队的计算机信息系统安全保密工作参照本规定执行。第四十条 本规定由中国人民解放军保密委员会负责解释。第四十一条 本规定自发布之日起施行。附录军队计算机信息系统安全防护标准军队计算机网络安全保密守则第四篇：计算机信息系统安全管理规定信息安全管理制度一、安全管理人员岗位工作职责组织工作人员认真学习《计算机信息网络国际互联网安全保护管理办法》，提高工作人员的维护信息安全的警惕性和自觉性。负责对信息系统用户进行安全教育和培训，使用户自觉遵守和维护《计算机信息网络国际互联网安全保护管理办法》，使他们具备基本的网络安全知识。加强对信息发布的审核管理工作，杜绝违犯《计算机信息网络国际互联网安全保护管理办法》的内容出现。一旦发现从事各种危害计算机信息网络安全的活动的行为做好记录并立即向当地公安处网络监察科报告。接受并配合公安机关的安全监督、检查和指导，如实向公安机关提供有关安全保护的信息、资料及数据文件，协助公安机关查处通过国际联网的计算机信息网络的违法犯罪行为。二、病毒以及系统漏洞检测制度：工作计算机中一律要求安装杀毒软件，计算机病毒库要求定期升级。任何个人或团体未经同意，不得在工作计算机上安装和工作无关的软件，不得制造传播病毒。各种操作系统要打上最新系统补丁，杜绝各种系统漏洞带来的安全隐患。严禁任何非法对网络进行端口扫描的行为。发现不能处理的病毒要报告本部门安全员。三、密码管理制度：工作计算机一律要按要求设置密码，不得采用缺省方式。密码设置要有字母和数字，位数不得少于六位，不能随意用明纸记载放置公开处，口令应定期修改。重要密码在可以的情况下，要在部门主管领导处备份。密码权限要根据实际情况授予，操作员不能拥有系统维护人员的权限，对于有特殊要求的系统，要实行特殊制度。计算机操作人员，任何非系统管理员严禁使用、猜测各类管理员口令，不能利用工作之便，把获取的特权密码泄露给其他人，或未经计算机管理人员授权，使用特权用户对计算机或网络进行操作。发现密码丢失，要通报相关部门，同时尽快修改密码，一旦发现密码已经被改，要采取措施找回密码，必要时更换系统设备，同时根据具体情况通知保卫、公安部门。四、信息发布审核、登记制度网站工作人员必须认真执行信息发布审核管理工作，杜绝违犯《计算机信息网络国际联网安全保护管理办法》的情形出现。对在本网站发布信息的信源单位提供的信息进行程序限定，限制带有某些不良词汇的信息发布。对在本网站发布信息的信源单位提供的信息进行认真人工检查，不得有危害国家安全、泄露国家秘密，侵犯国家的、社会的、集体的利益和公民的合法权益的内容出现。对委托发布信息的单位和个人进行登记并存档。五、信息监视、保存、清除和备份制度本制度适用于所有本网站发布信息及网站用户发布信息。对本网站自身发布的信息，必须认真检查，杜绝不良内容出现。对网站引用的他人信息，必须注明来源。若发现本网有不良有害信息，应主动举报。对网站用户发布信息，必须首先经过程序核查，对其发布内容进行检查、过滤、限制。六、安全教育和培训制度应定期开办信息系统安全培训班，组织工作人员学习信息安全法律、法规，提高工作人员的信息安全水平。应对信息系统用户进行安全教育和培训，使用户自觉遵守和维护《计算机信息网络国际互联网安全保护管理办法》，使他们具备基本的信息安全知识，强化信息安全意识。增强守法观念。定期召开信息安全会议，通报信息安全状况，解决信息安全问题。应积极配合当地公安局及其他上级管理中心的工作，自觉参加各种培训活动。第五篇：计算机信息系统安全和保密管理制度计算机信息系统安全和保密管理制度为加强开发区计算机信息系统安全和保密管理，保障计算机信息系统的安全，特制定本管理制度。第一条 严格落实计算机信息系统安全和保密管理工作责任制。按照“谁主管谁负责、谁运行谁负责、谁公开谁负责”的原则，各科室在其职责范围内，负责本单位计算机信息系统的安全和保密管理。第二条 办公室是全局计算机信息系统安全和保密管理的职能部门。办公室负责具体管理和技术保障工作。第三条 计算机信息系统应当按照国家保密法标准和国家信息安全等级保护的要求实行分类分级管理，并与保密设施同步规划、同步建设。第四条 局域网分为内网、外网。内网运行各类办公软件，专用于公文的处理和交换，属涉密网；外网专用于各部门和个人浏览国际互联网，属非涉密网。上内网的计算机不得再上外网，涉及国家秘密的信息应当在指定的涉密信息系统中处理。第五条 购置计算机及相关设备须按保密局指定的有关参数指标由机关事务中心统一购置，并对新购置的计算机及相关设备进行保密技术处理。办公室将新购置的计算机及相关设备的有关信息参数登记备案后统一发放。经办公室验收的计算机，方可提供上网IP地址，接入机关局域网。第六条 计算机的使用管理应符合下列要求：（一）严禁同一计算机既上互联网又处理涉密信息；（二）各科室要建立完整的办公计算机及网络设备技术档案，定期对计算机及软件安装情况进行检查和登记备案；（三）设置开机口令，长度不得少于8个字符，并定期更换，防止口令被盗；（四）安装正版防病毒等安全防护软件，并及时进行升级，及时更新操作系统补丁程序；（五）未经办公室认可，机关内所有办公计算机不得修改上网IP地址、网关、DNS服务器、子网掩码等设置；（六）严禁使用含有无线网卡、无线鼠标、无线键盘等具有无线互联功能的设备处理涉密信息；（七）严禁将办公计算机带到与工作无关的场所；确因工作需要需携带有涉密信息的手提电脑外出的，必须确保涉密信息安全。第七条 涉密移动存储设备的使用管理应符合下列要求：（一）分别由各科室兼职保密员负责登记，做到专人专用专管，并将登记情况报信息中心备案；（二）严禁涉密移动存储设备在内、外网之间交叉使用；（三）移动存储设备在接入本部门计算机信息系统之前，应查杀病毒、木马等恶意代码；（四）鼓励采用密码技术等对移动存储设备中的信息进行保护；（五）严禁将涉密存储设备带到与工作无关的场所。第八条 数据复制操作管理应符合下列要求：（一）将互联网上的信息复制到内网时，应采取严格的技术防护措施，查杀病毒、木马等恶意代码，严防病毒等传播；（二）使用移动存储设备从内网向外网复制数据时，应当采取严格的保密措施，防止泄密；（三）复制和传递密级电子文档，应当严格按照复制和传递同等密级纸质文件的有关规定办理。不得利用电子邮件传递、转发或抄送涉密信息；（四）各科室因工作需要向外网公开内部信息资料时，必须由该科室负责人审核同意，交由办公室统一发布。第九条 办公计算机及相关设备由机关事务中心负责维护，按保密要求实行定点维修。需外请维修的，要派专人全程监督；需外送维修的，应由办公室拆除信息存储部件，以防止存储资料泄密。第十条 办公计算机及相关设备在变更用途时，必须进行严格的消磁技术处理。第十一条 办公计算机及相关设备报废时，应由信息中心拆除存储部件，然后交办公室核定，由机关事务中心按有关要求统一销毁，同时作好备案登记。严禁各科室自行处理报废计算机。第十二条 加强对兼职保密员的管理，积极参加国家保密工作部门组织的岗位职能培训。定期内办公室组织开展经常性的保密教育培训，提高机关工作人员的计算机信息安全保密意识与技能。第十三条 办公室要加强机关计算机信息系统安全和保密管理情况的监督，定期进行检查，提高泄密隐患发现能力和泄密事件应急处置能力。其它各科室要密切配合，共同做好计算机信息系统安全和保密工作。第十四条 机关工作人员离岗离职，有关科室应即时取消其计算机涉密信息系统访问授权，收回计算机、移动存储设备等相关物品。第十五条 各科室和个人应当接受并配合机关保密工作领导小组组织的保密监督检查，协助核查有关泄密行为。对违反本