信息安全保密管理规定V.1

信息安全保密管理规定批准人签字审核人签字制订人签字卞永华日期：2012/2/13程国青日期：2012/2/8周燕日期：2012/2/1江苏省电子商务服务中心有限责任公司保密等级公开文档名称信息安全保密管理规定文档编号JSCA-B-009-2012发布组织JSCA信息安全工作小组发布日期2012年2月13日执行日期2012年2月13日版本号V.1信息安全保密管理规定江苏CA·版权所有Copyright©2009变更履历序号版本编号简要说明(变更内容、变更位置、变更原因和变更范围)变更日期变更人审核人批准人批准日期1V.1组织名称和架构变更2012-2-1周燕程国青卞永华2012-2-13信息安全保密管理规定江苏CA·版权所有Copyright©2009目录1.目的......................................................................................................................................................12.适用范围..............................................................................................................................................13.引用标准/名词定义............................................................................................................................14.职责......................................................................................................................................................15.内容及要求..........................................................................................................................................15.1计算机信息分类标准....................................................................................................................15.2计算机信息分类表........................................................................................................................25.3计算机信息分类标识管理............................................................................................................55.4计算机信息分类的安全管理........................................................................................................55.5计算机信息分类安全管理的实施..............................................................................................125.6计算机设备安全保密总则..........................................................................................................135.7计算机上网安全保密管理规定..................................................................................................145.8涉密存储介质保密管理规定......................................................................................................145.9计算机维修维护管理规定..........................................................................................................155.10用户密码安全保密管理规定....................................................................................................165.11笔记本电脑安全保密管理规定................................................................................................165.12涉密电子文件保密管理规定....................................................................................................175.13涉密计算机系统病毒防治管理规定........................................................................................186.表单..................................................................................................................................................187.参考文件/表单..................................................................................................................................18信息安全保密管理规定江苏CA·版权所有Copyright©200911.目的为保护计算机信息系统处理的江苏CA秘密安全，特制定本规定。2.适用范围本规定适用于采集、存储、处理、传输、输出江苏CA秘密信息的计算机系统。3.引用标准/名词定义《中华人民共和国保守秘密法》、《中华人民共和国计算机信息系统安全保护条例》4.职责管理中心主管江苏CA计算机系统的保密工作。各部门主管本部门的计算机信息系统的保密工作5.内容及要求5.1计算机信息分类标准5.1.1绝密信息绝密信息是指那些具有最高安全级别，对公司计算机系统和业务系统的正常和安全运行起到至关重要作用的信息。绝密信息一旦对被非法访问或篡改，会导致灾难性的影响，并且这种影响在短时期内是不可恢复的。5.1.2机密信息机密信息是指那些必须在公司使用，并且有严格访问控制的信息。任何对机密信息的非法访问、修改或删除会严重影响公司计算机系统的安全，但这种影响是可以在短时期内恢复的。5.1.3秘密信息信息安全保密管理规定江苏CA·版权所有Copyright©20092秘密信息通常是指那些只供内部使用的计算机信息资料，任何对秘密信息的非法访问、修改或删除可能会对公司计算机系统地安全造成一定的影响，但不可能是严重的或不可恢复的。5.1.4公开信息公开信息是指可以公共访问和对外发布的信息，并且公开信息可以自由发布而不会产生任何安全问题。5.2计算机信息分类表计算机信息分类举例说明公开信息公司公共信息公司介绍公司组织结构业务介绍公司地点信息公司新闻稿公司年报（审计报告、资产负债表和损益报告等）公司各业务公共信息江苏省安全CA认证网关数字证书认证江苏省CA安全认证网关SSLVPN公司对外政策电子认证业务规则电子认证服务管理方法中华人民共和国电子签名法商务密码管理条例中华人民共和国认证认可条例驱动集合包软件使用协议秘密信息公司计算机信息安全规定计算机信息安全管理规范计算机信息安全技术规范计算机信息安全操作规定信息安全保密管理规定江苏CA·版权所有Copyright©20093其它计算机信息安全相关规章制度计算机信息系统操作和维护资料用户操作手册技术支持资料管理员操作手册安装软件和安装配置手册硬件和软件资产清单计算机信息系统供应商服务协议（SLA1）系统补丁软件和相关安装资料操作培训资料相关参考资料相关操作和维护记录数据库数据结构资料其他内部通知内部发行的各种文件内部网站上供内部员工下载的各类资料内部会议记录内部普通工作电子邮件机密信息客户信息内部员工的个人隐私个人履历个人档案学历背景个人财政情况个人电子邮件计算机信息系统相关一般用户和操作员帐号和口令业务应用程序开发相关技术资料信息安全保密管理规定江苏CA·版权所有Copyright©20094计算机信息系统安全审计数据和相关报告计算机信息系统初始备份（不包括任何业务和办公数据）计算机信息系统设计和实施资料网络拓扑图（LAYER2和LAYER3）网络布线图系统流程图系统设计方案（包括系统升级）系统实施方案（包括系统升级）系统安装配置细则（软件、硬件和网络等）系统测试方案和测试报告内部运营信息财务数据内部运营审计报告内部人事资料客户相关资料市场营销相关资料其他公司文件或通知上级部门所发的各种文件绝密信息计算机信息系统相关所有系统管理员帐号和口令所有计算机信息安全员帐号和口令业务数据库管理员帐号和口令行内加密设备的密钥以及有关管理员帐号和口令业务和办公系统和数据库的数据备份业务数据对私业务数据（包括个人用户帐号信息）对公业务数据（包括企业用户帐号信息）信息安全保密管理规定江苏CA·版权所有Copyright©20095内部业务的决策、计划、调研、统计等相关资料行内商业秘密其它国家保密局规定的国家机密信息有关国家金融机密数据5.3计算机信息分类标识管理对不同安全类别的计算机信息进行明确的标识，有助于内部相关人员依照公司有关计算机信息安全规章制度进行具体操作和处理，从而最大限度地降低了由于人为的误操作所带来的安全隐患的概率。5.3.1分类标识的原则a.所有计算机信息安全分类标识必须正确反应该计算机信息的安全防护级别，技术中心对公司计算机信息安全分类有最终决定权。b.计算机信息安全分类标识务必详尽，而且其内容和格式在行内必须统一。c.对所有的计算机信息安全分类标识，必须由专人作定期更新维护（每1年一次）。d.一般采用标签方式对计算机信息进行安全分类标识，但是对以电子格式的数据和文档则可以采用有关电子方式进行安全分类标识，例如强制性的“安全声明”（BANNER）、安全警告提示窗口、加入安全分类信息到电子文档的属性中等。5.3.2分类标识的内容计算机信息安全分类标识必须包括并不仅限于下列信息：a.简单描述或内部编号b.创建日期和最后修改日期c.版本控制信息d.安全类别和相关操作处理规章