第七章-信息系统、信息设备和保密设施设备管理制度

第七章信息系统、信息设备和保密设施设备管理制度一、总则1.为加强和规范公司信息系统、信息设备和存储设备的保密管理工作，确保国家秘密的安全，根据国家相关法规和《涉密信息系统集成资质保密标准》要求，结合公司实际，制定本规定。2.本规定适用于公司范围内的信息系统、信息设备和存储设备的保密管理工作。本规定所称信息系统、信息设备和存储设备是指公司在日常工作中配备和使用的各类应用系统、服务器、计算机、网络设备、外部设施设备、存储介质、办公自动化设备、声像设备和安全保密产品。3.信息设备包括：服务器、终端、堡垒机、交换机、路由器、网关、网闸、VPN设备、KVM设备、各类台式计算机、便携式计算机、各种工作站、非线性编辑机、工业控制机、打印机、制图机、绘图仪、扫描仪、投影仪等。4.存储设备包括：移动硬盘、光盘、U盘、软盘、存储卡、记忆棒等。5.安全保密产品包括：计算机病毒查杀工具、密码产品、身份鉴别设备（IC卡、USBKey、指纹仪等）、访问控制设备、输入输出控制产品、安全审计系统、入侵监测系统、边界控制和防护系统、电磁辐射和传导泄漏发射防护产品、存储保护系统、信息消除工具、移动存储设备销毁工具、检查工具等。6.信息设备和存储设备的保密管理工作，遵循“谁主管，谁负责”和“谁使用，谁负责”的原则，明确制度、分清职责、分级管理、逐级落实、责任到人。7.本单位没有建设涉密信息系统，采用单台计算机处理涉密信息。二、信息设备和保密设施设备管理要求1.计算机安全保密管理员负责信息系统、信息设备和存储设备的运行维护及信息系统、信息设备和存储设备的安全保密管理；该岗位组织制定由信息安全策略、管理制度和操作规程等组成的信息安全保密管理体系文件，维护工作的操作内容和处理过程应留有工作记录和日志文档，并妥善保存，组织对信息系统、信息设备和存储设备的安全保密检查。2.各部门主管领导对本部门信息系统、信息设备和存储设备的保密管理工作负领导责任，信息系统、信息设备和存储设备的责任人和使用人员负直接责任。3.应当按照岗位职能、涉密程度和对国家秘密的知悉范围，以及业务工作中接触、存储、处理涉密信息的需求，为涉密人员配发涉密信息系统用户终端等涉密信息设备和涉密存储设备。非涉密人员一般不得配备、管理或者使用涉密用户终端等涉密信息设备和涉密存储设备。4.单位内部非涉密人员在岗位工作中，确需少量接触、存储、处理涉密信息的，经过批准，可以配备、管理或使用涉密信息系统中秘密级用户终端，或者秘密级计算机等信息设备，但是秘密级用户终端、秘密级计算机等信息设备中，年度存储和处理秘密级信息不得超过6份。5.非涉密人员不得配备、管理或者使用机密级以上涉密信息设备和涉密存储设备。一般涉密人员不得配备、管理或者使用绝密级信息设备和绝密级存储设备。6.涉密信息设备和涉密存储设备，不得存储、处理或传输高于其设备涉密等级的涉密信息。7.信息设备和存储设备的管理和使用应当符合国家有关保密法律法规和标准要求，禁止以下行为：1)将涉密信息设备和涉密存储设备接入互联网及其他公共信息网络；2)在未采取防护措施的情况下，在涉密信息设备和涉密存储设备与互联网及其他公共信息网络之间进行信息交换；3)使用非涉密信息系统、非涉密信息设备和非涉密存储设备存储、处理、传输国家秘密信息；4)在未采取保密措施的有线或者无线通信中传递国家秘密；5)未经安全技术处理，将退出使用的涉密信息设备、涉密存储设备赠送、出售、丢弃或者改作其他用途；6)擅自卸载、修改涉密信息设备和涉密存储设备的安全技术程序、管理程序；7)擅自访问、下载、存储、传输知悉范围以外的国家秘密；8)擅自扫描或者检测涉密信息设备的基础设施、安全保密产品以及应用系统等。8.计算机安全保密管理员负责建立公司信息系统、信息设备、存储设备和安全保密产品总台账（见附件M08-O01)，各业务部门建立本部门管辖范围内的设备台账。台账应做到信息要素完整、账物相符，其变化情况应当可追溯，并保留一个审查周期。涉密信息设备和涉密存储设备应当实行全生命周期管理。9.计算机安全保密管理员负责定期（机密级6个月、秘密级12个月）对信息系统、信息设备、存储设备和安全保密产品进行清查核对，并将结果报保密管理办公室存档。10.计算机安全保密管理员应当为每台涉密信息设备、涉密存储设备建立单独档案，并保存其各类相关记录文档，包括定密记录、变更记录、运维记录、维修记录、报废和销毁记录等。11.涉密信息设备统一制定文档化的安全保密策略，并根据环境、系统和威胁变化情况及时调整更新；定期（机密级1个月、秘密级3个月，内部6个月、互联网3个月）形成文档化的安全保密审计报告，绝密级信息设备每半年进行一次，机密级或秘密级信息设备每年进行一次对涉密信息设备和存储设备进行风险评估。形成文档化的风险评估报告，并对存在的风险及时采取补救措施。12.应当定期对涉密信息设备和涉密存储设备进行风险自评估，查找脆弱性和威胁，确定风险和隐患，及时采取整改措施，并报保密管理办公室负责人和分管业务负责人。保密管理办公室负责人应当根据风险自评估的结果，形成风险自评估报告，进行隐患漏洞和危害性分析评估，针对隐患漏洞和风险，进行来源和威胁分析，及时修改安全策略，并提出可行和管理和技术改进措施建议。风险自评估报告应当上报单位保密管理办公室负责人以及单位分管业务负责人，保密管理办公室负责人和单位分管业务负责人应当通过风险评估报告，了解和掌握单位信息系统、信息设备和存储设备的安全风险情况，根据保密管理办公室负责人的建议决定整改方案，提供人力、财力、物力的支持，监督整改落实，并留有文字记录。保密管理办公室负责人应当依据方案尽快落实整改措施。风险自评估过程中形成的各种记录、文档、资料和最终评估报告应当归档，妥善管理。三、涉密信息设备和涉密存储设备的确定和密级变更1.本规定所称涉密信息设备和涉密存储设备是指公司所属各部门按照本规定明确的程序，经过申报、登记，并经公司保密工作领导小组批准，用于处理国家秘密信息的设备。2.公司涉密信息设备和涉密存储设备实行申报登记制度。凡涉及国家秘密的部门，必须明确专门用于处理国家秘密信息的设备，并进行申报登记。凡未进行申报登记的设备均属非涉密信息设备，严禁用于处理国家秘密信息。3.申报登记涉密信息设备和涉密存储设备，由设备的使用人填写《涉密信息设备审批表》（见附件M7-002）、《涉密存储设备审批表》（见附件M7-003），经保密管理办公室和保密领导小组审查后确定密级，报计算机安全保密管理员备案,并核发公司统一编制的涉密设备编号和密级标识。4.计算机安全保密管理员负责对拟确定为涉密计算机的新购计算机进行申报，在申报前应当重新安装操作系统以及安全保密产品，并进行相关的安全配置和设置。新购计算机在确定为涉密计算机时，应当重新安装操作系统（应当选用非家庭版的操作系统；如果使用Windows系统，则应当选用XP、Windows7）以及安全保密产品，并进行相关的安全配置和设置后，及时变更台账信息，保证台账信息的唯一性。5.保密管理办公室负责人和各业务部门应依据审批结果及时变更台账信息，保障台账信息的唯一性。6.对不符合保密要求的信息设备和存储设备，不能批准为涉密信息设备和涉密存储设备。7.涉密信息设备和涉密存储设备的密级按照该设备存储、处理国家秘密信息的最高密级确定。8.禁止涉密信息设备和存储设备及固件由高密集变更为低密级；禁止涉密信息设备和存储设备及固件由涉密变成非涉密。9.低密级信息设备变更为高密级信息设备时，由信息设备的责任人填写《涉密信息设备和涉密存储设备变更审批表》（见附件M7-004），并对存储过涉密信息的硬件和固件以及相应的安全保密产品进行保护和控制，经分管领导审定合格后重新进行编号，按照新确定的涉密等级进行管理和使用。四、涉密信息设备保密管理规定1.本章所称信息设备含服务器、终端、堡垒机、交换机、路由器、网关、网闸、VPN设备、KVM设备、各类台式计算机、便携式计算机、各种工作站、非线性编辑机、工业控制机、打印机、制图机、绘图仪、扫描仪、投影仪等。2.公司涉密信息设备的保密管理，必须遵守以下规定：1)每台涉密信息设备的责任人负责设备的日常管理和维护，应按照岗位职能、涉密程度和对国家秘密的知悉范围，以及业务工作中接触、存储、处理涉密信息的需求，为涉密人员配发涉密信息设备，严格控制使用范围。2)涉密信息设备要专机专用。在使用、管理、维护等方面要严格区别于非涉密信息设备，禁止混用。3)涉密信息设备必须放置于符合安全保密要求的房间内使用。4)涉密信息设备电磁辐射和传导泄漏发射防护应当按有关保密规定，采取干扰或滤波防护措施；5)涉密信息设备编号及密级标识要按照公司统一要求粘贴在设备的明显位置上。6)涉密信息设备必须与非涉密设备和信息网络实行物理隔离。7)涉密计算机要按照国家保密技术要求设置开机口令、系统登录口令和屏幕保护口令（开启屏幕保护程序的时间设置为10分钟以内）并定期更换。口令必须由大小写字母、数字、特殊符号组合而成。涉密人员离开时，必须关闭当时屏幕显示的涉密工作内容；8)秘密级：口令长度不得少于八位，一月至少更换一次；9)机密级：口令长度不得少于十位，一周至少更换一次。10)涉密计算机应当关闭信息共享功能、关闭各种不需要的服务端口。11)涉密计算机应当采取计算机病毒与恶意代码防护措施，定期对计算机病毒与恶意代码防护措施进行查验，及时清除隔离区和未被删除的病毒。应当及时更新计算机病毒与恶意代码样本库，每十五天更新一次，填写《病毒/补丁/恶意代码防护产品更新记录表》（见附件M7-005）。12)涉密计算机应当及时安装操作系统和应用系统的补丁程序。13)涉密信息设备应当根据工作需要设置涉密信息的输出点，专人负责管理，达到相对集中，有效控制的目的。没有确定为输出点的涉密信息设备，应当采取技术措施，禁止安装和使用输出设备，防止涉密信息非授权输出。对涉密信息设备的输出等操作，必须登记审核，签字领取输出信息。14)涉密信息设备中的涉密信息（包括文档、图表、图形和数据等）必须按公司有关规定标注密级标识，密级标识不能与正文分离。涉密信息应集中存放到专用文件夹内，按所涉及的最高密级管理（一般涉密人员仅能少量存储和处理机密信息，年度不超过6份）。涉及国家秘密的软件程序、数据库文件、音频文件、视频文件等，在软件运行首页、数据视图首页、音频播放首段和影像播映首段应当标注密级。15)未经审批，禁止在涉密便携式信息设备硬盘内存储任何形式的国家秘密信息；16)涉密信息设备处理、存储的涉密信息密级不得超过该涉密信息设备的涉密等级。17)严禁擅自访问、下载、存储、传输知悉范围以外的国家秘密。18)涉密信息设备不得随意私自重新安装系统。若需要重新安装操作系统，由使用人提出申请，填写《信息设备格式化/重装系统审批表》（见附件M7-006），经部门主管审核，信息化管理部门批准后，由计算机安全保密管理员进行安装；严禁擅自卸载、修改涉密信息设备的安全技术程序、管理程序。19)涉密信息设备使用人和负责人应当清楚涉密信息设备中的涉密文件数量，密级和存放位置。20)涉密信息设备和涉密存储设备禁止接入互联网及其他公共信息网络。21)涉密信息设备禁止安装和使用具有无线功能的外部设备。22)禁止涉密人员私自在涉密信息设备中安装、删除软件或接入他人来历不明的U盘、存储设备和软件，如需安装配备所需软件或导入外来信息，应向保密管理办公室负责人提出申请，填写《涉密信息设备软件安装/卸载申请（审批）表》（见附件M7-007），经信息化管理部门批准后，由计算机安全保密管理员进行安装并填写《涉密信息设备软件安装/卸载记录表》（见附件M7-008）、《外来信息进入涉密信息设备审批表》（见附件M7-009）存放到保密文件柜里备案。3.涉密信息设备的访问控制详见附件：《信息系统、信息设备和存储设备安全策略》（见附件M7-010）。4.涉密信息设备应当按照存储和处理信息的相应密级进行管理和保护；涉密信息设备应该选择通过国家相关主管部门授权测评机构检测的安全保密产品，并正确配置和使用；对涉密