公司计算机和信息系统保密管理制度第一章总则第一条为进一步加强公司计算机和信息系统保密管理工作,防范泄密事件发生,确保国家及公司秘密安全,根据《中华人民共和国计算机信息系统安全保密条例》,结合本公司实际,特制定本制度。第二条本制度适用于公司各部门计算机和信息系统的保密管理。第二章计算机和信息系统保密管理总体要求第三条公司计算机信息系统管理坚持“涉密机不上国际互联网,上国际互联网机不涉密”的原则。第四条公司计算机实行分级保护。计算机的分级保护是指涉密计算机的使用部门根据分级保护管理办法和有关标准,对涉密计算机分等级实施保护。公司保密办根据该计算机的保护等级实施监督管理,确保计算机和信息的安全。第五条涉密计算机分级保护管理应遵循“规范定密,准确定级;依据标准,同步建设;突出重点,确保核心;明确责任,加强监督”的原则。第六条涉密计算机按照所处理的最高密级,由低到高划分为秘密、机密两个等级。第七条公司规划和建设涉密计算机集中管理区域时,必须同步规划和落实安全保密措施。涉密计算机集中管理区域建成后,由公司保密办组织相关单位、部门进行验收,验收达到安全保密要求的,才能处理国家秘密信息。未达到保密要求的,不得处理涉密信息。第八条涉密计算机集中管理区域内涉密计算机的安全防护产品,应当选择具有涉密资质的单位承担或参与涉密计算机的方案设计与实施、软件开发、系统服务、咨询、风险评估等。公司保密办要对涉密计算机的防护方案进行备案。第九条涉密计算机领导小组应当定期组织对涉密计算机的安全保密状况进行自评估。检查分析由于系统需求及技术与管理因素变化而新出现的安全威胁,动态调整安全策略,适时补充和完善技术与管理措施,使涉密计算机保持与等级要求一致的防护水平。第十条涉密计算机应当制定文档化的安全保密策略,并根据环境、系统和威胁变化情况及时调整更新;应当定期(机密级1个月、秘密级3个月)形成文档化的安全保密审计报告;每12个月根据综合审计日志,进行一次风险评估,形成文档化的风险分析报告,对存在的风险应当及时采取补救措施。第十一条涉密计算机的密级,按照涉密计算机所处理的最高密级设定。涉密计算机应当配备安全保密管理员、安全审计员,权限设置应当相互独立、相互制约,二员角色不得兼任;涉密计算机安全保密管理人员及安全审计人员应当通过安全保密培训,持证上岗,并按照重要涉密人员管理。第十二条计算机领导小组应该制定相关的安全保密管理制度,主要包括保密中心机房管理制度,安全保密管理员、安全审计员职责,设备管理制度,介质管理制度,信息管理制度,密码口令管理制度,病毒防护制度,系统安全保密检测制度,便携计算机管理制度,上网计算机管理制度,复印机管理制度和涉密计算机应急处置预案。第十三条保密中心机房应当选择通过国家相关主管部门授权测评机构检测的安全保密产品,并正确配置和使用;涉密计算机应当采取身份鉴别、访问控制和安全审计等技术保护措施。及时升级病毒和恶意代码样本库,进行病毒和恶意代码查杀,及时安装操作系统、数据库和应用系统的补丁程序;涉密计算机中的信息输出应当相对集中,有效控制;未经公司计算机领导小组审批,涉密计算机禁止安装或拆卸硬件设备和软件。第十四条涉密计算机应当与国际互联网和其他公共信息网络实行物理隔离,禁止使用非涉密计算机、信息系统和存储介质处理涉密信息,禁止将涉密计算机接入内部非涉密信息系统,涉密信息的远程传输应当按国家有关部门要求采取密码保护措施。第十五条未经计算机领导小组审批,禁止对涉密计算机系统格式化或重装操作系统,禁止删除涉密计算机的移动存储介质及外部设备等日志记录。第十六条不得擅自更改涉密计算机、涉密便携式计算机中移动存储介质、外部设备等安装和使用日志记录,确需更改的,应当提出申请,经计算机领导小组审批后由涉密计算机安全保密管理员实施并记录更改项目,审批表和更改项目记录应当存档备案。第十七条公司计算机的管理和使用坚持“谁主管,谁负责”的原则。建立计算机管理登记制度,计算机领导小组应对计算机的购置、检测、保管、审批、...
