2019年8月20日 星期二
当前位置:首页>>信息公开>>公开规定

恩施州计算机信息系统安全保密管理规定


第一章 总 则

第一条 为加强全州计算机信息系统安全保密管理,保障计算机信息系统和国家秘密安全保密,依据《中华人民共和国保守国家秘密法》、《国家秘密文件、资料和其他物品标志的规定》、《计算机信息系统国际联网保密管理规定》、《信息安全等级保护管理办法》、《涉及国家秘密的信息系统审批管理规定》、《关于加强党政机关计算机信息系统安全和保密管理的若干规定》、《中华人民共和国政府信息公开条例》等有关法律、法规和要求,针对我州实际,制定本规定。

第二条 本规定所指计算机信息系统,是指由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行收集、加工、存储、检索等处理的人机系统,包括计算机(台式和笔记本)及其网络(有线和无线)、存储介质、打印复印设备、传真扫描设备、录音拍照摄像设备和手机通讯设备及其它相关设备等。

第二章 组织建设

第三条 全州各级各单位都应成立计算机信息系统安全保密管理领导小组(以下简称领导小组),负责本单位计算机信息系统的安全保密管理工作。领导小组组长必须是单位领导班子成员,并且至少明确一位管理人员,建议根据实际情况落实“三员”(系统员、安全员、审计员)。各科室应根据具体情况确定一名同志为科室计算机信息系统安全保密管理第一责任人,具体负责本科室计算机信息系统安全保密管理的日常工作。要根据实际情况,建立和完善计算机管理制度、计算机上公共网管理制度、对外信息发布(上网)管理制度、存储介质管理制度、办公自动化设备管理制度等相关制度并真正落到实处。

第四条 领导小组组长与各科室第一责任人签订计算机信息系统安全保密管理责任书(见附件一),明确其职责,并在年底进行考核确定奖惩。

第五条 领导小组应关心重视本单位计算机信息系统的安全保密管理工作,定期听取相关情况汇报,研究解决影响和制约本单位计算机信息系统安全保密的重大问题。

第三章 基本原则

第六条 计算机信息系统安全保密管理的总体原则是“注重防范,强化管理,明确责任,落实制度,加强检查,确保保密”和“谁主管谁负责,谁运行谁负责,谁使用谁负责,谁上网谁负责”。

第七条 计算机信息系统实行分级、分域保护和管理。根据工作内容和性质,可将计算机信息系统分为涉及国家绝密级、机密级及秘密级(以下简称国家秘密)信息的计算机信息系统,涉及工作秘密、敏感信息及内部事项等不宜为公众广为知晓的事项(以下简称敏感信息)的计算机信息系统和不属于上述类别(以下简称普通信息)的计算机信息系统。涉及国家秘密的计算机信息系统,还应根据实际情况划分安全域,不同的安全域可根据其所处理信息的最高密级单独确定密级,并按相应级别的技术和管理要求进行保护。

第八条 涉及国家秘密的计算机信息系统(以下简称涉密系统)管理的基本原则是:同步建设,严格审批,注重防范,规范管理。

(一)同步建设是指涉密计算机信息系统与保密设施同步规划,同步预算,同步设计,同步实施。

(二)严格审批是指未经保密工作部门审批,涉密信息系统不得投入使用。涉密信息系统建设使用单位应按《涉及国家秘密的信息系统审批管理规定》(国保发[2007]18号)的要求履行审批手续,保密工作部门要严格按照《审批管理规定》对涉密信息系统进行审批。

(三)注重防范是指要以预防为主,强化制度建设和日常检查,严防失密泄密事件发生。

(四)规范管理是指涉密系统保密防范既要注重技术,更要注重管理,要在人员管理、物理环境与设施管理、设备与介质管理、运行与开发管理和信息保密管理等五个方面抓好系统应用中的日常管理。

(五)涉密系统建设所使用的设备(产品),不能进行公开招(投)标,只能在一定范围内邀请招(投)标,并选择省国家保密局制发的《保密技术防范设备(产品)推荐目录》中推荐的设备(产品)。涉密系统建成后,应填写《保密技术防范设备(产品)使用备案登记表》(见附件二)报州国家保密局备案。

(六)已由上级业务部门统一建设完成的涉密系统,须报同级保密工作部门备案。今后各单位建设涉密系统时,须报州国家保密局审批,县市直单位还须报同级保密工作部门备案。

第九条 不涉及国家秘密的计算机信息系统(以下简称非密系统)管理的基本原则是“控制源头,加强检查,明确责任,落实制度”。

(一)控制源头是指严防涉及国家秘密的信息在非密系统上存储、处理和传输。

(二)加强检查是指非密系统的使用单位要对上网的信息进行经常性检查,一旦发现国家秘密,要立即报告,查清来源,及时删除,并严肃处理泄密人员。

(三)明确责任是指非密系统的保密工作在管理上要层层建立责任制,责任到人,做到“谁上网,谁负责”。

(四)落实制度是指要把有关保密管理的制度和规定落到实处,确保非密系统不发生失密泄密事件。凡向公共网提供或发布信息,必须经过保密审查批准。

(五)集中、大量涉及敏感信息的计算机信息系统,应参照涉及秘密级国家秘密的计算机信息系统进行建设和管理。

第十条 各单位计算机信息系统设备、设施(以下简称设备)实行统一购买、统一登记、统一编号、统一标识、统一管理。

(一)已购买的设备要重新进行登记、编号、标识(见附件三);新购买的设备,须先向领导小组提出申请(见附件四),说明用途、型号、主要参数、是否涉密及涉密等级、使用人员等情况,经领导小组组长同意后按有关要求购买。新购买的设备,经过统一登记、编号及标识后,方可交付申请人使用。

(二)标识要求

1、涉及国家秘密的设备,先标注其涉密等级(绝密、机密、秘密),然后标注“★”和顺序号。

2、涉及敏感信息的设备,先标注“敏感”字样,然后标注“☆”和顺序号。

3、不涉及国家秘密及敏感信息的设备不要求标识,但应予登记。

4、顺序号统一为3位,编号方式为序数加前置“0”,如:“秘密★001”、“敏感☆001”。

5、标识位置为设备的显眼处。字体最好为红色,其次为黑色。

6、涉及国家秘密的台式及笔记本计算机,还应该附注“严禁使用该电脑联入公共网,严禁无关人员使用”字样。

(三)要加强涉及国家秘密及敏感信息的设备的管理,严禁混用,严禁降低密级使用,严禁在外单位的计算机信息系统上使用,严禁借与外单位人员使用,严禁私自送外维修,严禁私自报废或丢弃。

(四)涉密存储介质使用人员须定期填写使用情况登记表(见附件五)。

第四章 具体管理措施

第十一条 加强计算机联网管理

(一)按照“涉密不上网,上网不涉密”和“谁上网谁负责”的要求,涉及国家秘密的计算机信息系统必须与公共网实行物理隔离,禁止直接或者间接与公共网相联,严格控制使用人员和接触范围。

(二)涉及敏感信息的计算机必须与公共网逻辑隔离。集中、大量涉及敏感信息的计算机,应按照有关要求,参照涉及国家秘密级信息的计算机予以管理。

(三)不涉及国家秘密和敏感信息的计算机可以直接与公共网相联,只安装上网必备软件,用于浏览信息、查阅资料等,禁止安装文字处理软件和娱乐、游戏软件。

第十二条 加强计算机单机(含笔记本电脑)管理。

(一)控制使用人员和接触范围,安装杀毒程序并定期杀毒和及时升级,定期更新系统补丁,定期重装系统。不得安装、运行、使用与工作无关的软件。

(二)设置开机口令,并定期更换和确保口令安全保密。涉及秘密级信息的计算机,口令、密码长度不得少于8个字符,更换周期不得长于1个月;处理机密级信息的计算机,口令、密码长度不得少于10个字符,更换周期不得长于1周;处理绝密级信息的计算机,应当采取一次性口令等强认证措施,并将口令加密存储。

(三)涉及国家秘密的计算机严禁使用无线网卡、无线鼠标、无线键盘等具有无线互联功能的设备。

(四)笔记本严禁处理涉及国家秘密的信息。确需处理涉及国家秘密的笔记本,必须拆除其无线模块,涉及国家秘密的信息必须分开存储。严禁将涉及国家秘密和敏感信息的笔记本电脑带到与工作无关的场所。

(五)确需变更涉及敏感信息的计算机用途的,必须先作技术处理,消除其存储的信息。

(六)应采用加密技术对存有涉及国家秘密及敏感信息的硬盘进行保护。

(七)严防安装有摄像装置的计算机在利用QQ、Msn Messenger等工具进行网络聊天时泄密。

(八)处理国家秘密的计算机机房应达到“两铁”(铁门、铁窗)、“两器”(防盗报警器、灭火器)、“五防”(防静电、防火、防雷、防鼠、防潮)要求,并配备生理特征身份识别或电子门禁系统等措施严格控制人员进入。

第十三条 加强移动存储介质管理。

(一)移动存储介质包括U盘、软盘、存储卡(带)及移动硬盘等。

(二)不得在涉及国家秘密的计算机信息系统和不涉及国家秘密的计算机信息系统间交叉使用移动存储介质,涉及国家秘密和敏感信息的移动存储介质不得在普通计算机信息系统中使用。

(三)移动存储介质在联入计算机信息系统进行操作之前,应先查杀病毒、木马等恶意代码,尤其是要严防“摆渡”程序。

(四)严禁通过移动存储介质将公共网上的信息复制到处理国家秘密和敏感信息的计算机,需要引用公共网上的信息,应先将其打印成纸质后手工录入。确需向涉及敏感信息的计算机复制信息的,应当采取严格的防护措施,查杀病毒、木马等恶意代码,严防病毒等入侵和传播;确需向涉及国家秘密的计算机复制信息的,应采取单向导入的方式。

(五)严禁低密级的移动存储介质复制和传递高密级的信息,严禁高密级的移动存储介质复制和传递低密级的信息。

(六)严禁在涉及国家秘密和敏感信息的计算机中使用私人购买的移动存储介质。

(七)确需通过移动存储介质向外单位复制涉及国家秘密的信息的,须报领导小组组长审批(见附件六)。外单位通过移动存储介质报送涉及国家秘密的信息,亦须报领导小组组长审批(见附件七)。

(八)应采用加密技术对存有涉及国家秘密及敏感信息的移动存储介质进行保护。

(九)损坏的移动存储介质原则上不得送外维修,直接送保密室(或档案室,下同)管理并销号(见附件八)。确需维修的,须报领导小组组长审批,并消除其存储的信息后送修(见附件九)。

第十四条 加强打印复印传真扫描设备管理。

(一)与涉及国家秘密及敏感信息的计算机相联的打印机、复印机、传真机和一体机产生的废纸,不需存档的应立即使用碎纸机销毁,需要存档的应按照相应涉密程度和重要程度予以管理。

(二)严禁将带硬盘装置、有联网功能并处理涉及国家秘密和敏感信息的打印机、复印机、一体机及传真机等设备直接或者间接与公共网相联。

(三)严禁通过普通传真机收发密件。

(四)严禁私自通过复印机、一体机、扫描设备等复印、扫描涉及国家秘密的文件、资料。确需复印、扫描涉及国家秘密的文件、资料的,须经原制发机关同意,并将复印件按原件的同等密级进行管理(见附件十)。

(五)带硬盘装置的打印机、复印机、一体机等送外维修时,须将硬盘拆下后再送外维修;报废时须将硬盘拆下,并将硬盘交保密室保管。

第十五条 加强录音拍照摄像设备管理

(一)涉密会议和重大活动的录音、拍照、摄像,要严格控制报道人员和报道范围。产生的声音、图像和视频资料要确定涉密等级,涉及国家秘密的,必须按照有关要求交保密室管理(见附件十一)。

(二)用于涉密会议和活动录音、拍照、摄像的音像器材,再用于一般会议、活动使用时,必须更换存储介质。

(三)涉密会议和重大活动的声音、图像、和视频资料,不得擅自到外单位或者私人企业进行处理。

第十六条 加强手机等通讯设备管理

(一)严禁用手机等无保密保障的通讯设备谈论涉及国家秘密的事项。

(二)将手机带入涉密会议或重要场所时,须将手机关机并将电池卸下。

(三)不得在手机存储卡中保存涉及国家秘密及敏感信息的资料。

第十七条 加强信息上网管理

(一)通过网络报送或者接收信息时,要严格审查和批准,履行登记备案手续(见附件十二),确保国家秘密和敏感信息不上网。

(二)在BBS、E-Mail或QQ等交谈、通信中,不得涉及国家秘密和敏感信息。

(三)在公共网上发现可能涉及国家秘密和敏感信息的内容时,不得进行转发,并及时向州国家保密局报告。

(四)对信息是否可以公开把握不准的,应根据《国务院办公厅关于施行中华人民共和国政府信息公开条例若干问题的意见》(国务办发[2008]36号)的有关要求,报州国家保密局确定。

第十八条 加强人员离岗离职管理

人员调离办公室时,须将其使用、保管的计算机信息系统相关设备交领导小组,由领导小组根据情况予以存档或者报废。

第十九条 领导小组应根据需要,组织对单位的计算机信息系统进行定期检查或突击检查。

第二十条 各单位应严格按照州办发电[2008]28号文件的要求,及时将计算机信息系统组织、人员和设备等的变动情况报同级保密工作部门备案。

第五章 奖 惩

第二十一条 各单位对在计算机信息系统安全保密工作中做出显著成绩的科室和人员,应给予适当奖励。

第二十二条 违反本规定造成泄密隐患的,取消直接责任人及科室负责人当年评选优秀公务员或者合格党员的资格;造成重大泄密隐患的,取消直接责任人及科室负责人当年评选优秀公务员和合格党员的资格;泄露国家秘密的,依据《中华人民共和国保守国家秘密法》及其实施办法进行处理,构成犯罪的,依法追究刑事责任。

第六章 附 则

第二十三条 本规定由恩施州国家保密局负责解释。

责任编辑:州教育局