電子涉密信息保密管理細則

1、電子涉密信息保密管理細則第一章 總 則第一條 為加強公司電子涉密信息管理工作，防止信息失密和泄密，根據(jù)天津市電力公司電子涉密信息保密管理規(guī)定、天津市電力公司保密工作管理辦法、天津市電力公司信息系統(tǒng)安全管理實施細則、天津市電力公司行政處分及經(jīng)濟處罰規(guī)定、天津市電力公司安全生產(chǎn)獎懲規(guī)定以及天津市XX供電有限公司終端信息安全保密管理辦法、天津市XX供電有限公司安全生產(chǎn)獎懲規(guī)定及公司相關(guān)信息安全管理制度，制定本細則。第二條 本細則適用于公司所屬各部門（以下簡稱“各部門”）。第三條 本細則所稱計算機設(shè)備，包括PC計算機、筆記本電腦、PDA、移動硬盤、U盤等所有帶有存儲功能的電子設(shè)備。第四條 本細則所稱電

2、子涉密信息是指：（一）公司內(nèi)部各信息系統(tǒng)發(fā)布、流轉(zhuǎn)、處理、使用的屬于國家電網(wǎng)公司國家秘密企業(yè)秘密目錄中商密(一、二級）、工作秘密以及其他與生產(chǎn)、經(jīng)營、管理相關(guān)具有保密價值的各類重要信息，包括財務(wù)、營銷、生產(chǎn)、工資薪酬、人事檔案等。（二）屬于國家電網(wǎng)公司國家秘密企業(yè)秘密目錄中所列的存儲于計算機設(shè)備的電子涉密信息。上述電子涉密信息的保密管理應(yīng)同時遵守天津市電力公司保密工作管理辦法的規(guī)定。第五條 本細則所稱電子涉密信息存儲設(shè)備是指存儲、處理、傳遞公司電子涉密信息的計算機設(shè)備。涉密計算機指所有存儲、處理、傳遞電子涉密信息的計算機。第六條 本細則所稱國家電網(wǎng)公司專用移動存儲介質(zhì)，簡稱國網(wǎng)U盤，分為保密區(qū)

3、和交換區(qū)，公司電子涉密信息在離開信息內(nèi)網(wǎng)或涉密計算機進行信息交換時，必須將電子涉密信息存放在保密區(qū)。第二章 職責(zé)與分工第七條 公司信息化領(lǐng)導(dǎo)小組對信息系統(tǒng)電子涉密信息安全保密管理負責(zé)：（一）負責(zé)制定信息系統(tǒng)安全管理方針；（二）負責(zé)對公司信息系統(tǒng)重大安全事件進行決策和協(xié)調(diào)；（三）負責(zé)對各專業(yè)管理部門的信息系統(tǒng)電子涉密信息的管理工作進行監(jiān)督。第八條 公司保密委員會（簡稱保密委）依據(jù)天津市電力公司保密工作管理辦法對信息系統(tǒng)電子涉密信息安全保密管理負責(zé)：（一）組織、審查和監(jiān)督公司內(nèi)保密制度的實施工作，對不符合保密管理規(guī)定的上網(wǎng)信息進行監(jiān)督，責(zé)成保密辦公室和運維檢修部統(tǒng)一處理；（二）對信息系統(tǒng)電子涉密信

4、息失密、泄密事件聯(lián)合運維檢修部進行調(diào)查并提出處理意見。第九條 公司辦公室（保密辦公室）依據(jù)天津市電力公司保密工作管理辦法對信息系統(tǒng)電子涉密信息安全保密管理負責(zé)：（一）對公司電子涉密信息管理情況進行審查、檢查、監(jiān)督、提出改進意見，并督促整改；（二）協(xié)同有關(guān)單位做好網(wǎng)絡(luò)和信息系統(tǒng)的保密工作，協(xié)同有關(guān)部門查處失密、泄密事件等。第十條 運維檢修部作為網(wǎng)絡(luò)和信息系統(tǒng)歸口管理部門：（一）負責(zé)公司信息內(nèi)網(wǎng)與信息外網(wǎng)的安全保密管理；（二）負責(zé)制定和組織落實安全保密技術(shù)措施，對存儲、處理、傳輸電子涉密信息的保密措施提供技術(shù)保障，保障網(wǎng)絡(luò)的運行安全和信息安全；（三）對發(fā)生信息系統(tǒng)失密、泄密事件進行調(diào)查，提供信息系

5、統(tǒng)運行數(shù)據(jù)和日志，對相關(guān)責(zé)任部門和人員提出處理意見；（四）負責(zé)對公司信息系統(tǒng)電子涉密信息的安全管理落實情況進行技術(shù)監(jiān)督。第十一條 人力資源部根據(jù)失密、泄密事件調(diào)查結(jié)果和保密、信息機構(gòu)提出的處理意見，按照公司規(guī)定予以處罰。第十二條 各專業(yè)管理部門負責(zé)本專業(yè)電子涉密信息的保密管理，具體職責(zé)：（一）負責(zé)對本專業(yè)的上網(wǎng)電子涉密信息進行審查，對電子涉密信息及其載體實施保密管理，需采取特殊技術(shù)手段予以保密的，負責(zé)向運維檢修部進行申請；（二）負責(zé)提出本部門工作中產(chǎn)生的電子涉密信息的密級和范圍；（三）組織涉及本專業(yè)信息系統(tǒng)開發(fā)、技術(shù)服務(wù)的外部人員簽訂保密協(xié)議，與外部廠商簽訂信息系統(tǒng)開發(fā)、技術(shù)服務(wù)合同保密補充條

6、款；（四）根據(jù)天津市電力公司信息系統(tǒng)權(quán)限管理規(guī)定，負責(zé)本專業(yè)涉及電子涉密信息的信息系統(tǒng)的權(quán)限分配與管理；（五）負責(zé)對本專業(yè)信息系統(tǒng)電子涉密信息賦權(quán)與被賦權(quán)人員進行安全保密教育；（六）對委托發(fā)布信息的部門、單位進行登記，所提供的電子涉密信息內(nèi)容必須經(jīng)保密委審查后予以發(fā)布。第十三條 信息通信運維班負責(zé)落實公司有關(guān)信息系統(tǒng)運行安全的各項技術(shù)措施，負責(zé)對運維檢修部及有關(guān)部門的監(jiān)督檢查工作提供技術(shù)保障。第十四條 各部門負責(zé)本部門電子涉密信息的管理：（一）負責(zé)對本部門的上網(wǎng)電子涉密信息進行審查，落實電子涉密信息保密管理細則；（二）協(xié)助對本部門發(fā)生的失密、泄密事件進行調(diào)查。第三章 失密、泄密責(zé)任主體第十五條

7、 電子涉密信息保密管理工作實行責(zé)任制，電子涉密信息的保密責(zé)任納入公司各部門、各單位簽訂的保密工作責(zé)任書。第十六條 運維檢修部對發(fā)生公司信息系統(tǒng)電子涉密信息失密、泄密事件負管理責(zé)任。對未履行公司信息系統(tǒng)安全策略、信息系統(tǒng)運維人員不履行職責(zé)等導(dǎo)致的失密、泄密事件負直接責(zé)任。第十七條 電子涉密信息責(zé)任部門對電子涉密信息失密、泄密事件負管理責(zé)任。對本專業(yè)信息系統(tǒng)未執(zhí)行權(quán)限管理規(guī)定、信息系統(tǒng)運維人員違規(guī)操作等導(dǎo)致的失密、泄密事件負直接責(zé)任。第十八條 除公司收文外，電子涉密信息（文件）發(fā)布部門為第一保密責(zé)任部門，委托發(fā)布電子涉密信息的，委托部門與發(fā)布部門為連帶保密責(zé)任部門。第十九條 各部門對本部門發(fā)布、使

8、用、傳遞電子涉密信息發(fā)生的失密、泄密事件負責(zé)。各部門負責(zé)人為保密責(zé)任第一責(zé)任人。第二十條 各部門必須接受公司保密委的安全保密監(jiān)督、檢查、指導(dǎo)、培訓(xùn)，協(xié)助相關(guān)上級部門和公司查處涉及信息網(wǎng)絡(luò)、計算機設(shè)備的違法、違規(guī)行為。第二十一條 違反公司保密規(guī)定，獲取、利用、傳播電子涉密信息的人員為直接責(zé)任人：（一）在公司信息內(nèi)網(wǎng)、信息外網(wǎng)或互聯(lián)網(wǎng)發(fā)布、傳播國家秘密信息；（二）在公司信息外網(wǎng)或互聯(lián)網(wǎng)發(fā)布、傳播公司電子涉密信息；（三）非法使用他人信息系統(tǒng)權(quán)限、密碼獲取電子涉密信息，并以自己或他人名義發(fā)布、傳播的；（四）將自己掌握、了解、保管的公司電子涉密信息告知第三人予以發(fā)布、傳播的；（五）非法使用他人計算機設(shè)備

9、中存儲的電子涉密信息為個人目的使用、發(fā)布、傳播的。計算機設(shè)備保管人和信息系統(tǒng)訪問權(quán)限所有者負間接責(zé)任；信息系統(tǒng)電子涉密信息的責(zé)任部門負管理責(zé)任。第四章 電子涉密信息密級和范圍確定第二十二條 各部門對工作中產(chǎn)生的電子涉密信息，依據(jù)天津市電力公司保密工作管理辦法，確定密級并標明密級和保密期限。第二十三條 公司辦公室收文時，按照來文標注的密級確定密級。來文密級標為國家秘密的不得上傳信息系統(tǒng)，來文密級雖不屬于國家秘密，但保密辦公室認為必要的，可按照國家秘密采取保密措施。第五章 電子涉密信息發(fā)布要求第二十四條 凡列為公司涉密事項的，承辦人在起草、制作上網(wǎng)信息時，依據(jù)天津市電力公司保密工作管理辦法進行密級

10、標注。第二十五條 電子涉密信息不得上傳至公司信息外網(wǎng)和互聯(lián)網(wǎng)，屬于國家秘密的任何信息一律不得上傳至公司各類信息系統(tǒng)、信息內(nèi)網(wǎng)、信息外網(wǎng)及互聯(lián)網(wǎng)。第二十六條 電子涉密信息發(fā)布部門對發(fā)布信息的真實性負責(zé)，對電子涉密信息使用范圍有特別要求的，應(yīng)在發(fā)布電子涉密信息時對相關(guān)部門進行提示。第二十七條 電子涉密信息在公司信息內(nèi)網(wǎng)發(fā)布，必須報經(jīng)公司保密委審查同意，并具有完善的技術(shù)安全保密保護措施。第六章 電子涉密信息系統(tǒng)運行要求第二十八條 電子涉密信息系統(tǒng)運行要求：（一）對電子涉密信息應(yīng)當(dāng)采取系統(tǒng)訪問控制、數(shù)據(jù)保護和系統(tǒng)安全保密監(jiān)控管理等技術(shù)措施，對電子涉密信息訪問的權(quán)限控制應(yīng)采取最小化原則，禁止越權(quán)操作，未

11、采取技術(shù)安全保密措施或權(quán)限控制的信息系統(tǒng)不得接入公司信息內(nèi)網(wǎng)或信息外網(wǎng)運行；（二）具有電子涉密信息的信息系統(tǒng)應(yīng)當(dāng)采取詳細的日志記錄模塊，記錄使用人進入系統(tǒng)的帳號、計算機IP地址、MAC地址及全部操作過程；（三）有權(quán)訪問者對電子涉密信息進行再傳遞、復(fù)制時，應(yīng)按公司有關(guān)保密規(guī)定執(zhí)行。第二十九條 涉密計算機運行要求：（一）涉密計算機禁止接入公司信息外網(wǎng)和互聯(lián)網(wǎng)，必須與公共信息網(wǎng)絡(luò)實行物理隔離；（二）嚴禁在非涉密計算機、信息外網(wǎng)計算機和互聯(lián)網(wǎng)上存儲、處理、傳遞公司電子涉密信息；（三）嚴禁電子涉密信息存儲在涉密計算機和非涉密計算機、互聯(lián)網(wǎng)上交叉使用；（四）存儲電子涉密信息的計算機設(shè)備必須安裝防病毒軟件，

12、并采取防火墻、主機加固等必須的安全技術(shù)手段，做到定期殺毒、升級病毒庫，更新操作系統(tǒng)安全補丁，拆除無線網(wǎng)卡或關(guān)閉無線上網(wǎng)、藍牙等功能，禁止運行游戲軟件或來路不明的第三方軟件；（五）設(shè)置計算機設(shè)備BIOS、操作系統(tǒng)、屏幕保護等口令，長度不得少于10位，密碼為字母、數(shù)字、字符大小寫等組合，每三個月進行更換；（六）涉密計算機的擺放不應(yīng)屏幕朝向窗戶或過道；（七）未經(jīng)允許不得攜帶涉密計算機離開辦公場所，如需離開必須將電子涉密信息存放在國網(wǎng)U盤的保密區(qū)，并與非涉密計算機分開保存；（八）涉密人員必須每三個月更換信息系統(tǒng)賬號口令，崗位變化應(yīng)該首先更換口令，并加強口令強度，復(fù)雜度必須以數(shù)字、字母、字符、大寫、小寫

13、混合，長度大于等于10位，必要情況下可申請配置RSA動態(tài)口令。第三十條 電子涉密信息存儲設(shè)備因設(shè)備維護原因需要到公司外部進行維修、軟硬件升級、逾期報廢等工作，必須先交送運維檢修部，經(jīng)運維檢修部報送上級管理部門通過技術(shù)手段（消磁、粉碎等）進行設(shè)備脫密處理后方可進行。第三十一條 公司信息系統(tǒng)數(shù)據(jù)運行安全、保密的其它管理要求按照天津市電力公司信息系統(tǒng)安全管理實施細則和天津市XX供電有限公司終端信息安全保密管理辦法執(zhí)行。第七章 電子涉密信息備案要求第三十二條 各部門發(fā)布電子涉密信息實行信息發(fā)布負責(zé)制，各部門應(yīng)嚴格上網(wǎng)信息的安全審核、監(jiān)督和管理，負責(zé)對在信息內(nèi)網(wǎng)、信息外網(wǎng)和互聯(lián)網(wǎng)發(fā)布的信息進行分級審核、

14、監(jiān)督和管理，不得泄露國家和公司的秘密，不得散布不健康和非法的信息，禁止濫用網(wǎng)絡(luò)資源。第三十三條 各部門需發(fā)布電子涉密信息時，委托部門應(yīng)向運維檢修部領(lǐng)取電子商密信息發(fā)布備案表，提交公司保密委和運維檢修部備案,并由運維檢修部提交上級管理部門備案。第八章 保密監(jiān)督檢查第三十四條 公司保密委協(xié)調(diào)組織有關(guān)部門,配合上級保密委不定期對上網(wǎng)電子涉密信息責(zé)任單位、部門進行檢查，提出整改意見，并做出詳細記錄存檔備查。第三十五條 運維檢修部協(xié)調(diào)組織有關(guān)部門,配合上級管理部門抽查信息系統(tǒng)涉及電子涉密信息的存儲、處理、傳遞情況。第三十六條 運維檢修部負責(zé)依據(jù)公司信息系統(tǒng)電子涉密信息的安全管理要求，對各單位落實情況進行

15、技術(shù)監(jiān)督和檢查。第九章 罰 則第三十七條 違反本細則規(guī)定，造成國家秘密信息失密、泄密，構(gòu)成犯罪的，移交司法機關(guān)依法追究刑事責(zé)任。第三十八條 涉及違反公司信息安全保密制度，造成公司企業(yè)秘密丟失泄密、敏感信息泄露，構(gòu)成信息系統(tǒng)事故的，依據(jù)天津市電力公司電子涉密信息保密管理規(guī)定對直接責(zé)任人、間接責(zé)任人及連帶責(zé)任人給予相應(yīng)行政及經(jīng)濟處罰：（一）造成公司嚴重損失和影響、情節(jié)嚴重的，或構(gòu)成信息系統(tǒng)一級事故的，視情節(jié)輕重，對直接責(zé)任人給予留用察看一年或開除處分；對間接責(zé)任人給予行政降級或撤職處分，同時停發(fā)獎金六個月，給予下崗處理；對事故單位負責(zé)人給予記過處分，同時停發(fā)獎金四個月；對有關(guān)職能部門負責(zé)人給予記過

16、處分，同時停發(fā)獎金四個月。 （二）造成公司較大損失和影響、情節(jié)較重，或構(gòu)成信息系統(tǒng)二級事故的，視情節(jié)輕重，對直接責(zé)任人給予行政降級或撤職處分，同時停發(fā)六個月獎金，給予下崗處理；對間接責(zé)任人給予行政記大過或記過處分，同時停發(fā)獎金四到六個月，給予下崗處理；對事故單位負責(zé)人給予警告處分，同時停發(fā)獎金二個月；對有關(guān)職能部門負責(zé)人給予警告處分，同時停發(fā)獎金二個月。（三）造成公司一般損失和影響、情節(jié)較輕，或構(gòu)成信息系統(tǒng)三級事故的，視情節(jié)輕重，對直接責(zé)任人給予記大過或記過處分，同時停發(fā)獎金四到六個月，給予下崗處理；對間接責(zé)任人給予警告或記過處分，同時停發(fā)獎金二到四個月；對事故單位負責(zé)人給予警告處分，同時停發(fā)獎金二個月；對有關(guān)職能部門負責(zé)人給予警告處分，同時停發(fā)獎金二個月。 第三十九條 行政處分、經(jīng)濟處罰程序、行政處分運用規(guī)則按照天津市電力公司行政處分及經(jīng)濟處罰規(guī)定第一章第三、四節(jié)