信息系統(tǒng)信息設(shè)備和存儲設(shè)備管理

信息系統(tǒng)信息設(shè)備和存儲設(shè)備管理總則本制度是為了規(guī)范公司信息流程，使公司涉密信息設(shè)備和存儲設(shè)備及信息系統(tǒng)使用、管理、信息安全有所遵循而制定。相關(guān)定義：信息系統(tǒng)、信息設(shè)備和存儲設(shè)備：指武器裝備科研生產(chǎn)單位在日常工作和科研生產(chǎn)活動中配備和使用的各類應(yīng)用系統(tǒng)、服務(wù)器、計(jì)算機(jī)、網(wǎng)絡(luò)設(shè)備、外部設(shè)施設(shè)備、存儲介質(zhì)、辦公自動化設(shè)備、聲像設(shè)備和安全保密產(chǎn)品。應(yīng)用系統(tǒng)：包括由各種硬件設(shè)備及系統(tǒng)、接口部件、外部設(shè)備、應(yīng)用軟件、支持軟件和工具軟件組成的，為武器裝備科研生產(chǎn)服務(wù)的人機(jī)系統(tǒng)，以及安裝在信息系統(tǒng)中，實(shí)現(xiàn)某些專門應(yīng)用的綜合系統(tǒng)。服務(wù)器、計(jì)算機(jī)：包括服務(wù)器、操作終端、臺式計(jì)算機(jī)、便攜式計(jì)算機(jī)、工作站、小型機(jī)、中型機(jī)、大型機(jī)、巨型機(jī)等。網(wǎng)絡(luò)設(shè)備：包括交換機(jī)、路由器、網(wǎng)關(guān)等。外部設(shè)施設(shè)備：包括打印機(jī)、掃描儀、移動光驅(qū)、讀卡器、測試系統(tǒng)、調(diào)試系統(tǒng)、傳感器系統(tǒng)等。存儲介質(zhì)：包括計(jì)算機(jī)硬盤和固態(tài)存儲器、移動硬盤、光盤、優(yōu)盤、軟盤等；辦公自動化設(shè)備：包括打字機(jī)、復(fù)印機(jī)、傳真機(jī)、多功能一體機(jī)、碎紙機(jī)、速印機(jī)、曬圖機(jī)、繪圖儀等，及其相關(guān)存儲附件和耗材（其中部分設(shè)備也可以看作計(jì)算機(jī)的外部設(shè)備）。聲像設(shè)備：包括照相機(jī)、攝像機(jī)、錄音機(jī)、投影儀、非線性編輯機(jī)、擴(kuò)音設(shè)備、音頻矩陣、視頻矩陣、視頻會議設(shè)備、數(shù)字化會議設(shè)備、存儲卡、記憶棒、錄音帶、錄像帶等，及其相關(guān)附件和耗材。安全保密產(chǎn)品：包括接入控制、單向?qū)?、身份鑒別、訪問控制、監(jiān)控審計(jì)、病毒防治、干擾濾波、漏洞掃描等。向外提供的數(shù)據(jù)：包括對外刻錄的光盤，因工作需要向外提供的*文件及通過其它途徑傳遞的資料；過程文件資料：指在工作過程中產(chǎn)生的未定稿的文件資料，包括制作過程中未定稿的*檔、紙質(zhì)檔，也包括含有涉密信息的光盤、磁介質(zhì)等載體。涉密計(jì)算機(jī)及信息系統(tǒng)保密管理的基本原則：處理涉密信息的計(jì)算機(jī)不得直接或間接連接國際互聯(lián)網(wǎng)，必須實(shí)行物理隔離；禁止在與國際互聯(lián)網(wǎng)相連的計(jì)算機(jī)系統(tǒng)中存儲、處理和傳遞涉密信息；涉密計(jì)算機(jī)信息系統(tǒng)的規(guī)劃、設(shè)計(jì)、安裝、維護(hù)，必須由具有資質(zhì)的單位來承擔(dān)，投入使用前，必須報(bào)經(jīng)市級以上政府保密部門審批；計(jì)算機(jī)處理多種密級的信息時(shí)按最高密級進(jìn)行防護(hù)，存儲過涉密信息的計(jì)算機(jī)不能降低密級使用。計(jì)算機(jī)中的涉密信息應(yīng)有相應(yīng)的密級標(biāo)識，密級標(biāo)識與主體不可分離，涉密信息正文首頁、文件名、文件夾均需標(biāo)密，且應(yīng)加密存儲、傳輸；信息和文件密級一旦確定未經(jīng)重新審批不得篡改。根據(jù)所存儲的信息和軟件的重要程度及涉密程度對設(shè)備或介質(zhì)依據(jù)“就高”原則進(jìn)行等級劃分，同時(shí)按照劃分的等級進(jìn)行標(biāo)識區(qū)分；設(shè)備信息化及保密辦在日常工作中對公司機(jī)密級設(shè)備和存儲介質(zhì)進(jìn)行重點(diǎn)檢查和管理。信息系統(tǒng)、信息設(shè)備和存儲設(shè)備分類：根據(jù)所承載和處理信息和軟件的重要程度進(jìn)行分類，主要分為：機(jī)密級、秘密級、內(nèi)部非密級、互聯(lián)網(wǎng)非密級。并對相應(yīng)設(shè)備和介質(zhì)按照相應(yīng)等級進(jìn)行標(biāo)識和分類管理。職責(zé)系統(tǒng)管理員的職責(zé)：系統(tǒng)管理員在安全審計(jì)員的監(jiān)督下開展工作，主要負(fù)責(zé)涉密網(wǎng)絡(luò)相關(guān)參數(shù)的制定、配置與監(jiān)控管理；負(fù)責(zé)系統(tǒng)的日常的運(yùn)行與維護(hù)管理、涉密計(jì)算機(jī)及信息系統(tǒng)的硬件維護(hù)、負(fù)責(zé)通用應(yīng)用系統(tǒng)和軟件的安裝、配置以及升級，針對涉密信息系統(tǒng)風(fēng)險(xiǎn)評估報(bào)告，提出應(yīng)對措施和建議。應(yīng)當(dāng)清楚的了解本單位涉密網(wǎng)絡(luò)的運(yùn)行環(huán)境、運(yùn)行條件、軟硬件組成、網(wǎng)絡(luò)結(jié)構(gòu)、應(yīng)用系統(tǒng)結(jié)構(gòu)、技術(shù)性能、空間分配、參數(shù)設(shè)置等技術(shù)指標(biāo)，并熟練掌握其操作規(guī)程。負(fù)責(zé)軟硬設(shè)備（含操作系統(tǒng)），以及應(yīng)用系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的安裝、調(diào)試、升級、卸載、維護(hù)；定期安裝操作系統(tǒng)補(bǔ)丁程序，并做好檢測記錄，保證軟硬件及系統(tǒng)正常運(yùn)行；負(fù)責(zé)涉密網(wǎng)安全域、VLAN的劃分和實(shí)施工作，服務(wù)器域管理和入侵檢測系統(tǒng)配置；負(fù)責(zé)IT設(shè)備MAC地址、IP地址和網(wǎng)絡(luò)端口的綁定、安全性能檢測及設(shè)備違規(guī)接入監(jiān)控；負(fù)責(zé)機(jī)房設(shè)備的系統(tǒng)配置和日常管理；管理機(jī)房門禁系統(tǒng)，掌握機(jī)房溫度，濕度和通風(fēng)情況，為機(jī)房設(shè)備提供適宜的工作環(huán)境；負(fù)責(zé)服務(wù)器、網(wǎng)絡(luò)系統(tǒng)及設(shè)備的日常使用和管理；負(fù)責(zé)定期分析網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)等軟硬件的系統(tǒng)日志，針對日志中的系統(tǒng)異常、錯誤或報(bào)警等分析原因，提出解決辦法并實(shí)施，不斷優(yōu)化系統(tǒng)運(yùn)行環(huán)境；掌握用戶端設(shè)備接入網(wǎng)絡(luò)（含涉密信息系統(tǒng)）的情況，以便發(fā)現(xiàn)問題時(shí)可迅速定位和解決，未經(jīng)審批，嚴(yán)禁非法設(shè)備接入網(wǎng)絡(luò)（含涉密信息系統(tǒng)），保障系統(tǒng)的安全，凡接入設(shè)備必須履行審批手續(xù)進(jìn)行檢測后接入；對計(jì)算機(jī)病毒、網(wǎng)絡(luò)攻擊、異常行為進(jìn)行及時(shí)響應(yīng)處理，并做好記錄；察覺到網(wǎng)絡(luò)處于被攻擊狀態(tài)后，系統(tǒng)管理員應(yīng)確定其身份，在保護(hù)系統(tǒng)安全的情況下可做阻斷行為并向主管領(lǐng)導(dǎo)匯報(bào)；在安全保密管理員配合下，應(yīng)定期升級安全保密設(shè)備及其規(guī)則庫；定期進(jìn)行病毒、木馬和惡意程序的查殺、處理工作；負(fù)責(zé)服務(wù)器中涉密數(shù)據(jù)及關(guān)鍵業(yè)務(wù)數(shù)據(jù)的備份與恢復(fù)，負(fù)責(zé)網(wǎng)絡(luò)設(shè)備和服務(wù)器設(shè)備配置和策略備份、恢復(fù)與重建；負(fù)責(zé)關(guān)鍵的網(wǎng)絡(luò)設(shè)備等硬件的備份、恢復(fù)與重建工作；負(fù)責(zé)涉密網(wǎng)絡(luò)信息流量、負(fù)載均衡和相關(guān)信息統(tǒng)計(jì)分析，每月編寫涉密網(wǎng)絡(luò)運(yùn)行報(bào)告，并做好日常工作記錄，確保日志真實(shí)、有效。安全保密管理員的職責(zé)：安全保密管理員在安全審計(jì)員的監(jiān)督下開展工作，主要負(fù)責(zé)涉密網(wǎng)絡(luò)的安全策略、安全評估、用戶賬號權(quán)限設(shè)置等日常安全保密管理工作，安全保密設(shè)備設(shè)施及軟件的使用和維護(hù)管理。應(yīng)清楚了解本單位涉密網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)、安全策略、保護(hù)措施、控制機(jī)制、用戶權(quán)限以及參數(shù)設(shè)置等技術(shù)指標(biāo)，并熟悉掌握安全保密產(chǎn)品的操作規(guī)程和配置要求。負(fù)責(zé)制定涉密計(jì)算機(jī)安全保密策略，并通過查看安全域的劃分、訪問控制策略配置等是否有效等情況及時(shí)調(diào)整更新安全保密策略；負(fù)責(zé)公司安全保密設(shè)備設(shè)施及軟件的建設(shè)、安裝配置、策略設(shè)計(jì)和部署、日常使用和管理，定期對設(shè)備設(shè)施的運(yùn)行情況進(jìn)行檢查;負(fù)責(zé)實(shí)施網(wǎng)絡(luò)系統(tǒng)和應(yīng)用系統(tǒng)用戶訪問權(quán)限分配及調(diào)整，通過授權(quán)機(jī)制監(jiān)控信息流向，防止越權(quán)訪問；負(fù)責(zé)重點(diǎn)安保設(shè)備日志記錄文件的數(shù)據(jù)備份、重點(diǎn)安保設(shè)備的設(shè)備備份、服務(wù)器數(shù)據(jù)備份的安全檢查，以及系統(tǒng)恢復(fù)與重建過程中的安保管理；負(fù)責(zé)系統(tǒng)存儲介質(zhì)注冊、授權(quán)等可信處理；負(fù)責(zé)管理維護(hù)涉密計(jì)算機(jī)上配置的安全防護(hù)產(chǎn)品和措施；負(fù)責(zé)計(jì)算機(jī)密碼管理工作，根據(jù)涉密信息系統(tǒng)密碼設(shè)置要求，指導(dǎo)涉密系統(tǒng)用戶設(shè)置BIOS、操作系統(tǒng)、屏幕保護(hù)、數(shù)據(jù)庫系統(tǒng)等密碼；負(fù)責(zé)系統(tǒng)安全性能檢測處理、漏洞掃描、入侵檢查、違規(guī)外聯(lián)監(jiān)控，并做好記錄；定期對系統(tǒng)漏洞進(jìn)行修補(bǔ)、病毒庫升級等工作；協(xié)助系統(tǒng)管理員，定期進(jìn)行病毒、木馬和惡意程序的查殺、處理工作；負(fù)責(zé)系統(tǒng)重大運(yùn)行安全事件的報(bào)告和運(yùn)行安全事件查處過程中的安保管理；負(fù)責(zé)涉密系統(tǒng)總量統(tǒng)計(jì)、用戶統(tǒng)計(jì)，用戶申請、刪除的審批，用戶帳號的恢復(fù)與重建，定期審查用戶權(quán)限列表；負(fù)責(zé)提出涉密網(wǎng)絡(luò)文檔化的安全保密策略文件的編制建議，并根據(jù)環(huán)境、系統(tǒng)和威脅變化情況及時(shí)提出調(diào)整、修改、更新安全策略，適時(shí)備份安全保密策略；協(xié)助系統(tǒng)管理員完成操作系統(tǒng)等軟硬件設(shè)備的策略設(shè)置和安全設(shè)置。負(fù)責(zé)檢查分析操作系統(tǒng)和應(yīng)用系統(tǒng)的各種日志和記錄，分析安全狀況。負(fù)責(zé)對涉密網(wǎng)絡(luò)的用戶及安全審計(jì)員的操作行為進(jìn)行審計(jì)；對安全管理系統(tǒng)的審計(jì)日志、異常事件和行為進(jìn)行統(tǒng)計(jì)分析。每月形成文檔化的安全審計(jì)報(bào)告。負(fù)責(zé)網(wǎng)絡(luò)安全日志、各類安全事件信息統(tǒng)計(jì)分析，定期開展風(fēng)險(xiǎn)評估工作并形成文檔化的風(fēng)險(xiǎn)分析報(bào)告。完成部門和保密委賦予的其他安全保密工作安全審計(jì)員的職責(zé)：安全審計(jì)員負(fù)責(zé)對系統(tǒng)管理員、安全保密管理員的操作行為進(jìn)行審計(jì)、跟蹤、分析和監(jiān)督檢查，以便及時(shí)發(fā)現(xiàn)違規(guī)行為。每月提出安全審計(jì)報(bào)告（包括打印日志、違規(guī)外聯(lián)記錄、USB使用記錄、入侵檢測、違規(guī)接入等）；并定期對涉密信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評估，提交風(fēng)險(xiǎn)評估報(bào)告。應(yīng)具備系統(tǒng)日志分析、安全事件分析和掌握相關(guān)取證技術(shù)的能力。應(yīng)能夠?qū)ξ臋n化的安全保密審計(jì)報(bào)告進(jìn)行綜合評估負(fù)責(zé)對系統(tǒng)管理員、安全保密管理員的操作行為、入侵監(jiān)控記錄及進(jìn)出安全域的事件進(jìn)行審計(jì)跟蹤分析和監(jiān)督檢查；負(fù)責(zé)對出入中心機(jī)房的人員記錄、設(shè)備的相關(guān)操作進(jìn)行查驗(yàn)和審計(jì)；負(fù)責(zé)對系統(tǒng)設(shè)備接入、外聯(lián)、使用、維修和銷毀記錄審計(jì)；負(fù)責(zé)對系統(tǒng)介質(zhì)準(zhǔn)入、制作、收發(fā)、傳遞、使用、維修和銷毀記錄的安全審計(jì)；負(fù)責(zé)對安全審計(jì)日志記錄文件的數(shù)據(jù)備份，安全審計(jì)服務(wù)器設(shè)備備份的實(shí)現(xiàn)，系統(tǒng)備份、恢復(fù)與重建記錄的安全審計(jì)；負(fù)責(zé)對系統(tǒng)安保策略，系統(tǒng)配置及變更，權(quán)限劃分，病毒與惡意代碼防護(hù)，軟件安裝控制，系統(tǒng)安全性能檢測，系統(tǒng)運(yùn)行檢查的安全審計(jì)；負(fù)責(zé)對信息分類與控制，用戶的創(chuàng)建、修改、刪除、恢復(fù)和重建記錄，用戶權(quán)限的分配、撤銷記錄，系統(tǒng)互聯(lián)互通進(jìn)行審計(jì)；行使所有涉密計(jì)算機(jī)、信息系統(tǒng)、審計(jì)軟件系統(tǒng)的審計(jì)員身份操作權(quán)利，每月形成文檔化審計(jì)報(bào)告，向主管領(lǐng)導(dǎo)和保密辦公室匯報(bào)相關(guān)情況；每12個月根據(jù)系統(tǒng)綜合日志，進(jìn)行一次自我風(fēng)險(xiǎn)評估，形成文檔化的風(fēng)險(xiǎn)分析報(bào)告，對存在的風(fēng)險(xiǎn)應(yīng)當(dāng)及時(shí)采取補(bǔ)救措施。部門安全員的職責(zé)協(xié)助部門領(lǐng)導(dǎo)實(shí)施對科研、生產(chǎn)、試驗(yàn)、管理等方面的保密管理工作；協(xié)助部門領(lǐng)導(dǎo)對國家秘密事項(xiàng)及其涉密載體定密和變更密級工作；協(xié)助部門領(lǐng)導(dǎo)進(jìn)行安全保密檢查，督促落實(shí)隱患整改工作；協(xié)助部門領(lǐng)導(dǎo)做好安全保密會議，保密宣傳教育的記錄工作以及涉密人員保密工作考核；負(fù)責(zé)涉密載體制作、收發(fā)、傳遞、使用、復(fù)制、保存、銷毀等環(huán)節(jié)的保密管理工作，并做好審查審批記錄；負(fù)責(zé)臺式計(jì)算機(jī)、便攜機(jī)和移動存儲介質(zhì)的管理及攜帶外出使用的保密安全檢查，建立臺賬，做到帳物相符；督促保密法律、法規(guī)及規(guī)章制度的落實(shí)和有效運(yùn)行；配合做好對失泄密事件的調(diào)查處理工作；完成部門和公司保密委賦予的其他安全保密工作。部門負(fù)責(zé)人的職責(zé)1.負(fù)責(zé)本部門信息設(shè)備的使用管理。2.負(fù)責(zé)對涉密信息輸出進(jìn)行監(jiān)督和審批。3.協(xié)助保密辦開展涉密計(jì)算機(jī)及信息系統(tǒng)管理工作，提供人力、物力支持。信息系統(tǒng)、信息設(shè)備和存儲介質(zhì)使用者的職責(zé)1.負(fù)責(zé)所使用設(shè)備和存儲介質(zhì)的安全保密管理。2.負(fù)責(zé)所在崗位產(chǎn)生的涉密*文檔的整理、標(biāo)密以及傳播范圍的控制。信息系統(tǒng)建設(shè)公司涉密信息系統(tǒng)建設(shè)應(yīng)在各級相關(guān)保密工作部門的指導(dǎo)與監(jiān)督下，按照《涉及國家秘密的計(jì)算機(jī)信息系統(tǒng)集成資質(zhì)管理辦法》的要求，選擇具有相應(yīng)涉密資質(zhì)的承建單位承擔(dān)或參與涉密信息系統(tǒng)的方案設(shè)計(jì)與實(shí)施、軟件開發(fā)、綜合布線、系統(tǒng)服務(wù)、系統(tǒng)咨詢、風(fēng)險(xiǎn)評估、屏蔽室建設(shè)、工程監(jiān)理和保密安防監(jiān)控等。公司保密辦對涉密信息系統(tǒng)集成的相關(guān)資質(zhì)進(jìn)行審核備案，否則不予立項(xiàng)實(shí)施與系統(tǒng)建設(shè)相關(guān)的方案設(shè)計(jì)應(yīng)依據(jù)國家相關(guān)保密要求進(jìn)行，并進(jìn)行方案設(shè)計(jì)前的風(fēng)險(xiǎn)評估，公司相關(guān)管理部門根據(jù)評估結(jié)果確定系統(tǒng)保護(hù)所須達(dá)到的基本要求，采取具體的保護(hù)措施，如對部分保護(hù)要求作出調(diào)整，應(yīng)檢查評估調(diào)整的合理性。方案設(shè)計(jì)階段的風(fēng)險(xiǎn)評估由公司組織自身技術(shù)力量開展或委托相應(yīng)集成資質(zhì)和系統(tǒng)咨詢單項(xiàng)資質(zhì)的單位承擔(dān)。軟硬件管理公司信息設(shè)備的軟硬件統(tǒng)一購置、統(tǒng)一標(biāo)識、統(tǒng)一安裝、統(tǒng)一發(fā)放，由設(shè)備信息化室負(fù)責(zé)管理，其他各部門有義務(wù)配合做好本部門內(nèi)的信息設(shè)備管理，有義務(wù)按照保密要求進(jìn)行正確的安裝、使用、運(yùn)行和安全操作。公司建立信息設(shè)備總臺帳，包括計(jì)算機(jī)（含服務(wù)器、用戶終端）、網(wǎng)絡(luò)設(shè)備和外部設(shè)備、存儲介質(zhì)、安全保密產(chǎn)品。各部門建立相應(yīng)的分臺帳，包括計(jì)算機(jī)、存儲介質(zhì)。設(shè)備信息化部每六個月對信息設(shè)備臺帳進(jìn)行一次清查、核對和登記，發(fā)現(xiàn)問題應(yīng)及時(shí)向保密辦報(bào)告。購置軟硬件產(chǎn)品時(shí)，應(yīng)滿足以下條件：1．嚴(yán)禁外資企業(yè)和有國（境）外背景的機(jī)構(gòu)、組織及其人員參與系統(tǒng)的建設(shè)與管理系統(tǒng)集成與系統(tǒng)服務(wù)、安全保密產(chǎn)品的采購，不得進(jìn)行公開招標(biāo)，應(yīng)在具備資質(zhì)的單位和經(jīng)國家主管部門批準(zhǔn)的范圍內(nèi)采取邀標(biāo)、競爭性談判、詢價(jià)等方式進(jìn)行；2．涉及到招標(biāo)的采購項(xiàng)目，應(yīng)屏蔽招標(biāo)項(xiàng)目代號、最終用戶等資料信息；3．安全保密產(chǎn)品應(yīng)選用國產(chǎn)設(shè)備，非安全保密產(chǎn)品應(yīng)充分考慮國家安全保密需要，優(yōu)先選擇國產(chǎn)設(shè)備；4．在選用國外設(shè)備時(shí)，應(yīng)進(jìn)行詳細(xì)調(diào)查和論證，同時(shí)不得選用國家保密工作部門禁用的設(shè)備或附件，必要時(shí)應(yīng)對選用的國外產(chǎn)品進(jìn)行安全保密檢測；5．計(jì)算機(jī)病毒防護(hù)產(chǎn)品只能選用獲得公安機(jī)關(guān)批準(zhǔn)的產(chǎn)品，其他安全保密產(chǎn)品只能選用獲得國家保密工作部門批準(zhǔn)的產(chǎn)品。信息設(shè)備軟硬件管理的基本要求：1.公司禁止使用具有無線互聯(lián)功能的信息設(shè)備，計(jì)算機(jī)或信息設(shè)備在下發(fā)使用前必須將無線鍵盤、無線鼠標(biāo)及其他無線互聯(lián)的外圍設(shè)備模塊拆除。2．嚴(yán)禁擅自對涉密計(jì)算機(jī)及辦公自動化設(shè)備的軟硬件進(jìn)行安裝、擴(kuò)展、縮減、拆卸。3．禁止私自將外部軟硬件設(shè)備接入涉密信息系統(tǒng)或在系統(tǒng)內(nèi)使用。4．不得擅自更改計(jì)算機(jī)名、用戶名、IP地址、MAC地址等計(jì)算機(jī)標(biāo)識。5．計(jì)算機(jī)使用者離開計(jì)算機(jī)時(shí)，須將桌面鎖定。6．涉密計(jì)算機(jī)只能使用公司批準(zhǔn)的《合格軟件清單》所包含的軟件，不準(zhǔn)私自安裝、使用與工作無關(guān)的軟件，不得隨意下載軟件。7．重要的公用程序（應(yīng)用軟件）不允許任意復(fù)制，防止出現(xiàn)版權(quán)糾紛。凡進(jìn)行以下操作,使用者需填寫《軟硬件變更審批登記表》，機(jī)密級軟硬件設(shè)備的變更需經(jīng)過公司主管領(lǐng)導(dǎo)批準(zhǔn)，其他等級設(shè)備的變更需經(jīng)部門負(fù)責(zé)人批準(zhǔn)后，向設(shè)備信息化室提出需求，由設(shè)備信息化室進(jìn)行檢查和審批，授權(quán)申請人或派專人負(fù)責(zé)安裝調(diào)試。1.安裝、使用新軟件或硬件設(shè)備。2.格式化硬盤，安裝操作系統(tǒng)。3.因工作需要，臨時(shí)開放端口、服務(wù)、連接和系統(tǒng)授權(quán)。4.因工作需要，將外部軟硬件設(shè)備接入涉密信息系統(tǒng)或在系統(tǒng)中使用。當(dāng)涉密信息設(shè)備和介質(zhì)出現(xiàn)故障需進(jìn)行維修、報(bào)廢時(shí)，應(yīng)填寫《涉密設(shè)備維修申請單》，經(jīng)部門負(fù)責(zé)人審核，公司分管領(lǐng)導(dǎo)批準(zhǔn)后，由設(shè)備信息化室指派專人負(fù)責(zé)處理。涉密信息設(shè)備和介質(zhì)現(xiàn)場維修過程中，使用部門兼職安全員應(yīng)進(jìn)行全程陪同，嚴(yán)禁維修人員擅自讀取和拷貝設(shè)備中存儲的涉密信息；確需帶離現(xiàn)場進(jìn)行維修時(shí)，應(yīng)將涉密存儲部件拆除并妥善保管。嚴(yán)禁任何部門和個人將涉密信息設(shè)備和介質(zhì)作為廢品出售和銷毀或自行處理。涉密信息設(shè)備和介質(zhì)報(bào)廢時(shí)，經(jīng)公司分管領(lǐng)導(dǎo)批準(zhǔn)后，由設(shè)備信息化室將存儲部件中的涉密信息徹底清除，交保密辦檢查確認(rèn)無涉密信息，并辦理銷毀手續(xù)后，每年統(tǒng)一組織實(shí)施一次集體銷毀。網(wǎng)絡(luò)管理計(jì)算機(jī)的網(wǎng)絡(luò)類別分為連接互聯(lián)網(wǎng)、連接涉密內(nèi)網(wǎng)和不連網(wǎng)。網(wǎng)絡(luò)使用及管理的基本要求：1.嚴(yán)禁私自更改計(jì)算機(jī)的網(wǎng)絡(luò)類別。2.禁止將與互聯(lián)網(wǎng)以及其他公共信息網(wǎng)絡(luò)連接的辦公自動化設(shè)備接入涉密內(nèi)網(wǎng)。3.嚴(yán)禁攻擊網(wǎng)絡(luò)服務(wù)器，或利用黑客軟件對其他計(jì)算機(jī)進(jìn)行攻擊。4.不得利用電話撥號等任何方式，私自將計(jì)算機(jī)連接上網(wǎng)。5.所有計(jì)算機(jī)在使用時(shí)均要打開病毒防護(hù)軟件，一旦其報(bào)警，應(yīng)立即保存相關(guān)文件，并與設(shè)備信息化室聯(lián)系。內(nèi)網(wǎng)申請流程：一般由當(dāng)事人在正式轉(zhuǎn)正進(jìn)入涉密崗位時(shí)，填寫《涉密人員審查表》，經(jīng)部門負(fù)責(zé)人對其崗位、業(yè)務(wù)的密級進(jìn)行審查建議，報(bào)保密辦備案后，再由系統(tǒng)管理員根據(jù)崗位涉密情況制作唯一用戶標(biāo)識，并依據(jù)最小授權(quán)權(quán)限分配策略開放相應(yīng)權(quán)限。外網(wǎng)申請流程：填寫《網(wǎng)絡(luò)接入申請登記表》，經(jīng)部門負(fù)責(zé)人審核，保密辦批準(zhǔn)，再由設(shè)備信息化室開放相應(yīng)權(quán)限。因工作變動或離職需刪除用戶時(shí)，由用戶本人所在部門負(fù)責(zé)人書面通知安全保密管理員，并報(bào)保密辦備案。安全保密員應(yīng)及時(shí)將用戶在系統(tǒng)內(nèi)的所有賬號及權(quán)限廢止。安全保密管理員每月檢查用戶身份標(biāo)識日志和用戶權(quán)限列表，發(fā)現(xiàn)問題應(yīng)及時(shí)向保密辦匯報(bào)。涉密信息系統(tǒng)與其他信息系統(tǒng)、非涉密信息系統(tǒng)之間互聯(lián)時(shí)，設(shè)備信息化部應(yīng)組織開展需求風(fēng)險(xiǎn)評估，檢測分析系統(tǒng)的安全漏洞和脆弱性，確定能否滿足互聯(lián)。經(jīng)評估可以進(jìn)行互聯(lián)時(shí)，應(yīng)為互聯(lián)雙方調(diào)整安全保密策略，制定互聯(lián)后系統(tǒng)的安全保密措施提供技術(shù)保障，劃分明確的系統(tǒng)邊界，采取有效邊界防護(hù)和訪問控制措施，阻止高密級信息流向低等級信息系統(tǒng)。當(dāng)公司網(wǎng)絡(luò)安全受到威脅，無法確保信息安全時(shí)，設(shè)備信息化室有權(quán)關(guān)閉互聯(lián)網(wǎng)，或直接關(guān)閉對網(wǎng)絡(luò)有潛在威脅的計(jì)算機(jī)的網(wǎng)絡(luò)權(quán)限。信息安全管理生產(chǎn)、科研項(xiàng)目完成后，項(xiàng)目負(fù)責(zé)人應(yīng)將項(xiàng)目成套文檔資料交科技管理部刻錄存檔，項(xiàng)目參與人員應(yīng)刪除計(jì)算機(jī)內(nèi)有關(guān)過程文檔。涉密計(jì)算機(jī)及信息系統(tǒng)向外部提供信息輸出，原則上需經(jīng)過解密流程，通過中間機(jī)刻錄在一次性刻錄光盤上。防病毒軟件服務(wù)器每天中午11：30開始對所有涉密計(jì)算機(jī)進(jìn)行一次全盤病毒查殺，查殺過程中計(jì)算機(jī)使用者須確保計(jì)算機(jī)處于開機(jī)狀態(tài)。未經(jīng)保密辦批準(zhǔn)，員工不應(yīng)將不屬于公司的電腦整機(jī)或配件帶入公司使用，更不允許接入公司涉密信息系統(tǒng)。用于處理涉密信息的辦公自動化設(shè)備、涉密計(jì)算機(jī)和涉密存儲介質(zhì)禁止接入互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)。信息化相關(guān)人員應(yīng)對涉密信息系統(tǒng)中信息的數(shù)量進(jìn)行分類統(tǒng)計(jì)，并定期匯報(bào)保密辦；當(dāng)系統(tǒng)中機(jī)密級信息數(shù)量明顯增多時(shí)，應(yīng)進(jìn)行風(fēng)險(xiǎn)評估并及時(shí)調(diào)整系統(tǒng)防護(hù)措施。當(dāng)實(shí)際文檔有進(jìn)行變更時(shí)，應(yīng)根據(jù)文檔的變化情況及時(shí)更新相應(yīng)系統(tǒng)文檔資料，以保持一致性。涉密內(nèi)網(wǎng)電腦和服務(wù)器采用賬號和口令的身份鑒別方式，所有涉密電腦必須設(shè)置BIOS密碼，機(jī)密級電腦口令長度為10位，一周修改一次；秘密級電腦口令長度為8位，一月修改一次；口令必須包含字母大小寫和數(shù)字等組成；涉密便攜式計(jì)算機(jī)采用USBkey和賬號口令的方式進(jìn)行身份鑒別。信息系統(tǒng)信息化管理人員應(yīng)根據(jù)用戶申請審批單新增系統(tǒng)用戶，同時(shí)根據(jù)用戶等級及業(yè)務(wù)工作需求等條件開放相應(yīng)的權(quán)限；用戶經(jīng)申請審批退出系統(tǒng)使用時(shí)對及時(shí)取消用戶賬戶和用戶權(quán)限；信息化管理人員應(yīng)建立與用戶權(quán)限相匹配的系統(tǒng)用戶清單，并根據(jù)用戶新增和取消進(jìn)行動態(tài)更新，用戶賬戶應(yīng)保證唯一性。系統(tǒng)賬號的申請和取消均需經(jīng)部門負(fù)責(zé)人及主管領(lǐng)導(dǎo)審批。信息系統(tǒng)管理人員應(yīng)每月對系統(tǒng)用戶及權(quán)限進(jìn)行審查發(fā)現(xiàn)異常及時(shí)糾正，并將異常情況報(bào)保密辦備案。移動存儲介質(zhì)管理移動存儲介質(zhì)采用中孚移動存儲介質(zhì)管理系統(tǒng)綁定使用范圍，未經(jīng)授權(quán)將無法使用，必須通過中間轉(zhuǎn)換機(jī)進(jìn)行信息交換。涉密移動存儲介質(zhì)由設(shè)備信息化室統(tǒng)一申購、分配以及管理，其他移動存儲介質(zhì)由介質(zhì)對應(yīng)責(zé)任人管理，未使用時(shí)應(yīng)當(dāng)存放在保密柜中，分發(fā)時(shí)對相關(guān)責(zé)任人員進(jìn)行安全操作使用的保密教育或保密提醒。涉密移動存儲介質(zhì)僅限定在涉密計(jì)算機(jī)、涉密中間機(jī)、涉密筆記本電腦之間使用。公司在賬非密移動存儲介質(zhì)專盤專用，適用下列情況：1.在調(diào)試機(jī)上使用；2.在互聯(lián)網(wǎng)下載、上傳非密信息使用；3.非密信息導(dǎo)入涉密中間機(jī)單向?qū)胙b置非密端口做病毒及惡意代碼檢查使用。移動存儲介質(zhì)使用時(shí)應(yīng)遵循以下基本要求：1.禁止高密級存儲介質(zhì)在低密級計(jì)算機(jī)和信息系統(tǒng)中使用；2.禁止低密級存儲介質(zhì)存儲高密級信息；3.禁止將個人具有存儲功能的介質(zhì)和設(shè)備接入涉密計(jì)算機(jī)和信息系統(tǒng)；4.使用移動存儲介質(zhì)前，應(yīng)進(jìn)行惡意代碼及病毒查殺；5.涉密移動存儲介質(zhì)使用完畢后，應(yīng)及時(shí)采用信息銷毀工具進(jìn)行信息消除處理。需要使用涉密移動存儲介質(zhì)時(shí)，使用人應(yīng)辦理借用手續(xù)經(jīng)保管人確認(rèn)后借用，使用過程需妥善保管，歸還時(shí)應(yīng)經(jīng)設(shè)備信息化專人保密檢查并進(jìn)行信息消除處理。禁止將個人移動存儲介質(zhì)帶入工作場所，一經(jīng)發(fā)現(xiàn)，公司予以沒收并上交保密辦，同時(shí)依據(jù)公司保密制度對當(dāng)事人進(jìn)行經(jīng)濟(jì)處罰。電話系統(tǒng)的管理公司電話系統(tǒng)采用聯(lián)通通信網(wǎng)絡(luò)，使用聯(lián)通公司提供的申甌交換機(jī)及相關(guān)設(shè)備。公司電話系統(tǒng)，主要是作為與外界溝通、開展業(yè)務(wù)之用，嚴(yán)禁員工在公司內(nèi)撥打私人電話。公司電話系統(tǒng)的使用由綜合辦公室根據(jù)公司實(shí)際情況，進(jìn)行統(tǒng)一規(guī)劃、分配。相關(guān)設(shè)備由公司設(shè)備管理員專人負(fù)責(zé)管理與維護(hù)，其他人員嚴(yán)禁有對設(shè)備進(jìn)行損壞的行為。各部門若因工作需要，增加分機(jī)號碼或需對現(xiàn)有電話進(jìn)行調(diào)整，需到辦公室辦理相關(guān)審批手續(xù)，填寫《電話跳線、并機(jī)申請表》，然后由設(shè)備管理員進(jìn)行相關(guān)調(diào)整。嚴(yán)禁私自接、拉電話線，私自跳線、并機(jī)。公司電話系統(tǒng)使用方法為：1.公司總機(jī)號碼為**2900，傳真機(jī)號碼為**2898；2.撥打外線電話：提機(jī)撥“9”加電話號碼；3.撥打總公司內(nèi)部電話：提機(jī)撥電話號碼后四位（如2900）；4.撥打“800”免費(fèi)電話：提機(jī)直接撥電話號碼；5.根據(jù)實(shí)際需要，在采購部開通一條外線可以撥打國際長途。公司電話系統(tǒng)是普通的通信線路，沒有加密功能，嚴(yán)禁在電話系統(tǒng)的使用過程中，交談涉及國家秘密信息的內(nèi)容。嚴(yán)禁使用公司電話系統(tǒng)拔號上網(wǎng)。電話系統(tǒng)出現(xiàn)故障，請外人進(jìn)行維修時(shí)，由設(shè)備管理員進(jìn)行陪同。傳真機(jī)的管理根據(jù)工作需要，公司配置傳真機(jī)由各部門設(shè)置專人進(jìn)行管理與維護(hù)。使用傳真機(jī)發(fā)文件資料時(shí)必須進(jìn)行登記，嚴(yán)禁通過傳真機(jī)傳送涉及國家秘密的文件資料。傳真機(jī)接收到的文件由專人進(jìn)行接收，并實(shí)行接收簽收和領(lǐng)用制度。手機(jī)使用管理手機(jī)禁止接入公司涉密網(wǎng)絡(luò)，禁止連接涉密設(shè)備、禁止連接紅黑隔離電源和涉密電腦充電或進(jìn)行其他操作。手機(jī)禁止存儲、處理、傳遞涉密信息；禁止在手機(jī)通訊中談及國家密級和公司商業(yè)秘密。公司保密要害部門部位等重要涉密場所禁止使用手機(jī)通訊、禁止使用手機(jī)拍照、錄音、錄像等。公司重要涉密人員使用的手機(jī)應(yīng)經(jīng)過安全檢查，不得使用未經(jīng)入網(wǎng)許可的手機(jī)和開通位置服務(wù)、連接互聯(lián)網(wǎng)等功能的手機(jī)。公司重要涉密人員的手機(jī)出現(xiàn)故障或發(fā)現(xiàn)異常情況時(shí)應(yīng)立即報(bào)告，并在公司內(nèi)部進(jìn)行維修，無法修復(fù)使用時(shí)，應(yīng)按照涉密設(shè)備進(jìn)行銷毀處理。重要涉密會議和重要活動場地應(yīng)安裝檢測設(shè)備，配備手機(jī)屏蔽柜，信號干擾儀等，防止進(jìn)入人員帶入手機(jī)。保密安全管理涉密信息系統(tǒng)應(yīng)當(dāng)制定文檔化的安全保密策略，經(jīng)公司保密委負(fù)責(zé)人批準(zhǔn)后下發(fā)正式文件，并由人力資源部和保密辦組織員工培訓(xùn)，確保策略正確實(shí)施。安全保密策略內(nèi)容應(yīng)包括：運(yùn)行管理，信息安全、備份與恢復(fù)、應(yīng)急計(jì)劃和響應(yīng)、計(jì)算機(jī)病毒與惡意代碼防護(hù)、身份鑒別、訪問控制、安全審計(jì)等。涉密信息系統(tǒng)定期組織安全保密策略審核，審核內(nèi)容包括安全保密設(shè)備的策略規(guī)則、文檔化的策略文件，一般每三個月組織一次，并針對發(fā)現(xiàn)的問題及時(shí)調(diào)整更新策略，同時(shí)檢查文檔符合性。涉密信息系統(tǒng)定期組織風(fēng)險(xiǎn)評估，一般每年組織一次，或根據(jù)系統(tǒng)規(guī)模、用戶數(shù)量和威脅的變化臨時(shí)組織，根據(jù)評估結(jié)果編制風(fēng)險(xiǎn)評估報(bào)告，針對發(fā)現(xiàn)的問題及時(shí)制定補(bǔ)救措施并予以實(shí)施，同時(shí)完善和更新安全策略文件。保密辦制定年度工作計(jì)劃應(yīng)包括對涉密信息設(shè)備的運(yùn)行情況和用戶操作行為的檢查，公司所有涉密信息設(shè)備每年至少用違規(guī)取證工具檢查一次。涉密信息系統(tǒng)應(yīng)針對系統(tǒng)癱瘓、失泄密等異常事件，制定應(yīng)急計(jì)劃和響應(yīng)策略，保密辦組織策略評審并下發(fā)公司各部門及安全保密員，并根據(jù)需要籌備人力、物力、財(cái)力，開展應(yīng)急演練和評估策略有效性。涉密信息系統(tǒng)內(nèi)的異常事件根據(jù)嚴(yán)重程度分為安全事件和泄密事件。安全保密員應(yīng)正確運(yùn)用安全審計(jì)系統(tǒng)、入侵檢測系統(tǒng)監(jiān)測系統(tǒng)運(yùn)行情況，發(fā)現(xiàn)問題及時(shí)采取有效措施，并報(bào)告保密辦。一旦發(fā)生危害系統(tǒng)安全的異常情況，分管保密工作的公司領(lǐng)導(dǎo)應(yīng)在第一時(shí)間趕到現(xiàn)場，并組織力量開展災(zāi)難恢復(fù)，搶救涉密信息設(shè)備和介質(zhì)，確保國家秘密的安全。針對發(fā)生的異常事件，保密辦應(yīng)組織有關(guān)部門進(jìn)行涉密信息系統(tǒng)評估分析，對系統(tǒng)發(fā)生的安全事件進(jìn)行分析，查找原因，并從技術(shù)和管理兩方面加以改進(jìn)。系統(tǒng)開發(fā)和運(yùn)行管理公司在組織進(jìn)行應(yīng)用系統(tǒng)開發(fā)時(shí)，應(yīng)符合保密標(biāo)準(zhǔn)要求，從身份鑒別，訪問控制和安全審計(jì)等方面進(jìn)行安全保密功能的同步開發(fā)。系統(tǒng)開發(fā)環(huán)境應(yīng)符合保密要求，所涉及的網(wǎng)絡(luò)環(huán)境和設(shè)備應(yīng)與系統(tǒng)實(shí)際運(yùn)行環(huán)境，設(shè)備進(jìn)行物理隔離。進(jìn)行開發(fā)測試、聯(lián)調(diào)業(yè)務(wù)應(yīng)用系統(tǒng)時(shí)，應(yīng)禁止使用涉及國家秘密及公司商業(yè)秘密的數(shù)據(jù)進(jìn)行測試。且工作過程中應(yīng)由設(shè)備信息化系統(tǒng)開發(fā)人員進(jìn)行全程陪同。應(yīng)用系統(tǒng)開發(fā)后如需進(jìn)行現(xiàn)場維護(hù)或升級服務(wù)，禁止外部人員攜帶具有存儲功能的設(shè)備接入系統(tǒng)，且需對其操作和訪問權(quán)限進(jìn)行控制，設(shè)備信息化指定專員進(jìn)行全程陪同，禁止外部人員訪問涉密信息，禁止進(jìn)行與系統(tǒng)維護(hù)或升級無關(guān)的操作和處理。涉密信息系統(tǒng)應(yīng)指定異常監(jiān)測和報(bào)警機(jī)制，對信息系統(tǒng)的運(yùn)行異常事件和泄密事件進(jìn)行監(jiān)測。一旦發(fā)生異常事件，應(yīng)立即執(zhí)行應(yīng)急響應(yīng)策略，立即對涉密信息和設(shè)備進(jìn)行安全保密檢查和管控，并由設(shè)備信息化組織進(jìn)行異常分析，查找異常發(fā)生原因，并對異常事件及整改過程進(jìn)行記錄。涉密信息系統(tǒng)管理人員應(yīng)制定應(yīng)急響應(yīng)策略和災(zāi)難恢復(fù)制度，同時(shí)需對應(yīng)急響應(yīng)策略進(jìn)行評審和演練，并將相關(guān)要求對相關(guān)人員進(jìn)行培訓(xùn)；災(zāi)難恢復(fù)現(xiàn)場和災(zāi)難恢復(fù)過程由設(shè)備信息化和保密辦指派專人負(fù)責(zé)安全保密工作。涉密信息系統(tǒng)廢止涉密信息系統(tǒng)經(jīng)決議不再使用時(shí)，設(shè)備信息化部應(yīng)向負(fù)責(zé)該系統(tǒng)審批的保密工作部門備案，并按照有關(guān)保密規(guī)定妥善處理涉及國家秘密信息的設(shè)備、產(chǎn)品、介質(zhì)和文檔資料。對需要報(bào)廢處理的涉密信息設(shè)備和涉密存儲介質(zhì)，應(yīng)進(jìn)行信息消除或載體銷毀處理，所采用的技術(shù)、設(shè)備和措施應(yīng)符合相關(guān)保密標(biāo)準(zhǔn)和規(guī)定，防止失泄密事件的發(fā)生；并保留相關(guān)記錄。相關(guān)處罰規(guī)定擅自安裝、更改或拆卸計(jì)算機(jī)的軟硬件，罰款50元/次，并對丟失或損壞的部件照價(jià)賠償。人為原因破壞計(jì)算機(jī)部件、違反規(guī)定，帶電拔插計(jì)算機(jī)部件，罰款20元/次，并對造成的損失全額賠償。惡意修改或刪除計(jì)算機(jī)內(nèi)文件造成數(shù)據(jù)丟失，以及泄露公司重要資料的，根據(jù)情節(jié)嚴(yán)重程度，罰款20~200元/次。利用計(jì)算機(jī)在上班時(shí)間玩游戲，干與工作無關(guān)事情的人員，罰款20元/次。未經(jīng)保密辦批準(zhǔn)，將不屬于公司的電腦整機(jī)或配件帶入公司使用，保密辦對使用者在全公司通報(bào)批評，情節(jié)嚴(yán)重的沒收相關(guān)設(shè)備。故意傳播計(jì)算機(jī)病毒、黑客程序等破壞性程序，危害公司計(jì)算機(jī)網(wǎng)絡(luò)安全的，依法送公安機(jī)關(guān)處理。未經(jīng)審批，擅自打印、復(fù)印重要內(nèi)部資料及涉密資料，導(dǎo)致國家秘密和公司商業(yè)秘密被竊取的，依法送公安機(jī)關(guān)處理。附則本辦法由公司保密辦負(fù)責(zé)解釋，自發(fā)布之日起施行。附表：1．《涉密計(jì)算機(jī)臺帳》2．《涉密存儲介質(zhì)臺帳》3．《網(wǎng)絡(luò)設(shè)備和外部設(shè)備臺帳》4．《安全保密產(chǎn)品臺帳》5．《軟硬件變更審批登記表》6．《涉密設(shè)備和介質(zhì)維修臺賬》7．《涉密設(shè)備和介質(zhì)報(bào)廢臺賬》8．《涉密載體銷毀臺賬》9．《網(wǎng)絡(luò)接入申請登記表》10.《便攜式計(jì)算機(jī)（含綁定U盤）外出申請表》11.《涉密移動存儲介質(zhì)歸還單》附表1**科技有限公司涉密計(jì)算機(jī)臺帳設(shè)備編號名稱型號部門使用人密級使用情況CPU內(nèi)存硬盤序列號操作系統(tǒng)安裝日期IP地址MAC地址附表2**科技有限公司涉密存儲介質(zhì)臺帳編號序列號名稱部門使用人密級使用情況備注附表3**科技有限公司網(wǎng)絡(luò)設(shè)備和外部設(shè)備臺帳設(shè)備編號設(shè)備類別名稱型號部門使用人密級使用情況備注附表4**科技有限公司安全保密產(chǎn)品臺帳產(chǎn)品名稱廠家和型號用途安裝位置策略設(shè)置IP地址證書編號附表5**科技有限公司軟硬件變更審批登記表序號日期部門設(shè)備編號變更內(nèi)容申請人審核人保密辦信息組備注附表6**科技有限公司涉密設(shè)備和介質(zhì)維修臺賬序號名稱型號及編號部門使用人密級問題現(xiàn)狀描述維修人員采取的方法處理結(jié)果或建議最終去向附表7**科技有限公司涉密設(shè)備和介質(zhì)報(bào)廢臺賬序號名稱型號及編號部門使用人密級報(bào)廢原因簽收人處理結(jié)果最終去向1234567891012附表