发布时间 : 星期四 文章计算机和信息系统安全保密管理规定更新完毕开始阅读c059e39b102de2bd960588e1
第四十八条 各部门、单位指定专人负责涉密设备和介质的日常管理工作,建立存储介质登记备案、定期核查与信息清理制度。保密办对涉密设备的采购、使用、维修、变更、报废负有指导、监督、检查的职责,对存储介质归口管理。
第一节 设备管理
第四十九条 采购管理
(一)涉密设备选用国产设备,涉密系统集成与系统服务、安全产品的采购,不得进行公开招标,须在具有资质的单位和经国家主管部门批准范围内选择,且供方应具有完备的资质证明和良好的信誉,以及长期供货和代维护能力;
(二)采购部门不得向供应方透露涉密设备的最终用户;
(三)采购的计算机,统一不配备光驱、软驱、视频设备及具有无线互联功能的无线键盘、无线鼠标、红外接口、无线网卡等。确因工作需要配备的,经保密办审批后配发;
(四)科技信息部做好资产清单和台帐管理,涉密设备需在保密办备案并粘贴密级标识后投入使用。台帐注明涉密设备使用人、安全责任人、安全分类以及资产所在的位置,并且每半年对涉密设备清查核对一次。
第五十条 使用管理
(一)各部门、单位建立涉密设备、打印机等准入审批、使用登记、销毁等备案制度。
(二)涉密设备的电磁泄露发射应符合国家有关保密标准,并采取相应防护措施。涉密设备和传输线路应符合红黑隔离要求,并采取电源滤波防护措施。
(三)用户终端登录识别技术应采用以下二种方式之一:
1、数字证书机制采用USBKey与PIN口令相结合的方式进行身份鉴别,口令长度设置不少于十位。USBKey按机密级密件管理,应及时修改初始的PIN码,并将USBKey
8
妥善保管。
2、密码口令。机密级密码口令长度不得少于十个字符,每周至少更换一次;秘密级密码口令长度不得少于八个字符,每月至少更换一次;口令采用大小写英文字母、数字和特殊字符等两者以上的组合。
(四)在其他信息系统使用过的设备以及新增设备接入涉密计算机和信息系统之前,应进行病毒(含木马)及恶意代码的检测、查杀。
第五十一条 维修管理
(一)涉密设备维修时,应向科技信息部提出申请,科技信息部对维修的涉密设备检查诊断后,作出公司内维修或外出维修的判断,并通知部门、单位;
(二)涉密设备维修原则上来公司现场维修,维修时应有专人现场监管; (三)涉密设备外出维修时,对涉密设备预先采取保密措施,拆除存储部件,并有专人在场监控维修全过程;外出维修的涉密设备,原则上不能在外存放,当日未维修完毕的应带回公司存放,次日再送出去维修;涉密设备维修时应与维修单位签订保密协议;
(四)涉密设备确需恢复存储的数据、信息时,应经保密办审批后在具有涉密数据恢复资质的单位进行;
(五)维修时更换下的硬盘、存储卡,必须将旧件按涉密载体进行管理,禁止将旧件抵价维修或随意抛弃;
(六)维修的涉密设备应做好维修情况记录,存档备查。 第五十二条 变更管理
(一)涉密设备变更用途时,应事先提出变更申请并清除其存储的涉密信息,经保密办审核批准后办理变更。变更程序是:
1、公司内部门、单位之间调配涉密设备,由科技信息部提出变更调配计划并作技术支持,接收单位办理变更手续并到保密办变更涉密设备台帐;
9
2、部门、单位内部调整变更涉密设备,由部门、单位领导批准,并通知保密办变更涉密计算机台帐;
3、调配变更后的涉密设备要及时确定密级,并粘贴密级标识。 (二)涉密设备变更密级,遵循如下保密规定: 1、绝密级设备不得进行变更;
2、不变更使用人及使用部门、单位,升密时存储介质(包括硬盘、储存卡)可不更换,降密或脱密时必须更换存储介质;
3、变更使用人或使用部门、单位,升密、降密必须更换存储介质;
4、存储介质的更换由科技信息部办理,新存储介质到保密办领取,更换下的旧存储介质交保密办;
5、非涉密设备变更为涉密设备,需对存储介质进行格式化,重新安装操作系统,并拆除视频设备和无线互联功能模块。
第五十三条 报废管理
(一)对批准报废的信息设备拆除存储介质并交保密办集中统一销毁或再利用; (二)淘汰或报废的涉密设备,不得用于公益捐赠,或流入旧货市场。
第二节 介质管理
第五十四条 购置和发放
(一)申请部门、单位根据需要向保密办提出所需存储介质种类、数量的申请; (二)保密办对申请进行审核后报主管领导审批,并按批准的种类、数量集中采购; (三)保密办按存储介质种类和密级统一编号、登记、粘贴标识后发放存储介质; (四)各部门、单位由专人管理存储介质,建立台帐,定期核查。 第五十五条 使用和维护
(一)涉密存储介质应根据所存储信息的最高密级划定密级,并在明显位置粘贴密
10
级标识,禁止使用无标识的存储介质。涉密存储介质严禁在联接互联网的计算机和非涉密计算机上使用;
(二)在涉密信息系统内使用的涉密存储介质采取绑定或有效的技术接入控制措施,使涉密存储介质只能在授权的涉密计算机上使用。未采用绑定技术的涉密计算机,须采取关闭和监控数据端口(USB口)的物理防护措施进行控制;
(三)严格控制其它存储介质的使用,对光盘、软盘等移动存储介质应采用关闭数据接口或禁止驱动设备使用等方式加以控制;
(四)禁止在低密级计算机上使用高密级存储介质,禁止在低密级存储介质上存储高密级信息;
(五)高密级存储介质用于存储低密级信息时,应当按照存储介质原标识的高密级进行管理;
(六)存放涉密存储介质的场所、部位和设备应符合安全保密要求,集中统一管理; (七)禁止外来的存储介质接入涉密信息系统,如需导入信息,应采取安全准入许可制度,经部门、单位领导审批后,按信息交换及中间转换机管理规定执行;
(八)存储过绝密级信息的介质不能降低密级使用;
(九)严禁将个人具有存储功能的存储介质和电子设备(mp3、mp4、优盘、手机、掌上电脑等)带入公司;严禁将涉密存储介质带出工作场所,确需携带外出,经本部门、单位领导审批且备案后方可出厂,随身携带,严防被盗或丢失;
(十)经保密办批准,允许与涉密信息系统相连的数码设备(如相机、录音笔)等,应按涉密载体管理;
(十一)涉密存储介质的维修和维护由科技信息部统一负责,外送维修须经主管领导审批同意,并送指定维修点维修;
(十二)发现存储介质丢失,应立即报告本部门、单位和保密办,并及时组织查处。
11