非涉密网络保密管理(通用12篇)
非涉密网络保密管理 篇1
关于认真做好部机关非涉密网络保密管理的
自查报告
为进一步加强非涉密网络保密管理,按照部机关《关于认真做好非涉密网络保密管理全面自查的通知》要求,我处积极开展了非涉密网络保密管理自查自纠工作,现报告如下:
一、基本情况
我处目前共有非涉密网络1个,即市委机关公用网络,共连接非涉密计算机5台。我处所有电脑均配备了杀毒软件,定期杀毒与升级。对于非涉密单机的管理,我们明确了非涉密计算机不得处理涉密信息。对于计算机磁介质的管理,采取专人保管、涉密文件单独存放,严禁携带存有涉密内容的磁介质到上网的计算机上加工、储存、传递处理文件。
二、保密管理情况
我处在非涉密网络保密管理的自查中,对非涉密网络处理信息类别进行了明确规定,制定了符合国家有关保密法律法规的非涉密网络安全保密管理制度。并对非涉密网络定期开展了保密检查,确保万无一失。
三、保密制度落实情况
(一)以宣传教育为主导,强化保密意识。
为加强计算机及其网络的保密管理,防止计算机及其网络泄密事件的发生,我处采取多种方式,多种渠道对计算机保密相关人员进行宣传教育。认真组织学习《国家保密法》、《中华人民共和国国家安全法》、《中华人民共和国保守国家秘密法实施办法》,并要求结合实际贯彻落实。非涉密计算机利用屏幕保护时间宣传、张贴标语等明确责任人及使用范围,严禁在非涉密计算机上存储、处理、传递涉密文件信息资料。
(二)以制度建设为保障,严格规范管理。
加强制度建设,是做好计算机网络保密管理的保障。为了构筑科学严密的制度防范体系,不断完善各项规章制度,规范计算机及其网络的保密管理,严禁在非涉密服务器和计算机终端上存储、处理涉密文件信息资料。
(三)以督促检查为手段,堵塞管理漏洞
为了确保计算机及其网络保密管理工作各项规章制度的落实,及时发现计算机网络保密工作中存在的泄密隐患,堵塞管理漏洞,我处十分重视对计算机及其网络的保密工作的督促检查,采取自查与抽查相结合等方式,对计算机及其网络管理制度的落实情况、涉密网络的管理和使用情况、防范措施的落实情况进行检查。
非涉密网络保密管理 篇2
关键词:涉密,科技档案,保密
涉密科技档案包括了从新的创造、发明到技术关键、工艺配方以及技术诀窍等等, 相关的保密性材料都纳入了涉密科技档案保密范围。从涉密科技档案的归档范围可以看出, 归档保存的科技档案覆盖了所有需要保密的内容, 而需要保密的科技材料是涉密科技档案归档的核心材料。随着科研合作交流日趋市场化与信息化的情况, 涉密科技档案管理保密策略更加值得我们深入研究。
1 涉密科技档案的收集工作
1.1 加强宣传
加强对保密工作的宣传力度, 档案部门要对《档案法》进行宣传, 加强涉密科技档案管理领导与科技人员的保密意识, 积极做好保密教育让相关人员能够更好的按照保密规定进行日常的管理、生产与研究工作。加强保密的宣传力度能够加强档案保密建设的客观要求, 更是依法加强保密工作的基础条件。
1.2 加强保密工作的认识
涉密科技档案工作属于一种非常重要的基础性工作。涉密科技档案保密工作, 直接关系到国家、科研单位的安全与利益, 甚至关系到国家政治与军事活动, 科技档案一旦出现泄密情况还可能影响国家的经济的发展。因此, 涉密科技档案管理要充分认识到信息时代下保密工作的重要性, 尤其是要重视对涉密科技档案文件或者相关载体的监管工作, 要最大限度保障涉密科技档案的安全。涉密科技档案管理人员要坚持以保密法为工作原则, 结合自己实际工作流程, 从而制定符合本单位涉密科技档案保密的具体制度, 从源头控制泄密事件发生。
1.3 科学制定涉密科技档案收集工作方案
善于从源头抓质量, 需要提前做好科技档案的收集工作, 能够更好的防止文件材料落入个人手中, 最大限度规避必须归档的科技文件材料出现丢失或者泄密的情况, 进而确保科技档案的安全性与完整性。涉密科技档案收集工作开展过程中应该遵循“四同步”工作法则:首先, 工作任务下达、项目计划、文件材料提出需要同步;其次, 工作检查、项目计划与文件材料积累情况检查工作必须要同步;再次, 工作验收、工作鉴定与项目成果验收、鉴定文件材料归档必须要同步;最后, 工作、项目与总结与文件材料也要必须完成同步归档。例如:国家下达的很多科研项目都是密级的, 因此, 首先必须要做好涉密科技档案的收集工作。
2 涉密科技档案管理的保密工作
2.1 涉密科技档案整理与保管
涉密科技档案整理必须根据国家相关标准来战, 涉密科技档案的案卷封面上必须要有标示 (加盖密级) , 而涉密科技档案的密级是根据卷内文件材料的最高密级进行加盖, 并且要将时间标准出来, 最大限度规避由于密级标明标明不清, 出现泄密。通常涉密科技档案一定要单独进行目录编制, 单独设置搜索功能, 建立涉密科技档案统计台账。为了最大限度保障密级的科技档案的安全性与真实性, 涉密科技档案库房必须要有单独的密码柜, 从而进行存放于保管。
2.2 涉密科技档案库房管理
涉密科技档案库房必须要有对应的严格的保密管理制度, 做好防盗、防火, 要坚持从各个全面实施全封闭式的管理。涉密科技档案库房在选址的过程中, 通常不要选择在办公大楼的最底层, 还需要注意的是涉密科技方案库房必须要与查阅室、档案管理人员的办公室分开。涉密科技档案库房必须根据相关规定安装防盗门、铁栏杆, 库房周边还需要安装视频监控系统与防盗控制报警系统。需要24小时安排值班人进行专门的管理。涉密科技库房以外的人员, 没有相关批准是不能进入库房区域的。
3 涉密科技档案利用中的保密工作
涉密科技档案管理保密工作当中, 保密与利用是非常重要的两个方面。涉密科技档案管理的目的是为了更好的进行利用, 从而更好的服务于科研工作, 服务于社会。因此, 必须要重视涉密科技档案利用过程中的保密工作。要最大限度保持涉密科技档案不仅能够更好的利用, 而且在具体利用的过程中更好的保障档案的安全性与完整性。
3.1 涉密科技档案的保密与利用
涉密科技档案保密与利用之间的关系必须要正确认识与处理。涉密科技档案毕竟涉及到国家的科研机密、企业的科研机密等等, 这些研究成果与技术是不可估量的宝贵财富, 因此, 涉密档案工作人员必须要重视, 要不断加强自身的保密与防范意识。涉密科技档案保密工作的目的是为了更好的应用, 保密工作固然重要, 但是利用价值更具有现实意义。因此, 涉密科技档案保密与利用, 两者是对立统一的辩证关系。
3.2 涉密科技档案的利用与监督
涉密科技档案在使用的过程中必须要实时有效的监督, 这是涉密科技档案保密工作必须重视的一个内容。对整个利用过程的监督, 能够更好的、及时的发现一些泄密问题从而及时制定方案进行制止, 最大限度防止不利因素的发生, 从而保护涉密科技档案的完整性与安全性。
第一, 制度的监督。涉密科技档案使用过程中若要使监督能够更加规划化与标准化, 必须严格根据档案利用的相关制度, 规范涉密科技档案的利用行为。涉密科技档案利用的相关制度主要有《涉密档案借阅审批制度》、《涉密档案复印制度》等等, 涉密科技档案管理保密工作人员在工作开展的过程中要将这些保密制度严格落实, 并且结合实际的情况, 以及现实的需要加强对这些利用制度的完善, 最大限度规避泄密事件的发生, 进一步保障涉密科技档案的保密与安全。
3.3 借阅极端
科技人员在查阅涉密科技档案的过程中, 必须严格填写《查阅涉密档案审批单》, 科研人员必须要将查阅涉密科技档案的理由阐述清楚, 还必须经过相关部门的领导层层审批一直同意之后才能进行查阅。涉密科技档案原则上是不允许借出去的, 必须要在规定的查阅室进行浏览, 基于某些特殊情况有借出的需要, 必须要填写涉密档案相关资料, 才能借出。从各方面细节入手, 不能马虎才能真正做好涉密科技档案的保密工作。
综上所述, 涉密科技档案管理保密工作, 档案管理人员必须要强化自身的保密意识, 要充分认识到涉密科技管理保密工作的重要性, 基于涉密科技档案管理的现实意义, 积极探索与解决涉密科技档案的存在中的问题, 从而更好的处理涉密科技档案利用与保密的关系, 促进涉密科技档案管理保密工作更好的发展。
参考文献
[1]张建铭, 徐敏, 董慧, 李锦.浅谈涉密科技档案管理保密对策[J].办公室业务, 2014 (17) :102+106.
涉密网络安全保密防护和管理 篇3
涉密网络安全保密隐患
1.违规外联。涉密网络严禁和互联网连接,但是有些工作人员贪图便利,采用断开内网连接的方式违规将计算机接入互联网,甚至直接将接入涉密网的计算机同时又通过拨号、宽带和无线等方式接入互联网,破坏了内外网的物理隔离,极有可能将病毒、木马、后门等带入内网,导致黑客入侵并把涉密计算机作为跳板,渗透到内部网络,给涉密网络带来非常严重的危害和后果。
2.计算机端口滥用。涉密网络内部使用的涉密计算机的光驱、USB接口、红外接口等很容易被违规接入未经授权批准的外接设备,然后利用“信息摆渡”技术实现在物理隔离的两台计算机上的信息传递,在此过程中很容易造成信息泄漏或致使涉密计算机感染病毒。
3.权限失控。在涉密网络中如果没有使用用户身份鉴别和权限控制措施,工作人员可以毫无障碍的调阅出高出自身知悉范围内的涉密信息,从而导致泄密。“棱镜”事件就是一件典型的权限失控导致的泄密事件。
4.系统漏洞。系统漏洞是指应用软件或操作系统软件在逻辑设计上的缺陷或错误,这些漏洞成为入侵者进入计算机或网络的一个“后门”,可通过植入木马、病毒等方式来攻击或控制整个计算机和网络,窃取其中的涉密信息。由于涉密网络与互联网物理隔离,工作人员不便于进行系统补丁升级,导致这些漏洞无法得到及时修补,极易被黑客所利用。
5.人为因素。一些单位的工作人员保密意识不强,在工作中没有遵循基本的安全防范规则操作造成泄密,例如涉密计算机不按规定设置口令或者口令设置过于简单容易被破解、没有定期升级系统软件或病毒库等。此外还有一些由于保密技术知识缺乏或操作失误导致的泄密,例如管理员对防火墙配置不当为外来的程序攻击创造了机会,计算机中的硬盘或某些文件夹被设置成共享状态,使非法人员通过操作系统提供的功能非常容易地下载到这些计算机硬盘中的文件等。
涉密网络安全保密防护技术
1.虚拟局域网技术。虚拟局域网技术可以根据网络用户的位置、作用、部门或者根据网络用户所使用的应用程序和协议来进行分组,不同的虚拟局域网之间不能进行相互的联系和通讯,这就避免了病毒感染和黑客入侵。此外虚拟局域网技术中对于交换机端口的划分操作简单灵活,这就使得在涉密网络中网络设备的灵活移动成为可能,单位不同部门可以规划到不同的虚拟局域网中来,既方便了数据的传输、信息的共享,又提高了涉密网络的安全性。
2.防火墙系统。防火墙系统是计算机与内部网络或内部网络与外部网络之间安全的屏障,配置防火墙是实现涉密网络安全最基本、最有效的安全措施之一。利用防火墙对涉密网络进行安全域划分,禁止不同虚拟局域网在非应用系统使用时相互访问,同时在交换机配置阶段,就进行端口隔离,这样同部门同虚拟局域网之间也存在了基础的安全网络防护,可实现重点服务器网段和非密服务区网段隔离,从而降低重要数据或敏感信息安全问题对整个涉密网络造成的影响。此外,防火墙系统还能实时地记录所有用户访问信息的日志情况,并对涉密网络的流量情况进行统计。一旦发生网络异常现象,防火墙系统还能及时报警,确保涉密网络的安全稳定。
3.入侵检测系统。入侵检测系统是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它可以在不影响网络性能的情况下对网络进行监测,提供内部攻击、外部攻击和误操作时的实时保护。在涉密网络中,可以在需要保护的服务器网段上部署入侵检测系统,实时监视各种对服务器的访问请求并及时将信息反馈给控制台。
4.访问控制技术。访问控制是限制已授权的用户、程序、进程或计算机网络中的其他的系统访问本系统的资源的过程,它是涉密网络安全防护的主要核心策略。通常在涉密网络中实施访问控制的策略是在交换机的某个端口上绑定合法的计算机MAC地址,所有未在该端口上绑定的MAC地址全部为非法入口,会在进入该端口时予以屏蔽,这样就杜绝了非法MAC地址的入侵,可以防止非授权的计算机从数据链路层进入涉密网络。
5.漏洞扫描技术。漏洞扫描技术是指通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测,发现可利用的漏洞的一种安全检测技术。它和防火墙、入侵检测系统互相配合,能够有效提高网络的安全性。通过漏洞扫描,网络管理员能了解网络的安全设置和运行的应用服务,及时发现网络内计算机与服务器等网络设备的各种漏洞和隐患,如端口和服务、系统漏洞、弱口令及共享文件等,并给出修正建议。此外,当有计算机接入涉密网络中时,还可以通过扫描计算机的系统漏洞,自动对入网计算机进行系统补丁升级,确保所有接入涉密网络的计算机系统漏洞都能及时得到修复,降低计算机被入侵攻击的风险。
6.身份鉴别和授权。身份鉴别是保证涉密网络安全的重要措施。经过身份鉴别进入涉密网络的合法用户,需要对其访问系统资源的权限进行限制。设置访问控制应当遵循“最小授权原则”,即在应当授权的范围内有权使用资源,非授权范围内无权使用资源。并且在授权时按照该人员的最高涉密等级进行身份认证授权。在涉密网络中,工作人员的各种操作行为均需进行个人身份鉴别。
7.涉密计算机监控和审计。涉密计算机监控是指通过安全策略对受控计算机的移动存储设备、外部连接设备、网络连接等输入输出端口进行监控,防止非法文件拷贝、打印、扫描、非法外联等安全事件的发生,对于正在发生的高危行为予以及时制止或预警。涉密计算机审计是指记录涉密计算机用户的实际操作,包括计算机访问应用系统情况、文件的拷贝打印操作、病毒感染情况、擅自连接互联网情况、非工作软件的安装和运行等内容,通过分析日志,能够在事后有效发现用户的违规操作或非法入侵行为,以便管理人员及时发现问题以及事后追究责任。
nlc202309010757
8.数字加密和数字签名。数据加密和数字签名技术是提高涉密网络安全性的必要手段。数据加密技术可以用于涉密文件的加密上,通过公钥、密钥的分发确保文件即使被盗取也无法解密。数字签名是利用密码技术生产一系列符号和代码组成电子密码进行签名,来代替书写签名和印章。将数字签名添加到文件正文中后,能够保证文件的机密性、发送者身份真实性、文件数据的完整性和发送者对自己行为的不可否认性,构造一种更加完善、高强度的文件加密方案。
9.电磁泄漏防护。涉密网络电磁辐射主要有四个因素产生:显示器辐射、通信线路辐射、主机辐射、输出设备(打印机)辐射。这些设备是依靠高频脉冲电路工作的,由于电磁场的变化,必然要向外辐射电磁波。这些电磁波会把计算机中的信息带出去,窃密者只要具有相应的接收设备,就可以通过接收电磁波从中窃取涉密信息。针对电磁泄漏可采用的防护措施有选用低辐射设备、利用噪声干扰源、距离防护、电磁屏蔽等。
10.容灾备份技术。涉密网络中的数据安全是重中之重,但由于敌对势力、自然灾害或其他网络、硬软件故障、操作失误、病毒等因素的影响,随时可能导致数据丢失、破坏、业务中断等灾难事故的发生。容灾技术可以保证在遭遇灾害时信息系统能正常运行,实现业务连续性的目标,备份技术可以应对灾难来临时造成的数据丢失问题。在具体操作中,容灾备份技术通常是将系统变化发生时的每个时间点都捕获下来,一旦系统发生写数据的动作,就实时复制将要写入存储的写操作,在写入本地磁盘的同时复制一份到本地或远程数据保护中心,这样一旦灾难发生,就可以从数据保护中心中获取丢失的数据。
涉密网络保密管理措施
1.完善涉密网络安全保密规章制度建设。规章制度是涉密网络安全管理的基础,只有建立了完善的安全管理制度,明确安全保密职责,才能确保涉密网络和涉密信息系统正常、有效运行。涉密单位应根据国家出台的相关规定,充分发挥创新精神,结合本单位的实际情况,按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,建立有针对性的涉密网络安全管理制度,将原则性的标准进行细化,明确安全职责的划分和人员分工安排,让涉密网络的建设、管理、使用、维护等各个环节都有相应的制度作为保障。同时要对规章制度进行动态化的管理,及时发现规章制度中不适和问题,对规章制度的适应性进行改进。
2.提高工作人员保密意识和防护技能。工作人员的保密意识薄弱、保密防护技能缺乏是泄密事件发生的主因,由于网络信息安全技术知识更新换代频繁,一些工作人员平时不注重学习,认识不到安全威胁,保密意识淡漠,不注意个人的安全防护,认为涉密网络安全防护是信息中心的事儿,与他们毫无关系。还有部分人员存在侥幸心理,为图方便甚至不遵守相关安全规定,违规接入互联网或外部设备,给涉密网络防护带来较大隐患。因此需要加强工作人员的保密意识和网络安全意识,切实使更多的工作人员充分认清当前网络条件下的保密形势,认清网络与信息技术快速发展给保密工作带来的巨大负面影响,在思想上保持警惕,筑牢思想防线。同时要通过举办讲座、学习班等形式普及涉密网络安全防护知识,使其熟悉危害涉密网络安全的行为以及其基本原理,让安全操作成为一种工作习惯和自觉行为。
3.强化保密监督和检查。保密监督和检查是防止失泄密事件发生的有效手段。利用网络安全技术做好日常保密监督和检查是充分发挥涉密网络防护体系作用的一个重要的环节,具体措施有:对非授权存取、非授权外联、非授权接入采取必要的技术检测手段,作出及时响应,并形成日志记录;对涉密网络中的设备运行态进行监测,例如可以每周查看安全审计记录;每月对监控和审计系统的日志进行分析整理。通过日常化的保密监督和检查,能够及时发现存在的安全隐患与管理缺陷,及时消除安全隐患与改进管理,提升涉密网络安全防护的技术水平和保密管理水平。
涉密网络的安全保密防护和管理是一个涉及网络信息安全技术和保密管理的庞大课题,而且随着网络技术的不断发展,会出现越来越多新的安全保密防护问题,因此我们必须综合运用各种新技术新知识,不断完善和调整防护策略,才能构建一道网络信息安全的铜墙铁壁。
(作者单位:宁波国研软件技术有限公司)
非涉密网络保密管理 篇4
第一条
第二条
第三条
第四条
第五条
第六条
第七条
第八条 动存储介质保密管理制度(暂行)为贯彻执行《中华人民共和国保守国家秘密法》,进一步规范和加强我局涉密和非涉密移动存储介质的保密管理,确保党和国家秘密安全,结合实际制订本制度。本制度所称涉密移动存储介质是指用于存储国家秘密信息的移动硬盘、软盘、优盘、光盘、磁带、存储卡等存储介质。本制度所称非涉密移动存储介质,指局内除涉密移动存储介质之外的所有移动存储介质。涉密移动存储介质应由我局统一购置,做出统一的密级标识,统一编号,登记后配发到各部门使用。局内涉密移动存储介质的使用范围应有严格的限制,严禁在非涉密计算机和个人计算机上使用。局内涉密移动存储介质,确因工作需要带出办公场所的,应首先向局办公室申请,申请批准后,方可带出,并要采取严格的保密措施。局内非涉密移动存储介质严禁存储涉密信息,严禁在涉密计算机和非涉密计算机之间交叉使用。涉密移动存储介质在我局内部相互借用或复制,应首先向
局办公室申请,申请批准后,方可借用或复制,并且要采取严格的保密措施。
第九条 非涉密信息如需导入局内涉密计算机,可采用设置“中间
机”的方法,“中间机”应单机使用,其非涉密信息经查杀病毒后方可导入涉密计算机,也可以采取刻录光盘后导入的方法。
第十条 局内涉密移动存储介质需要维修或恢复其存储数据的,必
须在局信息中心进行,并由使用部门派专人负责送取;无法修复,需要报废的,应按本制度第十一、十二条的规定处理。
第十一条 局内涉密移动存储介质在报废前,应首先向局办公室申请,申请批准后,由局信息中心进行信息清除处理。
第十二条 局内涉密移动存储介质需要报废的,应经局办公室登记备
案后,送区保密局统一销毁。
第十三条 我局工作人员如违反本制度,经批评教育拒不改正的,依
法进行处理;对泄露国家秘密的局内工作人员,依法追究其相关法律责任。
第十四条 本制度由滨海新区规划和国土资源管理局负责解释,自下
发之日起施行。
滨海新区规划和国土资源管理局
涉密网络保密管理规定 篇5
第二条接入互联网的计算机不得处理涉密资料。涉密计算机要专人管理、专人负责、专人使用,并设置密码,禁止访问互联网及其他外部网络系统。
第三条凡涉密数据的传输和存贮均应采取相应的保密措施;涉密移动存储介质要妥善保管,严防丢失。
第四条严禁私自将涉密移动存储介质带出机关,因工作需要必须带出机关的要经领导批准,并有专人保管。
第五条使用电子文件进行网上信息交流,要遵守有关保密规定,不得利用电子文件传递、转发或抄送涉密信息。
第六条接入互联网的计算机必须安装防病毒工具,进行实时监控和定期杀毒,定期对其计算机系统进行维护以加强防护措施。
第七条涉密计算机如需送到机关外维修时,要将涉密文件拷贝后,对硬盘上的有关内容进行必要的技术处理。外请人员到机关维修存有涉密文件的计算机,要事先征求有关领导批准,并做相应的技术处理,采取严格的保密措施,以防泄密。
第八条对重要数据要定期备份,防止因存储介质损坏造成数据丢失,备份介质可用光盘、硬盘等方式,要妥善保存。
涉密网络使用人员保密承诺书 篇6
涉密网络使用人员保密承诺书
我已被告知各项网络保密管理制度,知悉应当承担的涉密网络保密管理义务和法律责任。本人郑重承诺:
一、认真遵守国家保密法律、法规和规章制度,遵守保密纪律,履行保密义务;
二、不访问、下载、存储、传输和知悉范围以外的国家秘密;
三、未经批准不准将计算机、存储设备等信息设备接入涉密网络;
四、不扫描或者监测涉密网络的网络基础设施、安全保密设施以及应用系统等;
五、不将涉密信息设备接入非涉密网络;
六、在未采取符合保密要求的防护措施的情况下,不在涉密网络和非涉密网络之间进行信息交换;
七、不擅自安装软件程序或者卸载、修改涉密网络的安全技术程序、管理程序;
八、不存储、处理、传输高于网络或者信息设备密级的信息;
九、不将未经安全技术处理的退出使用的涉密信息设备赠送、出售、丢弃或者改作其他用途;
十、不以任何方式泄露涉密网络使用中所接触和知悉的国家秘密;
十一、未经保密审查,不在互联网及其他公共信息网络上发布工作相关信息。
如违反上述承诺,自愿承担一切法律后果。
承诺人签名:
非涉密网络保密管理 篇7
关键词:涉密信息,隐患,保密
“信息战”已成为未来战争过程中的重要内容, 同时也更加突出了信息系统安全保密工作的重要性, 美国中情局前职员爱德华·斯诺登向世界媒体曝光, 美国情报机构使用“棱镜”在世界各国进行数据挖掘工作, 面对“棱镜”这种境外情报机构的窃密行为, 我国在发展中要将加强电子涉密信息的管理工作作为一项重要内容。
一、涉密信息在计算机保密管理中的隐患分析
有的涉密人员在没有实行防护措施的状况下错误使用网络资源, 私自将涉密网络接入到互联网或其他公共信息网络, 并且在这些网络中做出了相关操作, 由于互联网或其他公共信息网络中存在大量的木马病毒, 大部分木马病毒在实际上都是具有恶意企图, 这不仅会将涉密计算机中的涉密信息不慎外泄, 严重时还会使涉密计算机成为攻击其他设备的工具。有的涉密人员私自在涉密计算机与非涉密计算机之间交叉使用移动存储介质, 这会导致涉密网络在无意之间被网络黑客非法占侵, 这不仅会导致很多涉密信息被网络黑客窃取, 同时也会导致部分涉密信息被非法修改, 这对国家政治、军事以及经济等涉密信息的保密工作带来极大破坏。有的涉密人员私自使用无线互联功能的计算机对涉密信息进行操作, 这类计算机在开机状态可以自动连接无线网络, 容易被人利用无线网络对其进行远程控制, 同时在使用无线网络过程中由于传输信号散发在空中, 可能会被一些有接受能力的仪器设备截取到, 这些都要会导致涉密信息被无意泄漏。有的涉密人员擅自在涉密计算机上进行相应操作或者是把涉密计算机携带外出, 涉密人员私自在涉密计算机上安装软件或随便复制他人文件, 这便会导致木马程序随着软件被安装到涉密计算机中, 会导致涉密计算机中的涉密信息被木马程序外泄或更改, 这些都会对我国社会经济、国家政治以及国家军事的发展带来极大破坏。
二、加强计算机保密管理的几项措施
为了有效加强计算机保密管理工作质量, 严格防止泄密信息被恶意窃取或意外泄漏, 涉密网络与互联网、其他公共信息网络之间必须进行物理隔离, 或使用防火墙技术避免涉密网络受到侵害。涉密单位在对计算机保密管理过程中要做到涉密专机专用, 同时为了满足涉密网络需要连接互联网、其他公共信息网络连接的需求, 可以采用双硬盘、双网卡的物理隔离方式避免涉密网络受到非法侵占, 在网卡选择过程中可以将具有双网隔离功能的隔离网卡作为首要选择, 并要基于涉密计算机保密管理的要求对其设置单独硬盘供外部链接使用, 内部涉密网络可以使用统一储存的隔离方式避免涉密信息遭到侵占。
涉密U盘等涉密单位使用的移动存储介质不允许在非涉密计算机中使用, 手机、数码相机、MP3、MP4等具有储存功能的电子产品, 不允许涉密人员在工作中将其连接到涉密计算机上, 这样才能确保木马程序不会随着非法移动存储介质安装到涉密计算机中。涉密人员在实际工作中不允许其在互联网或公共信息网络上存储、操作涉密信息, 在涉密信息存储、操作过程中必须保证计算机已处于脱机状态, 并要根据涉密信息类型要采用防护措施保证其不会被意外泄漏、修改以及破坏。
涉密人员在处理涉密信息计算机上进行相应操作, 必须要将所使用的计算机中的无线网卡等互联设备拆除, 如果计算机上的互联设备在使用中无法拆除, 则不允许涉密人员使用此台计算机对涉密信息进行储存或其他操作。
涉密人员如果要在涉密计算机上安装软件或复制他人文件, 则需要管理人员批准这一行为, 并且在软件安装和文件复制前要对其进行病毒查杀, 彻底杜绝木马程序随软件或文件非法安装到涉密计算机中, 这对加强涉密计算机的保密管理工作有着重要作用。
涉密人员如果要想将涉密计算机或移动存储介质携带外出, 则要求涉密人员要向管理人员进行上报并对其进行审批, 并且要确定携带外出的涉密计算机和移动存储介质都处于严密监控中, 并要根据实际工作需求对涉密信息进行加密保护, 这样才能彻底杜绝涉密信息被恶意篡改、窃取以及泄漏等事件的发生。
涉密设备如果在使用过程中出现故障, 则要求其必须在单位内部进行维修, 维修现场必须由专人对整个维修过程进行监督, 如果涉密设备必须外送进行维修, 则需要对涉密设备中的涉密信息存储部件进行拆除处理。涉密设备在丢弃、出售以及赠送等行为前, 要根据国家相关法律要求对涉密信息进行彻底清除, 并且要确定涉密信息经过清除处理后不会被还原。涉密人员在使用手机等通信设备进行通话时, 所谈论的内容不能涉及到涉密信息, 只有通过这些措施才能提高计算机保密管理工作质量。
三、结语
涉密会议保密管理规定 篇8
第十一条 对于密级文件、资料和其它物品,必须采取以下保密措施:1、非经总经理或主管副总经理批准,不得复制和摘抄;2、收发、传递和外出携带,由指定人员担任,并采取必要的安全措施;3、在设备完善的保险装置中保存。
第十二条 属于公司秘密的设备或者产品的研制、生产、运输、使用、保存、维修和销毁,由公司指定专门部门负责执行,并采取相应的保密措施。
第十三条 在对外交往与合作中需要提供公司秘密事项的,应当事先经总经理批准。
第十四条 具有属于公司秘密内容的会议或其它活动,主办部门应采取下列保密措施:1、选择具备保密条件的会议场所;2、根据工作需要,限定参加会议人员的范围,对参加涉及秘密事项会议的人员予以指定;3、依照保密规定使用会议设备和管理会议文件;4、确定会议内容是否传达及传达范围。
第十五条 不准在私人交往和通信中泄露公司秘密,不准在公共场所谈论公司秘密,不准通过其它方式传递公司秘密。
非涉密网络保密管理 篇9
摘要:本文通过分析信息化条件下涉密信息系统保密管理与技术的关系,结合目前涉密信息系统保密管理的现状与问题,根据涉密信息分级保护标准规范要求,从宏观层面初步探讨提出了当前形势下涉密信息系统保密管理的原则、基本思路与方法,并提出了相应的建议。
关键词:涉密信息系统 分级保护 信息系统建设生命周期
一、引言
涉密计算机信息系统(以下简称涉密信息系统)是指涉及国家秘密和党政机关工作秘密的计算机信息系统,主要包括党政军领导机关用于处理涉密信息的单机和用于内部办公自动化或涉密信息交换的信息系统;也包括企事业单位涉及国家秘密的信息系统。当前,随着我国党政军领导机关和国防科研军工单位信息化进程的全面加快,保密管理的对象、领域、方式和环境发生了深刻变化,在知密范围、涉密行为以及涉密人员的界定和管控等方面,出现了许多新的问题,传统的保密管理措施已经不能适应新形势下保密工作发展的要求,由于涉密单位的业务特殊性,如何对涉密信息系统进行科学有效的保密管理,已经成为涉密信息系统建设使用单位急需解决的问题,迫切需要新的管理思路与办法。
二、涉密信息系统保密管理与技术的关系
在网络环境下,国家秘密的存储、处理和流转方式发生了根本性变化,涉密电子文件易复制、易传播的特点,使得泄密渠道增多,一旦发生泄密情况,则扩散速度快,涉及范围广,且不易被发觉,危害特别大。面对信息化条件下保密工作新形势,传统的纸质涉密文件的保密管理措施已经不能完全适应新形势下保密工作发展的要求,涉密信息系统的保密管理亟需提升技术支撑能力。在当前的形势下,可以说技术与管理是涉密信息系统安全保障的两个支撑要素,二者相辅相成,缺一不可:即使非常严密的管理,没有技术手段支撑,也保证不了安全;无论多么先进保密技术,没有管理措施保障,也不能发挥应有的作用。但在具备了一定技术手段的前提下,管理则成为决定因素。因此,各涉密单位应当根据涉密信息系统自身的特点,制定出具有针对性和可操作性的管理措施,并严格执行。
三、涉密信息系统保密管理的现状与问题
随着我国综合国力不断增强和国际战略地位显著提高,我国已成为各种情报窃密的重点目标,境内外敌对势力和国外情报机构加紧对我实施全方位的信息监测和情报战略,窃密活动十分猖獗,各级党政军机关、国防军工科研生产单位作为国家秘密的主要生成区、密集区,更是成为敌对势力窃密的重点对象。但目前我国涉密信息系统建设使用单位保密管理水平比较低,与形势的发展很不适应,急需进一步加强。就拿航宇公司为例,该公司先后建立的涉密应用系统有:OA系统,CAPP系统,ERP系统,档案管理系统,PDM系统等,这些系统在建设、规划和保密管理中存在的问题主要表现在以下几个方面:
(一)涉密信息系统定密的随意性、不准确问题
目前该公司很多涉密信息系统定密比较随意,不准确,界定不清楚,甚至很多涉密人员都不清楚自己管理的应用系统的密级别。究其原因主要是没有严格确定定密责任,缺乏专业定密人员,定密依据不够明确和细化,定密程序不规范等。
(二)涉密信息系统安全保密工作 “重技术、轻管理”的现象比较突出
目前公司很多涉密信息系统的安全保密方案只注重安全保密技术建设,过于依赖技术来实现保密要求,而忽略保密管理的重要性。由于缺乏有针对性的保密管理措施进行有机整合,所有的安全保密措施只是产品的简单堆砌,使得整个安全保密方案先天性不足。众所周知,如果没有强有力的管理来支持,再好的技术防范措施都会大打折扣,再好的技术防范产品也将成为摆设,因此涉密信息系统安全保密工作的重点还是在于管理。
(三)涉密信息系统建设生命周期“重建设、轻监管”
通常情况下,我们将信息系统建设生命周期(SDLC)划分为五个阶段:规划需求阶段、设计开发阶段、实施阶段、运行维护阶段、废弃阶段。也就是说,系统是不断变化的,安全保密工作也应随之发生变化,各个阶段安全保密要求不同,每个阶段都应制定相应的保密制度,并落实执行、监管。由于公司很多应用项目都是和第三方公司合作,而这些公司可能存在着对系统建设生命周期各阶段的保密标准的具体要求把握不准的情况,使得工程实施各阶段没有严格执行保密要求或者与安全保密建设不同步情况时有发生,而这一块我们又缺乏最起码的监管手段,从而给系统增加了安全隐患。举个例子,在涉密信息系统经过保密审批投入运行后,由于一般都是由系统建设使用单位的信息化部门在负责日常的运行维护。但信息化部门并不清楚保密方面的要求,而保密部门又属于行政部门,不熟悉系统业务应用情况,只能制定一些原则性管理规章制度,无法对系统进行有效的保密监管,不能及时发现系统的违规行为和泄密隐患。
(四)涉密信息系统安全保密工作 “重制度、轻执行”的现象比较突出
航宇公司在涉密信息系统安全保密工作上制定了大量的制度、规范,并且有专门的保密网站进行宣贯,但由于保密工作的长期性和繁琐性不可避免地对日常工作造成影响,而我们某些员工认为保密工作对其日常工作造成居多不便,从而产生抵触情绪,进而对保密制度进行抵制,或者“打折处理,表面执行”,造成安全保密制度真正落实执行的少,让很多制度流于形式,流于纸面。另外,我们制定保密制度还存在一个错误观念,就是:制定保密制度是为了应付保密检查,至于落实不落实,执行不执行没有多大关系。所以,要坚决克服为了制定制度而制定制度的错误观念。制定制度不是目的,通过制定安全保密制度,并坚决落实执行来加强军工单位保密管理,保证国家秘密安全才是制定制度的根本目的。
四、涉密信息系统安全保密管理原则
(一)基于安全需求、适度安全的原则:由于信息泄露、滥用、非法访问或非法修改而造成的危险和损害相适应的安全。没有绝对安全的信息系统(网络),任何安全措施都是有限度的。关键在于“实事求是”、“因地制宜”地去确定安全措施的“度”,即根据信息系统因缺乏安全性造成损害后果的严重程度和实际需求来决定采取什么样的安全措施。组织机构应根据其信息系统担负的使命,积累的信息资产的重要性,可能受到的威胁及面临的风险分析安全需求,按照信息系统等级保护要求确定相应的信息系统安全保护等级,遵从相应等级的规范要求,从全局上恰当地平衡安全投入与效果;
(二)最小化授权以及分权和授权相结合原则:涉密信息系统的建设规模要最小化,非工作所必需的单位和岗位,不得建设可登陆涉密信息系统的终端;其次,涉密信息系统中涉密信息的访问权限要最小化,非工作必需知悉的人员,不得具有关涉密信息的访问权限。分权和授权原则是指对特定职能或责任领域的管理功能实施分离、独立审计等实行分权,避免权力过分集中所带来的隐患,以减小未授权的修改或滥用系统资源的机会。任何实体(如用户、管理员、进程、应用或系统)仅享有该实体需要完成其任务所必须的权限,不应享有任何多余权限;
(三)同步建设、严格把关的原则:涉密信息系统的建设必须要与安全保密设施的建设同步规划、同步实施、同步发展。要对涉密信息系统建设的全过程(各个环节)进行保密审查、审批、把关。要防止并纠正“先建设,后防护,重使用,轻安全”的倾向,建立健全涉密信息系统使用审批制度。不经过保密部门的审批和论证,信息系统不得处理国家秘密信息。
(四)注重管理的原则:涉密信息系统的安全保密三分靠技术,七分靠管理。加强管理可以弥补技术上的不足;而放弃管理则再好的技术也不安全。采用管理与技术相结合,管理科学性和技术前瞻性结合的方法,保障信息系统的安全性达到所要求的目标。信息安全管理工作主要体现为管理行为,应保证信息系统安全管理主体合法、管理行为合法、管理内容合法、管理程序合法。对安全事件的处理,应由授权者适时发布准确一致的有关信息,避免带来不良的影响;
(五)主要领导负责、全员参与原则:主要领导应确立其组织统一的信息安全保障的宗旨和政策,负责提高员工的安全意识,组织有效安全保障队伍,调动并优化配置必要的资源,协调安全管理工作与各部门工作的关系,并确保其落实、有效;信息系统所有相关人员应普遍参与信息系统的安全管理,并与相关方面协同、协调,共同保障信息系统安全;
(六)系统方法、持续改进原则:按照系统工程的要求,识别和理解信息安全保障相互关联的层面和过程,采用管理和技术结合的方法,提高实现安全保障的目标的有效性和效率;安全管理是一种动态反馈过程,贯穿整个安全管理的生存周期,随着安全需求和系统脆弱性的时空分布变化,威胁程度的提高,系统环境的变化以及对系统安全认识的深化等,应及时地将现有的安全策略、风险接受程度和保护措施进行复查、修改、调整以至提升安全管理等级,维护和持续改进信息安全管理体系的有效性;
(七)分级保护原则:涉密信息系统等级划分需按照国家关于涉密计算机信息系统等级划分指南,结合本单位实际情况进行涉密信息系统定级。按等级划分标准确定信息系统的安全保护等级,实行分级保护;对多个子系统构成的大型信息系统,确定系统的基本安全保护等级,并根据实际安全需求,分别确定各子系统的安全保护等级,实行多级安全保护;
五、涉密信息系统保密管理的思路与方法
我国的涉密信息系统实行分级保护管理制度,即根据涉密程度,对涉密信息系统按照秘密级、机密级、绝密级进行分等级实施保护。目前,国家保密局已经制定发布了国家保密标准BMBl7--2006《涉及国家秘密的信息系统分级保护技术要求》和BMB20--2007《涉及国家秘密的信息系统分级保护管理规范》,从技术和管理两个方面,详细规定了涉密信息系统建设、使用和管理的保密要求。
涉密信息系统分级保护是国家信息安全等级保护的重要部分,其核心思想是“从实际出发,综合平衡安全成本和风险,优化信息安全资源的配置,确保重点。”因此,涉密信息系统应该遵循国家保密标准规范,在分级保护的框架下,按照“规范定密,准确定级;分域分级,科学防护;风险评估,动态调整;技管并重,全面保障”的基本思路进行保密管理,具体方法为:
(一)涉密信息系统应该严格按照以系统分域定级、方案设计、工程实施、系统测评为中心环节的操作流程,积极组织开展涉密信息系统建设工作
1.涉密信息系统建设使用单位应按照信息密级、行政级别、业务类别、系统重要性和安全策略等因素划分安全域,并根据各安全域所处理信息的最高密级确定等级。
2.涉密信息系统建设使用单位应选择具有涉密信息系统集成资质单位进行承建,结合国家保密标准BMBl7—2006《涉及国家秘密的信息系统分级保护技术要求》和BMB20--2007《涉及国家秘密的信息系统分级保护管理规范》等相关标准,在风险评估的基础上,从技术和管理两个方面进行综合设计。保密工作部门应当参与方案审查论证,在系统总体安全保密性方面加强指导,严格把关。
3.涉密信息系统建设使用单位应按照BMBl8--2006《涉及国家秘密的信息系统工程监理规范》进行工程监理。在进行工程监理时,应选择具有涉密工程监理单项资质的单位或组织自身力量加强监督检查。
4.涉密信息系统在投入使用前,经过保密工作部门授权测评机构的安全保密测评和保密工作部门审批。涉密信息系统建设使用单位应按照测评机构的要求,提交测评所需的必要资料,并配合系统测评工作。
(二)涉密信息系统建设使用单位应该整合保密部门、信息化建设部门和其他相关部门力量,密切合作,各负其责,形成合力共同加强系统的保密管理工作
1.在系统定级方面,保密部门发挥准确掌握国家保密政策的优势,与信息化部门、业务工作部门一起研究确定系统和安全域所处理信息的最高密级,从而确定保护等级。
2.在方案设计方面,信息化部门利用熟悉技术的特点,按照分级保护技术要求和管理规范,组织开展分级保护方案的设计工作。保密部门应对总体方案进行监督、检查和指导,组织专家进行评审论证。
3.在工程实施方面,信息化部门应具体承担组织实施工作,并定期与保密部门对安全保密措施落实情况和工程进展情况监督、检查。4.在系统工程施工结束后,保密部门负责组织系统测评和系统审批工作,信息化部门密切配合。
5.在系统投入运行后,保密、信息化、密码、业务工作、保卫和人事等有关部门应按照“分工合作、各司其责”的原则,在满足基本管理要求的基础上,主要从人员管理、物理环境与设施管理、设备与介质管理、运行与开发管理和信息安全保密管理五个方面抓好系统应用中的日常管理,积极开展风险评估和保密监督检查,并做好系统废止阶段的善后工作。
六、涉密信息系统安全保密建议
(一)要树立起有效控制的思想。
保密的实质是什么?笔者认为保密的实质就是控制,要做到国家秘密在任何时候、任何情况下都受控。而做好控制的最有效方法就是尽一切可能缩小知悉范围,做到知悉必须以工作需要为原则。为检验控制的效果,则要做好全程登记工作,将所有知悉国家秘密的人和情况记录在案,做到可查、可追溯。
(二)要建立起一个高效的保密机制。
保密工作机制就是将保密工作各相关要素组合在一起,通过各要素之间的相互联系、相互制约、相互作用,使其向既定的保密工作目标自行运转。比如保密资格认证制度就是一个好的机制。它将军工单位承担武器装备科研生产任务与保密紧密联系起来,与单位生存发展紧密联系起来,通过开展达标活动,使保密工作按照相关标准的要求自行运转。在单位内部,将各项保密要求制定成保密检查标准,通过定期检查,量化打分,发现和改进企业保密管理的薄弱环节,同时将每位涉密人员平时的保密工作情况纳入综合考评,与其晋级、晋职、奖惩等紧密联系起来,激励每一位涉密人员自觉地做好保密工作。建立这样一个能够自行运转的系统,将从根本上解决做好保密工作的动力问题,由过去的让我做变成我要做,促使军工单位保密工作发生质的变化。
(三)要抓好保密工作三大体系建设
保密工作三大体系是指:保密组织管理体系,保密法规制度体系,保密技术防护体系。保密是一项管理工作,是需要有职能部门和专职人员开展的工作,且必须有经费的保障,建立保密组织管理体系是做好保密工作的基本条件和基本保障。保密法规制度是做好保密工作的重要基础和前提。保密法规制度体系的建立要做到各类涉密事项和任何涉密活动都有制度进行约束和控制。保密技术防护体系是做好保密工作的重要手段和措施。要将涉密区域和要害部门部位通过技术手段全面控制起来。安装必要的电视监控系统、门禁系统、区域红外报警系统等。
(四)要重视安全保密的管理工作
随着信息安全技术的发展,信息安全产品正在向智能、整合和管理方向发展,未来的涉密信息系统安全保密技术防范方案将会越来越完善。同时我们也应该注意到,如果没有强有力的管理来支持,再好的技术防范措施都会大打折扣,再好的技术防范产品也将成为摆设,因此涉密信息系统安全保密工作的重点还是在于管理,需要制定切实可行的规章制度,定期进行涉密信息系统的安全保密检查,发现问题及时整改,并严肃处理违规的责任人,从而不断强化员工的安全保密意识,使员工能够自觉遵守企业安全保密的规章制度。
七、结束语
传统的“规章制度建设”式保密管理方法已经不适应新的形势,“管理以技术为依托,技术靠管理来保障”的模式已经成新的发展趋势,因此必须按照“分级保护”和“技管并重”的原则开展涉密信息系统安全保密工作。
作者简介:
陈金文,男,工程师,武汉理工大学毕业,目前从事航宇公司PDM、VPM等涉密应用系统的实施、推广运维方面的技术工作。
非涉密网络保密管理 篇10
第一条 公安业务用计算机送外维修容易造成“一机两用”和文件资料泄露,对公安信息网安全和警务秘密造成了严重威胁。为防止“一机两用”违规行为的发生,杜绝失密泄密隐患,特制订本规定。
第二条 公安业务用计算机需经信息通信部门集中进行统一维护维修,如确需送外维修的计算机设备由信息通信部门统一送修,在送修前信息通信部门要根据安全规范的要求对设备进行技术安全处理,由专人负责送指定维修单位维修;维修结束后由再由专业技术人员对机器进行保密安全检查,并负责对修复送回的设备进行二次安全检查,做好安全日志记录,及时发现问题,杜绝安全漏洞。
第三条 计算机送外维修必须在同级信通部门、保密部门或本业务部门计算机安全员的指导下进行,联入公安信息网的计算机送外维修前需征求信通部门意见,由信通部门派人进行安全检查,防止出现“一机两用”行为;处理涉密信息的计算机送外维修需征求保密部门意见,由保密部门进行检查,防止发生泄密事件;具体维修事宜和手续办理由各业务部门计算机安全员负责。
第四条 计算机送外维修必须贯彻“零散送修”的原则,送修前须判断计算机故障部件,只将有故障的部件送外维修。
第五条 属非存储类故障的计算机,必须由本业务部门安全员将硬盘类存储设备取出后方能送修,无法拆离的计算机按第七条规定执行。
第六条 属计算机存储类设备故障送修的,由本业务部门安全员在送修前检查和清理硬盘资料,计算机所属单位对计算机进行登记,确保硬盘上没有存储涉密资料。
第七条 属计算机存储类设备故障,但已经无法对硬盘资料进行读取和检查的,计算机使用者必须确认没有存储涉密资料并由本业务部门安全员检查后方可送外维修。如果存储有涉密资料的,必须统一交同级保密部门进行处理。
第八条 各业务部门在送修前需对维修公司相关人员进行教育和提醒,要求送修计算机(有硬盘等存储设备)在维修过程中(特别是进行相关驱动程序升级时)不得联接互联网或其他网络。无存储功能的计算机不受此条限制。
第九条 设备维修送回后,各业务部门安全员须再次询问维修公司维修过程中是否有出现异常提示,在联接公安信息网之前,由信通部门或本业务部门安全员查看相关安全记录和日志。
第十条 对于将计算机维修服务外包给维修公司的业务部门,必须与维修公司签定保密协议和防止“一机两用”协议。第十一条 不用或报废的涉密计算机设备,应交保密工作委员会对其进行磁化或粉碎性销毁,严禁任何单位和个人将其中的内置硬盘、芯片等各类存储器进行技术处理后改作他用。
第十二条 违反本规定导致发生“一机两用”违规行为的,按照《公安机关人民警察使用公安信息网违规行为行政处分暂行规定》,对责任者及其所属业务部门给予通报批评或行政警告处分。
第十三条 违反本规定导致发生失密泄密事件的,不论是否造成泄密后果,一律按照违纪事件处理,严肃追究直接责任人和有关领导的责任。
非涉密网络保密管理 篇11
为加强涉密文件的保密管理,特制定本规定。
本规定适用于国家下达带有密级标识的型号研制任务合同(以下称纵向合同,协议书)、密级产品横向定货合同、公司技术文件及技术协议书的管理。2引用文件
《国家秘密载体保密管理制度》
3涉密文件的管理
对于纵向合同及横向密级合同,应严格执行《国家秘密载体保密管理制度》的规定,必须存放于密码文件柜中,并登记入册,技术文件及技术协议书必须存放于文件柜中,并登记入册,确保涉密文件的安全与完整。
4涉密文件的传递
涉密文件的传递分为公司内传递与公司外传递。
4.1公司内传递
订贷合同到公司,由市场部兼职保密员负责合同(含技术协议书)的签定,后将合同转交保密办公室归档。公司内其他部门未经批准均不得复印、保管合同,同时由专职人员将公司技术文件复印传递到技术部、生产制造部,密级合同及公司技术文件复印件的管理视同原件,设计定型后,销售部将所有相关文件移交保密办公室归档保管。
4.2公司外传递
涉密文件的公司外传递必须严格遵循保密原则,我公司、用户上级主管机关、用户单位的合同(包括技术协议书)通过公司保密机要途径发送,严禁通过普通邮政和电子邮件传递合同。
公司技术文件不得在公司外传递。
5涉密文件的销毁
非涉密计算机管理办法v1.0 篇12
非涉密终端安全管理办法
第一章 总则
第一条 为加强河南省电力公司计算机终端的保密管理工作,防止
泄密事件发生,维护网络正常运行,确保计算机信息系统的安全,制定本管理办法。
第二条 管理制度的制定依据:
《中华人民共和国保守国家秘密法》
《中华人民共和国计算机信息系统安全保护条例》 《计算机信息网络国际联网安全保护管理办法》
《中华人民共和国计算机信息网络国际联网管理暂行规定》 《国家保密局计算机信息系统保密管理暂行规定》
第三条 本规定所称的非涉密计算机终端是指不用于采集、存储、处理、传递、输出国家秘密信息和企业内部秘密信息的计算机终端,包括台式计算机、笔记本计算机和掌上电脑等计算机终端设备。
第四条 国家秘密信息的范围按照《中华人民共和国保守国家秘密
法》的规定进行界定;企业内部秘密信息是指河南省电力公司内部的秘密信息,其范围由河南省电力公司保密委员会根据河南省电力公司经营管理情况进行界定(在《涉密终端安全管理办法》中进行详细说明)。
第五条 本办法适用于河南省电力公司本部日常办公的非涉密计算
机终端的管理。
第六条 非涉密计算机的用户必须严格遵循本管理制度的有关规定
管理和使用非涉密计算机终端。
第七条 河南省电力公司保密委员会下设IT安全管理小组,专门负
责本公司范围内的计算机信息系统安全管理工作。计算机终端用户应积极配合IT安全管理小组共同做好计算机信息系统安全管理工作。
第二章 购置管理
第八条 河南省电力公司本部所有的非涉密计算机终端设备由科技
信息部负责统一购置和管理。
第九条 各部门根据工作需要添置非涉密计算机终端设备的,根据
《河南省电力公司计算机管理办法》的规定流程进行申请,批准后由科技信息部统一购置。
第十条 科技信息部负责对购入的非涉密计算机设备进行检测,安
装系统、应用软件和防病毒软件,并进行计算机名、IP地址和网络设置等的相应配置。保证进入公司的非涉密计算机终端设备符合相关安全保密的规定。
第三章 使用管理
第十一条 计算机终端的使用部门为计算机日常管理的责任部门,使
用人是计算机日常管理的第一责任人,对非涉密计算机终端设备出现的泄密和安全事故负首要责任。
第十二条 非涉密计算机终端配备到使用人后,使用人不得擅自更改
计算机名、IP地址和网络设置等配置信息,不得私自接入其它线路访问国际互联网,否则管理部门有权收回设备并根据相关规定对使用人进行处理。
第十三条 非涉密计算机终端的使用人,必须妥善保管好计算机系统
登陆的用户名和密码。密码原则上3个月必需变更一次,密码长度不能小于8位。用户名和密码等信息不得告诉他人,否则由此造成的事故由使用人本人承担全部责任。
第十四条 非涉密计算机设备中严禁处理涉密信息,包括涉密信息的临时性或长期性采集、存储、处理、传递、输出等。
第十五条 防病毒系统和防火墙
a)非涉密计算机终端配备前已安装防病毒系统,并开启防火墙功能。任何部门或个人不得以任何理由或手段卸载或更换已安装的防病毒系统,不得关闭防火墙。
b)防病毒系统必须保证病毒代码的实时更新,并定期对系统进行全面查杀。发现染有计算机病毒的,应采取措施加以消除,在未消除病毒之前,计算机终端不得投入使用。
c)在通过OA系统发送电子邮件和计算机终端间进行文件拷贝操作前,必须对附件文件和拷贝文件进行查杀。
d)任何单位或个人严禁故意制造、修改和传播计算机病毒及木马
程序。
第十六条 非涉密计算机终端必须开启操作系统自动更新功能,及时
进行操作系统补丁升级,减少计算机终端安全漏洞。
第十七条 访问国际互联网
a)非涉密计算机原则上不允许访问国际互联网,确因工作需要的开通国际互联网访问服务的,必须严格遵守国家有关法律、行政法规,并严格执行安全保密制度。
b)非涉密计算机不得访问与工作无关的互联网站点,非因工作需要不允许使用QQ、SKYPE、MSN等聊天软件。
c)严禁将涉及敏感信息的公司内部资料通过网络或其他各种途径向外传播。
d)禁止在上网过程中下载安装不明程序和ActiveX控件。
第十八条 非涉密计算机终端不得开启文件夹共享功能,关闭不必要的服务和端口,禁用多余的帐号。
第十九条 非涉密计算机终端上禁止安装未经信息主管部门和使用部
门共同审查通过的外来软件、与工作无关的游戏等软件。第二十条 非涉密计算机终端不得外借公司本部之外的任何其它单位
和个人。
第二十一条 非涉密计算机终端中,工作人员因工作需要外出携带笔
记本计算机的,须由信息安全主管部门和工作人员所在部门对设备共同进行保密审查,确保其中不存在涉密信息后,设备方可外出。
第二十二条 在非涉密计算机终端上使用移动存储介质应按照《河南
省电力公司移动存储介质管理办法》执行。
第四章 维护管理
第二十三条 非涉密计算机终端的维修由科技信息部负责统一管理。
使用人员如发现计算机系统运行异常,应及时与科技信息部联系。未经科技信息部同意或授权,任何部门或个人不得擅自对计算机进行维修操作,包括调换设备、安装私有或外来的零配件和设备等。
第二十四条 科技信息部对修复后的计算机终端,在检查确认无木马
程序和病毒后,交付使用部门。
第二十五条 维修过程中出现的硬盘、内存等损坏的存储介质,由科
技信息部统一收回,并按照相关规定进行处理。
第五章 报废管理
第二十六条 各部门报废的计算机终端设备必须统一缴回科技信息
部处理。
第二十七条 科技信息部负责对报废的计算机终端设备进行检测,对
经检测确不存在涉密信息的计算机按照管理规定进行处理。
第二十八条 报废的非涉密计算机终端设备中的存储介质按照相关
规定统一处理。
第六章 应急处理
第二十九条 如在非涉密计算机设备的使用和维修过程中发现其中
存有涉密信息,需立即报河南省电力公司保密委员会,并按照《涉密计算机终端安全管理办法》进行预先处理。
第七章 其它
第三十条 本办法由河南省电力公司科技信息部制定,自发布之日起
执行。
【非涉密网络保密管理】推荐阅读:
涉密网络安全保密防护和管理05-17
非涉密计算机保密管理暂行规定12-13
涉密计算机保密管理07-04
涉密会议保密管理规定08-26
保密实验室涉密设备保密管理制度08-13
涉密体系文件-涉密岗位保密承诺书11-23
涉密人员保密自查表10-25
涉密项目保密承诺函11-17
涉密工程保密责任书12-05