信息系统安全保密制度.docx_163文库

资源描述

1、信息系统安全保密制度为加强信息中心各信息系统管理，保证信息系统安全，根据中华人民共和国保守国家秘密法和国家保密局计算机信息系统保密管理暂行规定、国家保密局计算机信息系统国际联网保密管理规定，及上级信息管理部门的相关规定和要求，结合部门实际，制定本制度。第一条 “信息系统安全保密”是一项常抓不懈的工作，每名系统管理员都必须接受保密培训教育，并签署安全保密协议，提高信息安全保密意识，使其充分认识到信息安全保密的重要性及必要性。对重要系统的系统岗位员工进行信息系统安全保密培训。第二条实行信息发布责任追究制度，所有信息的发布必须按规定办理审核、审签手续，必须真实有效且符

2、合中华人民共和国法规。涉及国家及公司机密的信息系统必须与内部网和互联网实施物理隔离，严格执行上网信息的审查制度和涉及国家秘密的信息不得在企业内网发布的规定，杜绝泄密事件的发生。凡发布虚假、反动、色情、泄密等内容，追究信息报送和审核者责任，对公司造成重大经济损失，将追究责任人相应的法律责任。第三条信息系统管理权限从安全级别上分为绝密、机密、秘密；从适用对象上分为高级管理员、系统管理员、高级用户、中级用户、一般用户、特殊用户；从操作承载体上分为服务器(包括系统服务器、镜像服务器、应用服务器和控制服务器)、工作终端、用户终端；从设定内容上分为完全控制、权限设置变更废止

3、、创建、删除、添加、编辑、更新、运行、读取、拷贝、其他操作等。第四条所有信息系统的使用者和不同安全等级信息之间必须存在授权关系，并在新建信息系统开发建设阶段形成方案并加以设计，在软件系统中预留对应关系设置的功能，根据使用者岗位职务的变迁进行调整。第五条利用 IT 技术手段，对信息系统的硬件配置调整、软件参数修改严加控制。利用操作系统、数据库系统、应用系统所提供的安全机制，设置相应的安全参数，保证系统访问的安全；对于重要的计算机设备，要利用软件技术等手段防止员工擅自安装、卸载软件或改变软件系统配置，并定期对以上情况进行检查。第六条信息系统如需要委托专业机构记性系统运行

4、和维护管理时，应严格审查其资质条件、市场剩余和信用状况等，并且与其签订正式的服务合同和保密协议。第七条所有信息系统服务器、工作终端、用户终端必须安装安全防病毒软件，对未安装防病毒软件的终端用户有权拒绝为其提供网络接入服务。第八条信息系统服务器所在机房要加强防护，重点机房必须安装温湿度、烟感、防水、视频等监控；防盗及灭火装备必须配置齐全；外访人员出入机房需经信息中心审核批准后方可进入，进入机房前填写记录，包括访问事由、进入时间、出去时间、操作事宜等。第九条利用防火墙、路由器、入侵检测等网络设备，加强网络安全，严密防范来自互联网的黑客攻击和非法侵入。第十条对

5、于通过互联网传输的涉密或关键业务数据，要采取必要的技术手段确保信息传递的保密性、准确性、完整性。第十一条数据备份及电子文件保密管理制度1) 每周对关键业务数据 (包含财务系统数据、人力资源数据等) 及电子文件(包含 OA 办公文件、发文公告等)进行备份，保证业务数据及电子文件必须完整、真实、准确地转储到不可更改的介质上，备份介质必须表明备份日期、备份内容、备份密级等，严格控制知悉此备份的人数，备份的数据必须由专人负责保管。2) 涉密文件和资料备份应严加控制。未经许可严禁私自复制、转储和借阅。对存储涉密信息的磁介质应当根据有关规定确定密级及保密期限，并视同纸制文件，分密级

6、管理，严格借阅、使用、保管及销毁制度。3) 新系统上线运行时必须做好系统的完全备份，根据业务频率和数据的重要程度做好增量备份。4) 备份数据资料保管地点应有防火、防潮、防尘、防磁、防盗设施；重要业务数据的备份在条件允许时异地保存。第十二条对于停止运行的废旧系统，应当做好系统中有价值及涉密信息的销毁、转移等善后工作。第十三条系统管理人员要遵守信息系统的各项管理制度，防止利用计算机舞弊和犯罪。第十四条对重要业务系统的访问建立用户管理制度，对于不同类别不同级别的各类管理及使用人员采取密码分级管理，设定密码有效期限，对密码存储采用非明文二次加密技术防止各类密码泄露事故的发生。第十五条服务器管理。各服务器密码由系统管理员统一管理，外来人员需访问服务器需经信息中心分管主任及主任审核通过后，方可在系统管理员的陪同下访问；对服务器要每天定时查看系统状态，软件运行状态、有无告警等。第十六条信息系统输入输出管理。由信息系统所属部门按照信息的重要程度分配信息输入输出权限，对输入输出信息的真实性、准确性、合法性进行审批，控制输入量，尽可能利用计算方式按照批量、周转文件方式简化输入过程，输入界面应当简单、可观，输入数据应当进行验证；输出需真实、及时的反应信息。

展开阅读全文