信息系統(tǒng)信息設備和存儲設備管理

信息系統(tǒng)信息設備和存儲設備管理總則本制度是為了規(guī)范公司信息流程，使公司涉密信息設備和存儲設備及信息系統(tǒng)使用、管理、信息安全有所遵循而制定。相關定義：信息系統(tǒng)、信息設備和存儲設備：指武器裝備科研生產單位在日常工作和科研生產活動中配備和使用的各類應用系統(tǒng)、服務器、計算機、網絡設備、外部設施設備、存儲介質、辦公自動化設備、聲像設備和安全保密產品。應用系統(tǒng)：包括由各種硬件設備及系統(tǒng)、接口部件、外部設備、應用軟件、支持軟件和工具軟件組成的，為武器裝備科研生產服務的人機系統(tǒng)，以及安裝在信息系統(tǒng)中，實現(xiàn)某些專門應用的綜合系統(tǒng)。服務器、計算機：包括服務器、操作終端、臺式計算機、便攜式計算機、工作站、小型機、中型機、大型機、巨型機等。網絡設備：包括交換機、路由器、網關等。外部設施設備：包括打印機、掃描儀、移動光驅、讀卡器、測試系統(tǒng)、調試系統(tǒng)、傳感器系統(tǒng)等。存儲介質：包括計算機硬盤和固態(tài)存儲器、移動硬盤、光盤、優(yōu)盤、軟盤等；辦公自動化設備：包括打字機、復印機、傳真機、多功能一體機、碎紙機、速印機、曬圖機、繪圖儀等，及其相關存儲附件和耗材（其中部分設備也可以看作計算機的外部設備）。聲像設備：包括照相機、攝像機、錄音機、投影儀、非線性編輯機、擴音設備、音頻矩陣、視頻矩陣、視頻會議設備、數字化會議設備、存儲卡、記憶棒、錄音帶、錄像帶等，及其相關附件和耗材。安全保密產品：包括接入控制、單向導入、身份鑒別、訪問控制、監(jiān)控審計、病毒防治、干擾濾波、漏洞掃描等。向外提供的數據：包括對外刻錄的光盤，因工作需要向外提供的*文件及通過其它途徑傳遞的資料；過程文件資料：指在工作過程中產生的未定稿的文件資料，包括制作過程中未定稿的*檔、紙質檔，也包括含有涉密信息的光盤、磁介質等載體。涉密計算機及信息系統(tǒng)保密管理的基本原則：處理涉密信息的計算機不得直接或間接連接國際互聯(lián)網，必須實行物理隔離；禁止在與國際互聯(lián)網相連的計算機系統(tǒng)中存儲、處理和傳遞涉密信息；涉密計算機信息系統(tǒng)的規(guī)劃、設計、安裝、維護，必須由具有資質的單位來承擔，投入使用前，必須報經市級以上政府保密部門審批；計算機處理多種密級的信息時按最高密級進行防護，存儲過涉密信息的計算機不能降低密級使用。計算機中的涉密信息應有相應的密級標識，密級標識與主體不可分離，涉密信息正文首頁、文件名、文件夾均需標密，且應加密存儲、傳輸；信息和文件密級一旦確定未經重新審批不得篡改。根據所存儲的信息和軟件的重要程度及涉密程度對設備或介質依據“就高”原則進行等級劃分，同時按照劃分的等級進行標識區(qū)分；設備信息化及保密辦在日常工作中對公司機密級設備和存儲介質進行重點檢查和管理。信息系統(tǒng)、信息設備和存儲設備分類：根據所承載和處理信息和軟件的重要程度進行分類，主要分為：機密級、秘密級、內部非密級、互聯(lián)網非密級。并對相應設備和介質按照相應等級進行標識和分類管理。職責系統(tǒng)管理員的職責：系統(tǒng)管理員在安全審計員的監(jiān)督下開展工作，主要負責涉密網絡相關參數的制定、配置與監(jiān)控管理；負責系統(tǒng)的日常的運行與維護管理、涉密計算機及信息系統(tǒng)的硬件維護、負責通用應用系統(tǒng)和軟件的安裝、配置以及升級，針對涉密信息系統(tǒng)風險評估報告，提出應對措施和建議。應當清楚的了解本單位涉密網絡的運行環(huán)境、運行條件、軟硬件組成、網絡結構、應用系統(tǒng)結構、技術性能、空間分配、參數設置等技術指標，并熟練掌握其操作規(guī)程。負責軟硬設備（含操作系統(tǒng)），以及應用系統(tǒng)和數據庫系統(tǒng)的安裝、調試、升級、卸載、維護；定期安裝操作系統(tǒng)補丁程序，并做好檢測記錄，保證軟硬件及系統(tǒng)正常運行；負責涉密網安全域、VLAN的劃分和實施工作，服務器域管理和入侵檢測系統(tǒng)配置；負責IT設備MAC地址、IP地址和網絡端口的綁定、安全性能檢測及設備違規(guī)接入監(jiān)控；負責機房設備的系統(tǒng)配置和日常管理；管理機房門禁系統(tǒng)，掌握機房溫度，濕度和通風情況，為機房設備提供適宜的工作環(huán)境；負責服務器、網絡系統(tǒng)及設備的日常使用和管理；負責定期分析網絡設備、操作系統(tǒng)等軟硬件的系統(tǒng)日志，針對日志中的系統(tǒng)異常、錯誤或報警等分析原因，提出解決辦法并實施，不斷優(yōu)化系統(tǒng)運行環(huán)境；掌握用戶端設備接入網絡（含涉密信息系統(tǒng)）的情況，以便發(fā)現(xiàn)問題時可迅速定位和解決，未經審批，嚴禁非法設備接入網絡（含涉密信息系統(tǒng)），保障系統(tǒng)的安全，凡接入設備必須履行審批手續(xù)進行檢測后接入；對計算機病毒、網絡攻擊、異常行為進行及時響應處理，并做好記錄；察覺到網絡處于被攻擊狀態(tài)后，系統(tǒng)管理員應確定其身份，在保護系統(tǒng)安全的情況下可做阻斷行為并向主管領導匯報；在安全保密管理員配合下，應定期升級安全保密設備及其規(guī)則庫；定期進行病毒、木馬和惡意程序的查殺、處理工作；負責服務器中涉密數據及關鍵業(yè)務數據的備份與恢復，負責網絡設備和服務器設備配置和策略備份、恢復與重建；負責關鍵的網絡設備等硬件的備份、恢復與重建工作；負責涉密網絡信息流量、負載均衡和相關信息統(tǒng)計分析，每月編寫涉密網絡運行報告，并做好日常工作記錄，確保日志真實、有效。安全保密管理員的職責：安全保密管理員在安全審計員的監(jiān)督下開展工作，主要負責涉密網絡的安全策略、安全評估、用戶賬號權限設置等日常安全保密管理工作，安全保密設備設施及軟件的使用和維護管理。應清楚了解本單位涉密網絡的安全風險、安全策略、保護措施、控制機制、用戶權限以及參數設置等技術指標，并熟悉掌握安全保密產品的操作規(guī)程和配置要求。負責制定涉密計算機安全保密策略，并通過查看安全域的劃分、訪問控制策略配置等是否有效等情況及時調整更新安全保密策略；負責公司安全保密設備設施及軟件的建設、安裝配置、策略設計和部署、日常使用和管理，定期對設備設施的運行情況進行檢查;負責實施網絡系統(tǒng)和應用系統(tǒng)用戶訪問權限分配及調整，通過授權機制監(jiān)控信息流向，防止越權訪問；負責重點安保設備日志記錄文件的數據備份、重點安保設備的設備備份、服務器數據備份的安全檢查，以及系統(tǒng)恢復與重建過程中的安保管理；負責系統(tǒng)存儲介質注冊、授權等可信處理；負責管理維護涉密計算機上配置的安全防護產品和措施；負責計算機密碼管理工作，根據涉密信息系統(tǒng)密碼設置要求，指導涉密系統(tǒng)用戶設置BIOS、操作系統(tǒng)、屏幕保護、數據庫系統(tǒng)等密碼；負責系統(tǒng)安全性能檢測處理、漏洞掃描、入侵檢查、違規(guī)外聯(lián)監(jiān)控，并做好記錄；定期對系統(tǒng)漏洞進行修補、病毒庫升級等工作；協(xié)助系統(tǒng)管理員，定期進行病毒、木馬和惡意程序的查殺、處理工作；負責系統(tǒng)重大運行安全事件的報告和運行安全事件查處過程中的安保管理；負責涉密系統(tǒng)總量統(tǒng)計、用戶統(tǒng)計，用戶申請、刪除的審批，用戶帳號的恢復與重建，定期審查用戶權限列表；負責提出涉密網絡文檔化的安全保密策略文件的編制建議，并根據環(huán)境、系統(tǒng)和威脅變化情況及時提出調整、修改、更新安全策略，適時備份安全保密策略；協(xié)助系統(tǒng)管理員完成操作系統(tǒng)等軟硬件設備的策略設置和安全設置。負責檢查分析操作系統(tǒng)和應用系統(tǒng)的各種日志和記錄，分析安全狀況。負責對涉密網絡的用戶及安全審計員的操作行為進行審計；對安全管理系統(tǒng)的審計日志、異常事件和行為進行統(tǒng)計分析。每月形成文檔化的安全審計報告。負責網絡安全日志、各類安全事件信息統(tǒng)計分析，定期開展風險評估工作并形成文檔化的風險分析報告。完成部門和保密委賦予的其他安全保密工作安全審計員的職責：安全審計員負責對系統(tǒng)管理員、安全保密管理員的操作行為進行審計、跟蹤、分析和監(jiān)督檢查，以便及時發(fā)現(xiàn)違規(guī)行為。每月提出安全審計報告（包括打印日志、違規(guī)外聯(lián)記錄、USB使用記錄、入侵檢測、違規(guī)接入等）；并定期對涉密信息系統(tǒng)進行風險評估，提交風險評估報告。應具備系統(tǒng)日志分析、安全事件分析和掌握相關取證技術的能力。應能夠對文檔化的安全保密審計報告進行綜合評估負責對系統(tǒng)管理員、安全保密管理員的操作行為、入侵監(jiān)控記錄及進出安全域的事件進行審計跟蹤分析和監(jiān)督檢查；負責對出入中心機房的人員記錄、設備的相關操作進行查驗和審計；負責對系統(tǒng)設備接入、外聯(lián)、使用、維修和銷毀記錄審計；負責對系統(tǒng)介質準入、制作、收發(fā)、傳遞、使用、維修和銷毀記錄的安全審計；負責對安全審計日志記錄文件的數據備份，安全審計服務器設備備份的實現(xiàn)，系統(tǒng)備份、恢復與重建記錄的安全審計；負責對系統(tǒng)安保策略，系統(tǒng)配置及變更，權限劃分，病毒與惡意代碼防護，軟件安裝控制，系統(tǒng)安全性能檢測，系統(tǒng)運行檢查的安全審計；負責對信息分類與控制，用戶的創(chuàng)建、修改、刪除、恢復和重建記錄，用戶權限的分配、撤銷記錄，系統(tǒng)互聯(lián)互通進行審計；行使所有涉密計算機、信息系統(tǒng)、審計軟件系統(tǒng)的審計員身份操作權利，每月形成文檔化審計報告，向主管領導和保密辦公室匯報相關情況；每12個月根據系統(tǒng)綜合日志，進行一次自我風險評估，形成文檔化的風險分析報告，對存在的風險應當及時采取補救措施。部門安全員的職責協(xié)助部門領導實施對科研、生產、試驗、管理等方面的保密管理工作；協(xié)助部門領導對國家秘密事項及其涉密載體定密和變更密級工作；協(xié)助部門領導進行安全保密檢查，督促落實隱患整改工作；協(xié)助部門領導做好安全保密會議，保密宣傳教育的記錄工作以及涉密人員保密工作考核；負責涉密載體制作、收發(fā)、傳遞、使用、復制、保存、銷毀等環(huán)節(jié)的保密管理工作，并做好審查審批記錄；負責臺式計算機、便攜機和移動存儲介質的管理及攜帶外出使用的保密安全檢查，建立臺賬，做到帳物相符；督促保密法律、法規(guī)及規(guī)章制度的落實和有效運行；配合做好對失泄密事件的調查處理工作；完成部門和公司保密委賦予的其他安全保密工作。部門負責人的職責1.負責本部門信息設備的使用管理。2.負責對涉密信息輸出進行監(jiān)督和審批。3.協(xié)助保密辦開展涉密計算機及信息系統(tǒng)管理工作，提供人力、物力支持。信息系統(tǒng)、信息設備和存儲介質使用者的職責1.負責所使用設備和存儲介質的安全保密管理。2.負責所在崗位產生的涉密*文檔的整理、標密以及傳播范圍的控制。信息系統(tǒng)建設公司涉密信息系統(tǒng)建設應在各級相關保密工作部門的指導與監(jiān)督下，按照《涉及國家秘密的計算機信息系統(tǒng)集成資質管理辦法》的要求，選擇具有相應涉密資質的承建單位承擔或參與涉密信息系統(tǒng)的方案設計與實施、軟件開發(fā)、綜合布線、系統(tǒng)服務、系統(tǒng)咨詢、風險評估、屏蔽室建設、工程監(jiān)理和保密安防監(jiān)控等。公司保密辦對涉密信息系統(tǒng)集成的相關資質進行審核備案，否則不予立項實施與系統(tǒng)建設相關的方案設計應依據國家相關保密要求進行，并進行方案設計前的風險評估，公司相關管理部門根據評估結果確定系統(tǒng)保護所須達到的基本要求，采取具體的保護措施，如對部分保護要求作出調整，應檢查評估調整的合理性。方案設計階段的風險評估由公司組織自身技術力量開展或委托相應集成資質和系統(tǒng)咨詢單項資質的單位承擔。軟硬件管理公司信息設備的軟硬件統(tǒng)一購置、統(tǒng)一標識、統(tǒng)一安裝、統(tǒng)一發(fā)放，由設備信息化室負責管理，其他各部門有義務配合做好本部門內的信息設備管理，有義務按照保密要求進行正確的安裝、使用、運行和安全操作。公司建立信息設備總臺帳，包括計算機（含服務器、用戶終端）、網絡設備和外部設備、存儲介質、安全保密產品。各部門建立相應的分臺帳，包括計算機、存儲介質。設備信息化部每六個月對信息設備臺帳進行一次清查、核對和登記，發(fā)現(xiàn)問題應及時向保密辦報告。購置軟硬件產品時，應滿足以下條件：1．嚴禁外資企業(yè)和有國（境）外背景的機構、組織及其人員參與系統(tǒng)的建設與管理系統(tǒng)集成與系統(tǒng)服務、安全保密產品的采購，不得進行公開招標，應在具備資質的單位和經國家主管部門批準的范圍內采取邀標、競爭性談判、詢價等方式進行；2．涉及到招標的采購項目，應屏蔽招標項目代號、最終用戶等資料信息；3．安全保密產品應選用國產設備，非安全保密產品應充分考慮國家安全保密需要，優(yōu)先選擇國產設備；4．在選用國外設備時，應進行詳細調查和論證，同時不得選用國家保密工作部門禁用的設備或附件，必要時應對選用的國外產品進行安全保密檢測；5．計算機病毒防護產品只能選用獲得公安機關批準的產品，其他安全保密產品只能選用獲得國家保密工作部門批準的產品。信息設備軟硬件管理的基本要求：1.公司禁止使用具有無線互聯(lián)功能的信息設備，計算機或信息設備在下發(fā)使用前必須將無線鍵盤、無線鼠標及其他無線互聯(lián)的外圍設備模塊拆除。2．嚴禁擅自對涉密計算機及辦公自動化設備的軟硬件進行安裝、擴展、縮減、拆卸。3．禁止私自將外部軟硬件設備接入涉密信息系統(tǒng)或在系統(tǒng)內使用。4．不得擅自更改計算機名、用戶名、IP地址、MAC地址等計算機標識。5．計算機使用者離開計算機時，須將桌面鎖定。6．涉密計算機只能使用公司批準的《合格軟件清單》所包含的軟件，不準私自安裝、使用與工作無關的軟件，不得隨意下載軟件。7．重要的公用程序（應用軟件）不允許任意復制，防止出現(xiàn)版權糾紛。凡進行以下操作,使用者需填寫《軟硬件變更審批登記表》，機密級軟硬件設備的變更需經過公司主管領導批準，其他等級設備的變更需經部門負責人批準后，向設備信息化室提出需求，由設備信息化室進行檢查和審批，授權申請人或派專人負責安裝調試。1.安裝、使用新軟件或硬件設備。2.格式化硬盤，安裝操作系統(tǒng)。3.因工作需要，臨時開放端口、服務、連接和系統(tǒng)授權。4.因工作需要，將外部軟硬件設備接入涉密信息系統(tǒng)或在系統(tǒng)中使用。當涉密信息設備和介質出現(xiàn)故障需進行維修、報廢時，應填寫《涉密設備維修申請單》，經部門負責人審核，公司分管領導批準后，由設備信息化室指派專人負責處理。涉密信息設備和介質現(xiàn)場維修過程中，使用部門兼職安全員應進行全程陪同，嚴禁維修人員擅自讀取和拷貝設備中存儲的涉密信息；確需帶離現(xiàn)場進行維修時，應將涉密存儲部件拆除并妥善保管。嚴禁任何部門和個人將涉密信息設備和介質作為廢品出售和銷毀或自行處理。涉密信息設備和介質報廢時，經公司分管領導批準后，由設備信息化室將存儲部件中的涉密信息徹底清除，交保密辦檢查確認無涉密信息，并辦理銷毀手續(xù)后，每年統(tǒng)一組織實施一次集體銷毀。網絡管理計算機的網絡類別分為連接互聯(lián)網、連接涉密內網和不連網。網絡使用及管理的基本要求：1.嚴禁私自更改計算機的網絡類別。2.禁止將與互聯(lián)網以及其他公共信息網絡連接的辦公自動化設備接入涉密內網。3.嚴禁攻擊網絡服務器，或利用黑客軟件對其他計算機進行攻擊。4.不得利用電話撥號等任何方式，私自將計算機連接上網。5.所有計算機在使用時均要打開病毒防護軟件，一旦其報警，應立即保存相關文件，并與設備信息化室聯(lián)系。內網申請流程：一般由當事人在正式轉正進入涉密崗位時，填寫《涉密人員審查表》，經部門負責人對其崗位、業(yè)務的密級進行審查建議，報保密辦備案后，再由系統(tǒng)管理員根據崗位涉密情況制作唯一用戶標識，并依據最小授權權限分配策略開放相應權限。外網申請流程：填寫《網絡接入申請登記表》，經部門負責人審核，保密辦批準，再由設備信息化室開放相應權限。因工作變動或離職需刪除用戶時，由用戶本人所在部門負責人書面通知安全保密管理員，并報保密辦備案。安全保密員應及時將用戶在系統(tǒng)內的所有賬號及權限廢止。安全保密管理員每月檢查用戶身份標識日志和用戶權限列表，發(fā)現(xiàn)問題應及時向保密辦匯報。涉密信息系統(tǒng)與其他信息系統(tǒng)、非涉密信息系統(tǒng)之間互聯(lián)時，設備信息化部應組織開展需求風險評估，檢測分析系統(tǒng)的安全漏洞和脆弱性，確定能否滿足互聯(lián)。經評估可以進行互聯(lián)時，應為互聯(lián)雙方調整安全保密策略，制定互聯(lián)后系統(tǒng)的安全保密措施提供技術保障，劃分明確的系統(tǒng)邊界，采取有效邊界防護和訪問控制措施，阻止高密級信息流向低等級信息系統(tǒng)。當公司網絡安全受到威脅，無法確保信息安全時，設備信息化室有權關閉互聯(lián)網，或直接關閉對網絡有潛在威脅的計算機的網絡權限。信息安全管理生產、科研項目完成后，項目負責人應將項目成套文檔資料交科技管理部刻錄存檔，項目參與人員應刪除計算機內有關過程文檔。涉密計算機及信息系統(tǒng)向外部提供信息輸出，原則上需經過解密流程，通過中間機刻錄在一次性刻錄光盤上。防病毒軟件服務器每天中午11：30開始對所有涉密計算機進行一次全盤病毒查殺，查殺過程中計算機使用者須確保計算機處于開機狀態(tài)。未經保密辦批準，員工不應將不屬于公司的電腦整機或配件帶入公司使用，更不允許接入公司涉密信息系統(tǒng)。用于處理涉密信息的辦公自動化設備、涉密計算機和涉密存儲介質禁止接入互聯(lián)網及其他公共信息網絡。信息化相關人員應對涉密信息系統(tǒng)中信息的數量進行分類統(tǒng)計，并定期匯報保密辦；當系統(tǒng)中機密級信息數量明顯增多時，應進行風險評估并及時調整系統(tǒng)防護措施。當實際文檔有進行變更時，應根據文檔的變化情況及時更新相應系統(tǒng)文檔資料，以保持一致性。涉密內網電腦和服務器采用賬號和口令的身份鑒別方式，所有涉密電腦必須設置BIOS密碼，機密級電腦口令長度為10位，一周修改一次；秘密級電腦口令長度為8位，一月修改一次；口令必須包含字母大小寫和數字等組成；涉密便攜式計算機采用USBkey和賬號口令的方式進行身份鑒別。信息系統(tǒng)信息化管理人員應根據用戶申請審批單新增系統(tǒng)用戶，同時根據用戶等級及業(yè)務工作需求等條件開放相應的權限；用戶經申請審批退出系統(tǒng)使用時對及時取消用戶賬戶和用戶權限；信息化管理人員應建立與用戶權限相匹配的系統(tǒng)用戶清單，并根據用戶新增和取消進行動態(tài)更新，用戶賬戶應保證唯一性。系統(tǒng)賬號的申請和取消均需經部門負責人及主管領導審批。信息系統(tǒng)管理人員應每月對系統(tǒng)用戶及權限進行審查發(fā)現(xiàn)異常及時糾正，并將異常情況報保密辦備案。移動存儲介質管理移動存儲介質采用中孚移動存儲介質管理系統(tǒng)綁定使用范圍，未經授權將無法使用，必須通過中間轉換機進行信息交換。涉密移動存儲介質由設備信息化室統(tǒng)一申購、分配以及管理，其他移動存儲介質由介質對應責任人管理，未使用時應當存放在保密柜中，分發(fā)時對相關責任人員進行安全操作使用的保密教育或保密提醒。涉密移動存儲介質僅限定在涉密計算機、涉密中間機、涉密筆記本電腦之間使用。公司在賬非密移動存儲介質專盤專用，適用下列情況：1.在調試機上使用；2.在互聯(lián)網下載、上傳非密信息使用；3.非密信息導入涉密中間機單向導入裝置非密端口做病毒及惡意代碼檢查使用。移動存儲介質使用時應遵循以下基本要求：1.禁止高密級存儲介質在低密級計算機和信息系統(tǒng)中使用；2.禁止低密級存儲介質存儲高密級信息；3.禁止將個人具有存儲功能的介質和設備接入涉密計算機和信息系統(tǒng)；4.使用移動存儲介質前，應進行惡意代碼及病毒查殺；5.涉密移動存儲介質使用完畢后，應及時采用信息銷毀工具進行信息消除處理。需要使用涉密移動存儲介質時，使用人應辦理借用手續(xù)經保管人確認后借用，使用過程需妥善保管，歸還時應經設備信息化專人保密檢查并進行信息消除處理。禁止將個人移動存儲介質帶入工作場所，一經發(fā)現(xiàn)，公司予以沒收并上交保密辦，同時依據公司保密制度對當事人進行經濟處罰。電話系統(tǒng)的管理公司電話系統(tǒng)采用聯(lián)通通信網絡，使用聯(lián)通公司提供的申甌交換機及相關設備。公司電話系統(tǒng)，主要是作為與外界溝通、開展業(yè)務之用，嚴禁員工在公司內撥打私人電話。公司電話系統(tǒng)的使用由綜合辦公室根據公司實際情況，進行統(tǒng)一規(guī)劃、分配。相關設備由公司設備管理員專人負責管理與維護，其他人員嚴禁有對設備進行損壞的行為。各部門若因工作需要，增加分機號碼或需對現(xiàn)有電話進行調整，需到辦公室辦理相關審批手續(xù)，填寫《電話跳線、并機申請表》，然后由設備管理員進行相關調整。嚴禁私自接、拉電話線，私自跳線、并機。公司電話系統(tǒng)使用方法為：1.公司總機號碼為**2900，傳真機號碼為**2898；2.撥打外線電話：提機撥“9”加電話號碼；3.撥打總公司內部電話：提機撥電話號碼后四位（如2900）；4.撥打“800”免費電話：提機直接撥電話號碼；5.根據實際需要，在采購部開通一條外線可以撥打國際長途。公司電話系統(tǒng)是普通的通信線路，沒有加密功能，嚴禁在電話系統(tǒng)的使用過程中，交談涉及國家秘密信息的內容。嚴禁使用公司電話系統(tǒng)拔號上網。電話系統(tǒng)出現(xiàn)故障，請外人進行維修時，由設備管理員進行陪同。傳真機的管理根據工作需要，公司配置傳真機由各部門設置專人進行管理與維護。使用傳真機發(fā)文件資料時必須進行登記，嚴禁通過傳真機傳送涉及國家秘密的文件資料。傳真機接收到的文件由專人進行接收，并實行接收簽收和領用制度。手機使用管理手機禁止接入公司涉密網絡，禁止連接涉密設備、禁止連接紅黑隔離電源和涉密電腦充電或進行其他操作。手機禁止存儲、處理、傳遞涉密信息；禁止在手機通訊中談及國家密級和公司商業(yè)秘密。公司保密要害部門部位等重要涉密場所禁止使用手機通訊、禁止使用手機拍照、錄音、錄像等。公司重要涉密人員使用的手機應經過安全檢查，不得使用未經入網許可的手機和開通位置服務、連接互聯(lián)網等功能的手機。公司重要涉密人員的手機出現(xiàn)故障或發(fā)現(xiàn)異常情況時應立即報告，并在公司內部進行維修，無法修復使用時，應按照涉密設備進行銷毀處理。重要涉密會議和重要活動場地應安裝檢測設備，配備手機屏蔽柜，信號干擾儀等，防止進入人員帶入手機。保密安全管理涉密信息系統(tǒng)應當制定文檔化的安全保密策略，經公司保密委負責人批準后下發(fā)正式文件，并由人力資源部和保密辦組織員工培訓，確保策略正確實施。安全保密策略內容應包括：運行管理，信息安全、備份與恢復、應急計劃和響應、計算機病毒與惡意代碼防護、身份鑒別、訪問控制、安全審計等。涉密信息系統(tǒng)定期組織安全保密策略審核，審核內容包括安全保密設備的策略規(guī)則、文檔化的策略文件，一般每三個月組織一次，并針對發(fā)現(xiàn)的問題及時調整更新策略，同時檢查文檔符合性。涉密信息系統(tǒng)定期組織風險評估，一般每年組織一次，或根據系統(tǒng)規(guī)模、用戶數量和威脅的變化臨時組織，根據評估結果編制風險評估報告，針對發(fā)現(xiàn)的問題及時制定補救措施并予以實施，同時完善和更新安全策略文件。保密辦制定年度工作計劃應包括對涉密信息設備的運行情況和用戶操作行為的檢查，公司所有涉密信息設備每年至少用違規(guī)取證工具檢查一次。涉密信息系統(tǒng)應針對系統(tǒng)癱瘓、失泄密等異常事件，制定應急計劃和響應策略，保密辦組織策略評審并下發(fā)公司各部門及安全保密員，并根據需要籌備人力、物力、財力，開展應急演練和評估策略有效性。涉密信息系統(tǒng)內的異常事件根據嚴重程度分為安全事件和泄密事件。安全保密員應正確運用安全審計系統(tǒng)、入侵檢測系統(tǒng)監(jiān)測系統(tǒng)運行情況，發(fā)現(xiàn)問題及時采取有效措施，并報告保密辦。一旦發(fā)生危害系統(tǒng)安全的異常情況，分管保密工作的公司領導應在第一時間趕到現(xiàn)場，并組織力量開展災難恢復，搶救涉密信息設備和介質，確保國家秘密的安全。針對發(fā)生的異常事件，保密辦應組織有關部門進行涉密信息系統(tǒng)評估分析，對系統(tǒng)發(fā)生的安全事件進行分析，查找原因，并從技術和管理兩方面加以改進。系統(tǒng)開發(fā)和運行管理公司在組織進行應用系統(tǒng)開發(fā)時，應符合保密標準要求，從身份鑒別，訪問控制和安全審計等方面進行安全保密功能的同步開發(fā)。系統(tǒng)開發(fā)環(huán)境應符合保密要求，所涉及的網絡環(huán)境和設備應與系統(tǒng)實際運行環(huán)境，設備進行物理隔離。進行開發(fā)測試、聯(lián)調業(yè)務應用系統(tǒng)時，應禁止使用涉及國家秘密及公司商業(yè)秘密的數據進行測試。且工作過程中應由設備信息化系統(tǒng)開發(fā)人員進行全程陪同。應用系統(tǒng)開發(fā)后如需進行現(xiàn)場維護或升級服務，禁止外部人員攜帶具有存儲功能的設備接入系統(tǒng)，且需對其操作和訪問權限進行控制，設備信息化指定專員進行全程陪同，禁止外部人員訪問涉密信息，禁止進行與系統(tǒng)維護或升級無關的操作和處理。涉密信息系統(tǒng)應指定異常監(jiān)測和報警機制，對信息系統(tǒng)的運行異常事件和泄密事件進行監(jiān)測。一旦發(fā)生異常事件，應立即執(zhí)行應急響應策略，立即對涉密信息和設備進行安全保密檢查和管控，并由設備信息化組織進行異常分析，查找異常發(fā)生原因，并對異常事件及整改過程進行記錄。涉密信息系統(tǒng)管理人員應制定應急響應策略和災難恢復制度，同時需對應急響應策略進行評審和演練，并將相關要求對相關人員進行培訓；災難恢復現(xiàn)場和災難恢復過程由設備信息化和保密辦指派專人負責安全保密工作。涉密信息系統(tǒng)廢止涉密信息系統(tǒng)經決議不再使用時，設備信息化部應向負責該系統(tǒng)審批的保密工作部門備案，并按照有關保密規(guī)定妥善處理涉及國家秘密信息的設備、產品、介質和文檔資料。對需要報廢處理的涉密信息設備和涉密存儲介質，應進行信息消除或載體銷毀處理，所采用的技術、設備和措施應符合相關保密標準和規(guī)定，防止失泄密事件的發(fā)生；并保留相關記錄。相關處罰規(guī)定擅自安裝、更改或拆卸計算機的軟硬件，罰款50元/次，并對丟失或損壞的部件照價賠償。人為原因破壞計算機部件、違反規(guī)定，帶電拔插計算機部件，罰款20元/次，并對造成的損失全額賠償。惡意修改或刪除計算機內文件造成數據丟失，以及泄露公司重要資料的，根據情節(jié)嚴重程度，罰款20~200元/次。利用計算機在上班時間玩游戲，干與工作無關事情的人員，罰款20元/次。未經保密辦批準，將不屬于公司的電腦整機或配件帶入公司使用，保密辦對使用者在全公司通報批評，情節(jié)嚴重的沒收相關設備。故意傳播計算機病毒、黑客程序等破壞性程序，危害公司計算機網絡安全的，依法送公安機關處理。未經審批，擅自打印、復印重要內部資料及涉密資料，導致國家秘密和公司商業(yè)秘密被竊取的，依法送公安機關處理。附則本辦法由公司保密辦負責解釋，自發(fā)布之日起施行。附表：1．《涉密計算機臺帳》2．《涉密存儲介質臺帳》3．《網絡設備和外部設備臺帳》4．《安全保密產品臺帳》5．《軟硬件變更審批登記表》6．《涉密設備和介質維修臺賬》7．《涉密設備和介質報廢臺賬》8．《涉密載體銷毀臺賬》9．《網絡接入申請登記表》10.《便攜式計算機（含綁定U盤）外出申請表》11.《涉密移動存儲介質歸還單》附表1**科技有限公司涉密計算機臺帳設備編號名稱型號部門使用人密級使用情況CPU內存硬盤序列號操作系統(tǒng)安裝日期IP地址MAC地址附表2**科技有限公司涉密存儲介質臺帳編號序列號名稱部門使用人密級使用情況備注附表3**科技有限公司網絡設備和外部設備臺帳設備編號設備類別名稱型號部門使用人密級使用情況備注附表4**科技有限公司安全保密產品臺帳產品名稱廠家和型號用途安裝位置策略設置IP地址證書編號附表5**科技有限公司軟硬件變更審批登記表序號日期部門設備編號變更內容申請人審核人保密辦信息組備注附表6**科技有限公司涉密設備和介質維修臺賬序號名稱型號及編號部門使用人密級問題現(xiàn)狀描述維修人員采取的方法處理結果或建議最終去向附表7**科技有限公司涉密設備和介質報廢臺賬序號名稱型號及編號部門使用人密級報廢原因簽收人處理結果最終去向1234567891012附表