信息系统保密制度(精选9篇)
信息系统保密制度 第1篇
信息系统安全保密制度
信息系统的安全保密工作是保证数据信息安全的基础,同时给全院的信息安全保密工作提供了一个工作指导。为了加强我院信息系统的安全保密管理工作,根据上级要求,结合我院的实际情况,现制定如下制度:
第一章总则
第一条***学院校园网和各个信息系统的服务对象是学校教学、科研和管理机构,全校教职工和学生,以及其他经学校授权的单位及个人。
第二条我院内任何部门及个人不得利用校园网危害国家安全、泄露国家秘密,不得侵犯国家、社会、集体利益和个人的合法权益,不得从事违法犯罪活动。第三条未经批准,任何单位或个人不得将校园网延伸至校外或将校外网络引入至校园内。未经批准,任何数据业务运营商或电信代理商不得擅自进入山东信息职业技术学院内进行工程施工,开展因特网业务。
第四条各部门应按照国家信息系统等级保护制度的相关法律法规、标准规范的要求,落实信息系统安全等级保护制度。
第五条各部门要规范信息维护、信息管理、运行维护等方面的工作流程和机制,指定专人负责系统运行的日常工作,做好用户授权等管理服务工作。
第二章数据安全
第六条本制度中的数据是指各类信息系统所覆盖的所有数据,包括档案管理系统、财务管理系统、资产管理系统、安防监控系统以及学院网站等网站和系统的所有数据。
第七条各部门要及时补充和更新管理系统的业务数据,确保数据的完整性、时效性和准确性。第八条各部门要保证信息系统安全和数据安全,制定重要数据库和系统主要设备的容灾备案措施。记录并保留至少60天系统维护日志。各系统管理员和个人要妥善保管好账号和密码,定期更新密码,防止密码外泄。
第九条保证各系统相关数据安全。各部门和系统管理人员,要对自己所管理的数据负责,保证数据安全,防止数据泄漏。
第十条学校数据信息主要用于教学、科研、管理、生活服务等,申请数据获取的单位有义务保护数据的隐秘性,不得将数据信息用于申请用途外的活动。第十一条未经批准,任何部门和个人不得擅自提供信息系统的内部数据。对于违反规定、非法披露、提供数据的单位和个人,应依照相关规定予以处罚。
第三章信息安全
第十二条任何部门和个人不得利用校园网及各系统制作、复制、传播和查阅下列信息:
(一)危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一的;
(二)损害国家荣誉和利益的;
(三)煽动民族仇恨、民族歧视,破坏民族团结的;
(四)破坏国家宗教政策,宣扬邪教和封建迷信的;
(五)散布谣言,扰乱社会公共秩序,破坏国家稳定的;
(六)散步淫秽、色情、暴力、凶杀、恐怖或者教唆犯罪的;
(七)侮辱和诽谤他人,侵害他人合法权益的;
(八)含有国家法律和行政法规禁止的其他内容的;
(九)煽动抗拒、破坏宪法和法律、法规实施的;
第十三条未经批准,任何个人和部门不能擅自发布、删除和改动学院网站和系统信息。凡发布信息,必须经过严格审核。
第十四条校园网用户必须自觉配合国家和学校有关部门依法进行的监督、检查。用户若发现违法有害信息,有义务向学校有关部门报告。第十五条学院内部所有人员上网均需实名制,并执行严格的实名备案制度。一经发现上网本制度禁止信息,要尽快查处,情节严重者交由公安机关。
第四章学院网站安全
第十六条学院网站是学院的门户,学院网站信息安全是至关重要的。****学院门户网站已按照相关部门要求,委托信息中心备案,备案域名为:***。
第十七条凡上线网站,山东信息职业技术学院实行网站备案,未经备案的网站,学院一律停止对该网站的运行。
第十八条各部门要保证网站的数据安全和系统安全,制定重要数据库和系统主要设备的容灾备案措施。记录并保留至少60天系统维护日志。
第十九条各部门网站信息发布严格实行信息发布审核登记制度,发现有害信息,应当在保留有关原始记录后,及时予以删除,并在第一时间向学校办公室和网络管理中心报告。发现计算机犯罪案件,要立即向公安机关网警部门报案。第二十条学院办公室、网络管理中心负责对学校网站进行监督、检查。对于存在安全隐患的网站,网络信息中心有权停止其对外服务。
第五章其他
第二十一条违反本管理规定的,视情节轻重采用以下其中一种或多种处理措施:
(一)批评整改;
(二)报相关部门领导处理;
(三)移交公安、司法部门处理。
第二十二条本规定由网络信息中心负责解释。第二十三条本规定自公布之日起生效。
信息系统保密制度 第2篇
为了切实加强我局计算机网络信息系统安全保密管理工作,根据国家保密局《计算机信息系统保密管理暂行规定》的要求,结合本局实际,制订本制度。
一、我局计算机信息网络系统的保密管理由局保密领导小组负责。具体工作由办公室专人承办。
二、涉密信息不得在与互联网络联网的计算机信息系统中存储、处理、传递。
三、计算机信息系统打印输出的涉密文件,应当按相应密级的文件进行管理。
四、存储过涉密信息的计算机媒体的维修应原地维修,保证其所存储的国家秘密不被泄露。
五、存储涉密信息的计算机媒体,应按所存储信息的密级标明密级,并按相应密级的文件进行管理。
六、存储涉密信息的计算机安装的操作系统软件和重要的应用软件必须具有合法的使用权,严禁把非法版权软件安装在装有重要数据的计算机上。
七、计算机信息网络的访问采取严格的权限控制和数据保护措施。计算机信息网络系统的用户定期更换口令,严禁将口令告诉无关人员。
计算机信息系统的保密管理 第3篇
随着计算机网络技术的快速发展, 我们已经步入了信息时代。人们在享受信息技术带来的方便、快捷以及高效时, 亦受到了信息技术带来的信息危机。随着“黑客”等网络违法分子信息水平的不断提升, 其对计算机信息系统的威胁越来越大, 甚至威胁到社会的安定团结。其所产生的问题已经上升到政治层面。本文结合当前计算机信息系统的安全问题, 探索如何有效提升计算机信息系统的保密管理质量。
信息安全与保密已经与现代政治、经济以及文化, 甚至国防和军队都产生了紧密联系。在某些时候, 其已经成为了国家安全与利益的重要影响因素。目前, 我国政府对信息安全以及保密工作给予了高度重视, 积极采取各类有效措施, 并取得了显著的成效。然而, 在实际的信息保密管理工作中, 仍存在一定的问题有待进一步解决。
信息系统保密管理中存在的问题
1.信息泄露问题
随着网络技术的普及, 各类网络信息技术人才层出不穷, 其中, 不乏一些负面“人才”, 例如:网络黑客等。这些人数量的不断增多, 使得计算机病毒的种类和数量大量增加, 进而对计算机信息系统造成了严重的威胁。2013年, 仅三月份, 我国境内就有大约150万的IP地址相对应的主机遭到了木马病毒的入侵, 以至于这些计算机信息系统损失严重, 很多单位或个人受到了严重的经济损失。
2.核心网络 (或内网) 泄密途径呈现出多样化
目前, 在国内的很多涉密机构, 存在大量的管理漏洞, 以至于部分内部人员借机对核心网络进行破坏, 或者窃取核心信息, 从而造成机构的重大损失。在信息泄密过程中, 其泄密途径的种类越来越多, 包括:存储、网络、打印以及端口等等。
3.“核高基”技术过分依赖进口, 信息泄露隐患明显
“核高基”技术是信息技术水平高低的重要判断依据, 其在各国信息技术较量过程中, 起到了举足轻重的影响作用。相对来讲, 欧美等国在这方面占据着明显优势。近年来, 随着我国产业结构的不断调整, 很多民营高新技术企业在核心网络交换设备的研制上, 取得了突破性进展, 成功地打破了思科产品在该领域的统治地位。然而, 在CPU等方面, 仍然处于美国公司独霸状态。操作系统上, Windows的市场份额占到了97%, 而在服务器领域, Unix则是具有绝对优势。
在这些欧美“核高基”技术背后, 很可能埋藏着“定时炸弹”, 例如:在网络交换设备的研发过程中, 其完全有能力为网络入侵设计出硬件预留设备级漏洞, 也可以采取静默形式将某些特定信息传递出去, 这类问题在应用软件级方面仍可实现。
4.工业控制系统存在的安全问题
随着工业控制技术的不断发展, 其涉及的漏洞级别也在不断提升。部分漏洞已经直接威胁到了国家的核心领域, 严重地影响到关键行业的安全运营。2012年, 我国信息安全漏洞库统计调查得出, 该年中发生的、与工业控制系统相关的漏洞数达到了185个, 而且, 其中高危漏洞占到了大多数。
我国信息系统保密管理工作改革
1.更新与完善信息保密管理系统
“谁主管, 谁负责”是信息保密管理的重要执行原则。保密管理系统的核心内容就是对涉密事项以及密级进行明确, 在管理过程中, 要想真正做好这些, 不仅需要良好的管理模式, 更需要完善的组织体系。并且, 在系统构建过程中, 需要有关厂商的积极配合, 提供安全产品以及相应技术;需要用户严格遵照国家有关的保密标准;需要管理者定期检查以及评估, 不断加以改进。
2.信息系统保密管理的主要工作
(1) 加强对核心基础信息技术的攻关。近年来, 随着我国对“核高基”关键技术研发工作的高度重视, 其已经成为了国家重点科技研究项目之一。信息安全保密管理急需攻关的核心基础信息技术包括推进骨干网络核心交换设备研制、加快高速加密通信芯片量产、倡导操作系统及重要应用软件全面国产化等三大方面, 从而全面增强国家信息基础设施和重点信息资源系统的安全保障及信息安全保密管理能力。
(2) 新型网络环境下电子政务失泄密管理技术攻关。首先, 在不断积累主机级网络攻击防御技术、病毒/木马查杀技术的同时, 电子政务失泄密审查还应重视针对网页级恶意代码植入的挂马检测技术升级。其次, 信息安全保密管理工作还有必要在网络信息传输环节解决电子政务发布信息实时监控, 立足于不断调整的失泄密检查策略、通过技术手段杜绝政务公开信息失泄密事件。在该领域需重点攻关网络协议数据捕获与恢复、基于片段流的网络访问控制、高效的多模式匹配等系列关键技术。
(3) 云计算环境下的新型安全保密管理技术攻关。当前风起云涌的“云计算”概念传播与平台建设, 带领信息产业步入了继PC技术、互联网技术之后的第三次技术革新中, 信息与计算资源高度集中的“云平台”逐步投入使用。做好云计算环境下的信息安全保密管理, 一方面要研究云计算技术对现行信息安全与密码技术的影响, 进而重点攻关云端认证授权、访问控制与密级信息保护等基础关键技术。另一方面, 还要尽快建立符合我国技术现状的云端关键系统信息安全评估测评技术体系, 具体涉及云计算环境下信息系统测评标准制定、测试案例构建、检测评估工具研发等。
(4) 健全信息安全保密法规标准。全球已有50多个国家出台了与个人数据和隐私保护相关的法案, 对隐私数据收集、存储、访问、使用和销毁做出明确规定。以美国政府为例, 其先后出台《国家信息基础设施保护法案》《联邦信息安全管理法案》《2009年网络安全法案》等系列法案, 充分表明完善信息安全保密管理工作制度、健全法规的重要性。在信息安全等级/分级保护工作方面, 我国已有《中华人民共和国计算机信息系统安全保护条例》《国家信息化领导小组关于加强信息安全保障工作的意见》《中华人民共和国保守国家秘密法》等法规标准。应在此基础上进一步完善国家信息安全技术标准体系, 全面建设信息安全、保密管理人才教育基地与技术/制度培训体系, 真正实现以“军民结合、寓军于民”的方式推进信息安全保密管理工作。
结论
信息系统保密制度 第4篇
关键词:信息化;企业;保密;网络技术
1 概述
计算机技术的发展和普及,使信息化的浪潮在短时间内就席卷了全世界,企业和个人在获得信息技术带来便利的同时,也遭受了信息安全风险的威胁。企业间竞争态势日渐激烈,利用信息技术窃取核心技術、重要文件、机密信息、客户档案等泄密事件不断发生,给企业的发展带来极大的安全威胁。在信息化背景下,信息保密已经成为企业竞争力的核心部分,是企业发展过程中必须要解决的关键问题。
2 我国企业信息保密现状
2.1 国内企业信息泄漏事件频发
随着计算机技术的不断发展,信息管理对计算机的依赖程度日益加大,信息在存储、传输、使用过程中发生泄密的概率增高,给企业的信息保密工作带来难度。在企业信息泄密事件中,有的是由内部员工疏忽所造成的,有的是由利益关系造成的,这些信息泄密事件不仅给企业造成了直接的经济损失,还可能会造更多的间接损失,损失这是无法估量的。
2.2 国内企业信息泄密事件分析
企业泄密事件的发生主要是由于企业信息化建设速度加快,企业内部和外部的信息交互逐渐便利,同时也增加了企业机密信息的泄漏概率。在企业信息泄密事件中,内部原因占据绝大部分,其中有客观原因,也有人为原因。
客观原因,我国关于企业信息保密的立法工作尚不完善,小保密观已经无法适应现代企业发展的需求,建立完善的法律体系成为我国当前面临的主要任务。信息技术实施水平较低,具相关部门的调查统计,我国有近22%的企业对网络信息没有采取任何保密管理措施,这就为企业信息的泄密提供了条件。风险管理手段的落后,风险管理是通过一定的措施,将风险降低至可接受水平的管理过程,信息风险无法彻底消除,但可通过多种管理方式降低风险带来的危害,如规避、转移、接受等风险处理方式可应用到企业信息管理当中。
主观原因,企业领导、各管理层、基层员工对企业信息的保密性缺乏足够的认识。多数企业领导认为信息保密管理是IT部门工作内容,降低了对企业信息安全管理的重视程度。信息是企业竞争力的核心部分,是企业保持市场竞争优势的关键因素,只有做好企业信息安全管理,才能减少企业信息泄漏带来的不利影响,保障企业核心竞争优势的安全性。
3 企业信息保密管理体系的制定
3.1 信息保密组织结构设定
企业的信息保密组织设计,是根据企业信息管理目标,对企业的信息资源、安全技术、人力等进行合理配置的过程,以确保信息保密活动能够协调运转。在进行企业信息保密组织结构设计时,应按照有利于实现组织目标的原则、开发利用人力资源的原则和权责对等的原则对其进行科学设定,为企业的良性发展打下坚实的基础。
在建立企业信息保密组织时,应首先建立企业内部的信息保密管理组织,成立信息保密领导小组,汇集企业领导和各部门主要负责人的指挥,以形成高效的信息保密管理组织。其次,根据信息保密小组对企业的组织架构进行调整,以配合信息保密小组的工作。
3.2 安全技术的应用
虽然信息安全问题日益严重,但信息安全保护技术也在逐渐提升,一些新的安全防护技术不断被研发应用,提高了信息的安全性。企业可利用新型的安全技术防治信息泄漏,为企业的信息保密管理提供保障。对于具备保密价值的信息,可采取加密的方式进行存储或传送,防止外来不法分子的窃取或恶意破坏;利用网络管理技术,对网络安全性进行检测,及时消除网络中的安全隐患;通过反病毒措施,如对文件进行扫描、在服务器上安装防病毒模块、设置防火墙等多种形式增强信息管理系统的安全性;动态追踪技术可提醒、监督、协助计算机操作人员对文件进行实时动态管理,确保信息文件的安全性。
3.3 制度
制度是做好信息保密管理的关键,在构建企业信息保密方案时,制度建设应作为重点内容。首先,人事制度方面,应加强对人的管理,从认识调动、审批、培训教育、人事考评等各个方面进行完善;其次,做好信息资产的分级管理制度建设。再次,网络设备的管理。网络设备是信息生成、存储、传输、使用的场所,是信息使用过程中应用最为频繁的载体,建立严格的设备管理制度,防止非法人员、非法操作造成信息泄漏。最后,信息安全审计制度。信息安全审计是对信息保密事件进行检测、记录、分析,并在此基础上判断信息是否发生泄漏以及泄漏的原因、负责人等,以便对后期进行改善和处理。审计工作主要是对网络、主机、数据库进行审计。
3.4 业务流程
业务流程是企业为达到某种目标,而由不同的部门共同完成的一系列活动,活动之间不仅有时间先后顺序,还包括活动范围、职责、方式等。企业引入信息保密方案后,应对现有业务流程进行改进或调整,以配合企业信息保密方案的实施,提高企业信息的安全性。
3.5 人员教育
就当前来说,我国企业普遍存在重技术、轻管理的问题,忽视了信息保密方案实施中人的重要性。信息系统的创建者、实施者离不开人的操纵,因此人的道德素质、专业节能都对信息系统的发展和应用起着重要的决定性作用。加强人员的保密意识的培养,对于企业信息保密方案的实施具有积极意义。
4 总结
企业在竞争中越来越多的离不开信息的竞争,信息已经成为企业市场竞争中的核心力量。随着企业信息化建设的速度越来越快,信息泄漏事件不断发生,给企业的发展带来极大的损失,因此做好企业信息保密方案,加强企业机密信息的安全管理工作,对于企业的长远发展具有十分重要的意义。
参考文献:
[1]梁勇超.大型企业信息系统安全问题研究及认证功能的开发与应用[D].北京邮电大学,2013.
[2]韩露.企业保密管理现状分析及对策分析[J].现代企业文化,2015(2):35-35.
计算机信息系统保密管理制度 第5篇
一、计算机信息系统保密管理
1、涉密计算机系统保密建设方案应经过市委保密委员会的审查批准,未经审批不得投入运行。
2、进入涉密计算机系统应进行身份鉴别,要按要求设置并定期更新涉密系统口令。
3、涉密计算机系统应当与国际互联网物理隔离。严禁以任何方式将涉密计算机联入国际互联网或其他非涉密计算机系统。
4、涉密计算机系统工作场所应作为保密要害部位进行管理。
5、机关工作人员不得越权访问涉密信息。
6、涉密计算机系统安全保密管理员、密钥管理员和系统管理员应由不同人员担任,并且职责明确。
二、涉密计算机使有管理
1、承担涉密事项处理的计算机应专机专用,专人管理,严 1 格控制,不得他人使用。
2、禁止使用涉密计算机上国际互联网或其它非涉密信息系统。
3、严格一机两用操作程序,未安装物理隔离卡的涉密计算机严禁连接国际互联网或其它非涉密信息系统。
4、涉密计算机系统的软件配置情况及本身有涉密内容的各种应用软件,不得进行外借和拷贝。
5、未经许可,任何私人的光盘、软盘、U盘不得在涉密计算机机设备上使用;涉密计算机必需安装防毒软件并定期升级。
三、笔记本电脑使用管理
1、涉密笔记本电脑由办公室统一管理,使用时必须履行登记手续。
2、涉密笔记本电脑严禁安装无线网卡等无线设备,严禁联接国际互联网。
3、涉密笔记本电脑限委机关工作人员使用,禁止将涉密笔记本电脑借与他人。
4、涉密笔记本电脑中的涉密信息不得存入硬盘,要存入软盘、移动硬盘、U盘等移动存储介质,必须定期清理,与涉密笔记本电脑分离保管。
5、不准携带储涉密信息的笔记本电脑出国或去公共场所,确因工作需要携带的,必须办理相关审批手续。
四、移动存储介质使用管理
1、涉密存储介质由办公室统一管理,使用时必须履行登记手续。
2、涉密存储介质应按存储信息的最高密级标注密级,并按相同密级的秘密载体管理。
3、禁止将涉密存储介质接入非涉密计算机使用。
4、不得将涉密存储价质带出办公场所,如因工作需要必须带出的,需履行相应的审批和登记手续。
5、个人使用的U盘等移动存储介质,不得存储涉密信息,因工作需要必须使用的,使用后要及时消除密信息。
五、数码复钱机、多功能一体机使用管理
1、数码复印机、多功能一体机必须指定专人使用,其他任何人未经许可,不得使用。
2、处理涉密信息的数码复印机、多功能一体机不得连接普通电话线,不得与委局域网连接。
3、复制涉密文件、资料、图纸等必须严格履行审批手续,复制件必须按密件处理,不得降低密级使用。
4、处理涉密信息完毕后,必须立即销毁存储的涉密信息。
六、国际互联网上发布信息保密制度
1、在国际互联网上发布信息必须由办公室统一管理,指定专人负责操作,其它科室和个人不得擅自在互联网上发布涉及工作内容的任何信息。
2、在国际互联网上发布涉及工作内容的信息必须履行审批手续,必须由市建设口保密领导小组审查后,交一把手书记签批手方可发布。
3、严禁将任何涉密文件、信息等发布到国际互联网上。
信息系统保密制度 第6篇
文件发放范围:部门领导层、所有部门
1.9信息中心须不断了解业内先进计算机系统保密技术,通过配备必要的技术检查监管系统,不断实施改进我行计算机系统安全环境。
2.计算机涉密信息的来源、日常存储、传送及销毁。2.1计算机涉密信息的来源。
2.1.1涉密信息进入计算机系统方式包括文档录入、移动存储设备拷贝存入、网络拷贝存入、现场仪器仪表自动采集、手工录入信息系统等等。2.2 计算机涉密信息的存储。
2.2.1 各部门针对本部门各个涉密岗位工作特点,在本制度的规定的原则和条款基础上,制定本部门每种计算机涉密信息存储详细规定。各部门的规定须遵循存储权限清晰(要求控制在涉密人员范围内),方式明确(如硬盘存储,光盘存储等)不得随意拷贝存储、便于工作的原则。
2.2.2涉密文档文件(包括文字文档、影音文件、图片照片文件、压缩文件、动画演示文件等一切以文件方式存储的信息)须由本部门信息安全员定期统一刻录或打印,送交档案室归档存储。2.2.3 涉密电子文档文件在归档前,操作人员须将其加密保存,不得交与未授权人员查阅处理。2.2.4 涉密电子文档文件操作人员须每周将定稿文档提交部门信息安全员归档保存,由本部门信息安全员定期交档案室归档。
2.2.5计算机涉密信息中所有涉密文档文件须加密保存,密码复杂度须符合字母加数字加特殊字符形式,长度最少六位。
2.2.6涉密信息系统数据库或裸设备等应用系统后台数据须由计算机中心系统管理人员备份存储,并定期刻录归档,其它任何人不得随意转出数据库系统数据。2.2.7 移动存储介质未经审批不得在部门主机上使用。
2.2.8 涉密信息只能由本部门信息安全员按归档需要统一刻录归档,其他人员不得刻录或以任何方式拷贝储存。
2.3 计算机涉密信息的传送。
2.3.1部门内部流转:各部门须为每种涉密信息流转制定严格的流转流程并培训,以保证计算机涉密信息严格控制在工作需要的涉密工作人员范围内流转。
2.3.2 涉密信息外发:各部门须对本部门每种涉密信息制定严格的涉密信息外发审批流程,须经至少公司级领导审批通过方可外发。核心机密和重要机密需要外发的,须经公司总经理审批通过。2.3.3 涉密信息外发时,须与接收部门或个人约定保密协议,电子文档外发须留有屏幕截图等技术手段留下存根,移动存储介质或纸质文件等介质外发须有对方签字的存根或其它可供查证的存根,以便日后查证。
2.3.4 计算机涉密信息打印、复印、扫描须经审批。且打印人员要严格按照审批的打印、复印份数,不得留有额外副本。过程由信息安全员监督。
2.3.5 计算机涉密信息打印件须控制涉密人员范围内流转。若打印件需外发,须进行审批通过。2.3.6 各部门信息安全员负责涉密信息存储介质的管理,外来存储介质不得在公司计算机上使用。用于统一归档的存储介质(如移动硬盘、光盘、纸质打印复印件等)不得交与无浏览权限的人员查
部门负责人或公司授权人员批准。
5.2.3存有涉密信息的存储介质不得转借他人,不得带出工作区,下班后存放在本部门指定的柜中。5.2.4需归档的涉密存储介质及时归档。
5.2.5各部门负责管理其使用的各类涉密存储介质,应当根据有关规定视同纸制文件,按相应文件进行分级管理,严格执行借阅、使用、保管及销毁制度。
5.2.6各种存储介质,未经允许或者未经管理员注册的计算机信息媒体或载体,禁止私自携带离开公司。在公司内计算机上使用移动存储介质必须向部门信息安全员借用专用的内网授权USB存储设备,信息安全员须进行详细的登记和使用记录,包括借用人、使用用途与使用时间等。
5.2.7公司因一些原因而暂时不用的电子文档、电子数据应由使用部门统一汇总,形成较固定的存储形式(如刻录成DVD),由使用部门封存后交公司档案室贴封保存,启用需经公司领导签字同意。这些电子文档、电子数据在原计算机中删除。5.3笔记本电脑使用
5.3.1、公司笔记本电脑公司公用、部门级使用、个人使用。
5.3.2、对于个人使用的笔记本电脑由本人负责管理,明确“谁使用,谁负责”的原则,做好密笔记本电脑的保密管理工作,防止笔记本电脑失控或丢失后被破译。对于经常携带外出的笔记本电脑要采取保密措施。
5.3.3、公用笔记本电脑中的保密信息必须在使用后立刻清理。
5.3.4、部门负责人对本部门笔记本电脑的型号、配置、密级、责任人、使用人、使用情况、去向等要清楚。
5.3.5、严禁擅自将存储有公司保密信息的笔记本电脑带出办公场所。确因工作需要,必须携带时,需经主管领导审批。
5.3.6、部门级笔记本电脑不得擅自借用,由于工作需要借用要经部门负责人批准,兼职信息安全员登记、备案,并对涉密信息进行处理。5.4信息系统的和自动化控制系统维护与报废
5.4.1计算机等信息系统出现故障后应填写故障申请,由IT维护人员负责,严谨员工私自开启计算机机箱。
5.4.2禁止员工使用他人的计算机。公用计算机应指定专人管理,使用者应及时删除相关信息。5.4.3存有公司重要技术文档或经营管理文档的电脑和服务器应指定专人管理。
5.4.4计算机使用人发生变更,应由资产管理部门提出申请,计算机中心对硬盘进行格式化和重装系统,计算机报废统一由计算机中心对硬盘进行低级格式化,以上操作应作记录并经双人复核。5.4.5凡需外送修理的涉密设备,必须经主管领导批准,并将涉密信息进行不可恢复性删除处理后方可实施。
5.4.6涉密计算机的报废交主管领导监督专人负责定点销毁, 外卖时确保所有数据已经不可恢复,应有记录并经双人复核。6网络连接和网络安全
7.2.5任何个人不得私自发布计算机病毒疫情;
7.2.6严禁员工编写、收集、编译、传播、运行计算机病毒、黑客软件;
信息系统保密制度 第7篇
为进一步加强我局计算机信息系统安全和保密管理,保障计算机信息系统和数据的安全,特制定本制度。
第一条 严格落实计算机信息系统安全和保密管理工作责任制,各部门负责人为信息安全系统第一责任人。按照“谁主管谁负责、谁运行谁负责、谁公开谁负责”的原则,各处室在其职责范围内,负责本单位计算机信息系统安全和保密管理。
第二条 办公室是全局计算机信息系统安全和保密管理的职能部门,信息中心具体负责技术保障工作。
第三条 局域网分为内网、外网。内网运行各类办公软件,专用于公文的处理和交换,属涉密网;外网专用于各处室和个人浏览国际互联网,属非涉密网。上内网的计算机不得再上外网,涉及国家秘密的信息应当在制定的涉密信息系统中处理。
第四条 购置计算机及相关设备须按照保密局指定的有关参数指标,信息中心将新购置的计算机及相关设备的有关信息参数登记备案后,经办公室验收后,方可提供上网IP地接入机关局域网。
第五条 计算机的使用管理应符合下列要求:
(一)严禁同一计算机既上互联网又处理涉密信息;
(二)信息中心要建立完整的办公计算机及网络设备技术档案,定期对计算机及软件安装情况进行检查和登记备案;
(三)设置开机口令,长度不得少于8个字符,并定期更换,防止口令被盗;
(四)安装正版防病毒等安全防护软件,并及时进行升级,及时更新操作系统补丁程序;
(五)未经信息中心认可,机关内所有办公计算机不得修改上网IP地址、网关、DNS服务器、子网掩码等设置;
(六)严禁使用含有无线网卡、无线鼠标、无线键盘等具有无线互联功能的设备处理涉密信息;
(七)严禁将办公计算机带到与工作无关的场所;确因工作需要需携带有涉密信息的手提电脑外出的,必须确保涉密信息安全。
第六条 涉密移动存储设备的使用管理应符合下列要求:
(一)分别由各处室兼职保密员负责登记,做到专人专用专管,并将登记情况报综合处备案;
(二)严禁涉密移动存储设备在内、外网之间交叉使用;
(三)移动存储设备在接入本部门计算机信息系统之前,应查杀病毒、木马等恶意代码;
(四)鼓励采用密码技术等对移动存储设备中的信息进行保护;
(五)严禁将涉密存储设备带到与工作无关的场所。
第七条 数据复制操作管理应符合下列要求:
(一)将互联网上的信息复制到内网时,应采取严格的技术防护措施,查杀病毒、木马等恶意代码,严防病毒等传播;
(二)使用移动存储设备从内网向外网复制数据时,应当采取严格的保密措施,防止泄密;
(三)复制和传递密级电子文档,应当严格按照复制和传递同等密级纸质文件的有关规定办理。不得利用电子邮件传递、转发或抄送涉密信息;
(四)各处室因工作需要向外网公开内部信息资料时,必须由该处室负责人审核同意,交由信息中心统一发布。
第八条 办公计算机及相关设备由信息中心负责维护,按保密要求实行定点维修。需外
请维修的,要派专人全程监督;需外送维修的,应由信息中心拆除信息存储部件,以防止存储资料泄密。
第九条 办公计算机及相关设备报废时,应由信息中心拆除存储部件,然后交办公室核定,由信息中心按有关要求统一销毁,同时作好备案登记。严禁各单位自行处理报废计算机。
第十条 办公室和信息中心要加强机关计算机信息系统安全和保密管理情况的监督,定期进行检查,提高泄密隐患发现能力和泄密事件应急处置能力。其它各处室要密切配合,共同做好计算机信息系统安全和保密工作。
第十一条 机关工作人员离岗离职,有关处室应即时取消其计算机涉密信息系统访问授权,收回计算机、移动存储设备等相关物品。
第十二条 各处室和个人应当接受并配合保密监督检查,协助核查有关泄密行为。对违反本规定的有关人员应给予批评教育,并责令限期整改;造成泄密事件的,由有关部门根据国家相关保密法律法规进行查处,并追究相关责任人的责任。
加强计算机信息系统保密建设综述 第8篇
1、国家事务的重大决策中的秘密事项;
2、国防建设和武装力量活动中的秘密事项;
3、外交和外事活动中的秘密事项以及对外承担保密义务的事项;
4、国民经济和社会发展中的秘密事项;
5、科学技术中的秘密事项;
6、维护国家安全活动和追查刑事犯罪中的秘密事项;
7、其他经国家保密工作部门确定应当保守的国家秘密事项。
根据秘密泄露所造成的损害后果,我们将国家秘密的密级分为“绝密”、“机密”、“秘密”三个等级。绝密是最重要的国家秘密,泄露会使国家的安全和利益遭受特别严重的损害;机密;机密是重要的国家秘密,泄露会使国家的安全和利益遭受严重的损害;秘密是一般的国家秘密,泄露会使国家的安全和利益遭受损害。
具体的国家秘密是通过各种载体呈现的,其形式多种多样,主要有:以文字、图形、符号记录国家秘密信息的纸介质载体;以磁性物质记录国家秘密信息的载体;以电、光信号记录传输国家秘密信息的载体;含有国家秘密信息的设备、仪器、产品等载体。
随着科学技术的发展,计算机及网络技术越来越多地运用于国家秘密信息的传输、处理和存储,国家秘密载体的形式也发生了很大的变化。计算机信息系统就体现了磁性物质载体和电、光信号记录传输信息载体这两类载体的综合。如何有效防止计算机信息系统的泄密,也成为保密工作一项重要的综合性任务。
一、技术保障手段
计算机信息系统的保密主要涉及以下两方面:计算机及计算机系统保密和计算机网络安全与保密。
1、计算机及计算机系统保密
计算机及计算机系统的保密主要是指存放于磁盘上的文件、数据库等数据传输和存储的保密措施,应用于这方面的技术主要有访问控制、数据加密等。加密系统有数据加/解密卡、数据加密机、数据采编加密系统、抗辐射干扰器、电子印章系统等。
(1)访问控制
访问控制是指防止对计算机及计算机系统非授权访问和存取。对计算机及计算机系统访问进行控制主要采用两种方式实现:一是限制访问系统的人员;二是限制进入系统的用户所能做的操作。前一种主要通过用户标识与验证来实现,后一种则依靠存取控制来实现。
(1)用户标识与验证。
用户标识与验证是访问控制的基础,是对用户身份的合法性验证。对于所有涉密信息系统,必须采用利用口令字(又称通行字)的比较对用户进行身份识别与验证的方法。口令字应实行加密传输,口令文件应加密存储。应视涉密信息系统的安全保密需求和条件,至少采用以下之一方法进行识别与验证:
a.基于人的物理特征的识别。包括:签名识别法、指纹识别法、语音识别法。
b.基于用户所拥有特殊安全物品的识别(即:标志凭证识别)。包括:智能IC卡识别法、磁条卡识别法。
(2)存取控制。
存取控制是对所有的直接存取活动通过授权进行控制以保证计算机系统安全保密机制,是对处理状态下的信息进行保护。涉密计算机系统必须采取以下之一进行存取控制:
a.隔离技术法。
隔离技术即在电子数据处理成分的周围建立屏障,以便在该环境中实施存取规则。隔离技术的主要实现方式包括:物理隔离方式,各过程使用不同的物理目标,比如用不同的打印机输出不同安全级别的数据;时间隔离方式,具有不同安全性要求的处理在不同的时间被执行;逻辑隔离方式,操作系统限制程序的访问,不允许程序访问其授权区域之外的目标;密码技术隔离方式,对数据处理及计算活动进行加密,使其它用户访问不能理解。
b.限制权限法。
限制特权以便有效地限制进入系统的用户所进行的操作,具体措施包括:对用户进行分类,把所有拥有指定安全密级授权的用户分在相同类别;正确设置目录的访问控制权限;正确设置文件的访问控制权限;放在临时目录或通信缓冲区的文件要加密,并尽快移走。
(3)系统安全监控。
涉密系统必须建立一套安全监控系统,全面监控系统的活动,并随时检查系统的使用情况,确定和堵塞安全及保密的漏洞。应经常了解和检查监控当前正在进行的进程,正在登录的用户情况;检查文件的所有者、授权、修改日期情况和文件的特定访问控制属性;检查系统命令安全配置文件、口令文件、核心启动运行文件、任何可执行文件的修改情况;检查用户登录的历史记录和超级用户登录的记录。
(2)数据加密
数据加密是指将计算机及计算机系统中数据(即信息的表达形式)转换成不可读的形式,并在必要时再转换回来(即解密)以保证只有获授权者才能读取该数据。它包括文件信息和数据库数据的加密以及存放保密数据的介质的加密。
(1)文件信息的加密。
文件加密主要是防止非法窃取或调用。文件加密一般应采用两种方式:文件加密,即对文件的代码或数据本身进行的数据源加密;文件名加密,也就是利用文件名屏幕显示形式的变换,使得实际注册的文件名与显示的不相符或者根本不显示,造成无法访问文件。
(2)数据库数据的安全与加密。
数据库安全和保密主要通过对数据库系统的管理和对数据库数据的加密来实现。主要采用的方法有:用户身份的识别和确认;访问操作的鉴别和控制;审计和跟踪;数据库外加密,它可由操作系统来完成。比如,采用文件加密的方法,把数据形成存储块送入数据库;数据库内加密,也就是对数据进行加密的单位可以是数据元素、域或记录。因此,按数据库内的加密对象划分,可分为数据元素加密方式、域(属性)加密方式和记录加密方式。
(3)磁盘加密
磁盘加密在于防拷贝。磁盘加密的主要方法包括:固化部分程序、激光穿孔加密、掩膜加密和芯片加密等,还可利用修改磁盘参数表(如:扇区间隙、空闲的高磁道)来实现磁盘的加密。
(4)微机的安全保密
使用微机应遵循的基本安全保密措施有:使用开机热启动密码;使用带口令的屏幕保护;限制文件共享功能的使用,如需使用,必须设置访问控制权限和密码;对重要文件设置读写口令;离开机器前,确保已关机或进入屏幕保护状态;存取信息时必须有身份的识别和验证,如电子印章等。
由于Windows在口令管理、系统访问上存在较多的安全问题,因此在操作系统的安全使用中必须采取以下措施:
(1)严格控制Administrator组用户、备份操作员、服务器操作员等帐户的使用。
(2)在防火墙上,截止所有135至142上的TCP和UDP端口。另外,在内部路由器上,设置ACL,在各个独立子网之间,截止从端口135到142的连接。
(3)安装最新的病毒防护软件。
(5)办公自动化系统和管理信息系统软件的安全保密
办公自动化系统和管理信息系统应采用下列安全保密措施:
(1)对数据设置级别和使用权限。
(2)对用户进行分类。
(3)规定各类用户对应用系统功能的使用范围。
(4)根据密级差别,对不同级别数据,规定可以访问的用户。
(5)根据实际工作流程确定对数据和系统功能的使用权限。
(6)对涉密信息必须进行标密。
2、计算机网络安全与保密
计算机网络安全保密主要是指计算机网络抵御来自外界侵袭或内部控制等应采取的安全保密措施。由于要求涉密计算机网络系统必须在物理上与外界隔离。所以这里重点说明网络内部的安全保密控制和防范机制。
网络内部安全保密是指应采取防范措施以控制外界远程用户或网络对涉密网络内部数据存取。涉密网络内部的网络安全往往基于传统的网络安全,主要是边界防护设备、病毒防护以及内网桌面监控管理等措施。
随着内网信息系统的深入应用,分散在各个内网主机和服务器上的有价值的信息越来越多,在提高工作效率的同时,也为保密工作提出了新的挑战,总体来说,保密需求主要体现在以下几个方面:
(1)分域分级保护:
在内部系统网络中,由于业务和职务分工的不同,使得内部网络中的计算机存在不同的密级,因此需要对内部网络的计算机进一步细分,依据国家提出的信息等级保护条例,分域分级管理。将办公环境内的计算机按照行政区域、级别和部门的不同逻辑上划分成三个不同的虚拟安全域(VCN),还可以进一步将网络进行细分。同一个VCN内的计算机可以相互访问,但是非同一个VCN的计算机则不能相互访问。能够对办公环境内部重要应用服务器群的访问进行控制和授权,只有授权的用户才能访问相应的应用服务器。
(2)防止网络数据被窃听:
通常网络密码机只解决网络之间主干道的安全传输问题,而局域网内部计算机和计算机之间以明文的形式传递数据,因此数据很容易遭受到内部用户的窃听分析。
应对措施是对敏感数据进行生命周期全程管理,建立统一管理的数据使用和交换的安全保密环境,数据的存储和传输必须是经过加密处理。
(3)防止密码设备的丢失泄密:
在工作人员出差时,经常携带存有保密数据的移动设备,因此对这些移动设备必须提供有效的保护手段,防止因为设备丢失或者被盗造成信息泄密。
对拷贝数据的存储介质进行授权管理,只有注册授权的存储介质才可以在相关的网络内部进行数据拷贝。如果数据需要携带到外场或者其它离所的地方,为了防止因为设备丢失导致数据泄密,可以采用基于指纹认证或者PIN码认证的加密U盘进行数据存储,确保不会因为设备意外丢失导致泄密事件的发生。
(4)防止涉密信息的外泄:
虽然内网和外网实现了物理隔离,但是网络边界存在多种威胁,这些威胁可以是基于网络(拨号、ADSL和网络代理等)的非法外联和非法接入,也可以是基于终端计算机输入输出设备的信息泄漏。
应对措施为通过对各主机的网络行为进行监控,阻止办公环境内部计算机通过代理服务器、电话拨号、ADSL宽带、无线网络或者其他方式非法接入外网。采用IP包重构技术,办公环境内部计算机不能通过任何方式外联到不安全的网络和计算机上。
(5)访问控制的风险:
合法用户在没有得到许可的情况下访问了他本不该访问的资源。一般来说,为了工作方便,网络内部可能会存在许多共享网络资源的应用,比如文件共享、打印机共享等。由此就可能存在着:因为缺少必要的访问控制策略,内部人员有意、无意把硬盘中重要信息目录共享,长期暴露在网络邻居上,可能被外部人员轻易偷取或被内部其他员工窃取并传播出去造成泄密。另外在应用软件系统中,一般来说,信息总是对特定用户开放,而对其他用户要求保密。用户被允许正常访问信息时,他通过一些手段越权访问了别人不允许他访问的信息,就会造成他人的信息泄密。
采取的措施是对核心业务子网各个计算机之间的通信需要经过加密处理,并且每两台计算机之间加密的密钥都不相同,从而确保通信的安全,防止非法窃听行为的发生。对重要文件需要进行文件加密传输,以确保其安全性。
二、管理制度的约束
管理是安全保密的有效保障,通过对应用人员、系统设备、系统软件和所处理的信息及介质的制度化管理来保证用户的利益和安全。这主要是通过各单位机房管理制度或守则,计算机系统维护管理制度和介质管理制度等实现,各单位必须根据本单位的实际情况,制定和完善各项管理制度。
三、道德规范及宣传教育
加强职业道德的教育。各单位领导必须以身作则,带头遵守各项法律规章制度,定期组织干部职工进行职业道德和安全保密教育,进行普法、遵法的宣传教育,使每个干部职工都能自觉地遵守各项管理制度。
信息系统保密制度 第9篇
关键词:企业;信息系统;保密管理;存在的问题;解决方法
一、计算机信息系统保密管理工作存在的问题
1.员工保密责任意识、保密知识和教育薄弱。
2.保密专职人员配备少,保密团队不够强大。
3.各项保密制度和措施的执行有待在实践中检验,保密专项检查还须不断加强。
4.工作及学习训练过程中存在泄密可能。
5.保密工作团队上的问题。
二、对保密管理工作存在问题的解决方法
对保密工作要有的放矢地开展,堵塞泄密途径。可成立保密管理领导小组,负责公司的保密工作,并制订保密管理制度,由保密领导小组监督制度执行情况,同时,制订如下措施:
1.设置涉密项目管理区域,凡是用户项目涉及秘密,都经由专门安排的涉密负责人进行处理,其他人员不得接触此类项目。
2.涉密项目管理区配备专门的资料存档柜,钥匙交由保密领导小组管理,涉密资料查阅必须经过批准,不得外借、复制。
3.涉密项目使用固定的涉密计算机及打印机,涉密计算机不能上网,不得带离涉密工作区域。
4.涉密岗位上的工作人员,在一定时间一定范围内知悉的保密事项,不能向外泄露,不得对外从事技术服务。必须妥善保管各种保密资料,不得丢失泄密。
5.涉密员工离职,应将自己保管的保密资料上交,不得带走或留存。
6.为进一步贯彻落实涉密岗位责任制度,与涉密员工签定《保密协议》。
7.涉密办公区计算机系统由专人管理,并配备好防范设施,涉密文件的打印需用专用磁盘由专人负责。
8.建立健全涉密载体管理制度,对涉密资料做好真实详细的记录,存档保管。
9.建立系统访问控制。
10.涉密系统必须建立一套安全监控系统,全面监控系统的活动,并随时检查系统的使用情况。涉密系统应建立完善的审计系统和日志管理系统,利用日志和审计功能对系统进行安全监控。
11.在计算机网络安全保密方面,要求计算机网络抵御来自外界侵袭等应采取的安全保密措施。必须采用国产的设备来实现网络的安全保密。目前主要通过采用安全防火墙系统、安全代理服务器、安全加密网关等来实现。
12.对于计算机信息传输的保密,要求采取不易被截取的通信方法(如光纤通信),并对传输数据进行数据流加密,使非法攻击者无法读出所截获的传输数据。
13.应制订严格的保密制度。通过对应用人员、系统设备、系统软件和所处理的信息及介质的制度化管理来保证用户的利益和安全。这主要是通过各单位机房管理制度或守则,计算机系统维护管理制度和介质管理制度等实现,各单位必须根据本单位的实际情况,制订和完善各项管理制度。
三、进一步加强保密工作的措施
根据近年来的形式,大力开展保密风险评估,作为企业开展保密工作的前提,能为单位领导准确把握本单位保密工作所面临的风险,进行重点防控提供科学依据。
1.进一步加强保密“软件建设”。
保密条件建设分为“软件建设”和“硬件建设”两大类,其中“软件建设”是灵魂,“硬件建设”是基础。加强保密“软件建设”,就是要从根本上进一步强化人员的保密意识,建议有关部门领导要加强教育,统一思想,通过认真学习《保密法》和《保密法实施条例》,切实开展好保密工作的教育与宣传。及时传达贯彻上级保密工作会议精神及保密局文件精神,按照工作要求落实措施,对重点涉密人员进行经常性的保密教育。通过宣传教育,使所属人员的保密意识明显提高,政治责任感进一步增强。同时,要结合本单位保密工作面临的实际情况,进一步完善本公司《保密制度》,严肃保密工作纪律,发生失密、泄密,视情节轻重、危害大小,依据国家有关保密规定给予批评教育或处分。将保密工作列入重要议事日程,确立“保密工作无小事”的思想理念,从思想教育入手,将保密工作摆在突出位置。努力做到领导不唱“独角戏”,全员上阵抓保密,及时纠正“关好门、锁好柜、封住嘴、管好件”就能万事大吉的认识偏差,形成人人参与保密的氛围,努力为本单位的安全保密工作筑牢思想上的“防火墙”。
2.进一步加强信息设备的安全建设。
随着信息技术的发展,各种高技术信息设备不断涌现,它们在为员工日常工作、学习、训练提供便利的同时,也给保密工作带来了更多挑战。为此,要进一步加强信息设备的安全建设,对一些存在较大安全隐患的设备坚决不能引进使用,使用时要制订严格的使用规则。另外,建议对本单位的所有办公计算机、移动存储介质、打印机、复印机、传真机、扫描仪等设备进行了一次全面、彻底的保密清查,将所有设备登记入册,进一步明确使用范围和责任人,同时对这些信息设备要进行不定时检查,将有隐患的设备及时处理。同时,要制订必要的防范措施,对网站要进行全天候监控,严防病毒攻击与木马植入,涉密计算机软件要安装先进软件,安装防辐射、即时杀毒、备份软件,涉密信息设备要有防电磁辐射、防内置、防失控、防失窃功能。多管齐下、全方位防护,为本单位信息设备的安全使用开辟一条“绿色通道”。
3.进一步完善保密工作机制。
俗话说:“无规矩不成方圆。”同样,企业保密工作也需要完善的保密机制来保障。近年来,随着保密形势的日益严峻,对保密机制提出了更高的要求。所以,建议单位保密部门领导要加强制度建设,始终把落实规章制度作为抓好保密工作的关键环节,认真贯彻落实《保密法》及有关保密工作的规定,从文件的登记、收发、传递、归档、销毁等各个环节都严格按照规范流程,落实管理规定,做到了按制度管人管事。
4.在劳动合同中约定员工保密义务和竞业限制。根据《劳动合同法》第23条、第24条的规定,用人单位与劳动者可以在劳动合同中约定保守用人单位的商业秘密和与知识产权相关的保密事项。竞业限制的人员限于用人单位的高级管理人员、高级技术人员和其他负有保密义务的人员。竞业限制的范围、地域、期限由用人单位与劳动者约定,竞业限制的约定不得违反法律、法规的规定。
面对日益严峻的保密形势,保密风险的控制更为困难。所以,建议保密部门领导要建立良好的保密秩序,有效遏制泄密问题的发生;要努力做到领导不唱“独角戏”,全员上阵抓保密,保密工作人人抓,常抓不懈的良好局面;要建立长效机制,有章可循,真查实改。公司领导要带头做好保密工作,齐抓共管、综合治理,要适应新要求、采取新措施,充分认识到新形势下做好保密工作的重要性和紧迫性,进一步做好各项保密工作,努力促进本公司的保密工作再上一个新台阶。
四、总结
【信息系统保密制度】相关文章:
网络信息安全保密系统工作制度09-04
保密管理信息系统06-15
信息系统安全与保密07-03
医院信息系统制度08-05
信息系统报告制度08-08
医院信息系统值班制度05-30
信息系统开发管理制度05-10
信息系统建设管理制度05-10
信息系统审计工作制度05-10
信息系统权限管理制度05-10