吉林农业大学信息系统和信息设备使用保密管理制度
第一条 为规范和加强信息系统和信息设备使用保密管理,依据《保密法》《保密法实施条例》及《信息系统和信息设备使用保密管理规定》(国保发[2009]3号),结合本单位实际,制定本制度。
第二条 本规定所称信息系统是指由计算机及其相关和配套设备、设施构成的,按照一定的应用目标和规则存储、处理、传输国家秘密的系统或者网络。
第三条 涉密信息系统按照涉密程度分为绝密级、机密级、秘密级。应当根据涉密信息系统存储、处理信息的最高密级确定系统的密级,按照分级保护要求采取相应的安全保密防护措施。
第四条 涉密网络的规划、设计、建设、运行、维护应选择具有涉密资质的单位承担,并与相关单位和人员签订保密承诺书。
第五条 涉密信息系统存储、处理和传输的信息涉及国家秘密和其他敏感信息,应严格控制知悉范围,并严格控制使用权限。
第六条 涉密信息系统的安全保密设施、设备,必须符合国家保密标准。
第七条 涉密信息系统必须满足安全保密要求,符合国家保密标准要求,投入使用前必须经安全保密检测评估和审查批准。
第八条 保密、信息化等机构,对拟建设和使用的各类网络进行核查分类,报保密委员会(领导小组)审定。审定为涉密网络的,填写涉密网络基本情况表,报同级保密行政管理部门审批。
第九条 涉密信息系统要按照国家保密规定和标准要求,采取身份鉴别、访问控制、安全审计、边界安全防护和信息流转控制等措施。
第十条 涉密信息系统应当由国家保密行政管理部门设立或者授权的保密测评机构进行检测评估,并经市(设区的市、自治州)级以上保密行政管理部门审查合格,方可投入使用。
第十一条 应当加强涉密信息系统的运行使用管理,指定专门机构或者人员负责运行维护、安全保密管理和安全审计,定期开展安全保密检查和风险评估。涉密信息系统的密级、主要业务应用、使用范围和使用环境等发生变化或者涉密信息系统不再使用的,应当按照国家保密规定及时向保密行政管理部门报告,并采取相应措施。
第十二条 在涉密信息系统投入运行后,加强日常保密管理,明确安全保密管理策略,指定安全保密管理机构和安全保密管理人员,严格落实保密管理制度,同时,定期对系统安全保密状况、安全保密制度落实情况进行自查,并接受保密行政管理部门的检查。
第十三条 涉密信息系统应当配备系统管理员、安全保密管理员和安全审计员,分别负责涉密信息系统运行维护、安全保密管理、安全审计工作。系统管理员、安全保密管理员和安全审计员应当经过保密行政管理部门的培训,持证上岗。
第十四条 定期开展涉密信息系统安全保密检查和风险评估,及时发现和消除泄密隐患,并建立检查记录档案。
第十五条 秘密级、机密级网络至少每两年进行一次安全保密检查和风险评估;绝密级网络每年至少进行一次安全保密检查和风险评估。
第十六条 开展涉密信息系统安全保密检查和风险评估,应当组织内部人员进行(条件不允许的可以请上级机关、单位或者保密行政管理部门提供支持),严禁涉密信息系统集成资质单位、安全保密产品研制生产单位等社会企业、中介机构或者个人参与涉密信息系统检查。
第十七条 涉密信息系统发生下列变化时,应当及时向保密行政管理部门报告:
(一)系统密级发生变化;
(二)网络连接范围发生变化;
(三)系统所处物理环境或安全保密设施发生变化;
(四)系统主要应用发生变化;
(五)系统安全保密管理责任单位发生变化。
第十八条 涉密信息系统不再使用时,及时向保密行政管理部门报告,并按照保密要求对涉密信息设备、产品、涉密载体等进行处理。
第十九条 禁止将涉密计算机、涉密存储设备接入互联网及其他公共信息网络。涉密网络与国际互联网和其他公共信息网络应当实行物理隔离。采取有效措施,防止涉密网络通过拨号、有线连接、无线连接等方式,违规接入互联网及其他公共信息网络。
第二十条 不在非涉密网络(含非涉密工作内网),互联网门户网站,互联网邮箱,即时通信工具及境内外服务商提供的公共云服务平台等存储、处理、传输国家秘密信息。
第二十一条 涉密计算机采取符合国家保密标准的身份鉴别、访问授权、违规外联监控、病毒查杀、移动存储介质管控等安全保密措施,不安装使用具有无线功能的模块和外围设备。具有无线联网功能且无法拆除的信息设备禁止用作涉密信息设备。
第二十二条 涉密计算机应严格按照有关保密规定和标准设置口令。处理秘密级信息的计算机,口令长度不少于8 位,更换周期不超过1个月。处理机密级信息的计算机,应采用IC 卡或USB Key与口令相结合的方式,且口令长度不少于4 位;如仅使用口令方式,则长度不少于10 位,更换周期不超过1个星期。涉密计算机的口令设置,应采用多种字符和数字混合编制。处理绝密级信息的计算机,应采用生理特征(如指纹、虹膜)等强身份鉴别方式。
第二十三条 涉密计算机应采取有效的病毒查杀措施,及时升级更新病毒库。
第二十四条 严格非涉密计算机管理,禁止使用非涉密计算机存储、处理和传输国家秘密信息。
第二十五条 涉密计算机配备经国家保密行政管理部门批准的具备移动存储介质管控功能的保密管理专用系统,防止在涉密信息设备与非涉密信息设备之间交叉使用移动存储介质。互联网及其他公共信息网络上的数据复制到涉密网络和涉密计算机,应采取病毒查杀、单向导入等防护措施。
第二十六条 保持保密技术防护设施设备的防护性能。不得擅自卸载、修改涉密计算机和信息系统的安全保密防护软件和设备。
第二十七条 对保密技术防护设施设备定期检测、检修、维护,对已失效的保密技术防护设施设备及时报废,并更换新设施设备。
第二十八条 建立健全计算机和移动存储介质登记台账,涉密计算机和移动存储介质粘贴密级标识,明确责任人、设备编号等,台账应当准确、完备,并根据情况变化及时修改。
第二十九条 计算机和移动存储介质按照所存储、处理信息的最高密级粘贴密级标识。
第三十条 处理涉密信息的办公自动化设备禁止连接国际互联网和其他公共信息网络以及内部非涉密计算机和信息系统;禁上使用非涉密办公自动化设备以及具有无线互联功能的办公自动化设备处理涉密信息。
第三十一条 办公自动化设备保密管理要求:
(一)复印机应指定专人操作和管理,复印涉密文件、资料等应当经过审批登记并在机要室或指定的涉密复印机复印,复印涉密文件、资料过程中产生的不合格件和多余件必须及时销毁。
(二)不得使用非涉密打印机打印涉密文件、资料,涉密打印机与涉密计算机之间不得采用无线连接方式。
(三)不得随意扫描涉密文件、资料,确需扫描的应当履行审批程序,涉密文件、资料扫描件应按原件密级进行管理,不得在非涉密计算机中扫描涉密文件、资料。
(四)不得在涉密计算机与非涉密计算机之间共用打印机等办公自动化设备。
(五)办公自动化设备的维修、销毁,参照涉密载体的维修、销毁要求。
第三十二条 涉密人员使用手机应严格遵守国家有关保密规定,自觉履行保密义务,并接受有关部门的监督检查。
第三十三条 涉密人员使用普通手机,应当遵守下列保密要求:
(一)不得在通信中涉及国家秘密;
(二)不得在手机上存储、处理、传输涉及国家秘密的信息;
(三)不得连接涉密信息系统、涉密信息设备或者涉密载体;
(四)不得在手机上存储核心涉密人员的工作单位、职务、红机电话号码等敏感信息;
(五)不得在涉密公务活动中开启和使用位置服务功能;
(六)在申请手机号码、注册手机邮箱或者开通其他功能时,不得填写禁止公开的涉密单位名称和地址等信息;
(七)不得使用未经国家电信管理部门进网许可的手机;
(八)不得使用境外机构、境外人员赠送的手机;
(九)不得将手机带入保密要害部位、绝密级或者机密级会议和活动场所;
(十)不得在保密要害部门、秘密级会议和活动场所使用手机;
(十一)不得在使用涉密信息设备的场所使用手机进行视频通话、拍照、上网、录音和录像;
(十二)不得使用商用加密手机谈论以及存储、处理、传输国家秘密信息。
第三十四条 保密要害部位、绝密级或者机密级会议和活动场所等核心涉密场所,应设置显著的“禁止带入手机”标志;保密要害部门、秘密级会议和活动场所等重要涉密场所,应设置显著的“禁止使用手机”标志;使用涉密信息设备的场所等一般涉密场所,应设置“禁止使用手机进行视频通话、拍照、上网、录音和录像”标志。
第三十五条 保密要害部位、绝密级或者机密级会议和活动场所应配备手机存放柜。
第三十六条 对认真执行本规定,在信息系统和信息设备使用保密管理工作中做出显著成绩,符合下列条件之一的部门和个人,给予适当表彰和奖励:
(一)在危急情况下,保护涉密信息系统和涉密信息设备安全的;
(二)对盗窃、毁坏涉密信息系统和涉密信息设备的行为举报或者侦破有功的;
(三)发现涉密信息系统和涉密信息设备重大泄密隐患或泄密情况,及时采取措施,避免重大损失的。
第三十七条 违反本规定泄露国家秘密,情节较轻的,依法给予处分;情节严重构成犯罪的,依法追究刑事责任。
文章来源:吉林农业大学办公室
广州国保科技有限公司专注为国保密31年,集研发、生产、销售于一体,服务于国家党政军机关、企事业单位等涉密部门,是中央政府及各省市政府采购中标供应商,是党的十五大到十九大会议会务专用保密设备服务商。同时为华为、苹果、迪士尼、阿里巴巴、腾讯等众多500强企业提供高品质保密服务。旗下涉密安全产品:保密柜、手机屏蔽柜、保险柜、密码锁文件柜、档案文件柜、碎纸机等获得客户的高度认可,引领保密行业发展。想要了解更多详情,请点击官方网站:https://www.guub.cn/ 。
上一篇:《保密工作优良传统》
推荐阅读:
•《手机屏蔽柜怎么选?》
正品保证
优质服务
急速物流
售后无忧
