涉密文件管理办法

第一篇：涉密文件管理办法

涉密电子文件保密管理制度

一、涉密电子文件是指在计算机系统中生成、存储、处理的机密、秘密和内部的文件、图纸、程序、数据、声像资料等。

二、电子文件的密级按其所属项目的最高密级界定，其生成者应按密级界定要求标定其密级，并将文件存储在相应的目录下。

三、各用户需在本人的计算机系统中创建“机密级文件”、“秘密级文件”、“内部文件”三个目录，将系统中的电子文件分别存储在相应的目录中。

四、电子文件要有密级标识，电子文件的密级标识不能与文件的正文分离，一般标注于正文前面。

五、电子文件必须定期、完整、真实、准确地存储到不可更改的介质上，并集中保存，然后从计算机上彻底删除。

六、各涉密科室自用信息资料由本单位管理员定期做好备份，备份介质必须标明备份日期、备份内容以及相应密级，严格控制知悉此备份的人数，做好登记后进保密柜保存。

七、各科室要对备份电子文件进行规范的登记管理。每周做增量备份，每月做全量备份；备份可采用磁盘、光盘、移动硬盘、U盘等存储介质。

八、涉密文件和资料的备份应严加控制。未经许可严禁私自复制、转储和借阅。对存储涉密信息的磁介质应当根据有关规定确定密级及保密期限，并视同纸制文件，分密级管理，严格借阅、使用、保管及销毁制度。

九、备份文件和资料保管地点应有防火、防热、防潮、防尘、防磁、防盗设施，并进行异地备份。

第二篇：XXXX法院涉密文件保密管理规定

为贯彻落实市保密局对涉密文件资料管理工作的要求，进一步做好我院涉密文件资料管理，特制定本规定。

一、保密工作

1、保守国家秘密，确保国家安全和利益，认真学习宣传贯彻执行《保密法》。

2、印制秘密文件按照规定标明密级，规定发放范围，密级变更按照规定处理。

3、秘密文件不得随便复印，如确需复印，必须请示领导，履行审批、登记手续，并将复印件按原件要求管理。

4、严格执行保密文件，资料、档案的查借阅审批手续不得擅自扩大知密范围并只限于阅文室阅读，绝密文件应单独保管。

5、秘密文件不准通过普通邮政邮寄，不准在普通的传真机上传递。

6、严禁在亲属子女及其他无关人员面前谈论党和国家的秘密事项，不得在私人通信中涉及机密，不得在普通电话、明码电报中泄露党和国家的秘密。

7、不得向废品收购部门出售秘密文件资料。销毁秘密文件须经领导批准，并登记造册，专人护送。

8、对造成失泄露事故的单位和个人，首先追究领导责任，并追究当事人责任，同时视情节轻重给予处罚。

二、定密工作

1、本院产生的秘密文件、资料及物品，依据国家保密法规进行定密工作，指定专人负责定密工作。

2、定密工作的内容包括：确定密级;变更密级;解密;确定保密期限;密级及保密期限的标志等。

3、确定密级程序：定密人员当文件、资料起草完毕时，根据其内容依照有关《保密范围》进行对号入座，对上什么密级就确定什么密级，同时确定该密级的保密期限及标志，尔后，随文送领导一同审批。

4、单位定密人员，遇有疑难问题，自己解决不了的要及时与保密部门取得联系，以便解决疑难问题。

定密人员，要认真搞好定密工作。有密不定，造成失泄密故的要负责任，定密不准的，要及时纠正。定密工作成 绩显著的，单位要给予表彰或奖励。

三、密件管理

1、密件一律由保密人员签收，拆封、登记、清点。收文登记一定要在当日完成，及时分送有关领导和主办部门阅办，不得积压。

2、传阅密件，要严格按照规定的范围传阅，领导之间不许横传，阅办后及时收回，妥善保管。

3、借阅密件、查阅档案要经领导批准，履行借阅和登记手续。

4、密件一般只能在办公室阅办，不准外带，确因工作需要必须把密件带出时，须经主管部门批准，办理借文手续，用后及时退还。借文人不准再把密件转借他人。

5、密件要由专人保管，存放密件要有专柜、专室(阅文室)。专室的门要用铁门，窗要安装铁栏杆，并安装防窃报警装置。密件柜要用保险柜。下班时，不准将密件放在办公

桌上。发现丢失密件要及时报告，会同有关部门认真追查处理。

6、不经批准不得擅自翻印(复印)上级密件和领导内部讲话。

7、绝密件，要严格控制阅读范围，阅后立即清退，不得在个人手里过夜。阅读时不准摘抄。

8、凡到上级部门开会带回的密件、资料，必须交本院保密人员登记保管，用时办理借阅手续，用后交还保密人员，不准长期保留在个人手里。

9、不准利用工作之便私抄密件、资料，不准携带密件出入公共场所，不准在公共场所谈论密件内容，不准向废品收购部门销售密件和内部资料。

10、领导阅处密件，要做到随阅随清退，不得积压密件。

11、在清退密件及立卷归档工作结束后，要将需要销毁的密件和资料逐一登记，送保密部门统一销毁。由两人在现场监销，严禁错销、漏销。不准个人私自销毁密件和资料。

12、领导和保密人员在工作调动时，要严格履行交接手续。工作调动前必须将密件开列清单，核对无误后，双方办理签字交接手续。

四、办公自动化保密

1、目前所用的有线电话、无线电话、对讲机、无线话筒、扩音机、传真机、复印机、微机打字机、电子计算机及计算机网络等，绝大多数是不保密的。因此，严禁在无保密设施中谈论，传递、打字、复印、贮存国家秘密信息。

2、国家秘密进入办公自动化设备中，一定要有保密措施，要经领导批准方可进入。

3、无线电台、传真电报。要明电明复，密电密复，二者不得混用。

4、复印秘密文件、资料，要经制文单位批准才能复印。复印文件，视同正规文件一样保密管理。

5、存有国家秘密的磁盘、磁带及存贮介质要同密件一样管理;存放处要有三铁(铁门、铁窗、铁柜)及管理人负责。

6、不能使用本单位的通信设备与境外机构人员联系。

7、办公自动化操作人员，要严格按照机要人员的条件审查录用，并保持相对稳定。一要坚持先审后用，先培训后工作的制度，二要先经保密机关考核合格后方准上岗。

9、操作人员，要遵守保密法规，增强保密观念，不得向外界提供，透露设备中的秘密信息。

10、对办公自动化保密工作成绩显著的单位和个人，要予以表彰、奖励，对不遵守保密制度，保密法规造成失泄密事件的根据情节轻重，依法查处。

五、保密工作人员

1、严格执行《保密法》，做到：不该说的秘密(指国家秘密下同)，绝对不说;不该知道的秘密，绝对不问，不该看的秘密，绝对不看;不该记录的秘密，绝对不记录。

2、经管的秘密文件资料必须存放在有保密保障的地方;对平时工作使用或传阅的秘密文件、资料在阅办后，应及时入柜加锁，并经常检查保管情况。

3、不用普邮寄送秘密文件、资料;传递、领取秘密文件、资料应派人专程往返，严格履行签字，登记手续。

4、外出工作必须携带秘密文件的，要经领导批准，并采取安全措施;严禁带秘密文件、资料参观、游览、探亲、访友、逛商店、下饭馆、办私事等。

5、不准擅自翻印、复印、传抄秘密文件、资料;不得携带秘密文件、资料回家;不得将秘密文件资料给不应知悉者阅看。

6、严禁在公共场所和普通电话中谈论秘密事宜;不准在私人通信中涉及国家秘密。

7、不准私自携带秘密文件、资料和记有秘密内容的笔记本参加外事活动和出国。

8、工作调动和离、退休时，必须把自己经管的秘密文件、资料全部移交清楚。

9、不准向废品收购部门出售秘密文件、资料和笔记本;不准私自销毁秘密文件、资料。

10、严格遵守失泄密报告制度，发现失泄密事故应立即采取补救措施，并及时向主管领导和保密工作部门报告。

第三篇：涉密体系文件-涉密岗位保密承诺书

涉密岗位保密承诺书

根据国家的有关保密法律法规和公司保密制度规定，本人***************公司做以下保密承诺:

1、认真贯彻执行公司制定的各项保密规章制度，切实做好本人工作范围内的定密、标密和保密工作，不发生泄密事件。

2、严格遵守公司制订的《保密管理制度》，切实履行保密义务，不向外泄露国家秘密和公司商业秘密的内容。

3、自觉接受保密教育，不断增强保密法制观念和保密防范意识。

4、自觉接受保密检查，落实防范措施，做好各项防范工作。

5、在岗期间，对涉密计算机的使用，严格按照《通信、计算机系统及办公自动化保密管理制度》施行，不在非涉密计算机上处理涉密内容:涉密移动存储介质不能混用。

6、在岗期间，因私出国(境)必须事先向本部门领导报告，经审批同意后才能办理出境手续。

7、 调离涉密岗位或涉密工作结束后，对所知悉的国家秘密和公司商业秘密事项继续承担保密责任，自觉履行有关规定，遵守涉密人员脱密期的管理规定并与公司签订《涉密人员离岗保密协议书》。

8、涉密工作结束后，应及时交出涉密文件、图纸、资料、记录、物件等，并有签收记录，不私自保存、复制和销毁秘密载体。

9、奖励与处罚按公司有关规章办理。

10、上述保密承诺书已经仔细阅读，对其中的所有内容没有异议，本人愿意为保守国家秘密，承担义务和责任。保密承诺书自本人签订之日起生效。

11、本保密承诺书一式三份，办公室一份，保密管理办公室一份，承诺人一份。

承诺人现所在部门: 承诺人岗位名称: 承诺人涉密性质: 口重要涉密人员 口一般涉密人员 脱密期: 口两年 口一年

承诺人签名:

年 月 日

第四篇：涉密计算机及信息系统安全策略文件

1 概述

涉密计算机及信息系统安全策略文件属于顶层的管理文档，是公司网络与信息安全保障工作的出发点和核心，是公司计算机与信息系统安全管理和技术措施实施的指导性文件。涉密计算机及信息系统安全策略文件是公司计算机和信息系统全体管理和使用人员必须遵循的信息安全行为准则，由公司信息安全管理部门制订及解释，由公司保密委员会审批发布，并由信息安全管理部门组织公司全体人员学习与贯彻。

公司涉密计算机及信息系统涉及到存储、传输、处理国家秘密、公司商业秘密和业务关键信息，关系到公司的形象和公司业务的持续运行，必须保证其安全。因此，必须从技术、管理、运行等方面制定确保涉密计算机和信息系统持续可靠运行的安全策略，做好安全保障。

本策略文件主要内容包括：物理安全策略、信息安全策略、运行管理策略、备份与恢复策略、应急计划和响应策略、计算机病毒与恶意代码防护策略、身份鉴别策略、访问控制策略、信息完整性保护策略、安全审计策略等十个方面。 2 适用范围

2.1本策略所称的涉密计算机和信息系统指公司所有通过计算机及信息系统存贮、处理或传输的信息及存贮、处理或传输这些信息的硬件、软件及固件。

2.2本策略适用于与公司涉密计算机及信息系统相关的所有部门及人员。 3 目标

制定涉密计算机及信息系统安全策略的目标就是确保公司掌握的国家秘密、公司商业秘密和业务关键信息的安全性，并通过一系列预防措施将信息安全可能受到的危害降到最低。信息安全管理应在确保信息和计算机受到保护的同时，确保计算机和信息系统能够在允许的范围内正常运行使用。

同时，本策略的目的也是让所有员工能够了解信息安全问题以及明确各自的信息安全职责，严格遵守本安全策略，并遵守国家相关的计算机或信息安全法律要求。 4 组织

1 4.1保密委员会是计算机及信息系统安全管理的领导机关，负责领导信息安全管理体系的建立和信息安全管理的实施，主要包括：

 提供清晰的指导方向，可见的管理支持，明确的信息安全职责授权;  审查、批准信息安全策略和岗位职责;  审查业务关键安全事件;

 批准增强信息安全保障能力的关键措施和机制;

 保证必要的资源分配，以实现数据有效性以及信息安全管理体系的持续发展。

4.2信息安全管理部门具体负责建立和维持信息安全管理体系，协调相关活动，主要承担如下职责：

 调整并制定所有必要的信息安全管理规程、制度以及实施指南等;  提议并配合执行信息安全相关的实施方法和程序，如风险评估、信息管理分层等;

 主动采取部门内的信息安全措施，如安全意识培训及教育等;  配合执行新系统或服务的特殊信息安全措施;  审查对信息安全策略的遵循性;  配合并参与安全评估事项;

 根据信息安全管理体系的要求，定期向上级主管领导和保密委员会报告。

5 分层管理与控制

5.1公司计算机及信息系统管理分为涉密计算机管理、内部网络(局域网)及计算机信息管理、互联网计算机信息管理三个管理层次。

5.2 涉密计算机只能处理涉及国家秘密的信息，实行物理隔离管理，只能由公司涉密人员使用，由公司保密员管理。涉密计算机信息数据必须被保护以防止被泄漏、破坏或修改。

5.3 内部网络(局域网)及计算机配置加密管理措施，与互联网隔离，配置保密管理措施，只能通过局域网传输、储存技术文档、软件等涉及公司商业机密信息。上述信息必须定期备份进行保护，以免破坏和非授权修改。

5.4 互联网计算机主要处理来自于外部资源的普通信息，配置上网行为管理 2 措施，同样在信息安全防护上进行安全考虑。

5.5上述计算机及信息系统根据分层次管理的要求应当依据其分类进行物理标记。

物理安全策略

6.4信息处理设备可接受的使用策略

公司禁止工作人员滥用计算机及信息系统的计算机资源，仅为工作人员提供工作所需的信息处理设备。公司所有人员对系统网络和计算资源的使用(包括访问互联网)都必须遵守计算机及信息系统的安全策略和标准及所有适用的法律。

公司的计算机及信息系统应能防止使用人员连接到访问含有色情、种族歧视及其他不良内容的网站及某些非业务网站。

包括但不限于以下例子是不可接受的使用行为：

 使用信息系统资源故意从事影响他人工作和生活的行为。

 工作人员通过信息系统的网络服务及设备传输、存储任何非法的、有威胁的、滥用的材料。

 任何工作人员使用信息系统的计算机工具、设备和互联网访问服务来从事用于个人获益的商业活动(如炒股)。

 工作人员使用信息系统服务来参与任何政治或宗教活动。

 在没有信息安全管理部门的事先允许或审批的情况下，工作人员在使用的计算机中更改或安装任何类型的计算机软件和硬件。

 在没有信息安全管理部门的事先允许或审批的情况下，工作人员拷贝、安装、处理或使用任何未经许可的软件。 6.5处理从互联网下载的软件和文件

必须使用病毒检测软件对所有通过互联网(或任何其他公网)从信息系统之外的途径获得的软件和文件进行检查，同时，在获得这些软件和文件之前，信息安全管理部门必须研究和确认使用这些工具的必要性。

6.6工作人员保密协议

公司所有人员必须在开始工作前，亲自签订计算机及信息系统保密协议。 6.7知识产权权利

尊重互联网上他人的知识产权。

3 公司工作人员在被雇佣期间使用公司系统资源开发或设计的产品，无论是以何种方式涉及业务、产品、技术、处理器、服务或研发的资产，都是公司的专有资产。

7 物理和环境安全策略

计算机信息和其他用于存储、处理或传输信息的物理设施，例如硬件、磁介质、电缆等，对于物理破坏来说是易受攻击的，同时也不可能完全消除这些风险。因此，应该将这些信息及物理设施放置于适当的环境中并在物理上给予保护使之免受安全威胁和环境危害。

7.1安全区域

根据信息安全的分层管理，应将支持涉密信息或关键业务活动的信息技术设备放置在安全区域中。安全区域应当考虑物理安全边界控制及有适当的进出控制措施保护，安全区域防护等级应当与安全区域内的信息安全等级一致，安全区域的访问权限应该被严格控制。

7.2设备安全

对支持涉密信息或关键业务过程(包括备份设备和存储过程)的设备应该适当地在物理上进行保护以避免安全威胁和环境危险。包括：

 设备应该放置在合适的位置或加强保护，将被如水或火破坏、干扰或非授权访问的风险降低到可接受的程度。

 对涉密信息或关键业务过程的设备应该进行保护，以免受电源故障或其他电力异常的损害。

 对计算机和设备环境应该进行监控，必要的话要检查环境的影响因素，如温度和湿度是否超过正常界限。

 对设备应该按照生产商的说明进行有序地维护。  安全规程和控制措施应该覆盖该设备的安全性要求。  设备包括存储介质在废弃使用之前，应该删除其上面的数据。 7.3物理访问控制

信息安全管理部门应建立访问控制程序，控制并限制所有对计算计及信息系统计算、存储和通讯系统设施的物理访问。应有合适的出入控制来保护安全场所，确保只允许授权的人员进入。必须仅限公司工作人员和技术维护人员访问公司办 4 公场所、布线室、机房和计算基础设施。

7.4建筑和环境的安全管理

为确保计算机处理设施能正确的、连续的运行，应至少考虑及防范以下威胁：偷窃、火灾、温度、湿度、水、电力供应中断、爆炸物、吸烟、灰尘、振动、化学影响等。

必须在安全区域建立环境状况监控机制，以监控厂商建议范围外的可能影响信息处理设施的环境状况。应在运营范围内安装自动灭火系统。定期测试、检查并维护环境监控警告机制，并至少每年操作一次灭火设备。

7.5保密室、计算机房访问记录管理

保密室、计算机房应设立物理访问记录，信息安全管理部门应定期检查物理访问记录本，以确保正确使用了这项控制。物理访问记录应至少保留12个月，以便协助事件调查。应经信息安全管理部门批准后才可以处置记录，并应用碎纸机处理。

8计算机和网络运行管理策略

计算机和信息系统所拥有的和使用的大多数信息都在计算机上进行处理和存储。为了保护这些信息，需要使用安全且受控的方式管理和操作这些计算机，使它们拥有充分的资源。

由于公司计算机和信息系统采用三层管理模式，不排除联接到外部网络，计算机和信息系统的运行必须使用可控且安全的方式来管理，网络软件、数据和服务的完整性和可用性必须受到保护。

8.1操作规程和职责

应该制定管理和操作所有计算机和网络所必须的职责和规程，来指导正确的和安全的操作。这些规程包括：

 数据文件处理规程，包括验证网络传输的数据;

 对所有计划好的系统开发、维护和测试工作的变更管理规程;  为意外事件准备的错误处理和意外事件处理规程;

 问题管理规程，包括记录所有网络问题和解决办法(包括怎样处理和谁处理);  事故管理规程;

5  为所有新的或变更的硬件或软件，制定包括性能、可用性、可靠性、可控性、可恢复性和错误处理能力等方面的测试/评估规程;

 日常管理活动，例如启动和关闭规程，数据备份，设备维护，计算机和网络管理，安全方法或需求;

 当出现意外操作或技术难题时的技术支持合同。 8.2操作变更控制

对信息处理设施和系统控制不力是导致系统或安全故障的常见原因，所以应该控制对信息处理设施和系统的变动。应落实正式的管理责任和措施，确保对设备、软件或程序的所有变更得到满意的控制。

8.3介质的处理和安全性

应该对计算机介质进行控制，如果必要的话需要进行物理保护：  可移动的计算机介质应该受控;

 应该制定并遵守处理包含机密或关键数据的介质的规程;  与计算相关的介质应该在不再需要时被妥善废弃。 8.4鉴别和网络安全

鉴别和网络安全包括以下方面：

 网络访问控制应包括对人员的识别和鉴定;

 用户连接到网络的能力应受控，以支持业务应用的访问策略需求;  专门的测试和监控设备应被安全保存，使用时要进行严格控制;  通过网络监控设备访问网络应受到限制并进行适当授权;  应配备专门设备自动检查所有网络数据传输是否完整和正确;  应评估和说明使用外部网络服务所带来的安全风险;  根据不同的用户和不同的网络服务进行网络访问控制;  对IP地址进行合理的分配;  关闭或屏蔽所有不需要的网络服务;  隐藏真实的网络拓扑结构;

 采用有效的口令保护机制，包括：规定口令的长度、有效期、口令规则或采用动态口令等方式，保障用户登录和口令的安全;

 应该严格控制可以对重要服务器、网络设备进行访问的登录终端或登录 6 节点，并且进行完整的访问审计;

 严格设置对重要服务器、网络设备的访问权限;  严格控制可以对重要服务器、网络设备进行访问的人员;

 保证重要设备的物理安全性，严格控制可以物理接触重要设备的人员，并且进行登记;

 对重要的管理工作站、服务器必须设置自动锁屏或在操作完成后，必须手工锁屏;

 严格限制进行远程访问的方式、用户和可以使用的网络资源;  接受远程访问的服务器应该划分在一个独立的网络安全区域;  安全隔离措施必须满足国家、行业的相关政策法规。

个人终端用户(包括个人计算机)的鉴别，以及连接到所有办公自动化网络和服务的控制职责，由信息安全管理部门决定。

8.5操作人员日志

操作人员应保留日志记录。根据需要，日志记录应包括：  系统及应用启动和结束时间;  系统及应用错误和采取的纠正措施;  所处理的数据文件和计算机输出;  操作日志建立和维护的人员名单。 8.6错误日志记录

对错误及时报告并采取措施予以纠正。应记录报告的关于信息处理错误或通信系统故障。应有一个明确的处理错误报告的规则，包括：1)审查错误日志，确保错误已经得到满意的解决;2)审查纠正措施，确保没有违反控制措施，并且采取的行动都得到充分的授权。

8.7网络安全管理策略

网络安全管理的目标是保证网络信息安全，确保网络基础设施的可用性。网络管理员应确保计算机信息系统的数据安全，保障连接的服务的有效性，避免非法访问。应该注意以下内容：

应将网络的操作职责和计算机的操作职责分离;

 制定远程设备(包括用户区域的设备)的管理职责和程序;

7  应采取特殊的技术手段保护通过公共网络传送的数据的机密性和完整性，并保护连接的系统，采取控制措施维护网络服务和所连接的计算机的可用性;

 信息安全管理活动应与技术控制措施协调一致，优化业务服务能力;  使用远程维护协议时，要充分考虑安全性。 8.8电子邮件安全策略

计算机和信息系统应制定有关使用电子邮件的策略，包括：  对电子邮件的攻击，例如病毒、拦截;

 必要时，使用相关技术保护电子邮件的机密性、完整性和不可抵赖。 8.9病毒防范策略

病毒防范包括预防和检查病毒(包括实时扫描/过滤和定期检查)，主要内容包括：

 控制病毒入侵途径;  安装可靠的防病毒软件;  对系统进行实时监测和过滤;  定期杀毒;  及时更新病毒库;  及时上报;  详细记录。

防病毒软件的安装和使用由信息安全管理部门专门的病毒防范管理员执行。 严格控制盗版软件及其它第三方软件的使用，必要时，在运行前先对其进行病毒检查。

内部工作人员因为上不安全的网站下载文件或其他方式导致中毒，造成的后果由其本人负责。

8.10备份与恢复策略

定义计算机及信息系统备份与恢复应该采用的基本措施：  建立有效的备份与恢复机制;  定期检测自动备份系统是否正常工作;

 明确备份的操作人员职责、工作流程和工作审批制度;

8  建立完善的备份工作操作技术文档;

 明确恢复的操作人员职责、工作流程和工作审批制度;  建立完善的恢复工作操作技术文档;  针对建立的备份与恢复机制进行演习;  对备份的类型和恢复的方式进行明确的定义;  妥善保管备份介质。 8.11加密策略

对于应用系统安全需求分析中要求采用加密措施，或相关法规中要求采用加密措施的处理，一定要满足要求。

采用加密技术或选用加密产品，要求符合国家有关政策或行业规范的要求。 选用的加密机制与密码算法应符合国家密码政策，密钥强度符合国家规定。 对于敏感或重要信息，要求通过加密保障其私密性、通过信息校验码或数字签名保障其完整性、通过数字签名保障其不可否认性。

要求采用高强度的密钥管理系统，保证密钥全过程的安全。包括密钥的生成、使用、交换、传输、保护、归档、销毁等。

对敏感或重要密钥，要求分人制衡管理。

对敏感或重要密钥，要求采用一定的密钥备份措施以保障在密钥丢失、破坏时系统的可用性。

密钥失密或怀疑失密时，必须及时向安全主管部门报告，更新密钥。并采取有效措施，防止再次发生类似情况。 9访问控制策略

为了保护计算机系统中信息不被非授权的访问、操作或破坏，必须对信息系统和数据实行控制访问。

计算机系统控制访问包括建立和使用正式的规程来分配权限，并培训工作人员安全地使用系统。对系统进行监控检查是否遵守所制定的规程。

9.1计算机访问控制

应该根据相关国家法律的要求和指导方针控制对信息系统和数据的访问：  计算机活动应可以被追踪到人;

 访问所有多用户计算机系统应有正式的用户登记和注销规程;

9  应使用有效的访问系统来鉴别用户;

 应通过安全登录进程访问多用户计算机系统;  特殊权限的分配应被安全地控制;

 用户选择和使用密码时应慎重参考良好的安全惯例;  用户应确保无人看管的设备受到了适当的安全保护;  应根据系统的重要性制定监控系统的使用规程。  必须维护监控系统安全事件的审计跟踪记录;  为准确记录安全事件，计算机时钟应被同步。 10风险管理及安全审计策略

信息安全审计及风险管理对于帮助公司识别和理解信息被攻击、更改和不可用所带来的(直接和间接的)潜在业务影响来说至关重要。所有信息内容和信息技术过程应通过信息安全审计活动及风险评估活动来识别与它们相关的安全风险并执行适当的安全对策。

计算机及信息系统的信息安全审计活动和风险评估应当定期执行。特别是系统建设前或系统进行重大变更前，必须进行风险评估工作。

信息安全审计应当3个月进行一次，并形成文档化的信息安全审计报告。 信息安全风险评估应当至少1年一次，可由公司自己组织进行或委托有信息系统风险评估资质的第三方机构进行。信息安全风险评估必须形成文档化的风险评估报告。

11信息系统应急计划和响应策略

11.1信息应急计划和响应的必要性

应该制定和实施应急计划和响应管理程序，将预防和恢复控制措施相结合，将灾难和安全故障(可能是由于自然灾害、事故、设备故障和蓄意破坏等引起)造成的影响降低到可以接受的水平。

应该分析灾难、安全故障和服务损失的后果。制定和实施应急计划，确保能够在要求的时间内恢复业务的流程。应该维护和执行此类计划，使之成为其它所有管理程序的一部分。

11.2应急计划和响应管理程序

应该在整个计算机信息系统内部制定应急计划和响应的管理流程。包括以下

10 主要内容：

 考虑突发事件的可能性和影响。

 了解中断信息系统服务可能对业务造成的影响(必须找到适当的解决方案，正确处理较小事故以及可能威胁组织生存的大事故)，并确定信息处理设施的业务目标。

 适当考虑风险处理措施，可以将其作为业务连续性程序的一部分。  定期对应急计划和响应程序进行检查和进行必要的演练，确保其始终有效。

 适当地对技术人员进行培训，让他们了解包括危机管理在内的应急程序。

12遵循性

计算机及信息系统必须遵守国家法律和法规的要求。

公司所有工作人员都有责任学习、理解并遵守安全策略，以确保公司敏感信息的安全。对违反安全策略的行为，根据事件性质和违规的严重程度，采取相应的处罚措施。信息安全管理部门应根据违规的严重程度向相关领导提出建议惩罚措施。除本安全策略中涉及的要求之外，所有部门和工作人员同样需要遵守相关国家法律和法规的要求。

计算机和信息系统安全策略文件由信息安全管理部门负责制定和解释，由公司保密委员会审批发布。

公司已存在的但内容与本安全策略文件不符的管理规定，应以本安全策略的要求为准，并参考本安全策略及时进行修订。

第五篇：涉密计算机及涉密网络保密管理规定

第一条为加强白节镇涉密计算机及涉密网络的管理，保障办公使用过程中国家秘密的安全，避免计算机病毒等非法入侵，根据《中华人民共和国保守国家秘密法》、国家保密局《计算机信息系统保密管理暂行规定》、《计算机信息系统国际互联网保密管理规定》及其它相关规定，结合我镇实际，制定本规定。

第二条本规定所称的涉密计算机及涉密网络是指处理、存储和传输涉密信息的单机、笔记本电脑、涉密信息系统及涉密网络等。我镇现配备了两台涉密单机，设在人武部办公室安装了防盗、防潮、防火设施。 第三条白节镇党政办公室对本规定负有指导、监督、检查职责。 第四条涉密计算机投入使用前，要进行必要的安全检查，不允许进行各种形式的有线及无线的网络连接，不允许使用无线功能的键盘鼠标进行操作。

第五条涉密计算机应为专人专用，用户应定期修改机器登录密码，密码要求8位以上并有英文大小写和数字的混排，并设置密码输入错误次数控制。

第六条涉密网络由各单位指派专人负责接入管理。

第七条涉密网络需要使用移动介质前，应先检查移动介质是否存在病毒、木马等恶意程序。 第八条涉密人员因工作变化、调动等原因需要开始或停止使用涉密计算机及涉密网络的，所在部门应备案登记，并提交书面申请由领导批准后再由网络管理人员开通或关闭相应权限，并签订相应保密承诺书。

第九条涉密计算机及涉密网络所在的场所，必须采取必要的安全防护措施，安装防盗门和报警器及监控设备等必要措施，并指定专人进行日常管理，严禁无关人员进入该场所。

第十条涉密计算机及涉密网络设备需要维修的，必须到指定的维修单位维修。涉密计算机等设备送修前必须将涉密存储部件拆除并妥善保管;如需请外来人员维修，单位应派人全程监督修理过程。涉密存储部件出现故障，如不能保证安全保密，必须按涉密载体予以销毁。同时，要与维修单位和维修人员签订保密协议。

第十一条涉密计算机如需恢复其存储信息，必须到指定的具有保密资质的单位进行处理，并将废旧的存储介质收回。

第十二条禁止将涉密计算机转为非涉密环境使用，禁止进行公益捐赠或销售。

第十三条管理人员违反本规定，情节较轻的，应责令改正，给予批评教育;情节严重，造成泄露机密的，按照有关保密规定给予责任人行政或党纪处分;构成犯罪的，移交司法机关，依法追究刑事责任。