第1篇 涉密计算机及信息系统安全和保密管理办法
第一条 为加强公司涉密计算机及涉密计算机信息系统的安全保密管理,根据国家有关保密法规和铁道部的有关规定,结合哈佳铁路客运专线有限责任公司(以下简称“公司”)实际,制定本办法。
第二条 本办法所称的涉密计算机,是指专门用于处理或存储国家秘密信息、收发文电、连接互联网的台式计算机;涉密计算机信息系统,是指专门用于处理国家秘密信息的计算机信息系统。
第三条 为确保国家秘密、公司工程项目相关技术资料的安全,公司各部门或个人不得使用便携式计算机处理国家秘密信息。
第四条 公司设保密领导小组,具体负责公司内部的涉密计算机及信息系统的安全保密管理工作,日常保密管理、监督职责如下:
(一)审查、选定专人分别作为涉密计算机信息及信息系统的系统管理员、安全保密管理员和密钥口令管理员,要求职责清晰,分工明确。
(二)定期对涉密计算机、涉密计算机信息系统以及涉密移动存储介质的使用、保管情况进行安全保密检查,及时消除隐患。
(三)加强对有关人员的安全保密教育,建立健全保密规章制度,完善各项保密防范措施。
第五条 涉密计算机日常管理人员是涉密计算机安全保密的责任人,其日常保密管理监督职责如下:
(一)对计算机及软件安装情况进行登记备案,定期核查。
(二)设置开机口令,长度在8个字符以上,并定期更换,防止他人盗用和破译。
(三)不得安装、运行、使用与工作无关的软件。
(四)应在涉密计算机的显著位置进行标识,不得让其他无关人员使用涉密计算机。
(五)未安装隔离卡的涉密计算机单机,管理人员应拆除网卡,严禁涉密计算机上网;已安装隔离卡的涉密计算机应严格按照正确方法使用,严禁他人在外网上处理(即打开、查看、拷贝、传递涉密文件)和存储任何涉密信息;严禁他人在外网上使用涉密移动存储介质。
(六)定期做好涉密计算机的病毒查杀、防治和系统升级工作,及时进行数据备份,防止涉密信息的意外丢失。
第六条 涉密计算机信息系统的管理人员由系统管理员、安全保密管理员和密钥口令管理员组成,具体职责如下:
(一)系统管理员负责涉密计算机信息系统的登录权限分配、访问控制和日常维护及修理,保证系统和单机的正常运行。定期开展涉密计算机信息系统重要数据的备份工作,防止因系统的损坏或意外造成的数据丢失。
(二)安全保密管理员负责涉密计算机信息系统的病毒防治、安全审计等工作,并负责对系统的运行进行安全保密监视。
(三)密钥口令管理员负责定期更换并管理系统登录口令、开机密码及部分重要程序和文件的密钥,保证口令和密钥的安全。对集中产生的涉密计算机信息系统口令,应定期分发并更改,不得由用户自行产生。处理秘密级信息的系统,口令长度不得少于8个字符,口令更换周期不得超过一个月;处理机密级信息的系统,口令长度不得少于10个字符,口令更改周期不得超过一周。口令必须加密存储,口令在网络中必须加密传输,口令的存放载体必须保证物理安全。
第七条 涉密计算机信息系统实行“同步建设、严格审批、注重防范、规范管理”的保密管理原则。
第八条 涉密计算机及信息系统所在的场所,必须采取必要的安全防护措施,安装防盗门窗和报警器,并指定专人进行日常管理,严禁无关人员进入该场所。
第九条 涉密计算机及信息系统不得直接或间接与国际互联网连接,必须实行严格的物理隔离,并采取相应的防电磁信息泄漏的保密措施。
第十条 涉密计算机按所存储和处理的涉密信息的最高密级进行标识;对涉密计算机信息系统的服务器,应按本系统所存储和处理的涉密信息的最高级别进行标识。
第十一条 涉密计算机中的涉密信息应有相应的密级标识,密级标识不能与正文分离。对图形、程序等首页无法标注的,应标注在文件名后。打印输出的涉密文件、资料,应按相应的密级文件进行管理。
第十二条 涉密计算机的维修或销毁一般应由公司人员在本公司内部进行,并应确保秘密信息在维修、销毁过程中不被泄露。公司不具备自行维修、销毁条件的,应报公司主管领导批准,委托保密部门认定的定点单位进行维修或销毁。销毁涉密存储介质,应采用物理或化学的方法彻底销毁。
第十三条 对于违反本办法的有关人员,应给予批评教育,责令其限期整改;造成泄密的,公司将根据有关保密法规进行查处,追究有关人员泄密责任。
第十四条 本办法由公司保密委员会负责解释。
第十五条 本办法自发布之日起执行。
第2篇 a某公司驻海外代表处保密管理办法
1.目的与适用范围
1.1目的
为更好地贯彻××公司有关保密规定,保守国家、××公司以及集团公司合作伙伴的技术、商业机密,维护集团公司在海外市场的利益,保持××公司在海外市场竞争中的优势,根据驻海外代表处的实际情况,特制订本规定。
1.2适用范围
本规定所述的机密包括国家、企业技术和商业秘密,以及其他明确不宜公开的事项,适用于驻海外代表处所有员工。
2.职责
2.1××公司某部门职责
××公司某部门按照公司相关保密规定,负责海外代表处的保密归口管理工作。
2.2驻海外代表处职责
代表处负责人或授权人是保密管理工作的第一责任人,代表处各员工应严格遵守保密规定,担当保密工作的执行者。
3.主题内容
3.1代表处员工保密守则
3.1.1代表处员工应做到:不该说的秘密绝对不说;不该问的秘密绝对不问;不该看的秘密绝对不看;不该记录的秘密绝对不记录;不在非保密本上记录秘密事项;不在私人通信、电话中涉及秘密;不在公共场所和家属、子女、亲友面前谈论秘密;不在不利于保密的地方存放秘密文件、资料;不在普通电话、明码电话、普通邮政传递秘密事项;不携带秘密材料游览、参观、探亲、访友和出入公共场所。
3.1.2代表处员工在调离办事处前,须交回所占有和形成的机密资料,严禁擅自以复制、发表、使用、转让等方式泄露秘密。
3.2保密宣传教育制度
3.2.1代表处负责人或授权人应及时向代表处员工明确属于国家、企业技术、商业机密的具体事项,和其他不准公开的事宜,以及一些重要事件的对外表态口径,要求员工凡属此类事项一律不得泄露,并向员工明确事关技术、商业机密的文件不得擅自复印留底以及处置。
3.2.2对违反本规定造成失、泄密,或采用盗密、出卖等非法手段泄露秘密,以及对泄密、窃密行为不制止、不报告的员工,视其情节和后果,分别给予批评教育或纪律处分;涉嫌犯罪的,依法移送司法机关。
第3篇 投资集团保密工作管理办法
某投资集团保密工作管理办法
第一章 总则
第一条 为了保守国家秘密和某省某投资集团有限公司(以下简称“集团公司”)的企业秘密,维护国家利益和集团公司利益,保障集团公司投资、经营、管理工作的顺利进行,根据《中华人民共和国保密法》和有关规定,制定本办法。
第二条 国家秘密是关系国家的安全和利益,遵照法定程序确定在一定时间内只限一定范围的人员知悉的事项;企业秘密是关系集团公司、所属企业及其子企业的安全和利益,依照一定程序确定,在一定时间内只限一定范围的人员知悉的事项和信息。
第三条 集团公司所属企业都有维护国家秘密和集团公司企业秘密的责任,集团公司全体员工都有保守国家秘密和企业秘密的义务。
第四条 集团公司保密工作的主要任务是贯彻执行《中华人民共和国保密法》及省委、省政府有关保密工作的规定和要求,不断加强保密工作,确保国家秘密和企业秘密的安全,维护集团公司的利益。
第五条 集团公司保密工作贯彻“突出重点、积极防范、内外有别,既确保国家秘密、企业秘密,又便于各项工作开展”的方针。
第六条 集团公司综合事务部在集团公司保密委员会统一领导下,具体负责集团公司保守国家秘密和企业秘密的工作,并指导所属企业的保密工作。
第二章 秘密的范围和密级
第七条 根据集团公司的企业性质和日常工作的特点,集团公司企业秘密包括下列事项:
(一)集团公司的发展战略和发展规划,重大战略部署和投资决策、经营中的秘密事项;
(二)集团公司年度计划、未下达的考核及评价指标,未公开的财务数据;
(三)集团公司未公开的重大经营决策以及为决策所提供的资料、数据及其他秘密事项;
(四)有关集团公司及所属企业重组、兼并、破产、关闭中涉及的秘密事项;
(五)集团公司重要投资项目的可行性研究、财务分析及涉及投资项目的其他秘密事项;
(六)历年投资、经营、管理活动中形成的重点科技成果,发明创造的关键技术、工艺、参数,重大科研项目的开发规划等秘密事项;
(七)集团公司重要会议记录、会议专题报告和重要会议召开之前涉及的秘密事项;
(八)人事档案、未公布的人事任免、工资分配、人员奖罚方案等事项;
(九)查处重大违纪、审计等案件所涉及的秘密事项;
(十)日常工作中形成的,根据省委、省政府的有关规定应当保守的秘密事项。
第八条 在日常工作中涉及的国家秘密事项,根据有关法律、法规确定。
第九条 国家秘密和企业秘密按其性质分为绝密、机密、秘密三个等级。
第十条 属于集团公司企业秘密的文件、资料,应当按规定标明密级。秘密文件、资料密级和保密期限的确定,由经办部门或承办人提出,报集团公司有关领导审批。在办文结束后,交集团公司综合事务部保密室存档。
第十一条 已归档保存的文件、资料的密级,由保密员根据其内容和保密期限,经有关领导批准后,定期进行调整:
(一)凡已批准对外公开或已超过保密期限,不再需要保密的文件、资料,予以解密;
(二)凡秘密程度已经降低,但仍要在一定范围或时间内保密的文件、资料,予以降密;
(三)凡随时间推移,内容需加以保密或限制使用范围、领域的文件、资料,予以重定密级。
第三章 保密措施
第十二条 属于国家秘密的文件、资料和其它物品的制作、收发、传递、使用、复制、保存和销毁,应严格按国家保密工作的规定和程序处理:
(一)未经原确定密级的单位确认或者上级机关批准,不得复制、摘转;
(二)收发、传递和外出携带,必须按照国家规定程序办理手续后由保密员或集团公司有关领导指定的人员负责,并采取必要的安全措施;
(三)必须在保密措施完善的设备或场地中保存。
集团公司及所属企业在对外经济往来与合作中需提供的文件、资料,内容如涉及国家秘密的,应按有关法律和法规规定程序办理。
第十三条 属于集团公司企业秘密范围的文件、资料和其它物品的制作、收发、传递、使用、复制、保存和销毁,应按国家保密工作有关规定和本办法要求处理:
(一)未经集团公司有关领导批准,不得复制、摘转;
(二)收发、传递和外出携带,由保密员或集团公司领导指定人员负责,并采取必要的安全措施;
(三)必须在保密措施完善的设备或场地中保存。
集团公司及所属企业在对外经济往来与合作中需提供的文件、资料,内容如涉及集团公司企业秘密的,应按本办法规定程序报请集团公司有关领导或所属企业领导批准。
第十四条 举行涉及国家秘密或集团公司企业秘密的会议和进行其它具有保密要求的活动,应采取保密措施,并对参加人员进行保密教育,提出具体要求,其正式会议记录由集团公司保密室保存。
第十五条 集团公司根据需要设专职保密员(机要秘书),负责保密的具体工作。所属企业也必须按规定配置专职或兼职保密员。
第十六条 专、兼职保密人员必须具备较强的政治责任感、思想水平和专业素质,热爱本职工作,有事业心和进取心。
第四章 保密委员会工作职责
第十七条 集团公司设保密委员会,在省保密局和集团公司党委的统一领导下,指导、部署和检查集团公司及所属企业的保密工作,其工作职责主要有:
(一)贯彻、执行党和国家以及省委、省政府的有关保密工作的方针、政策和规章 制度;
(二)依照《中华人民共和国保密法》,拟定集团公司保密工作的规章 制度和细则,并贯彻落实;
(三)指导、监督集团公司及所属企业的保密工作,确保保密工作有人管、管到位,责任落实;
(四)结合典型事例,定期开展保密宣传教育工作,增强全体员工的保密观念;
(五)定期召开集团公司保密工作会议,总结工作经验,制定工作计划;
(六)严肃处理失、泄密事件,并根据情节轻重,提出处理意见;
(七)定期组织保密人员进行业务培训,提高保密工作人员业务素质;
(八)规划、指导、实施集团公司现代办公设备的保密技术和保密措施,监督、检查和落实集团公司本部及所属企业计算机、办公网络及办公自动化系统的保密措施;
(九)加强对可能接触或掌握重大秘密的工作人员的防泄密、保密教育,完善电
话通讯和办公自动化系统管理的保密制度,努力提高保密技术防范能力;
(十)积极开展调查、研究解决保密工作中出现的新问题;
(十一)积极完成上级交办的其它保密事项。
第五章 奖励与处罚
第十八条 具有以下情形之一的,应当给予奖励:
(一)长期从事保密工作,维护国家和集团公司的利益,作出较大贡献的;
(二)在改进保密技术、措施等方面成绩显著的;
(三)在紧急情况下,保护、抢救国家秘密或集团公司的秘密文件、资料的;
(四)同抢劫、盗窃、毁坏、出卖国家秘密或企业秘密文件、资料及其物品的行为进行斗争,以及对检举、揭发,破案有功的。
第十九条 具有以下情形之一,根据情节轻重,给予纪律处分或依法追究刑事责任:
(一)违反保密纪律、玩忽职守、泄露或遗失国家秘密或企业秘密文件、资料的;
(二)对窃密或重大泄密行为不制止、不斗争、不报告的;
(三)对揭发检举窃密、失密、泄密的人进行报复的;
(四)利用国家秘密或企业秘密进行非法活动的。
第六章 附则
第二十条 集团公司所属企业应根据法律有关规定和本管理办法的要求,制定本企业的保密工作管理办法,报经集团公司批准后执行。
第4篇 石油公司保密工作管理暂行办法
石油销售公司保密工作管理暂行办法
第一章 总则
第一条 为了维护公司的合法权益,增强公司竞争优势,保障国家和企业的安全和利益,加强公司保密工作管理,根据《中华人民共和国保守国家秘密法》(以下简称《保密法》)及上级单位相关保密工作管理办法,结合公司保密工作实际,特制定本办法。
第二条 本办法所称的国家秘密是指关系国家的安全和利益,依照法定程序确定,在一定时间内只限一定范围人员知悉的事项;商业秘密是指不为公众所知悉,能为权利人带来经济利益,具有实用性并经权利人采取保密措施的技术信息和经营信息。公司秘密是关系公司权力和利益,依照特定程序确定,在一定时间内只限一定范围人员知悉的事项。
第三条 公司保密工作,实行既便利工作又确保秘密的方针,实行统一领导、分级管理的原则。
第二章 保密范围和密级确定
第四条 公司秘密包括下列事项:
(一)公司经营发展决策中的秘密事项。
(二)公司尚未付诸实施的企业经营战略、方向、规划、项目及决策。
(三)公司内部掌握的重要的合同、协议、意向书及可行性报告、重要会议记录等。
(四)公司财务预决算报告及各类财务报表、统计报表。
(五)招标项目的标底、合作条件、贸易条件等。
(六)公司人事决策中的秘密事项,以及职员人事档案,工资收入及资料等。
(七)公司所掌握的客户信息、贸易渠道以及尚未进入市场或公开的其它资料。
(八)其它经公司领导办公会或党支部会确定应该保密的事项。
一般性决定、决议、通告、通知、行政管理资料等内部文件不属于保密范围。
第五条 公司商业秘密的密级分为'绝密'、'机密'、'秘密'三级。公司密级的确定:
(一)绝密是最重要的公司秘密,泄露会使公司的权利和利益遭受特别严重的损害。在公司经营发展中,直接影响公司权益并且一旦泄露会使企业的利益遭受特别严重损害的重要决策、文件、以及专有生产技术、新技术资料等为绝密级,其标志为:'aaa';
(二)机密是重要的公司秘密,一旦泄露会使公司权益和利益遭到严重的损害。公司的发展规划、财务报表、统计资料、重要会议记录、公司经营情况等为机密级,其标志为:'aa';
(三)秘密是一般的公司秘密,一旦泄露会使公司的权利和利益遭受损害。公司人事档案、合同、协议、职员工资性收入、尚未进人市场或尚未公开的各类信息为秘密级,其标志为:'a'。
第六条 属于公司秘密的文件、资料,应当依据本制度第七条、第八条的规定标明密级,并确定保密期限。
(一)书面形式的商业秘密标注位置在首页的左上角,商业秘密标志由两部分组成,第一部分为公司商秘等级,第二部分为保密期限,中间用_隔开,例如'a_3年',非书面形式的商业秘密标志在明显易于识别的地方。
(二)书面形式的工作秘密如需标注,可在首页左上角表明。如'公司内部资料,注意保密'。
第七条 公司商业秘密保密期限届满,自行解密,工作秘密随公司该项工作的进度自行解除。
第三章 保密措施
第八条 属于公司秘密的文件、资料和其它物品的制作、收发、传递、使用、复制、摘抄、保存和销毁,由综合办公室或主管副总经理委托专人执行。采用电脑技术存储、处理、传递的公司秘密由有关操作人员进行保密。
第九条 对于密级的文件、资料和其它物品,必须采取以下保密措施:
(一)非经总经理或主管副总经理批准,不得复制和摘抄。
(二)收发、传递和外出携带,由指定人员担任,并采取必要的安全措施。
(三)在日常管理中应在设备完善的保险装置中保存。
(四)属于公司秘密的设备、专有生产技术或者重要的商业信息,由公司指定专门部门负责,并采取相应的保密措施。
(五)公司财务部、综合办公室档案及机要存在地,非工作人员不得随便进入,工作人员也不能随便带人进入。
(六)在对外交往与合作中需要提供公司秘密事项的,应当事先经总经理批准。
第十条 举办属于公司秘密内容的会议和其它活动,主办部门应采取下列保密措施:
(一)选择具备保密条件的会议场所;
(二)严格限定参加会议人员的范围,对参加涉及秘密事项会议的人员进行保密教育并提出保密要求。
(三)会前要制定专人对会场周围进行安全检查,防止窃密事件发生;
(四)依照保密规定使用有线设备,与会人员不得携带手机。会议期间要严格把好会议的出入关,防止无关人员进入会场。
(五)会议结束后保密干部要认真对会场内外进行清场,清理带走所有会议资料。会后要确定内容是否传达及传达范围。
第十一条 涉外工作的保密,要采取以下保密措施:
(一)接待境外人员参观和洽谈的部门和人员,应严格执行事先制定的接待、洽谈方案,不得泄露国家秘密和公司商业秘密;
(二)未经公司领导批准,任何部门、单位和个人不得擅自接待境外人员来公司参观、访问;
(三)接待涉外人员参观或进行经济技术交流与合作、洽谈贸易,应严格执行有关保密规定,事先制定接待、洽谈方案。方案中要划定外宾参观范围、路线和项目,审定对外介绍的内容和资料;
(四)涉密文件、资料、存储介质和其他物品未经批准,不得向境外人员和组织公开和泄露,不允许其拍照、录相、录音、复制和摘抄。
(五)已批准提供的国家秘密和商业秘密资料,应当以一定形式要求对方承担保密义务。
第十二条 电子信息的保密,要采取以下保密措施:
(一)涉密计算机要安装在符合保密安全的地方,使用人员要严格遵守保密纪律,自觉做好保密工作;
(二)涉密存储介质(包括笔记本电脑、优盘、移动硬盘、光盘等),遵循'谁领用、谁负责'的原则,由领用人负责保密责任;
(三)涉密计算机要与非涉密计算机明确区分,并粘贴相应的标志;
(四)计算机使用要严格遵守'上网不涉密、涉密不上网'的原则;
(五)用以传输、处理、存储国家秘密的有线、无线通讯设备和计算机信息系统,应当按照保密工作部门的要求采取严密的保密技术防范措施,不得使用无保密保障的通信和计算机网络传输、处理涉密信息。
第十三条 宣传报道的保密,要采取以下保密措施:
(一)不得在公开的报刊、广播、影视、音像、展览、宣传、报道、著作中涉及国家秘密和商业秘密;
(
二)公司综合办公室等宣传部门,要严格按照保密管理制度要求,严格审查稿件内容;
(三)公司宣传部门在对公司持有的国家领导人和省政府同志批示事项进行宣传报道时,确需刊登或引用批示内容的,要提前报公司领导批准。
第十四条 涉及国家秘密的工作要严格遵守保密规定,对属于国家秘密的文件、资料档案、材料、其他物品等应由专人负责保管和管理,严禁扩散和泄露。
第十五条 文印部门工作人员未经综合办公室批准,不得擅自打印、复印属于国家秘密的文件、资料、书刊等,经批准打印、复印的要严格按照批准份数进行,不得多印或留存,并对打印、复印的内容严格保密,不得扩散和泄露。
第十六条 公司机要档案室、复印室等均属于要害保密部位,无关人员不得进入,因工作需要进入的人员不得随意翻看室内文件、文稿、资料等物品。
第十七条 任何人不准在私人交往、通信和著述中泄露国家、公司秘密,不准在公共场所谈论国家、公司秘密。
第十八条 公司副科级以上管理(技术)人员以及从事财务、经营、档案管理等相关岗位职员应签订《保密协议》,明确保密责任和义务。公司工作人员发现公司秘密已经泄露或者可能泄露时,应当立即采取补救措施并及时报告综合办公室;综合办公室接到报告后,应立即做出处理。
第四章 涉密要害部门及涉密人员管理
第一节涉密要害部门的管理
第十九条 本办法所称保密要害部门是指单位内部业务工作中经常或大量涉及国家秘密、商业秘密,涉密人员多的部门。
第二十条 保密要害部门的保密安全工作必须贯彻'谁主管、谁负责'的原则。
第二十一条 保密要害部门的确定须由公司领导办公会按程序审批确定。
第二十二条 保密要害部门实行动态管理,可根据生产经营情况由公司研究调整。
第二十三条 保密要害部门必须建立健全本部门各项相应的保密规章制度,明确责任、落实到人。
第二节涉密人员的管理
第二十四条 本办法所称的涉密人员是指在公司各项工作中产生、掌握、管理和大量接触国家秘密和商业秘密的人员。
第二十五条 涉密人员管理贯彻'积极防范、突出重要、严格标准、严格管理'的原则。
第二十六条 涉密人员坚持'先审后用'的原则和程序,对拟进入涉密岗位的人员事先必须经公司领导办公会审批,签订《保密协议书》,并在公司保密办备案后,方可从事涉密工作。《保密协议书》中应明确公司与涉密人员双方权利和义务并根据涉密人员的涉密等级支付一定的保密津贴。
第二十七条 涉密人员保密资格等级界定遵循'以项目定岗,以岗位定人'的原则。涉秘人员的保密资格等级由高到低分为:核心涉密人员、重要涉密人员和一般涉密人员。
(一)核心涉密人员是指在涉及国家秘密及商业秘密秘密程度深、事项多、期限长的岗位工作的人员。
(二)重要涉密人员是指在涉及国家秘密及商业秘密事项多、期限较长的岗位工作的人员。
(三)一般涉密人员是在指涉及国家秘密及商业秘密事项少、期限短的岗位工作的人员。
第二十八条 公司根据涉密人员工作任务、工作岗位及职责范围的实际涉密情况综合界定其涉密等级。
第二十九条 涉密人员的涉密等级界定,由各部门根据承担工作任务人员的实际涉密情况,提出初审名单,经公司审核确定后,报送有关领导审批并存档备案。
第三十条 公司对涉密人员实行动态管理。各有关部门要根据涉密人员实际工作岗位、工作任务、职责范围的变化,及时提出调整涉密等级的初审意见,经公司有关部门核实后,报送公司有关领导审批并进行调整。
第三十一条 核心涉密人员和重要涉密人员队伍,应保持相对稳定,减少无序流动。
第三十二条 涉密人员脱离涉密岗位实行脱密期管理制度,同时清退所有涉密文件、资料及物品,并不得接触国家及商业秘密。
第三十三条 涉密人员退休后,在其相应的脱密期内仍由原单位按在职涉密人员进行管理。借调、返聘人员在涉密岗位工作的按照在职涉密人员进行管理。
第三十四条 涉密人员申请调动的,其本人所在单位,应将拟同意调动的涉密人员调离涉密岗位,待其脱密期满,经上级公司领导批准,并签订保密承诺书后,方可办理调动手续。对于尚在脱密期内,调往上级单位、国家机关、人民团体的,经上级公司领导批准,在其人事档案注明涉密身份和脱密期,并签订保密承诺书后,方可办理调动手续。
第三十五条 涉密人员在保密期内一般不得辞职。对于确有特殊原因而本人坚持申请辞职的非核心涉密人员,经公司领导批准,在其人事档案注明涉密身份和脱密期(有特殊要求的也应注明),并签订保密承诺书后,方可办理辞职手续。脱密期内,其不准受聘到私营单位、三资企业,也不准因私出国(境)。
第三十六条 涉密人员不得擅自离职。对已经离职的涉密人员其原所在单位要劝其(包括通过其家人、亲属)返回单位。若本人要求辞职的,按涉密人员辞职规定办理手续。对不回原单位又拒不履行保密义务和手续的,应根据国家有关的法律、法规,通过有关部门进行处理。
第五章 奖励与处罚
第三十七条 有下列表现之一的单位和个人,应给予表扬与奖励:
(一)一贯遵守保密制度、长期未发生任何失泄密事件,并能推动他人保密国家秘密、商业秘密有显著成绩的;
(二)发现他人泄露秘密、商业秘密或工作秘密,能及时报告或积极采取补救措施的;
(三)在紧急情况下、保护、抢救国家秘密、商业秘密或工作秘密的。
第三十八条 有下列行为的单位和个人,应视情节和后果,分别给予批评教育,行政处分,直至由有关部门依法追究刑事责任:
(一)对本单位涉密文件、资料、存储介质和其他物品保管不当造成失密、泄密的;
(二)明知本单位涉密文件、资料、存储介质和其他物品保管条件不符合保密要求而不采取补救措施以至造成失密、泄密的;
(三)拒不按要求清退涉密文件、资料、存储介质和其他物品的;
(四)将涉密文件、资料、存储介质和其他物品出卖、赠与他人的;
(五)明知或发现泄密、窃密行为而不制止、不报告的;
(六)以盗窃、出卖等非法手段获取秘密的;
(七)阻挠、拒绝保密管理部门依法监督检查的;
(八)违法国家有关保密法规的其它行为。
第六章 附则
第三十九条 本制度规定的泄密是指下列行为之一。
(一)使公司秘密被不应知悉者知悉的。
(二)使公司秘密超出了限定的接触
范围,而不能证明未被不应知悉者知悉的。
第四十条 本办法由公司综合办公室负责解释。
第5篇 计算机和信息系统安全保密管理办法
第一章 总 则
第一条 为确保公司计算机和信息系统的运行安全,确保国家秘密安全,根据国家有关规定和要求,结合工作实际情况,制定本办法。
第二条 公司计算机和信息系统安全保密工作遵循“积极防范、突出重点、依法管理”的方针,切实加强领导,明确管理职责,落实制度措施,强化技术防范,不断提高信息安全保障能力和水平。
第二章 组织机构与职责
第三条 计算机和信息系统安全保密管理工作贯彻“谁主管,谁负责”、“谁使用,谁负责”的原则,实行统一领导,分级管理,分工负责,有效监督。
第四条 保密委员会全面负责计算机和信息系统安全保密工作的组织领导。主要职责是:
(一)审订计算机和信息系统安全保密建设规划、方案;
(二)研究解决计算机和信息系统安全保密工作中的重大事项和问题;
(三)对发生计算机和信息系统泄密事件及严重违规、违纪行为做出处理决定。
第五条 保密管理部门负责计算机和信息系统的安全保密指导、监督和检查。主要职责是:
(一)指导计算机和信息系统安全保密建设规划、方案的编制及实施工作;
(二)监督计算机和信息系统安全保密管理制度、措施的落实;
(三)组织开展计算机和信息系统安全保密专项检查和技术培训;
(四)参与计算机和信息系统安全保密的风险评估、分析及安全保密策略的制定工作。
第六条 信息化管理部门负责计算机和信息系统的安全保密管理工作。主要职责是:
(一)负责计算机和信息系统安全保密建设规划、方案、制度的制订和实施;
(二)负责计算机和信息系统安全保密技术措施的落实及运行维护管理;
(三)负责建立、管理信息设备台帐;
(四)负责计算机和信息系统安全保密策略的制定、调整、更新和实施;
(五)定期组织开展风险评估、风险分析,提出相应的安全措施建议,并编制安全保密评估报告;
(六)开展计算机和信息系统安全保密技术检查工作;
(七)涉及计算机和信息系统有关事项的审查、审批;
(八)计算机和信息系统安全保密的日常管理工作。
第七条 公司应结合工作实际设定涉密计算机和信息系统的系统管理员、安全保密管理员、安全审计员,分别负责涉密计算机和信息系统的运行、安全保密和安全审计工作。“三员”的权限设置应当相互独立、相互制约,安全保密管理员与安全审计员不得由一人兼任。
没有涉密信息系统,只使用单台涉密计算机的单位,应当配备安全保密管理员。
第八条 涉密计算机和信息系统管理人员应当符合以下要求:
(一)符合国家及集团公司对涉密人员的要求;
(二)熟悉计算机和信息系统各项安全保密法律、法规和标准;
(三)熟练掌握有关专业知识和业务技能;
(四)通过国家有关部门的上岗培训,并获得上岗资格。
第三章 涉密信息系统的建设管理
第九条 建设涉密信息系统必须依照国家有关规定、标准和规范进行,安全保密设施必须与涉密信息系统同步规划、同步建设、同步运行。
第十条 建设涉密信息系统,应当在方案设计前,由保密委员会根据所建系统拟涉及国家秘密的最高密级确定保护等级。
第十一条 涉密信息系统建设方案的设计应当选择具有相应涉密资质的单位承担,建设方案按照建设系统的对应密级进行定密和管理。建设方案完成后,由保密办报请上级保密管理部门组织评审并备案。
第十二条 涉密信息系统建设过程中,必须采取严格的安全保密管理措施。系统集成、综合布线、系统服务、系统咨询、软件开发、工程监理等,应当选择具有相应资质的单位承担,并明确提出保密要求,签订保密协议。涉及国家秘密的工程资料应当根据需要控制发放,并做出登记。工程完工后,应当按登记如数收回。施工现场应当采取措施,禁止无关人员进入。
第十三条 涉密信息系统所采用的安全保密产品,必须选用通过国家相关主管部门授权测评机构检测合格的产品,并应当查验产品合格证书、产品检测报告中所描述的适用范围及其有效期。
第十四条 涉密信息系统的测评工作统一由集团公司保密办委托国家涉密信息系统测评中心兵器分中心实施。
第十五条 涉密信息系统经测评完成,取得涉密信息系统检测评估报告后,由上级保密管理部门向集团公司保密办正式提交《涉及国家秘密的信息系统投入使用申请书》,并经集团公司保密办审核批准后,报相关保密行政管理部门审批,领取《涉及国家秘密的信息系统使用许可证》。
第十六条 新建涉密信息系统在投入运行前,应当经地方保密工作部门审批,在未取得《涉及国家秘密的信息系统使用许可证》前,不得投入使用。在正式运行之前,不得存储和处理国家秘密信息。
第十七条 涉密信息系统在设计、评审、施工及验收过程中发生失泄密事件或因有关工程信息资料泄露导致涉密信息系统防护措施失效、削弱的,属于建设单位责任的,由建设单位承担;属于其他环节责任的,由相关环节负责人负责。
第四章 信息设备台帐与标识管理
第十八条 信息化管理部门应当根据实际,建立信息设备总台帐,内设机构或部门应当相应建立二级台帐。信息设备台帐可按以下类别分类:
(一)计算机,包括服务器、用户终端;
(二)网络设备和外部设备,包括交换机、路由器、网关、网闸、vpn设备、打印机、制图(绘图)机、扫描仪、光盘刻录机(外接式)等;
(三)安全保密产品,包括计算机病毒防护产品,密码产品及身份鉴别、访问控制、安全审计、入侵检测、边界防护和电磁泄漏发射防护等产品;
(四)移动存储介质。
第十九条 各类台帐应当包括以下内容:
(一)计算机管理台帐:部门、责任人、名称型号、密级或用途、操作系统安装日期、硬盘序列号、ip地址、mac地址、使用情况等;
(二)网络设备和外部设备管理台帐:部门、责任人、名称、型号、使用情况等;
(三)安全保密产品管理台帐:责任人、名称、型号、检测证书名称和编号、购置时间、使用情况等;
(四)移动存储介质管理台帐:部门、责任人、名称、编号、序列号、密级或用途、使用情况等。
第二十条 信息设备台帐管理工作实行专人负责,动态管理,并建立、健全信息设备从配置到销毁全过程的报告、审批和定期核验机制,确保信息设备台帐能够适时、准确的反映信息设备的客观情况。
第二十一条 公司应对信息设备进行标识管理。设备标识由公司统一制作。
标识内容应与台帐信息的主要内容相符,并保持完好。不得故意损毁、涂改、撕揭或擦除。计算机和信息系统中的服务器、用户终端、外部设备、存储介质、安全保密产品等,应当根据其处理和存储信息的最高密级或主要用途进行标识。标识应当粘贴在明显位置,并与涉密信息的存储部件相关联。
移动存储介质如无法粘贴标识的,可以采取不可擦除的方式标注。
第五章 计算机和信息系统的保密管理
第二十二条 计算机和信息系统的使用管理必须遵守如下规定:
(一)严禁使用涉密计算机和信息系统连接国际互联网或公共信息网络;
(二)严禁使用连接国际互联网或公共信息网络的计算机及其它非涉密计算机存储、处理涉密信息;
(三)严禁将涉密计算机接入内部非涉密网络。
第二十三条 涉密信息系统经安全保密技术测评,并正式投入运行后,如发生下列变更事项时,应当及时报告上级保密管理部门和负责审批的保密行政管理部门:
(一)涉密等级;
(二)连接范围;
(三)环境设施;
(四)主要应用;
(五)安全保密责任管理单位。
由保密行政管理部门决定是否需要重新进行测评和审批。
第二十四条 外部信息导入涉密计算机和信息系统的,应当通过中间转换机或经过国家相关部门批准的安全可靠的信息交换措施进行。使用中间转换机转换信息的,中间转换机应当按涉密和非涉密分别设立,并严格按照相关标准的规定程序进行操作。
第二十五条 涉及涉密计算机和信息系统的设备,应当由单位统一选配,统一安装,严格控制,规范使用。
第二十六条 禁止在涉密计算机和信息系统中使用无线键盘、无线鼠标、无线网卡、无线路由器等具有无线功能的设备或产品。
第二十七条 涉密计算机和信息系统应当根据其相应密级采取对应的身份鉴别、数字签名、访问控制、安全审计、信息加密、数据保护、介质管理、防违规外联等技术措施。
第二十八条 涉密计算机和信息系统服务器、用户终端应当设置相关安全策略,设置原则是:关闭全部共享、与应用无关的所有端口、服务、链接和系统授权。
第二十九条 涉密计算机和信息系统应当采取计算机病毒防护措施,定期对计算机病毒与恶意代码防护措施进行查验,并及时更新计算机病毒与恶意代码样本库。更新周期为:涉密信息系统不超过3天,单台涉密计算机不超过15天。
第三十条 各单位应建立统一的补丁程序分发安装机制,在补丁程序发布后3个月内及时安装,保证系统的安全性,对不能安装系统补丁程序的非正版操作系统,应当更换操作系统。
第三十一条 下列事项必须报经信息化管理部门批准后由相关管理人员实施:
(一)因系统崩溃、操作系统损坏等原因需重新安装操作系统的;
(二)更改或清除涉密计算机和信息系统的移动存储介质及外部设备安装、使用等日志记录的;
(三)因工作需要对涉密计算机和信息系统安装、扩展、缩减、拆卸软硬件的;
(四)因工作需要卸载、修改涉密信息系统的安全技术程序、管理程序的。
第三十二条 需经常安装的应用软件和软件工具,经信息化管理部门审批后,由系统管理员上传到指定的服务器或存储在一次性刻录光盘中,供涉密计算机和信息系统用户终端下载、安装使用。
第三十三条 公司要加强对连接国际互联网计算机的管理和使用,应遵循以下原则:
(一)未经批准,不得擅自以任何方式连接国际互联网;
(二)公司集中使用的国际互联网计算机应当指定专人负责管理,分散使用的国际互联网计算机应当明确责任人,做好上网记录;
(三)应制定国际互联网信息发布管理制度,明确需要通过保密审查的信息范围和审查程序。审查一般应由拟发布信息的业务主管部门负责,业务主管部门把握不准的,由保密管理部门审查,单位业务主管领导审批;
(四)公司应采取有效技术措施,对通过互联网或公共信息系统发送电子邮件等信息进行监控和记录。
第三十四条 密码设备的使用和管理按照公司有关规定执行。
第六章 便携式计算机和存储介质保密管理
第三十五条 建立健全便携式计算机和移动存储介质的管理制度和措施,根据工作实际,采取集中管理,指定专人负责。
第三十六条 涉密便携式计算机应当拆除具有无线联网功能(如无线网卡、蓝牙、红外等)的硬件模块,如无法进行拆除的,不得作为涉密计算机使用。
第三十七条 携带涉密便携式计算机和移动存储介质外出,应当履行审批手续和领用前状态检查;返还时,应当对外出使用情况进行技术检查。
第三十八条 外出携带涉密便携式计算机和移动存储介质要确保安全,全程有效控制。同时携带涉密便携式计算机和移动存储介质时,二者应分开保管。
第三十九条 不得使用低密级便携式计算机和移动存储介质存储、处理高密级信息;不得在低密级计算机上使用高密级移动存储介质。
第四十条 在涉密计算机和信息系统内使用的存储介质应当采取有效的技术控制措施,确保未经授权的移动存储介质不能在涉密计算机和信息系统中使用。
第四十一条 在使用便携式计算机和移动存储介质时不得有下列行为:
(一)在非涉密便携式计算机和移动存储介质中存储、处理涉密信息的;
(二)涉密移动存储介质在非涉密计算机和信息系统中使用的;
(三)将非涉密和个人具有存储功能的介质和设备接入涉密计算机和信息系统的;
(四)私自携带涉密便携式计算机和移动存储介质外出的;
(五)移动存储介质在涉密计算机、信息系统和非涉密计算机、信息系统之间交叉使用的。
第四十二条 涉密移动存储介质不得降为非涉密移动存储介质使用。
第七章 信息安全保密管理
第四十三条 涉密计算机和信息系统中的涉密信息应当标明密级,密级标识不得与正文分离。标注方式应当遵行以下原则:
(一)处于起草、设计、编辑、修改过程中和已完成的电子文档、图表、图形、图像、数据等,只要内容涉及国家秘密,在首页应当标明密级;
(二)电子数据文件、图表、图形、图像等涉密信息在首页无法直接标注密级标识的,可将密级标识作为文件名称的一部分进行标注;
(三)涉及国家秘密的程序、数据库文件、数据文件、视频文件等,在软件运行首页、数据视图首页和影像播映首页应当标注密级。
第四十四条 涉密计算机和信息系统应当采取有效的技术控制措施,禁止涉密信息非授权输出。涉密信息系统中涉密信息输出点要按照最小化原则设置。指定专人负责。
第四十五条 涉密信息远程传输应当按照国家有关规定采取密码保护措施,存储与传输、使用的加密措施应当与涉密信息的密级相适应,并得到国家主管部门批准。
第四十六条 密钥的管理和使用应符合国家有关安全保密规定,并接受国家相关主管部门的指导和监督。
第四十七条 公司应当制定完善的涉密信息备份制度,并采取有效的防盗、防灾措施,保证备份的安全。
第四十八条 涉密计算机软硬件配置情况及本身有涉密内容的各种应用软件等信息,不得进行公开学术交流,不得公开发表。
第八章 维修、报废与销毁
第四十九条 涉密计算机和信息系统服务器、用户终端、外部设备、存储介质发生故障时,使用部门应当向信息管理部门提出维修申请,经批准后维修。涉密计算机和信息系统、存储介质维修应当遵循以下原则:
(一)现场维修时,一般应当由公司内部维修人员实施;需外部人员到现场维修时,维修过程中应当由有关人员旁站陪同;禁止维修人员恢复、读取和复制被维修设备中的涉密信息;禁止通过远程连接,对涉密计算机和信息系统进行维修和维护工作;
(二)需要带离现场进行维修的,应当拆除所有可能存储过涉密信息的硬件和固件。维修地点在公司内部的,应在符合保密要求的维修场所进行;维修地点在外部的,应与维修单位和维修人员签订保密协议;
(三)设备中存储过涉密信息的硬件和固件不能拆除或发生故障时,如不能保证安全的,应当按照涉密载体销毁要求予以销毁;确需维修时,送至具有涉密信息系统数据恢复资质的单位进行维修,并由专人负责取送;
(四)信息化管理部门应当建立维修日志和档案,并将所有涉密设备维修情况记录在案,记录内容应包括维修单位、维修人、故障现象、保密措施、维修内容、维修结果、监督检查等。
第五十条 禁止将未经安全技术处理的退出使用的涉密计算机、涉密存储设备赠送、出售、丢弃或改作其他用途。如将退出使用的涉密计算机、涉密存储设备赠送、出售、丢弃或改作其他用途时,应当经信息化管理部门审批,拆除涉密存储部件和固件上交保密办进行销毁处理。
第五十一条 保密管理部门应建立报废、销毁涉密设备和存储介质台帐。报废、销毁涉密设备和存储介质应当履行清点、登记、审批手续,并将涉密设备和存储介质的密级、型号规格、经办人、采取的方法措施以及最终去向等情况记录在案并归档。
第九章 场所的安全保密
第五十二条 安装、使用涉密计算机信息系统的场所,应与境外机构驻地和人员住所保持相应的安全距离,并根据所处理信息的涉密程度设立必要的控制区域,未经批准无关人员不得进入。
第五十三条 安装、使用涉密计算机信息系统的场所应当每半年或根据需要,由公司保密管理部门组织安全保密技术检查。
第五十四条 安装、使用涉密计算机和信息系统的场所采取的电磁泄漏发射防护措施应当满足bmb5-2000《涉密信息设备使用现场的电磁泄漏发射防护要求》,有关设备或技术措施应得到国家保密行政管理部门或国家安全部门的认可。
第五十五条 安装、使用涉密计算机信息系统场所的其它物理安全要求,应符合国家有关安全保密管理要求,保密级别按系统中的最高密级设定。
第五十六条 涉密计算机信息系统的中心机房和密码机房应列为保密要害部位进行管理,建立健全相应安全保密制度和采取有效的出入控制措施。
第十章 监督管理
第五十七条 对违反本办法使用涉密信息系统的部门和个人,保密办责令其限期整改。对拒不整改的,停止使用,由单位给予处罚。
第五十八条 保密管理部门和信息化管理部门要经常对涉密计算机和信息系统、存储介质的使用、管理情况进行检查。对违反保密管理规定的,及时做出处理。造成失泄密的,要给予相关责任人行政处分和经济处罚,情节严重的,应依据国家有关法律追究有关领导和直接责任人的法律责任。
第五十九条 发现涉密信息设备、移动存储介质遗失、被盗,在全力查找、追缴的同时,报告上级保密管理部门和当地保密行政管理部门,并采取积极有效的措施减少失泄密隐患。
第十一章 附 则
第六十条 本办法由公司保密办负责解释。
第六十一条 本办法自_____年__月___日起执行。
52位用户关注
48位用户关注