ID:7974319
时间:2023-12-27 07:41:13
上传者:纸韵在现代社会中,规章制度是组织管理的重要手段之一,有助于规范人们的行为和活动。每个组织都应根据自身实际情况,制定适合自己的规章制度,并加以严格执行。
一、为保障局内计算机信息系统安全,防止计算机网络失密泄密事件发生,根据《中华人民共和国计算机信息系统安全保护条例》及有关法律法规,结合本局实际制定本局的安全保密制度。
二、为防止病毒造成严重后果,对外来光盘、软件要严格管理,原则上不允许外来光盘、软件在局内局域网计算机上使用。确因工作需要使用的,事先必须进行防(杀)毒处理,证实无病毒感染后,方可使用。
三、严格限制接入网络的计算机设定为网络共享或网络共享文件,确因工作需要,要在做好安全防范措施的前提下设置,确保信息安全保密。
四、为防止黑客攻击和网络病毒的侵袭,接入网络的计算机一律安装杀毒软件,及时更新系统补丁和定时对杀毒软件进行升级,并安装必要的局域网arp拦截防火墙。
五、本局酝酿或规划重大事项的材料,在保密期间,将有关涉密材料保存到非上网计算机上。
六、各科室禁止将涉密办公计算机擅自联接国际互联网。
七、保密级别在秘密以下的材料可通过电子信箱、qq或msn传递和报送,严禁保密级别在秘密以上(含秘密)的材料通过电子信箱、qq或msn传递和报送。
一、岗位管理制度:
(一)计算机上网安全保密管理规定
1、未经批准涉密计算机一律不许上互联网,如有特殊需求,必须事先提出申请报主管领导批准后方可实施,并安装物理隔离卡,在相关工作完成后撤掉网络。
2、要坚持“谁上网,谁负责”的原则,各科室科长负责严格审查上网机器资格工作,并报主管领导批准。
3、国际互联网必须与涉密计算机系统实行物理隔离。
4、在与国际互联网相连的信息设备上不得存储、处理和传输任何涉密信息。
5、加强对上网人员的保密意识教育,提高上网人员保密观念,增强防范意识,自觉执行保密规定。
(二)涉密存储介质保密管理规定
1、涉密存储介质是指存储了涉密信息的硬盘、光盘、软盘、移动硬盘及u盘等。
2、有涉密存储介质的科室需妥善保管,且需填写“涉密存储介质登记表”。
3、存有涉密信息的存储介质不得接入或安装在非涉密计算机或低密级的计算机上,不得转借他人,不得带出工作区,下班后存放在本单位指定的柜中。
4、各科室负责管理其使用的各类涉密存储介质,应当根据有关规定确定密级及保密期限,并视同纸制文件,按相应密级的文件进行分密级管理,严格借阅、使用、保管及销毁制度。借阅、复制、传递和清退等必须严格履行手续,不能降低密级使用。
5、涉密存储介质的维修应保证信息不被泄露,需外送维修的要经主管领导批准,维修时要有涉密科室科长在场。
6、不再使用的涉密存储介质应由使用者提出报告,由
单位领导批准后,交主管领导监督专人负责定点销毁。
二、人员管理制度及操作规程:
(一)计算机维修维护管理规定
1、涉密计算机系统进行维护检修时,须保证所存储的涉密信息不被泄露,对涉密信息应采取涉密信息转存、删除、异地转移存储媒体等安全保密措施。无法采取上述措施时,涉密科室科长必须在维修现场,对维修人员、维修对象、维修内容、维修前后状况进行监督并做详细记录。
2、各涉密科室应将本科室设备的故障现象、故障原因、扩充情况记录在设备的维修档案记录本上。
3、凡需外送修理的涉密设备,必须经主管领导批准,并将涉密信息进行不可恢复性删除处理后方可实施。
4、高密级设备调换到低密级单位使用,要进行降密处理,并做好相应的设备转移和降密记录。
5、由办公室指定专人负责各涉密科室计算机软件的安装和设备的维护维修工作,严禁使用者私自安装计算机软件和擅自拆卸计算机设备。
6、涉密计算机的报废交主管领导监督专人负责定点销毁。
(二)用户密码安全保密管理规定
1、用户密码管理的范围是指本局所有涉密计算机所使用的密码。
2、机密级涉密计算机的密码管理由涉密科室负责人负责,秘密级涉密计算机的密码管理由使用人负责。
3、用户密码使用规定。
(1)密码必须由数字、字符和特殊字符组成;
(2)秘密级计算机设置的密码长度不能少于8个字符,密码更换周期不得多于30天;
(3)机密级计算机设置的密码长度不得少于10个字符,密码更换周期不得超过7天;
4、密码的保存。
(1)秘密级计算机设置的用户密码由使用人自行保存,严禁将自用密码转告他人;若工作需要必须转告,应请示主管领导认可。
(2)机密级计算机设置的用户密码须登记造册,并将密码本存放于保密柜内,由科室主任、科长管理。
(三)涉密电子文件保密管理规定
1、涉密电子文件是指在计算机系统中生成、存储、处理的机密、秘密和内部的文件、图纸、程序、数据、声像资料等。
2、电子文件的密级按其所属项目的最高密级界定,其生成者应按密级界定要求标定其密级,并将文件存储在相应的目录下。
3、各用户需在本人的计算机系统中创建“机密级文件”、“秘密级文件”、“内部文件”三个目录,将系统中的电子文件分别存储在相应的目录中。
4、电子文件要有密级标识,电子文件的密级标识不能与文件的正文分离,一般标注于正文前面。
5、电子文件必须定期、完整、真实、准确地存储到不可更改的介质上,并集中保存,然后从计算机上彻底删除。
悉此备份的人数,做好登记后进保密柜保存。
7、各科室要对备份电子文件进行规范的登记管理。备份可采用磁盘、光盘、移动硬盘、u盘等存储介质。
8、涉密文件和资料的备份应严加控制。未经许可严禁私自复制、转储和借阅。对存储涉密信息的磁介质应当根据有关规定确定密级及保密期限,并视同纸制文件,分密级管理,严格借阅、使用、保管及销毁制度。
9、备份文件和资料保管地点应有防火、防热、防潮、防尘、防磁、防盗设施,并进行异地备份。
(四)涉密计算机系统病毒防治管理规定
1、涉密计算机必须安装经过国家安全保密部门许可的查、杀病毒软件。
2、每周升级和查、杀计算机病毒软件的病毒样本。确保病毒样本始终处于最新版本。
3、绝对禁止涉密计算机在线升级防病毒软件病毒库,同时对离线升级包的来源进行登记。
4、每周对涉密计算机病毒进行一次查杀检查。
5、涉密计算机应限制信息入口,如软盘、光盘、u盘、移动硬盘等的使用。
6、对必须使用的外来介质(磁盘、光盘,u盘、移动硬盘等),必须先进行计算机病毒的查、杀处理,然后才可使用。
7、对于因未经许可而擅自使用外来介质导致严重后果的,要严格追究相关人员的责任。
(五)上网发布信息保密规定
1、上网信息的保密管理坚持“谁发布谁负责”的原则。凡
向国际联网或本单位的网站提供或发布信息,必须经过保密审查批准,报主管领导审批。提供信息的单位应当按照一定的工作程序,健全信息保密审批制度。
2、凡以提供网上信息服务为目的而采集的信息,除在其它新闻媒体上已公开发表的,组织者在上网发布前,应当征得提供信息单位的同意。凡对网上信息进行扩充或更新,应当认真执行信息保密审核制度。
3、涉密人员在其它场所上国际互联网时,要提高保密意识,不得在聊天室、电子公告系统、网络新闻上发布、谈论和传播国家秘密信息。
4、使用电子函件进行网上信息交流,应当遵守国家保密规定,不得利用电子函件传递、转发或抄送国家秘密信息。
2015年3月1日
一、计算机信息系统保密管理
1、涉密计算机系统保密建设方案应经过市委保密委员会的审查批准,未经审批不得投入运行。
2、进入涉密计算机系统应进行身份鉴别,要按要求设置并定期更新涉密系统口令。
3、涉密计算机系统应当与国际互联网物理隔离。严禁以任何方式将涉密计算机联入国际互联网或其他非涉密计算机系统。
4、涉密计算机系统工作场所应作为保密要害部位进行管理。
5、机关工作人员不得越权访问涉密信息。
6、涉密计算机系统安全保密管理员、密钥管理员和系统管理员应由不同人员担任,并且职责明确。
二、涉密计算机使有管理
1、承担涉密事项处理的计算机应专机专用,专人管理,严
格控制,不得他人使用。
2、禁止使用涉密计算机上国际互联网或其它非涉密信息系统。
3、严格一机两用操作程序,未安装物理隔离卡的涉密计算机严禁连接国际互联网或其它非涉密信息系统。
4、涉密计算机系统的软件配置情况及本身有涉密内容的各种应用软件,不得进行外借和拷贝。
5、未经许可,任何私人的光盘、软盘、u盘不得在涉密计算机机设备上使用;涉密计算机必需安装防毒软件并定期升级。
三、笔记本电脑使用管理
1、涉密笔记本电脑由办公室统一管理,使用时必须履行登记手续。
2、涉密笔记本电脑严禁安装无线网卡等无线设备,严禁联接国际互联网。
3、涉密笔记本电脑限委机关工作人员使用,禁止将涉密笔记本电脑借与他人。
4、涉密笔记本电脑中的涉密信息不得存入硬盘,要存入软盘、移动硬盘、u盘等移动存储介质,必须定期清理,与涉密笔记本电脑分离保管。
5、不准携带储涉密信息的笔记本电脑出国或去公共场所,确因工作需要携带的,必须办理相关审批手续。
四、移动存储介质使用管理
1、涉密存储介质由办公室统一管理,使用时必须履行登记手续。
2、涉密存储介质应按存储信息的最高密级标注密级,并按相同密级的秘密载体管理。
3、禁止将涉密存储介质接入非涉密计算机使用。
4、不得将涉密存储价质带出办公场所,如因工作需要必须带出的,需履行相应的审批和登记手续。
5、个人使用的u盘等移动存储介质,不得存储涉密信息,因工作需要必须使用的,使用后要及时消除密信息。
五、数码复钱机、多功能一体机使用管理
1、数码复印机、多功能一体机必须指定专人使用,其他任何人未经许可,不得使用。
2、处理涉密信息的数码复印机、多功能一体机不得连接普通电话线,不得与委局域网连接。
3、复制涉密文件、资料、图纸等必须严格履行审批手续,复制件必须按密件处理,不得降低密级使用。
4、处理涉密信息完毕后,必须立即销毁存储的涉密信息。
六、国际互联网上发布信息保密制度
1、在国际互联网上发布信息必须由办公室统一管理,指定专人负责操作,其它科室和个人不得擅自在互联网上发布涉及工作内容的任何信息。
2、在国际互联网上发布涉及工作内容的信息必须履行审批手续,必须由市建设口保密领导小组审查后,交一把手书记签批手方可发布。
3、严禁将任何涉密文件、信息等发布到国际互联网上。
4、严禁将案件、信访信息发布到国际互关风上。
本制度从发文之日起执行。
第一章 总 则
第一条 *******计算机信息系统是全县农村信用社发展各项业务的核心技术手段,为了保护计算机网络系统的安全,根据《中华人民共和国保守国家秘密法》、《计算机信息系统保密暂行规定》等法律、法规制订本办法。
第二条 本办法所称的计算机信息系统,是指由计算机、网络设备、数据信息以及其相关配套的设备、设施构成的,按照一定的应用目标和规则对数据信息进行采集、加工、存储、传输、检索等处理的人机系统。
第三条 本办法下列用语的含义。
计算机信息系统安全是指计算机信息系统的硬件、软件、网络和数据的安全必须受到保护,不因自然的和人为的原因而遭到破坏、更改和丢失,以保证计算机信息系统能连续正常运行。
计算机信息系统保密是指对涉及*******商密的'包括但不限于计算机信息系统的软件、硬件、系统数据信息、技术开发文档、管理及操作规定、自有知识产权产品等资料、信息保守秘密,包括利用密码技术对信息进行加密处理,防止信息非法泄露,保障*******的利益。
第四条 计算机信息系统的安全保密,指保障计算机、数据
信息网络及其相关的和配套的设备、设施的安全,保障运行环境(机房)的安全,保障信息的安全,保障计算机和网络功能的正常发挥,防止工作或政治因素造成的失密、泄密,防止人为或自然灾害等造成的破坏,以及防止利用计算机犯罪等。
第五条 *******计算机网络系统安全领导小组(以下简称“计算机安全领导小组”)的领导下,科技部门按相关管理规定,负责计算机信息系统安全保密工作。
第六条 *******(以下简称“***”)各部室必须指定专人负责本部门有关信息系统的安全保密工作,其主要职责是:
(一)定期向***保密委报告安全保密工作情况;
(二)督促本部门安全保密措施的贯彻执行;
(三)组织安全保密检查;
(四)进行安全保密教育。
第七条 任何单位和个人,不得利用计算机网络系统从事或危害农村信用社利益的活动,不得危害计算机网络系统的安全。
第二章 计算机及网络系统
第八条 设备选型、购置须经充分论证,做好验收,对密钥、密码、参数等信息应做好接交保管,网络设备要特别关注其保密性能。
第九条 购入的计算机网络安全设备,必须经国家有关部门进行安全、保密认证,系统运行期间,不得随意更改其系统配置。
第十条 建立常规硬件系统维护管理制度,保持维护计算机和网络设备、工具和资料处于良好状态,备件应有库存帐,可随时查阅,并根据具体情况补充和更新。防止重大事故,应有应急处理的措施。
第十一条 各级操作人员必须进行必要的安全保密培训,在职责范围内严格按相关操作规程进行操作。
第十二条 应用系统软件、数据应有备份;有故障时能及时采取措施进行处理,并应对工作人员定期进行训练和演习。 第十三条 应用系统在设计上严格控制涉密文件信息查询、检索的人员范围,严格管理用户使用权限。系统软硬件一经安装、调试、正式运行,各部(室)、***、**未经***科技部门许可,不得自行对其更改配置。
第十四条 制定设备、软件管理细则,应用软件开发要严格按照有关规定执行。
第十五条 计算机操作(或应用)系统版本的更新、升级须拟出方案,应用系统须经过严测试,凭更新、升级方案和测试报告,经科技部门负责人批准后由系统维护人员进行,应用系统的文档资料,无关人员一律不得查阅。
第十六条 传输秘密以上级别的信息时,通信两端设备需在相应安全环境中,对所传输数据,要采取加密措施。
第三章 介质、资料的管理
第十七条 应用系统使用、产生的介质(磁性存储介质、电
子存储介质、光存储介质等)或资料(纸质文档、电子文档、程序等)要按其重要性进行分类,对存放有关键或重要数据的介质和资料,应复制必要的份数,并分别存放在不同的安全地方,建立严格的保密保管制度。
第十八条 保留在机房内的介质或资料,应为系统有效运行所必需的最少数量,除此之外,不应保留在机房内。
第十九条 存放介质、资料的库房,必须设有防火、防潮、防高温、防震、防电磁场、防静电及防盗等的设施。
第二十条 介质(资料)库,应设专人负责登记保管,未经批准,不得向第三方提供。
第二十一条 系统内有关人员在使用介质(资料)期间,应严格按国家相关保密规定进行控制,不得转借或复制,需要使用或复制的须经相关领导批准。
第二十二条 库房保管人对所有介质(资料)应定期检查,根据介质的安全保存期限,及时更新复制。损坏、废弃或过期的介质(资料)应由专人负责处理,秘密级以上的介质(资料)在超过保密期或废弃不用时,要及时销毁。
第二十三条 机密数据处理作业结束时,应及时清除存储器、联机磁带、磁盘及其它介质上有关作业的程序和数据,应及时销毁废弃的打印纸。
第四章 计算机及网络系统的环境
第二十五条 机房选点尽量避开便于驻留无关人员的场所。 第二十六条 计算机系统设备场地,应具备应急照明供电;应急报警设施,应急安全断电线路。
第二十七条 在计算机房、办公设施、通讯及动力设施附近施工危害计算机信息系统安全的,由***会同有关单位进行交涉。
第二十八条 制定机房出入管理制度,对每个工作人员授予不同权限,规定活动区域。设立值班人员负责监督制度的执行和安全保卫工作。
第五章 安全保密制度
第二十九条 计算机信息系统的建设和应用,应当遵守国家有关法律、行政法规和***其它有关规定。
安全等级保护的具体办法由省清算中心制定。
第三十一条 计算机机房、办公、防雷、消防、通讯及供配电设施应当符合国家标准和国家有关规定。在上述设施附近施工,不得危害计算机网络系统的安全。因施工危害计算机信息系统安全的,由相关部门与施工单位进行交涉。
第三十二条 要求接入国际互联网的计算机,由使用部门提出申请,经科技部门按规定审核后,报分管领导审批。
第三十三条 携带或邮寄计算机介质(资料)的,应当如实向***计算机安全领导小组申报。
第三十四条 对计算机信息系统中发生的案件,应按规定及时向***及相关部门报告。 第三十五条 联网计算机应定期进行查、杀病毒操作,发现计算机新病毒,应按照规定及时向*******计算机病毒防治工作小组报告。
第六章 人员内控管理
第三十六条 人员审查。
人员的审查必须根据计算机网络系统所规定的安全等级来确定审查标准。凡接触系统安全三级以上信息系统的所有人员,必须按机要人员的条件进行审查。
第三十七条 关键岗位人选。
以保证这部分人员可信可靠,能胜任本职工作。关键岗位人员要实行定期强制休假制度。 第三十八条 人员培训。
计算机信息系统上岗的所有工作人员,均需由有关部门组织上岗培训,包括计算机及网络操作、维护培训、应用软件操作培训、计算机网络系统安全课程及保密教育培训,经培训合格的人员持证上岗。
第三十九条 人员考核。
人事部门要定期组织有关方面人员对计算机网络系统所有的工作人员从政治思想、业务水平、工作表现、遵守安全规程等方面进行考核,对于考核发现有违反安全法规行为的人员或发现不适于接触计算机网络系统的人员要及时调离岗位,不应让其再接触系统,对情节严重的应追究其法律责任。 第四十条 签订保密协议。
对于所有进入计算机网络系统工作的人员,均应签订保密契约,承诺其对系统应尽的安全保密义务,保证在岗工作期间和离岗后均不得违反保密契约,泄漏系统秘密。对违反保密契约的,应有惩处条款。对接触机密信息的人员,应规定在离岗后的多长时期内不得离境。
第四十一条 人员调离。
资料。更换系统口令和用户名。自调离决定通知之日起,必须立即进行上述工作,不得拖延。
第七章 操作安全管理
第四十二条 系统操作安全管理目标。
系统操作是指对计算机信息系统开发、操作、维护、系统管理等人员的行为或活动。全县农村信用社计算机信息系统操作安全管理的目标是:
(一)对系统管理及系统操作均应进行有效的监督或监控;
(二)所有接触系统的人员均应承担与其工作性质相应的安全责任。
第四十三条 计算机操作人员分类。
对计算机信息系统的操作人员,应根据计算机信息系统有限职责、有限使用授权原则进行分类。
(一)营业网点操作员、管理人员。
(二)事后监督系统操作员、管理人员。
(三)办公自动化系统操作、管理人员。
(四)网络及硬件维护人员。
(五)系统运行维护人员。
(六)中心系统管理人员。
(七)安全管理人员。
第四十四条 系统操作控制管理。
(一)应按照分工负责、互相制约的原则制定各类系统操
(二)各类人员在履行职责时要按规定行事,不得从事超越自己职责以外的任何操作。
(三)在对生产系统和监督系统进行系统维护、恢复、强行更改数据时,至少应有两名操作人员在场、并进行详细的登记及签名。
(四)系统稽核人员、安全管理人员有权对生产系统进行监督与核查,但该过程必须履行必要的手续和按照一定的程序进行。
(五)应为长期从事计算机工作的人员创造合适的人机工作环境。使他们享有相应的劳动保护,定期进行专门体检,保持身心健康。
第八章 安全保密监督
第四十五条 科技部门对计算机信息系统安全保密工作,行使下列监督职权:
(一)监督、检查、指导计算机信息系统安全保密工作;
(二)检查危害计算机信息系统安全的违规事件;
议对策。
第九章 奖励和惩处
第四十七条 违反本办法的规定,有下列行为之一的,由计算机安全领导小组处以警告或者停机整顿,严重的应依据《中华人民共和国保守国家秘密法》的有关条款进行处理并追究单位领导的责任。
(一)违反计算机信息系统安全等级制度,危害计算机信息系统安全的;
(二)不按照本办法规定时间报告计算机信息系统中发生的案件的;
(三)接到有关要求改进安全保密状况的通知后,在限期内不予改进的;
(四)对本办法贯彻不力,造成事故隐患,影响系统正常运行的;
(五)违反本办法造成严重损失或造成重大失泄密的。 第四十八条 对于引入计算机病毒以及其他有害数据危害计算机信息系统安全的,或者未经许可使用计算机信息系统安全专用产品的单位和个人,由***给予严肃处理。
第四十九条 凡是认真贯彻本规定要求,维护系统安全运行,杜绝事故发生,防止失泄密成绩显著者,或迅速排除故障,恢复系统正常运行或减少损失者,***应视情况给予表彰。
1、所有网络用户必须遵守《计算机信息系统国际互联网保密管理规定》及《中华人民共和国保守国家秘密法》。
2、网管员负责服务器设备的维护,定期对相应的网站信息进行审查、监控、备份,确保网站及校园网的正常运行。
3、网管员和信息员不得制作、复制、查阅和传播违返国家政策法规、扰乱社会秩序、封建迷信以及有意影响学校稳定局面的信息;不得利用计算机联网从事危害家安全、泄露秘密等犯罪活动。
4、网管员在工作时间内监视网站信息,发现本单位计算机存有各类违反政策及不健康信息,应当及时清除,发现恶意攻击行为,及时处理。
5、网络管理员定期举行网络安全培训,学习网络法律、法规,提高联网部门的保密意识,提高网络安全保密水平。
6、学校教师、学生应积极配合网站管理中心的工作,自觉参加各种培训强化网络安全意识,增强守法观念。
7、在校园网上不允许进行任何干扰网络用户,破坏网络设备的活动,不允许不以真实身份使用网络资源等。
8、校园网中对外发布信息的web服务器中的内容必须经领导审核,由负责人签署意见后再发布。
网站用户增强自我保护意识,经常更换口令,不随意把用户名给他人使用,否则,被授权者负全部责任。
1、为了处理工作中涉及的办公秘密信息和业务秘密信息,特制定计算机信息系统安全保密规定。
2、学校网络中心负责指导全校各部门入网人员的保密技术培训,落实技术防范措施。
3、各部门要有一名教师主管此项工作。要指定专人负责接入网络的安全保密管理工作和对上网信息的保密检查,落实好保密防范措施,对本单位上网人员进行保密教育和管理。
4、涉密信息不得在与国际网络联网的计算机系统中存储、处理和传输。
5、凡上网的信息,上网前必须进行审查,进行登记,“谁上网,谁负责”,确保国家机密不上网。
6、不得利用校园网从事危害国家安全,泄露国家机密的活动。
7、如在网上发现黄色的宣传品和出版物,要保护好现场,及时向校保卫部门汇报,依据有关规定处理。如发现泄露国家机密的情况,要及时报网络中心采取措施,同时向校园网领导小组报告。对违反规定造成后果的,依据有关规定进行处理,并追究部门领导的责任。
8、未经批准,任何人不得开设bbs,一经发现立即依法取缔。
9、对校园网内开设的合法论坛要积极推行论坛管理员负责制,论坛主持人经校园网领导小组批准备案。坚决取缔未经批准开设的非法论坛。
10、加强个人主页管理,对于在个人主页中张贴、传播有害信息的责任人要依法处理,并删除个人主页。
11、校内各机房要严格管理制度,落实责任人。引导学生开展健康、文明的网上活动,杜绝将电子阅览室和计算机房变相为娱乐场所。
12、对于问题突出,管理失控,造成有害信息传播的网站和网页,坚决依法予以关闭和清除;对于制作、复制、印发和传播有害信息的单位和个人要依法移交有关部门处理。
13、发生重大突发事件期间,校园网领导小组及各部门领导要加强网络监控,及时、果断地处置网上突发事件,维护校内稳定。
第一条为加强公司计算机和信息系统(包括涉密信息系统和非涉密信息系统)。
安全保密管理,确保国家秘密及商业秘密的安全,根据国家有关保密法规标准和中核集团公司有关规定,制定本规定。
第二条本规定所称涉密信息系统是指由计算机及其相关的配套设备、设施构成的,按照一定的应用目标和规定存储、处理、传输涉密信息的系统或网络,包括机房、网络设备、软件、网络线路、用户终端等内容。
第三条涉密信息系统的建设和应用要本着“预防为主、分级负责、科学管理、保障安全”的方针,坚持“谁主管、谁负责,谁使用、谁负责”和“控制源头、归口管理、加强检查、落实制度”的原则,确保涉密信息系统和国家秘密信息安全。
第四条涉密信息系统安全保密防护必须严格按照国家保密标准、规定和集团公司文件要求进行设计、实施、测评审查与审批和验收;未通过国家审批的涉密信息系统,不得投入使用。
第二章管理机构与职责。
第六条公司法人代表是涉密信息系统安全保密第一责任人,确保涉密信息系统安全保密措施的落实,提供人力、物力、财力等条件保障,督促检查领导责任制落实。
(二)协调处理有关涉密信息系统安全保密管理的重大问题,对重大失泄密事件进行查处。
第八条成立公司涉密信息系统安全保密领导小组,保密办、科技信息部(信息化)、党政办公室(密码)、财会部、人力资源部、武装保卫部和相关业务部门、单位为成员单位,在公司党政和保密委员会领导下,组织协调公司涉密信息系统安全保密管理工作。
第九条保密办主要职责:
(六)对涉密信息系统中各应用系统进行定密、变更密级和解密工作进行审核;
(七)组织查处涉密信息系统失泄密事件。
第十条。
科技信息部、财会部主要职责是:
(一)组织、实施涉密信息系统的规划、设计、建设,制定安全保密防护方案;
小组批准后组织实施,确保安全技术措施有效、可靠;
(六)配合保密办对涉密信息系统进行安全检查,对存在的隐患进行及时整改;
(七)制定应急预案并组织演练,落实应急措施,处理信息安全突发事件。
第十一条党政办公室主要职责:
按照国家密码管理的相关要求,落实涉密信息系统中普密设备的管理措施。
第十二条相关业务部门、单位主要职责:涉密信息系统的使用部门、单位要严格遵守保密管理规定,教育员工提高安全保密意识,落实涉密信息系统各项安全防范措施;准确确定应用系统密级,制定并落实相应的二级保密管理制度。
第十三条涉密信息系统配备系统管理员、安全保密管理员、安全审计员,其职责是:
(一)系统管理员负责系统中软硬件设备的运行、管理与维护工作,确保信息系统的安全、稳定、连续运行。系统管理员包括网络管理员、数据库管理员、应用系统管理员。
(二)安全保密管理员负责安全技术设备、策略实施和管理工作,包括用户帐号管理以及安全保密设备和系统所产生日志的审查分析。
(三)安全审计员负责安全审计设备安装调试,对各种系统操作行为进行安全审计跟踪分析和监督检查,以及时发现违规行为,并每月向涉密信息系统安全保密领导小组办公室汇报一次情况。
第三章系统建设管理。
第十四条规划和建设涉密信息系统时,按照涉密信息系统分级保护标准的规定,同步规划和落实安全保密措施,系统建设与安全保密措施同计划、同预算、同建设、同验收。
第十五条涉密信息系统规划和建设的安全保密方案,应由具有“涉及国家秘密的计算机信息系统集成资质”的机构编制或自行编制,安全保密方案必须经上级保密主管部门审批后方可实施。
第十六条涉密信息系统规划和建设实施时,应由具有“涉及国家秘密的计算机信息系统集成资质”的机构实施或自行实施,并与实施方签署保密协议,项目竣工后必须由保密办和科技信息部共同组织验收。
第十七条对涉密信息系统要采取与密级相适应的保密措施,配备通过国家保密主管部门指定的测评机构检测的安全保密产品。涉密信息系统使用的软件产品必须是正版软件。
第一节信息分类与控制。
第十八条涉密信息系统的密级,按系统中所处理信息的最高密级设定,严禁处理高于涉密信息系统密级的涉密信息。
第十九条涉密信息系统中产生、存储、处理、传输、归档和输出的文件、数据、图纸等信息及其存储介质应按要求及时定密、标密,并按涉密文件进行管理。电子文件密级标识应与信息主体不可分离,密级标识不得篡改。涉密信息系统中的涉密信息总量每半年进行一次分类统计、汇总,并在保密办备案。
第二十条涉密信息系统应建立安全保密策略,并采取有效措施,防止涉密信息被非授权访问、篡改,删除和丢失;防止高密级信息流向低密级计算机。涉密信息远程传输必须采取密码保护措施。
第二十一条向涉密信息系统以外的单位传递涉密信息,一般只提供纸质文件,确需提供涉密电子文档的,按信息交换及中间转换机管理规定执行。
第二十二条清除涉密计算机、服务器等网络设备、存储介质中的涉密信息时,必须使用符合保密标准、要求的工具或软件。
第二节用户管理与授权。
第二十三条根据本部门、单位使用涉密信息系统的密级和实际工作需要,确定人员知悉范围,以此作为用户授权的依据。
第二十四条用户清单管理。
(三)删除用户时,由用户本人所在部门、单位书面通知科技信息部,核准后由安全保密管理员即时将用户在涉密信息系统内的所有帐号、权限废止;“财务会计核算网”密办审核,公司分管领导审批。开通、审批坚持“工作必须”的原则。
第六十四条国际互联网计算机实行专人负责、专机上网管理,严禁存储、处理、传递涉密信息和内部敏感信息。接入互联网的计算机须建立使用登记制度。
第六十五条上网信息实行“谁上网谁负责”的保密管理原则,信息上网必须经过严格审查和批准,坚决做到“涉密不上网,上网不涉密”。对上网信息进行扩充或更新,应重新进行保密审查。
第六十六条任何部门、单位和个人不得在电子邮件、电子公告系统、聊天室、网络新闻组、博客等上发布、谈论、传递、转发或抄送国家秘密信息。
第六十七条从国际互联网或其它公众信息网下载程序和软件工具等转入涉密系统,经科技信息部审批后,按照信息交换及中间转换机管理规定执行。
第九章便携式计算机管理。
第六十八条便携式计算机(包括涉密便携式计算机和非涉密便携式计算机)实行“谁拥有,谁使用,谁负责”的保密管理原则,使用者须与公司签定保密承诺书。
第六十九条涉密便携式计算机根据工作需要确定密级,粘贴密级标识,按照涉密设备进行管理,保密办备案后方可使用。
第七十条便携式计算机应具备防病毒、防非法外联和身份认证(设置开机密码口令)等安全保密防护措施。
第七十一条禁止使用涉密便携式计算机上国际互联网和非涉密网络;严禁涉密便携式计算机与涉密信息系统互联。
第七十二条涉密便携式计算机不得处理绝密级信息。未经保密办审批,严禁在涉密便携式计算机中存储涉密信息。处理、存储涉密信息应在涉密移动存储介质上进行,并与涉密便携式计算机分离保管。
第七十三条禁止使用私有便携式计算机处理办公信息;严禁非涉密便携式计算机存储、处理涉密信息;严禁将涉密存储介质接入非涉密便携式计算机使用。
第七十四条公司配备专供外出携带的涉密便携式计算机和涉密存储介质,按照“集中管理、审批借用”的原则进行管理,建立使用登记制度。外出携带的涉密便携式计算机须经保密办检查后方可带出公司,返回时须进行技术检查。
第七十五条因工作需要外单位携带便携式计算机进入公司办公区域,需办理保密审批手续。
第十章应急响应管理。
第七十六条为有效预防和处置涉密信息系统安全突发事件,及时控制和消除涉密信息系统安全突发事件的危害和影响,保障涉密信息系统的安全稳定运行,科技信息部和财会部应分别制定相应应急响应预案,经公司涉密信息系统安全保密领导小组审批后实施。
第七十七条应急响应预案用于涉密信息系统安全突发事件。突发事件分为系统运行安全事件和泄密事件,根据事件引发原因分为灾害类、故障类或攻击类三种情况。
(一)灾害事件:根据实际情况,在保障人身安全前提下,保障数据安全和设备安。
5、其它未列出的不确定因素造成的事件,结合具体的情况,做出相应的处理。不能处理的及时咨询,上报公司信息安全领导小组。
第七十八条按照信息安全突发事件的性质、影响范围和造成的损失,将涉密信息系统安全突发事件分为特别重大事件(i级)、重大事件(ii级)、较大事件(iii级)和一般事件(iv级)四个等级。
(一)一般事件由科技信息部(或财会部)依据应急响应预案进行处置;
(四)特别重大事件由公司报请中核集团公司对信息安全突发事件进行处置。
第七十九条发生突发事件(如涉密数据被窃取或信息系统瘫痪等)应按如下应急响应的基本步骤、基本处理办法和流程进行处理:
(一)上报科技信息部和保密办;
(二)关闭系统以防止造成数据损失;
(三)切断网络,隔离事件区域;
(四)查阅审计记录寻找事件源头;
(五)评估系统受损程度;
(六)对引起事件漏洞进行整改;
(七)对系统重新进行风险评估;
(八)由保密办根据风险评估结果并书面确认安全后,系统方能重新运行;
(九)对事件类型、响应、影响范围、补救措施和最终结果进行详细的记录;
(十)依照法规制度对责任人进行处理。
第八十条科技信息部、财会部应会同保密办每年组织一次应急响应预案演练,检验应急响应预案各环节之间的通信、协调、指挥等是否快速、高效,并对其效果进行评估,以使用户明确自己的角色和责任。应急响应相关知识、技术、技能应纳入信息安全保密培训内容,并记录备案。
第十一章人员管理。
第八十一条各部门、单位每年应组织开展不少于1次的全员信息安全保密知识技能教育与培训,并记录备案。
第八十二条。
涉密人员离岗、离职,应及时调整或取消其访问授权,并将其保管的涉密设备、存储介质全部清退并办理移交手续。
第八十三条承担涉密信息系统日常管理工作的系统管理员、安全保密管理员、安全审计管理员应按重要涉密人员管理。
第十二章督查与奖惩。
第八十四条公司每年应对涉密信息系统安全保密状况、安全保密制度和措施的落实情况进行一次自查,并接受国家和上级单位的指导和监督。涉密信息系统每两年接受一次上级部门开展的安全保密测评或保密检查,检查结果存档备查。
第八十五条检查涉密计算机和信息系统的保密检查工具和涉密信息系统所使用的安全保密、漏洞检查(取证)软件等,应覆盖保密检查的项目,并通过国家保密局的检测。安全保密检查工具应及时升级或更新,确保检查时使用最新版本。
第八十六条各部门、单位应将员工遵守涉密计算机及信息系统安全保密管理制度的情况,纳入保密自查、考核的重要内容。对违反本规定造成失泄密的当事人及有关责任人,按公司保密责任考核及奖惩规定执行。
第十三章附则。
第八十七条本规定由保密办负责解释与修订。
第八十八条本规定自发布之日起实施。原《计算机磁(光)介质保密管理规定)[制度编号:(厂1908号)]、《涉密计算机信息系统保密管理规定》[制度编号:(20xx)厂1911号]、《涉密计算机采购、维修、变更、报废保密管理规定》[制度编号:(20xx)厂1925号]、《国际互联网信息发布保密管理规定》[制度编号:(20xx)厂1926号]、《涉密信息系统信息保密管理规定》[制度通告:(20xx)0934号]、《涉密信息系统安全保密管理规定》[制度通告:(20xx)0935号]同时废止。
为进一步加强学生学籍信息资料保密管理工作,杜绝泄密隐患,确保学生、家长隐私的安全,根据贵州省中小学学籍信息系统建设要求,结合实际,制定本制度。
第一条各班主任为学生学籍信息采集的第一责任人,有保管学生、家长信息的义务。学校指定学籍管理员和学籍系统管理员,明确职责与分工。学籍管理员和学籍系统管理员是学校学生学籍信息使用的第一责任人,对学生学籍信息有保管的义务。
第二条学生、家长信息不得公开传播。需使用学生、家长信息的需向学校主管领导提出申请同意后,由学籍管理员和学籍系统管理员负责协助查询使用。使用完毕的资料不得备份。
第三条凡是上国际互联网的信息要经单位保密工作领导小组审查,做到涉密的信息不上网,上网的信息不涉密。坚持“谁上网谁负责”的原则,加强上网人员的保密教育和管理,提高上网人员的保密观念,增强防范意识,自觉执行有关规定。
第四条学籍管理员和学籍系统管理员负责管理好学籍系统账号。除本人外不得将账号、密码等公开。学校因工作需要要更换学籍管理员和学籍系统管理员的,需由学籍管理员和学籍系统管理员提出申请,工作领导小组进行审核同意后方可移交账号。
二、计算机、打印机等设备按照“谁使用谁负责”的原则作好安全防护。不得在工作时间将计算机用于非工作内容。严禁计算机使用人员私装、私卸计算机软件。
三、数据分析专用计算机,数据存储专用介质,须贴上明显安全标识,并由专人负责。
四、使用外来数据盘,必须在检测、清除病毒后方可使用。如遇杀毒仍旧无法清除的,应及时与技术人员联系,以免病毒侵扰计算机及网络系统,造成严重后果。
五、外单位人员不得使用本单位计算机及附属设备。跨单位使用计算机设备的,需征得相关领导的同意,并有专人监督设备使用过程并做好记录。
六、计算机及系统设置参数(如用户帐号、登录口令、ip地址、系统路径、远程拨号号码等)为工作秘密,任何人不得以任何借口向外泄露。
七、因工作需要开设共享目录时,应注意设置访问控制口令(如共享文件夹),并在完成工作后立即关闭共享,以保证本地文件的安全与保密。
八、上网信息的保密管理坚持“谁发布谁负责”的原则。不得在聊天室、电子公告系统、网络新闻上发布、谈论和传播国家秘密信息或工作敏感信息。
九、使用电子函件进行网上信息交流,应当遵守国家保密规定,不得利用电子函件传递、转发或抄送国家秘密信息。
十、严禁下载或购买、安装黑客软件,要定期更新系统安全补丁和用杀毒软件检测机器上有无木马、病毒程序。
十一、涉及数据分析及数据存储的计算机,不得直接或间接地与互联网或其他公共信息网络相联接。
十二、携带有数据库信息的计算机、存储介质外出,须经分管领导批准,并采取必要的保密措施。将单位电脑或存储介质带回家,不得用该电脑上互联网,且需采取必要的保密措施。
十三、携带有数据库信息的计算机系统进行维护检修时,须保证所存储的数据库信息不被泄露,对数据库信息应采取转存、删除、异地转移存储媒体等安全保密措施。无法采取上述措施时,必须在维修现场对维修人员、维修对象、维修内容、维修前后状况进行监督并做详细记录。
十四、凡需外送修理的数据库信息计算机或存储介质,必须经主管领导批准,并将数据库信息进行不可恢复性删除处理后方可实施。
十五、凡私自改变计算机网络(如内网改外网、私接线路等),造成数据库信息或我单位内部工作信息泄密的,一经发现按有关规定严肃处理。如因失职或故意等原因造成信息泄漏的,将依据相关规定严肃处理责任人员,造成严重后果的,直至追究法律责任。
十六、数据中心机房安全保密按照《**数据中心机房安全保密制度》执行。
十七、本保密制度由**单位负责解释。
为加强互联网发布信息的保密管理,确保国家秘密安全,根据《中华人民共和国保守国家秘密法》、国家保密所《计算机信息系统保密管理暂行规定》、《计算机信息系统国际联网保密管理规定》,结合本单位实际,制定本规定。
一、在互联网上(张掖市畜牧兽医信息网)发布的信息是指经本单位主要领导或分管领导审核批准,提供给国际互联网站、张掖市动物卫生监督网或其他公众信息网站,向社会公开、让公众了解和使用的信息。
二、互联网发布信息保密管理坚持“谁发布谁负责”的原则。凡向国际互联网站提供或者发布信息,必须经本单位主要领导或分管领导审查批准,并按照一定的工作程序,完善和落实信息登记、审批责任制。
三、除新闻媒体已公开发表的信息外,本单位各科室及相关单位提供的上网信息应确保不涉及国家秘密。
四、本单位任何个人不得利用网站、网页上开设的电子公告系统、聊天室、论坛等发布、谈论和传播国家秘密信息。
五、单位内部工作秘密、内部资料等,虽不属于国家秘密,但应作为内部事项进行管理,未经单位领导批准不得擅自发布。
六、禁止网上发布信息的基本范围:
(一) 标有密级的国家秘密。
(二) 未经有关部门批准的,涉及国家安全、社会政治和经济稳定等敏感信息。
(三)标注“机要”字样的密码电报、内部明电、甘肃省发电、张掖市发电和其它电报的格式、样式、印章及其它相关信息。
(四)未经制文单位批准,标注有“内部文件(资料)”和“注意保存”(保管、保密)等警示字样的信息。
(五) 本部门或单位认定为不宜公开的内部办公事项。
七、提供信息发布的单位应履行的职责:
(一) 对拟发布信息(即将向网络发布的信息)是否涉及国家秘密进行审查。
(二) 对已发布信息进行定期地保密检查,发现涉密信息的,立即采取补救措施,查清泄密渠道和原因,并及时向本单位领导或保密工作领导小组报告。
(三) 接受上级机关和保密工作部门的监督检查。
八、单位分管领导应履行的职责:
(一) 定期对网络管理人员进行保密法规、保密纪律、保密常识教育,增强信息保密观念和防范意识,自觉遵守并执行有关保密规定。
(二) 建立健全上网信息保密管理制度,落实各项安全保密防范措施。
(三) 发现国家秘密网上发布的,立即采取补救措施,并及时向有关部门报告。
(四) 定期或不定期向保密工作部门通报网上发布信息保密管理情况。
九、保密工作领导小组组长应履行的职责:
(一) 指导、监督各单位网上发布信息的保密管理工作。
(二) 协助参与涉及多个部门拟发布信息的保密审查。
(三) 向所保密委员会报告网上发布信息保密审查中的.重要情况。
(四) 负责对网上发布信息进行经常性保密监督检查,发现问题,立即采取补救措施,查明原因,并及时向所保密委员会报告。
(五) 协助有关部门对违反规定造成网上泄密的事件依法进行查处。
十、违反本规定,对网上发布信息保密审查把关不严,导致严重后果或安全隐患的,要按照规定严肃查处。
为加强互联网发布信息的保密管理,确保医院秘密安全,根据《中华人民共和国保守国家秘密法》、国家保密所《计算机信息系统保密管理暂行规定》、《计算机信息系统国际联网保密管理规定》、《山西省计算机信息系统安全保护条例》、《信息安全等级保护管理办法》结合本单位实际,制定本规定。
一、在互联网上(临汾市第四人民医院官方网站、微信公众平台)发布的信息是指经本单位主要领导或分管领导审核批准,提供给国际互联网站、临汾市第四人民医院官方网站、微信公众平台或其他公众信息网站,向社会公开、让公众了解和使用的信息。
二、互联网发布信息保密管理坚持“谁发布谁负责”的原则。凡向国际互联网站提供或者发布信息,必须经本单位主要领导或分管领导审查批准,并按照一定的工作程序,完善和落实信息登记、审批责任制。
三、除新闻媒体已公开发表的信息外,本单位各科室及相关单位提供的上网信息应确保不涉及国家秘密和我单位保密信息。
四、本单位任何个人不得利用网站、网页上开设的电子公告系统、聊天室、论坛等发布、谈论和传播国家秘密信息。
五、单位内部工作秘密、内部资料等,虽不属于国家秘密,但应作为内部事项进行管理,未经单位领导批准不得擅自发布。
六、禁止网上发布信息的基本范围:
(一) 标有密级的国家秘密。
(二) 未经有关部门批准的,涉及国家安全、社会政治和经济稳定等敏感信息。
(三)标注“机要”字样的密码电报、内部明电、山西省发电、临汾市发电和其它电报的格式、样式、印章及其它相关信息。
(四)未经制文单位批准,标注有“内部文件(资料)”和“注意保存”(保管、保密)等警示字样的信息。
(五) 本部门或单位认定为不宜公开的内部办公事项。
七、提供信息发布的部门应履行的职责:
(一) 对拟发布信息(即将向网络发布的信息)是否涉及国家秘密进行审查。
(二) 对已发布信息进行定期地保密检查,发现涉密信息的,立即采取补救措施,查清泄密渠道和原因,并及时向本单位领导报告。
(三) 接受上级机关和有关部门的监督检查。
八、单位分管领导应履行的职责:
(一) 定期对网络管理人员进行保密法规、保密纪律、保密常识教育,增强信息保密观念和防范意识,自觉遵守并执行有关保密规定。
(二) 建立健全上网信息保密管理制度,落实各项安全保密防范措施。
(三) 发现秘密信息网上发布的,立即采取补救措施,并及时
向有关部门报告。
(四) 定期或不定期向有关部门通报网上发布信息保密管理情况。
九、信息科应履行的职责:
(一) 指导、监督各单位网上发布信息的保密管理工作。
(二) 协助参与涉及多个部门拟发布信息的保密审查。
(三) 向院领导报告网上发布信息保密审查中的重要情况。
(四) 负责对网上发布信息进行经常性保密监督检查,发现问题,立即采取补救措施,查明原因,并及时向院领导报告。
(五) 协助有关部门对违反规定造成网上泄密的事件依法进行查处。
十、违反本规定,对网上发布信息保密审查把关不严,导致严重后果或安全隐患的,要按照规定严肃查处。
第一条 利用计算机网络上网发布信息的保密管理工作实行“谁上网,谁负责”的原则。
第二条 机关、单位在网上对外发布信息,实行保密审批制度,确保国家秘密不上网。
第三条 上网发布信息的保密审批由发布信息的机关、单位的保密组织指定一至二名政治上可靠、工作责任心强、对保密工作业务和本单位保密范围熟悉的党、团员负责初审,其保密组织负责人终审。
第四条 上网发布信息实行登记制度。登记内容包括:信息采集人、保密审查人、终审人以及信息上网时间。
第五条 严禁国家绝密、机密、秘密信息上非涉密的电子计算机网络。
第六条 工作秘密、敏感信息等原则上不允许在非涉密的电子计算机网络上处理和对外公布,确需对外公布的,由单位主管领导严格把关,认真审批。
第七条 更改原对外发布的信息内容,也应进行保密审批和登记。
第八条 上网发布的信息必须具有真实性、合法性,并符合国家的有关规定。
第九条 对违反规定擅自上网发布信息,造成泄密的,将依照保密法规追究有关人员的责任。
为加强互联网发布信息的保密管理,确保国家秘密安全,根据《中华人民共和国保守国家秘密法》、国家保密所《计算机信息系统保密管理暂行规定》、《计算机信息系统国际联网保密管理规定》,结合本单位实际,制定本规定。
一、在互联网上(张掖市畜牧兽医信息网)发布的信息是指经本单位主要领导或分管领导审核批准,提供给国际互联网站、张掖市动物卫生监督网或其他公众信息网站,向社会公开、让公众了解和使用的信息。
二、互联网发布信息保密管理坚持“谁发布谁负责”的原则。凡向国际互联网站提供或者发布信息,必须经本单位主要领导或分管领导审查批准,并按照一定的工作程序,完善和落实信息登记、审批责任制。
三、除新闻媒体已公开发表的信息外,本单位各科室及相关单位提供的上网信息应确保不涉及国家秘密。
四、本单位任何个人不得利用网站、网页上开设的电子公告系统、聊天室、论坛等发布、谈论和传播国家秘密信息。
五、单位内部工作秘密、内部资料等,虽不属于国家秘密,但应作为内部事项进行管理,未经单位领导批准不得擅自发布。
六、禁止网上发布信息的基本范围:
(一) 标有密级的国家秘密。
(二) 未经有关部门批准的,涉及国家安全、社会政治和经济稳定等敏感信息。
(三)标注“机要”字样的密码电报、内部明电、甘肃省发电、张掖市发电和其它电报的格式、样式、印章及其它相关信息。
(四)未经制文单位批准,标注有“内部文件(资料)”和“注意保存”(保管、保密)等警示字样的信息。
(五) 本部门或单位认定为不宜公开的内部办公事项。
七、提供信息发布的单位应履行的职责:
(一) 对拟发布信息(即将向网络发布的信息)是否涉及国家秘密进行审查。
(二) 对已发布信息进行定期地保密检查,发现涉密信息的,立即采取补救措施,查清泄密渠道和原因,并及时向本单位领导或保密工作领导小组报告。
(三) 接受上级机关和保密工作部门的'监督检查。
八、单位分管领导应履行的职责:
(一) 定期对网络管理人员进行保密法规、保密纪律、保密常识教育,增强信息保密观念和防范意识,自觉遵守并执行有关保密规定。
(二) 建立健全上网信息保密管理制度,落实各项安全保密防范措施。
(三) 发现国家秘密网上发布的,立即采取补救措施,并及时向有关部门报告。
(四) 定期或不定期向保密工作部门通报网上发布信息保密管理情况。
九、保密工作领导小组组长应履行的职责:
(一) 指导、监督各单位网上发布信息的保密管理工作。
(二) 协助参与涉及多个部门拟发布信息的保密审查。
(三) 向所保密委员会报告网上发布信息保密审查中的重要情况。
(四) 负责对网上发布信息进行经常性保密监督检查,发现问题,立即采取补救措施,查明原因,并及时向所保密委员会报告。
(五) 协助有关部门对违反规定造成网上泄密的事件依法进行查处。
十、违反本规定,对网上发布信息保密审查把关不严,导致严重后果或安全隐患的,要按照规定严肃查处。
第一条 利用计算机网络上网发布信息的保密管理工作实行“谁上网,谁负责”的原则。
第二条 机关、单位在网上对外发布信息,实行保密审批制度,确保国家秘密不上网。
第三条 上网发布信息的保密审批由发布信息的机关、单位的保密组织指定一至二名政治上可靠、工作责任心强、对保密工作业务和本单位保密范围熟悉的党、团员负责初审,其保密组织负责人终审。
第四条 上网发布信息实行登记制度。登记内容包括:信息采集人、保密审查人、终审人以及信息上网时间。
第五条 严禁国家绝密、机密、秘密信息上非涉密的电子计算机网络。
第六条 工作秘密、敏感信息等原则上不允许在非涉密的电子计算机网络上处理和对外公布,确需对外公布的,由单位主管领导严格把关,认真审批。
第七条 更改原对外发布的信息内容,也应进行保密审批和登记。
第八条 上网发布的信息必须具有真实性、合法性,并符合国家的有关规定。
第九条 对违反规定擅自上网发布信息,造成泄密的,将依照保密法规追究有关人员的责任。
第一条:为了加强计算机信息系统国际联网的保密管理,确保国家秘密的安全,根据《中华人民共和国保守国家秘密法》和国家有关法规的规定,结合我镇实际,特制定本制度。
第二条:计算机信息系统国际联网的保密管理,实行控制源头、归口管理、分级负责、突出重点、有利发展的原则。
第三条:上网信息的保密管理坚持“谁上网谁负责”的原则。凡向国际联网的站点提供或发布信息,必须经过分管领导审查批准。建立健全上网信息保密审批领导责任制。提供信息的部门应当按照一定的工作程序,健全信息保密审批制度。
第四条:凡以提供网上信息服务为目的而采集的信息,除在其他新闻媒体上已公开发表的。组织者在上网发布前,应当征得提供信息单位的同意;凡对网上信息进行扩充或更新,应当认真执行信息保密审核制度。
第五条:面向社会开放的电子公告系统、聊天室、网络新闻组,开办人及其分管领导应认真履行保密义务,建立完善的管理制度,加强监督检查。发现有涉密信息,应及时采取措施,并报告镇保密保密办。
国家秘密信息。
第七条:对于责任不明、措施不力、管理混乱,存在明显威胁国家秘密信息安全隐患的部门,镇保密办应责令其进行整改,整改后仍不符合保密要求的,应当督促其停止国际联网。
第八条:镇保密领导小组应当加强计算机信息系统国际联网的保密检查,依法查处各种泄密行为。
第九条:互联单位、接入单位和用户,发现国家秘密泄露或可能泄露情况时,应当立即向镇保密工作领导小组报告。
第十条:镇保密领导小组接到举报或检查发现网上有泄露情况时,应当立即组织查处,并督促有关部门及时采取补救措施,监督其限期删除网上涉及国家秘密的信息。 第十一条:本制度自制定之日起施行。
信息系统的安全保密工作是保证数据信息安全的基础,同时给全院的信息安全保密工作提供了一个工作指导。为了加强我院信息系统的安全保密管理工作,根据上级要求,结合我院的实际情况,现制定如下制度:
第一章总则。
第一条*学院校园网和各个信息系统的服务对象是学校教学、科研和管理机构,全校教职工和学生,以及其他经学校授权的单位及个人。
第二条我院内任何部门及个人不得利用校园网危害国家安全、泄露国家秘密,不得侵犯国家、社会、集体利益和个人的合法权益,不得从事违法犯罪活动。
第三条未经批准,任何单位或个人不得将校园网延伸至校外或将校外网络引入至校园内。未经批准,任何数据业务运营商或电信代理商不得擅自进入山东信息职业技术学院内进行工程施工,开展因特网业务。
第四条各部门应按照国家信息系统等级保护制度的相关法律法规、标准规范的要求,落实信息系统安全等级保护制度。
第五条各部门要规范信息维护、信息管理、运行维护等方面的工作流程和机制,指定专人负责系统运行的日常工作,做好用户授权等管理服务工作。
第二章数据安全。
第六条本制度中的数据是指各类信息系统所覆盖的所有数据,包括档案管理系统、财务管理系统、资产管理系统、安防监控系统以及学院网站等网站和系统的所有数据。
第七条各部门要及时补充和更新管理系统的业务数据,确保数据的完整性、时效性和准确性。
第八条各部门要保证信息系统安全和数据安全,制定重要数据库和系统主要设备的容灾备案措施。记录并保留至少60天系统维护日志。各系统管理员和个人要妥善保管好账号和密码,定期更新密码,防止密码外泄。
第九条保证各系统相关数据安全。各部门和系统管理人员,要对自己所管理的数据负责,保证数据安全,防止数据泄漏。
第十条学校数据信息主要用于教学、科研、管理、生活服务等,申请数据获取的单位有义务保护数据的隐秘性,不得将数据信息用于申请用途外的活动。
第十一条未经批准,任何部门和个人不得擅自提供信息系统的内部数据。对于违反规定、非法披露、提供数据的单位和个人,应依照相关规定予以处罚。
第十二条任何部门和个人不得利用校园网及各系统制作、复制、传播和查阅下列信息:
(一)危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一的;
(二)损害国家荣誉和利益的;
(三)煽动民族仇恨、民族歧视,破坏民族团结的;
(四)破坏国家宗教政策,宣扬邪教和封建迷信的;
(五)散布谣言,扰乱社会公共秩序,破坏国家稳定的;
(六)散步淫秽、色情、暴力、凶杀、恐怖或者教唆犯罪的;
(七)侮辱和诽谤他人,侵害他人合法权益的;
(八)含有国家法律和行政法规禁止的其他内容的;
(九)煽动抗拒、破坏宪法和法律、法规实施的;
第十三条未经批准,任何个人和部门不能擅自发布、删除和改动学院网站和系统信息。凡发布信息,必须经过严格审核。
第十四条校园网用户必须自觉配合国家和学校有关部门依法进行的监督、检查。用户若发现违法有害信息,有义务向学校有关部门报告。
第十五条学院内部所有人员上网均需实名制,并执行严格的实名备案制度。一经发现上网本制度禁止信息,要尽快查处,情节严重者交由公安机关。
第四章学院网站安全。
第十六条学院网站是学院的门户,学院网站信息安全是至关重要的。*学院门户网站已按照相关部门要求,委托信息中心备案,备案域名为:。
第十七条凡上线网站,山东信息职业技术学院实行网站备案,未经备案的网站,学院一律停止对该网站的运行。
第十八条各部门要保证网站的数据安全和系统安全,制定重要数据库和系统主要设备的容灾备案措施。记录并保留至少60天系统维护日志。
第十九条各部门网站信息发布严格实行信息发布审核登记制度,发现有害信息,应当在保留有关原始记录后,及时予以删除,并在第一时间向学校办公室和网络管理中心报告。发现计算机犯罪案件,要立即向公安机关网警部门报案。
第二十条学院办公室、网络管理中心负责对学校网站进行监督、检查。对于存在安全隐患的网站,网络信息中心有权停止其对外服务。
第五章其他。
第二十一条违反本管理规定的,视情节轻重采用以下其中一种或多种处理措施:
(一)批评整改;
(二)报相关部门领导处理;
(三)移交公安、司法部门处理。
第二十二条本规定由网络信息中心负责解释。
第二十三条本规定自公布之日起生效。
第一章总则。
第一条为加强公司计算机和信息系统(包括涉密信息系统和非涉密信息系统)。
安全保密管理,确保国家秘密及商业秘密的安全,根据国家有关保密法规标准和中核集团公司有关规定,制定本规定。
第二条本规定所称涉密信息系统是指由计算机及其相关的配套设备、设施构成的,按照一定的应用目标和规定存储、处理、传输涉密信息的系统或网络,包括机房、网络设备、软件、网络线路、用户终端等内容。
第三条涉密信息系统的建设和应用要本着“预防为主、分级负责、科学管理、保障安全”的方针,坚持“谁主管、谁负责,谁使用、谁负责”和“控制源头、归口管理、加强检查、落实制度”的原则,确保涉密信息系统和国家秘密信息安全。
第四条涉密信息系统安全保密防护必须严格按照国家保密标准、规定和集团公司文件要求进行设计、实施、测评审查与审批和验收;未通过国家审批的涉密信息系统,不得投入使用。
第二章管理机构与职责。
第六条公司法人代表是涉密信息系统安全保密第一责任人,确保涉密信息系统安全保密措施的落实,提供人力、物力、财力等条件保障,督促检查领导责任制落实。
第七条公司保密委员会是涉密信息系统安全保密管理决策机构,其主要职责:
(二)协调处理有关涉密信息系统安全保密管理的重大问题,对重大失泄密事件进行查处。
第八条成立公司涉密信息系统安全保密领导小组,保密办、科技信息部(信息化)、党政办公室(密码)、财会部、人力资源部、武装保卫部和相关业务部门、单位为成员单位,在公司党政和保密委员会领导下,组织协调公司涉密信息系统安全保密管理工作。
第九条保密办主要职责:
(六)对涉密信息系统中各应用系统进行定密、变更密级和解密工作进行审核;
(七)组织查处涉密信息系统失泄密事件。
第十条。
科技信息部、财会部主要职责是:
(一)组织、实施涉密信息系统的规划、设计、建设,制定安全保密防护方案;
小组批准后组织实施,确保安全技术措施有效、可靠;
(六)配合保密办对涉密信息系统进行安全检查,对存在的隐患进行及时整改;
(七)制定。
应急预案。
并组织演练,落实应急措施,处理信息安全突发事件。
第十一条党政办公室主要职责:
按照国家密码管理的相关要求,落实涉密信息系统中普密设备的管理措施。
第十二条相关业务部门、单位主要职责:涉密信息系统的使用部门、单位要严格遵守保密管理规定,教育员工提高安全保密意识,落实涉密信息系统各项安全防范措施;准确确定应用系统密级,制定并落实相应的二级保密管理制度。
第十三条涉密信息系统配备系统管理员、安全保密管理员、安全审计员,其职责是:
(一)系统管理员负责系统中软硬件设备的运行、管理与维护工作,确保信息系统的安全、稳定、连续运行。系统管理员包括网络管理员、数据库管理员、应用系统管理员。
(二)安全保密管理员负责安全技术设备、策略实施和管理工作,包括用户帐号管理以及安全保密设备和系统所产生日志的审查分析。
(三)安全审计员负责安全审计设备安装调试,对各种系统操作行为进行安全审计跟踪分析和监督检查,以及时发现违规行为,并每月向涉密信息系统安全保密领导小组办公室汇报一次情况。
第三章系统建设管理。
第十四条规划和建设涉密信息系统时,按照涉密信息系统分级保护标准的规定,同步规划和落实安全保密措施,系统建设与安全保密措施同计划、同预算、同建设、同验收。
第十五条涉密信息系统规划和建设的安全保密方案,应由具有“涉及国家秘密的计算机信息系统集成资质”的机构编制或自行编制,安全保密方案必须经上级保密主管部门审批后方可实施。
第十六条涉密信息系统规划和建设实施时,应由具有“涉及国家秘密的计算机信息系统集成资质”的机构实施或自行实施,并与实施方签署保密协议,项目竣工后必须由保密办和科技信息部共同组织验收。
第十七条对涉密信息系统要采取与密级相适应的保密措施,配备通过国家保密主管部门指定的测评机构检测的安全保密产品。涉密信息系统使用的软件产品必须是正版软件。
第一节信息分类与控制。
第十八条涉密信息系统的密级,按系统中所处理信息的最高密级设定,严禁处理高于涉密信息系统密级的涉密信息。
第十九条涉密信息系统中产生、存储、处理、传输、归档和输出的文件、数据、图纸等信息及其存储介质应按要求及时定密、标密,并按涉密文件进行管理。电子文件密级标识应与信息主体不可分离,密级标识不得篡改。涉密信息系统中的涉密信息总量每半年进行一次分类统计、汇总,并在保密办备案。
第二十条涉密信息系统应建立安全保密策略,并采取有效措施,防止涉密信息被非授权访问、篡改,删除和丢失;防止高密级信息流向低密级计算机。涉密信息远程传输必须采取密码保护措施。
第二十一条向涉密信息系统以外的单位传递涉密信息,一般只提供纸质文件,确需提供涉密电子文档的,按信息交换及中间转换机管理规定执行。
第二十二条清除涉密计算机、服务器等网络设备、存储介质中的涉密信息时,必须使用符合保密标准、要求的工具或软件。
第二节用户管理与授权。
第二十三条根据本部门、单位使用涉密信息系统的密级和实际工作需要,确定人员知悉范围,以此作为用户授权的依据。
第二十四条用户清单管理。
(三)删除用户时,由用户本人所在部门、单位书面通知科技信息部,核准后由安全保密管理员即时将用户在涉密信息系统内的所有帐号、权限废止;“财务会计核算网”密办审核,公司分管领导审批。开通、审批坚持“工作必须”的原则。
第六十四条国际互联网计算机实行专人负责、专机上网管理,严禁存储、处理、传递涉密信息和内部敏感信息。接入互联网的计算机须建立使用登记制度。
第六十五条上网信息实行“谁上网谁负责”的保密管理原则,信息上网必须经过严格审查和批准,坚决做到“涉密不上网,上网不涉密”。对上网信息进行扩充或更新,应重新进行保密审查。
第六十六条任何部门、单位和个人不得在电子邮件、电子公告系统、聊天室、网络新闻组、博客等上发布、谈论、传递、转发或抄送国家秘密信息。
第六十七条从国际互联网或其它公众信息网下载程序和软件工具等转入涉密系统,经科技信息部审批后,按照信息交换及中间转换机管理规定执行。
第九章便携式计算机管理。
第六十八条便携式计算机(包括涉密便携式计算机和非涉密便携式计算机)实行“谁拥有,谁使用,谁负责”的保密管理原则,使用者须与公司签定保密。
承诺书。
第六十九条涉密便携式计算机根据工作需要确定密级,粘贴密级标识,按照涉密设备进行管理,保密办备案后方可使用。
第七十条便携式计算机应具备防病毒、防非法外联和身份认证(设置开机密码口令)等安全保密防护措施。
第七十一条禁止使用涉密便携式计算机上国际互联网和非涉密网络;严禁涉密便携式计算机与涉密信息系统互联。
第七十二条涉密便携式计算机不得处理绝密级信息。未经保密办审批,严禁在涉密便携式计算机中存储涉密信息。处理、存储涉密信息应在涉密移动存储介质上进行,并与涉密便携式计算机分离保管。
第七十三条禁止使用私有便携式计算机处理办公信息;严禁非涉密便携式计算机存储、处理涉密信息;严禁将涉密存储介质接入非涉密便携式计算机使用。
第七十四条公司配备专供外出携带的涉密便携式计算机和涉密存储介质,按照“集中管理、审批借用”的原则进行管理,建立使用登记制度。外出携带的涉密便携式计算机须经保密办检查后方可带出公司,返回时须进行技术检查。
第七十五条因工作需要外单位携带便携式计算机进入公司办公区域,需办理保密审批手续。
第十章应急响应管理。
第七十六条为有效预防和处置涉密信息系统安全突发事件,及时控制和消除涉密信息系统安全突发事件的危害和影响,保障涉密信息系统的安全稳定运行,科技信息部和财会部应分别制定相应应急响应预案,经公司涉密信息系统安全保密领导小组审批后实施。
第七十七条应急响应预案用于涉密信息系统安全突发事件。突发事件分为系统运行安全事件和泄密事件,根据事件引发原因分为灾害类、故障类或攻击类三种情况。
(一)灾害事件:根据实际情况,在保障人身安全前提下,保障数据安全和设备安。
5、其它未列出的不确定因素造成的事件,结合具体的情况,做出相应的处理。不能处理的及时咨询,上报公司信息安全领导小组。
第七十八条按照信息安全突发事件的性质、影响范围和造成的损失,将涉密信息系统安全突发事件分为特别重大事件(i级)、重大事件(ii级)、较大事件(iii级)和一般事件(iv级)四个等级。
(一)一般事件由科技信息部(或财会部)依据应急响应预案进行处置;
(四)特别重大事件由公司报请中核集团公司对信息安全突发事件进行处置。
第七十九条发生突发事件(如涉密数据被窃取或信息系统瘫痪等)应按如下应急响应的基本步骤、基本处理办法和流程进行处理:
(一)上报科技信息部和保密办;
(二)关闭系统以防止造成数据损失;
(三)切断网络,隔离事件区域;
(四)查阅审计记录寻找事件源头;
(五)评估系统受损程度;
(六)对引起事件漏洞进行整改;
(七)对系统重新进行风险评估;
(八)由保密办根据风险评估结果并书面确认安全后,系统方能重新运行;
(九)对事件类型、响应、影响范围、补救措施和最终结果进行详细的记录;
(十)依照法规制度对责任人进行处理。
第八十条科技信息部、财会部应会同保密办每年组织一次应急响应预案演练,检验应急响应预案各环节之间的通信、协调、指挥等是否快速、高效,并对其效果进行评估,以使用户明确自己的角色和责任。应急响应相关知识、技术、技能应纳入信息安全保密培训内容,并记录备案。
第十一章人员管理。
第八十一条各部门、单位每年应组织开展不少于1次的全员信息安全保密知识技能教育与培训,并记录备案。
第八十二条。
涉密人员离岗、离职,应及时调整或取消其访问授权,并将其保管的涉密设备、存储介质全部清退并办理移交手续。
第八十三条承担涉密信息系统日常管理工作的系统管理员、安全保密管理员、安全审计管理员应按重要涉密人员管理。
第十二章督查与奖惩。
第八十四条公司每年应对涉密信息系统安全保密状况、安全保密制度和措施的落实情况进行一次自查,并接受国家和上级单位的指导和监督。涉密信息系统每两年接受一次上级部门开展的安全保密测评或保密检查,检查结果存档备查。
第八十五条检查涉密计算机和信息系统的保密检查工具和涉密信息系统所使用的安全保密、漏洞检查(取证)软件等,应覆盖保密检查的项目,并通过国家保密局的检测。安全保密检查工具应及时升级或更新,确保检查时使用最新版本。
第八十六条各部门、单位应将员工遵守涉密计算机及信息系统安全保密管理制度的情况,纳入保密自查、考核的重要内容。对违反本规定造成失泄密的当事人及有关责任人,按公司保密责任考核及奖惩规定执行。
第十三章附则。
第八十七条本规定由保密办负责解释与修订。
第八十八条本规定自发布之日起实施。原《计算机磁(光)介质保密管理规定)[制度编号:(厂1908号)]、《涉密计算机信息系统保密管理规定》[制度编号:(20xx)厂1911号]、《涉密计算机采购、维修、变更、报废保密管理规定》[制度编号:(20xx)厂1925号]、《国际互联网信息发布保密管理规定》[制度编号:(20xx)厂1926号]、《涉密信息系统信息保密管理规定》[制度通告:(20xx)0934号]、《涉密信息系统安全保密管理规定》[制度通告:(20xx)0935号]同时废止。
第1条为了加强知识产权保护,防止信息数据丢失和外泄,保持信息系统库正常运行,特制定安全保密制度。
第2条安全保障对象包括办公场所安全,设备安全,软件安全,系统库安全,计算机及通信安全;保密对象包括档案资料,医疗数据资料,信息系统库资料。
第3条信息中心主任、工程师必须严格执行国家的有关规定和院里的有关制度,认真管理档案、医疗数据资料、数据库系统。
第4条信息中心的所有工作人员必须严格遵守院里的。
规章制度。
和信息中心的有关规定,认真做好档案、医疗数据资料、数据库系统的管理和维护工作。
第5条未经院领导和信息中心负责人同意,非管理人员不得进入控制机房,不得擅自操作系统服务器、镜像服务器、应用服务器、控制服务器及控制机房的其他设备。
第6条未经院领导和信息中心负责人同意,严禁任何人以任何形式向外提供数据。实行严格的安全准入制度,档案管理、信息系统管理、作业流程管理权限明确。管理者在授权范围内按资料应用程序提供数据。
第7条档案资料安全保密管理,遵循《档案库房管理制度》、《保密守册》、《档案室职责》、《档案资料利用管理规定》、《档案安全消防措施》执行。
第8条医疗数据资料、信息系统库资料,除参照执行第7条相关规定外,还应遵循:
第1款资料建档和资料派发要履行交接手续。
作业流程把关、资料完整性检查、数据杀毒处理;数据处理员要严格按照“基础地理信息系统建库技术规范”要求作业;专检员要严格按照“资料成果专检”规定把关;系统入库员、系统管理员、网络管理员要保证入库、出库数据质量和数据安全保密。
第3款定期对数据库进行检查、维护,发现问题及时解决和备案,保证数据库系统的正常运行。
第4款未经许可数据库内的数据信息不得随意修改或删除,更不能对外提供。
第5款除授权管理人员外,未经许可,任何人不能动用他人设备,不得通过网络(局域网、vpn虚拟专网、内部网等)联机调阅数据。
第6款医疗数据资料按规定要求进行计算机建档和处理,数据入库后要及时删除工作终端中的原有数据。
第7款严格遵守信息中心工作流程,不得做任何违反工作流程的操作。
第8款定期对数据库的信息数据进行备份,要求每增加或更新批次,数据备份一次,包括异地热机备份和刻盘备份两种方式;每月定期刻盘两套,异地保存。
第9条软件开发要求功能齐全、操作方便、容错能力强、运行效率高、安全保密性好,建库技术标准规范、应用服务体系完善。
第10条信息中心办公场所要建立防火、防盗、防爆、防尘、防潮、防虫、防晒、防雷击、防断电、防腐蚀、防高温等基本防护设施。消除安全隐患,杜绝安全事故。
第11条权限管理是生产有序进行和信息资料合法利用的有效保证。任何法人或自然人只能在授权范围操作。
第12条权限管理从安全级别上分为绝密、机密、秘密;从适用对象上分为高级管理员、系统管理员、高级用户、中级用户、一般用户、特殊用户;从操作承载体上分为服务器(包括系统服务器、镜像服务器、应用服务器和控制服务器)、工作终端、用户终端;从设定内容上分为完全控制、权限设置变更废止、创建、删除、添加、编辑、更新、运行、读取、拷贝、其他操作。
第3款高级管理员为最高权限人,设定权限为完全控制,即拥有对所有用户名及密钥管理,查看系统运行日志,拥有对服务器、终端的所有权限管理,即对绝密、机密、秘密资料拥有权限、创建、删除、添加、编辑、更新、运行、读取、拷贝及其他操作权;系统管理员权限包括对工作终端用户名及密钥管理,拥有对服务器(不包括控制服务器)和终端所有权限管理,即对机密、秘密资料拥有权限、创建、删除、添加、编辑、更新、运行、读取、拷贝及其他操作权;高级用户在本工作终端拥有对系统服务器中的机密、秘密资料进行编辑、更新、运行、读取、部分拷贝及其他操作权;中级用户在本工作终端拥有对系统服务器中的秘密资料进行更新、运行、读取、部分拷贝及其他操作权;一般用户在本工作终端拥有对系统服务器中的秘密资料进行读取、部分拷贝及其他操作权;特殊用户在本工作终端拥有对应用服务器中的机密资料进行读取、部分拷贝及其他操作权。
第13条控制服务器中建立运行日志,以便记录系统运行痕迹。运行日志中至少包括各服务器开关记录及运行诊断情况记录;信息系统库运行情况记录;各终端访问系统服务器时的用户名、对象级别、访问内容、访问起止时间。运行日志中内容记录方式以时间为序。
第14条强化信息安全保密管理,加强安全保密意识教育。因人为原因造成信息数据泄密及安全事故,追究当事人责任;触犯法律的,依法追究。
信息中心。
为了保护《出生医学证明》个人信息安全,保障公民的合法权益,特拟定以下制度:
一、保护能够识别公民个人身份和涉及公民个人隐私的信息。任何组织和个人不得窃取或者以其他非法方式获取公民个人信息,不得出售或者非法向他人提供公民个人信息。
二、《出生医学证明》办理工作人员在业务活动中收集、使用公民个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的.、方式和范围,不得违反法律、法规的规定收集、使用信息。
三、《出生医学证明》办理工作人员对在业务活动中收集的公民个人信息必须严格保密,不得泄露、篡改、毁损,不得出售或者非法向他人提供。
四、《出生医学证明》办理单位应当采取技术措施和其他必要措施,确保信息安全,防止在业务活动中收集的公民个人信息泄露、毁损、丢失。在发生或者可能发生信息泄露、毁损、丢失的情况时,应当立即采取补救措施。
五、《出生医学证明》办理单位应当加强对公民个人信息的管理,发现法律、法规禁止发布或者传输的信息的,应当立即停止传输该信息,采取消除等处置措施,保存有关记录,并向有关主管部门报告。
一、档案是国家的宝贵财富,企业各门类档案本身具有机要性质,因此,档案部门和工作人员,必须遵守保密制度,履行保密手续,严格遵守保密十条原则,确保档案的安全。
二、凡是利用档案,必须经档案人员提供,任何人不得直接动用。
三、借阅档案必须严格按照档案借阅制度办理手续,限期使用,按期返还,返还档案要认真检查核对,发现问题及时追查。
四、利用绝密、机密档案以及引进技术资料、科研成果、发明创造、专利、新产品、新工艺等技术文件材料,须严格履行审批手续,未经批准的,严禁提供利用。
五、外单位查阅档案,需持介绍信经公司领导和主管部门批准。复制档案和外供图纸和技术文件,统一由公司档案信息中心严格按照审批手续提供,任何单位和个人一律无权外供。对于擅自向外转借、提供图纸资料和技术文件等档案材料者,必须追查责任,对于严重损害国家和我公司利益者,要依法追查刑事责任。
六、停产或已生产完毕的产品图纸和技术文件材料以及其他经鉴定审批拟销毁的档案资料,统一按公司下文件由公司档案信息中心组织回收,统一销毁,其他任何单位和个人一律无权处理或自行销毁。
七、发现有关泄密事件,应立即报告,及时追查。
八、不允许传抄、自行翻印机密文件和带密级的档案材料。
九、不允许将机密文件带回家中和到领导办公室随意翻阅文件。严禁携带机密文件、档案资料游览、参观、探亲、访友,出入公共场所。
十、单位领导和保密小组要定期检查保密工作,总结经验,堵塞漏洞严防失密、泄密发生。
1、为了处理工作中涉及的办公秘密信息和业务秘密信息,特制定计算机信息系统安全保密规定。
2、学校信息处负责指导全校各部门入网人员的保密技术培训,并负责落实技术防范措施。
3、各部门主管领导要重视此项工作。要指定专人(网络协管员)负责接入网络的安全保密管理工作和对上网信息的保密检查,落实好保密防范措施,对本部门上网人员进行保密教育和管理。
4、涉密信息不得在与国际网络联网的计算机系统中存储处理和传输。
5、凡上网的信息,上网前必须进行审查,进行登记,“谁上网,谁负责”,确保国家机密不上网。
6、不得利用校园网从事危害国家安全,泄露国家机密的活动。
7、如在网上发现泄露国家机密的情况,发现反动、黄色的宣传品和出版物,要保护好现场,及时向有关部门报告,依据有关规定处理。对违反规定造成后果的,要追究部门领导的责任。
8、未经批准,任何人不得开设bbs,一经发现立即依法取缔。
9、对校园网内开设的合法论坛要积极推行论坛管理员负责制,论坛主持人经校园网建设和安全管理领导小组批准备案。坚决取缔未经批准开设的非法论坛。
10、加强个人主页管理,对于在个人主页中张贴、传播有害信息的责任人要依法处理,并删除个人主页。
11、校内电子机房要严格管理制度,落实责任人。引导学生开展健康、文明的网上活动,杜绝将电子阅览室和计算机房变相为娱乐场所。
12、对于问题突出,管理失控,造成有害信息传播的网站和网页,坚决依法予以关闭和清除;对于制作、复制、印发和传播有害信息的单位和个人要依法移交有关部门处理。
范围:技术资料的保密。
职责者:技术人员及技术档案保管人员。程序:。
1、技术秘密指不为公众所知,能为公司带来经济效益的,有实用价值的,采取了保密措施的技术信息。
2、技术秘密的范围。
(1)科研开发计划,科研项目的研究资料。
(2)工艺规程、工艺技术参数等技术资料。
(3)技术改造计划、项目等资料。
(4)生产、质量管理的有关文件、资料。
(5)与主管部门的往来文件、信函等。
(6)其他的技术信息。
3、技术秘密的等级。
(1)绝密级:凡属于技术秘密范围中前四项的技术信息为绝密技术信息。
(2)机密级:凡属于技术秘密范围内后二项的技术信息为机密技术信息。
4、应对技术人员进行保密教育,组织学习保密知识与法规,加强保密意识,做到内外有别,对无关人员、来访者做到不该说的不说,不该带给的不能带给。
5、科研开发计划、技改计划、研究资料、工艺技术资料及生产、质量管理文件等绝密级技术秘密,须控制涉及人员与资料份数,严格保密。
6、建立、健全借阅制度,加强技术档案的管理,防止技术资料不经允许外借、丢失。
7、对外合作、交流时,须注意进行保密,不得涉及技术秘密部分。
8、人员流动时,严禁任何人带走技术资料。
9、技术秘密解密后,应妥善处理好解密后的资料、文件。
10、发生泄密事件,须尽快采取补救措施,设法将损失减少到最低水平。并对泄密事件职责者按有关规定进行处罚。
为切实保障涉密测绘成果的安全,维护国-家-安-全和利益,防止泄密事件发生,特制定本测绘工作管理制度。
一、测绘工作人员须严格遵守《中华人民共和国测绘法》、《中华人民共和国测绘成果管理条例》和国家保密法律法规,切实做好涉密测绘成果的保密工作。
二、建立涉密测绘成果保密管理职责制,部门负责人承担涉密测绘成果保密管理领导职责,保密管理人员承担涉密测绘成果的保密管理职责。
三、对涉密测绘成果的使用、复制、保存等状况实行登记管理制度。凡使用涉密测绘成果进经主管领导批准,并予登记后,方可带给。涉密测绘成果使用后应及时归档,要求记录清晰。任何个人不得擅自复制、转让或转借涉密测绘成果,不得拷贝、对外传送涉密测绘成果数据。
四、传递地形图、涉密数据等秘密载体,须透过机要进行传递,禁止透过普通邮政或非邮政渠道传递。
五、使用基础地理信息数据,须严格遵守《计算机信息系统保密管理暂行规定》、《计算机信息系统国际联网保密管理规定》等计算机信息系统保密管理的有关规定,杜绝外传、丢失、泄密事件的发生。
六、处理、外输、储存涉密测绘成果数据的计算机软件和硬件系统务必采取安全保密防护措施,设置进入登陆密码和屏幕保护密码,安装加密防毒软件。涉密计算机及信息系统应采取物理隔离措施,不得与互联网、外部网络相联,不使用无线网卡等无线网络装置。
七、涉密测绘成果只能用于被许可的使用目的和范围。因使用目的或应用项目结束等原因,须销毁涉密测绘成果的,务必报主要领导审批,并备案。
八、销毁涉密测绘成果须经专人清点、核对、登记、造册,由主管领导和档案部门负责派人销毁。对销毁的花时间、地点、方式及销毁过程总存在的问题进行记录,与销毁清册、领导批示一并存档。
九、如发现涉密测绘成果泄密、失密事件,应及时报告主管领导和国家保密管理部门,及时查清事件发生的原因及职责,将事件调查处理到位。
十、本管理制度应根据国家规定的新要求和新状况作必要补充和修订。
第一条:为保护本单位的技术秘密,防止无形资产流失,根据《中华人民共和国保守国家秘密法》、《中华人民共和国反不正当竞争法》和国家科委1995年1月6日发布的《科学技术保密规定》文件,结合本单位的实际状况,特制定本单位《技术保密管理规定》(以下简称《规定》)。
第二条:技术秘密是一种重要的无形资产,保护本单位的技术秘密是每位职工的义务和职责,任何人不得利用职权和工作之便或采取不法手段泄漏、发表、使用、许可、出售、转让本单位的技术秘密。
第三条:各单位个性是技术业务和科研、人事、组织等部门要把技术保密工作列入工作规划,计划及经济职责制,使技术保密工作真正落到实处。
第二章:机构和职责。
第四条:单位设立技术保密工作小组,由主管技术的领导任组长,技术管理部门负责人任副组长。知识产权、档案管理中心为技术保密工作归口管理部门,负责保密管理的日常工作。各部门务必指定一名技术管理人员兼管本单位的技术保密工作。
第五条:技术保密工作小组和技术保密工作者职责。
一、技术保密工作小组职责1、制订技术保密工作规划、计划、各项规章制度及保密协议,同时负责划定本单位内项目的密级等工作,并组织实施。
2、研究解决技术保密工作中出现的重要问题。
3、对各部门技术保密工作开展状况进行督促检查和总结评比,并负责对泄密、失密事件的调查和处理,对重大特大泄密事件上报及协同调查工作。
4、组织职工学习技术保密的法律法规和上级保密规定,提高广大职工的保密意识。
二、技术保密工作者职责。
1、组织本单位职工学习技术保密方面的法律法规和上级保密规定,提高广大职工的保密意识。
2、贯彻执行本单位技术保密管理方面的规章制度和国家有关法律法规。
3、对本单位技术保密工作开展状况进行总结并及时报告泄密事件。
4、建立本单位保密管理及保密协议管理档案;负责保密协议执行状况的跟踪调查。
第三章:保密范围。
第六条:本《规定》所称的技术秘密,是指被列入国家秘密的技术项目和列为企业秘密的项目、由本单位组织研制开发或者以其他合法方式掌握的、未公开的、不应为本企业外所知悉的,能给本单位带来经济利益或竞争优势,具有实用性且本单位采取了保密措施的技术信息,包括但不限于设计图纸(含草图)、试验结果和试验记录、工艺、配方、样品、数据、制作方法、技术方案、计算机程序等。技术秘密能够是有特定的完整的技术资料,构成一项产品、工艺、材料及其改善的技术方案,也能够是某一产品、工艺、材料及其改善的技术方案,也能够是某一产品、工艺、材料等技术或产品中的部分技术要素。
第七条:各单位对载有技术秘密的文件材料、图纸、磁(光)盘、图像、声像等资料及样品,务必注明保密和密级字样,并根据密级采取保密措施,归档保存,严格查阅、借阅制度。
第八条:本单位科技人员、行政管理人员以及因业务上可能知悉技术秘密的人员或业务相关人员,务必与法人签订包括有保护技术秘密的《知识产权保护协议》。
第九条:在职职工和新调入职工应签而不同意签订包内含保护本单位技术秘密资料的《知识产权保护协议》的,本单位将予聘用的不予调入。
第十条:对列入确认为上级和本单位重大科技计划项目的计划任务书或者有关合同课题组成员名单的科技人员,在科研任务尚未结束前要求调离、辞职,并可能泄漏上级重大科技计划项目或科研任务所涉及的秘密,损害本单位利益的,原则上不予批准。确有特殊状况需调离、辞职的,需与单位再签保密协议,并专档跟踪履行状况。未经同意强行离职人员,列专档跟踪调查,一旦有违规,透过法律程序保护本单位合法权益。
第十一条:对本单位技术权益和经济利益有重要影响的有关行政管理人员,科技人员和其他相关人员,在离开本单位三年内,不得在生产同类产品或经营业务且有竞争关系或者其他利害关系的其它单位内任职,或者自己生产、经营与本本单位有竞争关系的同类产品或业务。
第十二条:有关行政管理人员,科技人员或者有关人员因各种原因离开本本单位时,其主管部门和人事部门应以书面形式向该人员重申其保密义务和竞业限制义务,并向其新任职的单位通报该人员在原单位所承担的保密义务和竞业限制义务。
第十三条:人事、组织部门在调入新职工时,应当主动了解该职工在原单位所承担的保密义务和竞业限制义务,以免侵犯他人的合法权益。
第十四条:科技人员或其他有关人员在因各种原因离开单位后,利用掌握或接触的本单位所拥有的技术秘密,并在此基础上做出新的技术成果或技术创新,有权就新的技术成果或技术创新予以实施或者使用,但在实施或者使用时利用了本本单位所拥有的,涉及其本人负有保密义务的技术秘密时,应当征得本本单位的同意,并按相关规定支付必须的使用费。未征得本单位同意,或者无证据证明有关技术资料为自行开发的新的技术成果或技术创新的,有关人员和用人单位应当承担相应的法律职责。
第十五条:承担保密义务的科技人员依法享有因从事技术开发活动而获取相应报酬和奖励的权利。无正当理由,在长时间内单位未支付奖励和报酬时,科技人员或者有关人员有权要求变更或者终止《知识产权保护协议》。《知识产权保护协议》一经双方当事人签章,即发生法律效力,任何一方违反协议,另一方能够依法向有关仲裁机构申请仲裁或向人民法院提出诉讼。
第十六条:本单位对外宣传机构的有关人员在发布(表)新闻、通讯和报告文学作品,以及其他人员对外发表文章时,不得涉及技术秘密的实质性资料,其稿件务必经技术保密主管部门审查,在确认不会造成泄密后,签字认可方可发表。
第十七条:本单位及各部门档案馆存档案资料所涉及的技术秘密,应按照《档案资料保密规定》执行。
第十八条:外单位人员、外商等来本单位培训、学习、参观、考察、洽谈生意等活动涉及技术秘密的,须报主管部门呈本单位主管领导批准,接待参加访问的部门要有专人负责保密工作,并按指定的路线和范围进行参观考察。
第十九条:本单位有关人员在国内外学术交流活动中,包括讲学、发表论文、参加会议、参观访问、带给咨询、通讯联系、洽谈生意等时,应严格保守本单位的技术秘密,不透露和不向他人带给涉及载有技术秘密的资料和物品等。
第二十条:在国内外各类展览会参展的项目,凡涉及技术秘密的,须经保密主管理部门呈本单位主管领导批准后方可参展,办理参展工作的人员应严格保守技术秘密。
第二十一条:在进行股份制改造或资产重组或与外商合资合作过程中,从事工作的人员也要严格执行本《规定》,未经批准不得以任何方式向他人带给、透露本单位的技术秘密。
第二十二条:离休、退休、辞职或调离的职工,在离开单位前务必将在原单位从事科技工作的全部技术资料、实验材料、实验设备和产品等交回原单位,不得擅自复制、发表、泄露、使用或转让涉及本本单位的技术秘密的技术资料和物品等。
第二十三条:对外合资合作项目和本单位技措技改项目,凡涉及技术秘密的,对合作方和外来单位应签订保密协议或在合同中增加保密条款。
第五章:奖励与惩罚。
第二十四条:本单位对在技术保密工作中做出突出成绩的人员和部门给予奖励,对有突出贡献的人员和单位给予个性嘉奖。
第二十五条:对未按本《规定》进行技术保密管理或管理不善造成秘密泄漏的,除对直接职责者按有关规定给予相应行政处理外,还将追究所属单位主要负责人的职责,并对直接职责者和所属单位给予必须的经济处罚。
第二十六条:对无视本《规定》,以谋取个人或小集团利益为目的,蓄意使本单位的技术秘密泄漏,造成重大损失和严重后果的,将依《中华人民共和国刑法》第二百一十九条和第二百二十条追究法律职责。
第二十七条:各级技术保密管理人员因玩忽职守使本单位技术秘密泄漏造成经济损失,削弱竞争潜力的,视情节轻重给予不同程度的行政处分和经济处罚,明知故犯者加重处罚。
第二十八条:对违反本《规定》,使单位的技术秘密泄露,造成直接和间接经济损失,削弱竞争潜力的,根据本《规定》第四条的规定,由本单位技术保密主管部门负责调查核实,并提出初步处理意见,报本单位批准后执行。
第六章:附则。
第二十九条:本《规定》自发布之日起执行。
第三十条:本《规定》与国家有关法律法规及上级主管部门的有关文件相抵触时,以国家有关法律法规及上级主管部门的有关文件为准。
1.1、为保守公司秘密,维护公司权益,特制定本制度。
1.2、公司秘密是关系公司权力和利益,依照特定程序确定,在必须时间内只限必须范围的人员知悉的事项,包括但不限于技术秘密和其他商业机密。技术秘密是指不为公众知悉、能为企业带来经济利益、具有实用性并且企业采取保密措施的非专利技术和技术信息。技术秘密包括但不限于:技术方案、工程设计、电路设计、制造方法、配方、工艺流程、技术指标、计算机软件、数据库、研究开发记录、技术报告、检测报告、实验数据、试验结果、图纸、样品、样机、模型、模具、操作手册、技术文档、相关的函电,等等。其他商业秘密,包括但不限于:客户名单、行销计划、采购资料、定价政策、财务资料、进货渠道等。
1.3、公司全体职员都有保守公司秘密的义务。接触到企业商业秘密的高级员工,例如:管理人员、技术人员、财务人员、销售人员、秘书等对保守公司秘密负有个性的职责。
1.4、公司保密工作,实行既确保秘密又便利工作的方针。
2、保密范围和密级确定。
2.1、公司秘密包括本制度第1.2项规定的范围以及下列秘密事项:
1)公司重大决策中的秘密事项。
2)公司财务预决算报告及各类财务报表、统计报表。
3)公司内部掌握的合同、协议、意见书及可行性报告、主要会议记录。
4)公司尚未付诸实施的经营战略、经营方向、经营规划、经营项目及经营决策。
5)公司所掌握的尚未进入市场或尚未公开的各类信息。
6)公司职员人事档案,工资性、劳务性收人及资料。
7)其他经公司确定应当保密的事项。一般性决定、决议、通告、通知、行政管理资料等内部文件不属于保密范围。
2.2、公司秘密的密级分为“绝密”、“机密”、“秘密”三级。绝密是最重要的公司秘密,泄露会使公司的权益和利益遭受个性严重的损害;机密是重要的公司秘密,泄露会使公司权益和利益遭受到严重的损害;秘密是一般的公司秘密,泄露会使公司的权益和利益遭受损害。
2.3、公司秘级的确定:
1)公司经营发展中,直接影响公司权益和利益的重要决策文件、技术资料为绝密级;。
2)公司的规划、财务报表、统计资料、重要会议记录、公司经营状况为机密;。
3)公司人事档案、合同、协议、职员工资性收人、尚未进人市场或尚未公开的各类信息为秘密级。
2.4、属于公司秘密的文件、资料,应当依据本制度规定标明密级,并确定保密期限。保密期限分永久、长期、短期,一般与密级相对应,特殊状况外标明。保密期限届满,自行解密。
3、公司保密措施。
3.1、属于公司秘密的文件、资料和其他物品的制作、收发、传递、使用、复制、摘抄、保存和销毁,由办公室或主管副总经理委托专人执行;采用电脑技术存取、处理、传递的公司秘密由电脑部门负责保密。
3.2、对于密级文件、资料和其他物品,务必采取以下保密措施:
1)非经总经理或主管副总公司批准,不得复制和摘抄;。
2)收发、传递和外出携带,由指定人员担任,并采取必要的安全措施;。
3)在设备完善的保险装置中保存。
3.3、属于公司秘密的设备或者产品的研制、生产、运输、使用、保存、维修和销毁,由公司指定专门部门负责执行,并采用相应的保密措施。
3.4、在对外交往与合作中需要带给公司秘密事项的,应当事先经总经理批准。
3.5、具有属于公司秘密资料的会议和其他活动,主办部门应采取下列保密措施:
1)选取具备保密条件的会议场所;。
2)根据工作需要,限定参加会议人员的范围,对参加涉及密级事项会议的人员予以指定;。
3)依照保密规定使用会议设备和管理会议文件;。
4)确定会议资料是否传达及传达范围。
3.6、不准在私人交往和通信中泄露公司秘密,不准在公共场所谈论-公司秘密,不准透过其他方式传递公司秘密。
3.7、公司工作人员发现公司秘密已经泄露或者可能泄露时,应当立即采取补救措施并及时报告综合管理部;综合管理部接到报告,应立即作来源理。
3.8、出现下列状况之一者,予以辞退并酌情赔偿经济损失:
1)违反本保密制度规定,为他人窃取、刺探、收买或违章带给公司秘密的;。
2)故意或过失泄露公司秘密,造成严重后果或重大经济损失的;。
3)利用职权强制他人违反保密规定的。
3.9、公司与全体员工签订《员工保守商业秘密协议书》,《员工保守商业秘密协议书》以书面形式签订,协议附后。
3.10、在保密合同有效期限内,员工应履行下列义务:
1)严格遵守本企业保密制度,防止泄漏企业技术秘密;。
2)不得向他人泄漏企业技术秘密;。
3)非经公司书面同意,不得利用该技术秘密进行生产与经营活动,不得利用技术秘密进行新的研究和开发:
3.11、对高级员工实行“竞业限制”制度,限制管理人员、技术人员、财务人员、销售人员、秘书等高级员工的以下行为:
1)自行设立与本公司竞争的公司;。
2)在竞争企业中兼职;。
3)就职于本公司的竞争对手;。
4)引诱企业中的其他员工辞职;。
5)引诱企业的客户脱离企业;。
6)在离职后,与企业进行竞争的其他行为。
3.12、涉及公司商业秘密的合作、代理、交易合同或协议,均需设置“保密条款”,对合同对方增设保密义务。“保密条款”应当包含以下资料:
1)明示合同所涉及的需要保密的商业秘密范围;。
2)合同对方以及合同对方的任何员工、代理人均受保密条款的约束;。
4)受约束的保密义务人不可将内含保密信息的资料、文件、实物等携带出保密区域;。
6)不相关的员工不可接触或了解商业秘密;。
7)保密信息应当在合同终止后交还;。
8)保密期限在合同终止后仍然持续有效;。
9)违反保密义务的,应当承担明确的违约职责。
4、附则本制度的解释权属于综合管理部。
本制度自发布之日起施行。