XXX有限公司

信息系統(tǒng)、信息設(shè)備和存儲設(shè)備管理制度

第一章總則

第一條為保障公司信息系統(tǒng)、信息設(shè)備和存儲設(shè)備安全保密管理工

作，確保國家秘密和企業(yè)信息安全，依據(jù)《中華人民共和國保守國家秘密

法》及其實施條例、《武器裝備科研生產(chǎn)單位保密資格審查認定管理辦法》、

《武器裝備科研生產(chǎn)單位三級保密資格標準》、《武器裝備科研生產(chǎn)單位三

級保密資格評分標準》等有關(guān)法律、法規(guī)和標準以及《公司保密管理制度》

制定本辦法。

第二條公司信息系統(tǒng)、信息設(shè)備和存儲設(shè)備的安全保密工作遵循“積

極防范、突出重點、控制源頭、嚴格管理、分級負責、責任到人”，以及“誰

主管、誰負責，誰使用、誰負責”的原則。

第二章管理部門與工作職責

第三條公司應正式發(fā)文明確公司信息化管理部門和工作職責，負責

信息化規(guī)劃、建設(shè)、運行維護以及安全保密管理工作，并接受公司保密辦

的指導、監(jiān)督和檢查C

第四條公司信息化管理部門是信息系統(tǒng)、信息設(shè)備和存儲設(shè)備歸口

管理部門。其主要工作職責如下：

（一）負責公司信息系統(tǒng)、信息設(shè)備和存儲設(shè)備規(guī)劃、立項、設(shè)計、建

設(shè)、驗收、運行維護全過程的管理。

（二）負責組織編制信息系統(tǒng)、信息設(shè)備和存儲設(shè)備安全保密管理制度。

（三）負責組織制定由信息安全策略、管理制度、操作規(guī)程組成的公司

信息安全保密管理體系文件。

（四）負責對公司信息系統(tǒng)、信息設(shè)備和存儲設(shè)備運行維護工作機構(gòu)進

行監(jiān)督、管理和指導C

（五）負責定期會同保密管理部門和相關(guān)業(yè)務(wù)部門，組織對公司信息系

統(tǒng)、信息設(shè)備和存儲設(shè)備的安全保密技術(shù)檢查。

第五條公司應指定具體的工作機構(gòu)負責信息系統(tǒng)、信息設(shè)備和存儲

設(shè)備運行維護的運行維護管理并明確工作職責，接受公司信息化管理部門

的業(yè)務(wù)監(jiān)管，負責運行維護工作。

第六條公司運行維護機構(gòu)是公司信息系統(tǒng)、信息設(shè)備和存儲設(shè)備運

行維護管理的責任部門。其主要職責如下：

（一）負責參加公司信息系統(tǒng)、信息設(shè)備和存儲設(shè)備規(guī)劃、立項、設(shè)計、

建設(shè)、驗收、運行維護全過程的管理。

（二）負責落實公司信息系統(tǒng)、信息設(shè)備和存儲設(shè)備全過程各個環(huán)節(jié)的

安全保密管理、日常運行維護管理和技術(shù)支持工作。

（三）負責對公司信息系統(tǒng)、信息設(shè)備和存儲設(shè)備安全保密產(chǎn)品運行狀

況進行監(jiān)督和審計，確保防護措施有效。

（四）負責公司信息系統(tǒng)、信息設(shè)備和存儲設(shè)備運行維護安全保密管理。

每月負責編制審計報告，每年進行一次風險評估，并形成文檔化的報告以

及補救措施。

（五）負責公司各類保密信息設(shè)備、保密儲存設(shè)備及保密產(chǎn)品總臺賬、

標識標簽的管理工作C

（六）負責指導公司信息系統(tǒng)、信息設(shè)備和存儲設(shè)備用戶的使用與技術(shù)

支持工作。

第七條公司信息化管理人員是公司信息系統(tǒng)、信息設(shè)備和存儲設(shè)備

安全保密管理者。其主要職責如下：

（一）負責公司信息系統(tǒng)、信息設(shè)備和存儲設(shè)備安全保密工作的監(jiān)督、

檢查、指導和協(xié)調(diào)工作。

（二）負責配合公司信息化部門組織的信息系統(tǒng)、信息設(shè)備和存儲設(shè)備

保密技術(shù)檢查。

（三）負責調(diào)查、處理信息系統(tǒng)、信息設(shè)備和存儲設(shè)備保密違規(guī)違紀問

題。

（四）負責監(jiān)督信息系統(tǒng)、信息設(shè)備和存儲設(shè)備安全保密規(guī)章制度及技

術(shù)防護措施的落實情況。

第八條公司各使用部門和用戶應在公司信息化管理人員和運行維護

第十一條公司信息系統(tǒng)、信息設(shè)備和存儲設(shè)備配備“三員”必須滿

足公司運行維護工作的需求，確保公司信息系統(tǒng)、信息設(shè)備和存儲設(shè)備運

行正常，運行維護工作有序運轉(zhuǎn)。

第十二條“二員”人員管理

（一）“三員”上崗按照涉密人員管理要求，履行人員審查程序，確保

政治可靠、作風正派、技能合格。

（二）“三員”應按照重要涉密人員進行管理，并簽訂保密承諾書。

（二）“二員”上崗前，應接受保密制度、保密知識和保密意識的教育

培訓。定期參加上級有關(guān)部門組織的“國防科技工業(yè)計算機及信息系統(tǒng)安

全保密管理人員”相關(guān)保密培訓，并取得培訓證書。

（四）“三員”經(jīng)過相關(guān)培訓，取得相關(guān)證書后，由公司綜合管理部正

式發(fā)文任命上崗。明確“三員”的角色、權(quán)限、任務(wù)，規(guī)范約束“三員”

的行為。

（五）“三員”在崗期間，公司信息化管理部門應會同公司綜合管理部

定期對“三員”進行監(jiān)督檢查，依據(jù)工作職責要求確定是否履職和稱職，

對不符合要求的“三員”應及時進行調(diào)整。

（六）“三員”離鹵或調(diào)離，應嚴格執(zhí)行涉密人員脫密期管理，交回所

負責工作的各類文檔、軟件等；注銷其在信息設(shè)備中的賬號和授權(quán)；交回

負責的信息設(shè)備管理Key等鑒別裝置；同時應及時更換其管理的信息設(shè)備

的各類口令等。

（七）“三員”禁止在外商或外資企業(yè)兼職，擅自離職的應立即上報公

司保密辦，并采取相應措施。

第十三條“三員”工作職責如下：

（一）系統(tǒng)管理員

1.負責公司信息系統(tǒng)、信息設(shè)備和存儲設(shè)備日常運行管理、維護和

技術(shù)支持工作以及安全保密管理工作，確保設(shè)備安全可控、運行正常;

2.負責涉密信息設(shè)備的日常使用管理，負責涉密信息設(shè)備用戶權(quán)限

管理，做好訪問控制和權(quán)限控制，禁止用戶之間相互訪問和非授權(quán)用戶

讀取敏感信息；

（二）安全保密管理員

1.負責公司各類安全保密產(chǎn)品、設(shè)備和設(shè)施的信息安全策略規(guī)劃、策

略配置、策略變更，日常管理、維護與升級等工作，對產(chǎn)生的日志進行分

析，發(fā)現(xiàn)問題及時處理；

2.負責實施落實公司涉密信息設(shè)備和存儲設(shè)備安全保密策略的具體

工作，并根據(jù)環(huán)境、系統(tǒng)和威脅變化情況及時調(diào)整、補充信息安全策略；

3.定期對公司信息系統(tǒng)、信息設(shè)備和存儲設(shè)備運行情況以及安全保密

產(chǎn)品的日志進行分析，每年進行一次安全風險評估，形成評估報告，并對

存在的風險和漏洞制定消除和補救措施。負責定期編寫運行報告，參與編

寫審計報告；

4.定期向主管領(lǐng)導報送安全保密管理情況和各種安全事件情況。負責

參加公司安全保密管理制度的制定、補充和完善。

（三）安全審計員

1.負責定期檢查系統(tǒng)日志和安全保密產(chǎn)品日志，對安全保密管理員和

用戶的操作行為進行審計、跟蹤、分析和監(jiān)督檢查，及時發(fā)現(xiàn)違規(guī)行為；

2.負責審核和監(jiān)督安全保密管理員對信息安全策略執(zhí)行和操作情況。

負責對安全審計中發(fā)現(xiàn)的安全事件及時處理，并對處理結(jié)果進行記錄；

3.負責每季度主持編寫安全審計報告，定期向主管領(lǐng)導報送審計工作

情況。參與風險評估報告的編寫；

4.負責管理公司信息系統(tǒng)，、信息設(shè)備和存儲設(shè)備總臺賬，定期檢杳臺

賬信息，確保臺賬分類準確、要素齊全、賬物相符。

第四章定義與分類

第十四條定義

本制度所指信息系統(tǒng)、信息設(shè)備和存儲設(shè)備包含各類應用系統(tǒng)、服務(wù)

器、計算機、網(wǎng)絡(luò)設(shè)備、外部設(shè)施設(shè)備、存儲設(shè)備、辦公自動化設(shè)備、聲

像設(shè)備和安全保密產(chǎn)品。

公司涉密信息系統(tǒng)、涉密信息設(shè)備和涉密存儲設(shè)備必須實行全生命周

期管理，包括確定密級、申領(lǐng)（領(lǐng)用）、使用、變更、維修、停用、報廢、

銷毀等環(huán)節(jié)。全生命周期的各種狀態(tài)和環(huán)節(jié)均應有審批和記錄，何種管理

和控制過程應有據(jù)可查。

第十五條信息系統(tǒng)

（一）公司內(nèi)部網(wǎng)：指用于全公司各部門實現(xiàn)網(wǎng)絡(luò)化辦公，生產(chǎn)經(jīng)營、

工業(yè)控制、信息應用等功能的內(nèi)部級信息系統(tǒng)。與涉密計算機和互聯(lián)網(wǎng)物

理隔離，獨立運行，按等級保護要求進行管理和防護。

（二）公司互聯(lián)網(wǎng)：指用于連接國際互聯(lián)網(wǎng)的公司非涉密網(wǎng)絡(luò)，按非涉

密信息系統(tǒng)管理,按等級保護要求進行管理和防護。

（三）應用系統(tǒng)：是指公司內(nèi)部網(wǎng)和互聯(lián)網(wǎng)運行的服務(wù)于公司經(jīng)營和生

產(chǎn)管理的系統(tǒng)，為非涉密應用系統(tǒng)。

第十六條信息設(shè)備

信息設(shè)備是指具有采集、處理、存儲、傳輸功能的設(shè)備和部件。主要

包括以下設(shè)備：

（一）服務(wù)器、計算機（各類計算機、服務(wù)器、工作站等）；

（二）網(wǎng)絡(luò)設(shè)備（交換機、路由器、網(wǎng)關(guān)等）；

（三）外部設(shè)施設(shè)備（打印機、掃描儀、移動光驅(qū)、讀卡器等）；

（四）辦公自動化設(shè)備（復印機、傳真機、多功能一體機、碎紙機、曬

圖機、繪圖儀等）；

（五）聲像設(shè)備（照相機、攝像機、錄音機、投影儀、擴音設(shè)備、存儲

卡、記憶棒、錄音筆、錄像帶等r

第十七條存儲設(shè)備

存儲設(shè)備是指具有存儲數(shù)據(jù)的各類載體、介質(zhì)。主要包括計算機的硬

盤和固態(tài)存儲器等、移動硬盤、優(yōu)盤、各類存儲卡、光盤等。

第十八條安全保密產(chǎn)品

安全保密產(chǎn)品是指用于用于安全保密技術(shù)防護的軟硬件產(chǎn)品。主要包

括計算機病毒防護產(chǎn)品、身份鑒別、監(jiān)控審計、單向?qū)?、訪問控制、電

磁泄露防護等產(chǎn)品等C

第五章臺帳與標識管理

第十九條公司對信息設(shè)備和存儲設(shè)備實行總臺帳管理和標識標簽管

理，總臺賬以紙質(zhì)和電子文檔形式存在。記入臺帳的設(shè)備應當加貼標識標

簽，無標識設(shè)備不得在公司辦公區(qū)域使用。

第二十條公司運行維護機構(gòu)負責建立公司總臺帳，應指定人員負責

管理總臺帳，并對所管理的臺帳及時進行核對與更新。

第二十一條總臺帳應當包括以下類別：

（一）《涉密/非涉密信息設(shè)備總臺帳》（見附件1）,包括各類計算機、

網(wǎng)絡(luò)設(shè)備及外部設(shè)施設(shè)備、聲像設(shè)備等。

（二）《涉密/非涉密存儲設(shè)備總臺帳》（見附件2）,包括計算機的硬

盤和固態(tài)存儲器等、移動硬盤、優(yōu)盤、各類存儲卡、光盤等。

（三）《辦公自動化設(shè)備總臺賬》（見附件3）,包括復印機、傳真機、

多功能一體機、碎紙機、曬圖機、繪圖儀等。

（四）《安全保密產(chǎn)品總臺帳》（見附件4）,包括計算機病毒防護產(chǎn)

品、身份鑒別、監(jiān)控審計、單向?qū)?、訪問控制、電磁泄露防護等產(chǎn)品等。

（五）各類總臺賬應分為涉密和非涉密兩類。

第二十二條臺帳設(shè)置應當包括以下要素：

（一）信息設(shè)備臺帳應當包括：保密編號、設(shè)備名稱、型號規(guī)格、密

級、用途、所屬部門、放置地點、責任人、操作系統(tǒng)安裝時間、硬盤序列

號、設(shè)備序列號、1P地址、啟用時間和使用情況。

（二）存儲設(shè)備臺帳應當包括：保密編號、設(shè)備名稱、型號規(guī)格、密

級、用途、所屬部門、放置地點、責任人、序列號、啟用時間、使用情況。

（三）辦公自動化設(shè)備臺賬應當包括：保密編號、設(shè)備名稱、型號規(guī)

格、密級、用途、所屬部門、放置地點、責任人、序列號、啟用時間、使

用情況。

（四）安全保密產(chǎn)品臺帳應當包括：保密編號、產(chǎn)品名稱、型號規(guī)格、

密級、生產(chǎn)廠家、檢測證書名稱、證書編號、責任人購置時間、啟用時間、

使用情況。

第二十三條各類信息設(shè)備和存儲設(shè)備的標識由公司運行維護機構(gòu)統(tǒng)

一設(shè)計制作、統(tǒng)一發(fā)放，確保標識標簽信息與臺賬登記信息一致和唯一性。

標識要素應當至少包含以下內(nèi)容：

（一）保密編號。

（一）密級或?qū)傩浴?/p>

（三）用途。

（四）責任部門和責任人。

第二十四條信息設(shè)備和存儲設(shè)備標識標簽應當粘貼在設(shè)備的顯著位

置上（如主機箱等），不可粘貼在顯示器上。非涉密信息設(shè)備同時粘貼保密

警示提醒（非涉密設(shè)備，禁止存儲和處理涉密信息）標簽。

第二十五條標識出現(xiàn)污損、脫落的，管理部門應當及時進行更換。

任何人不得故意撕揭、涂改、污染設(shè)備標識。

第二十六條電子信息密級標志依據(jù)公司《國家秘密載體管理制度》

中相關(guān)要求進行標識C

（一）處于編寫、修改過程中和已完成的電子文檔、圖表、圖像等，

應在首頁標注密級標志。

（二）首頁無法標注的可在文件名上進行標注。

（三）首頁和文件名均不能標注的電子文檔，應標注相應密級的涉密

文件夾進行存放。

（四）電子文檔標注的密級應依據(jù)公司《國家秘密事項范圍細目》中

相關(guān)要求進行標注。

第六章信息系統(tǒng)管理

第二十七條公司建設(shè)涉密信息系統(tǒng)，應當嚴格執(zhí)行國家涉密信息系

統(tǒng)分級保護標準，并遵守相關(guān)保密法律法規(guī)和規(guī)章的相關(guān)規(guī)定。

第二十八條公司內(nèi)部局域網(wǎng)和互聯(lián)網(wǎng)的建設(shè)和管理，應當按照信息

安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求進行，確定相應的保護等級，并采取

相應的保護措施。內(nèi)部局域網(wǎng)和互聯(lián)網(wǎng)上不得存儲、處理涉密信息。

第二十九條部門建立用于處理內(nèi)部事項并獨立成網(wǎng)的內(nèi)部網(wǎng)絡(luò)時，

應當書面報公司技術(shù)研發(fā)部審核備案。報備時應當同時報送具體方案。

第三十條公司內(nèi)部登錄國際互聯(lián)網(wǎng)實行實名制管理，并配備安全保

密技術(shù)措施進行防護。發(fā)布信息應當遵守《公司宣傳報道保密管埋辦法》

的相關(guān)規(guī)定。

第七章涉密信息設(shè)備管理

第三十一條用于處理涉密事項的計算機等信息設(shè)備，應嚴格按照涉

密信息設(shè)備全生命周期管理的八個環(huán)節(jié)（定密、領(lǐng)用、使用、變更、維修、

停用、報廢、銷毀）進行管理，依據(jù)相應流程辦理審批程序，配置信息安

全策略。

第三十二條涉密計算機投入使用應當首先確定信息設(shè)備的密級，辦

理領(lǐng)用手續(xù)，填寫《信息設(shè)備、存儲設(shè)備定密/領(lǐng)用/變更中請審批表》（見

附件5）后，按規(guī)定流程辦理審批后進行。發(fā)生變更時同樣辦理。

第三十三條涉密計算機安裝操作系統(tǒng)、應用軟件等應當填寫《操作

系統(tǒng)/軟件安裝申請審批表》（見附件6）,按規(guī)定流程辦理審批后進行。

未經(jīng)批準，不得對涉密計算機進行系統(tǒng)格式化或者重裝操作系統(tǒng)。

第三十四條公司涉密計算機應配置身分鑒別系統(tǒng)，實現(xiàn)涉密計算機

的雙因子身份鑒別機制，領(lǐng)用、變更、更換USBKey應辦理《USBKey領(lǐng)用/

變更申請審批表》（見附件7）。

涉密計算機配置USBKey應參照涉密載體進行管理，禁止帶出公司可控

制區(qū)域。每次使用USBKey應進行登記《USBKey使用登記表》（見附件8）。

第三十五條涉密計算機應建立使用登記管理制度，每次使用涉密計

算機應進行使用登記《涉密工作機/中間機/輸出機使用登記表》（見附件9）,

詳細記錄使用涉密計算機的保密編號、密級、工作內(nèi)容、使用日期時間、

結(jié)束日期時間、使用人等信息。使用時間要求記錄到時和分。

第三十六條公司運行維護機構(gòu)應當組織編制公司《信息安全策略》，

并根據(jù)安全保密要求定期進行更新和完善?！缎畔踩呗浴窇斶M行內(nèi)部

評審并報公司保密工作領(lǐng)導小組審查批準。

任何部門、個人不得擅自修改、卸載涉密計算機中配置的安全保密技

術(shù)措施。

第三十七條涉密計算機安全保密管理員應當定期對涉密計算機開展

安全保密審計，并編制書面審計報告報保密辦公室審核歸檔。審計周期為:

機密級1個月，秘密級3個月。

第三十八條安全保密管理員應當會同保密辦公室對涉密計算機維護

記錄及安全保密審計情況進行分析，做出評估。對存在的風險漏洞應當及

時采取補救措施，并更新信息安全策略.

公司信息化管理員應當會同公司保密辦公室每年至少對涉密計算機進

行一次風險評估，并形成風險評估報告。

第三十九條涉密計算機所使用的安全保密產(chǎn)品，應當選用已獲得國

家保密行政主管部門授權(quán)的測評機構(gòu)檢測證書的產(chǎn)品。

第四十條涉密計算機應當與國際互聯(lián)網(wǎng)和其他非涉信息系統(tǒng)嚴格實

行物理隔離，任何人不得將涉密計算機接入國際互聯(lián)網(wǎng)和其他非涉密信息

系統(tǒng)。

第四十一條涉密計算機應當使用紅黑電源隔離插座。紅插座中不得

接入黑設(shè)備。

第四十二條涉密計算機不得使用具有無線發(fā)射、接收功能的外部設(shè)

備。任何人不得將手機、相機等違規(guī)設(shè)備與涉密計算機進行任何方式的連

接。

第四十三條涉密計算機的技術(shù)防護，應當嚴格按照《涉密計算機裝

機策略配置表》和《信息安全策略》等技術(shù)防護要求進行管理。

第四十四條涉密計算機工作日志應當由安全保密管理員定期進行備

份，并在審批后對已備份的日志信息做出清理。未經(jīng)批準，任何人不得擅

自刪除涉密計算機的日志記錄。

第四十五條存儲、處理涉密信息應當使用經(jīng)過審查確定的涉密計算

機。不得使用非涉密計算機處理涉密信息，不得在低密級涉密計算機中存

儲、處理高密級的涉密信息。

第四十六條涉密計算機與其他計算機之間進行信息交換時，應當經(jīng)

審批后，在專門用于信息交換的中間機上按照規(guī)定流程進行操作。

第四十七條中間機應當按照涉密與非涉密單獨設(shè)置，并指定人員管

理。涉密中間機用于將外部涉密存儲設(shè)備中存儲的涉密信息導入到公司涉

密計算機中；或者將公司涉密計算機中信息導出到外部存儲設(shè)備中。非涉

密中間機用于將外部存儲設(shè)備中存儲的非涉密信息導入到公司涉密計算機

中。

中間機不得存儲、處理涉密信息，不得與任何計算機、信息系統(tǒng)進行

互聯(lián)。

第四十八條公司保密室嚴禁攜帶具有無線發(fā)射功能、照相功能的產(chǎn)

品帶入（包括手機、照相機等），應在保密室門外配置手機存放柜。

第四十九條任何部門、任何人不得在涉密信息設(shè)備安全距離以內(nèi)安

裝使用無線路由器、無線網(wǎng)卡和無線WIFT等具有無線聯(lián)網(wǎng)功能的網(wǎng)絡(luò)設(shè)

備。

第八章涉密存儲設(shè)備管理

第五十條公司內(nèi)部使用的存儲設(shè)備應當是經(jīng)過登記注冊并批準的設(shè)

備。未經(jīng)批準，不得在公司辦公區(qū)域內(nèi)使用非注冊設(shè)備。

第五十一條涉密存儲設(shè)備應當按照內(nèi)存涉密信息的涉密等級確定設(shè)

備的涉密等級并做出標識。涉密存儲設(shè)備應當指定人員集中保管，并對使

用情況進行登記。

第五十二條信息交換使用的涉密存儲設(shè)備，應當與信息密級相匹配

或者高于信息密級。不得使用非涉密存儲設(shè)備存儲涉密信息，不得在低密

級存儲設(shè)備上存儲高密級信息。

第五十三條攜帶涉密存儲設(shè)備外出應當辦理審批。與便攜式計算機

同時攜帶時，應當分開保管，并始終處于有效控制狀態(tài)。

第五十四條涉密計算機上使用的存儲設(shè)備應當與涉密計算機采取綁

定措施。不得在涉密計算機與非涉密計算機之間交叉使用存儲設(shè)備。

第五十五條使用人每次使用涉密移動存儲介質(zhì)（專用紅盤）應登記

《涉密專用紅盤使用審批登記表》（見附件10）,經(jīng)保密辦審批后方可使用,

并詳細記錄每次的使用情況。

第九章便攜式計算機管理

第五十六條涉密便攜式計算機在啟用前應當拆除具有無線聯(lián)網(wǎng)功能

的硬件模塊。無法拆除的，不得用做涉密計算機。

第五十七條涉密便攜式計算機存儲的涉密信息應當與正在從事的工

作相關(guān)，不得在便攜式計算機上長期存儲涉密信息。

第五十八條涉密便攜式計算機應當指定人員集中保管。因工作原因

需要攜帶涉密便攜式計算機時，應當辦理審批手續(xù)。借出或者歸還時，保

管人員應當進行事前事后保密檢查，檢查情況應當做出記錄。

第五十九條經(jīng)批準攜帶外出的便攜式計算機應當始終處于攜帶人的

有效控制之中。外出期間，不得使用便攜式計算機在不具有保密條件的場

所處理涉密信息。發(fā)生涉密設(shè)備被盜、遣失應當立即報警，并報告保密辦

公室。

第六十條基本管理要求

（一）基本管理要求適用于公司內(nèi)的涉密便攜式計算機。

（二）公司配備的涉密便攜式計算機與臺式涉密計算機管理要求一致，

在裝機、配置本地安全策略和安裝安全保密產(chǎn)品客戶端等嚴格執(zhí)行公司《信

息安全策略》要求。

（三）嚴禁涉密便攜式計算機和內(nèi)部便攜式計算機上互聯(lián)網(wǎng)。

（四）外出攜帶的涉密便攜式計算機實行集中管理。

（五）外出攜帶的便攜式計算機在出公司前和返回后，集中管理員必須

進行詳細的檢查，并經(jīng)雙方（使用人和管理人）確認簽字。

第六十一條使用管理要求

（一）依據(jù)“誰使用、誰負責”的原則，使用人在外出使用期間應妥善

保管設(shè)備和存儲介質(zhì)，采取必要的安全防范措施，使涉密便攜機和涉密專

用紅盤始終處于攜帶人的有效控制范圍內(nèi)，防止出現(xiàn)丟失、被竊或非授權(quán)

使用的情況。

（二）使用人借用外出攜帶便攜式計算機借出前和歸還后要填寫《涉密

便攜式計算機使用登記表》（見附件11）。

（三）外出使用便攜機使用人應填寫《便攜式計算機及移動存儲介質(zhì)外

出攜帶申請審批表》（見附件12）,并明確外出攜帶保密管理措施，專人攜

帶、便攜機與涉密存儲介質(zhì)分開保管。

（四）外出攜帶期間，使用人進行文件打印或刻錄，應詳細填寫《攜帶

外出期間文件和操作行為記錄表》（見附件8-12）o

（五）使用涉密便攜機應當在符合要求的場所內(nèi)進行。

（六）攜帶涉密便攜式計算機不得參加涉密外活動，不得探親、訪友，

以及參加參觀、購物卻旅游等活動。

（七）涉密便攜式計算機不允許轉(zhuǎn)借或者橫傳，不允許借用人私自保管

和長期留用。

（八）遇到節(jié)假日期間必須及時歸還。

（九）發(fā)生涉密便攜式計算機或涉密移動存儲介質(zhì)丟失、被搶、被盜或

其他異常情況，造成泄密或可能造成泄密的，應及時向保密辦報告。

第十章維修與報廢管理

第六十二條涉密佶息設(shè)備和存儲設(shè)備發(fā)生故障需要維修或者變更配

置時，應當填寫《信息設(shè)備、存儲設(shè)備維修申請審批表》（見附件13）,按

照規(guī)定流程辦理審批,

第六十三條現(xiàn)場維修應當由公司內(nèi)部運維人員負責。由外部部門派

人維修時，公司技術(shù)研發(fā)部應當派人全程旁站陪同。送外維修時應當選擇

具有相應保密資質(zhì)的單位，并簽訂《信息設(shè)備、存儲設(shè)備維修保密協(xié)議書》

（見附件14）。

第六十四條涉密信息設(shè)備、存儲設(shè)備報廢處理時，應填寫《信息設(shè)

備、存儲設(shè)備停用/報廢/銷毀申請審批表》（見附件15）,按規(guī)定流程辦理

審批。報廢涉密設(shè)備時，應當拆除存儲、處理過涉密信息的硬件或者固件。

拆除的硬件或者固件應當由保密辦公室送交天津市涉密載體銷毀中心銷

毀。

第六十五條退出使用的涉密信息設(shè)備和存儲設(shè)備改作他用的，應當

辦理審批手續(xù)，并采取技術(shù)措施做出安全技術(shù)處理。凡未經(jīng)安全技術(shù)處理

的涉密信息設(shè)備和存儲設(shè)備，不得贈送、出售、丟棄或者改作其他用途。

第六十六條銷毀涉密信息設(shè)備和存儲設(shè)備應當依照公司相關(guān)規(guī)定辦

理審批、清點、登記手續(xù)，并送交天津市涉密載體銷毀中心銷毀。

第十一章安全保密產(chǎn)品管理

第六十七條公司內(nèi)部使用的安全保密產(chǎn)品必須使用通過國家保密行

政主管認可的安全安全保密產(chǎn)品，并確保產(chǎn)品證書在有效期內(nèi)，使用的產(chǎn)

品和測評報告中的產(chǎn)品應保持一致。其中“涉密計算機及移動存儲介質(zhì)安

全保密產(chǎn)品”（三合一）和“檢查裝備”應當是名錄產(chǎn)品，計算機病毒防治

產(chǎn)品應取得公安部門的銷售許可證。

第六十八條公司內(nèi)的安全保密產(chǎn)品管理必須制定專人負責管理，建

立《安全保密產(chǎn)品總臺賬》，要求記錄信息完整準確。

第六十九條公司運行維護機構(gòu)應制定安全保密產(chǎn)品的操作策略和管

理制度，并嚴格執(zhí)行,

第七十條安全保密管理員負責安全安全保密產(chǎn)品的策略配置和策略

變更，進行策略變更應履行審批流程，填寫《安全保密產(chǎn)品策略配置、策

略變更申請審批表》（見附件16）,并做好配置和變更工作記錄。

第七H~一條安全保密管理員應當及時安裝涉密計算機的操作系統(tǒng)、

數(shù)據(jù)庫系統(tǒng)和應用系統(tǒng)的補丁程序（補丁程序發(fā)布后3個月內(nèi)）；每15天

更新涉密計算機病毒與惡意代碼防護產(chǎn)品病毒定義和特征庫，每月至少進

行一次全系統(tǒng)或全盤查殺，及時清除病毒隔離區(qū)。補丁程序和病毒定義更

新工作要做好維護記錄，每次操作應詳細填寫《計算機病毒定義/系統(tǒng)補丁

升級操作記錄表》（見附件17）

第七十二條安全保密管理員應定期對安全保密產(chǎn)品日志進行分析，

及時發(fā)現(xiàn)和處理各類安全保密產(chǎn)品事件。對發(fā)現(xiàn)的問題或存在疑問的情況,

要及時分析原因，徹底解決。對出現(xiàn)的違規(guī)行為及時制止，并立即上報主

管領(lǐng)導，如發(fā)現(xiàn)重大安全隱患或是泄密事件，應立即采取措施，同時報告

主管領(lǐng)導和保密辦。

第七十三條安全保密管理員應做好安全保密產(chǎn)品的日常運行管理和

維護，確保安全產(chǎn)品始終處于完好可用狀態(tài)。安全保密產(chǎn)品的維修、報廢

和銷毀按相關(guān)規(guī)定執(zhí)行。

第十二章身份鑒別管理

第七十四條公司涉密計算機必須設(shè)置開機BIOS口令，其管理員口令

由安全保密管理員負責（計算機責任人），用戶只能使用非管理員BIOS口

令。

第七十五條公司涉密計算機系統(tǒng)用戶登錄的用戶標識符，由公司安

全保密管埋員統(tǒng)一配置、產(chǎn)生，確保在系統(tǒng)生命周期的唯一性。安全保密

管理員應對涉密計算機內(nèi)的身份標識符加強管理、維護，確保身份標識符

不被非授權(quán)訪問、修改和刪除。

第七十六條安全保密管理員應定期（不超過一個月）檢查與用戶身

份標識符相關(guān)的審計日志，發(fā)現(xiàn)異常情況，應立即向部門領(lǐng)導和保密辦公

室報告。

第七十七條涉密計算機采用口令鑒別方式，口令設(shè)置應滿足以下要

求：

1.機密級計算機口令長度不少于10位（秘密級計算機口令長度不少

于8位）;

2,存儲口令應采取安全措施，確保其安全可靠。

第七十八條涉密計算機采用USBKey與口令相結(jié)合的方式進行身份鑒

別時，應滿足以下要求：

1.PIN碼口令長度設(shè)置不少于10位；

2.存儲口令應采取安全措施，確保其安全可靠。

第七十九條公司涉密計算機必須設(shè)置重鑒別口令，當其空閑操作的

時間超過10分鐘時應予以保護，用戶需要執(zhí)行操作時，應重新進行身份鑒

別。

第八十條當用戶身份鑒別嘗試失敗次數(shù)連續(xù)達到5次后，應進行登

錄鎖定，同時形成安全審計事件。

第十三章訪問控制管理

第八十一條公司涉密計算機應依據(jù)用戶的涉密等級和知悉范圍進行

嚴格管控，制定訪問控制策略和授權(quán)機制，應采用最小授權(quán)原則實現(xiàn)主體

對客體的訪問授權(quán)。

第八十二條公司涉密計算機的系統(tǒng)用戶應根據(jù)用戶所在部門、承擔

的項目不同或涉密等級不同進行劃分。不同用戶不能相互訪問，確保用戶

只能訪問其授權(quán)范圍內(nèi)的信息。

第八十三條公司涉密計算機為多用戶時，其涉密計算機的責任人為

公司安全保密管理員c安全保密管理員應為不同用戶建立不同的加密分區(qū)，

設(shè)置不同的用戶標識符和訪問權(quán)限，防止用戶查看或獲取非授權(quán)和知悉范

圍以外的涉密信息。

第八十四條公司涉密計算機為多用戶時，除安全保密管理員

(administrator)以外，涉密計算機的使用用戶應當設(shè)置為一般用戶

(user),不得設(shè)置為管理員用戶。

第十四章導入導出管理

第八十五條導入導出的定義

導入導出是指信息系統(tǒng)、信息設(shè)備的信息輸入/輸出，包括打印、復印、

掃描、制圖等通過紙介質(zhì)形式的輸入/輸出，電子格式的數(shù)據(jù)拷貝輸入/輸

出等。

第八十六條全公司涉密信息導入導出采取集中管理，只能在公司保

密室內(nèi)（保密要害部位）進行導入導出。

第八十七條導入導出工作由安全保密管理員具體負責操作，導入導

出須履行相關(guān)審批登記流程。

第八十八條涉密計算機進行導入導出應填寫《涉密計算機信息導入/

導出申請審批表》（見附件18）。導人導出工作包括文件打印、刻錄、電子

信息輸出輸入等。

第八十九條導入導出的操作過程管理員要進行詳細登記記錄《涉密

計算機導入/導出操作使用記錄表》（見附件19）、《涉密打印機使用登記表》

（見附件20）、《涉密刻錄使用登記表》（見附件21）。

第九十條涉密文件復印必須在保密室內(nèi)進行，申請人填寫《涉密文

件復印申請審批表》（見附件22）后，由管理員在雙方相互監(jiān)督的情況下

進行涉密文件的復印操作。管理員同時填寫《涉密復印機操作使用記錄表》

（見附件23）,記錄使用日期、時間、復印

第九十一條管理員應對導入導出中使用的各類光盤和存儲介質(zhì)嚴格

登記。使用專用紅盤需進行登記，使用完后應進行信息消除。

第十五章軟件和硬件管理

第九十二條涉密信息設(shè)備未履行審批程序，嚴禁進行任何軟硬件的

安裝、擴展、縮減、拆卸、變更等，禁止改變?nèi)魏瓮獠吭O(shè)備的狀態(tài)。

第九十三條涉密信息設(shè)備的軟硬件安裝、拆卸、更換等工作，應由

“三員”提出申請，經(jīng)公司運行維護機構(gòu)和信息化管理部門批準后方可實

施。

第九十四條涉密信息設(shè)備操作系統(tǒng)安裝由公司“三員”負責安裝，

并依據(jù)公司《信息安全策略》要求，配置必要的安全保密產(chǎn)品，配置完整

的安全策略，并記錄工作記錄存檔備查。

第九十五條涉密信息設(shè)備安裝的操作系統(tǒng)和應用軟件必須使用正版

安裝介質(zhì)，并區(qū)分涉密專用和非涉密專用。

第九十六條公司“三員”負責全公司軟件登記管理，建立全公司《軟

件白名單》（見附件24）。對公司在用的工具軟件應用軟件采取集中管理。

第九十七條公司“三員”負責公司軟件白名單的維護，每年審核一

次。

第九十八條未經(jīng)運行維護機構(gòu)門和信息化管理部門審批，涉密計算

機禁止安裝軟件報名單以外的軟件。

第九十九條因工作需要安裝軟件白名單以外的軟件，應填寫《操作

系統(tǒng)/軟件安裝申請審批表》審批后，由管理人員進行安裝，安裝前應先進

行計算機病毒和惡意代碼查殺的檢查。

第十六章互聯(lián)網(wǎng)使用管理

第一百條全公司互聯(lián)網(wǎng)采取統(tǒng)一出口，實行統(tǒng)一接入、統(tǒng)一管理、

統(tǒng)一安全策略、責任人負責。

第一百。一條公司運行維護機構(gòu)負責出口的統(tǒng)一管理，日常運行維

護和用戶技術(shù)支持等C

第一百。二條公司互聯(lián)網(wǎng)采取實名制認證、上網(wǎng)行為管理等技術(shù)管

控措施。

第一百。三條互聯(lián)網(wǎng)網(wǎng)絡(luò)設(shè)備、服務(wù)器、用戶終端等由公司信息化

管理部門統(tǒng)一配置防護策略和安全管理。

第一百O四條公司內(nèi)各部門接入互聯(lián)網(wǎng)必須履行相關(guān)審批流程，填

寫《互聯(lián)網(wǎng)入網(wǎng)申請審批表》（見附件25）和簽訂《互聯(lián)網(wǎng)入網(wǎng)責任書》（見

附件26）后方可接入互聯(lián)網(wǎng)。

第一百。五條公司內(nèi)各部門接入互聯(lián)網(wǎng)的計算機必須是互聯(lián)網(wǎng)專用

計算機，并納入公司信息設(shè)備臺賬和標識管理。

第一百。六條嚴禁在接入互聯(lián)網(wǎng)的計算機上處理、存儲和傳遞任何

涉密信息，嚴禁使用涉密存儲介質(zhì)。涉密場所內(nèi)的互聯(lián)網(wǎng)計算機嚴禁配備、

安裝和使用攝像頭、麥克風等音視頻攝入設(shè)備。

第一百。七條公司內(nèi)各部門人員因工作需要申請互聯(lián)網(wǎng)電子郵箱

的，由本人提出申請，經(jīng)本單位領(lǐng)導審批，填寫《互聯(lián)網(wǎng)電子郵箱申請審

批表》（見附件27）報信息化管理部門審批后開通。

第一百。八條公司各部門在互聯(lián)網(wǎng)上發(fā)布、傳遞信息時，應按照相

關(guān)保密制度，準確提交發(fā)布信息的內(nèi)容，履行保密審查審批程序《非涉密

信息互聯(lián)網(wǎng)發(fā)布、傳遞、交流審批表》（見附件28）,經(jīng)審批后方可進行信

息發(fā)布或傳遞。

第十七章監(jiān)督管理

第一百。九條對違反本辦法，違規(guī)使用信息系統(tǒng)、信息設(shè)備和存儲

設(shè)備的部門或者個人，由公司保密辦公室責令其限期整改。對拒不整改的,

應當立即停止使用，并給予處罰。

第一百一十條保密辦公室和公司信息化管理人員應當定期開展信息

系統(tǒng)、信息設(shè)備和存儲設(shè)備使用、管理情況的檢查。對違反保密管理規(guī)定

的，應當及時做出處理。

第一百一十一條發(fā)現(xiàn)涉密信息設(shè)備和涉密存儲設(shè)備遺失、被盜，在

全力組織查找的同時，應當向當?shù)貒冶Ｃ芫肿龀鰣蟾妫⒉扇》e極有效

的補救措施，避免或者減輕對國家秘密的危害。

第十八章附則

第一百一十二條本辦法由公司信息化管理部負責解釋。

第一百一十三條本辦法自發(fā)布之日起執(zhí)行。

附件:

1、涉密/非涉密信息設(shè)備總臺賬；

2、涉密/非涉密存儲設(shè)備總臺賬；

3、辦公自動化設(shè)備總臺賬；

4、安全保密產(chǎn)品總臺賬；

5、信息設(shè)備、存儲設(shè)備定密/領(lǐng)用/變更申請審批表；

6、操作系統(tǒng)/軟件安裝申請審批表；

7、USBKey領(lǐng)用/變更申請審批表；

8、USBKey使用登記表；

9、涉密（工作機/中間機/輸出機）使用登記表；

10、涉密專用紅盤使用審批記錄表；

11、涉密便攜式計算機使用登記表；

12、便攜式計算機及移動存儲介質(zhì)外出攜帶申請審批表;

13、信息設(shè)備、存儲設(shè)備維修申請審批表；

14、涉密信息設(shè)備、存儲設(shè)備維修保密協(xié)議書；

15、信息設(shè)備、存儲設(shè)備停用/報廢/銷毀申請審批表；

16、安全策略配置、策略變更申請審批表；

17、計算機病毒定義/系統(tǒng)補丁升級操作記錄表；

18、涉密計算機信息導入/導出申請審批表；

19、涉密計算機信息導入/導出操作記錄表；

20、涉密打印機使用登記表；

21、涉密刻錄使用登記表；

22、涉密文件復印申請審批表；

23、涉密復印機使用登記表；

24、軟件白名單；

25、互聯(lián)網(wǎng)入網(wǎng)申請審批表；

26、互聯(lián)網(wǎng)入網(wǎng)責任書；

27、互聯(lián)網(wǎng)電子郵箱申請審批表；

28、非涉密信息互聯(lián)網(wǎng)發(fā)布、傳遞、交流審批表。

附件1

涉密/非涉密信息設(shè)備總臺賬

操作系使

用

保密

序設(shè)備名型號密所屈放置責任統(tǒng)硬盤設(shè)備IP啟用時

情

編號用途

號稱規(guī)格級部門地點人安裝日序列號序列號地址間

況

期

1

2

3

4

5

6

7

信息設(shè)備包括：各類臺式計算機、便攜式計算機、打印機、制圖機、繪圖儀、掃描儀、外接式光盤刻錄機、移動光驅(qū)、

照相機、攝像機、投影儀、讀卡器等。使用情況包括：在用、停用、歸庫、維修、報廢。

附件2

涉密/非涉密存儲設(shè)備總臺賬

序：呆密編型號規(guī)所屬部責任使用情

設(shè)備名稱密級用途放置地點序列號啟用時間

號格門人況

1

2

3

4

5

6

7

存儲設(shè)備包括：計算機硬盤和固態(tài)存儲器、移動硬盤、光盤、專用紅盤、優(yōu)盤、軟盤等。

使用情況包括：在用、停用、歸庫、維修、報廢。

附件3

辦公自動化設(shè)備總臺賬

序：呆密編型號規(guī)所屬部責任使用情

設(shè)備名稱密級用途放置地點序列號啟用時間

號格門人況

1

2

3

4

5

6

通信辦公自動化設(shè)備包括：打字機、復印機、傳真機、多功能一體機、碎紙機、速印機、曬圖機、繪圖儀等，其中

部分也可看作計算機的外部設(shè)備。

使用情況包括：在用、停用、歸庫、維修、報廢。

附件4

女全保密產(chǎn)品總臺賬

使

序保密編型號規(guī)檢測證書名證書編責任購置時啟用時用

產(chǎn)品名稱密級生產(chǎn)廠家

號號格稱號人間間情

況

在

1

用

停

2

用

歸

3

庫

維

4

修

5維

使

序保密編型號規(guī)檢測證書名證書編責任購置時啟用時用

產(chǎn)品名稱密級生產(chǎn)廠家

號號格稱號人間間情

況

修

報

6

廢

7

8

1.安全保密產(chǎn)品包括：接入控制、單向?qū)?、身份鑒別、訪問控制、監(jiān)控審計、病毒防治、干擾濾波、漏洞掃描等。

2.所有安全保密產(chǎn)品按檢測證書標注名稱填寫，同時需產(chǎn)品廠商提供產(chǎn)品檢測證書和檢測報告紙質(zhì)與電子版各一

份，紙質(zhì)歸檔備查。

3.使用情況包括：在用、停用、歸庫、維修、報廢。

附件5

信息設(shè)備、存儲設(shè)備定密/領(lǐng)用/變更申請審批表

申請時

申請部門責任人

間

人員聯(lián)系電

使用地點

密級話

型

號出廠

品牌

規(guī)編號

格

產(chǎn)品序列號保密編號

主要技術(shù)指硬盤品牌容量：硬盤序列號：

標和附件明口無光驅(qū)口只讀光驅(qū)口讀寫光驅(qū)

細口其它（需說明）：

口臺式計算機口便攜式計算機口網(wǎng)絡(luò)設(shè)備口

外部設(shè)備

類別口安全保密產(chǎn)品口辦公自動化設(shè)備口聲像設(shè)備

□專用紅盤口普通U盤口移動硬盤

口其它（需說明）：

口單機口專用單機口調(diào)試單機口互聯(lián)網(wǎng)專用口中

用途間轉(zhuǎn)換機

口其它（需說明）：

□定密，擬定密級：口機密口秘密口內(nèi)部口非涉

密

口密級變更，原密級：擬變更密級：

定密或變更口責任人變更，原責任人：變更后責任人：

事項口放置地點，原地點：變更后地點：

口用途變更，原用途：變更后用途：

口其它變更，變更內(nèi)容：

審查意見：

部門領(lǐng)導

審查意見

簽名：年月日

定密審批意見：

定密責任人

審批意見

簽名：年月日

口檢查驗證申請?zhí)顖笮畔o誤

口標識標簽已正確粘貼口已登記總臺賬，變更內(nèi)容已更

管理員辦理新

和閉環(huán)情況啟用時間：年月日領(lǐng)用人簽字：

簽名：年月日

備注本表一機（介質(zhì)）一表，申請的內(nèi)容在口里13。

附件6

操作系統(tǒng)/軟件安裝申請審批表

申請

申請部門責任人

時間

設(shè)備

設(shè)備類型□臺式機口便攜機口其他

品牌

保密放置

密級

編號位置

口新系統(tǒng)安裝口硬盤格式化口重新安裝操作系統(tǒng)口軟件

申請類型

安裝

申請

安裝原因

軟件名稱版本軟件類型

安裝

主要軟件

管理員技申請理由合理，情況屬實，可以進行安裝操作。

術(shù)

檢查情況簽名：年月

日

審查意見：

部門領(lǐng)導

審查意見簽名：年月

日

審批意見：

信息化部

門

簽名：年月

審批意見

日

口操作系統(tǒng)及軟件已按申請事項要求正確安裝并配置完成

操作系統(tǒng)安裝時間：年月日（安裝一般軟件不用

填寫此項）

口本地安全策略配置完成口系統(tǒng)補丁已更新口身份鑒別配

管理員辦置完成

理和閉環(huán)口用戶權(quán)限和訪問控制策略配置完成口安全產(chǎn)品客戶端安裝

情況配置完成

□臺賬信息變更內(nèi)容已更新，確認準確無誤。

簽名：年月

日

備注說明：本表一機一表，申請的內(nèi)容在口里面。

附件7

USBKey領(lǐng)用/變更申請審批表

申請申請

申請部門

人時間

涉密聯(lián)系

使用地點

等級電話

申請類型口新領(lǐng)用口更換口維修口退還口其它（需說明）：

用途口涉密工作機口涉密中間機口涉密輸出機口涉密便攜機

10Key編

責任人員工編號計算機編號新Key編號領(lǐng)用人簽字

號

審查意見：

部門領(lǐng)導

審查意見

簽名；年月日

審核意見:

保密部門

審核意見

簽名:年月日

審批意見：

信息化部門

審批意見

簽名：年月日

□申請信息已核實，符合發(fā)Key要求

口USBKey信息已登記臺賬口標識標簽已粘貼

管理員辦理

口其它（需說明）：

和閉環(huán)情況

簽名：年月日

保密提醒：

USBKey屬于涉密計算機身份鑒別裝置，禁止在非涉密計算機上使

備注用。

USBKey使用范圍僅限公司辦公區(qū)域，嚴禁帶出。

人走拔Key,使用后應放入帶鎖的柜中妥善保存。

附件8

USBKey使用登記表

序號使用部門使用人USBKey編號用途使用時間歸還時間備注

1

r

2

4

5

6

7

8

GM

10

附件9

涉定（工作機川」間機/輸出機）使用登記表

序

保密編號密級工作內(nèi)容使用日期時間結(jié)束日期時間使用人備注

號

1

2

3

4

5

6

7

8

9

10

附件io

涉巒專用紅盤使用審批記或表

序號使用部門使用人紅盤編號用途借用時間審批人歸還時間備注

口使用正常

1

□信息已清除

口使用正常

2

口信息已清除

n使用正常

3

口信息已清除

□使用正常

4

□信息已清除

□使用正常

5

□信息已清除

□使用正常

6

□信息已清除

口使用正常

7

□信息已清除

口使用正常

8

□信息已清除

□使用正常

9

□信息已清除

□使用正常

10

口信息已清除

附件11

涉密便攜式計算機使用登記表

序號保密編號密級使用