【文章內(nèi)容簡介】 系統(tǒng)管理員授權(quán)用戶安裝。安裝操作系統(tǒng)后，應當依據(jù)涉密計算機和信息系統(tǒng)服務器、用戶終端的密級，安裝必要的安全保密產(chǎn)品，配置完整的安全策略，更新臺賬的相關(guān)內(nèi)容，并將審批表和授權(quán)安裝表存檔備案。涉密計算機和信息系統(tǒng)中服務器、用戶終端操作系統(tǒng)的版本信息、安裝時間、安裝記錄應當與臺賬中記錄一致。 ? 不得擅自更改或清除涉密計算機和信息系統(tǒng)服務器、用戶終端中移動存儲介質(zhì)、外部設(shè)備等安裝和使用日志記錄，確需更改的，應當提出申請，經(jīng)單位信息化管理部門 Logo ? 審批后由涉密計算機和信息系統(tǒng)安全保密管理員實施并記錄更改項目，審批表和更改項目記錄表應當存檔備案。 ? 擅自對涉密計算機和信息系統(tǒng)中服務器、用戶終端已安裝操作系統(tǒng)的硬盤進行格式化后重新安裝操作系統(tǒng)，可以掩蓋和銷毀使用中的違規(guī)行為，甚至消除泄密痕跡；更改或清除涉密計算機和信息系統(tǒng)服務器、用戶終端中移動存儲介質(zhì)、外部設(shè)備等安裝和使用日志記錄，可以掩蓋或消除違規(guī)安裝軟硬件、違規(guī)使用移動存儲介質(zhì)等違規(guī)行為的記錄，都屬于嚴重違規(guī)行為。一經(jīng)發(fā)現(xiàn)，加重扣分。 Logo ? ；涉密信息設(shè)備和存儲介質(zhì)的維修、報廢應當符合國家有關(guān)保密管理規(guī)定。 ? 注釋： ? ，加強計算機和信息系統(tǒng)的資產(chǎn)管理?？偱_賬應當包括本單位的各類信息設(shè)備，通常有：計算機（含服務器、用戶終端）、網(wǎng)絡設(shè)備和外部設(shè)備、存儲介質(zhì)、安全保密產(chǎn)品等。高等學校應當根據(jù)實際情況，對不涉及武器裝備科研生產(chǎn)任務院系的信息設(shè)備，可不納入單位的總臺賬。單位各部門應當建立相應的分臺賬，總臺賬和分臺賬的內(nèi)容應當吻合，并與實有物品相符合，臺賬應當以電子和文檔版本兩種形式存在。 Logo ? 各類臺賬應當包含以下信息要素： ? (1)計算機臺賬（含服務器、用戶終端）至少應當包括：部門、使用人、名稱型號、密級（非密的標明用途）、操作系統(tǒng)安裝日期、硬盤序列號、 IP地址（信息系統(tǒng)的設(shè)備填寫）、 MAC地址、使用情況等。 ? (2)網(wǎng)絡設(shè)備和外部設(shè)備是指交換機、路由器、網(wǎng)關(guān)、網(wǎng)閘、 VPN設(shè)備、打印機、制圖（繪圖）機、掃描儀、光盤刻錄機（外接式）等。其臺賬至少應當包括：部門、使用人、名稱型號、使用情況等。 ? (3)安全保密產(chǎn)品包括計算機病毒防治產(chǎn)品，密碼產(chǎn)品，身份鑒別、訪問控制、安全審計、入侵檢測、邊界防護和電磁泄漏發(fā)射防護等產(chǎn)品。其臺賬至少應當包括： Logo ? 使用人、名稱型號、檢測證書名稱和編號、購置時間、使用情況等。 ? (4)存儲介質(zhì)臺賬至少應當包括：部門、使用人、名稱、編號、序列號、密級（按照實際情況填寫絕密、機密、秘密、內(nèi)部、非密、互聯(lián)網(wǎng)、中間轉(zhuǎn)換等）、使用情況等。 ? 信息要素中的 “使用情況 ”包括在用、停用、維修、報廢、銷毀等。 ? 單位信息化管理部門應當會同保密工作機構(gòu)定期（絕密級至少 3個月、機密級至少 6個月、秘密級至少 12個月）對信息設(shè)備進行清查核對和登記。 Logo ? 、用戶終端、外部設(shè)備、存儲介質(zhì)發(fā)生故障時，應當向單位信息化管理部門提出維修申請，經(jīng)批準后到指定維修地點修理，維修后應當進行保密檢查。 ? (1)現(xiàn)場維修時，一般應當由本單位內(nèi)部維修人員實施；需由外部人員到現(xiàn)場維修時，維修過程中應當由有關(guān)人員全程旁站陪同。禁止維修人員恢復、讀取和復制被維修設(shè)備中的涉密信息。禁止通過遠程維護和遠程監(jiān)控，對涉密計算機和信息系統(tǒng)服務器、用戶終端進行維修和維護工作。 ? (2)需要帶離現(xiàn)場進行維修的，應當拆除所有可能存儲過涉密信息的硬件和固件。維修地點在單位內(nèi)部的，維修部門應當設(shè)立符合保密要求的維修工作室，建立相關(guān)維修 Logo ? 制度；維修地點在單位外部的，應當與維修單位和維修人員簽訂保密協(xié)議。 ? (3)設(shè)備中存儲過涉密信息的硬件和固件不能拆除，或涉密存儲硬件和固件發(fā)生故障時，如不能保證安全保密，應當按照涉密載體銷毀要求予以銷毀；確需維修時，應當辦理審批手續(xù)，送至具有涉密信息系統(tǒng)數(shù)據(jù)恢復資質(zhì)的單位進行維修，并由專人負責送取。 ? (4)涉密存儲介質(zhì)出現(xiàn)故障時，如不能保證安全保密，應當按照涉密載體銷毀要求予以銷毀。如需要恢復其存儲信息，應當辦理審批手續(xù)，送至具有涉密信息系統(tǒng)數(shù)據(jù)恢復資質(zhì)的單位進行，由專人負責送取，并按有關(guān)規(guī)定監(jiān)銷。 Logo ? (5)單位信息化管理部門應當建立維修日志和檔案，并將所有涉密設(shè)備維修情況記錄在案。 ? 廢時，應當向主管領(lǐng)導提出申請，經(jīng)單位信息化部門批準后，將所有存儲過涉密信息的硬件和固件、存儲介質(zhì)上交單位保密工作機構(gòu)進行銷毀處理。 ? 單位保密工作機構(gòu)應當建立銷毀涉密設(shè)備和存儲介質(zhì)清單，按照 BMB212023《涉及國家秘密的載體銷毀與信息消除安全保密要求》的規(guī)定，對涉密設(shè)備和存儲介質(zhì)進行銷毀。銷毀過程應當履行審批、登記手續(xù)，并將涉密設(shè)備和存儲介質(zhì)的密級、經(jīng)辦人、采取的方法措施以及最終去向等情況記錄在案并歸檔。 Logo ? ，涉密的應當標明密級，非密的應當標明用途 。涉密信息設(shè)備和存儲介質(zhì)中的涉密信息應當標明密級。 ? 注釋： ? 。標簽是表明各類信息設(shè)備和存儲介質(zhì)涉密屬性、用途、分類、責任主體等的標識。標簽應當由單位統(tǒng)一制作和管理，其中涉密屬性或一般用途可分為絕密、機密、秘密、內(nèi)部、非密、互聯(lián)網(wǎng)專用、中間轉(zhuǎn)換等，標簽應當包含使用人或責任人等信息，標簽內(nèi)容應當與臺賬的信息相符，不易損壞、涂改或擦除。 Logo ? 計算機和信息系統(tǒng)中的服務器、用戶終端、外部設(shè)備、存儲介質(zhì)、安全保密產(chǎn)品等應當根據(jù)所處理和存儲信息的最高密級或主要用途粘貼標簽。標簽應當粘貼在明顯位置，并與涉密信息的存儲部件相關(guān)聯(lián)。例如涉密計算機和信息系統(tǒng)用戶終端的標簽應當粘貼在主機箱上的明顯位置（存儲涉密信息的硬盤在主機箱內(nèi)），而不應當粘貼在顯示器上。 ? 移動存儲介質(zhì)（如 CF卡、 SD卡、 MS卡等）如果無法粘貼標簽或粘貼標簽后影響使用的，可以采用不可以擦除的記號方式在移動存儲介質(zhì)上標注相關(guān)標識。 ? 、信息系統(tǒng)和存儲介質(zhì)中處理和存儲的涉密信息應當標注密級標識，標注方式應當符合本單位電子文檔密級標識有關(guān)規(guī)定的要求。 Logo ? 涉密信息密級標識的標注應當遵循以下原則： ? (1)處于起草、設(shè)計、編輯、修改過程中和已完成的電子文檔、圖表、圖形、圖像、數(shù)據(jù)，只要內(nèi)容涉及國家秘密，在首頁都應當標注密級標識。 ? (2)電子數(shù)據(jù)文件、圖表、圖形、圖像等涉密信息在首頁無法直接標注密級標識的，可將密級標識作為文件名稱一部分進行標注。 ? (3)涉及國家秘密的軟件程序、數(shù)據(jù)庫文件、數(shù)據(jù)文件、視頻文件等，在軟件運行首頁、數(shù)據(jù)視圖首頁和影像播映首頁應當標注密級。 ? 涉密計算機、信息系統(tǒng)和存儲介質(zhì)中存儲的沒有密級標識的電子文檔、圖表、圖形、圖像、數(shù)據(jù)等，如果現(xiàn)場 Logo ? 審查時懷疑涉及國家秘密，又不能判定，應當參照被審查單位《國家秘密事項范圍目錄》或《涉密事項一覽表》、項目合同或采用密級鑒定的方式判定。 Logo ? 安全保密策略，并根據(jù)環(huán)境、系統(tǒng)和威脅變化情況及時調(diào)整更新；應當定期（秘密級 3個月）形成文檔化的安全保密審計報告；每 12個月根據(jù)系統(tǒng)綜合日志，進行一次風險自評估，形成文檔化的風險分析報告，對存在的風險應當及時采取補救措施。 ? 注釋： ? 略文件，明確實施安全策略的設(shè)備、資源和人員，確定 Logo ? 系統(tǒng)配置管理權(quán)限的劃分和變更流程。 ? (1)安全策略是一種處理安全問題管理策略的描述。策略需要對每一個安全主題進行描述，探討其必要性和重要性，解釋清楚什么該做，什么不該做。 ? (2)涉密信息系統(tǒng)安全策略文件一般應當包括：物理安全策略、運行管理策略、信息安全策略、備份與恢復策略、應急計劃與響應策略、計算機病毒和惡意代碼防護策略、身份鑒別策略、訪問控制策略、信息完整性保護策略、安全審計策略等。單臺涉密計算機可依據(jù)實際需求進行調(diào)整。 ? (3)安全策略文件應當由單位保密委員會負責人批準后下發(fā)正式文件，并通過教育和培訓，傳達給涉密計算機和 Logo ? 信息系統(tǒng)的全體管理和使用人員，確保安全策略文件的各項要求在涉密計算機和信息系統(tǒng)的安全保密管理中得到正確執(zhí)行。 ? (4)應當根據(jù)環(huán)境、系統(tǒng)和威脅變化情況及時調(diào)整更新安全策略。原則上，當涉密計算機和信息系統(tǒng)的物理環(huán)境發(fā)生重大改變、軟硬件結(jié)構(gòu)發(fā)生較大變化、出現(xiàn)新的信息安全威脅時，應當調(diào)整安全策略。調(diào)整應當依據(jù)風險分析的結(jié)果，以不降低涉密計算機和信息系統(tǒng)整體安全保密強度，確保國家秘密安全為原則。 ? （絕密級 1周、機密級1個月、秘密級 3個月）形成文檔化的安全保密審計報告。 Logo ? 安全保密審計報告是依據(jù)涉密計算機和信息系統(tǒng)的安全審計策略，通過對可審計事件、異常事件和行為進行統(tǒng)計分析，形成的綜合性報告。保密工作機構(gòu)應當根據(jù)安全保密審計報告的內(nèi)容掌握涉密計算機和信息系統(tǒng)的管理、運行和維護情況。 ? ，定期對涉密計算機和信息系統(tǒng)進行風險自評估，形成文檔化的風險評估報告，制定整改措施，并予以實施。 ? (1)風險自評估由信息系統(tǒng)管理使用單位自己組織進行或委托有涉密信息系統(tǒng)風險評估資質(zhì)的第三方單位進行。 ? 采取自評估方式時，單位應當成立安全評估工作組，確定評估工作的人員和職責，明確安全評估的范圍、對象、 Logo ? 方法、人員分工、時間計劃等，形成安全評估方案，準備安全評估過程中需要的各種軟硬件工具和記錄表格。在風險分析過程中，應當對所使用的軟硬件工具進行限制和控制，防止擴大國家秘密的知悉范圍。 ? 委托第三方進行風險評估時，應當選擇具有涉密信息系統(tǒng)安全風險評估資質(zhì)的單位，現(xiàn)場評估前應當對涉密信息采取保護措施。風險評估形成的記錄、文檔、資料以及最終報告應當全部交由被評估單位保存，受委托進行風險評估的第三方不得保留。 ? (2)應當根據(jù)風險自評估的結(jié)果，生成風險評估報告，并提出需要補充、完善的安全措施建議。風險評估過程中形成的記錄、文檔、資料以及最終報告應當歸檔，妥善保管。 Logo ? (3)應當根據(jù)風險評估報告調(diào)整信息系統(tǒng)的安全保密策略，及時補充完善技術(shù)與管理措施，使涉密計算機和信息系統(tǒng)保持與涉密等級要求相一致的安全保護水平。 ? 三級《標準》要求每 12個月根據(jù)系統(tǒng)綜合日志，進行一次風險自評估，形成文檔化的風險分析報告，對存在的風險應當及時采取補救措施。 Logo ? 信息的相應密級進行管理和防護；涉密計算機和信息系統(tǒng)應當選擇通過國家相關(guān)主管部門授權(quán)測評機構(gòu)檢測的安全保密產(chǎn)品，并正確配置和使用；涉密計算機和信息系統(tǒng)應當采取身份鑒別、訪問控制和安全審計等技術(shù)保護措施，及時升級病毒和惡意代碼樣本庫，進行病毒和惡意代碼查殺，及時安裝操作系統(tǒng)、數(shù)據(jù)庫和應用系統(tǒng)的補丁程序；涉密計算機和信息系統(tǒng)中的信息輸出應當相對集中，有效控制；未經(jīng)單位信息化管理部門審批，涉密計算機和信息系統(tǒng)用戶終端禁止安裝或拆卸硬件設(shè)備和軟件。 Logo ? 注釋： ? 息的最高密級確定，未經(jīng)單位保密工作機構(gòu)批準不得變更。處理和存儲涉密信息時，不得使用低于其涉密等級的涉密計算機和信息系統(tǒng)。 ? 禁止重要（機密級）以下涉密人員管理和使用絕密級計算機，禁止非涉密人員管理和使用涉密計算機和信息系統(tǒng)中服務器、用戶終端。 ? 多人共同使用一臺涉密計算機時，應當以不擴大國家秘密的知悉范圍為原則，指派安全保密管理員或?qū)Ｈ藫紊婷苡嬎銠C的系統(tǒng)管理員，并為每個使用者分別設(shè)置用戶標識和權(quán)限。使用者的權(quán)限應當設(shè)置為一般用戶，不得 Logo ? 設(shè)置為系統(tǒng)管理員級用戶。應當為每個使用者劃分一個獨立的硬盤涉密分區(qū)或配發(fā)專用涉密移動存儲介質(zhì)用于處理涉密信息。 ? 應當采用國產(chǎn)設(shè)備，并獲得國家相關(guān)主管部門批準。其中，計算機病毒防治產(chǎn)品應當獲得公安機關(guān)批準，密碼產(chǎn)品應當獲得國家密碼管理部門批準，其他安全保密產(chǎn)品應當獲得國家保密行政管理部門批準。在選擇安全保密產(chǎn)品時，應當驗證廠商提供的國家相關(guān)主管部門授權(quán)測評機構(gòu)的檢測證書，確認安全保密產(chǎn)品名稱、版本序列號和有效期。 Logo ? 安全保密產(chǎn)品應當按照保密要求管理和使用，并根據(jù)安全策略文件進行設(shè)置和部署，不得隨意更改。應當定期對安全保密產(chǎn)品的有效性進行檢查，發(fā)現(xiàn)故障及時維修，不能維修的要及時更換。應當根據(jù)安全保密策略和威脅變化情況及時升級或更新安全保密產(chǎn)品。 ?