【正文】 935號］同時廢止。第十三章附則第八十七條 本規(guī)定由保密辦負(fù)責(zé)解釋與修訂。第八十六條 各部門、單位應(yīng)將員工遵守涉密計(jì)算機(jī)及信息系統(tǒng)安全保密管理制度的情況，納入保密自查、考核的重要內(nèi)容。第八十五條 檢查涉密計(jì)算機(jī)和信息系統(tǒng)的保密檢查工具和涉密信息系統(tǒng)所使用的安全保密、漏洞檢查（取證）軟件等，應(yīng)覆蓋保密檢查的項(xiàng)目，并通過國家保密局的檢測。第十二章督查與獎懲第八十四條 公司每年應(yīng)對涉密信息系統(tǒng)安全保密狀況、安全保密制度和措施的落實(shí)情況進(jìn)行一次自查，并接受國家和上級單位的指導(dǎo)和監(jiān)督。第八十二條涉密人員離崗、離職，應(yīng)及時調(diào)整或取消其訪問授權(quán)，并將其保管的涉密設(shè)備、存儲介質(zhì)全部清退并辦理移交手續(xù)。應(yīng)急響應(yīng)相關(guān)知識、技術(shù)、技能應(yīng)納入信息安全保密培訓(xùn)內(nèi)容，并記錄備案。第七十九條 發(fā)生突發(fā)事件（如涉密數(shù)據(jù)被竊取或信息系統(tǒng)癱瘓等）應(yīng)按如下應(yīng)急響應(yīng)的基本步驟、基本處理辦法和流程進(jìn)行處理：（一）上報(bào)科技信息部和保密辦；（二）關(guān)閉系統(tǒng)以防止造成數(shù)據(jù)損失；（三）切斷網(wǎng)絡(luò)，隔離事件區(qū)域；（四）查閱審計(jì)記錄尋找事件源頭；（五）評估系統(tǒng)受損程度；（六）對引起事件漏洞進(jìn)行整改；（七）對系統(tǒng)重新進(jìn)行風(fēng)險(xiǎn)評估；（八）由保密辦根據(jù)風(fēng)險(xiǎn)評估結(jié)果并書面確認(rèn)安全后，系統(tǒng)方能重新運(yùn)行；（九）對事件類型、響應(yīng)、影響范圍、補(bǔ)救措施和最終結(jié)果進(jìn)行詳細(xì)的記錄；（十）依照法規(guī)制度對責(zé)任人進(jìn)行處理。第七十八條 按照信息安全突發(fā)事件的性質(zhì)、影響范圍和造成的損失，將涉密信息系統(tǒng)安全突發(fā)事件分為特別重大事件（I級）、重大事件（II級）、較大事件（III級）和一般事件（IV級）四個等級。對于無法制止的多點(diǎn)入侵和造成損害的，應(yīng)及時關(guān)閉被入侵的服務(wù)器或相應(yīng)設(shè)備；網(wǎng)絡(luò)故障：判斷故障發(fā)生點(diǎn)和故障原因，能夠迅速解決的盡快排除故障，并優(yōu)先保證主要應(yīng)用系統(tǒng)的運(yùn)轉(zhuǎn)；其它未列出的不確定因素造成的事件，結(jié)合具體的情況，做出相應(yīng)的處理。對入侵未遂、未造成損害的，且評價(jià)威脅很小的外部入侵，定位入侵的IP地址，及時關(guān)閉入侵的端口，限制入侵的IP地址的訪問。按照事件發(fā)生的性質(zhì)分別采用以下方案：病毒傳播：及時尋找并斷開傳播源，判斷病毒的類型、性質(zhì)、可能的危害范圍。（一）災(zāi)害事件：根據(jù)實(shí)際情況，在保障人身安全前提下，保障數(shù)據(jù)安全和設(shè)備安全。第七十七條 應(yīng)急響應(yīng)預(yù)案用于涉密信息系統(tǒng)安全突發(fā)事件。第七十五條因工作需要外單位攜帶便攜式計(jì)算機(jī)進(jìn)入公司辦公區(qū)域，需辦理保密審批手續(xù)。第七十四條 公司配備專供外出攜帶的涉密便攜式計(jì)算機(jī)和涉密存儲介質(zhì)，按照“集中管理、審批借用”的原則進(jìn)行管理，建立使用登記制度。處理、存儲涉密信息應(yīng)在涉密移動存儲介質(zhì)上進(jìn)行，并與涉密便攜式計(jì)算機(jī)分離保管。第七十二條涉密便攜式計(jì)算機(jī)不得處理絕密級信息。第七十條便攜式計(jì)算機(jī)應(yīng)具備防病毒、防非法外聯(lián)和身份認(rèn)證（設(shè)置開機(jī)密碼口令）等安全保密防護(hù)措施。第九章便攜式計(jì)算機(jī)管理第六十八條便攜式計(jì)算機(jī)（包括涉密便攜式計(jì)算機(jī)和非涉密便攜式計(jì)算機(jī)）實(shí)行“誰擁有，誰使用，誰負(fù)責(zé)”的保密管理原則，使用者須與公司簽定保密承諾書。第六十六條 任何部門、單位和個人不得在電子郵件、電子公告系統(tǒng)、聊天室、網(wǎng)絡(luò)新聞組、博客等上發(fā)布、談?wù)摗鬟f、轉(zhuǎn)發(fā)或抄送國家秘密信息。第六十五條 上網(wǎng)信息實(shí)行“誰上網(wǎng)誰負(fù)責(zé)”的保密管理原則，信息上網(wǎng)必須經(jīng)過嚴(yán)格審查和批準(zhǔn)，堅(jiān)決做到“涉密不上網(wǎng)，上網(wǎng)不涉密”。第六十四條 國際互聯(lián)網(wǎng)計(jì)算機(jī)實(shí)行專人負(fù)責(zé)、專機(jī)上網(wǎng)管理，嚴(yán)禁存儲、處理、傳遞涉密信息和內(nèi)部敏感信息。第八章國際互聯(lián)網(wǎng)計(jì)算機(jī)管理第六十三條 接入國際互聯(lián)網(wǎng)的計(jì)算機(jī)，開通前須由接入部門、單位提出申請，保 14 密辦審核，公司分管領(lǐng)導(dǎo)審批。第六十一條從公司外部涉密存儲介上載涉密信息到涉密計(jì)算機(jī)和涉密信息系統(tǒng)操作步驟：（一）填寫審批單，經(jīng)部門、單位領(lǐng)導(dǎo)批準(zhǔn)后方可進(jìn)行上載信息；（二）將信息上載到涉密中間轉(zhuǎn)換機(jī)；（三）拔除外部涉密存儲介質(zhì)；（四）在涉密中間轉(zhuǎn)換機(jī)中對上載信息進(jìn)行計(jì)算機(jī)病毒、惡意代碼、間諜軟件、木馬程序的查殺；（五）將需要上載的涉密信息刻錄到只讀光盤或拷貝到專用涉密傳遞盤；（六）將存有上載信息的涉密光盤或介質(zhì)放入涉密計(jì)算機(jī)或涉密網(wǎng)絡(luò)中間轉(zhuǎn)換機(jī)中，上載到涉密計(jì)算機(jī)和涉密信息系統(tǒng)中；（七）記錄上載過程，光盤應(yīng)存檔備案，專用涉密傳遞盤交還中間轉(zhuǎn)換機(jī)管理人員，并及時進(jìn)行信息清除或格式化處理。第五十九條從國際互聯(lián)網(wǎng)、公眾信息網(wǎng)和非涉密信息系統(tǒng)（含非涉密計(jì)算機(jī)）上載信息到涉密計(jì)算機(jī)和涉密信息系統(tǒng)操作步驟：（一）填寫審批單，經(jīng)部門、單位領(lǐng)導(dǎo)批準(zhǔn)后方可進(jìn)行上載信息；（二）將信息上載到非涉密中間機(jī)；（三）拔除上載信息存儲介質(zhì)；（四）在非涉密中間轉(zhuǎn)換機(jī)中對上載信息進(jìn)行計(jì)算機(jī)病毒、惡意代碼、間諜軟件、木馬程序的查殺；（五）將上載信息刻錄到只讀光盤；（六）將存有上載信息的光盤放入涉密計(jì)算機(jī)或涉密網(wǎng)絡(luò)中間轉(zhuǎn)換機(jī)中，上載到涉 13 密計(jì)算機(jī)和涉密信息系統(tǒng)中；（七）記錄上載過程，光盤應(yīng)存檔備案，存儲介質(zhì)格式化處理。第五十八條中間轉(zhuǎn)換機(jī)的配置、使用與日常管理（一）涉密信息系統(tǒng)使用部門、單位需配置涉密網(wǎng)絡(luò)中間轉(zhuǎn)換機(jī)、非涉密中間轉(zhuǎn)換機(jī)和專用涉密傳遞盤；（二）黨政辦設(shè)置1臺涉密中間轉(zhuǎn)換機(jī)（全公司共用），用于公司外部涉密存儲介質(zhì)上載涉密信息到公司涉密信息系統(tǒng)（或涉密單機(jī)）；（三）中間轉(zhuǎn)換機(jī)、專用涉密傳遞盤由各部門、單位中間轉(zhuǎn)換機(jī)管理員負(fù)責(zé)管理和使用；（四）中間轉(zhuǎn)換機(jī)上應(yīng)用軟件由科技信息部統(tǒng)一安裝，各單位不得安裝、使用除統(tǒng)一安裝軟件以外的任何軟件；（五）防病毒軟件升級工作由中間轉(zhuǎn)換機(jī)管理員負(fù)責(zé)完成，必須保證每周對中間轉(zhuǎn)換機(jī)防病毒軟件升級1次，升級包到科技信息部統(tǒng)一制作、拷貝，并做好升級記錄；（六）中間轉(zhuǎn)換機(jī)應(yīng)專機(jī)專用，專人管理，不能用于其它工作。涉密網(wǎng)絡(luò)中間轉(zhuǎn)換機(jī)是指單位接入涉密信息系統(tǒng)的管理員專用于信息交換的涉密計(jì)算機(jī)。涉密中間轉(zhuǎn)換機(jī)用于從公司外部的涉密計(jì)算機(jī)和涉密信息系統(tǒng)（涉密移動存儲介質(zhì)）到公司內(nèi)部涉密計(jì)算機(jī)和涉密信息系統(tǒng)的信息交換。中間轉(zhuǎn)換機(jī)分為非涉密中間轉(zhuǎn)換機(jī)和涉密中間轉(zhuǎn)換機(jī)，中間轉(zhuǎn)換機(jī)上應(yīng)安裝符合國家保密要求的計(jì)算機(jī)病毒和惡意代碼防護(hù)產(chǎn)品。第七章信息交換及中間轉(zhuǎn)換機(jī)管理第五十七條涉密計(jì)算機(jī)和信息系統(tǒng)與其他計(jì)算機(jī)和信息系統(tǒng)的信息交換必須經(jīng)過中間轉(zhuǎn)換機(jī)。未采用綁定技術(shù)的涉密計(jì)算機(jī)，須采取關(guān)閉和監(jiān)控?cái)?shù)據(jù)端口（USB口）的物理防護(hù)措施進(jìn)行控制；（三）嚴(yán)格控制其它存儲介質(zhì)的使用，對光盤、軟盤等移動存儲介質(zhì)應(yīng)采用關(guān)閉數(shù)據(jù)接口或禁止驅(qū)動設(shè)備使用等方式加以控制；（四）禁止在低密級計(jì)算機(jī)上使用高密級存儲介質(zhì)，禁止在低密級存儲介質(zhì)上存儲高密級信息；（五）高密級存儲介質(zhì)用于存儲低密級信息時，應(yīng)當(dāng)按照存儲介質(zhì)原標(biāo)識的高密級進(jìn)行管理；（六）存放涉密存儲介質(zhì)的場所、部位和設(shè)備應(yīng)符合安全保密要求，集中統(tǒng)一管理；（七）禁止外來的存儲介質(zhì)接入涉密信息系統(tǒng)，如需導(dǎo)入信息，應(yīng)采取安全準(zhǔn)入許可制度，經(jīng)部門、單位領(lǐng)導(dǎo)審批后，按信息交換及中間轉(zhuǎn)換機(jī)管理規(guī)定執(zhí)行；（八）存儲過絕密級信息的介質(zhì)不能降低密級使用；（九）嚴(yán)禁將個人具有存儲功能的存儲介質(zhì)和電子設(shè)備（mpmp優(yōu)盤、手機(jī)、掌上電腦等）帶入公司；嚴(yán)禁將涉密存儲介質(zhì)帶出工作場所，確需攜帶外出，經(jīng)本部門、單位領(lǐng)導(dǎo)審批且備案后方可出廠，隨身攜帶，嚴(yán)防被盜或丟失；（十）經(jīng)保密辦批準(zhǔn)，允許與涉密信息系統(tǒng)相連的數(shù)碼設(shè)備（如相機(jī)、錄音筆）等，應(yīng)按涉密載體管理；（十一）涉密存儲介質(zhì)的維修和維護(hù)由科技信息部統(tǒng)一負(fù)責(zé)，外送維修須經(jīng)主管領(lǐng)導(dǎo)審批同意，并送指定維修點(diǎn)維修；（十二）發(fā)現(xiàn)存儲介質(zhì)丟失，應(yīng)立即報(bào)告本部門、單位和保密辦，并及時組織查處。第五十五條 使用和維護(hù)（一）涉密存儲介質(zhì)應(yīng)根據(jù)所存儲信息的最高密級劃定密級，并在明顯位置粘貼密 10 級標(biāo)識，禁止使用無標(biāo)識的存儲介質(zhì)。第五十三條 報(bào)廢管理（一）對批準(zhǔn)報(bào)廢的信息設(shè)備拆除存儲介質(zhì)并交保密辦集中統(tǒng)一銷毀或再利用；（二）淘汰或報(bào)廢的涉密設(shè)備，不得用于公益捐贈，或流入舊貨市場。變更程序是：公司內(nèi)部門、單位之間調(diào)配涉密設(shè)備，由科技信息部提出變更調(diào)配計(jì)劃并作技術(shù)支持，接收單位辦理變更手續(xù)并到保密辦變更涉密設(shè)備臺帳；部門、單位內(nèi)部調(diào)整變更涉密設(shè)備，由部門、單位領(lǐng)導(dǎo)批準(zhǔn)，并通知保密辦變更涉密計(jì)算機(jī)臺帳；調(diào)配變更后的涉密設(shè)備要及時確定密級，并粘貼密級標(biāo)識。第五十一條 維修管理（一）涉密設(shè)備維修時，應(yīng)向科技信息部提出申請，科技信息部對維修的涉密設(shè)備檢查診斷后，作出公司內(nèi)維修或外出維修的判斷，并通知部門、單位；（二）涉密設(shè)備維修原則上來公司現(xiàn)場維修，維修時應(yīng)有專人現(xiàn)場監(jiān)管；（三）涉密設(shè)備外出維修時，對涉密設(shè)備預(yù)先采取保密措施，拆除存儲部件，并有專人在場監(jiān)控維修全過程；外出維修的涉密設(shè)備，原則上不能在外存放，當(dāng)日未維修完畢的應(yīng)帶回公司存放，次日再送出去維修；涉密設(shè)備維修時應(yīng)與維修單位簽訂保密協(xié)議；（四）涉密設(shè)備確需恢復(fù)存儲的數(shù)據(jù)、信息時，應(yīng)經(jīng)保密辦審批后在具有涉密數(shù)據(jù)恢復(fù)資質(zhì)的單位進(jìn)行；（五）維修時更換下的硬盤、存儲卡，必須將舊件按涉密載體進(jìn)行管理，禁止將舊件抵價(jià)維修或隨意拋棄；（六）維修的涉密設(shè)備應(yīng)做好維修情況記錄，存檔備查。機(jī)密級密碼口令長度不得少于十個字符，每周至少更換一次；秘密級密碼口令長度不得少于八個字符，每月至少更換一次；口令采用大小寫英文字母、數(shù)字和特殊字符等兩者以上的組合。USBKey按機(jī)密級密件管理，應(yīng)及時修改初始的PIN碼，并將USBKey 8 妥善保管。涉密設(shè)備和傳輸線路應(yīng)符合紅黑隔離要求，并采取電源濾波防護(hù)措施。第五十條使用管理（一）各部門、單位建立涉密設(shè)備、打印機(jī)等準(zhǔn)入審批、使用登記、銷毀等備案制度。確因工作需要配備的，經(jīng)保密辦審批后配發(fā)；（四）科技信息部做好資產(chǎn)清單和臺帳管理，涉密設(shè)備需在保密辦備案并粘貼密級標(biāo)識后投入使用。保密辦對涉密設(shè)備的采購、使用、維修、變更、報(bào)廢負(fù)有指導(dǎo)、監(jiān)督、檢查的職責(zé)，對存儲介質(zhì)歸口管理。第四十七條 計(jì)算機(jī)和信息系統(tǒng)中使用的設(shè)備、存儲介質(zhì)應(yīng)遵循“統(tǒng)一購置、統(tǒng)一標(biāo)識、嚴(yán)格登記、規(guī)范管理”的原則，嚴(yán)格執(zhí)行國家秘密載體保密管理規(guī)定。第四十六條接入涉密信息系統(tǒng)的設(shè)備和介質(zhì)稱為涉密設(shè)備和涉密存儲介質(zhì)，并按統(tǒng)一技術(shù)要求和部署方式進(jìn)行管理。第四十四條涉密信息系統(tǒng)使用國家有關(guān)主管部門批準(zhǔn)的檢測工具對系統(tǒng)進(jìn)行安全保密性能檢測，檢測工具版本應(yīng)及時更新、升級。第四十三條涉密信息系統(tǒng)建立實(shí)時入侵檢測系統(tǒng)，做到實(shí)時監(jiān)測系統(tǒng)網(wǎng)絡(luò)設(shè)備、終端和服務(wù)器的各種攻擊行為。第四十一條涉密信息系統(tǒng)建立文檔化的安全保密審計(jì)報(bào)告，機(jī)密級1個月、秘密級3個月進(jìn)行一次審計(jì)日志收集、整理、分析，按要求形成文檔化安全審計(jì)報(bào)告并備案。第三十九條涉密信息系統(tǒng)應(yīng)采取身份鑒別、訪問控制和安全審計(jì)等技術(shù)保護(hù)措施。第三十七條涉密設(shè)備嚴(yán)禁具有無線互聯(lián)功能，不能安裝紅外接口、無線網(wǎng)卡、無線鼠標(biāo)、無線鍵盤等。未經(jīng)科技信息部審批，用戶終端禁止安裝或拆卸硬件設(shè)備和軟件及更改系統(tǒng)設(shè)置。第三十五條涉密信息系統(tǒng)中的信息輸出應(yīng)當(dāng)集中管理，有效控制，建立集中打印控制機(jī)制。第三十三條未經(jīng)科技信息部審批，禁止對涉密信息系統(tǒng)格式化或重裝操作系統(tǒng)，禁止刪除涉密信息系統(tǒng)的移動存儲介質(zhì)及外部設(shè)備（包括服務(wù)器等網(wǎng)絡(luò)設(shè)備）等日志記錄。第三十二條建立健全防病毒軟件（含木馬查殺）升級、打補(bǔ)丁機(jī)制，及時升級病毒和惡意代碼樣本庫，進(jìn)行病毒和惡意代碼查殺，及時安裝操作系統(tǒng)、數(shù)據(jù)庫和應(yīng)用系統(tǒng)的補(bǔ)丁程序。第三十條涉密信息系統(tǒng)與國際互聯(lián)網(wǎng)、公眾信息網(wǎng)絡(luò)等非涉密信息系統(tǒng)（以下簡稱外網(wǎng)）的信息交換，按信息交換及中間轉(zhuǎn)換機(jī)管理規(guī)定執(zhí)行。涉密信息系統(tǒng)的用戶終端、服務(wù)器等設(shè)備設(shè)施應(yīng)進(jìn)行安全加固，關(guān)閉不必要的帳戶、服務(wù)和端口，并設(shè)置規(guī)范的口令策略。第五章運(yùn)行維護(hù)管理第二十八條 涉密信息系統(tǒng)投入運(yùn)行前，應(yīng)當(dāng)經(jīng)過國家保密工作部門審批，未經(jīng)審批的涉密信息系統(tǒng)不得處理涉密信息。第三節(jié)信息系統(tǒng)互聯(lián)第二十七條 涉密信息系統(tǒng)必須與國際互聯(lián)網(wǎng)和其它公共信息系統(tǒng)實(shí)行物理隔離。第二十五條用戶標(biāo)識符管理（一）用戶登錄系統(tǒng)時所使用的用戶身份標(biāo)識，由用戶本人提出書面申請，經(jīng)本部門、單位審核，科技信息部、保密辦審批后，由系統(tǒng)管理員產(chǎn)生，并確保用戶標(biāo)識在此系統(tǒng)生命周期中的唯一性；（二）安全保密管理員每月一次檢查與用戶身份標(biāo)識相關(guān)的日志，發(fā)現(xiàn)異常情況，應(yīng)及時向保密辦報(bào)告。第二節(jié)用戶管理與授權(quán)第二十三條根據(jù)本部門、單位使用涉密信息系統(tǒng)的密級和實(shí)際工作需要，確定人員知悉范圍，以此作為用戶授權(quán)的依據(jù)。第二十一條向涉密信息系統(tǒng)以外的單位傳遞涉密信息，一般只提供紙質(zhì)文件，確需提供涉密電子文檔的，按信息交換及中間轉(zhuǎn)換機(jī)管理規(guī)定執(zhí)行。第二十條涉密信息系統(tǒng)應(yīng)建立安全保密策略，并采取有效措施，防止涉密信息被非授權(quán)訪問、篡改，刪除和丟失；防止高密級信息流向低密級計(jì)算機(jī)。電子文件密級標(biāo)識應(yīng)與信息主體不可分離，密級標(biāo)識不得篡改。第四章信息管理第一節(jié)信息分類與控制第十八條涉密信息系統(tǒng)的密級，按系統(tǒng)中所處理信息的最高密級設(shè)定，嚴(yán)禁處理 3 高于涉密信息系統(tǒng)密級的涉密信息。第十七條對涉密信息系統(tǒng)要采取與密級相適應(yīng)的保密措施，配備通過國家保密主管部門指定的測評機(jī)構(gòu)檢測的安全保密產(chǎn)品。第十五條涉密信息系統(tǒng)規(guī)劃和建設(shè)的安全保密方案，應(yīng)由具有“涉及國家秘密的計(jì)算機(jī)信息系統(tǒng)集成資質(zhì)”的機(jī)構(gòu)編制或自行編制，安全保密方案必須經(jīng)上級保密主管部門審批后方可實(shí)施。（三）安全審計(jì)員負(fù)責(zé)安全審計(jì)設(shè)備安裝調(diào)試，對各種系統(tǒng)操作行為進(jìn)行安全審計(jì)跟蹤分析和監(jiān)督檢查，以及時發(fā)現(xiàn)違規(guī)行為，并每月向涉密信息系統(tǒng)安全保密領(lǐng)導(dǎo)小組辦公室匯報(bào)一次情況。系統(tǒng)管理員包括網(wǎng)絡(luò)管理員、數(shù)據(jù)庫管理員、應(yīng)用系統(tǒng)管理 2 員。第十二條相關(guān)業(yè)務(wù)部門、班組主要職責(zé)：涉密信息系統(tǒng)的使用部門、班組要嚴(yán)格遵守保密管理規(guī)定，教育員工提高安全保密意識，落實(shí)涉密信息系統(tǒng)各項(xiàng)安全防范措施；準(zhǔn)確確定應(yīng)用系統(tǒng)密級，制定并落實(shí)相