【正文】 對信息處理設(shè)施和系統(tǒng)的變動。應(yīng)該對計(jì)算機(jī)介質(zhì)進(jìn)行控制，如果必要的話需要進(jìn)行物理保護(hù)： u 可移動的計(jì)算機(jī)介質(zhì)應(yīng)該受控；u 應(yīng)該制定并遵守處理包含機(jī)密或關(guān)鍵數(shù)據(jù)的介質(zhì)的規(guī)程； u 與計(jì)算相關(guān)的介質(zhì)應(yīng)該在不再需要時(shí)被妥善廢棄。個(gè)人終端用戶（包括個(gè)人計(jì)算機(jī)）的鑒別，以及連接到所有辦公自動化網(wǎng)絡(luò)和服務(wù)的控制職責(zé)，由信息安全管理部門決定。根據(jù)需要，日志記錄應(yīng)包括： u 系統(tǒng)及應(yīng)用啟動和結(jié)束時(shí)間； u 系統(tǒng)及應(yīng)用錯誤和采取的糾正措施； u 所處理的數(shù)據(jù)文件和計(jì)算機(jī)輸出； u 操作日志建立和維護(hù)的人員名單。應(yīng)記錄報(bào)告的關(guān)于信息處理錯誤或通信系統(tǒng)故障。網(wǎng)絡(luò)安全管理的目標(biāo)是保證網(wǎng)絡(luò)信息安全，確保網(wǎng)絡(luò)基礎(chǔ)設(shè)施的可用性。應(yīng)該注意以下內(nèi)容：應(yīng)將網(wǎng)絡(luò)的操作職責(zé)和計(jì)算機(jī)的操作職責(zé)分離；u 制定遠(yuǎn)程設(shè)備（包括用戶區(qū)域的設(shè)備）的管理職責(zé)和程序；u 應(yīng)采取特殊的技術(shù)手段保護(hù)通過公共網(wǎng)絡(luò)傳送的數(shù)據(jù)的機(jī)密性和完整性，并保護(hù)連接的系統(tǒng)，采取控制措施維護(hù)網(wǎng)絡(luò)服務(wù)和所連接的計(jì)算機(jī)的可用性；u 信息安全管理活動應(yīng)與技術(shù)控制措施協(xié)調(diào)一致，優(yōu)化業(yè)務(wù)服務(wù)能力； u 使用遠(yuǎn)程維護(hù)協(xié)議時(shí)，要充分考慮安全性。病毒防范包括預(yù)防和檢查病毒（包括實(shí)時(shí)掃描/過濾和定期檢查），主要內(nèi)容包括：u 控制病毒入侵途徑； u 安裝可靠的防病毒軟件； u 對系統(tǒng)進(jìn)行實(shí)時(shí)監(jiān)測和過濾； u 定期殺毒； u 及時(shí)更新病毒庫； u 及時(shí)上報(bào)； u 詳細(xì)記錄。嚴(yán)格控制盜版軟件及其它第三方軟件的使用，必要時(shí)，在運(yùn)行前先對其進(jìn)行病毒檢查。定義計(jì)算機(jī)及信息系統(tǒng)備份與恢復(fù)應(yīng)該采用的基本措施： u 建立有效的備份與恢復(fù)機(jī)制； u 定期檢測自動備份系統(tǒng)是否正常工作；u 明確備份的操作人員職責(zé)、工作流程和工作審批制度；u 建立完善的備份工作操作技術(shù)文檔；u 明確恢復(fù)的操作人員職責(zé)、工作流程和工作審批制度； u 建立完善的恢復(fù)工作操作技術(shù)文檔； u 針對建立的備份與恢復(fù)機(jī)制進(jìn)行演習(xí)； u 對備份的類型和恢復(fù)的方式進(jìn)行明確的定義； u 妥善保管備份介質(zhì)。采用加密技術(shù)或選用加密產(chǎn)品，要求符合國家有關(guān)政策或行業(yè)規(guī)范的要求。對于敏感或重要信息，要求通過加密保障其私密性、通過信息校驗(yàn)碼或數(shù)字簽名保障其完整性、通過數(shù)字簽名保障其不可否認(rèn)性。包括密鑰的生成、使用、交換、傳輸、保護(hù)、歸檔、銷毀等。對敏感或重要密鑰，要求采用一定的密鑰備份措施以保障在密鑰丟失、破壞時(shí)系統(tǒng)的可用性。并采取有效措施，防止再次發(fā)生類似情況。計(jì)算機(jī)系統(tǒng)控制訪問包括建立和使用正式的規(guī)程來分配權(quán)限，并培訓(xùn)工作人員安全地使用系統(tǒng)。應(yīng)該根據(jù)相關(guān)國家法律的要求和指導(dǎo)方針控制對信息系統(tǒng)和數(shù)據(jù)的訪問： u 計(jì)算機(jī)活動應(yīng)可以被追蹤到人；u 訪問所有多用戶計(jì)算機(jī)系統(tǒng)應(yīng)有正式的用戶登記和注銷規(guī)程； u 應(yīng)使用有效的訪問系統(tǒng)來鑒別用戶；u 應(yīng)通過安全登錄進(jìn)程訪問多用戶計(jì)算機(jī)系統(tǒng)； u 特殊權(quán)限的分配應(yīng)被安全地控制；u 用戶選擇和使用密碼時(shí)應(yīng)慎重參考良好的安全慣例； u 用戶應(yīng)確保無人看管的設(shè)備受到了適當(dāng)?shù)陌踩Ｗo(hù)； u 應(yīng)根據(jù)系統(tǒng)的重要性制定監(jiān)控系統(tǒng)的使用規(guī)程。10風(fēng)險(xiǎn)管理及安全審計(jì)策略信息安全審計(jì)及風(fēng)險(xiǎn)管理對于幫助公司識別和理解信息被攻擊、更改和不可用所帶來的（直接和間接的）潛在業(yè)務(wù)影響來說至關(guān)重要。計(jì)算機(jī)及信息系統(tǒng)的信息安全審計(jì)活動和風(fēng)險(xiǎn)評估應(yīng)當(dāng)定期執(zhí)行。信息安全審計(jì)應(yīng)當(dāng)3個(gè)月進(jìn)行一次，并形成文檔化的信息安全審計(jì)報(bào)告。信息安全風(fēng)險(xiǎn)評估必須形成文檔化的風(fēng)險(xiǎn)評估報(bào)告。應(yīng)該分析災(zāi)難、安全故障和服務(wù)損失的后果。應(yīng)該維護(hù)和執(zhí)行此類計(jì)劃，使之成為其它所有管理程序的一部分。包括以下 主要內(nèi)容：u 考慮突發(fā)事件的可能性和影響。u 適當(dāng)考慮風(fēng)險(xiǎn)處理措施，可以將其作為業(yè)務(wù)連續(xù)性程序的一部分。u 適當(dāng)?shù)貙夹g(shù)人員進(jìn)行培訓(xùn)，讓他們了解包括危機(jī)管理在內(nèi)的應(yīng)急程序。公司所有工作人員都有責(zé)任學(xué)習(xí)、理解并遵守安全策略，以確保公司敏感信息的安全。信息安全管理部門應(yīng)根據(jù)違規(guī)的嚴(yán)重程度向相關(guān)領(lǐng)導(dǎo)提出建議懲罰措施。計(jì)算機(jī)和信息系統(tǒng)安全策略文件由信息安全管理部門負(fù)責(zé)制定和解釋，由公司保密委員會審批發(fā)布。第三篇：涉密信息系統(tǒng)保密管理探討（模版）涉密信息系統(tǒng)安全保密管理探討摘要：本文通過分析信息化條件下涉密信息系統(tǒng)保密管理與技術(shù)的關(guān)系，結(jié)合目前涉密信息系統(tǒng)保密管理的現(xiàn)狀與問題，根據(jù)涉密信息分級保護(hù)標(biāo)準(zhǔn)規(guī)范要求，從宏觀層面初步探討提出了當(dāng)前形勢下涉密信息系統(tǒng)保密管理的原則、基本思路與方法，并提出了相應(yīng)的建議。當(dāng)前，隨著我國黨政軍領(lǐng)導(dǎo)機(jī)關(guān)和國防科研軍工單位信息化進(jìn)程的全面加快，保密管理的對象、領(lǐng)域、方式和環(huán)境發(fā)生了深刻變化，在知密范圍、涉密行為以及涉密人員的界定和管控等方面，出現(xiàn)了許多新的問題，傳統(tǒng)的保密管理措施已經(jīng)不能適應(yīng)新形勢下保密工作發(fā)展的要求，由于涉密單位的業(yè)務(wù)特殊性，如何對涉密信息系統(tǒng)進(jìn)行科學(xué)有效的保密管理，已經(jīng)成為涉密信息系統(tǒng)建設(shè)使用單位急需解決的問題，迫切需要新的管理思路與辦法。面對信息化條件下保密工作新形勢，傳統(tǒng)的紙質(zhì)涉密文件的保密管理措施已經(jīng)不能完全適應(yīng)新形勢下保密工作發(fā)展的要求，涉密信息系統(tǒng)的保密管理亟需提升技術(shù)支撐能力。但在具備了一定技術(shù)手段的前提下，管理則成為決定因素。三、涉密信息系統(tǒng)保密管理的現(xiàn)狀與問題隨著我國綜合國力不斷增強(qiáng)和國際戰(zhàn)略地位顯著提高，我國已成為各種情報(bào)竊密的重點(diǎn)目標(biāo)，境內(nèi)外敵對勢力和國外情報(bào)機(jī)構(gòu)加緊對我實(shí)施全方位的信息監(jiān)測和情報(bào)戰(zhàn)略，竊密活動十分猖獗，各級黨政軍機(jī)關(guān)、國防軍工科研生產(chǎn)單位作為國家秘密的主要生成區(qū)、密集區(qū)，更是成為敵對勢力竊密的重點(diǎn)對象。就拿航宇公司為例，該公司先后建立的涉密應(yīng)用系統(tǒng)有：OA系統(tǒng)，CAPP系統(tǒng)，ERP系統(tǒng)，檔案管理系統(tǒng)，PDM系統(tǒng)等，這些系統(tǒng)在建設(shè)、規(guī)劃和保密管理中存在的問題主要表現(xiàn)在以下幾個(gè)方面：(一)涉密信息系統(tǒng)定密的隨意性、不準(zhǔn)確問題目前該公司很多涉密信息系統(tǒng)定密比較隨意，不準(zhǔn)確，界定不清楚，甚至很多涉密人員都不清楚自己管理的應(yīng)用系統(tǒng)的密級別。(二)涉密信息系統(tǒng)安全保密工作 “重技術(shù)、輕管理”的現(xiàn)象比較突出目前公司很多涉密信息系統(tǒng)的安全保密方案只注重安全保密技術(shù)建設(shè)，過于依賴技術(shù)來實(shí)現(xiàn)保密要求，而忽略保密管理的重要性。眾所周知，如果沒有強(qiáng)有力的管理來支持，再好的技術(shù)防范措施都會大打折扣，再好的技術(shù)防范產(chǎn)品也將成為擺設(shè)，因此涉密信息系統(tǒng)安全保密工作的重點(diǎn)還是在于管理。也就是說，系統(tǒng)是不斷變化的，安全保密工作也應(yīng)隨之發(fā)生變化，各個(gè)階段安全保密要求不同，每個(gè)階段都應(yīng)制定相應(yīng)的保密制度，并落實(shí)執(zhí)行、監(jiān)管。舉個(gè)例子，在涉密信息系統(tǒng)經(jīng)過保密審批投入運(yùn)行后，由于一般都是由系統(tǒng)建設(shè)使用單位的信息化部門在負(fù)責(zé)日常的運(yùn)行維護(hù)。（四)涉密信息系統(tǒng)安全保密工作 “重制度、輕執(zhí)行”的現(xiàn)象比較突出航宇公司在涉密信息系統(tǒng)安全保密工作上制定了大量的制度、規(guī)范，并且有專門的保密網(wǎng)站進(jìn)行宣貫，但由于保密工作的長期性和繁瑣性不可避免地對日常工作造成影響，而我們某些員工認(rèn)為保密工作對其日常工作造成居多不便，從而產(chǎn)生抵觸情緒，進(jìn)而對保密制度進(jìn)行抵制，或者“打折處理，表面執(zhí)行”，造成安全保密制度真正落實(shí)執(zhí)行的少，讓很多制度流于形式，流于紙面。所以，要堅(jiān)決克服為了制定制度而制定制度的錯誤觀念。四、涉密信息系統(tǒng)安全保密管理原則（一）基于安全需求、適度安全的原則：由于信息泄露、濫用、非法訪問或非法修改而造成的危險(xiǎn)和損害相適應(yīng)的安全。關(guān)鍵在于“實(shí)事求是”、“因地制宜”地去確定安全措施的“度”，即根據(jù)信息系統(tǒng)因缺乏安全性造成損害后果的嚴(yán)重程度和實(shí)際需求來決定采取什么樣的安全措施。分權(quán)和授權(quán)原則是指對特定職能或責(zé)任領(lǐng)域的管理功能實(shí)施分離、獨(dú)立審計(jì)等實(shí)行分權(quán)，避免權(quán)力過分集中所帶來的隱患，以減小未授權(quán)的修改或?yàn)E用系統(tǒng)資源的機(jī)會。要對涉密信息系統(tǒng)建設(shè)的全過程(各個(gè)環(huán)節(jié))進(jìn)行保密審查、審批、把關(guān)。不經(jīng)過保密部門的審批和論證，信息系統(tǒng)不得處理國家秘密信息。加強(qiáng)管理可以彌補(bǔ)技術(shù)上的不足；而放棄管理則再好的技術(shù)也不安全。信息安全管理工作主要體現(xiàn)為管理行為，應(yīng)保證信息系統(tǒng)安全管理主體合法、管理行為合法、管理內(nèi)容合法、管理程序合法。按等級劃分標(biāo)準(zhǔn)確定信息系統(tǒng)的安全保護(hù)等級，實(shí)行分級保護(hù)；對多個(gè)子系統(tǒng)構(gòu)成的大型信息系統(tǒng)，確定系統(tǒng)的基本安全保護(hù)等級，并根據(jù)實(shí)際安全需求，分別確定各子系統(tǒng)的安全保護(hù)等級，實(shí)行多級安全保護(hù)；五、涉密信息系統(tǒng)保密管理的思路與方法我國的涉密信息系統(tǒng)實(shí)行分級保護(hù)管理制度，即根據(jù)涉密程度，對涉密信息系統(tǒng)按照秘密級、機(jī)密級、絕密級進(jìn)行分等級實(shí)施保護(hù)。涉密信息系統(tǒng)分級保護(hù)是國家信息安全等級保護(hù)的重要部分，其核心思想是“從實(shí)際出發(fā)，綜合平衡安全成本和風(fēng)險(xiǎn)，優(yōu)化信息安全資源的配置，確保重點(diǎn)。2．涉密信息系統(tǒng)建設(shè)使用單位應(yīng)選擇具有涉密信息系統(tǒng)集成資質(zhì)單位進(jìn)行承建，結(jié)合國家保密標(biāo)準(zhǔn)BMBl7—2006《涉及國家秘密的信息系統(tǒng)分級保護(hù)技術(shù)要求》和BMB202007《涉及國家秘密的信息系統(tǒng)分級保護(hù)管理規(guī)范》等相關(guān)標(biāo)準(zhǔn)，在風(fēng)險(xiǎn)評估的基礎(chǔ)上，從技術(shù)和管理兩個(gè)方面進(jìn)行綜合設(shè)計(jì)。3．涉密信息系統(tǒng)建設(shè)使用單位應(yīng)按照BMBl82006《涉及國家秘密的信息系統(tǒng)工程監(jiān)理規(guī)范》進(jìn)行工程監(jiān)理。4．涉密信息系統(tǒng)在投入使用前，經(jīng)過保密工作部門授權(quán)測評機(jī)構(gòu)的安全保密測評和保密工作部門審批。(二)涉密信息系統(tǒng)建設(shè)使用單位應(yīng)該整合保密部門、信息化建設(shè)部門和其他相關(guān)部門力量，密切合作，各負(fù)其責(zé)，形成合力共同加強(qiáng)系統(tǒng)的保密管理工作1．在系統(tǒng)定級方面，保密部門發(fā)揮準(zhǔn)確掌握國家保密政策的優(yōu)勢，與信息化部門、業(yè)務(wù)工作部門一起研究確定系統(tǒng)和安全域所處理信息的最高密級，從而確定保護(hù)等級。保密部門應(yīng)對總體方案進(jìn)行監(jiān)督、檢查和指導(dǎo)，組織專家進(jìn)行評審論證。4．在系統(tǒng)工程施工結(jié)束后，保密部門負(fù)責(zé)組織系統(tǒng)測評和系統(tǒng)審批工作，信息化部門密切配合。六、涉密信息系統(tǒng)安全保密建議（一）要樹立起有效控制的思想。而做好控制的最有效方法就是盡一切可能縮小知悉范圍，做到知悉必須以工作需要為原則。（二）要建立起一個(gè)高效的保密機(jī)制。比如保密資格認(rèn)證制度就是一個(gè)好的機(jī)制。在單位內(nèi)部，將各項(xiàng)保密要求制定成保密檢查標(biāo)準(zhǔn)，