信息安全保密管理规定

信息安全保密管理规定 批准人批准人签签字字审审核人核人签签字字制制订订人人签签字字 卞永卞永华华 日期：日期：2012/2/132012/2/13 程国青程国青 日期：日期：2012/2/82012/2/8 周燕周燕 日期：日期：2012/2/12012/2/1 江江苏苏省省电电子商子商务务服服务务中心有限中心有限责责任公司任公司 保密等保密等级级公开公开 文档名称文档名称 信息安全保密管理信息安全保密管理规规定定 文档文档编编号号 JSCA -B-009-2012 发发布布组织组织JSCA信息安全工作小信息安全工作小组组 发发布日期布日期2012年年2月月13日日 执执行日期行日期2012年年2月月13日日 版版 本本 号号V.1 信息安全保密管理规定 江苏CA版权所有 Copyright 2009 变更履历变更履历 序序 号号 版本版本编编号号简简要要说说明明( (变变更内容、更内容、 变变更位置、更位置、变变更原因更原因 和和变变更范更范围围) ) 变变更日期更日期变变更人更人审审核人核人批准人批准人批准日期批准日期 1 1V.1V.1 组织组织名称和架构名称和架构变变更更 2012-2-12012-2-1 周燕周燕程国青程国青卞永卞永华华 2012-2-132012-2-13 信息安全保密管理规定 江苏CA版权所有 Copyright 2009 目目录录 1.1.目的目的 .1 2.2.适用范适用范围围 .1 3.3.引用引用标标准准/ /名名词词定定义义 .1 4.4.职责职责 .1 5.5.内容及要求内容及要求 .1 5.1 计算机信息分类标准.1 5.2 计算机信息分类表.2 5.3 计算机信息分类标识管理.5 5.4 计算机信息分类的安全管理.5 5.5 计算机信息分类安全管理的实施.12 5.6 计算机设备安全保密总则.13 5.7 计算机上网安全保密管理规定.14 5.8 涉密存储介质保密管理规定.14 5.9 计算机维修维护管理规定.15 5.10 用户密码安全保密管理规定.16 5.11 笔记本电脑安全保密管理规定.16 5.12 涉密电子文件保密管理规定.17 5.13 涉密计算机系统病毒防治管理规定.18 6.6. 表表单单 .18 7.7.参考文件参考文件/ /表表单单 .18 信息安全保密管理规定 江苏 CA版权所有 Copyright 2009 1 1.1.目的目的 为保护计算机信息系统处理的江苏 CA 秘密安全，特制定本规定。 2.2.适用范围适用范围 本规定适用于采集、存储、处理、传输、输出江苏 CA 秘密信息的计算机系统。 3.3.引用标准引用标准/ /名词定义名词定义 中华人民共和国保守秘密法、中华人民共和国计算机信息系统安全保护条例 4.4.职责职责 管理中心主管江苏 CA 计算机系统的保密工作。各部门主管本部门的计算机信息系统的 保密工作 5.5.内容及要求内容及要求 5.15.1 计算机信息分类标准计算机信息分类标准 5.1.1 绝密信息 绝密信息是指那些具有最高安全级别，对公司计算机系统和业务系统的正常和安全运 行起到至关重要作用的信息。绝密信息一旦对被非法访问或篡改，会导致灾难性的影 响，并且这种影响在短时期内是不可恢复的。 5.1.2 机密信息 机密信息是指那些必须在公司使用，并且有严格访问控制的信息。任何对机密信息的 非法访问、修改或删除会严重影响公司计算机系统的安全，但这种影响是可以在短时 期内恢复的。 5.1.3 秘密信息 信息安全保密管理规定 江苏 CA版权所有 Copyright 2009 2 秘密信息通常是指那些只供内部使用的计算机信息资料，任何对秘密信息的非法访问、 修改或删除可能会对公司计算机系统地安全造成一定的影响，但不可能是严重的或不 可恢复的。 5.1.4 公开信息 公开信息是指可以公共访问和对外发布的信息，并且公开信息可以自由发布而不会产 生任何安全问题。 5.25.2 计算机信息分类表计算机信息分类表 计算机信息分类举例说明 公开信息公司公共信息 公司介绍 公司组织结构 业务介绍 公司地点信息 公司新闻稿 公司年报（审计报告、资产负债表和损益报告 等） 公司各业务公共信息 江苏省安全 CA 认证网关数字证书认证 江苏省 CA 安全认证网关 SSL VPN 公司对外政策 电子认证业务规则 电子认证服务管理方法 中华人民共和国电子签名法 商务密码管理条例 中华人民共和国认证认可条例 驱动集合包软件使用协议 秘密信息公司计算机信息安全规定 计算机信息安全管理规范 计算机信息安全技术规范 信息安全保密管理规定 江苏 CA版权所有 Copyright 2009 3 计算机信息安全操作规定 其它计算机信息安全相关规章制度 计算机信息系统操作和维护资料 用户操作手册 技术支持资料 管理员操作手册 安装软件和安装配置手册 硬件和软件资产清单 计算机信息系统供应商服务协议（SLA1） 系统补丁软件和相关安装资料 操作培训资料 相关参考资料 相关操作和维护记录 数据库数据结构资料 其他 内部通知 内部发行的各种文件 内部网站上供内部员工下载的各类资料 内部会议记录 内部普通工作电子邮件 机密信息客户信息 内部员工的个人隐私 个人履历 个人档案 学历背景 个人财政情况 个人电子邮件 计算机信息系统相关 一般用户和操作员帐号和口令 信息安全保密管理规定 江苏 CA版权所有 Copyright 2009 4 业务应用程序开发相关技术资料 计算机信息系统安全审计数据和相关报告 计算机信息系统初始备份（不包括任何业务和 办公数据） 计算机信息系统设计和实施资料 网络拓扑图（LAYER2 和 LAYER3） 网络布线图 系统流程图 系统设计方案（包括系统升级） 系统实施方案（包括系统升级） 系统安装配置细则（软件、硬件和网络等） 系统测试方案和测试报告 内部运营信息 财务数据 内部运营审计报告 内部人事资料 客户相关资料 市场营销相关资料 其他 公司文件或通知 上级部门所发的各种文件 绝密信息计算机信息系统相关 所有系统管理员帐号和口令 所有计算机信息安全员帐号和口令 业务数据库管理员帐号和口令 行内加密设备的密钥以及有关管理员帐号和口 令 业务和办公系统和数据库的数据备份 业务数据 对私业务数据（包括个人用户帐号信息） 信息安全保密管理规定 江苏 CA版权所有 Copyright 2009 5 对公业务数据（包括企业用户帐号信息） 内部业务的决策、计划、调研、统计等相关资 料 行内商业秘密 其它 国家保密局规定的国家机密信息 有关国家金融机密数据 5.35.3 计算机信息分类标识管理计算机信息分类标识管理 对不同安全类别的计算机信息进行明确的标识，有助于内部相关人员依照公司有关计 算机信息安全规章制度进行具体操作和处理，从而最大限度地降低了由于人为的误操 作所带来的安全隐患的概率。 5.3.1 分类标识的原则 a.所有计算机信息安全分类标识必须正确反应该计算机信息的安全防护级别，技术中 心对公司计算机信息安全分类有最终决定权。 b.计算机信息安全分类标识务必详尽，而且其内容和格式在行内必须统一。 c.对所有的计算机信息安全分类标识，必须由专人作定期更新维护（每 1 年一次） 。 d.一般采用标签方式对计算机信息进行安全分类标识，但是对以电子格式的数据和文 档则可以采用有关电子方式进行安全分类标识，例如强制性的“安全声明” （BANNER） 、 安全警告提示窗口、加入安全分类信息到电子文档的属性中等。 5.3.2 分类标识的内容 计算机信息安全分类标识必须包括并不仅限于下列信息： a.简单描述或内部编号 b.创建日期和最后修改日期 c.版本控制信息 d.安全类别和相关操作处理规章制度的“链接” e.专管人员或专管部门 信息安全保密管理规定 江苏 CA版权所有 Copyright 2009 6 5.45.4 计算机信息分类的安全管理计算机信息分类的安全管理 5.4.1 公开信息 操作类别安全管理规定 向第三方公开 硬件和软件维护 系统集成 公共信息可以向第三方人员或公司公开，并允许对外 进行发布，但是要注明公共信息的来源出处。 口头传递 会议 电话录音 手机 电话 公开谈话 没有特殊安全规定。 通过电子通讯手段传递 互联网服务 电子邮件 传真 内部网络 手机短信息 在发送传真时，应当有传真封面，并注明发件人（部 门） 、收件人（部门）等信息。 复制拷贝 复印 电子拷贝 数据备份 没有特殊安全规定。 存储 电子邮件 没有特殊安全规定。 信息安全保密管理规定 江苏 CA版权所有 Copyright 2009 7 电子文档 打印文档 作废处理 非写存储介质 可写存储介质 纸张 硬件设备 存有公共信息的磁盘可以不经过格式化或覆盖操作， 并可以直接使用。 纸张可以直接再利用。 5.4.2 秘密信息 操作类别安全管理规定 向第三方公开 硬件和软件维护 系统集成 有关项目负责人员需要向公司技术中心总监，提出申 请，经批准后方可执行，并且必须事先和第三方签订 “保密协议” 。 口头传递 会议 电话录音 手机 电话 公开谈话 只限于在公司内部发布。 所有公司员工，未经相关授权，禁止以任何口头方式 向非公司人员或非相关人员透露内部计算机信息。 通过电子通讯手段传递 互联网服务 电子邮件 传真 只限于在公司内部进行。 所有公司员工，未经相关授权，禁止以任何电子手段 向非公司人员或非相关人员透露内部计算机信息。 所有电子通讯系统必须设有身份验证（用户身份验证 信息安全保密管理规定 江苏 CA版权所有 Copyright 2009 8 内部网络 手机短信息 或设备身份验证）和审计机制。 复制拷贝 复印 电子拷贝 数据备份 经由相关部门主管同意后，可以对内部信息进行复制 拷贝，但是必须遵循“谁复制，谁负责”的原则，防 止在复制过程中产生安全隐患。 数据备份必须存放在指定的地点，并由专人负责安全 存放。 存储 电子邮件 电子文档 打印文档 必须对信息进行标识，注明信息的密级是内部信息。 应当存放在规定的地点或网络驱动器，以便统一管理。 内部员工应对本人拥有的内部信息拷贝妥善保管。 作废处理 非写存储介质 可写存储介质 纸张 硬件设备 纸张文件必须粉碎。 可写存储介质必须格式化（初始化）后方可重新使用。 非写存储介质必须进行物理销毁。 硬件设备必须事先进行完全初始化。 5.4.3 机密信息 操作类别安全管理规定 向第三方公开 硬件和软件维护 系统集成 一般禁止向任何第三方透露公司秘密信息，如有特殊 情况，则需要公司领导书面批准，并且必须事先和第 三方签订严格的保密条款（需要专业律师介入）后方 可进行。 信息安全保密管理规定 江苏 CA版权所有 Copyright 2009 9 口头传递 会议 电话录音 手机 电话 公开谈话 禁止以任何口头方式向非相关人员透露公司秘密信息。 禁止在公共场合，讨论任何有公司秘密信息。 通过电子通讯手段传递 互联网服务 电子邮件 传真 内部网络 手机短信息 禁止以任何电子通讯手段向非相关人员透露公司秘密 信息。 不得利用电子通讯系统传递、转发或抄送公司秘密信 息。所有需要通过电子通讯手段的公司秘密信息，必 须事先提出申请，上报管理中心批准后方可实施。并 且传递时需进行加密处理，而且加密系统必须有国家 有关部门的认证许可并经过公司领导及技术中心一致 认可后方可上线使用。 所有电子通讯系统必须设有身份验证（用户身份验证 或设备身份验证） 复制拷贝 复印 电子拷贝 数据备份 一般禁止对秘密信息进行复印或电子拷贝，如有特殊 需要，经由技术中心总监书面同意后，再由计算机安 全员进行具体操作，并亲自交付接收人手中。 数据备份建议进行加密处理 2，集中存放在有防火和 防磁级别的保险柜中。并进行异地备份。备份介质必 须标明备份日期、备份内容和相应密级以及根据有关 规定确定保密期限。严格控制知悉此备份的人数，做 好登记后进保密柜保存。未经许可严禁私自复制、转 储和借阅。 严格控制数据备份的份数，并对每份备份作详细的记 录备案。每周做增量备份，每月做全量备份。 任何对秘密信息的复制拷贝，都必须记录备案。 2 具体数据备份操作员不得知道用于加密数据备份的密钥或口令。 信息安全保密管理规定 江苏 CA版权所有 Copyright 2009 10 存储 电子邮件 电子文档 打印文档 必须对信息进行标识，注明信息的密级是秘密信息。 所有电子文档（包括电子邮件和其附件）必须进行加 密处理，并应当存放在规定的网络驱动器，以便统一 管理。 打印文档或电子文档的存储介质，不得转借他人，不 得带出工作区，必须存放在保险柜中妥善保管。因工 作需要必须携带出工作区的，需经主管领导批准，并 报管理中心登记备案，返回后要经管理中心审查注销。 作废处理 非写存储介质 可写存储介质 纸张 硬件设备 纸张文件必须粉碎。 可写存储介质必须格式化和覆盖后方可重新使用。 非写存储介质必须进行物理销毁。 硬件设备必须事先进行完全初始化。 任何需要重新使用的存储介质或硬件设备，需要由计 算机安全员进行验收，确定没有任何敏感数据遗留后 方可继续使用。 任何作废的存储介质或硬件设备，需要由计算机安全 员进行验收，在确定没有任何敏感数据遗留后，交付 专门部门进行相关处理。 5.4.4 绝密信息 操作类别安全管理规定 向第三方公开 硬件和软件维护 系统集成 严禁向任何第三方透露公司机密信息。 口头传递严禁以任何口头方式向非相关人员透露公司机密信息。 信息安全保密管理规定 江苏 CA版权所有 Copyright 2009 11 会议 电话录音 手机 电话 公开谈话 严禁在公共场合，讨论任何公司机密信息。 通过电子通讯手段传递 互联网服务 电子邮件 传真 内部网络 手机短信息 严禁以任何电子通讯手段向非相关人员透露公司机密 信息。 严禁使用任何公共网络传递公司机密信息，不管信息 有否加密。 只能在专用网络中传递经过加密的公司机密信息，而 且加密系统必须有国家有关部门的认证许可并经公司 领导及技术中心总监一致认可后方可上线使用。 所有电子通讯系统必须设有身份验证（用户身份验证 或设备身份验证） 。 复制拷贝 复印 电子拷贝 数据备份 严禁对机密信息进行复印或电子拷贝。 数据备份必须进行加密处理 3，集中存放在有防火和 防磁级别的保险柜中。并进行异地备份。备份介质必 须标明备份日期、备份内容和相应密级以及根据有关 规定确定保密期限。严格控制知悉此备份的人数，做 好登记后进保密柜保存。未经许可严禁私自复制、转 储和借阅。 严格控制数据备份的份数，并对每份备份作详细的记 录备案。每周做增量备份，每月做全量备份 存储 电子邮件 电子文档 必须对信息进行标识，注明信息的密级是机密信息。 所有电子文档（包括电子邮件和其附件）必须进行加 3 具体数据备份操作员不得知道用于加密数据备份的密钥或口令。 信息安全保密管理规定 江苏 CA版权所有 Copyright 2009 12 打印文档密处理，并由专人存放在有严格物理访问控制的存储 设备中，以便统一管理。 打印文档或电子文档的存储介质，不得转借他人，不 得带出工作区，必须存放在有严格物理访问控制的保 险柜中妥善保管。 作废处理 非写存储介质 可写存储介质 纸张 硬件设备 纸张文件必须粉碎。 可写存储介质必须格式化和覆盖后方可重新使用。 非写存储介质必须进行物理销毁。 硬件设备必须事先进行完全初始化。 任何需要重新使用的存储介质或硬件设备，需要由技 术中心进行验收，确定没有任何敏感数据遗留后方可 继续使用。 任何作废的存储介质或硬件设备，需要由技术中心进 行验收，在确定没有任何敏感数据遗留后，提交公司 领导人进行报批，经核准后方可由专门部门进行相关 处理。 5.55.5 计算机信息分类安全管理的实施计算机信息分类安全管理的实施 5.5.1 实施工作流程 本管理制度是由技术中心主要负责制订，并送交公司领导审批。经审批通过后，由技 术中心统一负责、计算机信息安全员分管负责，并在相关技术中心人员的协助下完成 具体实施工作。整个工作流程如下所示： 技术中心技术中心 公司领导公司领导 审核审核/ /核准计算机信息核准计算机信息 分类安全管理制度分类安全管理制度 制定制定/ /修改计算机信息修改计算机信息 分类安全管理制度分类安全管理制度 信息安全保密管理规定 江苏 CA版权所有 Copyright 2009 13 5.5.2 更新维护要求 技术中心负责人员安全管理制度的维护工作。当制订计算机信息分类安全管理制度的 依据发生变化时，例如发生重大安全事故、出现新的安全弱点等，需要对计算机信息 分类安全管理制度进行相应的审查和评估。同时，技术中心还需要对计算机信息分类 安全管理制度进行每年一次的定期评估，以确保其内容的有效性，准确性和完整性。 5.5.3 奖励和处罚 计算机信息分类安全管理制度将由计算机信息安全员进行具体分管负责，并把执行情 况向技术中心总监汇报，并由技术中心总监直接呈报给公司领导作为公司各部门年度 目标责任制考核的内容之一。对执行制度好、计算机安全工作成绩显著的部门和个人， 将给与表彰和适当奖励；对违反本安全管理制度的、计算机安全工作存在不足或有安 全隐患的部门，由技术中心发出书面整改通知，限期整改；对刻意不执行本安全管理 制度、漠视计算机安全工作和存在安全隐患而没有及时整改的，以至造成重大安全事 故和案件的，将追究部门主要负责人和直接责任者的责任，构成犯罪的，将依法追究 其刑事责任。 5.65.6 计算机设备安全保密总则计算机设备安全保密总则 5.6.1 各涉密部门应建立设备台帐档案，用以记录设备的原始资料、运行过程中的维 修、升级和变更等情况，设备的随机资料（含磁介质、光盘等）及保修（单）卡由各 涉密部门自行保管。 5.6.2 计算机密级类别的设定，由管理中心根据实际工作需要，以储存信息的最高密 级设定计算机密级，并由管理中心负责按保密规定粘贴密级标识。 5.6.3 要设专人对计算机设备进行管理。计算机资源原则上只能用于本单位的正常工 作，禁止利用计算机资源从事与工作无关的活动。 计算机信息计算机信息 安全管理员安全管理员 相关技术中心人员相关技术中心人员 情况汇报情况汇报组织领导组织领导 协助协助 执行执行 信息安全保密管理规定 江苏 CA版权所有 Copyright 2009 14 5.6.4 承担涉密事项处理的计算机应专机专用，专人管理，严格控制，不得他人使用。 5.6.5 禁止使用涉密计算机上国际互联网或其它非涉密信息系统；禁止在非涉密计算 机系统上处理涉密信息. 5.6.6 对领导和重要部门处理涉密信息的计算机安装物理隔离卡。未安装物理隔离卡 的涉密计算机严禁连接国际互联网。 5.6.7 涉密计算机系统的软件配置情况及本身有涉密内容的各种应用软件，不得进行 外借和拷贝。 5.6.8 不得将涉密存储介质带出办公场所，如因工作需要必须带出的，需履行相应的 审批和登记手续。 5.6.9 未经许可，任何私人的光盘、软盘、U 盘不得在涉密计算机设备上使用；涉密 计算机必需安装防病毒软件并定期升级。 5.6.10 各部门产生的涉密信息其输出需经本部门主管领导签字审批，由专人进行操 作，并登记、备案，对输出的涉密信息按相应密级进行管理。 5.6.11 涉密信息除制定完善的备份制度外，必须采取有效的防盗、防火措施，保证 备份的安全保密，并做好异地保存。 5.75.7 计算机上网安全保密管理规定计算机上网安全保密管理规定 5.7.1 未经批准涉密计算机一律不许上互联网。如有特殊需求，必须事先提出申请， 并报管理中心批准后方可实施，上网涉密计算机必需安装物理隔离卡。 5.7.2 要坚持“谁上网，谁负责”的原则，各部门要有一名领导负责此项工作，信息 上网必须经过单位领导严格审查，并经主管领导批准。 5.7.3 国际互联网必须与涉密计算机系统实行物理隔离 5.7.4 在与国际互联网相连的信息设备上不得存储、处理和传输任何涉密信息。 5.7.5 应加强对上网人员的保密意识教育，提高上网人员保密观念，增强防范意识， 自觉执行保密规定。 5.7.6 涉密人员在其它场所上国际互联网时，要提高保密意识，不得在聊天室、电子 公告系统、网络新闻上发布、谈论和传播公司秘密信息。使用电子函件进行网上信息 交流，应当遵守保密管理规定，不得利用电子函件传递、转发或抄送公司秘密信息。 信息安全保密管理规定 江苏 CA版权所有 Copyright 2009 15 5.85.8 涉密存储介质保密管理规定涉密存储介质保密管理规定 5.8.1 涉密存储介质是指存储了涉密信息的硬盘、光盘、软盘、移动硬盘及 U 盘等。 5.8.2 有涉密存储介质的部门需填写和保管涉密存储介质登记表 （JSCA-B-009- 2012-01） ，并将登记表的复制件报办公室登记、备案并及时报告变动情况。 5.8.3 因工作需要向存储介质上拷贝涉密信息时，应填写涉密存储介质使用情况登 记表 （JSCA-B-009-2012-02） ，经公司领导批准，同时在介质上按信息的最高密级标 明密级。 5.8.4 存有涉密信息的存储介质不得接入或安装在非涉密计算机或低密级的计算机上， 不得转借他人，不得带出工作区，下班后存放在公司指定的密码柜中。 5.8.5 因工作需要必须携带出工作区的，需填写涉密存储介质外出携带登记表 （JSCA-B-009-2012-03） ，经主管领导批准，并报管理中心登记备案，返回后要经管理 中心审查注销。 。 5.8.6 复制涉密存储介质，须经公司领导批准，且每份介质各填一份涉密存储介质 使用情况登记表 ，并赋予不同编号。 5.8.7 需归档的涉密存储介质，应连同涉密存储介质使用情况登记表一起及时归 档。 5.8.8 各部门负责管理其使用的各类涉密存储介质，应当根据有关规定确定密级及保 密期限，并视同纸制文件，按相应密级的文件进行分密级管理，严格借阅、使用、保 管及销毁制度。借阅、复制、传递和清退等必须严格履行手续，不能降低密级使用。 5.8.9 涉密存储介质的维修应保证信息不被泄露，由各涉密部门负责人负责。需外送 维修的，要经领导批准，到公司指定的维修点维修，并有专人在场。 5.8.10 不再使用的涉密存储介质应由使用者提出报告，由公司领导批准后，交管理中 心负责销毁。 5.95.9 计算机维修维护管理规定计算机维修维护管理规定 5.9.1 涉密计算机系统进行维护检修时，须保证所存储的涉密信息不被泄露，对涉密 信息应采取涉密信息转存、删除、异地转移存储媒体等安全保密措施。无法采取上述 信息安全保密管理规定 江苏 CA版权所有 Copyright 2009 16 措施时，公司计算机系统维护人员必须在维修现场，对维修人员、维修对象、维修内 容、维修前后状况进行监督并做详细记录。 5.9.2 各涉密部门应将本部门设备的故障现象、故障原因、扩充情况记录在设备的维 修档案记录本上。 5.9.3 凡需外送修理的涉密设备，必须经管理中心和主管领导批准，并将涉密信息进 行不可恢复性删除处理后方可实施。 5.9.4 高密级设备调换到低密级部门使用，要进行降密处理，并做好相应的设备转移 和降密记录。 5.9.5 由技术中心负责公司计算机软件的安装和设备的维护维修工作，严禁使用者私 自安装计算机软件和擅自拆卸计算机设备。 5.9.6 涉密计算机的报废由管理中心专人负责定点销毁。 5.105.10 用户密码安全保密管理规定用户密码安全保密管理规定 5.10.1 用户密码管理的范围是指公司所有涉密计算机所使用的密码。 5.10.2 机密级涉密计算机的密码管理由管理中心总监负责，秘密级涉密计算机的密码 管理由使用人负责。 5.10.3 用户密码使用规定： a密码必须由数字、字符和特殊字符组成； b秘密级计算机设置的密码长度不能少于 8 个字符，密码更换周期不得多于 30 天； c机密级计算机设置的密码长度不得少于 10 个字符，密码更换周期不得超过 7 天； . 涉密计算机需要分别设置 BIOS、操作系统开机登录和屏幕保护三个密码。 5.10.4 密码的保存 a秘密级计算机设置的用户密码由使用人自行保存，严禁将自用密码转告他人；若工 作需要必须转告，应请示本单位负责人认可； b. 机密级计算机设置的用户密码须登记造册，并将密码本存放于保密柜内，由管理中 心管理。 5.115.11 笔记本电脑安全保密管理规定笔记本电脑安全保密管理规定 5.11.1 笔记本电脑密级类别的设定，须经各部门、个人申请，领导批准，以储存信息 的最高密级设定密级，按保密规定粘贴密级标识，按规定做好计算机标密工作。 信息安全保密管理规定 江苏 CA版权所有 Copyright 2009 17 5.11.2 部门或个人的涉密笔记本电脑严禁联接国际互联网，对于使用涉密信息的笔记 本电脑的部门或个人设专人管理，明确“谁使用，谁负责”的原则，做好部门或个人 涉密笔记本电脑的保密管理工作，防止涉密笔记本电脑失控或丢失后被破译，必须采 取开机状态身份鉴别。对于经常携带外出的涉密笔记本电脑要采取保密措施。 5.11.3 涉密笔记本电脑中的涉密信息不得存入硬盘，要存入软盘、移动硬盘 U 盘等移 动存储介质，必须定期清理，与涉密笔记本电脑分离保管。 5.11.4 管理中心和各部门主管领导对本部门涉密笔记本电脑的型号、配置、密级、责 任人、使用人、使用情况、去向等要清楚，并制定相关的涉密笔记本电脑安全保密管 理制度。 5.11.5 严禁擅自将存储有公司秘密信息的涉密笔记本电脑带出办公场所。确因工作需 要，必须携带时，需经部门和公司主管领导审批，到管理中心办理手续,填写外出携 带笔记本电脑审批表 （JSCA-B-009-2012-04） 。涉外活动中，须携带笔记本电脑的， 涉密信息应保存在移动存储介质中，该介质要随身保管，不得失控，并要求移动介质 与主机分离携带，并对涉密信息进行备份、存档。 5.11.6 由管理中心负责涉密笔记本电脑的登记、备案工作，要求各部门无论从何种渠 道得来的涉密笔记本电脑都要经过登记、备案。私人笔记本电脑出入公司以及外单位 人员携带笔记本电脑来公司工作，须履行登记、办理携带手续后方可通行。 5.11.7 笔记本电脑不得擅自借用，由于工作需要借用，需经主管领导批准，部门登记、 备案，并对涉密信息进行处理。 5.11.8 对涉密笔记本电脑的维修，须对涉密信息进行处理并到管理中心备案。 5.125.12 涉密电子文件保密管理规定涉密电子文件保密管理规定 5.12.1 涉密电子文件是指在计算机系统中生成、存储、处理的机密、秘密和内部的文 件、图纸、程序、数据、声像资料等。 5.12.2