计算机安全管理及保密制度规范

计算机安全管理及保密制度规范一、总则（一）目的与依据为保障单位计算机系统安全稳定运行，有效维护信息安全与商业（或国家）秘密，依据《中华人民共和国网络安全法》《中华人民共和国保守国家秘密法》等法律法规，结合本单位实际管理需求，制定本规范。（二）适用范围本制度适用于单位内所有使用计算机及相关设备（含终端、服务器、网络设备、存储介质等）的人员、部门，涵盖设备管理、网络运行、信息存储与传输等全流程安全保密工作。（三）基本原则坚持保密性、完整性、可用性原则，落实“谁使用、谁负责，谁管理、谁担责”的责任机制，确保计算机系统安全可控、涉密信息不泄露、业务运行不间断。二、组织架构与管理职责（一）管理部门由信息管理部门（或安全管理办公室）统筹计算机安全与保密管理工作，负责制度制定、技术防护部署、监督检查及应急处置；各业务部门负责人为本部门安全保密第一责任人，负责落实本部门安全管理要求。（二）岗位设置设置专职（或兼职）安全管理员与保密员：安全管理员：负责网络与系统的安全配置、漏洞修复、日志审计、应急响应等技术工作；保密员：负责涉密信息标识、存储传输管理，人员保密培训与协议签订，涉密介质登记管控。（三）职责分工信息管理部门：制定安全策略，部署防火墙、入侵检测等防护设备，开展安全检测与演练，处理安全事件；业务部门：规范本部门人员操作行为，配合安全检查，及时报告异常情况；全体人员：遵守安全保密制度，妥善保管账号密码，不违规操作设备与信息。三、计算机设备安全管理（一）设备采购与准入新购计算机设备需经信息管理部门检测，确保无恶意程序、硬件后门；涉密设备需符合国家保密标准（如通过保密局认证）。设备接入单位网络前，需完成安全配置（如安装杀毒软件、终端安全管理工具），经安全管理员审核后纳入管理台账。（二）使用与维护1.物理安全：计算机设备应放置于安全区域，避免无关人员接触；涉密设备需存放于保密机柜，必要时实行“双人双锁”管理。2.账号管理：用户账号实名登记，密码长度不少于8位（含数字、字母、符号），每季度更换；禁止共享账号，离职时立即注销。3.软件管理：仅安装经批准的正版软件，禁止安装盗版、破解工具或与工作无关的软件；系统与软件需及时更新补丁，关闭不必要的服务端口。4.移动存储管理：内部移动存储介质（U盘、移动硬盘等）需编号登记，涉密与非涉密介质严格区分，严禁交叉使用；外带存储介质需经审批，使用前需杀毒检测；禁止将涉密介质接入互联网终端。（三）设备报废与处置报废设备需经信息管理部门核查，清除所有数据（涉密设备需物理销毁存储介质，如消磁、粉碎），并登记处置流程，确保数据不可恢复。四、网络安全管理（一）网络架构与访问控制单位网络分为办公网、涉密网（如需），实行物理或逻辑隔离；办公网与互联网边界部署防火墙，设置访问规则，禁止违规端口对外访问；远程办公需通过VPN接入，启用多因素认证（如密码+动态令牌）。（二）安全防护措施1.入侵检测与防护：部署入侵检测/防御系统（IDS/IPS），实时监控网络流量，阻断恶意攻击；2.恶意代码防范：全网部署杀毒软件，定期更新病毒库，开展全盘扫描；邮件系统启用垃圾邮件过滤、恶意附件拦截功能；3.日志审计：服务器、网络设备、安全设备需开启日志审计，保存至少6个月，定期分析日志，排查异常行为；4.漏洞管理：每季度开展网络与系统漏洞扫描，对高危漏洞立即修复，无法及时修复的需采取临时防护措施（如关闭端口、限制访问）。（三）数据传输安全五、信息安全保密管理（一）信息分类与标识信息分为涉密信息（国家秘密、商业秘密等）、敏感信息（客户数据、员工隐私等）、普通信息。涉密信息需按密级（秘密、机密、绝密）标识，敏感信息需标注“内部敏感”字样，普通信息可公开但需遵守合规要求。（二）存储安全1.涉密信息：存储于涉密服务器或加密存储介质，实行“双人保管、双人使用”制度，访问需经审批并记录；2.敏感信息：存储于专用服务器，启用磁盘加密（如BitLocker），访问需基于角色的权限控制（RBAC）；3.普通信息：存储于办公服务器，定期备份（至少每周一次），备份数据异地存放（如云端或离线介质）。（三）传输与销毁1.传输：涉密信息传输需使用加密设备或通道，敏感信息传输需加密处理，禁止明文传输；2.销毁：电子文档销毁需使用专业工具（如文件粉碎软件）彻底清除，纸质涉密文件按保密要求销毁（如碎纸机、焚烧）。（四）人员保密要求1.培训：新入职人员需参加安全保密培训，考核合格后方可上岗；每年组织全员保密教育，更新安全意识；2.协议：涉密岗位人员需签订《保密协议》，明确保密义务与违约责任；离职时需签订《离职保密承诺书》；3.行为规范：禁止在非涉密设备处理涉密信息，禁止向无关人员透露敏感信息，禁止在公共网络（如网吧、公共WiFi）处理单位业务。六、人员安全管理（一）入职与离职管理1.入职：信息管理部门为新员工分配账号与设备，开展安全培训，明确操作规范；2.离职：离职前需移交设备、账号、密码及相关文档，信息管理部门注销账号、清除设备数据，保密员回收涉密介质，签订离职保密协议。（二）权限管理实行最小权限原则，用户仅拥有完成工作所需的最小权限；定期（每半年）开展权限审计，回收闲置或超额权限；临时权限需经审批，到期自动收回。（三）行为规范1.禁止行为：严禁未经授权访问他人设备或系统，严禁破解密码、篡改数据，严禁在设备上安装窃密软件或硬件；2.报告义务：发现设备异常（如中毒、数据丢失）、网络攻击或信息泄露隐患时，需立即向安全管理员或部门负责人报告。七、应急管理与处置（一）应急预案信息管理部门制定《计算机安全与保密应急预案》，明确不同级别事件（如病毒爆发、数据泄露、网络瘫痪）的响应流程、责任人员与处置措施，每半年组织一次应急演练。（二）事件报告与处置1.报告：发生安全事件时，当事人或发现人需立即向安全管理员报告，重大事件（如涉密信息泄露）需在1小时内上报单位负责人及上级主管部门；2.处置：安全管理员启动应急预案，隔离受影响设备或网络，收集证据，分析原因，采取技术措施（如杀毒、数据恢复、漏洞修复），并记录处置过程；3.恢复：事件处置后，经安全检测确认无风险，方可恢复系统或设备运行，同步开展数据恢复与业务验证。八、监督与考核（一）监督检查信息管理部门每月开展安全检查，内容包括设备合规性、账号权限、日志审计、漏洞修复等；每季度组织专项保密检查，重点核查涉密信息管理、人员操作行为；检查结果纳入部门与个人绩效考核。（二）违规处理1.轻微违规：如未及时更新密码、违规安装软件，给予口头警告，责令限期整改；2.严重违规：如泄露敏感信息、故意破坏系统，视情节给予通报批评、扣发绩效、调岗或辞退处理；涉嫌违法的，移交司法机关；3.责任追究：因管理不善导致安全事件的，追究部门负责人与直接责任人责任。（三）奖励机制对及时发现重大安全隐患、成功阻止信息泄露或网络攻击的人员，给予表彰与物质