第一章 总 则
第一条 为加强学校信息系统、信息设备和存储设备的安全保密管理,根据国家《计算机信息系统保密管理暂行规定》、《信息系统和信息设备使用保密管理规定》、《关于国家秘密载体保密管理的规定》、《信息设备和存储设备使用保密管理暂行规定》和《武器装备科研生产单位保密资格标准》,结合学校保密工作实际,制定本办法。
第二条 本办法所称的信息系统、信息设备和存储设备,指学校在日常工作和科研生产活动中配备和使用的各类应用系统、服务器、计算机、网络设备、外部设施设备、存储介质、办公自动化设备、声像设备和安全保密产品。
(一)信息系统
包括:由各种硬件设备及系统、接口部件、外部设备、应用软件、支持软件和工具软件组成的,为武器装备科研生产服务的人机系统,以及安装在信息系统中,实现某些专门应用的综合系统。
(二)信息设备
服务器、计算机包括:服务器、操作终端、台式计算机、便携式计算机、工作站、小型机、中型机、大型机、巨型机等;
网络设备包括:交换机、路由器、网关等;
外部设施设备包括:打印机、扫描仪、移动光驱、读卡器、测试系统、调试系统、传感器系统等;
办公自动化设备包括:打字机、复印机、传真机、多功能一体机、碎纸机、速印机、晒图机、绘图仪等,及其相关存储附件和耗材;
声像设备包括:照相机、摄像机、录音机、投影仪、非线性编辑机、扩音设备、音频矩阵、视频矩阵、视频会议设备、数字化会议设备、存储卡、记忆棒、录音带、录像带等,及其相关附件和耗材;
安全保密产品包括:接入控制、单向导入、身份鉴别、访问控制、监控审计、病毒防治、干扰滤波、漏洞扫描等。
(三)存储设备
包括:计算机硬盘和固态存储器、移动硬盘、优盘等。
第三条 信息系统、信息设备和存储设备按照存储、处理的信息是否涉及国家秘密,分为涉密信息系统、信息设备和存储设备,非涉密信息系统、信息设备和存储设备,实行分类管理;涉密信息系统和涉密信息设备和存储设备,按照存储、处理国家秘密的最高密级分为绝密级、机密级和秘密级,实行分级管理。
第四条 涉密信息系统、信息设备和存储设备的安全保密管理实行“源头控制、归口管理、逐级负责、确保安全”的原则。实行“业务工作谁主管、保密工作谁负责”,“谁使用、谁负责”。
第二章 基本要求
第五条 严格遵守“涉密不上网、上网不涉密”的保密基本要求。
严禁将涉密信息设备和存储设备与非涉密信息设备、非涉密存储设备和非涉密信息系统、互联网及其他公共信息网络连接,或在未采取防护措施的情况下进行信息交换;严禁使用非涉密信息系统、非涉密信息设备、非涉密存储设备或未采取保密措施的有线或无线通讯中存储、处理、传输国家秘密信息。
第六条 严格做好涉密信息设备和存储设备“全生命周期”管理。
设备使用期间,严禁擅自卸载、修改涉密信息设备和涉密存储设备的安全技术程序、管理程序;涉密设备发生故障后,严禁选择不具备相应保密资格的涉密协作配套单位参与涉密信息设备和涉密存储设备的维护工作;设备不再使用后,未经安全技术处理,严禁将退出使用的涉密信息设备、涉密存储设备赠送、出售、丢弃或改作其他用途。
第七条 严格控制国家秘密的知悉范围
严禁擅自存储、处理或传递知悉范围以外的国家秘密;涉密信息设备和涉密存储设备不得存储、处理或传递高于其设备涉密等级的涉密信息;一般涉密人员不得配备、管理或者使用绝密级信息设备和存储设备;非涉密人员不得配备、管理或者使用机密级(含)以上信息设备和存储设备。
第三章 责任与分工
第八条 学校保密办公室对管理办法和信息安全保密管理体系文件的合规性进行核实,并监督其办法、体系文件的落实情况并对失泄密事件进行查处。
第九条 信息化建设管理处负责制定学校信息系统、信息设备和存储设备保密管理办法,对操作规程的合规性进行核实,形成学校信息安全保密管理体系文件,并指导各级使用单位开展信息系统、信息设备和存储设备的日常运行维护。
第十条 信息系统、信息设备和存储设备所属责任单位按照学校信息安全保密管理体系文件要求,负责本单位的信息系统、信息设备和存储设备的安全保密管理,以及日常运行维护。
第十一条计算机“三员”
计算机“三员”的配备不得兼任、交叉,按《江南大学保密工作责任制》保密责任要求,落实学校信息系统、信息设备与存储设备安全保密工作,主要职责是:
(一)对全校计算机、信息设备和存储设备保密管理工作进行指导、检查;
(二)提供涉密计算机、信息设备和存储设备技术咨询服务;
(三)对涉密计算机、信息设备和存储设备的使用提出合理化建议;
(四)对涉密计算机、信息设备和存储设备出现的问题进行协调;
(五)对涉密计算机、信息设备和存储设备的使用、管理进行监督;
(六)对涉密计算机、信息设备和存储设备进行安全策略部署、信息安全保密审计与安全保密风险评估。
第四章 涉密计算机、信息设备和存储设备保密管理
第十二条 涉密计算机、信息设备和存储设备的全生命周期管理
(一)涉密计算机、信息设备和涉密存储设备的确定
1.涉密计算机、信息设备和存储设备依据其存储、处理、传输涉密信息的最高密级划分为绝密级、机密级和秘密级。
2.涉密计算机、信息设备和存储设备需要明确责任人(即使用人),履行涉密审批程序后方可用于涉密工作。
3.涉密计算机、信息设备和存储设备禁止使用蓝牙、无线网卡等无线模块。
(二)涉密计算机、信息设备和存储设备的使用
1.涉密计算机、信息设备和存储设备须要履行全生命周期管理,建立全生命周期管理档案,档案应该体现设备的所有审批、登记和使用记录。
2.涉密计算机、信息设备和存储设备须要建立相关台帐,做到各设备信息要素完整、帐物相符,并定级上报信息化建设管理处。
3.涉密计算机、信息设备和存储设备需要粘贴信息化建设管理处统一下发的保密标识。
4.涉密计算机、信息设备和存储设备中存储的涉密电子文档应当具有相应的密级标识。
5.禁止存储、处理和传输超越涉密计算机、信息设备和存储设备涉密等级的涉密信息,禁止在低密级涉密信息设备上使用高密级涉密存储设备。
(三)涉密计算机、信息设备和存储设备的变更
1.涉密计算机、信息设备和存储设备的密级、责任人、存放地点等信息发生变化时,需要履行涉密信息设备与涉密存储设备变更审批程序后方可变更。
2.涉密计算机、信息设备和存储设备不能降低密级使用。
3.涉密计算机、信息设备和存储设备的存储部件禁止解除密级使用。
(四)涉密信息设备和涉密存储设备的维护维修
1.涉密计算机、信息设备和存储设备需要进行维护维修,需要履行维护维修审批程序后,由信息化建设管理处组织维护维修。
2.校外人员维护维修,需要与其签署《设备维护维修保密协议书》后方可进行,维护维修原则上应在校内进行并有责任单位指定保密管理人员全程旁站陪同,确保国家秘密信息不被泄露。
3.校内现场无法完成维护、维修的情况,可外送定点单位维护维修,并应拆除具有存储功能的设备部件(含磁鼓),并要有必要的移交手续。无法拆除具有存储功能的设备部件,或具有存储功能的设备部件发生故障时,应当办理审批手续,并有专人负责送取。无法维护维修时,应当按照涉密设备销毁要求予以销毁。
(五)涉密计算机、信息设备和存储设备封存与解封
1.由于周期性工作等原因涉密计算机、信息设备和存储设备在较长时间内无需使用,可进行封存;需再次使用时,可进行解封,履行封存、解封审批程序后,由信息化建设管理处组织封存或解封。
2.封存期间,涉密计算机、信息设备和存储设备不开展常规保密检查。
(六)涉密计算机、信息设备和存储设备的报废与销毁
1.涉密计算机、信息设备和存储设备不再从事涉密工作时,履行报废审批程序后进行报废。
2.安全保密管理员需对涉密信息设备与涉密存储介质进行信息清除,并封存待销毁。
3.具有存储功能设备件(硬盘、电子存储器、内存条、存储芯片等)的涉密设备,需由系统管理员拆除存储功能设备件,并送交归口管理部门保存待销毁。
4.保密办公室统一组织开展涉密计算机、信息设备和存储设备的销毁工作。
(七)便携式计算机与移动存储设备外带
1.外带(出校)审批
涉密便携式计算机与移动存储介质外出携带需由外带部门(学院)填写《涉密便携式计算机及移动存储介质外带审批表》,履行审批手续,安全保密管理员进行技术检查,并发放《涉密便携式计算机涉密移动存储外带保密提醒》。
2.携带管理
涉密便携式计算机与涉密存储介质外出携带时,涉密便携式计算机与涉密存储介质不得在同一行李中保管。
3.外带使用
涉密便携式计算机与移动存储介质外带使用时应填写《涉密便携式计算机与配套移动存储介质外出使用登记表》,并由专人分别使用与保管涉密便携式计算机与移动存储介质。
4.返还检查
涉密便携式计算机与移动存储介质外带返还时,安全保密管理员负责对是否有违规操作行为进行技术检查,完成《携带涉密便携式计算机或移动存储介质外出带回检查记录表》。
第十三条 涉密计算机管理
(一)涉密计算机严禁联网,严禁与非密计算机、信息设备和存储设备交叉使用。
(二)涉密计算机原则上专人专用,特殊情况需要多人共同使用的必须指定专人管理,控制每个用户的访问权限,确保涉密信息不被他人非授权访问或获取。
(三)涉密计算机存储的各类涉密电子文档、图表、图像等资料按照规定表明密级。
(四)涉密计算机应按安全保密策略要求,依据环境、系统和威胁的变化情况,及时调整安全保密策略。
(五)涉密计算机应安装统一配发的各类防护产品,并按照要求采取电磁泄露发射防护,与非密设备保持一定距离
(六)涉密计算机原则上安装Windows7操作系统,国产涉密计算机使用预装国产操作系统,及时安装系统补丁,定期更新杀毒软件病毒库和查杀病毒。
(七)涉密计算机应按照要求设置相应的多重密码,并按照相应周期进行修改密码,国产涉密计算机必须使用USB-Key进行身份鉴别。
(八)涉密计算机的使用必须进行登记记录,登记内容包含但不限于开关机时间、事项、使用人等。
(九)涉密信息导入涉密计算机只能只用红盘和光盘,并必须使用涉密中间机进行病毒查杀,将涉密信息通过专用介质进行信息导入,并进行登记记录。
(十)涉密计算机的信息输出应做到相对集中、专人管理,并采取必要的技术措施进行管控,输出的资料需要进行审批登记。
(十一)涉密计算机应定期(机密级1个月/次,秘密级3个月/次)进行保密检查,并形成安全保密审计报告,对存在的风险进行通报整改。
第十四条 涉密外部设施设备管理
(一)涉密外部设施设备按照存储、处理、传输的最高密级确定设备密级。
(二)涉密打印机、涉密外置刻录机、涉密制图机等输出设备输出资料时应履行登记审批手续。
(三)涉密文拍仪、涉密扫描仪等信息输入设备可以通过涉密中间机或者与该外部设施设备绑定的涉密计算机进行信息导入。
(四)与涉密计算机通过USB端口连接的涉密外部设施设备必须登记序列号。
第十五条 涉密办公自动化设备管理
(一)涉密办公自动化设备的存放和使用场所应相对固定,并指定责任人,按照保密要求管理和使用。
(二)启用涉密复印机需确定为涉密复印点,履行相关审批程序后方可用于涉密工作。
第十八条 涉密声像设备管理
(一)与涉密声像设备配套使用的存储卡应确定为涉密存储介质,按照涉密存储介质进行管理。
(二)涉密声像设备的信息导出需按照具体操作流程严格执行,导出后按照要求进行信息标密。
第十九条 涉密存储设备管理
(一)涉密存储设备是指存储介质和其他用于存储涉密信息的设备。
(二)涉密存储介质不使用时应存放在密码文件柜中。
(三)禁止在低密级计算机上使用高密级存储介质,禁止在低密级存储介质上存储高密级信息。
第五章 非涉密信息系统、非涉密信息设备和非涉密存储设备管理
第十六条 非涉密信息系统管理
(一)明确非涉密信息系统责任人,采取符合相关规定和标准的监管技术措施。
(二)非涉密信息系统公开发布信息时应当按照相关管理办法进行保密审查。
第十七条 非涉密计算机、信息设备和存储设备管理
(一)非涉密计算机、信息设备和存储设备需要明确责任人,建立相关台帐,做到各设备信息要素完整、帐物相符,并定期上报归口管理部门。
(二)非涉密计算机、信息设备和存储设备需要粘贴信息化建设管理处统一下发的标识。
(三)内部计算机、信息设备和存储设备管理
1.存储、处理和传输涉内部信息和不适宜在互联网处理的敏感信息。
2.禁止链接互联网和其他公共信息网络。
3.禁止与互联网计算机、信息设备和存储设备交叉使用。
(四)互联网计算机、信息设备和存储设备管理
1.禁止存储、处理和传输涉密信息、内部信息和不适宜在互联网处理的敏感信息。
2.涉密场所使用的互联网信息设备禁止安装、配备和使用摄像头、麦克风等视音频设备。
第六章 执行要求
第十八条 策略文件执行要求
(一)新确定的涉密计算机、信息设备和存储设备均需要按照策略文件要求实施策略。
(二)当涉密计算机、信息设备和存储设备的物理环境、安全保密设施、风险威胁变化时,应按照策略文件要求重新实施策略。
(三)学校整体安全保密产品、风险威胁或国家相关标准发生变化时,由信息化建设管理处组织相关部门对信息安全保密策略进行修订,以满足最新的要求。
第十九条 操作规程的执行要求
(一)涉密计算机、信息设备和存储设备须按照操作规程进行设置和使用。
(二)学校信息系统、信息设备和存储设备信息安全策略调整后,信息化管理部门负责调整涉密设备保密操作规程,完善信息安全保密管理体系文件。
第七章附则
第二十条 学校依照保密奖惩规定对信息系统、信息设备和存储设备的使用管理、安全策略的落实实施奖惩。
第二十一条 本办法由保密办公室、信息化建设管理处负责解释。
第二十二条 本办法自发布之日起实施。
