吉林农业大学信息系统和信息设备使用保密管理制度
第一条为规范和加强信息系统和信息设备使用保密管理,依据《保密法》《保密法实施条例》及《信息系统和信息设备使用保密管理规定》(国保发[2009]3号),结合本单位实际,制定本制度。
第五条涉密信息系统存储、处理和传输的信息涉及国家秘密和其他敏感信息,应严格控制知悉范围,并严格控制使用权限。
第七条涉密信息系统必须满足安全保密要求,符合国家保密标准要求,投入使用前必须经安全保密检测评估和审查批准。
第八条保密、信息化等机构,对拟建设和使用的各类网络进行核查分类,报保密委员会(领导小组)审定。审定为涉密网络的,填写涉密网络基本情况表,报同级保密行政管理部门审批。
第九条涉密信息系统要按照国家保密规定和标准要求,采取身份鉴别、访问控制、安全审计、边界安全防护和信息流转控制等措施。
第十一条应当加强涉密信息系统的运行使用管理,指定专门机构或者人员负责运行维护、安全保密管理和安全审计,定期开展安全保密检查和风险评估。涉密信息系统的密级、主要业务应用、使用范围和使用环境等发生变化或者涉密信息系统不再使用的,应当按照国家保密规定及时向保密行政管理部门报告,并采取相应措施。
第十三条涉密信息系统应当配备系统管理员、安全保密管理员和安全审计员,分别负责涉密信息系统运行维护、安全保密管理、安全审计工作。系统管理员、安全保密管理员和安全审计员应当经过保密行政管理部门的培训,持证上岗。
第十四条定期开展涉密信息系统安全保密检查和风险评估,及时发现和消除泄密隐患,并建立检查记录档案。
第十五条秘密级、机密级网络至少每两年进行一次安全保密检查和风险评估;绝密级网络每年至少进行一次安全保密检查和风险评估。
第十七条涉密信息系统发生下列变化时,应当及时向保密行政管理部门报告:
(一)系统密级发生变化;
(二)网络连接范围发生变化;
(三)系统所处物理环境或安全保密设施发生变化;
(四)系统主要应用发生变化;
第十八条涉密信息系统不再使用时,及时向保密行政管理部门报告,并按照保密要求对涉密信息设备、产品、涉密载体等进行处理。
第十九条禁止将涉密计算机、涉密存储设备接入互联网及其他公共信息网络。涉密网络与国际互联网和其他公共信息网络应当实行物理隔离。采取有效措施,防止涉密网络通过拨号、有线连接、无线连接等方式,违规接入互联网及其他公共信息网络。
第二十二条涉密计算机应严格按照有关保密规定和标准设置口令。处理秘密级信息的计算机,口令长度不少于8位,更换周期不超过1个月。处理机密级信息的计算机,应采用IC卡或USBKey与口令相结合的方式,且口令长度不少于4位;如仅使用口令方式,则长度不少于10位,更换周期不超过1个星期。涉密计算机的口令设置,应采用多种字符和数字混合编制。处理绝密级信息的计算机,应采用生理特征(如指纹、虹膜)等强身份鉴别方式。
第二十三条涉密计算机应采取有效的病毒查杀措施,及时升级更新病毒库。
第二十四条严格非涉密计算机管理,禁止使用非涉密计算机存储、处理和传输国家秘密信息。
第二十六条保持保密技术防护设施设备的防护性能。不得擅自卸载、修改涉密计算机和信息系统的安全保密防护软件和设备。
第二十七条对保密技术防护设施设备定期检测、检修、维护,对已失效的保密技术防护设施设备及时报废,并更换新设施设备。
第二十八条建立健全计算机和移动存储介质登记台账,涉密计算机和移动存储介质粘贴密级标识,明确责任人、设备编号等,台账应当准确、完备,并根据情况变化及时修改。
第二十九条计算机和移动存储介质按照所存储、处理信息的最高密级粘贴密级标识。
第三十条处理涉密信息的办公自动化设备禁止连接国际互联网和其他公共信息网络以及内部非涉密计算机和信息系统;禁上使用非涉密办公自动化设备以及具有无线互联功能的办公自动化设备处理涉密信息。
(一)复印机应指定专人操作和管理,复印涉密文件、资料等应当经过审批登记并在机要室或指定的涉密复印机复印,复印涉密文件、资料过程中产生的不合格件和多余件必须及时销毁。
(二)不得使用非涉密打印机打印涉密文件、资料,涉密打印机与涉密计算机之间不得采用无线连接方式。
(三)不得随意扫描涉密文件、资料,确需扫描的应当履行审批程序,涉密文件、资料扫描件应按原件密级进行管理,不得在非涉密计算机中扫描涉密文件、资料。
(四)不得在涉密计算机与非涉密计算机之间共用打印机等办公自动化设备。
(五)办公自动化设备的维修、销毁,参照涉密载体的维修、销毁要求。
第三十二条涉密人员使用手机应严格遵守国家有关保密规定,自觉履行保密义务,并接受有关部门的监督检查。
第三十三条涉密人员使用普通手机,应当遵守下列保密要求:
(一)不得在通信中涉及国家秘密;
(二)不得在手机上存储、处理、传输涉及国家秘密的信息;
(三)不得连接涉密信息系统、涉密信息设备或者涉密载体;
(五)不得在涉密公务活动中开启和使用位置服务功能;
(七)不得使用未经国家电信管理部门进网许可的手机;
(八)不得使用境外机构、境外人员赠送的手机;
(九)不得将手机带入保密要害部位、绝密级或者机密级会议和活动场所;
(十)不得在保密要害部门、秘密级会议和活动场所使用手机;
(十一)不得在使用涉密信息设备的场所使用手机进行视频通话、拍照、上网、录音和录像;
(十二)不得使用商用加密手机谈论以及存储、处理、传输国家秘密信息。
第三十四条保密要害部位、绝密级或者机密级会议和活动场所等核心涉密场所,应设置显著的“禁止带入手机”标志;保密要害部门、秘密级会议和活动场所等重要涉密场所,应设置显著的“禁止使用手机”标志;使用涉密信息设备的场所等一般涉密场所,应设置“禁止使用手机进行视频通话、拍照、上网、录音和录像”标志。
第三十五条保密要害部位、绝密级或者机密级会议和活动场所应配备手机存放柜。
(一)在危急情况下,保护涉密信息系统和涉密信息设备安全的;
(二)对盗窃、毁坏涉密信息系统和涉密信息设备的行为举报或者侦破有功的;
(三)发现涉密信息系统和涉密信息设备重大泄密隐患或泄密情况,及时采取措施,避免重大损失的。
第三十七条违反本规定泄露国家秘密,情节较轻的,依法给予处分;情节严重构成犯罪的,依法追究刑事责任。