第一篇：淺談部隊信息安全保密風(fēng)險管理

淺談部隊信息安全保密風(fēng)險管理

柳立強 劉 清 武瑞凱

信息化條件下，軍事秘密面臨的風(fēng)險不斷加大，無意識泄密、間接泄密、計算機網(wǎng)絡(luò)泄密等現(xiàn)象時有發(fā)生，給部隊信息安全保密工作帶來了嚴(yán)重挑戰(zhàn)。信息安全保密風(fēng)險管理從風(fēng)險識別出發(fā)，對軍事秘密面臨的風(fēng)險進(jìn)行客觀地全面分析和評估，并對風(fēng)險實施有效控制，變事后補救為事先防范，這是形勢發(fā)展的需要，是確保軍事秘密安全的需要，也是做好信息化條件下部隊保密工作的必然要求。

一、系統(tǒng)識別，找出部隊信息安全保密重要風(fēng)險

信息安全保密風(fēng)險識別是指運用有關(guān)知識、方法、系統(tǒng)、全面和連續(xù)地發(fā)現(xiàn)部隊軍事秘密面臨的風(fēng)險。風(fēng)險識別是風(fēng)險管理的首要步驟。部隊保密工作面臨的風(fēng)險是錯綜復(fù)雜的，需要進(jìn)行認(rèn)識和辨別。只有全面、準(zhǔn)確地發(fā)現(xiàn)和辨識風(fēng)險，才能進(jìn)行風(fēng)險評估和選擇風(fēng)險控制的措施。風(fēng)險識別的方法有很多，比如保密清單損失法、專家調(diào)差分析法、經(jīng)典案例分析法、等級全息建模法等等，不管用哪種方法，都要系統(tǒng)的識別以下幾個方面。

1.對保密資產(chǎn)的識別。保密資產(chǎn)就是要保護(hù)的秘密資產(chǎn)。主要包括涉密的電子文檔、涉密的實體信息以及涉密的裝備設(shè)施等。一個單位保密資產(chǎn)越多，秘密的級別越高，保密的風(fēng)險就越大，需要采取的措施就要更嚴(yán)密。

2.對資產(chǎn)脆弱性的識別。要清楚這些保密資產(chǎn)它們的弱電在哪里，也就是說，這些保密資產(chǎn)哪些方面容易被敵對勢力利用。一般情況下，可以將脆弱性分為技術(shù)脆弱性和管理脆弱性兩類。技術(shù)脆弱性主要是保護(hù)資產(chǎn)所涉及到的所有設(shè)備，包括移動載體、計算機網(wǎng)絡(luò)、通信設(shè)備等本身所存在的一些技術(shù)隱患，比如一些后門程序等。管理的脆弱性主要是規(guī)章制度、責(zé)任區(qū)分等問題，要識別出在這些方面部隊有哪些弱點。

3.對威脅的識別。威脅是指可能對保密資產(chǎn)或組織造成損害的一種潛在的侵害。比如信息泄露、信息破壞等。這些侵害有些是非人為，可能是無意識的行為，有些是故意的，是敵方情報機關(guān)或者我方人員有意識的行為。以上關(guān)于保密資產(chǎn)、脆弱性以及威脅的識別，不僅要清楚它們單個因素的種類，同是還要結(jié)合部隊已有的安全措施，找出威脅利用脆弱性的可能性，以及發(fā)生以后對保密資產(chǎn)可能造成的損失，這就是保密風(fēng)險。這些風(fēng)險因素有很多，要通過進(jìn)一步的識別，找出一些發(fā)生可能性大并且發(fā)生以后對保密資產(chǎn)影響較大的風(fēng)險，也就是重要風(fēng)險，將其進(jìn)行評估。

二、量化評估，確定部隊信息安全保密風(fēng)險等級

在對信息安全保密風(fēng)險進(jìn)行充分的認(rèn)識和分析之后，就應(yīng)該對風(fēng)險進(jìn)行量化評估，確定保密的風(fēng)險等級。保密風(fēng)險評估綜合分析資產(chǎn)、威脅、脆弱性、安全措施，判斷系統(tǒng)風(fēng)險，為部隊識別安全重點、選擇合理使用是安全對策提供依據(jù)，是保密風(fēng)險管理的基礎(chǔ)。

1.建立合理的評估指標(biāo)體系。指標(biāo)體系的建立對于風(fēng)險的定量化評級至關(guān)重要。建立的指標(biāo)不合理、不科學(xué)，即使評估的方法再科學(xué)，也會偏離評估的方向。風(fēng)險識別階段已經(jīng)將保密重要風(fēng)險因素進(jìn)行了篩選，可依據(jù)篩選的這些風(fēng)險因素進(jìn)行歸類。對哪些風(fēng)險應(yīng)該屬于什么類別，要做到心中有數(shù)，這樣便于評估，同事也便于制定合理的措施。風(fēng)險從組織領(lǐng)導(dǎo)、保密環(huán)境、涉密崗位人員、技術(shù)條件、制度建設(shè)等方面進(jìn)行歸納，形成保密風(fēng)險的一級指標(biāo)，再將一級指標(biāo)進(jìn)行系統(tǒng)歸類，細(xì)分出更多的指標(biāo)。

2.選擇合適的評估方法。目前在風(fēng)險評估領(lǐng)域評估方法已經(jīng)十分廣泛。部隊在保密風(fēng)險評估工作中起步較晚，但是這些方法可以借鑒。模糊綜合評判法可以很好的解決保密風(fēng)險評估量化問題。將建立的底層保密風(fēng)險評估指標(biāo)讓專家打分，根據(jù)打分的情況利用模糊數(shù)學(xué)的一些方法進(jìn)行處理，再通過底層指標(biāo)的風(fēng)險計算一級指標(biāo)值，最終得出部隊的保密風(fēng)險綜合值。

3.對評估的結(jié)果進(jìn)行認(rèn)真分析。風(fēng)險評估一般將單位的風(fēng)險狀況區(qū)分為很低、低、中、高、很高五個等級。要根據(jù)評估的結(jié)果分析是什么原因?qū)е碌?，對這些原因進(jìn)行分析，進(jìn)而找出影響評估結(jié)果的關(guān)鍵因素，為實施風(fēng)險控制提供思路。

三、綜合控制，規(guī)避和降低部隊信息安全保密風(fēng)險

在部隊信息安全保密風(fēng)險進(jìn)行定量化評估以后，就應(yīng)該根據(jù)風(fēng)險評估的結(jié)果，對重要風(fēng)險進(jìn)行規(guī)避或降低，將保密風(fēng)險控制在可接受范圍內(nèi)。風(fēng)險控制是一個系統(tǒng)工程，不僅要找出風(fēng)險和控制措施間的有效對應(yīng)關(guān)系，還要從單位的保密文化環(huán)境、防范體系、防范策略等多方面進(jìn)行綜合控制，這樣才能做到有的放矢，提高保密控制的效果。

1.營造信息安全保密的文化環(huán)境。忽略了官兵的信息安全保密意識和安全保密技能的提高，安全措施就不可能有效的發(fā)揮作用。通過對部隊發(fā)生的失泄密事故調(diào)查和分析，大部分原因都是由人的因素引起的，這其中包括保密意識的淡薄和保密技能的缺失。因此，要制定周密的計劃，通過安全教育和技能培訓(xùn)，提高官兵的信息安全保密意識和應(yīng)對保密風(fēng)險控制的技能，使遵守各種保密制度成為官兵的一種習(xí)慣，從而形成良好的保密文化環(huán)境。

2.構(gòu)建全維實時的信息安全保密風(fēng)險防范體系。要從組織領(lǐng)導(dǎo)、技術(shù)條件、管理制度、保密法規(guī)等各個方面，綜合運用各種手段，實時監(jiān)督各類安全措施的執(zhí)行，落實安全獎懲措施，不斷削除信息安全保密風(fēng)險管理中的弱點。

3.注意防范策略的靈活運用。防范策略主要包括規(guī)避風(fēng)險、降低風(fēng)險和接受風(fēng)險。信息安全保密工作中有些風(fēng)險屬于高風(fēng)險，對于這類風(fēng)險情況，可采取規(guī)避的方法，減少部隊的損失；有些風(fēng)險情景是部隊在訓(xùn)練、演習(xí)、學(xué)習(xí)等工作中必須面對的，這時主要采取相應(yīng)的安全措施來降低風(fēng)險，使其控制在部隊能接受的范圍；有些風(fēng)險是無法消除的，這時部隊要勇敢面對，但是要實時監(jiān)控，使其不影響保密工作的總體成效。

信息安全保密風(fēng)險管理不是一蹴而就的，而是一個周期的螺旋式發(fā)展過程。由于部隊任務(wù)轉(zhuǎn)換、環(huán)境變化、人員流動等各種因素，再加上風(fēng)險情景的不斷變化，使得部隊必須不斷研究風(fēng)險管理的新情況、新問題，不斷完善風(fēng)險管理的過程，健全風(fēng)險管理的防范體系，提高信息化條件下保密管理水平。

第二篇：部隊保密風(fēng)險評估

部隊保密風(fēng)險評估

摘要

“保守秘密是御敵之盾，失密泄密是刺已之劍。”“信息是生成戰(zhàn)斗力的數(shù)據(jù)庫，保密是保護(hù)戰(zhàn)斗力的防火墻。”在信息化條件下，做好保密工作是部隊的中心工作之一，軍隊保密風(fēng)險評估是軍隊保密工作的重要組成部分。軍隊保密風(fēng)險評估要堅持以科學(xué)發(fā)展觀為指導(dǎo)，深入調(diào)查研究，全面掌握軍隊保密風(fēng)險因素及其影響，進(jìn)而準(zhǔn)確掌握軍隊保密工作面臨的形勢、存在的問題和努力方向。有效控制知悉范圍、降低保密負(fù)荷、增強保密能力、防范竊密活動、消除泄密隱患、確保秘密安全，這是做好保密工作的基本要求。要實現(xiàn)這一目標(biāo)，就要對軍事秘密存在的風(fēng)險進(jìn)行識別、分析，確定評估的指標(biāo)體系，建立軍隊保密風(fēng)險綜合評估的數(shù)學(xué)模型。通過對軍隊保密風(fēng)險的科學(xué)評估，準(zhǔn)確把握涉密單位和涉密人員所掌管的秘密面臨的風(fēng)險，為進(jìn)一步控制保密風(fēng)險提供科學(xué)依據(jù)，實現(xiàn)軍隊保密工作的前饋管理。

關(guān)鍵詞：保密 軍隊 風(fēng)險評估

“保密是軍隊永恒的戰(zhàn)斗力，泄密是軍隊失敗的導(dǎo)火索?！痹谛畔⒒瘲l件下，做好保密工作是部隊的中心工作之一，軍隊保密風(fēng)險評估是軍隊保密工作的重要組成部分。軍隊保密風(fēng)險評估要堅持以科學(xué)發(fā)展觀為指導(dǎo)，深入調(diào)查研究，全面掌握軍隊保密風(fēng)險因素及其影響，進(jìn)而準(zhǔn)確掌握軍隊保密工作面臨的形勢、存在的問題和努力方向。有效控制知悉范圍、降低保密負(fù)荷、增強保密能力、防范竊密活動、消除泄密隱患、確保秘密安全，這是做好保密工作的基本要求。要實現(xiàn)這一目標(biāo)，就要對軍事秘密存在的風(fēng)險進(jìn)行識別、分析和評估，并對客觀存在的風(fēng)險和潛在的風(fēng)險進(jìn)行有效的控制與防范。通過對軍隊保密風(fēng)險的科學(xué)評估，準(zhǔn)確把握涉密單位和涉密人員所掌管的秘密面臨的風(fēng)險，為進(jìn)一步控制保密風(fēng)險提供科學(xué)依據(jù)，實現(xiàn)軍隊保密工作的前饋管理。

下面我們將結(jié)合軍隊保密管理工作的實際情況，研究解決以系為基本單位的保密工作問題。

我們可以將保密風(fēng)險評估分成這幾個方面： 1.評估密級 2.評估威脅 3.評估損失

模型的建立

一． 明確保密對象密級

1.網(wǎng)絡(luò)設(shè)備：3G手機、無線路由器、網(wǎng)卡、網(wǎng)線 3級

2.存儲介質(zhì)：軟盤、移動硬盤、U盤、光盤等 2級

3.硬件設(shè)備：個人筆記本電腦，軍網(wǎng)電腦，手機，可上網(wǎng)的MP4等 1級

（上述為自主設(shè)定密級，且等級越高，密級越高）

第三篇：信息安全與保密管理規(guī)定

信息安全與保密管理規(guī)定目的為維護(hù)公司內(nèi)部網(wǎng)絡(luò)信息安全，防止外部對網(wǎng)絡(luò)的攻擊和入侵，防止網(wǎng)絡(luò)內(nèi)部信息的泄露，特制定本規(guī)定。信息安全管理內(nèi)容

2.1所有直接或間接接入公司網(wǎng)絡(luò)的信息終端，包括電腦、手機、PDA及實驗設(shè)備等，一律納入公司管理的范疇。

2.2所有納入公司管理范疇的信息終端統(tǒng)一由總經(jīng)理工作部管理。

2.3由總經(jīng)理工作部科信專責(zé)負(fù)責(zé)制定信息安全管理措施，并負(fù)責(zé)實施。

2.4任何員工不得危害國家安全、泄露國家秘密，不得侵犯國家的、社會的、集體的利益和公民的合法權(quán)益，不得從事違法犯罪活動。

2.5所有需要接入公司網(wǎng)絡(luò)的電腦必須安裝有效的殺毒軟件，公司所有的電腦由科信專責(zé)指定殺毒軟件并強制安裝，統(tǒng)一升級?？菩艑Ｘ?zé)有權(quán)針對特定病毒采取的必要措施，以達(dá)到有效預(yù)防、消除病毒影響的目的。

2.6公司所有的電腦上不得擅自安裝或運行修改操作系統(tǒng)運行參數(shù)的軟件。不得從事擾亂公司網(wǎng)絡(luò)正常運行的活動。

2.7所有員工必須保管好自己的網(wǎng)絡(luò)帳號信息，只準(zhǔn)本人使用，不得借與他人使用，不得以任何理由將自己的網(wǎng)絡(luò)帳號泄露給公司外部的人員。

2.8至少每月修改一次密碼。密碼被他人獲悉后，必須及時更改密碼。密碼長度必須在十位以上，并符合復(fù)雜性要求。

2.9各部門存取必須建立訪問控制與審核機制，嚴(yán)格控制重要資料的存取。

2.10科信專責(zé)負(fù)責(zé)對所有電腦的操作系統(tǒng)做升級、補漏洞的工作，降低系統(tǒng)的運行風(fēng)險。

2.11科信專責(zé)負(fù)責(zé)設(shè)置安全可靠的防火墻，安裝防病毒軟件，定期進(jìn)行安全風(fēng)險分析與系統(tǒng)漏洞測試，適時對軟硬件進(jìn)行升級，確保系統(tǒng)安全、可靠、穩(wěn)定地運行。

2.12由科信專責(zé)嚴(yán)格控制所有信息終端訪問Internet網(wǎng)的行為，并建立審核機制。

2.13所有信息終端所在場所必須有必要的防盜、消防設(shè)施，并嚴(yán)格控制相關(guān)人

員進(jìn)出。

2.14科信專責(zé)負(fù)責(zé)對公司OA系統(tǒng)使用人員進(jìn)行審核。信息保密管理

3.1涉密信息定義范圍包括《保密制度》所定義的范圍但不僅限于該范圍，還包括公司信息網(wǎng)絡(luò)的架構(gòu)、設(shè)備資料等相關(guān)信息。

3.2涉密信息的密級參照《保密制度》。嚴(yán)格執(zhí)行訪問控制與審核機制。涉及公司商業(yè)機密和技術(shù)機密的資料必須實行“涉密資料原則上不上網(wǎng)”的要求。對各級涉密信息具體要求如下：

3.2.1絕密資料必須使用文件系統(tǒng)權(quán)限控制，并作審核。不允許使用網(wǎng)絡(luò)共享等易泄漏的方式傳遞。傳遞時必須使用強密碼加密；

3.2.2機密資料必須使用文件系統(tǒng)權(quán)限控制，并作審核。傳遞時必須使用強密碼加密；

秘密資料傳遞時必須使用強密碼加密；

3.2.3所有有機會直接或間接地接觸本涉密信息的人員（包括員工、外聘的管理顧問等）均為涉密人員。涉密人員必須簽《商業(yè)秘密保證及競業(yè)限制協(xié)議》。

3.2.4涉密場所必須嚴(yán)格控制人員的進(jìn)出。

3.2.5所有涉密介質(zhì)（軟盤、光盤、硬盤等）必須實行使用登記。使用完后必須作脫密處理。

3.2.6對外公布有關(guān)公司的信息必須經(jīng)過有關(guān)部門審核、批準(zhǔn)后方可執(zhí)行。4附則。

4.1本規(guī)定由總經(jīng)理工作部負(fù)責(zé)解釋。

4.2本規(guī)定自頒布之日起執(zhí)行。

第四篇：信息安全與保密管理

信息安全與保密管理規(guī)定

為了保護(hù)我院信息安全，為了保護(hù)患者信息，防止計算機失泄密問題的發(fā)生，為了加強醫(yī)院信息系統(tǒng)的領(lǐng)導(dǎo)和管理，促進(jìn)醫(yī)院信息化工程的應(yīng)用和發(fā)展，保障系統(tǒng)有序運行, 根據(jù)衛(wèi)生部醫(yī)管司修訂《醫(yī)院工作制度與人員崗位職責(zé)》，信息安全等級保護(hù)管理辦法（公通字[2007]43號）結(jié)合我院實際，制定本制度。

一、計算機網(wǎng)絡(luò)信息安全保密管理規(guī)定

(1)為防止病毒造成嚴(yán)重后果，對外來光盤、軟件要嚴(yán)格管理，原則上不允許外來光盤、軟件在我院計算機上使用。確因工作需要使用的，事先必須進(jìn)行防（殺）毒處理，證實無病毒感染后，方可使用。

(2)接入本院網(wǎng)絡(luò)的計算機嚴(yán)禁將計算機設(shè)定為網(wǎng)絡(luò)共享，嚴(yán)禁將文件設(shè)定為網(wǎng)絡(luò)共享文件。

(3)為防止黑客攻擊和網(wǎng)絡(luò)病毒的侵襲，接入本院網(wǎng)絡(luò)的計算機一律安裝殺毒軟件，并要定時對殺毒軟件進(jìn)行升級。

(4)禁止將文件存放在網(wǎng)絡(luò)共享硬盤上。(5)保密級別材料可通過本院內(nèi)網(wǎng)OA軟件，嚴(yán)禁院內(nèi)材料通過電子信箱、QQ等網(wǎng)上傳遞和報送。

(6)計算機嚴(yán)禁直接或間接連接外網(wǎng)和其他公共信息網(wǎng)絡(luò)，必須實行物理隔離。

(7)要堅持“誰上網(wǎng)，誰負(fù)責(zé)”的原則，信息上網(wǎng)必須經(jīng)過信息科及主管院長審查，并經(jīng)主管院長批準(zhǔn)。

(8)外網(wǎng)必須與涉密計算機系統(tǒng)實行物理隔離。

(9)在與外網(wǎng)相連的信息設(shè)備上不得存儲、處理和傳輸任何涉密信息。(10)應(yīng)加強對上網(wǎng)人員的保密意識教育，提高上網(wǎng)人員保密觀念，增強防范意識，自覺執(zhí)行保密規(guī)定。

二、計算機維修維護(hù)管理規(guī)定

(1)計算機和存儲介質(zhì)發(fā)生故障時，應(yīng)當(dāng)向信息科提出維修申請，經(jīng)批準(zhǔn)后到指定維修地點修理，一般應(yīng)當(dāng)由信息科人員實施，須由外部人員到現(xiàn)場維修時，整個過程應(yīng)當(dāng)有信息科人員全程旁站陪同，禁止外來維修人員讀取和復(fù)制被維修設(shè)備中的信息，維修后應(yīng)當(dāng)進(jìn)行檢查。

(2)信息科應(yīng)將本院所屬科室設(shè)備的故障現(xiàn)象、故障原因記錄在設(shè)備的維修檔案記錄本上。

(3)凡需外送修理的設(shè)備，必須經(jīng)信息科和主管領(lǐng)導(dǎo)批準(zhǔn)，并將文件進(jìn)行不可恢復(fù)性刪除處理后方可實施。

(4)如不能保證安全保密，應(yīng)當(dāng)辦理審批手續(xù)，由專人負(fù)責(zé)送到信息科予以銷毀。

(5)由信息科工作人員負(fù)責(zé)辦公室計算機軟件的安裝和設(shè)備的維護(hù)維修工作，嚴(yán)禁使用者私自安裝計算機軟件和擅自拆卸計算機設(shè)備。

(6)計算機的報廢由信息科專人負(fù)責(zé)。

三、用戶密碼安全保密管理規(guī)定

(1)用戶密碼管理的范圍是指辦公室所有計算機所使用的密碼。

(2)計算機的密碼管理由信息科負(fù)責(zé)，計算機的密碼管理由使用人負(fù)責(zé)。(3)用戶密碼使用規(guī)定

1）密碼必須由數(shù)字、字符和特殊字符組成；

2）計算機設(shè)置的密碼長度不能少于8個字符，密碼更換周期不得多于30天；

3）計算機設(shè)置的密碼長度不得少于10個字符，密碼更換周期不得超過7天；

4）計算機需要分別設(shè)置BIOS、操作系統(tǒng)開機登錄和屏幕保護(hù)三個密碼。(4)密碼的保存 1）計算機設(shè)置的用戶密碼由使用人自行保存，嚴(yán)禁將自用密碼轉(zhuǎn)告他人；若工作需要必須轉(zhuǎn)告，應(yīng)請示信息科工作人員認(rèn)可；

2）計算機設(shè)置的用戶密碼須登記造冊，并將密碼本存放于文件柜內(nèi)，由信息科管理。

四、涉密電子文件保密管理規(guī)定

(1)涉密電子文件是指在計算機系統(tǒng)中生成、存儲、處理的機密、秘密和內(nèi)部的文件、圖紙、程序、數(shù)據(jù)、聲像資料等。

(2)電子文件的密級按其所屬項目的最高密級界定，其生成者應(yīng)按密級界定要求標(biāo)定其密級，并將文件存儲在相應(yīng)的目錄下。

(3)各用戶需在本人的計算機系統(tǒng)中創(chuàng)建“機密級文件”、“秘密級文件”、“內(nèi)部文件”三個目錄，將系統(tǒng)中的電子文件分別存儲在相應(yīng)的目錄中。

(4)電子文件要有密級標(biāo)識，電子文件的密級標(biāo)識不能與文件的正文分離，一般標(biāo)注于正文前面。

(5)電子文件必須定期、完整、真實、準(zhǔn)確地存儲到不可更改的介質(zhì)上，并集中保存，然后從計算機上徹底刪除。

(6)各院內(nèi)科室自用信息資料由本部門管理員定期做好備份，備份介質(zhì)必須標(biāo)明備份日期、備份內(nèi)容以及相應(yīng)密級，嚴(yán)格控制知悉此備份的人數(shù)，做好登記后進(jìn)保密柜保存。

(7)各部門要對備份電子文件進(jìn)行規(guī)范的登記管理。每周做增量備份，每月做全量備份；備份可采用磁盤、光盤、移動硬盤、U盤等存儲介質(zhì)。

(8)涉密文件和資料的備份應(yīng)嚴(yán)加控制。未經(jīng)許可嚴(yán)禁私自復(fù)制、轉(zhuǎn)儲和借閱。對存儲涉密信息的磁介質(zhì)應(yīng)當(dāng)根據(jù)有關(guān)規(guī)定確定密級及保密期限，并視同紙制文件，分密級管理，嚴(yán)格借閱、使用、保管及銷毀制度。

(9)備份文件和資料保管地點應(yīng)有防火、防熱、防潮、防塵、防磁、防盜設(shè)施，并進(jìn)行異地備份。

五、涉密計算機系統(tǒng)病毒防治管理規(guī)定

(1)涉密計算機必須安裝經(jīng)過信息科許可的查、殺病毒軟件。(2)每周升級和查、殺計算機病毒軟件的病毒樣本。確保病毒樣本始終處于最新版本，同時將升級記錄登記備案。

(3)絕對禁止計算機在線升級防病毒軟件病毒庫，同時對離線升級包的來源進(jìn)行登記。

(4)每周對計算機、服務(wù)器病毒進(jìn)行一次查、殺檢查，并將查、殺結(jié)果登記造冊。

(5)計算機、服務(wù)器應(yīng)限制信息入口，如軟盤、光盤、U盤、移動硬盤等的使用。

(6)對必須使用的外來介質(zhì)（磁盤、光盤，U盤、移動硬盤等），必須先進(jìn)行計算機病毒的查、殺處理，然后才可使用。

(7)對于因未經(jīng)許可而擅自使用外來介質(zhì)導(dǎo)致嚴(yán)重后果的，要嚴(yán)格追究相關(guān)人員的責(zé)任。

六、上網(wǎng)發(fā)布信息保密規(guī)定

(1)上網(wǎng)信息的保密管理堅持“誰發(fā)布誰負(fù)責(zé)”的原則。凡向外網(wǎng)站點提供或發(fā)布信息，必須經(jīng)過信息科審查，報主管院長批準(zhǔn)。提供信息的部門應(yīng)當(dāng)按照一定的工作程序，健全信息審批制度。

(2)凡以提供網(wǎng)上信息服務(wù)為目的而采集的信息，除在其它新聞媒體上已公開發(fā)表的，組織者在上網(wǎng)發(fā)布前，應(yīng)當(dāng)征得提供信息單位的同意。凡對網(wǎng)上信息進(jìn)行擴充或更新，應(yīng)當(dāng)認(rèn)真執(zhí)行信息審核制度。

第五篇：信息安全與保密管理規(guī)定

DEJIN

公司管理制度

信息安全與保密管理規(guī)定

總則

一、目的

為了保證我局各中心、各股、各部門人員充分合理利用網(wǎng)絡(luò)資源，提高網(wǎng)絡(luò)帶寬利用率，方便網(wǎng)絡(luò)流量控制和帶寬管理；為了保證財政系統(tǒng)內(nèi)部網(wǎng)絡(luò)安全，保護(hù)內(nèi)部數(shù)據(jù)，防止機密信息泄露，消除企業(yè)潛在濫用互聯(lián)網(wǎng)的法律風(fēng)險；為了保證員工使用先進(jìn)的系統(tǒng)工具提高工作效率, 規(guī)范員工的網(wǎng)絡(luò)行為；結(jié)合各中心、各部門、各崗位工作實際需要，特制定本制度。

二、信息安全管理規(guī)定

（1）信息中心負(fù)責(zé)硬件及軟件的統(tǒng)一管理和安全運行，服務(wù)器上數(shù)據(jù)資料、信息資料的保密。

（2）各股室負(fù)責(zé)本部門硬件和軟件的安全運行，數(shù)據(jù)信息、資料的保密。（3）計算機操作人員負(fù)責(zé)本人使用的計算機的開機口令、網(wǎng)絡(luò)口令及用戶口令的保密。

（4）新購置的軟件(除設(shè)備帶的軟件)必須由信息中心登記，并將副本移交綜合檔案室。

（5）計算機操作人員負(fù)責(zé)對本機硬盤中的重要數(shù)據(jù)、資料、文件等及時做好備份工作。

（6）不得超越自己的權(quán)限范圍，修改他人或服務(wù)器內(nèi)的公用數(shù)據(jù)。（7）所有直接或間接接入財政內(nèi)網(wǎng)的信息終端的電腦，一律納入我局管理 DEJIN

公司管理制度 的范疇。

（8）所有納入我局管理范疇的信息終端統(tǒng)一由信息中心管理。（9）由信息中心負(fù)責(zé)制定信息安全管理策略，并負(fù)責(zé)實施。

（10）任何員工不得危害國家安全、泄露國家秘密，不得侵犯國家的、社會的、集體的利益和公民的合法權(quán)益，不得從事違法犯罪活動。

（11）需要接入財政內(nèi)網(wǎng)的電腦必須安裝有效的殺毒軟件，我局所有的電腦由信息中心指定殺毒軟件并強制安裝，統(tǒng)一升級。信息中心有權(quán)針對特定病毒采取的必要措施，以達(dá)到有效預(yù)防、消除病毒影響的目的。

（12）我局所有的電腦上不得擅自安裝或運行修改操作系統(tǒng)運行參數(shù)的軟件。不得從事擾亂公司網(wǎng)絡(luò)正常運行的活動。

（13）所有員工必須保管好自己的網(wǎng)絡(luò)帳號信息，只準(zhǔn)本人使用，不得借與他人使用，不得以任何理由將自己的網(wǎng)絡(luò)帳號泄露給財政系統(tǒng)以外的人員。

（14）至少每月修改一次密碼。密碼被他人獲悉后，必須及時更改密碼。

（15）各部門存取必須建立訪問控制與審核機制，嚴(yán)格控制重要資料的存取。

（16）信息中心負(fù)責(zé)對所有電腦的操作系統(tǒng)做升級、補漏洞的工作，降低系統(tǒng)的運行風(fēng)險。

（17）信息中心負(fù)責(zé)設(shè)置安全可靠的防火墻，安裝防病毒軟件，定期進(jìn)行安全風(fēng)險分析與系統(tǒng)漏洞測試，適時對軟硬件進(jìn)行升級，確保系統(tǒng)安全、可靠、穩(wěn)定地運行。

（l8）由信息中心嚴(yán)格控制所有信息終端訪問Internet網(wǎng)的行為，并建立 2 DEJIN

公司管理制度

審核機制。

（19）所有信息終端所在場所必須有必要的防盜、消防設(shè)施，并嚴(yán)格控制相關(guān)人員進(jìn)出。

三、信息保密管理規(guī)定

（1）涉密信息定義范圍包括《保密管理規(guī)定》所定義的范圍但不僅限于該范圍，還包括我局信息網(wǎng)絡(luò)的架構(gòu)、設(shè)備資料等相關(guān)信息。

（2）涉密信息的密級參照《保密管理規(guī)定》。嚴(yán)格執(zhí)行訪問控制與審核機制。涉及財政系統(tǒng)機密和技術(shù)機密的資料必須實行，涉密資料原則上不允許上網(wǎng)。

（3）涉密場所必須嚴(yán)格控制人員的進(jìn)出。

（4）所有涉密介質(zhì)（軟盤、光盤、硬盤等）必須實行使用登記。使用完后必須作脫密處理。

（5）對外公布有關(guān)財政信息必須經(jīng)過有關(guān)部門審核、批準(zhǔn)后方可執(zhí)行。

四、執(zhí)行力度保障

（1）實行“領(lǐng)導(dǎo)責(zé)任制”。各部門主管負(fù)責(zé)本部門的安全工作。

（2）信息中心定期抽查各部門安全工作，并隨時進(jìn)行突擊檢查。