信息安全保密管理计划规定V.1

/*/* 信息安全保密管理规定 批准人签字批准人签字审核人签字审核人签字制订人签字制订人签字 卞永华卞永华 日期：日期：2012/2/132012/2/13 程国青程国青 日期：日期：2012/2/82012/2/8 周燕周燕 日期：日期：2012/2/12012/2/1 江苏省电子商务服务中心有限责任公司江苏省电子商务服务中心有限责任公司 保密等级保密等级公开公开 文档名称文档名称信息安全保密管理规定信息安全保密管理规定 文档编号文档编号JSCAJSCA -B-009-2012-B-009-2012 发布组织发布组织JSCAJSCA信息安全工作小组信息安全工作小组 发布日期发布日期20122012年年2 2月月1313日日 执行日期执行日期20122012年年2 2月月1313日日 版版 本本 号号 V.1V.1 /*/* 信息安全保密管理规 定 江苏CA·版权所有 Copyright © 2009 变更履历变更履历 序序 号号 版本编号版本编号简要说明简要说明( (变更内容、变更内容、 变更位置、变更原因变更位置、变更原因 和变更范围和变更范围) ) 变更日期变更日期变更人变更人审核人审核人批准人批准人批准日期批准日期 1 1V.1V.1 组织名称和架构变更组织名称和架构变更 2012-2-12012-2-1 周燕周燕程国青程国青卞永华卞永华 2012-2-132012-2-13 /*/* 信息安全保密管理规 定 江苏CA·版权所有 Copyright © 2009 目录目录 1.1.目的目的 .1 2.2.适用范围适用范围 .1 3.3.引用标准引用标准/ /名词定义名词定义 .1 4.4.职责职责 .1 5.5.内容及要求内容及要求 .1 5.1 计算机信息分类标准.1 5.2 计算机信息分类表.2 5.3 计算机信息分类标识管理.5 5.4 计算机信息分类的安全管理.5 5.5 计算机信息分类安全管理的实施.12 5.6 计算机设备安全保密总则.13 5.7 计算机上网安全保密管理规定.14 5.8 涉密存储介质保密管理规定.14 5.9 计算机维修维护管理规定.15 5.10 用户密码安全保密管理规定.16 5.11 笔记本电脑安全保密管理规定.16 5.12 涉密电子文件保密管理规定.17 5.13 涉密计算机系统病毒防治管理规定.18 6.6. 表单表单 .18 7.7.参考文件参考文件/ /表单表单 .18 /*/* 信息安全保密管理规 定 江苏 CA·版权所有 Copyright © 2009 1 1 1.1.目的目的 为保护计算机信息系统处理的江苏 CA 秘密安全，特制定本规定。 2.2.适用范围适用范围 本规定适用于采集、存储、处理、传输、输出江苏 CA 秘密信息的计算机系统。 3.3.引用标准引用标准/ /名词定义名词定义 中华人民共和国保守秘密法、中华人民共和国计算机信息系统安全保护条例 4.4.职责职责 管理中心主管江苏 CA 计算机系统的保密工作。各部门主管本部门的计算机信息系统的 保密工作 5.5.内容及要求内容及要求 5.15.1 计算机信息分类标准计算机信息分类标准 5.1.1 绝密信息 绝密信息是指那些具有最高安全级别，对公司计算机系统和业务系统的正常和安全运 行起到至关重要作用的信息。绝密信息一旦对被非法访问或篡改，会导致灾难性的影 响，并且这种影响在短时期内是不可恢复的。 5.1.2 机密信息 机密信息是指那些必须在公司使用，并且有严格访问控制的信息。任何对机密信息的 非法访问、修改或删除会严重影响公司计算机系统的安全，但这种影响是可以在短时 期内恢复的。 /*/* 信息安全保密管理规 定 江苏 CA·版权所有 Copyright © 2009 2 2 5.1.3 秘密信息 秘密信息通常是指那些只供内部使用的计算机信息资料，任何对秘密信息的非法访问、 修改或删除可能会对公司计算机系统地安全造成一定的影响，但不可能是严重的或不 可恢复的。 5.1.4 公开信息 公开信息是指可以公共访问和对外发布的信息，并且公开信息可以自由发布而不会产 生任何安全问题。 5.25.2 计算机信息分类表计算机信息分类表 计算机信息分类举例说明 公开信息公司公共信息 公司介绍 公司组织结构 业务介绍 公司地点信息 公司新闻稿 公司年报（审计报告、资产负债表和损益报告 等） 公司各业务公共信息 江苏省安全 CA 认证网关数字证书认证 江苏省 CA 安全认证网关 SSL VPN 公司对外政策 电子认证业务规则 电子认证服务管理方法 中华人民共和国电子签名法 商务密码管理条例 中华人民共和国认证认可条例 驱动集合包软件使用协议 秘密信息公司计算机信息安全规定 计算机信息安全管理规范 /*/* 信息安全保密管理规 定 江苏 CA·版权所有 Copyright © 2009 3 3 计算机信息安全技术规范 计算机信息安全操作规定 其它计算机信息安全相关规章制度 计算机信息系统操作和维护资料 用户操作手册 技术支持资料 管理员操作手册 安装软件和安装配置手册 硬件和软件资产清单 计算机信息系统供应商服务协议（SLA1） 系统补丁软件和相关安装资料 操作培训资料 相关参考资料 相关操作和维护记录 数据库数据结构资料 其他 内部通知 内部发行的各种文件 内部网站上供内部员工下载的各类资料 内部会议记录 内部普通工作电子邮件 机密信息客户信息 内部员工的个人隐私 个人履历 个人档案 学历背景 个人财政情况 个人电子邮件 计算机信息系统相关 /*/* 信息安全保密管理规 定 江苏 CA·版权所有 Copyright © 2009 4 4 一般用户和操作员帐号和口令 业务应用程序开发相关技术资料 计算机信息系统安全审计数据和相关报告 计算机信息系统初始备份（不包括任何业务和 办公数据） 计算机信息系统设计和实施资料 网络拓扑图（LAYER2 和 LAYER3） 网络布线图 系统流程图 系统设计方案（包括系统升级） 系统实施方案（包括系统升级） 系统安装配置细则（软件、硬件和网络等） 系统测试方案和测试报告 内部运营信息 财务数据 内部运营审计报告 内部人事资料 客户相关资料 市场营销相关资料 其他 公司文件或通知 上级部门所发的各种文件 绝密信息计算机信息系统相关 所有系统管理员帐号和口令 所有计算机信息安全员帐号和口令 业务数据库管理员帐号和口令 行内加密设备的密钥以及有关管理员帐号和口 令 业务和办公系统和数据库的数据备份 业务数据 /*/* 信息安全保密管理规 定 江苏 CA·版权所有 Copyright © 2009 5 5 对私业务数据（包括个人用户帐号信息） 对公业务数据（包括企业用户帐号信息） 内部业务的决策、计划、调研、统计等相关资 料 行内商业秘密 其它 国家保密局规定的国家机密信息 有关国家金融机密数据 5.35.3 计算机信息分类标识管理计算机信息分类标识管理 对不同安全类别的计算机信息进行明确的标识，有助于内部相关人员依照公司有关计 算机信息安全规章制度进行具体操作和处理，从而最大限度地降低了由于人为的误操 作所带来的安全隐患的概率。 5.3.1 分类标识的原则 a.所有计算机信息安全分类标识必须正确反应该计算机信息的安全防护级别，技术中 心对公司计算机信息安全分类有最终决定权。 b.计算机信息安全分类标识务必详尽，而且其内容和格式在行内必须统一。 c.对所有的计算机信息安全分类标识，必须由专人作定期更新维护（每 1 年一次） 。 d.一般采用标签方式对计算机信息进行安全分类标识，但是对以电子格式的数据和文 档则可以采用有关电子方式进行安全分类标识，例如强制性的“安全声明” （BANNER） 、 安全警告提示窗口、加入安全分类信息到电子文档的属性中等。 5.3.2 分类标识的内容 计算机信息安全分类标识必须包括并不仅限于下列信息： a.简单描述或内部编号 b.创建日期和最后修改日期 c.版本控制信息 d.安全类别和相关操作处理规章制度的“链接” e.专管人员或专管部门 /*/* 信息安全保密管理规 定 江苏 CA·版权所有 Copyright © 2009 6 6 5.45.4 计算机信息分类的安全管理计算机信息分类的安全管理 5.4.1 公开信息 操作类别安全管理规定 向第三方公开 硬件和软件维护 系统集成 公共信息可以向第三方人员或公司公开，并允许对外 进行发布，但是要注明公共信息的来源出处。 口头传递 会议 电话录音 手机 电话 公开谈话 没有特殊安全规定。 通过电子通讯手段传递 互联网服务 电子邮件 传真 内部网络 手机短信息 在发送传真时，应当有传真封面，并注明发件人（部 门） 、收件人（部门）等信息。 复制拷贝 复印 电子拷贝 数据备份 没有特殊安全规定。 存储 电子邮件 没有特殊安全规定。 /*/* 信息安全保密管理规 定 江苏 CA·版权所有 Copyright © 2009 7 7 电子文档 打印文档 作废处理 非写存储介质 可写存储介质 纸张 硬件设备 存有公共信息的磁盘可以不经过格式化或覆盖操作， 并可以直接使用。 纸张可以直接再利用。 5.4.2 秘密信息 操作类别安全管理规定 向第三方公开 硬件和软件维护 系统集成 有关项目负责人员需要向公司技术中心总监，提出申 请，经批准后方可执行，并且必须事先和第三方签订 “保密协议” 。 口头传递 会议 电话录音 手机 电话 公开谈话 只限于在公司内部发布。 所有公司员工，未经相关授权，禁止以任何口头方式 向非公司人员或非相关人员透露内部计算机信息。 通过电子通讯手段传递 互联网服务 电子邮件 传真 只限于在公司内部进行。 所有公司员工，未经相关授权，禁止以任何电子手段 向非公司人员或非相关人员透露内部计算机信息。 所有电子通讯系统必须设有身份验证（用户身份验证 /*/* 信息安全保密管理规 定 江苏 CA·版权所有 Copyright © 2009 8 8 内部网络 手机短信息 或设备身份验证）和审计机制。 复制拷贝 复印 电子拷贝 数据备份 经由相关部门主管同意后，可以对内部信息进行复制 拷贝，但是必须遵循“谁复制，谁负责”的原则，防 止在复制过程中产生安全隐患。 数据备份必须存放在指定的地点，并由专人负责安全 存放。 存储 电子邮件 电子文档 打印文档 必须对信息进行标识，注明信息的密级是内部信息。 应当存放在规定的地点或网络驱动器，以便统一管理。 内部员工应对本人拥有的内部信息拷贝妥善保管。 作废处理 非写存储介质 可写存储介质 纸张 硬件设备 纸