密码安全保密管理制度(通用7篇)
1.密码安全保密管理制度 篇一
综合办公室安全、保密管理制度
一、安全防火管理规定
1、办公室内禁止吸烟。
2、妥善保管好公、私财物,外出时应锁好门窗及更衣柜。更衣柜及办公桌内严禁存放贵重物品、现金、有价证券。办公室严禁存放易燃、易爆等危险物品。
3、办公室内不准拉临时电线,不准使用电炉子,不超负荷用电。
4、保管好消防器材和设施,会使用,会报火警,会扑救初起火灾。
5、下班时关闭空调、电扇、计算机,切断室内电源,关窗锁门。
二、保密管理规定
1、认真学习、贯彻执行《国家保密法》和有关保密工作的政策、条例、决定,遵守各项保密纪律。
2、专人负责管理机要文件、资料,并在设备完善的保险装置中保存。因工作需要查阅时,应严格按照上级要求和限定范围,经请示领导批准后,方可阅读、并及时做好登记。
3、对于签收和发出的机要文件应做好登记、分发、传递等环节记录,按要求做到件件清楚,不丢、不混。取送机要文件时,指派专人,并采取相应的保密措施,直去直回,确保文件安全。
4、不向任何人泄露公司办公会、党总支委员会研究的会议内容和文字记录,不泄露尚未公开涉及企业和项目利益的决定和决策。
5、复印机、传真机复印文件要按批准的件数进行复印、传真。不私自扩大、擅自复印、传真“机密”文件和不易对外扩散的内部资料。
6、严格手续,落实企业印章使用规定,保证企业印章使用安全。
2.密码安全保密管理制度 篇二
所谓密码,是通信双方按约定的法则进行信息特殊变换的一种重要保密手段。依照这些法则,变明文为密文,称为加密;变密文为明文,称为解密。密码在早期仅对文字或数码进行加、解密变换,随着通信技术的发展,对语音、图像、数据等都可实施加、解密变换。
1 密码在信息安全保密建设中的地位
在当前密码技术处于信息安全保密建设中的核心技术地位。密码技术在古代就已经得到应用,但仅限于外交和军事等重要领域。随着现代计算机技术的飞速发展,密码技术正在不断向更多其他领域渗透。如今,密码已发展成为集代数、数论、信息论、概率论等理论于一身,并与通信、计算机网络和微电子等技术紧密结合的一门综合性学科。量子密码、神经网络密码、混沌密码、基因密码等新型密码的研究和应用,表明了密码具有强的生命力和广阔的应用前景。
2 密码在信息安全保密建设中的作用
在当前信息安全保密建设中,密码技术不仅能够保证机密性信息的加密,而且还可以完成数字签名、身份验证、系统安全等功能。所以,使用密码技术不仅可以保证信息的机密性,而且可以保证信息的完整性和确证性,防止信息被篡改、伪造和假冒。
3 具体表现
3.1 密码是信息安全保密建设中的核心技术,不可取代
密码在信息安全工作中,具有独特的效能。随着社会的变革、其地位越来越广泛,作用起来越重要。早期的密码主要是阶级、集团内部,作为暗号、标识和特定符号使用。近代的密码主要用于军事、外交领域的保密通信。现代的密码则作为信息安全保障体系的基础,其作用无可替代。
当今时代,高新技术发展日新月异,计算机网络的建设和发展方兴未艾。电子政府、知识经济、数字化部队、信息化战争,均立足于计算机网络建设之上,融合于计算机网络发展之中。世界各国特别是技术发达的国家都投入巨大的人力、物力和财力,致力于解决信息安全这一战略性课题题。
而要解决计算机网络的安全保密问题,必须建立信息安全保障体系(即PDRR模型),这个体系由保护、检测、反应和恢复四大部分构成。其中,信息安全保护是信息安全保障体系的核心和基础。信息安全保护要在构建安全体系结构的前提下,制定安全技术规范,实现安全服务,建立安全机制,以维持网络安全可靠的运行,并满足用户的合理需求和保证信息的安全。信息安全服务依靠安全机制来完成,而安全机制主要依赖于密码技术。所以,密码技术是计算机网络信息体系的支撑,这已成为信息安全专家的共识。
3.2 密码是信息安全保密建设中的重要角色,肩负着神圣使命
由于密码技术在信息安全保障体系中,扮演着非常重要的“角色”,所以它已遍及、渗透、服务于信息安全系统的各个领域,其社会使命十分神圣。保障密码安全性具体措施主要有:
3.2.1 传输加密
网络攻击—对信息流的威胁主要表现在:中断、截取、修改、假冒这四个方面。其中传输过程中的信息最易被截收,传输加密就是使用密码对信息实施加密保护,以防止暴露信息内容和出现泄密隐患,使信息加密后的传输过程中,即使被敌方和恶意攻击者截收,的得到的也是密文信息,使其无法读懂和得知真实的明文信息。现在网络还存在许多不安全因素。在发送电子邮件或进行文件传输时,或许有很多人在别处密切监视着,特别是对一些著名的大公司。怎样实现安全传输呢?公钥基础结构就是应用最广的一种安全技术。
在公钥基础结构中,最关键的就是公/私钥密钥对的获取,其实就是证书的发证机构,不同的机构颁发的证书公信效力不一样,也就决定了有不同的主要应用领域。如利用自己的Windows系统颁发的密钥证书,主要应用于企业内部网络用户之间。因为它的证书颁发机构就是企业自己,对其他非本单位用户来说缺乏必要的公信力。如果这个密钥对证书是由地方,甚至是国家认可的机构颁发的,则它的公信力就广了,可以在相应地方或全国有效。在此就要介绍利用公钥基础结构中的密钥,进行文件加密和数字签名的原理。其实这也是后面将要介绍的PGP加密和数字签名原理。
在文件传输中的加密不再是利用EFS加密技术,而是纯粹地使用PKI公/私钥对。首先要清楚公钥基础结构中的两个密钥在文件加密中是如何应用的。其实很简单,就是发送文件的用户(假如为A)先用接收文件方用户(假如为B)的公钥加密文件,然后发给接收方用户B。B在收到A发来的用自己公钥加密的文件后,再用自己的私钥即可打开文件(图1)。
下面以一个具体例子来讲解加密和解密,以及保护加密文件的过程。
现假设有A公司的老板名叫Alice,B公司的老板名叫Bob,现在Alice想传输一个文件files给Bob,这个文件是有关于一个合作项目标书议案,属公司机密,不能给其他人知道。而另一个竞争对手C公司的老板Andy对A和B公司有关那项合作标书非常关注,总想取得A公司的标书议案。于是他时刻监视他们的网络通信,企图通过各种各样的方法从A公司与B公司之间的邮件通信中截取他们的邮件,从中获取有关标书标的等信息。因为对于没有加密防范措施的邮件是很容易截取的,为了防止其他人在邮件通信中截取这份重要的邮件,并从中获取标书标的等重要信息,A公司与B公司老总商议采取公钥基础结构的文件加密方式传输。下面就是具体的加密邮件发送步骤。
1)首先B公司老总Bob把自己的公钥(假设为)通过网络或者电话告诉A公司老总Alice,这个过程不怕别人知道,无须加密。
2)Alice用Bob的公钥Public Key B给标书议案文件files加密。
3)Alice把已用Bob的公钥加密的文件通过邮件或者其他传输途经(如QQ、MSN等)传给B公司老总Bob。
4)Bob在收到Alice发来的带有files文件附件的邮件后,打开附件中的files文件,在提示中用自己的私钥(假设为“Private Key B”)解密即可。
或许有同志会问,在第一步中C公司的老板Andy同样可以截取Bob的公钥,且在第三步中也可以截取加密后的标书议案文件files,这样做并没有起到安全保障的作用。其实这种认识是错误的。因为Andy用户知道Bob公钥,已截取了传输files标书文件的邮件都是没有任何意义的。因为Andy虽然获取了Bob的公钥和标书议案文件files,但用Bob公钥加密后的文件只能用Bob的私钥来解开,即使使用Bob的公钥也无法自己解密。因为这里采用的是非对称密钥策略,公钥和私钥必须配对使用,这就是发明这种加密方法的绝妙之处,所以在这个传输中是安全的。
3.2.2 存储加密
存储安全这一话题已经被人们谈论多年了。自从2005年,花旗银行、Ameritrade、时代华纳和美国银行几家大型公司相继发生因存储介质遗失而造成数据泄漏的严重事件后,存储安全更从一个民众关心的热点提升到了政府立法这一更高的层次。
存储信息极易用物理方法从存储介质中取出或复制。存储加密就是使用密码对存储在不同介质上的信息进行加密保护,以防止被非法读取或拷贝而造成秘密信息的泄露。存储信息经密码覆盖后,非法者最多只能得到密文信息,真实的明文信息难以被获取。
目前已经有多家厂商致力于存储加密标准,希望让存储安全工具更容易和多种存储架构一同工作。这些厂商把大部分精力都投入在存储安全之上,并推出了多款支持存储加密功能的存储系统,包括EMC也开始通过多种安全手段来保护存储于其磁盘阵列上的数据的安全性。除了厂商不遗余力的推广数据安全的各项保护措施,还有一些标准组织也参与到这一领域。
3.2.3 访问控制
访问控制(access control)就是在身份认证的基础上,依据授权对提出的资源访问请求加以控制。访问控制是网络安全防范和保护的主要策略,它可以限制对关键资源的访问,防止非法用户的侵入或合法用户的不慎操作所造成的破坏。
访问控制的目的是确保信息资源合理使用和流动,防止非授权或以非授权方式使用资源。访问控制由一系列控制属性(如访问信息库控制、鉴别信息、权力、安全标志等)的规则来实现,根据访问者的身份和有关信息决定其访问权限。访问控制除需要身份鉴别等密码认证技术外,还需要采用密码技术对访问控制属性进行加密保护。
3.2.4 安全协议
协议就是两个或两个以上的参与者为了完成某项特定的任务而采取的一系列步骤。具有有效性、完整性、公正性等安全属性的协议称为安全协议。安全协议的安全属性体现在各协议中,协议的设计需要采用密码认证技术,而协议交互信息也需要采用密码技术予以保护。
3.2.5 数字签名
应用广泛的数字签名方法主要有三种,即:RSA签名、DSS签名和Hash签名。
完整的RSA数字签名过程如图2。
1)发送端A把明文利用单向散列函数转换成消息摘要;
2)发送者A利用自己的私钥对消息摘要进行签名;
3)发送端A把明文和签名的消息摘要通过网络传递给接收端B;
4)接收端B对明文和消息摘要分别处理,明文通过单向散列函数转换为消息摘要,签名的消息摘要被接收端B用发送端A的签名公钥还原成消息摘要;
5)把最后生成的二个消息摘要进行比较,判定数据的真实性和完整性。
数字签名是为了确保信息交互双方身份的真实性和数据完整性,防止“抵赖”,以便在法律上能认证、核准和生效。数字签字应满足不可伪造、不可否认和不可重用等要求。数字签名包括的签字和验证过程实际就是利用密码技术的过程。
3.2.6 安全管理
安全管理是依据安全策略,对安全服务、安全机制和安全规则进行管理、把管理信息分配到有关的安全设备中去,并收集与操作有关的信息。实现安全机制、安全服务和安全规则的合理配置。安全管理需要采用密码认证技术确保其有效性、真实性和完整性,管理信息(如密钥、密码算法、安全策略等)的分配也需要采用密码技术加密保护。
3.3 密码是信息安全保密建设中的安全防线,影响未来发展
密码是保证信息安全建设的支撑技术,事关国家根本利益,也直接影响着未来与发展。因此,世界各国对此都十分重视。美国为了获得信息安全领域的控制权,从1997年开始,在世界范围内征集21世纪高级加密算法AES,以代替过时的DES。欧盟各国投资33亿欧元,计划在3年时间内建立自己的分组密码、序列密码、公钥密码等算法标准。我们应高度重视密码技术的发展与应用,增大密码研究经费投入的力度,加快密码关健技术及其产品的研究与开发,构筑军事信息系统的安全保密防线,掌握军事斗争中的制信息权,这打赢高技术条件下的局部战争提供高质量的信息安全保障。
4 小结
当前信息安全保密建设中,要保证电子信息的保密性,使用密码对其加密是最有效的办法;要保证信息的完整性,使用密码技术实施数字签名、进行身份认证、对信息进行完整性校验是当前实际可行的办法;要保障信息系统和电子信息为授权者所用,利用密码进行系统登录管理、存取授权管理是有效的办法;要保证电子信息系统的可控性,也可以有效的利用密码和密钥管理来实施。
密码学还有许许多多这样的问题。当前,密码学发展面临着挑战和机遇。计算机网络通信技术的发展和信息时代的到来,给密码学提供了前所未有的发展机遇。在密码理论、密码技术、密码保障、密码管理等方面进行创造性思维,去开辟密码学发展的新纪元才是我们的追求。
参考文献
[1]赵兴利,孙新柱,汲锡林.信息安全保密系统与信息系统建设协调发展[J].信息安全与通信保密,2005(6)
[2]蔡吉人.信息安全密码学[J].信息网络安全,2003(2).
[3]罗守山,陈萍,邹永忠,刘琳.密码学与信息安全技术[M].北京:北京邮电大学出版社,2009.
[4]佚名.安全专家谈谈信息安全与密码技术[EB/OL].http://www.chinaitpower.com/A/2003-11-20/62918.html.
[5]施明全,周保太.信息安全基石[N].解放军报,2001.6.13(11版).
[6]王建川.加密算法简析[J].彭城大学学报,2003(5).
[7]徐敬东,张建忠.计算机网络[M].北京:清华大学出版社,2002:272-273.
3.单点登录实现全面的密码安全管理 篇三
首先,密码很容易被窃取,而且会受到强力的字典攻击。如果需要更强大的密码,用户就会不可避免地经常忘记,因此,就会提高企业的桌面成本。为了遵守企业规章及内部安全政策,企业用户需要使用额外更为复杂的密码完成日常的工作进程。用户必须输入用户ID和密码,通常每个都不相同,每次他们登录到同一个会话的不同的应用或者系统的时候也不相同。
很显然这样很费时间,特别是在业务环境中,时间就是金钱,而时间的浪费是因为员工必须在每次从桌面访问新系统的时候都要登录。这种繁琐的访问形式导致密码使用者采用写下难以记住的密码的方式,或使用同一个密码登录众多应用程序等风险性的行为来记住它们。因此,无论采用哪种单一密码方式,都可能为企业的网络和系统带来潜在风险。
为了消除这种繁杂的登录模式,单点登录方法开始被越来越多的企业所采用。单点登录(SSO)是一种认证方法,它要求用户只登录一次,使用一个用户ID和密码,登录多个应用、系统或Web网站。SSO通常通过单独的软件认证模式实施,而这些软件模式是作为需要登录的所有应用的网关的。这种模式可以先认证用户,然后管理对其他应用的访问。SSO的作用是作为所有需要登录的信任状得主数据存储。SSO模式的一个例子是微软的Passport,它可以允许用户注册一次,然后作为多个网站的网关,通常他们每个都要求登录。
这里,我们也找到了一个很实用的安全解决方案与大家分享——eToken单点登录(sSO)。作为一个有效且执行简便的密码管理解决方案,eToken SSO可以提高用户端及商务应用两方面的安全性,降低与a密码有关的成本并提升用户生产成效及满意度。eToken SSO将用户对应用程序的个人登录证书及所有的密码安全地存储在单个安全的eToken设备上。当用户登录任何受密码保护的网络、应用程序或网页时,只需插入eToken设备并键入一个eToken密码,eTokenSSO会自动侦测并提交用户的个人登录证书,从而实现真正的单点登录。与其它单点登录技术相比,eToken单点登录具有以下优势:
安全、便携式证书存储。用户所有的密码及证书能够安全地板载存储在单个基于智能卡的令牌上,实现增强的安全性、完全的便携性以及联机和脱机模式的流畅运行。
全面管理支持。eToken SSO完全支持eToken令牌管理系统(TMS)。提供证书自动备份与恢复以及eToken独特的处理出差员工丢失或遗忘令牌情况的解决方案,允许用户在没有令牌的情况下保持生产成效。
执行简便。eToken SSO是基于令牌的解决方案,因此不需要后端集成,实现极为简单快速的部署。
可扩展解决方案。eToken SSO能够实现简单及成本高效的扩展解决方案,包括安全网络及VPN登录、磁盘加密、数字签名以及更多采用其他eToken家族产品实现的解决方案。
4.信息安全保密管理制度 篇四
为加强XX公司信息安全及保密管理,维护公司利益,根据国家有关法律、法规,结合我公司实际情况,制定本规定。
1、新员工到岗需开通软件帐号及权限指定由所在部门主管提报,分管副总批准后,交信息部给予开通。
2、各部门主要负责人、一把手是本部门信息安全的第一责任人,监督本部门工作中所用到的办公电脑及软件的帐号密码的安全,做到管理到位、责任到人。
3、公司员工不允许将公司“软件用户信息和密码”告知他人。如若违反该规定,给公司造成重大经济损失,公司将追究其相应的法律责任和经济责任。并立即解除劳动合同。
4、各部门人员如需要开通现有权限以外的授权,需先写书面申请提报部门负责人审批,并上报分管副总签字后至信息开通权限。
5、各部门如有人员离职,人事部需告知信息部将此人员的帐号冻结(帐号冻结后在系统内将无法正常使用),为保证当月财务、仓库及信息部的单据追溯及核算同时确保信息的数据准确、完整及安全,此帐号将在次月月底注销。
6、各部门对于对外发布的数据库信息,需要严格控制录入、查询和修改的权限,并且对相应的技术操作进行记录。一旦发生问题,可以有据可查,分清责任。
7、对于安全性较高的信息,需要严格管理。无论是纸张形式还是电子形式,均要落实到责任人。严禁将工作中的数据文档带离办公室。
8、除服务器的自己RAID备份外,信息部还要每周对数据进行二次备份,备份的资料必须有延续性。
9、如涉及到服务器托管的操作模式时,对于ISP的资格和机房状况,信息部要实地考察。确认其机房的各项安全措施已达到国家规定的各项安全标准;确认ISP供应商的合法性。
10、与主机托管的ISP供应商签订正式合同。分清各自的权利和责任,为信息安全保密提供一个可靠的外部环境。
11、公司在年初支出预算中,需要将用于“信息安全保密”的软件费用、硬件费用、技术人员培训费用考虑在内,做到专款专用。
12、信息部(技术保障部)应当保障公司的计算机及其相关的配套设备、设施的安全,保障信息的安全,保障计算机功能的正常发挥,以维护计算机信息系统的安全性。信息部应该根据实际情况,即时发现安全隐患,即时提出解决方案,即时处理解决问题。
13、对上级主管部门(如统计局、物价局等相关部门)提报数据时,需要对所要提报的数据内容进行严格把关;以防止不必要的数据外泄。
14、将“信息安全保密”管理作为公司一项常抓不懈的工作。充分认识其重要性和必要性。公司主要领导要定期监督和检查该项工作的开展情况。
15、计算机信息系统的建设和应用,应严格遵守国家各项网络安全管理规定。包括:《中华人民共和国计算机信息网络国际联网管理暂行规定》、《中华人民共和国计算机信息系统安全保护条例》、《计算机信息网络国际联网安全保护管理办法》、《中华人民共和国计算机信息网络国际联网管理暂行规定实施办法》、《关于加强计算机信息系统国际联网备案管理的通告》。
16、公司任何人不得使用公司设备和资源从事危害国家安全、泄漏国家机密,不得侵犯国家的、社会的、集体的利益和公民的合法权益,不得从事违法犯罪活动。
17、在公司日常业务开展中,凡是涉及到国防建设、尖端科技技术等重要领域的信息,应当主动回避。绝对不允许在任何媒体上,以任何形式公开。
18、如果一旦出现“信息安全保密”问题,即时通过合理合法的渠道向主管机关和公安机关报告。并为此提供一切便利条件。
5.信息安全保密制度 篇五
第35条:信息安全保密制度管理办法
1、建立密码共设协管制度 1)、his系统服务器操作系统密码,由院长和信息科专职人员共同设置并定期更改,保证信息中心单人无法擅自进入服务器。2)、his系统数据密码,由院长和信息科专职人员共同设置并定期更改,确保信息科单人无法擅自登入his系统数据。
2、建立调用敏感数据申报制度 1)、药械科工作人员调用药品销售(科室、医技)相关报表,由药剂科主任负责确认每个工作人员具体调用范围,以书面形式提出申请,经院长审批后,交由信息中心授予相关权限。如申报批准授予权限后发生数据泄露,由药械科负责人解释及承担责任。2)、其他科室工作人员无权调用敏感数据,不得以任何理由要求信息科授予相关权限。如有发生,信息科有权拒绝授予并报告院长。3)、网络管理员不得利用职务之便为他人提供统方信息,一旦发生将严肃处理。
3、建立机房准入制度
确需进入信息机房参观的非本科室工作人员,必须经院领导批准后可入内参观,进入信息网络机房后必须听从网络管理人员的安排。
4、签订信息安全保密协议书 1)、医院同his厂家签订信息安全保密协议书,约束his厂家泄露信息。2)、同厂家工程实施人员签订信息安全保密保证书,约束实施人员不泄露信息,如有发生,由his厂家承担全部责任。3)、信息中心和his厂家双方共同对现有医生、护士工作站及药库、药房子系统进行清查,凡涉及敏感数据项,在不影响正常工作的前提下,予以屏蔽。4)、his厂家负责监督信息中心,取消信息中心授予敏感数据权限的功能,并由his厂家出具相关证明。
为保障本实施办法的有效执行及公证严明,本实施办法由院方及第三方厂家共同负责监督落实。
第36条:信息网络机房管理制度
1、信息网络机房直接由院长管理,在院长和院办室的领导下,负责制定全院信息化建设工作规划和实施方案。
2、信息网络机房是医院网络数据的储存、交换中心、非本室工作人员严禁入内。确需进入网络机房参观的非本室工作人员,必须经医院领导批准后方可入内参观,进入网络机房后必须听从网络管理员的安排。
3、网络机房设备、门窗、水电暖安全每天检查一次,并做好检查记录。
4、网络机房的卫生每天清洁一次。严禁在网络机房内吸烟。
5、网络机房工作人员不得在机房内会客,不得将易燃、易腐蚀品带入机房,不做与工作无关的事。
6、机房工作人员离开时必须检查电源、设备、严防人为事故的发生。
7、建立健全和落实医院信息化建设的各项管理规章制度,如信息网络系统操作规程、升级、维护制度、安全检查制度、信息网络系统应急制度。
8、负责医院管理信息网络的维护工作,加强医院信息系统网络和数据的安全性,确保其正常运行。
9、负责医院医疗信息的收集、传递和反馈,保证信息流通渠道的畅通。加强职工信息化知识技术培训、提高全员信息化意识和信息技术应用水平。
10、负责医院门户网站建设与管理,及时更新医院网站。及时完成医院下达的临时性工作任务。篇二:信息安全保密制度 信息安全保密制度
为加强对计算机信息网络国际联网安全保护,加强对计算机信息服务的管理,保障通过计算机网络国际联网传播信息安全,维护公共秩序和社会稳定,特制定如下规定: 第一条 公司设立网络信息安全管理小组,由公司领导和相
关技术人员、管理人员组成、负责信息内容审核,信息发布登记,网络安全技术防范与管理等工作。
第二条 网络信息安全管理小组进行信息内容审核,信息发
布登记,电子公告系统审计,违法犯罪案件保安等工作,并采取网络安全技术防范措施,保证网络的安全。
第三条 任何单位、部门和个人不得利用国际联网危害国家
安全、泄露国家秘密、不得侵犯国家的、社会的、集体的利益和公民的合法权益,不得从事违法犯罪活动。所有工作人员必须严格遵守《中华人民共和国计算机信息网络国际联网管理暂行规定》以及国家有关法律、法规。
第四条 任何单位、部门和个人不得利用国际联网制作、复 制、查阅和传播下列信息:
(一)煽动抗拒、破坏宪法和法律、行政法规实施的;
(二)煽动颠覆国家政权,推翻社会主义制度的;
(三)煽动分裂国家、破坏国家统一的;
(四)煽动民族仇恨、民族歧视,破坏民族团结的;
(五)捏造或者歪曲事实,散布谣言,扰乱社会秩序 的;
(六)宣扬封建迷信、淫秽、色情、赌博、暴力、凶 杀、恐怖、教唆犯罪的;
(七)公然侮辱他人或者捏造事实诽谤他人的;
(八)损害国家机关信誉的;
(九)其他违反宪法和法律、行政法规的。
第五条 任何单位、部门和个人不得从事下列危害计算机信 息网络安全的活动。
(一)未经允许,进入计算及信息网络或者使用计算机 网络资源的;
(二)未经允许,对计算机信息网络功能进行删除、修 改或者增加的;
(三)未经允许,对计算机信息网络中存储、处理或者 传输的数据和应用程序进行删除、修改或者增 加的;
(四)故意制作、传输计算机病毒等破坏性程序的;
(五)其他危害计算机信息网络安全的。
第六条 用户的通信自由和通信秘密受法律保护,任何单位、部门和个人不得违反法律规定,利用国际联网侵犯用的通信自由和通信秘密。
第七条 公司设立网络安全管理员,每天对网上信息惊醒检
查,发现有异常信息须立即按照有关规定处理。发现有不良信息,应立即删除并做好备份及详细记录; 第八条
第九条发现有违反犯罪现象立即按照规定处理并立即向公司领导汇报,在24小时内向公安部门报告。自觉接收公安机关的安全监督、检查和知道。如实向公安机关提供安全操作的信息、资料及数据文件,协助公安机关查处各项违法犯罪行为。入网部门办理备案手续,并送交公安机关备案。篇三:信息安全保密管理制度 信息安全保密管理制度
为保守秘密,防止泄密问题的发生,根据《中华人民共和国保守国家秘密法》和国家保密局《计算机信息系统保密管理暂行规定》、国家保密局《计算机信息系统国际联网保密管理规定》,结合本单位实际,制定本制度。
一、计算机网络信息安全保密管理规定
(1)为防止病毒造成严重后果,对外来光盘、软件要严格管理,坚决不允许外来光盘、软件在公安专网计算机上使用。
(2)接入公安专网的计算机严禁将计算机设定为网络共享,严禁将机内文件设定为网络共享文件。
(3)为防止黑客攻击和网络病毒的侵袭,接入公安专网的计算机一律安装杀毒软件,并要定时对杀毒软件进行升级。
(4)禁止将保密文件存放在网络硬盘上。
(5)禁止将涉密办公计算机擅自联接国际互联网。(6)保密级别在秘密以下的材料可通过电子信箱传递和报送,严禁保密级别在秘密以上的材料通过警综平台传递和报送。
(7)涉密计算机严禁直接或间接连接国际互联网和其他公共信息网络,必须实行物理隔离。(8)要坚持“谁上网,谁负责”的原则,各部门要有一名领导负责此项工作,信息上网必须经过所领导严格审查,并经主管领导批准。
(9)国际互联网必须与涉密计算机系统实行物理隔离。
(10)在与国际互联网相连的信息设备上不得存储、处理和传输任何涉密信息。
(11)应加强对上网人员的保密意识教育,提高上网人员保密观念,增强防范意识,自觉执行保密规定。
(12)涉密人员在其它场所上国际互联网时,要提高保密意识,不得在聊天室、电子公告系统、网络新闻上发布、谈论和传播国家秘密信息。使用电子函件进行网上信息交流,应当遵守国家保密规定,不得利用电子函件传递、转发或抄送国家秘密信息。(13)严禁互联网计算机接入公安专网。(14)严禁公安业务计算机接入互联网。
二、涉密存储介质保密管理规定
(1)涉密存储介质是指存储了涉密信息的硬盘、光盘、软盘、移动硬盘及u盘等。(2)存有涉密信息的存储介质不得接入或安装在非涉密计算机或低密级的计算机上,不得转借他人,存放在本单位指定的密码柜中。(3)需归档的涉密存储介质,因及时归档。
(4)各部门负责管理其使用的各类涉密存储介质,应当根据有关规定确定密级及保密期限,并视同纸制文件,按相应密级的文件进行分密级管理,严格借阅、使用、保管及销毁制度。借阅、复制、传递和清退等必须严格履行手续,不能降低密级使用。
(5)涉密存储介质的维修应保证信息不被泄露,由各涉密部门负责人负责。需外送维修的,要经领导批准,到国家保密主管部门指定的维修点维修,并有保密人员在场。(6)不再使用的涉密存储介质应由使用者提出报告,由所领导批准后,交保密办公室负责销毁。
三、计算机维修维护管理规定
(1)涉密计算机和存储介质发生故障时,应当向所信息中心提出维修申请,经批准后到指定维修地点修理,一般应当由本局内部维修人员实施,须由外部人员到现场维修时,整个过程应当由有关人员全程旁站陪同,禁止外来维修人员读取和复制被维修设备中的涉密信息,维修后应当进行保密检查。
(2)凡需外送修理的涉密设备,必须经保密小组和主管领导批准,并将涉密信息进行不可恢复性删除处理后方可实施。
(3)高密级设备调换到低密级单位使用,要进行降密处理,并做好相应的设备转移和降密记录。(4)由局保密委员会指定专人负责办公室计算机软件的安装和设备的维护维修工作,严禁使用者私自安装计算机软件和擅自拆卸计算机设备。
四、用户密码安全保密管理规定
(1)用户密码管理的范围是指办公室所有涉密计算机所使用的密码。(2)机密级涉密计算机的密码管理由涉密科室负责人负责,秘密级涉密计算机的密码管理由使用人负责。(3)密码必须由数字、字符和特殊字符组成,秘密级计算机设置的密码长度不能少于8个字符,机密级计算机设置的密码长度不得少于10个字符,密码更换周期不得超过60天。(4)秘密级计算机设置的用户密码由使用人自行保存,严禁将自用密码转告他人;若工作需要必须转告,应请示所保密委员会负责人认可。
五、涉密电子文件保密管理规定
(1)涉密电子文件是指在计算机系统中生成、存储、处理的机密、秘密和内部的文件、图纸、程序、数据、声像资料等。
(2)电子文件必须定期、完整、真实、准确地存储到不可更改的介质上,并集中保存,然后从计算机上彻底删除。
6.安全保密制度试用 篇六
第一条 为保护公司秘密、维护公司利益,根据国家有关法律及结合公司实际,制定本制度。
第二条 本规定是规范公司安全保密行为、安全保密工作的依据和行为准则。
第三条 公司秘密是关系公司权力和利益,依照程序只允许特定时空范围的人员知悉的事项,包括但不限于技术秘密、财务、人事和其他商业机密。技术秘密是指能为公司带来经济利益、具有实用性的技术信息、设计方案等,包括但不限于:技术文档、体系文件、操作规程、知识产权等等。财务秘密包括但不限于公司经营的财务、资产及相关统计数字。人事秘密主要是与公司人力资源现状、招聘计划员工隐私、劳资状况等相关的信息。包括但不限于:人事档案、合同、协议、职员工资性收入、招聘计划等。日常秘密主要包括不限于:日常文件文档、资料等。商业秘密包括但不限于:客户名单、定价政策、财务资料、客户资料、市场推广计划,等等。
第四条 公司所有职员、外派人员都有保守公司秘密的义务。接触到公司秘密的高级管理人员,如:管理人员、技术人员、财务人员、秘 书等负有特别的保秘责任。第二节 保密范围和密级确定
第五条 公司秘密包括本制度第三条规定的及下列秘密事项:(一)公司重大决策中的秘密事项;
(二)公司尚未付诸实施的经营战略、方向、规划及决策等;(三)公司内部掌握的合同、协议、意见书及可行性报告;(四)公司财务预决算报告及各类财务报表、统计报表;(五)公司职员人事档案,工资性、劳务性收入及资料;
(六)公司科研专有技术、专利、知识产权、工程设计、等等;(七)其他经公司确定应当保密的事项。
第七条 公司秘密的密级分为“绝密”、“机密”、“秘密”三级。
绝密是最重要的公司秘密,泄露会使公司权益和利益遭受特别严重损害;机密是重要的公司秘密,泄露会使公司权益和利益遭受到严 重损害;秘密是一般的公司秘密,泄露会使公司权力和利益遭受损害。
第八条
秘级的确定:
(一)公司经营发展中,直接影响公司权益和利益的重要决策文件、技术资料、技术专利等为绝密级;(二)公司的规划、财务报表、统计资料、重要会议记录、公司经
营情况为机密级;(三)公司人事档案、合同、协议、职员工资性收入、尚未进入市3 场或尚未公开的各类信息为秘密级。
第九条
秘密级别由归口管理部室依据第七条确定,并确定保密
期限:分永久、长期、短期,一般与密级相对应,特殊情况外标明。
保密期限届满,自行解密。
第十条
发现已经或者可能泄露秘密时,应立即采取补救措施并
报告主管部室或公司领导;主管部室或领导接到报告,应及时处理。
第十一条 本制度规定的泄密是指下列行为之一:(一)使秘密被不应知悉者知悉的;(二)使秘密超出接触限定范围,不能证明未被不应知悉者知悉的。
第二章 日常保密管理规定
第十二条 日常保密包括但不限于文印文档、资料、人事及其他 保密事项等。办公室为日常保密工作归口管理部室。
办公室主要保密职责:
(一)根据法律及上级公司规定,结合公司实际制定安全保密管理 规定,并监督实施;(二)负责组织宣传安全保密管理规定、制度,组织培训学习公司 有关保密安全条例;(三)制定并落实人事、档案保密管理措施;
(四)配合其他部室完成技术、财务、商业等保密的管理、监督和检查工作;(五)严格机要、文印人员、招聘选拔;4(六)对安全保密突发事件应急处理,日常安全保密工作的监督;协助公司领导完成保密工作检查、奖惩及与之相关的活动等;
(七)承办上级领导交办的其他保密事项。
第十三条 日常保密工作,各部室、各岗位应做到:(一)领导干部、部室负责人、专业组长:增强保密意识、以身作则,模范遵守保密规定,落实保密责任。做到:不泄露知悉的公司秘密;不在无保密保障的场所阅办秘密文件、资料;不在家属、亲友、熟人和其他无关人员面前谈论公司秘密事项;不携带秘密文件、资料 参加社交活动;不在出访、考察等外事活动中携带秘密文件、资料;阅办完秘密文件及时清退、归档;审校、签发文件及稿件时,要把好定密关;下级发生泄密问题后,及时上报、设法补救,不掩盖包庇。
(二)员工应做到:不该说的秘密不说;不该问的秘密不问;不该看的秘密不看;不该记录的秘密不记录;不在非保密本上记录秘密;不在公共场所和家属、子女、亲友面前谈论公司秘密事项;不在不利于保密的地方存放秘密文件、资料;不携带秘密材料游览、参观、探 亲、访友和出入公共场所;不在私人交往中泄露公司秘密。
日常保密措施:
第十四条 健全收发文制度,各部室要有专人负责文件、设计图纸、技术档案等机密文件的管理和清退工作,发现秘级文件资料丢失、被窃、泄密时,须立即报告,及时追查、力挽损失。
第十五条 档案管理按照质量管理体系文件中有关规定执行。
第十六条 送阅、传阅文件应做到:
(一)呈送领导人的文件,应进行登记,领导人批示后,应退还办公室,不应把批文直接交承办部室;
(二)传阅文件采取直传方式,文秘人员应逐件登记送阅文人,阅后退回,要清点份数,阅文人之间不得横向传阅;
(三)传阅的文件,不许随意抽取。
第十七条
有秘密内容的会议或活动,主办部门应采取措施:
(一)选择具备保密条件的会议场所,严禁使用无线话筒传达密件或向室外扩音;(二)根据需要,限定参会人员的范围,指定参会人员;(三)依照规定使用会议设备和管理会议文件;
(四)规定不准记录的会议内容,不得记录,不携带录音机进入会场录音;不以任何形式对外泄露会议秘密内容,会议结束后,要对会议场所进行保密检查;严禁滥印、复印会议秘密文
件资料,确需要复制的须经批准。
第十八条 文印岗人员应该做到:
(一)凡带密文件、合约书及其他需用印章的文件,没有领导签字不私自用印、复印。复印的秘密文件:需经批准后才能复印;严格控制份数,复印件要按原件一样管理;
(二)严格保管承印的秘密文稿、资料及有秘密内容的磁盘、录音笔等;对会议记录和有关文件、资料严加保管,及时立卷归档;
(三)严格遵守保密纪律,打印、复印涉密文稿的内容不得传播,不得让无关人员阅看,不私自多印留存;
(四)打印的密件废页、图纸废页、蜡纸应及时处理,不让无关人员阅看;发现密件丢失或下落不明,要立即报告,并抓紧查找,采取补救措施。定期检查、清理、清退、销毁文件;严防将秘密文件、资料和文件底稿随同旧报纸等出售。
第十九条 对于密级文件、资料设计图纸、方案、技术标准和其他物品,须采取保密措施:(一)非经批准,不得复制和摘抄;收发、传递和外出携带,由指 定人员担任,并采取必要的安全措施;
(二)在设备完善的保险装置中保存;
(三)如有与质量管理体系中规定相左之处,以后者为准。
第二十条
如有必要公司应与相关人员签订《保密合同》。
第三章
商业保密管理规定
第二十一条
商业保密包括但不限于:客户信息、采购资料、定 价政策、财务资料、进货渠道、投标信息、经营策略等。
第二十二条 经营部为商业保密的归口主管部门,办公室及其他 部门配合经营部完成商业保密管理。
经营部主要保密职责:
(一)制定商业保密管理有关规范、制度,并组织实施、监督;(二)组织宣传、培训商业管理规定;
(三)负责本部门保密管理工作,监督其他部门管理工作;(四)负责商业泄密事件的应急、调查、处理、处罚工作;
第二十三条 涉及公司商业秘密的合作、代理、交易合同或协议7 依据情况设置相关“保密条款”,限制对方行为。
第二十四条 经营部有关人员不可将商业秘密透露给任何第三 方或用于合同目的以外的用途,离职、辞职时,要及时交出相关资料,同时不得泄露公司经营秘密;不可在对外接受访问或者与任何第三方 交流时泄露秘密内容。
第四章
财务保密管理规定
第二十五条
财务保密工作包括但不限于资产、财务统计数字及 工资及其他报表的保密。
第二十六条
财务部为财务保密的归口主管部门,经营部、办公 室及其他部门配合财务部落实财务保密工作。财务部主要保密职责:
(一)根据法律及上级单位规定,结合实际制定财务保密规范;(二)组织本部门员工学习并执行财务保密制度的有关规定;
(三)负责组织宣传保密、安全管理规定、规范,组织培训学习公司有关保密安全规定;(四)负责本部门保密管理工作,监督其他部门管理工作;(五)负责财务泄密事件的应急、调查、处理、处罚工作;
第五章
技术专利、知识产权保护 及信息保密管理规定
第二十七条
技术专利、知识产权是重要无形资产,保护本单位 的技术、信息秘密是每位职工的义务和责任,任何人不得利用职权和 工作之便或采取不法手段泄漏、出售、转让本单位的技术秘密第二十八条
技术质量部牵头对技术保密工作负总责,为技术专 利、知识产权保护和信息保密工作归口管理部门,其他部室密切配合。技术专家委员会、总工程师配合技术质量部,做好技术专利、知识产 权保护,监督、检查工作。
技术质量部保密职责
(一)制订技术、科研研发、技术专利保密、知识产权保护工作 规划、计划,制定信息安全保密管理规定,负责划定技术密级等工作,并组织实施;
(二)研究解决技术保密、知识产权及专利保护中的重要问题;
(三)对各部室技术保密工作开展情况进行督促检查和总结评比,并负责对泄密、失密事件的调查和处理,对重大特大泄密事件上报及 协同调查工作;
(四)组织职工学习技术保密的制度、上级保密规定,提高广大职 工的保密意识;(五)负责技术安全、知识产权(专利)侵权事件的查处和处罚。
第二十九条
对列入为本单位重大科技计划项目的计划任务书 或者有关合同课题组成员名单的科技人员,在科研任务尚未结束前要 求调离、辞职,并可能泄漏上技术秘密,损害本单位利益的,原则上 不予批准。确需调离、辞职的,须签保密协议。
第三十条 承担保密义务的设计、研究人员依法享有因从事技术 开发活动而获取相应报酬和奖励的权利。
第三十一条 本单位对外发布(表)新闻、通讯和报告作品,及文章时,不得涉及技术秘密的实质性内容,其稿件必须经技术保密主
管部门审查,在确认不会造成泄密后,签字认可方可发表。
第三十二条
外单位人员、外商等来本单位培训、学习、参观、考察、洽谈生意等活动涉及技术秘密的,须报总经理批准,接待参访的部门要有专人负责保密工作,并指定参观考察路线和范围。第三十三条
对外合作项目,凡涉及技术秘密的,对合作方和外来单位应签订保密协议或在合同中增加保密条款。
第三十四条
技术质量部要健全各项信息保密管理制度,强化机房计算机的应用管理。凡秘密数据的传输和存贮均应采取相应的保密措施,录有文件的软盘信息要妥善保管,严防丢失。(一)保障公司计算机及其相关的配套设备、设施的安全,保障信息的安全,保障计算机功能的正常发挥,维护计算机信息系统的安全性。应及时发现安全隐患,及时提出解决方案,及时处理解决问题;
(二)新用户登记时,应认真核实其身份,并详细记录用户的相关信息。员工不允许将公司 “用户信息和网络密码”告知非本公司人员。员工离开本公司,技术质量部应注销该员工的所有用户信息;
(三)对于安全性较高的信息,需要严格管理。无论是纸张形式还
是电子形式,均要落实到责任人。严禁将工作中的数据文档带离。(四)oa系统要发布的数据内容要严格把关;技术质量部要将审
核后的内容准确、安全、即时地上传至托管服务器。
(五)加强计算机系统的保密安全管理。对涉密与非保密计算机予以明确区分,涉密机必须完全与局域网脱离连接,并禁止上因特网以防泄密。并采取身份认证、存储传输加密、配置防视频泄密干扰器等 措施加强保密防范。
第三十五条
属于公司秘密的文件、资料和其它物品的制作、收 发、传递、使用、复制、摘抄、保存和销毁,由办公室或主管领导委 托专人执行;采用电脑技术存取、处理、传递的公司秘密由技术质量 部门负责保密。
第三十六条
设计室内、文印室、cad计算机房内,禁止无关人 员逗留、参观,严禁会客。第三十七条
知识产权、技术专利保护按照《江苏中核华为知识 产权、专利保护管理细则》执行,详见附件。
第四章 安全管理制度
第三十八条
要害部位安全管理要求:(一)根据“谁主管、谁负责”原则,各部室一把手对本部、室要 害部位管理负全面责任;(二)重要合同文本、设计图纸、招投标方案、贵重物品、现金、票证落实专人负责,责任人要认真做好保管、使用、防火、防盗、防 潮、防爆、防鼠及保密工作,对要害部位认真按安全保卫保密要求落 实人防、物防、技防措施,防范于未然;
(三)建立要害部位管理呈报制度,要害部位管理责任追究制度,并建立要害部位处置突发事件预案;
(四)按规范要求对要害部位做好避雷、防爆措施及安全用电。结合业务工作中涉及国家秘密的各个环节,制定严格的保密防范措施,11 并组织实施。
第五章
罚则
和
奖则
第三十九条
公司对在安全保密工作中做出突出成绩的个人和
部室给予奖励。
第四十条
对未按本《规定》进行管理或管理不善造成秘密泄漏
的,除对直接责任者按规定给予相应处理外,还将追究所属部室主要
负责人的责任,并对直接责任者和所属部室给予相应的经济处罚。
第四十一条
对无视本《规定》
,以谋取个人或小集团利益为目、蓄意泄漏秘密的,造成重大损失和严重后果的,将依《中华人民共和 国刑法》追究法律责任。篇二:公司安全保密制度(绝对原始)xx公司保密管理暂行规定
(试 行)
第一章 总 则
第一条 为保护公司有形、无形资产安全,加强安全保密工作,根据国家法律、建设公司条例及中核建集团《集团公司保密管理暂行规定》,结合公司实际,制定关于信息、专利、知识产权保护的《江苏中核华纬工程设计研究有限公司保密管理暂行规定》(以下简称《规定》)。
第二条 本规定是安全保密、知识产权及专利保护工作的依据和准则。各部室要把安全保密工作列入工作规划,使安全工作落到实处。
第三条 公司秘密是关系公司权力和利益,依照程序只允许特定时空范围的人员知悉的事项,包括但不限于技术专利、财务、人事和其他商业机密。技术秘密是指能为公司带来经济利益、具有实用性的技术信息、设计方案等,包括但不限于:技术信息、工程设计、科研专利、知识产权等等。财务秘密包括但不限于公司经营的财务、资产及相关统计数字。人事秘密主要是与公司人力资源现状、招聘计划、员工隐私、劳资状况等相关的信息。包括但不限于:人事档案、合同、协议、职员工资性收入、招聘计划等。日常秘密主要包括不限于:日常文件文档、资料等。商业秘密包括但不限于:客户名单、定价政策、财务资料、进货渠道,等等。
第四条 公司所有职员、外派人员都有保守公司秘密的义务。接
触到公司秘密的高级员工,如:管理人员、技术人员、财务人员、秘书等负有特别的保秘责任。
第五条 保密工作实行安全、便利可行、积极预防的工作方针。保密范围和密级确定:
第六条 公司秘密包括本制度第三条规定的及下列秘密事项:(一)公司重大决策中的秘密事项;
(二)公司尚未付诸实施的经营战略、方向、规划及决策等;(三)公司内部掌握的合同、协议、意见书及可行性报告;(四)公司财务预决算报告及各类财务报表、统计报表;(五)公司职员人事档案,工资性、劳务性收入及资料;
(六)公司科研专有技术、专利、知识产权、工程设计、等等;(七)其他经公司确定应当保密的事项。
第七条 公司秘密的密级分为“绝密”、“机密”、“秘密”三级。绝密是最重要的公司秘密,泄露会使公司权益和利益遭受特别严重损害;机密是重要的公司秘密,泄露会使公司权益和利益遭受到严重损害;秘密是一般的公司秘密,泄露会使公司权力和利益遭受损害。
第八条 秘级的确定:
(一)公司经营发展中,直接影响公司权益和利益的重要决策文件、技术资料、技术专利等为绝密级;(二)公司的规划、财务报表、统计资料、重要会议记录、公司经营情况为机密级;(三)公司人事档案、合同、协议、职员工资性收入、尚未进入市
场或尚未公开的各类信息为秘密级。
第九条 秘密级别由归口管理部室依据第七条确定,并确定保密期限:分永久、长期、短期,一般与密级相对应,特殊情况外标明。保密期限届满,自行解密。
第十条 发现已经或者可能泄露秘密时,应立即采取补救措施并报告主管部室或公司领导;主管部室或领导接到报告,应及时处理。
第十一条 本制度规定的泄密是指下列行为之一:(一)使秘密被不应知悉者知悉的;(二)使秘密超出接触限定范围,而不能证明未被不应知悉者知悉的。
第二章 日常保密管理规定
第十二条 日常保密包括但不限于文印文档、资料、人事及其他保密事项等。办公室为日常保密工作归口管理部室。
办公室主要保密职责:
(一)根据法律及上级公司规定,结合公司实际制定安全保密管理规定,并监督实施;(二)负责组织宣传安全保密管理规定、制度,组织培训学习公司有关保密安全条例;(三)制定并落实人事、档案保密管理措施;
(四)配合其他部室完成技术、财务、商业等保密的管理、监督和检查工作;(五)严格机要、文印人员、招聘选拔;
(六)对安全保密突发事件应急处理,日常安全保密工作的监督;协助公司领导完成保密工作检查、奖惩及与之相关的活动等;
(七)承办上级领导交办的其他保密事项。
第十三条 日常保密工作,各部室、各岗位应做到:(一)领导干部、部室负责人、专业组长:增强保密意识、以身作则,模范遵守保密规定,落实保密责任。做到:不泄露知悉的公司秘密;不在无保密保障的场所阅办秘密文件、资料;不在家属、亲友、熟人和其他无关人员面前谈论公司秘密事项;不携带秘密文件、资料参加社交活动;不在出访、考察等外事活动中携带秘密文件、资料;阅办完秘密文件及时清退、归档;审校、签发文件及稿件时,要把好定密关;下级发生泄密问题后,及时上报、设法补救,不掩盖包庇。
(二)员工应做到:不该说的秘密不说;不该问的秘密不问;不该看的秘密不看;不该记录的秘密不记录;不在非保密本上记录秘密;不在公共场所和家属、子女、亲友面前谈论公司秘密事项;不在不利于保密的地方存放秘密文件、资料;不携带秘密材料游览、参观、探亲、访友和出入公共场所;不在私人交往中泄露公司秘密。
日常保密措施:
第十四条 健全收发文制度,各部室要有专人负责文件、设计图纸、技术档案等机密文件的管理和清退工作,发现秘级文件资料丢失、被窃、泄密时,须立即报告,及时追查、力挽损失。
第十五条 档案管理按照质量管理体系文件中有关规定执行。第十六条 送阅、传阅文件应做到:
(一)呈送领导人的文件,应进行登记,领导人批示后,应退还办公室,不应把批文直接交承办部室;
(二)传阅文件采取直传方式,文秘人员应逐件登记送阅文人,阅后退回,要清点份数,阅文人之间不得横向传阅;
(三)传阅的文件,不许随意抽取。
第十七条 有秘密内容的会议或活动,主办部门应采取措施:
(一)选择具备保密条件的会议场所,严禁使用无线话筒传达密件或向室外扩音;(二)根据需要,限定参会人员的范围,指定参会人员;(三)依照规定使用会议设备和管理会议文件;
(四)规定不准记录的会议内容,不得记录,不携带录音机进入会场录音;不以任何形式对外泄露会议秘密内容,会议结束后,要对会议场所进行保密检查;严禁滥印、复印会议秘密文件资料,确需要复制的须经批准。
第十八条 文印岗人员应该做到:
(一)凡带密文件、合约书及其他需用印章的文件,没有领导签字不私自用印、复印。复印的秘密文件:需经批准后才能复印;严格控制份数,复印件要按原件一样管理;
(二)严格保管承印的秘密文稿、资料及有秘密内容的磁盘、录音笔等;对会议记录和有关文件、资料严加保管,及时立卷归档;
(三)严格遵守保密纪律,打印、复印涉密文稿的内容不得传播,不得让无关人员阅看,不私自多印留存;篇三:信息安全保密管理制度
信息安全保密管理制度
为保守秘密,防止泄密问题的发生,根据《中华人民共和国保守国家秘密法》和国家保密局《计算机信息系统保密管理暂行规定》、国家保密局《计算机信息系统国际联网保密管理规定》,结合本单位实际,制定本制度。
一、计算机网络信息安全保密管理规定
(1)为防止病毒造成严重后果,对外来光盘、软件要严格管理,坚决不允许外来光盘、软件在公安专网计算机上使用。
(2)接入公安专网的计算机严禁将计算机设定为网络共享,严禁将机内文件设定为网络共享文件。
(3)为防止黑客攻击和网络病毒的侵袭,接入公安专网的计算机一律安装杀毒软件,并要定时对杀毒软件进行升级。
(4)禁止将保密文件存放在网络硬盘上。
(5)禁止将涉密办公计算机擅自联接国际互联网。
(6)保密级别在秘密以下的材料可通过电子信箱传递和报送,严禁保密级别在秘密以上的材料通过警综平台传递和报送。
(7)涉密计算机严禁直接或间接连接国际互联网和其他公共信息网络,必须实行物理隔离。(8)要坚持“谁上网,谁负责”的原则,各部门要有一名领导负责此项工作,信息上网必须经过所领导严格审查,并经主管领导批准。
(9)国际互联网必须与涉密计算机系统实行物理隔离。
(10)在与国际互联网相连的信息设备上不得存储、处理和传输任何涉密信息。
(11)应加强对上网人员的保密意识教育,提高上网人员保密观念,增强防范意识,自觉执行保密规定。
(12)涉密人员在其它场所上国际互联网时,要提高保密意识,不得在聊天室、电子公告系统、网络新闻上发布、谈论和传播国家秘密信息。使用电子函件进行网上信息交流,应当遵守国家保密规定,不得利用电子函件传递、转发或抄送国家秘密信息。
(13)严禁互联网计算机接入公安专网。
(14)严禁公安业务计算机接入互联网。
二、涉密存储介质保密管理规定
(1)涉密存储介质是指存储了涉密信息的硬盘、光盘、软盘、移动硬盘及u盘等。(2)存有涉密信息的存储介质不得接入或安装在非涉密计算机或低密级的计算机上,不得转借他人,存放在本单位指定的密码柜中。(3)需归档的涉密存储介质,因及时归档。
(4)各部门负责管理其使用的各类涉密存储介质,应当根据有关规定确定密级及保密期限,并视同纸制文件,按相应密级的文件进行分密级管理,严格借阅、使用、保管及销毁制度。借阅、复制、传递和清退等必须严格履行手续,不能降低密级使用。(5)涉密存储介质的维修应保证信息不被泄露,由各涉密部门负责人负责。需外送维修的,要经领导批准,到国家保密主管部门指定的维修点维修,并有保密人员在场。(6)不再使用的涉密存储介质应由使用者提出报告,由所领导批准后,交保密办公室负责销毁。
三、计算机维修维护管理规定
(1)涉密计算机和存储介质发生故障时,应当向所信息中心提出维修申请,经批准后到指定维修地点修理,一般应当由本局内部维修人员实施,须由外部人员到现场维修时,整个过程应当由有关人员全程旁站陪同,禁止外来维修人员读取和复制被维修设备中的涉密信息,维修后应当进行保密检查。
(2)凡需外送修理的涉密设备,必须经保密小组和主管领导批准,并将涉密信息进行不可恢复性删除处理后方可实施。
(3)高密级设备调换到低密级单位使用,要进行降密处理,并做好相应的设备转移和降密记录。
(4)由局保密委员会指定专人负责办公室计算机软件的安装和设备的维护维修工作,严禁使用者私自安装计算机软件和擅自拆卸计算机设备。
四、用户密码安全保密管理规定
(1)用户密码管理的范围是指办公室所有涉密计算机所使用的密码。(2)机密级涉密计算机的密码管理由涉密科室负责人负责,秘密级涉密计算机的密码管理由使用人负责。
(3)密码必须由数字、字符和特殊字符组成,秘密级计算机设置的密码长度不能少于8个字符,机密级计算机设置的密码长度不得少于10个字符,密码更换周期不得超过60天。(4)秘密级计算机设置的用户密码由使用人自行保存,严禁将自用密码转告他人;若工作需要必须转告,应请示所保密委员会负责人认可。
五、涉密电子文件保密管理规定
(1)涉密电子文件是指在计算机系统中生成、存储、处理的机密、秘密和内部的文件、图纸、程序、数据、声像资料等。
(2)电子文件必须定期、完整、真实、准确地存储到不可更改的介质上,并集中保存,然后从计算机上彻底删除。
7.密码安全保密管理制度 篇七
(1)机密性(Confidentiality)或保密性(Privacy),保证只有授权主体才能理解所保护的数据。
(2)认证性(Authentication),保证主体身份或数据源是真实的。
(3)完整性,保证传输或存储的数据未曾被未授权主体篡改。
(4)接入控制,保证只有授权主体可以接入受保护的资源。
(5)不可否认性(Nonrepudiation),保证主体不能否认他对数据曾采取的动作(例如制作、发送、接收等)。
除了以上几个常见的安全业务外,还有一些特殊需求的安全业务,如:
(1)匿名性(Anonymity),保证主体的身份不被泄露。
(2)新鲜性(Freshness),保证数据不是过去记录的重放。
(3)公证(Notarization),所有参与方所信赖第3方可对争议进行仲裁。
(4)不可追踪性(untraceability),保证主体的身份或者位置不被跟踪。□
密码体制
密码体制是实施密码变换的基本方式,从原理上可分为两大类,即单钥体制和双钥体制。单钥体制又称为传统密码体制或对称密码体制,双钥体制又称为公钥密码体制或非对称密码体制。
单钥体制的加密密钥和解密密钥相同。系统的保密性主要取决于密钥的安全性,必须通过安全可靠的途径(如信使递送)将密钥送至收端。如何产生满足保密要求的密钥是这类体制设计和实现的主要课题。单钥体制对明文消息加密有两种方式:一是明文消息按字符(如二元数字)逐位地加密,称之为流密码;另一种是将明文消息分组(含有多个字符),逐组地进行加密,称之为分组密码。
双钥体制是由Diffie和Hellman在1976年引入的。采用双钥体制的每个用户都有一对选定的密钥:一个是可以公开的,另一个则是秘密的。公开的密钥可以像电话号码一样进行注册公布。双钥密码体制的主要特点是将加密和解密能力分开,因而可以实现多个用户加密的消息只能由一个用户解读,或只能由一个用户加密消息而使多个用户可以解读。前者可用于公共网络中实现保密通信,而后者可用于认证系统中对消息进行数字签字。双钥体制特别适用于多用户通信网,它大大减少了多用户之间通信所需的密钥量,便于密钥管理。这一体制的出现是密码学研究中的一项重大突破,它是现代密码学诞生的标志之一。□
密码算法
密码算法是精心设计的程序、一系列规则或步骤,用于产生加、解密用的密钥流或实现明、密文变换。
密码算法可分为两大类,即基于数学的密码算法和基于非数学的密码算法。当前实用的算法大多是前者。后者有基于物理的算法,如量子密码,当量子、DNA计算机真正实用时,它在信息安全中将起重要作用。
基于数学的密码算法可按密码体制划分为单钥密码算法和双钥密码算法。又分为流密码算法和分组密码算法。当前,流密码只有少数标准算法,如RC-4、GSM用的A5、第3代移动通信用的Kasumi算法等;分组密码算法已制定出多种标准,如DES、3DES、EDE-3DES、IDEA、RC-5、AES等。
双钥密码算法有基于大整数分解的如RSA算法、基于有限域上离散对数的如ElGamal算法、基于椭圆曲线上离散对数的ECC算法、基于计算复杂性理论中背包问题的背包密码算法、基于纠错码理论的McElice算法、基于有限自动机理论的FA算法、基于二次剩余理论的Rabin算法、基于数论中Lucas序列的LUC算法。此外还有概率加密算法、秘密分享密码算法、各种基于零知识证明的身份识别算法以及满足各种特殊要求的数字签字算法。