信息安全管理制度

研究院信息安全与保密暂行规定

第一章目的

一、 为保证内部计算机局域网络信息安全，防止计算机网络失密泄密事件发生，特制定本制度。

第二章计算机上网安全保密管理规定

一、 未经研究院领导批准，涉密计算机（包括工作电脑、私人笔记本）一律不许上互联网。如有特殊需求，必须事先提出申请报主管领导批准、并由研究院领导审核批准后方可实施，在相关工作完成后撤掉网络。

二、 国际互联网必须与涉密计算机系统实行物理隔离。

三、 在与国际互联网相连的信息设备上不得存储、处理和传输任何涉密信息。

四、 禁止涉密计算机使用公司邮箱发送邮件。

五、 使用上网机需要在信息管理员处填写“上网申请单”，结束使用需要在“上网申请单”上签字，以实现上网申请的一个闭环流程，同时释放上网机资源。

六、 利用上网机接收邮件并下载附件，处理完毕后应及时物理删除邮件及附件内容。

七、 加强对上网人员的保密意识教育，提高上网人员保密观念，增强防范意识，自觉执行保密规定。

第三章涉密存储介质保密管理规定

一、 涉密存储介质是指存储了涉密信息的硬盘、光盘、软盘、移动硬盘及U盘等。

二、 所有涉密计算机的USB端口均不可使用，由IT部专员统一封闭所有新设备USB端口。

三、 有涉密存储介质的科室需填写和保管“涉密存储介质登记表”，并将登记表的复制件报管理部登记、备案并及时报告变动情况。

四、 因工作需要向存储介质上拷贝涉密信息时，应填写“涉密存储介质使用情况登记表”，经部门领导和研究院领导审核批准，方可实施拷贝。

五、 存有涉密信息的存储介质不得接入或安装在非涉密计算机或低密级的计算机上，不得转借他人，不得带出工作区，下班后存放在本单位指定的柜中。

六、 因工作需要必须携带出工作区的，需到管理部填写“涉密存储介质外出携带登记表”，经部门领导和管理部领导批准，返回后要经管理部领导审查注销。

七、 复制涉密存储介质须经研究院领导批准，且每份介质各填一份“涉密存储介质使用情况登记表”，并赋予不同编号。

八、 涉密存储介质的维修应保证信息不被泄露，需外送维修的要经研究院领导批准，维修时要有信息管理员在场。

九、 不再使用的涉密存储介质应由使用者提出报告，经研究院领导批准，交部门领导监督，由专人负责定点销毁。

第四章计算机维修维护管理规定

一、 涉密计算机系统进行维护检修时，须保证所存储的涉密信息不被泄露，对涉密信息应采取涉密信息转存、删除、异地转移存储媒体等安全保密措施。无法采取上述措施时，涉密部门主任必须在维修现场，对维修人员、维修对象、维修内容、维修前后状况进行监督并做详细记录。

二、 设备的故障现象、故障原因、扩充情况记录在设备的维修档案记录本上。

三、 凡需外送修理的涉密设备，必须经领导批准，并将涉密信息进行不可恢复性删除处理后方可实施。

四、 指定专人负责各涉密科室计算机软件的安装和设备的维护维修工作，严禁使用者私自安装计算机软件和擅自拆卸计算机设备。

五、 涉密计算机的报废交公司IT部领导监督专人负责定点销毁。

第五章用户密码安全保密管理规定

一、 用户密码管理的范围是指所有涉密计算机所使用的密码。

二、 用户密码使用规定

（1）密码必须由数字、字符或特殊字符组成；

（2）涉密计算机设置的密码长度不能少于8个字符，密码更换周期不

得多于30天；

（3）涉密计算机需要分别设置BIOS、操作系统开机登录和屏幕保护三

个密码。

三、 密码的保存

（1）涉密计算机设置的用户密码由使用人自行保存，严禁将自用密码

转告他人；若工作需要必须转告，应请示各部门主管领导认可。

（2）涉密计算机设置的用户密码须登记造册，并将密码本存放于保密

柜内，由各部门主管领导管理。

第六章涉密计算机系统病毒防治管理规定

一、 涉密计算机必须安装经过信息管理员许可的查、杀病毒软件。

二、 每周升级和查、杀计算机病毒软件的病毒样本。确保病毒样本始终处于最新版本。

三、 绝对禁止涉密计算机在线升级防病毒软件病毒库。

四、 涉密计算机使用人每周对涉密计算机病毒进行一次查杀检查。

五、 涉密计算机应限制信息入口，如软盘、光盘、U盘、移动硬盘等的使用。

六、 对必须使用的外来介质（磁盘、光盘，U盘、移动硬盘等），必须先进行计算机病毒的查、杀处理，然后经信息管理员审核后才可使用。

七、 对于因未经许可而擅自使用外来介质导致严重后果的，要严格追究相关人员及部门领导的责任。

第七章上网发布信息保密规定

一、 上网信息的保密管理坚持“谁发布谁负责”的原则。凡向国际互联网的站点提供或发布信息，必须经过部门领导批准，报研究院领导审批。

二、 涉密人员在其它场所上国际互联网时，要提高保密意识，不得在聊天室、电子公告系统、网络新闻上发布、谈论和传播公司秘密信息。

三、 不得利用电子邮件件传递、转发或抄送公司秘密信息。所有邮件的接收和发送须由研究院相关人员审核后方可发送给相关人员。