信息系统保密管理制度

信息系统指由计算机及其相关配套设备、设施构成的，按照一定的应用目标和规则对信息进行存储、处理、传输的系统或者网络。对于涉密信息系统保密管理，特作如下规定。

一、涉密信息系统的安全保密措施建设，应当与信息系统同步规划、同步建设、同步发展，所需经费列入系统建设预算。

二、涉密信息系统实行分级保护制度，按涉及信息的最高密级，划定为绝密级、机密级、秘密级三个保护等级。按照分级保护标准，采取相应的防范措施进行保护。

三、涉密信息系统必须符合以下基本保密要求：

1.涉密信息系统不得直接或间接与互联网相连接，涉密计算机应与非涉密计算机严格区分，专人负责，专机专用。已与涉密信息系统相联的计算机，即使其与涉密信息系统断开，该计算机不经安全处理也不得联入互联网。

2.用户访问操作权限（如授权、读、写、删除、复制、打印等）严格控制在工作需要的最小范围内。

3.存储涉密信息的数据库根据存储信息的最高密级采取相应的保护措施。

4.集中管理和控制存储介质的使用信息。

5.采取安全保密审计措施，对涉密信息的访问、存储、处理、传输等行为进行监控。

6.建立健全防范计算机病毒和黑客程序的制度和措施。

7.涉密信息系统需设专用机房，未经批准，无关人员不得进入。

四、各单位保密部门要加强对信息系统保密的重点监督检查，定期组织对涉密信息系统进行安全保密风险评估。

五、保密部门负责对政务公开的信息进行保密审查。

六、涉密信息系统的系统集成和工程监理应选择具有相应保密资质的单位承担，并在相关合同中明确保密条款。

七、涉密信息系统投入使用实行保密审批制度，由保密部门组织审查批准后，方可投入运行。

八、涉密信息系统运行管理。涉密信息系统的运行应当符合以下要求：

1.涉密信息系统的日常运行管理应由本单位负责，确需其他单位技术支持的，应选择具有相应保密资质的单位承担，并签订保密责任书。

2.应指定机构和人员负责涉密网络系统运行的统一管理。按照最小授权原则指定专门机构或人员分别负责网络管理、系统安全管理和涉密信息访问授权管理。

3.建立相应的应急处置机制。

4.软件升级、补丁升级应统一管理，软件包、补丁包应经过安全检查。

5.建立系统设计、建设、运行、维护和保密管理档案。

6.涉密信息系统必须采用国内研制开发的信息安全保密产品，并通过国家保密局的认证。涉密信息系统所用的密码技术和设备，必须符合国家有关密码管理的有关政策和规定。信息安全保密产品应指定专人进行管理。

7.携带涉密计算机外出，应经过本单位主管部门审批，并采取安全保护措施。

8.涉密计算机应定点维修，并清除涉密信息或拆除涉密存储介质。不能清除或拆除的，应采取可靠的安全保密措施。

涉密计算机的转让、报废，应当彻底清除涉密信息或拆除涉密存储介质。

九、任何单位或个人不得利用信息监控产品监控涉密信息系统中的信息。

十、涉密信息按以下规定管理：

1.涉密信息的产生单位应按照有关规定确定密件密级、接触范围及访问权限，并在存储、处理、传输、输出的各个环节，标注与涉密信息不可分离的密级标识。

2.利用公共通信网络传输国家秘密信息，必须采用国家主管部门认可的与所传输密级相一致的加密设备。

3.对接触涉密信息的单位、人员范围及访问权限实施授权管理。涉密信息应按相应密级纸质文件进行发放，规定阅读范围，控制涉密信息的复制、分发、输出。文件管理部门负责对接触办公文件的单位、人员、访问权限按逐份文件授权的原则进行管理。

十一、涉密存储介质要按以下规定管理：

1.涉密存储介质由单位统一登记编号，专人管理。不得在涉密信息系统中使用未经单位统一登记编号的存储介质。

2.涉密存储介质按照存储信息的最高密级标注密级，并按涉密载体的有关规定管理。

3.涉密存储介质不得在非涉密系统使用。

4.携带涉密存储介质外出，应当经本单位保密工作机构批准，并按有关规定采取相应的保护措施。

5.涉密存储介质不得降低密级使用。

6.销毁涉密存储介质，应按相关规定，履行审批、清点、登记、监销手续。