范本是我们写作中的好朋友,它能够引导我们合理运用各种写作技巧和手法。这里为大家推荐一些有关总结写作的优秀范本,希望能够给大家提供一些思路和参考。
个人信息安全管理制度
手机上的个人信息,包括位置信息、通讯信息、账号密码信息以及存储文件信息四大类。其中,通讯信息包括通讯录、通话记录、短信等;手机内存储文件信息包括机主的照片、录音、视频等文件。此外,手机的一些硬件信息,比如imei号(手机串号)、无线网卡的mac地址、硬件配置信息也都属于个人信息的范畴。
盗取用户通讯录、短信、照片是“侵犯手机个人信息安全”。此外,目前一些应用软件暗中搜集用户的位置信息(比如常去的商场、日常的路线),手机上网记录(浏览的网页、购物偏好)等信息,看似不起眼,其实通过这些信息进行用户习惯分析的数据具有商业价值,也都可能成为被侵犯的目标。这种侵犯行为较隐蔽,不易被发觉。
据了解,目前侵犯手机个人信息的主要方式,除了通过线下购买手机用户信息、通过诈骗电话(短信)套取个人信息等之外,主要是通过手机木马与恶意软件直接窃取,后者正在成为不法分子获取手机个人信息的重要方式。
减少手机信息泄密的途径。
手机用户一般应从正规、可靠网站下载手机软件,避免到论坛下载来历不明的软件。安装软件时注意观察软件权限,出现敏感权限要特别警惕。可以在手机上安装安全软件,例如手机360软件、梆梆手机防盗软件。可将个人照片、视频等隐私数据加密保存。开启安全软件中的手机防盗功能,方便找回手机,或者在无法找回时发送指令远程取回数据并销毁数据。在使用中随时留意手机运行状况,及时处理异常行为。
不随意连接公共场所免费wifi,央视曾曝光了在一些公共场所,有一些不法分子通过免费wifi来吸引顾客链接,然后通过一些病毒文件来窃取客户手机里面的各种密码,以此来获得不法收入。
曾有报道,有种恶意android应用程序tokengenerator(令牌生成器),能够进行远程操控,并通过伪装成用户银行的令牌生成器窃取用户手机银行的账户信息。使用手机银行业务的朋友,可安装相应安全控制软件(例如mcafeemobilesecurity),以保护自己的账号、密码等信息。另外,使用cdma制式的手机,保密性相对较高。
延伸阅读:
规范回收旧手机:个人信息安全与环保同样重要。
据业内人士称,从回收的手机中倒卖个人隐私,可形成一个灰色利益链,如何保护用户隐私实现安全换机已成一大问题。
手机数据删除后,依旧可恢复。
家住广州的张先生告诉记者,自己家里还有4、5部闲置的旧手机,这些手机并不是坏了,只是过时了没使用而已;经拿到广州岗顶回收贩子那里询价,一部手机回收价格仅几块钱,又担心手机的去向,造成信息泄露。
记者在广州街上随机的采访了几十位市民,多数表示,知道旧手机需要处理掉,但不知该如何处理,卖给二手贩子担心信息泄露。
深圳福田的黄女士告诉记者,去年将自己的旧手机,卖给华强北的二手贩子不久后,就多次受到骚扰电话,对方对自己朋友、家人信息了解非常的全面。她称,自己在卖掉手机前,已经删除了所有信息。她怀疑二手贩子对手机进行信息恢复后贩卖给其他人。
魅族科技系统工程师刘先生向记者透露,手机中即使删除了个人数据,依旧可通过数据恢复软件获取部分信息。记者从淘宝网上了解到,目前有多家淘宝店有出售此类信息恢复软件,只要支付几块钱便得获得此类的软件。
对于该如何有效保障个人信息不被泄露,刘先生说,“用户可以将数据信息调包。将手机恢复出厂设置后,拷入一些视频类似的大文件,令手机存储空间处于饱和的状态,然后格式化一次,这样之前个人的信息就不再容易被复原了,即使是被复原也只能读取到上层的信息。建议市民将闲置的手机,交由正规回收渠道,这是最有效保障个人信息的手段。”
正规渠道处理旧手机,最大保障个人信息安全。
目前,国内包括魅族,华为,小米等多家手机企业已启动手机回收项目,目前这些官方渠道是有保障的。以魅族mcycle回收项目为例,魅族mcycle将交由第三方专业机构进行处理,涉及用户隐私部分将针对回收平台进行严格的数据监控,为每一个用户配备一份picc隐私险来保障回收的手机信息不被泄露,同时回收平台将使用国际3r标准清除手机数据,让数据不可恢复,双重保护效果,历史信息无法被拷贝复制,从根本保障个人信息安全。
旧手机放在家中真能成为累赘,但是信息安全问题确实令人为难,安全、环保回收手机的需求很大,希望更多的手机回收企业会随着行业的逐渐发展和完善,将这个产业做得更加细致,专业。
将本文的word文档下载到电脑,方便收藏和打印。
个人信息安全管理制度
1、成立了信息安全检查行动小组。由站长、书记任组长,相关科室(车间、负责人、信息技术科全体人员为组员负责对全站的重要信息系统全面排查并填记有关报表、建档留存。
2、信息安全检查小组对照网络与信息系统的实际情景进行了逐项排查、确认,并对自查结果进行了全面的核对、梳理、分析。整改,提高了对全站网络与信息安全状况的掌控。
1、组织成立了网络与信息安全检查工作小组,由站长、书记任组长,相关科室(车间、负责人、信息技术科全体人员为组员。
2、研究制定自查实施方案,根据系统所承担的业务的独立性、职责主体的独立性、网络边界的独立性、安全防护设备设施的独立性四个因素,对客票发售与预订系统、旅客服务系统、办公信息系统进行全面的梳理并综合分析。
2、8月6日前对客票发售与预订系统、旅客服务系统、办公信息系统的基本情景进行逐项排查。
1、系统安全基本情景自查。
客票发售与预订系统为实时性系统,对车站主要业务影响较高。目前拥有ibm服务器2台、cisco路由器2台、cisco交换机13台,系统均采用windows操作系统,灾备情景为系统级灾备,该系统不与互联网连接,防火墙采用永达公司永达安全管控防火墙。
旅客服务系统为实时性系统,对车站主要业务影响较高。目前拥有hp服务器13台、h3c路由5台、h3c交换机15台,系统采用linix操作系统,数据库采用sqlserver,灾备情景为数据灾备,该系统不与互联网连接,安全防护策略采用按照使用需求开放端口,重要数据均采用加密防护。
人员管理方面,指定专职信息安全员,成立信息安全管理机构和信息安全专职工作机构。重要岗位人员全部签订安全保密协议,制定了《人员离职离岗安全规定》、《外部人员访问审批表》。
资产管理方面,指定了专人进行资产管理,完善了《资产管理制度》、《设备维修维护和报废管理制度》,建立了《设备维修维护记录表》。
存储介质管理方面,完善了《存储介质管理制度》,建立了《存储介质管理记录表》。
运行维护管理方面,建立了《客服系统维护标准》、《运行维护操作记录表》,完善了《日常运行维护制度》。
三、自查发现的主要问题和面临的威胁分析。
四、改善措施。
五、整改效果。
个人信息安全管理制度
第一条为了保护电信和互联网用户的合法权益,维护网络信息安全,根据《全国人大常务委员会关于加强网络信息保护的决定》、《中华人民共和国电信条例》和《互联网信息服务管理办法》等法律、行政法规,制定本规定。
第二条在中华人民共和国境内提供电信服务和互联网信息服务过程中收集、使用用户个人信息的活动,适用本规定。
第三条工业和信息化部和各省、自治区、直辖市通信管理局(以下统称电信管理机构)依法对电信和互联网用户个人信息保护工作实施监督管理。
第四条本规定所称用户个人信息,是指电信业务经营者和互联网信息服务提供者在提供服务的过程中收集的用户姓名、出生日期、身份证件号码、住址、电话号码、账号和密码等能够单独或者与其他信息结合识别用户的信息以及用户使用服务的时间、地点等信息。
第五条电信业务经营者、互联网信息服务提供者在提供服务的过程中收集、使用用户个人信息,应当遵循合法、正当、必要的原则。
第六条电信业务经营者、互联网信息服务提供者对其在提供服务过程中收集、使用的用户个人信息的安全负责。
第七条国家鼓励电信和互联网行业开展用户个人信息保护自律工作。
第二章信息收集和使用规范。
第八条电信业务经营者、互联网信息服务提供者应当制定用户个人信息收集、使用规则,并在其经营或者服务场所、网站等予以公布。
第九条未经用户同意,电信业务经营者、互联网信息服务提供者不得收集、使用用户个人信息。
电信业务经营者、互联网信息服务提供者收集、使用用户个人信息的,应当明确告知用户收集、使用信息的目的、方式和范围,查询、更正信息的渠道以及拒绝提供信息的后果等事项。
电信业务经营者、互联网信息服务提供者不得收集其提供服务所必需以外的用户个人信息或者将信息用于提供服务之外的目的,不得以欺骗、误导或者强迫等方式或者违反法律、行政法规以及双方的约定收集、使用信息。
电信业务经营者、互联网信息服务提供者在用户终止使用电信服务或者互联网信息服务后,应当停止对用户个人信息的收集和使用,并为用户提供注销号码或者账号的服务。
法律、行政法规对本条第一款至第四款规定的情形另有规定的,从其规定。
第十条电信业务经营者、互联网信息服务提供者及其工作人员对在提供服务过程中收集、使用的用户个人信息应当严格保密,不得泄露、篡改或者毁损,不得出售或者非法向他人提供。
第十一条电信业务经营者、互联网信息服务提供者委托他人代理市场销售和技术服务等直接面向用户的服务性工作,涉及收集、使用用户个人信息的,应当对代理人的用户个人信息保护工作进行监督和管理,不得委托不符合本规定有关用户个人信息保护要求的代理人代办相关服务。
第十二条电信业务经营者、互联网信息服务提供者应当建立用户投诉处理机制,公布有效的联系方式,接受与用户个人信息保护有关的投诉,并自接到投诉之日起十五日内答复投诉人。
第三章安全保障措施。
第十三条电信业务经营者、互联网信息服务提供者应当采取以下措施防止用户个人信息泄露、毁损、篡改或者丢失:
(一)确定各部门、岗位和分支机构的用户个人信息安全管理责任;
(五)对储存用户个人信息的信息系统实行接入审查,并采取防入侵、防病毒等措施;
(六)记录对用户个人信息进行操作的人员、时间、地点、事项等信息;
(七)按照电信管理机构的规定开展通信网络安全防护工作;
(八)电信管理机构规定的其他必要措施。
第十四条电信业务经营者、互联网信息服务提供者保管的用户个人信息发生或者可能发生泄露、毁损、丢失的,应当立即采取补救措施;造成或者可能造成严重后果的,应当立即向准予其许可或者备案的电信管理机构报告,配合相关部门进行的调查处理。
电信管理机构应当对报告或者发现的可能违反本规定的行为的影响进行评估;影响特别重大的,相关省、自治区、直辖市通信管理局应当向工业和信息化部报告。电信管理机构在依据本规定作出处理决定前,可以要求电信业务经营者和互联网信息服务提供者暂停有关行为,电信业务经营者和互联网信息服务提供者应当执行。
第十五条电信业务经营者、互联网信息服务提供者应当对其工作人员进行用户个人信息保护相关知识、技能和安全责任培训。
第十六条电信业务经营者、互联网信息服务提供者应当对用户个人信息保护情况每年至少进行一次自查,记录自查情况,及时消除自查中发现的安全隐患。
第四章监督检查。
第十七条电信管理机构应当对电信业务经营者、互联网信息服务提供者保护用户个人信息的情况实施监督检查。
电信管理机构实施监督检查时,可以要求电信业务经营者、互联网信息服务提供者提供相关材料,进入其生产经营场所调查情况,电信业务经营者、互联网信息服务提供者应当予以配合。
电信管理机构实施监督检查,应当记录监督检查的情况,不得妨碍电信业务经营者、互联网信息服务提供者正常的经营或者服务活动,不得收取任何费用。
第十八条电信管理机构及其工作人员对在履行职责中知悉的用户个人信息应当予以保密,不得泄露、篡改或者毁损,不得出售或者非法向他人提供。
第十九条电信管理机构实施电信业务经营许可及经营许可证年检时,应当对用户个人信息保护情况进行审查。
第二十条电信管理机构应当将电信业务经营者、互联网信息服务提供者违反本规定的行为记入其社会信用档案并予以公布。
第二十一条鼓励电信和互联网行业协会依法制定有关用户个人信息保护的自律性管理制度,引导会员加强自律管理,提高用户个人信息保护水平。
第五章法律责任。
第二十二条电信业务经营者、互联网信息服务提供者违反本规定第八条、第十二条规定的,由电信管理机构依据职权责令限期改正,予以警告,可以并处一万元以下的罚款。
第二十三条电信业务经营者、互联网信息服务提供者违反本规定第九条至第十一条、第十三条至第十六条、第十七条第二款规定的,由电信管理机构依据职权责令限期改正,予以警告,可以并处一万元以上三万元以下的罚款,向社会公告;构成犯罪的,依法追究刑事责任。
第二十四条电信管理机构工作人员在对用户个人信息保护工作实施监督管理的过程中玩忽职守、滥用职权、徇私舞弊的,依法给予处理;构成犯罪的,依法追究刑事责任。
个人信息安全管理制度
(1)调整分享功能,如腾讯qq空间与微信朋友圈等。
(2)更换手机号时要改变所绑定的银行卡,社交软件、购物软件等相关信息。
(3)不要使用山寨手机,不从非法渠道下载软件,不要越狱手机。
(4)不使用wifi共享软件,少蹭网。
(5)区分重要账户和非重要账户,设置不同密码,尽量用邮箱注册账号。
(6)警惕微信测试等网络调查,玩游戏测试等程序。
(7)警惕电话推销、网络推销,谨慎向外界透漏个人信息。
5结语。
大数据环境下的个人信息安全问题制约了信息技术的发展,为此研究和提升个人信息安全保护能力,对于保证大数据环境下数据应用的可靠性具有非常积极的现实意义。通过提出了匿名技术、水印技术、数据溯源保护和个人信息日常防护措施等内容,能够较好地从技术层面对个人信息安全进行保护,但是在个人信息安全保护方面还需要计算机安全系统、数据库安全系统、防火墙等多方面技术的结合,并建立数据保护的预警系统,全范围的保护个人信息安全,促进网络环境健康发展。
参考文献。
[1]ok数据泄露事件:社交媒体与公私边界[j].传媒,,(7).
[3]杨挺,薛质,施勇.基于k-匿名的隐私保护关键技术研究[j].信息技术,2016,(12):6-9.
个人信息安全管理制度
第一条 为加强邮政行业寄递服务用户个人信息安全管理,保护用户合法权益,维护邮政通信与信息安全,促进邮政行业健康发展,根据《中华人民共和国邮政法》、《全国人大会关于加强网络信息保护的规定》、《邮政行业安全监督管理办法》等法律、行政法规和有关规定,制定本规定。
第二条 在中华人民共和国境内经营和使用寄递服务涉及用户个人信息安全的活动以及相关监督管理工作,适用本规定。
第三条 本规定所称寄递服务用户个人信息(以下简称寄递用户信息),是指用户在使用寄递服务过程中的个人信息,包括寄(收)件人的姓名、地址、身份证件号码、电话号码、单位名称,以及寄递详情单号、时间、物品明细等内容。
第四条 寄递用户信息安全监督管理坚持安全第一、预防为主、综合治理的方针,保障用户个人信息安全。
第五条 国务院邮政管理部门负责全国邮政行业寄递用户信息安全监督管理工作。
省、自治区、直辖市邮政管理机构负责本行政区域内的邮政行业寄递用户信息安全监督管理工作。
按照国务院规定设立的省级以下邮政管理机构负责本辖区的邮政行业寄递用户信息安全监督管理工作。
国务院邮政管理部门和省、自治区、直辖市邮政管理机构以及省级以下邮政管理机构,统称为邮政管理部门。
第六条 邮政管理部门应当与有关部门相互配合,健全寄递用户信息安全保障机制,维护寄递用户信息安全。
第七条 邮政企业、快递企业及其从业人员应当遵守国家有关信息安全管理的规定及本规定,防止寄递用户信息泄露、丢失。
第二章一般规定
第八条 邮政企业、快递企业应当建立健全寄递用户信息安全保障制度和措施,明确企业内部各部门、岗位的安全责任,加强寄递用户信息安全管理和安全责任考核。
第九条 以加盟方式经营快递业务企业应当在加盟协议中订立寄递用户信息安全保障条款,明确被加盟人与加盟人的安全责任。加盟人发生信息安全事故时,被加盟人应当依法承担相应安全管理责任。
第十条 邮政企业、快递企业应当与其从业人员签订寄递用户信息保密协议,明确保密义务和违约责任。
第十一条 邮政企业、快递企业应当组织从业人员进行寄递用户信息安全保护相关知识、技能培训,加强职业道德教育,不断提高从业人员的法制观念和责任意识。
第十二条 邮政企业、快递企业应当建立寄递用户信息安全投诉处理机制,公布有效联系方式,接受并及时处理有关投诉。
第十三条 邮政企业、快递企业受网络购物、电视购物和邮购等经营者委托提供寄递服务的,在与委托方签订协议时,应当订立寄递用户信息安全保障条款,明确信息使用范围和方式、信息交换安全保护措施、信息泄露责任划分等内容。
第十四条 邮政企业、快递企业委托第三方录入寄递用户信息的,应当确认其具有信息安全保障能力,并订立信息安全保障条款,明确责任划分。第三方发生信息安全事故导致寄递用户信息泄露、丢失的,邮政企业、快递企业应当依法承担相应责任。
第十五条 未经法律明确授权或者用户书面同意,邮政企业、快递企业及其从业人员不得将其掌握的寄递用户信息提供给任何单位或者个人。
第十六条 公安机关、国-家-安-全机关或者检察机关的工作人员依照法律规定程序调阅、检查寄递详情单实物及电子信息档案,邮政企业、快递企业应当配合,并对有关情况予以保密。
第十七条 邮政企业、快递企业应当建立寄递用户信息安全应急处置机制。对于突发的寄递用户信息安全事故,应当立即采取补救措施,按照规定报告邮政管理部门,并配合邮政管理部门和相关部门的调查处理工作,不得迟报、漏报、谎报、瞒报。
第三章寄递详情单实物信息安全管理
第十八条 邮政企业、快递企业应当加强寄递详情单管理,对空白寄递详情单发放情况进行登记,对号段进行全程跟踪,形成跟踪记录。
第十九条 邮政企业、快递企业应当加强营业场所、处理场所管理,严禁无关人员进出邮件(快件)处理、存放场地,严禁无关人员接触、翻阅邮件(快件),防止寄递详情单实物信息(以下简称实物信息)在处理过程中泄露。
第二十条 邮政企业、快递企业应当优化寄递处理流程,减少接触实物信息的处理环节和操作人员。
第二十一条 邮政企业、快递企业应当采用有效技术手段,防止实物信息在寄递过程中泄露。
第二十二条 邮政企业、快递企业应当配备符合国家标准的安全监控设备,安排具有专门技术和技能的人员,对收寄、分拣、运输、投递等环节的实物信息处理进行安全监控。
第二十三条 邮政企业、快递企业应当建立健全寄递详情单实物档案管理制度,实行集中封闭管理,确定集中存放地,及时回收寄递详情单妥善保管。设立、变更集中存放地,应当及时报告所在地邮政管理部门。
第二十四条 邮政企业、快递企业应当对寄递详情单实物档案集中存放地设专人管理,采取必要的安全防护措施,确保存储安全。
第二十五条 邮政企业、快递企业应当建立并严格执行寄递详情单实物档案查询管理制度。内部人员因工作需要查阅档案时,应当确保档案完整无损,并做好查阅登记,不得私自携带离开存放地。
第二十六条 寄递详情单实物档案应当按照国家相关标准规定的期限保存。保存期满后,由企业进行集中销毁,做好销毁记录,严禁丢弃或者贩卖。
第二十七条 邮政企业、快递企业应当对实物信息安全保障情况进行定期自查,记录自查情况,及时消除自查中发现的信息安全隐患。
第四章寄递详情单电子信息安全管理
第二十八条 邮政企业、快递企业应当按照国家规定,加强寄递服务用户信息相关信息系统和网络设施的安全管理。
第二十九条 邮政企业、快递企业信息系统的网络架构应当符合国-家-信-息安全管理规定,合理划分安全区域,实现各安全区域之间有效隔离,并具有防范、监控和阻断来自内部和外部网络攻击破坏的能力。
第三十条 邮政企业、快递企业应当配备必要的防病毒软件、硬件,确保信息系统和网络具有防范计算机病毒的能力,防止恶意代码破坏信息系统和网络,避免信息泄露或者被篡改。
第三十一条 邮政企业、快递企业构建信息系统和网络,应当避免使用信息系统和网络供应商提供的默认密码、安全参数,并对通过开放公共网络传输的寄递用户信息采取加密措施,严格审查并监控对信息系统、网络设备的远程访问。
第三十二条 邮政企业、快递企业在采购计算机软件、硬件产品或者技术服务时,应当与供应商签订保密协议,明确其安全责任,以及在发生信息安全事件时配合邮政管理部门和相关部门调查的义务。
第三十三条 邮政企业、快递企业应当建立信息系统安全内部审计制度,定期开展内部审计,对发现的问题及时整改。
第三十四条 邮政企业、快递企业应当加强信息系统及网络的权限管理,基于权限最小化和权限分离原则,向从业人员分配满足工作需要的最小操作权限和可访问的最小信息范围。
邮政企业、快递企业应当加强对信息系统和数据库的管理,使网络管理人员仅具有进行信息系统、数据库、网络运行维护和优化的权限。网络管理人员的维护操作须经安全管-理-员授权,并受到安全审计员的监控和审计。
第三十五条 邮政企业、快递企业应当加强信息系统密码管理,使用高安全级别密码策略,定期更换密码,禁止将密码透露给无关人员。
第三十六条 邮政企业、快递企业应当加强寄递用户电子信息的存储安全管理,包括:
(一)使用独立物理区域存储寄递用户信息,禁止非授权人员进出该区域;
(二)采用加密方式存储寄递用户信息;
(三)确保安全使用、保管和处置存有寄递用户信息的计算机、移动设备和移动存储介质。明确管理数据存储设备、介质的负责人,建立设备、介质使用和借用登记制度,限制设备输出接口的使用。存储设备和介质报废的,应当及时删除其中的寄递用户信息数据,并销毁硬件。
第三十七条 邮政企业、快递企业应当加强寄递用户信息的应用安全管理,对所有批量导出、复制、销毁用户个人信息的操作进行审查,并采取防泄密措施,同时记录进行操作的人员、时间、地点和事项,留作信息安全审计依据。
第三十八条 邮政企业、快递企业应当加强对离岗人员的信息安全审计,及时删除或者禁用离岗人员系统账户。
第三十九条 邮政企业、快递企业应当制定本企业与市场相关主体的信息系统安全互联技术规则,对存储寄递服务信息的信息系统实行接入审查,定期进行安全风险评估。
第五章监督管理
第四十条 邮政管理部门依法履行下列职责:
(一)制定保障寄递用户信息安全的政策、制度和相关标准,并监督实施;
(三)对寄递用户信息安全进行监测、预警和应急管理;
(四)监督、指导邮政企业、快递企业开展寄递用户信息安全宣传教育和培训;
(五)依法对邮政企业、快递企业实施寄递用户信息安全监督检查;
(七)法律、行政法规和规章规定的其他职责。
第四十一条 邮政管理部门应当加强邮政行业寄递用户信息安全管理制度和知识的宣传,强化邮政企业、快递企业及其从业人员的信息安全管理意识,提高用户对个人信息安全保护的认识。
第四十二条 邮政管理部门应当加强邮政行业寄递用户信息安全运行的监测预警,建立信息管理体系,收集、分析与信息安全有关的各类信息。
下级邮政管理部门应当及时向上一级邮政管理部门报告邮政行业寄递用户信息安全情况,并根据需要通报工业和信息化、通信管理、公安、国-家-安-全、商务和工商行政管理等相关部门。
第四十三条 邮政管理部门应当对邮政企业、快递企业建立和执行寄递用户信息安全管理制度,规范从业人员信息安全保护行为,防范信息安全风险等情况进行检查。
第四十四条 邮政管理部门发现邮政企业、快递企业存在违反寄递用户信息安全管理规定,妨害或者可能妨害寄递用户信息安全的,应当依法进行调查处理。违法行为涉及其他部门管理职权的,邮政管理部门应当会同有关部门对涉案邮政企业、快递企业进行调查处理。
第四十五条 邮政管理部门应当加强对邮政企业、快递企业及其从业人员遵守本规定情况的监督检查。
第四十六条 邮政企业、快递企业拒不配合寄递用户信息安全监督检查的,依照《中华人民共和国邮政法》第七十七条的规定予以处罚。
第四十七条 邮政企业、快递企业及其从业人员因泄露寄递用户信息对用户造成损失的,应当依法予以赔偿。
第四十八条 邮政企业、快递企业及其从业人员违法提供寄递用户信息,尚未构成犯罪的,依照《中华人民共和国邮政法》第七十六条的规定予以处罚。构成犯罪的,移送司法机关追究刑事责任。
第四十九条 任何单位和个人有权向邮政管理部门举报违反本规定的行为。邮政管理部门接到举报后,应当依法及时处理。
第五十条 邮政管理部门可以在行业内通报邮政企业、快递企业违反寄递用户信息安全管理规定行为、信息安全事件,以及对有关责任人员进行处理的情况。必要时可以向社会公布上述信息,但涉及国家秘密、商业秘密和个人隐私的除外。
第五十一条 邮政管理部门及其工作人员对在履行职责过程中知悉的寄递用户信息应当保密,不得泄露、篡改或者损毁,不得出售或者非法向他人提供。
第五十二条 邮政管理部门工作人员在寄递用户信息安全监督管理工作中滥用职权、玩忽职守、徇私舞弊,依照《邮政行业安全监督管理办法》第五十五条的规定予以处理。
第六章附则
第五十三条 本规定自发布之日起施行。
第一条为了保护电信和互联网用户的合法权益,维护网络信息安全,根据《全国人民代表大会常务委员会关于加强网络信息保护的决定》、《中华人民共和国电信条例》和《互联网信息服务管理办法》等法律、行政法规,制定本规定。
第二条在中华人民共和国境内提供电信服务和互联网信息服务过程中收集、使用用户个人信息的活动,适用本规定。
第三条工业和信息化部和各省、自治区、直辖市通信管理局(以下统称电信管理机构)依法对电信和互联网用户个人信息保护工作实施监督管理。
第四条本规定所称用户个人信息,是指电信业务经营者和互联网信息服务提供者在提供服务的.过程中收集的用户姓名、出生日期、身份证件号码、住址、电话号码、账号和密码等能够单独或者与其他信息结合识别用户的信息以及用户使用服务的时间、地点等信息。
第五条电信业务经营者、互联网信息服务提供者在提供服务的过程中收集、使用用户个人信息,应当遵循合法、正当、必要的原则。
第六条电信业务经营者、互联网信息服务提供者对其在提供服务过程中收集、使用的用户个人信息的安全负责。
第七条国家鼓励电信和互联网行业开展用户个人信息保护自律工作。
第二章信息收集和使用规范
第八条电信业务经营者、互联网信息服务提供者应当制定用户个人信息收集、使用规则,并在其经营或者服务场所、网站等予以公布。
第九条未经用户同意,电信业务经营者、互联网信息服务提供者不得收集、使用用户个人信息。
电信业务经营者、互联网信息服务提供者收集、使用用户个人信息的,应当明确告知用户收集、使用信息的目的、方式和范围,查询、更正信息的渠道以及拒绝提供信息的后果等事项。
电信业务经营者、互联网信息服务提供者不得收集其提供服务所必需以外的用户个人信息或者将信息用于提供服务之外的目的,不得以欺骗、误导或者强迫等方式或者违反法律、行政法规以及双方的约定收集、使用信息。
电信业务经营者、互联网信息服务提供者在用户终止使用电信服务或者互联网信息服务后,应当停止对用户个人信息的收集和使用,并为用户提供注销号码或者账号的服务。
法律、行政法规对本条第一款至第四款规定的情形另有规定的,从其规定。
第十条电信业务经营者、互联网信息服务提供者及其工作人员对在提供服务过程中收集、使用的用户个人信息应当严格保密,不得泄露、篡改或者毁损,不得出售或者非法向他人提供。
第十一条电信业务经营者、互联网信息服务提供者委托他人代理市场销售和技术服务等直接面向用户的服务性工作,涉及收集、使用用户个人信息的,应当对代理人的用户个人信息保护工作进行监督和管理,不得委托不符合本规定有关用户个人信息保护要求的代理人代办相关服务。
第十二条电信业务经营者、互联网信息服务提供者应当建立用户投诉处理机制,公布有效的联系方式,接受与用户个人信息保护有关的投诉,并自接到投诉之日起十五日内答复投诉人。
第三章安全保障措施
第十三条电信业务经营者、互联网信息服务提供者应当采取以下措施防止用户个人信息泄露、毁损、篡改或者丢失:
(一)确定各部门、岗位和分支机构的用户个人信息安全管理责任;
(二)建立用户个人信息收集、使用及其相关活动的工作流程和安全管理制度;
(五)对储存用户个人信息的信息系统实行接入审查,并采取防入侵、防病毒等措施;
(六)记录对用户个人信息进行操作的人员、时间、地点、事项等信息;
(七)按照电信管理机构的规定开展通信网络安全防护工作;
(八)电信管理机构规定的其他必要措施。
第十四条电信业务经营者、互联网信息服务提供者保管的用户个人信息发生或者可能发生泄露、毁损、丢失的,应当立即采取补救措施;造成或者可能造成严重后果的,应当立即向准予其许可或者备案的电信管理机构报告,配合相关部门进行的调查处理。
电信管理机构应当对报告或者发现的可能违反本规定的行为的影响进行评估;影响特别重大的,相关省、自治区、直辖市通信管理局应当向工业和信息化部报告。电信管理机构在依据本规定作出处理决定前,可以要求电信业务经营者和互联网信息服务提供者暂停有关行为,电信业务经营者和互联网信息服务提供者应当执行。
第十五条电信业务经营者、互联网信息服务提供者应当对其工作人员进行用户个人信息保护相关知识、技能和安全责任培训。
第十六条电信业务经营者、互联网信息服务提供者应当对用户个人信息保护情况每年至少进行一次自查,记录自查情况,及时消除自查中发现的安全隐患。
第四章监督检查
第十七条电信管理机构应当对电信业务经营者、互联网信息服务提供者保护用户个人信息的情况实施监督检查。
电信管理机构实施监督检查时,可以要求电信业务经营者、互联网信息服务提供者提供相关材料,进入其生产经营场所调查情况,电信业务经营者、互联网信息服务提供者应当予以配合。
电信管理机构实施监督检查,应当记录监督检查的情况,不得妨碍电信业务经营者、互联网信息服务提供者正常的经营或者服务活动,不得收取任何费用。
第十八条电信管理机构及其工作人员对在履行职责中知悉的用户个人信息应当予以保密,不得泄露、篡改或者毁损,不得出售或者非法向他人提供。
第十九条电信管理机构实施电信业务经营许可及经营许可证年检时,应当对用户个人信息保护情况进行审查。
第二十条电信管理机构应当将电信业务经营者、互联网信息服务提供者违反本规定的行为记入其社会信用档案并予以公布。
第二十一条鼓励电信和互联网行业协会依法制定有关用户个人信息保护的自律性管理制度,引导会员加强自律管理,提高用户个人信息保护水平。
第五章法律责任
第二十二条电信业务经营者、互联网信息服务提供者违反本规定第八条、第十二条规定的,由电信管理机构依据职权责令限期改正,予以警告,可以并处一万元以下的罚款。
第二十三条电信业务经营者、互联网信息服务提供者违反本规定第九条至第十一条、第十三条至第十六条、第十七条第二款规定的,由电信管理机构依据职权责令限期改正,予以警告,可以并处一万元以上三万元以下的罚款,向社会公告;构成犯罪的,依法追究刑事责任。
第二十四条电信管理机构工作人员在对用户个人信息保护工作实施监督管理的过程中玩忽职守、滥用职权、徇私舞弊的,依法给予处理;构成犯罪的,依法追究刑事责任。
个人信息安全管理制度
根据公开信息,至今,已有11.27亿用户隐私信息被泄露。包括基本信息、设备信息、账户信息、隐私信息、社会关系信息和网络行为信息等。人为倒卖信息、手机泄露、pc电脑感染、网站漏洞是目前个人信息泄露的四大途径。
中国消费者协会发布的《消费者个人信息网络安全报告》中显示,约有2/3的受访者在个人信息被泄露,其中“个人基本信息”是被泄露与窃取最多的。此外,超过1/3的受访者在个人信息受到侵害后选择保持沉默。
防患于未然,自我保护是保护自己个人信息安全重要手段。
首先,当我们遇到一些必须输入个人信息才能登录的网址或完成操作时,我们输人的个人数据必须限于最小的范围,并且,妥善保管自己的口令、帐号密码,并不时修改。
其次,谨慎注意该网站是否有针对个人数据保护的声明和措施,对那些可以匿名登录的网站要坚决匿名登录。
最后,对于移动存储设备,因其传染病毒的可能性加大,因此,要选择相对比较保险的移动存储设备。
除了以上这些方法,平时在需要留下自己的个人信息时一定要谨慎甄别,不让自己变成“透明人”。
个人信息安全管理制度
根据铁路局《关于在全球范围内开展网络和信息安全检查行动的通知》。
1.成立了信息安全检查行动小组。站长、书记为组长,相关部门(车间)负责人、信息技术部全体人员为组员,负责全站重要信息系统的综合调查,填写相关报告,归档保存。
2.信息安全检查组根据网络和信息系统的实际情况逐项检查确认,并对自检结果进行全面检查、梳理和分析。整改提高了全站网络控制和信息安全。
1)组织成立了网络与信息安全检查组,由站长、书记任组长,相关部门(车间)负责人和信息技术部全体人员为检查组成员。
2)研究制定自查实施方案,根据系统承担业务独立性的四个因素,对售票订票系统、客运服务系统、办公信息系统进行全面梳理分析,责任主体的独立性、网络边界的独立性、安全防护设备设施的独立性。
3.8月6日前逐项检查售票预订系统、客运服务系统、办公信息系统的基本场景。
1)基本系统安全场景自检售票订票系统为实时系统,对车站主营业务影响较大。目前,它拥有2台ibm服务器、2台cisco路由器和13台cisco交换机。系统采用windows操作系统。灾难恢复场景是系统级灾难恢复。系统未连接到internet。防火墙采用永达公司的永达安全控制防火墙。
旅客服务系统为实时系统,对车站主营业务影响较大。目前,它拥有13台hp服务器、5条h3c路由和15台h3c交换机。系统采用linix操作系统,数据库采用sqlserver,容灾场景为数据容灾。系统未连接到internet。安全保护策略根据使用需求采用开放端口,重要数据采用加密保护。
2)在安全管理自查场景的人员管理方面,指定专职信息安全员,建立信息安全管理机构和专职信息安全工作机构。所有重要岗位人员均签订了安全保密协议,制定了人员离岗安全规定和外来人员出入审批表。
在资产管理方面,指定专人负责资产管理,完善资产管理制度、设备维修报废管理制度,建立设备维修记录表。
在存储介质管理方面,完善了存储介质管理系统,建立了存储介质管理记录表。
在运维管理方面,建立了客服系统维护标准和运维记录表,完善了日常运维制度。
三、自查发现的主要问题和威胁分析。
四、改进措施。
个人信息安全管理制度
教学目标:
情感态度价值观:正确认识身边的侵害和保护;树立自我保护的意识、勇气和信心;掌握自我保护的基本方法和一定的依法维权意识。
过程与方法:通过课堂活动,培养初步的与人合作、交往与沟通的能力;初步掌握运用所学知识技能解决实际生活中的问题的能力。
知识与能力:认识身边可能存在的侵害与受到的各种保护;知道防范侵害的必要性;了解对待不同侵害应采取不同的自我保护的方法和技巧;逐步提高自我保护的能力。
教学重难点:
重点:培养防范侵害、保护自己的意识,掌握保护自我的方法和技巧。
难点:在实践中学会有效地运用自我保护的方法和技巧,自觉提高自我保护的能力。
教学方法:先学后教法、讨论法、合作探究法、案例分析法、情境教学法。
教学流程:
一、导入新课——“图文欣赏”
生活是美好的——“生活处处有情趣”
生活又是复杂的——。
请听小故事:
“姐弟俩用他们的勇敢和智慧终将假冒警察的流氓送交公安机关。”
如果是在座的你们,是否也能很好地。
九、保护自我呢?(板书)。
二、自主学习——“阅读思考”
a、你在日常生活中看到的、听到的或经历过的身边的侵害或险情。再指出相应的侵害或险情的主要来源。
b、你觉得面对突发的事故或侵害,我们可以寻求哪些帮助?
要知道种.种侵害:
身边的保护:(板书)。
三、合作探究——“以案说法”
裙子像彩云悠悠飘到了楼下的大街上,围上来的行人拿起裙子发现了兜里的纸条立刻报了警。不到一个小时,这个小女孩得救了。
根据《中华人民共和国未成年人保护法》的规定,公安机关不久就对相关的人贩子提起公诉,这些人贩子得到了应有的法律制裁。
请根据刚才对教材的自学,从受侵害前、受侵害中、受侵害后等角度思考我们应该如何保护自己:
1.这位女中学生为什么会被人贩子拐骗到外地?这对你有什么启示?
2.女孩明白自己遇到的是坏人后,采取了什么方式使自己获救?这给你什么启示?
要懂得受侵害前:提高警惕——前提。
受侵害时:用智慧保护自己——关键。
受侵害后:用法律保护自己——重要保障(板书)。
四、演练平台——“说说写写”
1、每个人说2至3条,在平时的学习生活中我们需要提高警惕的情景:
如p93中体现的:
1身份证不轻易借人;2不轻易泄漏个人真实信息......
2、阅读教材p96中的4幅图,完成其中的问题。并列举我们周围可能存在的其他险情和应对方法。
如:1交通事故;2不慎落水......
3、在紧急情况下如果条件允许,打电话求救是比较有效的求助方式,你知道一些全国通用的报警电话吗?请写出来。
4、你已经记住了保护我们青少年的相关法律法规了吗?请大声诵读出来。
如:《未成年人保护法》;《预防未成年人犯罪法》......
五、当堂检测——“疑难解答”
(2)相对成年人,青少年更容易受到各种侵害,请说说为什么?p92。
(3)如果你遇到的是一个穷凶极恶的歹徒,你会选择忍气吞声、自认倒霉,还是以暴制暴。或是想方设法逃脱、报警、报告学校老师、告诉家人。请你作出选择,并简要说明理由。
六、拓展延伸——“动脑动手”
总结本节课所学,联系生活实际,参考教材p80中的“主题探究”制定一本《中学生自我防护手册》。要求如下:
1、每个同学都列举日常生活中的2-3种意外事故或受侵害的情形,通过查阅资料或采访他人等方法总结相应的自我防护的方法和技巧。
2、每组选出2-3条比较典型的事例和可行的应对方法。再由宣传委员等班干部负责把它编成一本实用的安全常识小手册,向全校同学推广。
个人信息安全管理制度
第一条为了规范管理公安机关收集的公民个人信息,保护公民个人信息安全,维护公民合法权益,根据《全国人大常务委员会关于加强网络信息保护的决定》等法律法规,制定本规定。
第二条本规定所称公民个人信息,是指公安机关依法履行职责收集的.,以电子数据、纸质资料等形式记载的,识别公民个人身份和涉及公民个人隐私的信息。
第三条公安机关应当按照合法、必要、准确、安全的原则收集管理使用公民个人信息,保护公民的个人隐私和合法权益。
第四条公安机关应当明确所收集的公民个人信息在传输、存储、使用、维护等环节的安全管理责任,规范工作流程和操作要求,保证信息安全。
第五条公安机关应当规范准确收集公民个人信息,发现公民个人信息不准确的,应当及时予以更正或者删除。更正或者删除不准确的公民个人信息,应当经过审批并留存操作日志。公民个人信息更正或者删除前已经进行数据交换的,更正后应当重新进行数据交换;删除后应当及时向原数据接收单位通报。
公民申请更改个人信息的,收集该信息的公安机关应当及时核查。确有错误或者确需更新的,应当按照前款规定处理;经核实无误的,应当告知申请人。
第六条公安机关应当妥善保管含有公民个人信息的记录、资料、物品,依照有关规定应当移交、销毁的及时移交、销毁,防止公民个人信息泄露。
第七条公安机关应当对公民个人信息实行分级存储管理,对不同等级的信息建立完善相应的安全管理措施。
第八条对通过视频监控和其他技术监控系统收集的公民个人信息,公安机关应当明确安全保管单位和存储期限。
第九条通过网吧上网登记、旅店住宿登记等方式向公安信息通信网传输公民个人信息,应当符合公安信息通信网边界安全管理的有关要求。
第十条因侦办案件、行政管理等执法需要,经授权可以对收集的公民个人信息进行查询、比对、统计、研判。非因执法需要并经授权,公安机关任何部门和人员不得使用公民个人信息。
第十一条公安机关应当规范公民个人信息的使用权限,确定授权主管部门,根据实际工作需要,对相关部门及其民警分类分级授予使用权限。
第十二条公安机关应当定期检查公民个人信息使用授权。部门职能调整、民警工作岗位变动或者调离公安机关的,应当及时变更或者撤销使用授权。
第十三条使用公民个人特定信息按照规定需要审批的,应当严格履行审批程序;未经批准,严禁使用。
第十四条公安民警访问存储公民个人信息的系统,应当实行身份认证、访问控制、安全审计,并留存操作日志。
第十五条公安机关通过互联网开展行政审批事项查询、车辆交通违法查询等公民个人信息的社会化应用,应当符合公安信息通信网边界安全管理的有关要求,并采取严格的技术防范措施,防止经由互联网泄露公民个人信息。
第十六条公安民警因工作需要将含有公民个人信息的记录、资料、物品带离公安机关的,应当妥善保管,防止信息泄露。发生信息泄露的,责任民警应当立即向所属公安机关报告,并采取补救措施。
第十七条公安机关向其他机关提供公民个人信息,应当符合《关于建立实名制信息快速查询协作执法机制的实施意见》等有关规定要求。
第十八条公民、法人或者其他组织向公安机关申请公民个人信息查询、核对、证明服务的,公安机关应当按照规定的对象、范围、条件、程序提供。不符合规定的,不得提供。
第十九条对向公民个人信息管理使用提供技术支持的其他单位和人员,公安机关应当严格审核,与其签署保密协议,并加强日常监督管理。
第二十条有下列行为之一的,应当责令改正;情节严重的,对直接负责的主管人员和其他直接责任人员按照有关规定予以处分:
(一)对不准确的公民个人信息不及时更正或者删除的;
(二)使用公民个人信息应当履行审批程序而未履行的;
(三)将个人数字授权证书、用户名、密码私自转借他人使用的;
(四)违规授权使用公民个人信息的;
(五)违反本规定的其他行为。
第二十一条有下列行为之一的,对责任人员按照有关规定予以处分;构成犯罪的,依法追究刑事责任:
(一)编造虚假公民个人信息的;
(二)篡改、毁损公民个人信息的;
(三)故意或者过失泄露公民个人信息的;
(四)出售、非法提供公民个人信息的。
第二十二条各省、自治区、直辖市公安厅、局和新疆生产建设兵团公安局可以根据本规定,结合本地实际,制定实施细则。
第二十三条本规定自印发之日起施行。本规定实施前关于管理公民个人信息的规范性文件与本规定不一致的,以本规定为准。
密码安全保密管理制度
第一条为了加强商用密码产品销售管理,规范商用密码产品销售行为,根据《商用密码管理条例》,制定本规定。
第二条商用密码产品销售活动适用本规定。
第三条本规定所称商用密码产品,是指采用密码技术对不涉及国家秘密内容的信息进行加密保护或者安全认证的产品。
第四条国家对商用密码产品销售实行许可制度。销售商用密码产品应当取得《商用密码产品销售许可证》。
未经许可,任何单位和个人不得销售商用密码产品。
第五条国家密码管理局主管全国的商用密码产品销售管理工作。
省、自治区、直辖市密码管理机构依据本规定承担有关管理工作。
第六条申请《商用密码产品销售许可证》的单位应当具备下列条件:
(一)有独立的法人资格;
(二)有熟悉商用密码产品知识和承担售后服务的人员以及相应的资金保障;
(三)有完善的销售服务和安全保密管理制度;
(四)法律、行政法规规定的其它条件。
第七条申请《商用密码产品销售许可证》应当向所在地的省、自治区、直辖市密码管理机构提交下列材料:
(一)《商用密码产品销售许可证申请表》;
(二)企业法人营业执照、税务登记证件复印件;
(三)证明其符合本规定第六条第(二)项、第(三)项、第(四)项所列条件的材料。
第八条申请单位提交的材料齐备并且符合规定形式的,省、自治区、直辖市密码管理机构应当受理并发给《受理通知书》;申请材料不齐备或者不符合规定形式的,省、自治区、直辖市密码管理机构应当当场或者在5个工作日内一次告知需要补正的全部内容。不予受理的,应当书面通知并说明理由。
省、自治区、直辖市密码管理机构应当自受理申请之日起5个工作日内完成初审,并将初审意见和全部申请材料报送国家密码管理局。
国家密码管理局应当自受理申请之日起20个工作日内作出是否批准的决定。
国家密码管理局认为必要时,可以对申请单位进行现场考察。考察所需时间不计算在本规定所设定的期限内。
第九条国家密码管理局批准申请单位从事商用密码产品销售活动的,应当自作出批准决定之日起10个工作日内发给《商用密码产品销售许可证》,并向社会公布。
《商用密码产品销售许可证》有效期3年。
第十条取得《商用密码产品销售许可证》的单位(以下称商用密码产品销售许可单位),应当自取得《商用密码产品销售许可证》之日起30日内,到所在地的工商行政管理部门办理许可经营项目登记手续。
第十一条商用密码产品销售许可单位设立分支机构销售商用密码产品的,应当自设立之日起30日内,持分支机构营业执照到分支机构所在地的省、自治区、直辖市密码管理机构备案。
第十二条商用密码产品销售许可单位变更名称的,应当自变更之日起30日内,持变更证明文件到所在地的省、自治区、直辖市密码管理机构办理《商用密码产品销售许可证》更换手续。
商用密码产品销售许可单位变更住所、法定代表人的,应当自变更之日起30日内,持变更证明文件到所在地的省、自治区、直辖市密码管理机构备案。
商用密码产品销售许可单位破产、解散或者被撤销的,原持有的《商用密码产品销售许可证》自行失效。
第十三条商用密码产品销售许可单位销售的商用密码产品,应当是经国家指定的机构检测、认证合格并加施强制性认证标志的产品。
商用密码产品销售许可单位销售的.暂未列入强制性认证目录的商用密码产品,应当是经国家密码管理局指定的产品质量检测机构检测合格的产品。
商用密码产品销售许可单位不得销售境外研制生产的密码产品。
第十四条商用密码产品销售许可单位,应当详细登记直接使用商用密码产品的用户的名称(姓名)、住所、组织机构代码(居民身份证号码)以及产品的名称、型号、用途、数量。
商用密码产品销售许可单位应当每季度将销售登记情况如实报所在地的省、自治区、直辖市密码管理机构备案。
省、自治区、直辖市密码管理机构应当及时将商用密码产品销售汇总情况报国家密码管理局备案。
第十五条商用密码产品销售许可单位将商用密码产品销售给在华的境外组织或者个人的,应当核验其持有的密码产品准用证。
第十六条商用密码产品销往境外的,按照密码产品出口管理规定办理。
第十七条宣传、公开展览商用密码产品,应当事先报所在地的省、自治区、直辖市密码管理机构批准。
第十八条商用密码产品销售许可单位及其人员,应当对所接触和掌握的商用密码技术承担保密义务。
第十九条销售、运输、保管商用密码产品应当采取相应的安全措施。
第二十条商用密码产品销售许可单位应当严格执行安全保密管理制度,对其人员进行保密教育。
第二十一条违反本规定的行为,依照《商用密码管理条例》予以处罚。
第二十二条《商用密码产品销售许可证》由国家密码管理局印制。
第一条 为了规范电子认证服务提供者使用密码的行为,根据《中华人民共和国电子签名法》、《商用密码管理条例》和相关法律、行政法规的规定,制定本办法。
第二条 国家密码管理局对电子认证服务提供者使用密码的行为实施监督管理。
省、自治区、直辖市密码管理机构依据本办法承担有关监督管理工作。
第三条 提供电子认证服务,应当依据本办法申请《电子认证服务使用密码许可证》。
第四条 采用密码技术为社会公众提供第三方电子认证服务的系统(以下称电子认证服务系统)使用商用密码。
电子认证服务系统应当由具有商用密码产品生产资质的单位承建。
第五条 电子认证服务系统的建设和运行应当符合《证书认证系统密码及其相关安全技术规范》。
第六条 电子认证服务系统所需密钥服务由国家密码管理局和省、自治区、直辖市密码管理机构规划的密钥管理系统提供。
第七条 申请《电子认证服务使用密码许可证》应当在电子认证服务系统建设完成后,向所在地的省、自治区、直辖市密码管理机构提交下列材料:
(一)《电子认证服务使用密码许可证申请表》;
(二)企业法人营业执照或者企业名称预先核准通知书的复印件;
(四)电子认证服务系统互联互通测试相关技术材料;
(五)电子认证服务系统物理环境符合电磁屏蔽、消防安全有关要求的证明文件;
(六)电子认证服务系统使用的信息安全产品符合有关法律规定的证明文件。
第八条 申请人提交的申请材料齐全并且符合规定形式的,省、自治区、直辖市密码管理机构应当受理并发给《受理通知书》;申请材料不齐全或者不符合规定形式的,省、自治区、直辖市密码管理机构应当当场或者在5个工作日内一次告知需要补正的全部内容。不予受理的,应当书面通知并说明理由。
省、自治区、直辖市密码管理机构应当自受理申请之日起5个工作日内将全部申请材料报送国家密码管理局。
第九条 国家密码管理局对省、自治区、直辖市密码管理机构报送的材料进行核查,组织对电子认证服务系统进行安全性审查和互联互通测试,并自省、自治区、直辖市密码管理机构受理申请之日起15个工作日内,将安全性审查和互联互通测试所需时间书面通知申请人。
电子认证服务系统通过安全性审查和互联互通测试的,由国家密码管理局发给《电子认证服务使用密码许可证》并予以公布;未通过安全性审查或者互联互通测试的,不予许可,书面通知申请人并说明理由。
第十条 《电子认证服务使用密码许可证》载明下列内容:
(一)许可证编号;
(二)电子认证服务提供者名称;
(三)许可证有效期限;
(四)发证机关和发证日期。
《电子认证服务使用密码许可证》有效期为5年。
第十一条 电子认证服务提供者变更名称的,应当自变更之日起30日内,持变更证明文件到所在地的省、自治区、直辖市密码管理机构办理《电子认证服务使用密码许可证》更换手续。
电子认证服务提供者变更住所、法定代表人的,应当自变更之日起30日内,持变更证明文件到所在地的省、自治区、直辖市密码管理机构备案。
第十二条 《电子认证服务使用密码许可证》有效期满需要延续的,应当在许可证有效期届满30日前向国家密码管理局提出申请。国家密码管理局根据申请,在许可证有效期满前作出是否准予延续的决定。
第十三条 电子认证服务提供者取得《电子认证服务使用密码许可证》后6个月内,未取得国务院信息产业主管部门颁发的《电子认证服务许可证》的,《电子认证服务使用密码许可证》自行失效。
第十四条 电子认证服务提供者终止电子认证服务或者《电子认证服务许可证》被吊销的,原持有的《电子认证服务使用密码许可证》自行失效。
第十五条 电子认证服务提供者对其电子认证服务系统进行技术改造或者进行系统搬迁的,应当将有关情况书面报国家密码管理局,经国家密码管理局同意后方可继续运行。必要时,国家密码管理局可以组织对电子认证服务系统进行安全性审查和互联互通测试。
第十六条 国家密码管理局和省、自治区、直辖市密码管理机构对电子认证服务提供者使用密码的情况进行监督检查。监督检查采取书面审查和现场核查相结合的方式。
监督检查发现存在不符合许可条件的情形的,限期整改;限期整改后仍不符合许可条件的,由国家密码管理局撤销其《电子认证服务使用密码许可证》,通报国务院信息产业主管部门并予以公布。
第十七条 有下列情形之一的,由国家密码管理局责令改正;情节严重的,吊销《电子认证服务使用密码许可证》,通报国务院信息产业主管部门并予以公布:
(一)电子认证服务系统的运行不符合《证书认证系统密码及其相关安全技术规范》的;
(三)对电子认证服务系统进行技术改造或者进行系统搬迁,未按照本办法第十五条规定办理的。
第十八条 国家密码管理局和省、自治区、直辖市密码管理机构的工作人员在电子认证服务密码管理工作中滥用职权、玩忽职守、徇私舞弊的,依法给予行政处分;构成犯罪的,依法追究刑事责任。
第十九条 《电子认证服务使用密码许可证申请表》由国家密码管理局统一印制。
第二十条 本办法施行前已经取得《电子认证服务使用密码许可证》的电子认证服务提供者,应当自本办法施行之日起3个月内到所在地的省、自治区、直辖市密码管理机构办理《电子认证服务使用密码许可证》的换证手续。
信息安全保密管理制度
第一条为加强公司计算机和信息系统(包括涉密信息系统和非涉密信息系统)。
安全保密管理,确保国家秘密及商业秘密的安全,根据国家有关保密法规标准和中核集团公司有关规定,制定本规定。
第二条本规定所称涉密信息系统是指由计算机及其相关的配套设备、设施构成的,按照一定的应用目标和规定存储、处理、传输涉密信息的系统或网络,包括机房、网络设备、软件、网络线路、用户终端等内容。
第三条涉密信息系统的建设和应用要本着“预防为主、分级负责、科学管理、保障安全”的方针,坚持“谁主管、谁负责,谁使用、谁负责”和“控制源头、归口管理、加强检查、落实制度”的原则,确保涉密信息系统和国家秘密信息安全。
第四条涉密信息系统安全保密防护必须严格按照国家保密标准、规定和集团公司文件要求进行设计、实施、测评审查与审批和验收;未通过国家审批的涉密信息系统,不得投入使用。
第二章管理机构与职责。
第六条公司法人代表是涉密信息系统安全保密第一责任人,确保涉密信息系统安全保密措施的落实,提供人力、物力、财力等条件保障,督促检查领导责任制落实。
(二)协调处理有关涉密信息系统安全保密管理的重大问题,对重大失泄密事件进行查处。
第八条成立公司涉密信息系统安全保密领导小组,保密办、科技信息部(信息化)、党政办公室(密码)、财会部、人力资源部、武装保卫部和相关业务部门、单位为成员单位,在公司党政和保密委员会领导下,组织协调公司涉密信息系统安全保密管理工作。
第九条保密办主要职责:
(六)对涉密信息系统中各应用系统进行定密、变更密级和解密工作进行审核;
(七)组织查处涉密信息系统失泄密事件。
第十条。
科技信息部、财会部主要职责是:
(一)组织、实施涉密信息系统的规划、设计、建设,制定安全保密防护方案;
小组批准后组织实施,确保安全技术措施有效、可靠;
(六)配合保密办对涉密信息系统进行安全检查,对存在的隐患进行及时整改;
(七)制定应急预案并组织演练,落实应急措施,处理信息安全突发事件。
第十一条党政办公室主要职责:
按照国家密码管理的相关要求,落实涉密信息系统中普密设备的管理措施。
第十二条相关业务部门、单位主要职责:涉密信息系统的使用部门、单位要严格遵守保密管理规定,教育员工提高安全保密意识,落实涉密信息系统各项安全防范措施;准确确定应用系统密级,制定并落实相应的二级保密管理制度。
第十三条涉密信息系统配备系统管理员、安全保密管理员、安全审计员,其职责是:
(一)系统管理员负责系统中软硬件设备的运行、管理与维护工作,确保信息系统的安全、稳定、连续运行。系统管理员包括网络管理员、数据库管理员、应用系统管理员。
(二)安全保密管理员负责安全技术设备、策略实施和管理工作,包括用户帐号管理以及安全保密设备和系统所产生日志的审查分析。
(三)安全审计员负责安全审计设备安装调试,对各种系统操作行为进行安全审计跟踪分析和监督检查,以及时发现违规行为,并每月向涉密信息系统安全保密领导小组办公室汇报一次情况。
第三章系统建设管理。
第十四条规划和建设涉密信息系统时,按照涉密信息系统分级保护标准的规定,同步规划和落实安全保密措施,系统建设与安全保密措施同计划、同预算、同建设、同验收。
第十五条涉密信息系统规划和建设的安全保密方案,应由具有“涉及国家秘密的计算机信息系统集成资质”的机构编制或自行编制,安全保密方案必须经上级保密主管部门审批后方可实施。
第十六条涉密信息系统规划和建设实施时,应由具有“涉及国家秘密的计算机信息系统集成资质”的机构实施或自行实施,并与实施方签署保密协议,项目竣工后必须由保密办和科技信息部共同组织验收。
第十七条对涉密信息系统要采取与密级相适应的保密措施,配备通过国家保密主管部门指定的测评机构检测的安全保密产品。涉密信息系统使用的软件产品必须是正版软件。
第一节信息分类与控制。
第十八条涉密信息系统的密级,按系统中所处理信息的最高密级设定,严禁处理高于涉密信息系统密级的涉密信息。
第十九条涉密信息系统中产生、存储、处理、传输、归档和输出的文件、数据、图纸等信息及其存储介质应按要求及时定密、标密,并按涉密文件进行管理。电子文件密级标识应与信息主体不可分离,密级标识不得篡改。涉密信息系统中的涉密信息总量每半年进行一次分类统计、汇总,并在保密办备案。
第二十条涉密信息系统应建立安全保密策略,并采取有效措施,防止涉密信息被非授权访问、篡改,删除和丢失;防止高密级信息流向低密级计算机。涉密信息远程传输必须采取密码保护措施。
第二十一条向涉密信息系统以外的单位传递涉密信息,一般只提供纸质文件,确需提供涉密电子文档的,按信息交换及中间转换机管理规定执行。
第二十二条清除涉密计算机、服务器等网络设备、存储介质中的涉密信息时,必须使用符合保密标准、要求的工具或软件。
第二节用户管理与授权。
第二十三条根据本部门、单位使用涉密信息系统的密级和实际工作需要,确定人员知悉范围,以此作为用户授权的依据。
第二十四条用户清单管理。
(三)删除用户时,由用户本人所在部门、单位书面通知科技信息部,核准后由安全保密管理员即时将用户在涉密信息系统内的所有帐号、权限废止;“财务会计核算网”密办审核,公司分管领导审批。开通、审批坚持“工作必须”的原则。
第六十四条国际互联网计算机实行专人负责、专机上网管理,严禁存储、处理、传递涉密信息和内部敏感信息。接入互联网的计算机须建立使用登记制度。
第六十五条上网信息实行“谁上网谁负责”的保密管理原则,信息上网必须经过严格审查和批准,坚决做到“涉密不上网,上网不涉密”。对上网信息进行扩充或更新,应重新进行保密审查。
第六十六条任何部门、单位和个人不得在电子邮件、电子公告系统、聊天室、网络新闻组、博客等上发布、谈论、传递、转发或抄送国家秘密信息。
第六十七条从国际互联网或其它公众信息网下载程序和软件工具等转入涉密系统,经科技信息部审批后,按照信息交换及中间转换机管理规定执行。
第九章便携式计算机管理。
第六十八条便携式计算机(包括涉密便携式计算机和非涉密便携式计算机)实行“谁拥有,谁使用,谁负责”的保密管理原则,使用者须与公司签定保密承诺书。
第六十九条涉密便携式计算机根据工作需要确定密级,粘贴密级标识,按照涉密设备进行管理,保密办备案后方可使用。
第七十条便携式计算机应具备防病毒、防非法外联和身份认证(设置开机密码口令)等安全保密防护措施。
第七十一条禁止使用涉密便携式计算机上国际互联网和非涉密网络;严禁涉密便携式计算机与涉密信息系统互联。
第七十二条涉密便携式计算机不得处理绝密级信息。未经保密办审批,严禁在涉密便携式计算机中存储涉密信息。处理、存储涉密信息应在涉密移动存储介质上进行,并与涉密便携式计算机分离保管。
第七十三条禁止使用私有便携式计算机处理办公信息;严禁非涉密便携式计算机存储、处理涉密信息;严禁将涉密存储介质接入非涉密便携式计算机使用。
第七十四条公司配备专供外出携带的涉密便携式计算机和涉密存储介质,按照“集中管理、审批借用”的原则进行管理,建立使用登记制度。外出携带的涉密便携式计算机须经保密办检查后方可带出公司,返回时须进行技术检查。
第七十五条因工作需要外单位携带便携式计算机进入公司办公区域,需办理保密审批手续。
第十章应急响应管理。
第七十六条为有效预防和处置涉密信息系统安全突发事件,及时控制和消除涉密信息系统安全突发事件的危害和影响,保障涉密信息系统的安全稳定运行,科技信息部和财会部应分别制定相应应急响应预案,经公司涉密信息系统安全保密领导小组审批后实施。
第七十七条应急响应预案用于涉密信息系统安全突发事件。突发事件分为系统运行安全事件和泄密事件,根据事件引发原因分为灾害类、故障类或攻击类三种情况。
(一)灾害事件:根据实际情况,在保障人身安全前提下,保障数据安全和设备安。
5、其它未列出的不确定因素造成的事件,结合具体的情况,做出相应的处理。不能处理的及时咨询,上报公司信息安全领导小组。
第七十八条按照信息安全突发事件的性质、影响范围和造成的损失,将涉密信息系统安全突发事件分为特别重大事件(i级)、重大事件(ii级)、较大事件(iii级)和一般事件(iv级)四个等级。
(一)一般事件由科技信息部(或财会部)依据应急响应预案进行处置;
(四)特别重大事件由公司报请中核集团公司对信息安全突发事件进行处置。
第七十九条发生突发事件(如涉密数据被窃取或信息系统瘫痪等)应按如下应急响应的基本步骤、基本处理办法和流程进行处理:
(一)上报科技信息部和保密办;
(二)关闭系统以防止造成数据损失;
(三)切断网络,隔离事件区域;
(四)查阅审计记录寻找事件源头;
(五)评估系统受损程度;
(六)对引起事件漏洞进行整改;
(七)对系统重新进行风险评估;
(八)由保密办根据风险评估结果并书面确认安全后,系统方能重新运行;
(九)对事件类型、响应、影响范围、补救措施和最终结果进行详细的记录;
(十)依照法规制度对责任人进行处理。
第八十条科技信息部、财会部应会同保密办每年组织一次应急响应预案演练,检验应急响应预案各环节之间的通信、协调、指挥等是否快速、高效,并对其效果进行评估,以使用户明确自己的角色和责任。应急响应相关知识、技术、技能应纳入信息安全保密培训内容,并记录备案。
第十一章人员管理。
第八十一条各部门、单位每年应组织开展不少于1次的全员信息安全保密知识技能教育与培训,并记录备案。
第八十二条。
涉密人员离岗、离职,应及时调整或取消其访问授权,并将其保管的涉密设备、存储介质全部清退并办理移交手续。
第八十三条承担涉密信息系统日常管理工作的系统管理员、安全保密管理员、安全审计管理员应按重要涉密人员管理。
第十二章督查与奖惩。
第八十四条公司每年应对涉密信息系统安全保密状况、安全保密制度和措施的落实情况进行一次自查,并接受国家和上级单位的指导和监督。涉密信息系统每两年接受一次上级部门开展的安全保密测评或保密检查,检查结果存档备查。
第八十五条检查涉密计算机和信息系统的保密检查工具和涉密信息系统所使用的安全保密、漏洞检查(取证)软件等,应覆盖保密检查的项目,并通过国家保密局的检测。安全保密检查工具应及时升级或更新,确保检查时使用最新版本。
第八十六条各部门、单位应将员工遵守涉密计算机及信息系统安全保密管理制度的情况,纳入保密自查、考核的重要内容。对违反本规定造成失泄密的当事人及有关责任人,按公司保密责任考核及奖惩规定执行。
第十三章附则。
第八十七条本规定由保密办负责解释与修订。
第八十八条本规定自发布之日起实施。原《计算机磁(光)介质保密管理规定)[制度编号:(厂1908号)]、《涉密计算机信息系统保密管理规定》[制度编号:(20xx)厂1911号]、《涉密计算机采购、维修、变更、报废保密管理规定》[制度编号:(20xx)厂1925号]、《国际互联网信息发布保密管理规定》[制度编号:(20xx)厂1926号]、《涉密信息系统信息保密管理规定》[制度通告:(20xx)0934号]、《涉密信息系统安全保密管理规定》[制度通告:(20xx)0935号]同时废止。
信息安全保密管理制度
为了保证互联网网络与信息安全,维护国家安全和社会稳定,保障公民、法人和其他组织的合法权益,本单位在从事互联网信息服务业务期间严格执行如下措施:
一、遵守《全国人民代表大会常务委员会关于维护互联网安全的决定》、《中华人民共和国电信条例》、《互联网信息服务管理办法》等法律法规的有关规定,依法从事互联网信息服务业务。
二、本公司所有工作人员必须保守国家机密的各项法律和规定,严格执行网络信息安全保密制度。
三、不得利用网络从事危害国家安全、泄露国家秘密等犯罪活动,不得制作、查询、复制和传播有碍社会治安的信息,如发现有害信息,按照有关规定及时处理,并报告通信管理局。
四、按照分层负责的原则,建立信息安全保障责任制,由领导分管信息安全保密的安全工作。并设立计算机信息系统安全责任人和安全管理员,负责系统管理维护,制定计算机信息系统的`安全策略、风险防范。
五、不在网上传送密件,不泄露用户个人资料。
六、建立公共信息内容自动过滤系统和人工值班监控制度,用户上传的公共信息在本网站上网前,必须经过本网站工作人员的人工审核后,方能上网发布。
七、因管理员对上网信息审查不严,出现严重问题,造成不良影响的,追究信息员的责任。若违反有关规定,严肃处理。
八、 网站信息内容记录备份不少于60日,在国家有关机关依法查询时予以提供。
九、接受并配合国家有关部门、各级网络中心依法进行监督检查。
个人信息安全管理制度
摘要:随着互联网飞速发展,产生了超大规模数据。为人类的生产生活提供预测和指导,但是也面临着严重的信息安全威胁。由此,从技术角度去研究大数据背景下个人信息安全保护措施,提出了数据匿名保护、数据水印保护、数据溯源保护和个人信息日常防护措施,旨在强化开发人员和用户个人信息保护的意识。
关键词:大数据;个人信息安全;数据匿名保护技术;数据水印保护技术;数据溯源技术。
大数据为社会的发展、商业的预测、科学的进步提供了有效的数据支持,是数据服务的基础,大数据中关于个人信息的数据越来越多,不仅包含了个人的基础信息还包含了各种关联性的信息,从大数据环境中分析搜索资料,已经成为个人信息窃取的主要渠道。3月全球第一大社交网络facebook泄密事件轰动了全球,导致股价暴跌、信任危机。透过此次事件可以明确未来网络的可持续发展加强个人信息安全保护刻不容缓。
1.1大数据定义。
大数据是由海量的线性关联数据和非线性数据所构成,大数据具有类型多、数据规模大、数据处理快、数据价值大、价值密度低等特点。从大数据的数据来源来看,主要包括通过计算机信息系统处理的数据、互联网活动产生的数据、移动互联网活动产生的数据和其他数据采集设备采集到的数据。大数据具有无结构化的特点,它既包括了文本类数据还包括图片、音频、视频等复杂的数据,所体现出的特征包括体量大、多样性、传输快和具有高价值。目前,大数据的应用已经在科研领域、商业领域等被广泛的应用,根据权威机构(cart-ner)预测,到75%以上的企业都会通过大数据进行市场决策,大数据应用必将成为社会进步的重要推动力。
个人信息的范围非常广泛,不仅包含了个人形象的基础信息如:性别、年龄、身高、体重等,还包括住址、工作单位、联系方式、财产信息、活动区域、兴趣爱好、社会关系等。个人信息具有一定的关联性,同时也有相对的独立性。通常一个人的信息可以关联其家庭、同事、亲朋等多方面的信息,信息安全不再局限于个人信息安全的保护,而是面向更加复杂的信息环境进行保护。在大数据环境下,个人信息已经成为一种被用来窃取买卖的“商品”,为此在人类社会活动中,个人信息安全的保护不仅需要先进的技术进行保护,还需要法律、法规进行维护,以确保个人信息得到安全保护,维护社会的稳定发展。
在大数据环境下,通过个人用户进行网络活动所产生的线性和非线性的数据可以清晰地分析出用户的年龄、职业、行为规律、兴趣爱好等,尤其是随着电子商务和移动网络应用的普及,个人用户的住址、联系方式、银行账号等信息也可以通过大数据挖掘、网络爬虫等方式获取。这无疑加大了个人信息安全管理的压力,用户个人信息被泄露的时有发生,莫名的广告推销电话、诈骗电话以及银行存款被窃取等违法行为屡禁不止层出不穷。甚至近期出现的“滴滴打车空姐遇害一事”也有很大程度是因为滴滴公司过度社交化,泄露顾客长相性格偏好等信息,造成司机方进行用户画像,选择犯罪对象。目前,大数据已经成为了个人安全信息攻击的“高级载体”,并且在大数据环境下无法开展apt实时检测,同时大数据的价值密度非常低,无法对其进行集中检测,这就给病毒、木马创造了生存的环境,给个人信息安全造成了极大的威胁。与传统数据存储结构不同,大数据采用分布式网络存储,利用资源池进行数据应用。客户端对数据的应用通过不同节点进行访问,所以要保证数据访问的安全性就要对各个节点的通信信息进行认证,工作量非常的庞大,所以在实际操作中难以进行全面的控制。大数据没有内部和外部数据库的划分,所以用户的隐私数据可以放在资源池中被任何用户访问,这为hacker提供了便利的信息获取渠道,并且能够通过数据之间的关联性挖掘出更加隐私的数据,拓宽了个人信息窃取的渠道,给个人信息安全造成极大的隐患。
信息安全保密管理制度
1、为了处理工作中涉及的办公秘密信息和业务秘密信息,特制定计算机信息系统安全保密规定。
2、学校网络中心负责指导全校各部门入网人员的保密技术培训,落实技术防范措施。
3、各部门要有一名教师主管此项工作。要指定专人负责接入网络的安全保密管理工作和对上网信息的保密检查,落实好保密防范措施,对本单位上网人员进行保密教育和管理。
4、涉密信息不得在与国际网络联网的计算机系统中存储、处理和传输。
5、凡上网的信息,上网前必须进行审查,进行登记,“谁上网,谁负责”,确保国家机密不上网。
6、不得利用校园网从事危害国家安全,泄露国家机密的活动。
7、如在网上发现黄色的宣传品和出版物,要保护好现场,及时向校保卫部门汇报,依据有关规定处理。如发现泄露国家机密的情况,要及时报网络中心采取措施,同时向校园网领导小组报告。对违反规定造成后果的,依据有关规定进行处理,并追究部门领导的责任。
8、未经批准,任何人不得开设bbs,一经发现立即依法取缔。
9、对校园网内开设的合法论坛要积极推行论坛管理员负责制,论坛主持人经校园网领导小组批准备案。坚决取缔未经批准开设的非法论坛。
10、加强个人主页管理,对于在个人主页中张贴、传播有害信息的责任人要依法处理,并删除个人主页。
11、校内各机房要严格管理制度,落实责任人。引导学生开展健康、文明的网上活动,杜绝将电子阅览室和计算机房变相为娱乐场所。
12、对于问题突出,管理失控,造成有害信息传播的网站和网页,坚决依法予以关闭和清除;对于制作、复制、印发和传播有害信息的单位和个人要依法移交有关部门处理。
13、发生重大突发事件期间,校园网领导小组及各部门领导要加强网络监控,及时、果断地处置网上突发事件,维护校内稳定。
个人安全防护管理制度
为了认真贯彻执行《中华人民共和国国安全生产法》和《建设工程安全生产管理条例》,加强对施工现场安全设施所需的材料、设备及防护用品的控制,防止不合格产品流入我公司施工现场而造成伤亡事故,确保施工安全,特制定本规定。
一、为我公司提供安全设施所需材料、设备及防护用品的供应单位,必须是遵守法律其产品的设计、生产、销售符合施工安全要求的生产或销售单位。
二、公司物资设备部门在采购安全设施所需材料、设备及防护用品时,供应单位必须提供检测合格证明以及以下资料:
(1)产品的生产许可证(指实行生产许可证的产品)和出厂产品合格证;
(2)产品的有关技术标准、规范;
(3)产品的有关图纸及技术资料;
(4)产品的技术性能、安全防护装置的说明。
三、公司安全检查部门和项目部负责对以上产品进行监督和验证。
四、公司物资设备部门必须严格执行本规定,对不符合要求的产品严禁购买,对收取供货单位贿赂而购入不合格品(者)视情节轻重,予以20xx-5000元罚款,情节严重的予以开除,直至移交司法机关。
七、凡提供不合格品进入我公司的供应单位严禁进入合格公司供方目录,已进入的,坚决清除。
第八条从20xx年3月10日起执行。对安全物资供应单位要求。
公司物资设备部门在采购安全设施所需材料、设备及防护用品时,供应单位必须提供检测合格证明以及以下资料:
(1)产品的生产许可证(指实行生产许可证的产品)和出厂产品合格证;
(2)产品的有关技术标准、规范;
(3)产品的有关图纸及技术资料;
(4)产品的技术性能、安全防护装置的说明。
考务安全保密管理制度
第一条招收攻读硕士学位研究生入学考试是国家教育统一考试。为切实加强硕士研究生入学考试的安全保密工作,根据《中华人民共和国宪法》、《中华人民共和国保守国家秘密法》、《中华人民共和国保守国家秘密实施办法》、《印刷、复印等行业复制国家秘密载体暂行规定》、《国家教育考试考务安全保密工作规定》、《山东省普通高校招生考试安全保密工作实施细则》等文件规定,结合我校实际,特制定本实施细则。
第二条山东财经大学(筹)是山东省教育招生考试院指定的全国硕士研究生入学考试考点之一,负责有关硕士研究生入学考试的组织管理工作。
第三条 山东财经大学(筹)研究生处作为学校负责研究生工作的职能部门,负责全国硕士研究生入学考试统一命题、联合命题的试卷保管;负责硕士研究生入学考试有关专业基础课、专业课考试各科试卷的命题、印刷、保管、分装、寄发、评卷的组织管理工作。
第四条在硕士研究生入学考试中,全国统一命制的试题(由教育部考试中心组织命制的试题,包括副题)在启封并使用完毕前按国家绝密级事项管理,答案及评分参考在考试结束前按国家绝密级事项管理;我校自行命制的试题(包括副题、单考试题)在启封并使用完毕前按国-家-机-密级事项管理,答案及评分参考在考试结束前按国-家-机-密级事项管理。
答案及评分参考在考试结束后至使用完毕前按国家秘密级事项管理。
考生答卷(含答题纸、答题卡)在成绩公布前按国家秘密级事项管理。
从命题开始至成绩公布前的各个工作环节,对所有试卷和答卷必须采取严格的安全保密措施。
第二章安全保密责任制
第五条研究生部主任为山东财经大学(筹)研究生入学考试第一责任人,全面负责学校研究生入学考试的安全保密工作。研究生招生办公室主任负责各项安全保密措施的组织落实工作。
第六条研究生招生办公室指定两名工作人员负责硕士研究生入学考试从命题开始直至各科开考前试题、试卷(含标准答案)的保密保管工作及接收、整理答卷、评卷直至成绩公布前的答卷保密保管工作。
第三章保密室的安全保密
第七条研究生招生办公室按《山东省普通高校招生考试安全保密工作实施细则》(鲁教招字[2004]5号)要求设立试卷保密室,兼做答卷保管室,用于存放试题、答卷及有关保密的其它资料等。
第八条保密室由山东省保密局及山东省教育招生考试院验收并负责监督检查。
第九条保密室钥匙、铁柜钥匙、铁柜密码由两人分别掌管。
第十条保密室专管员应坚持原则,忠于职守,严格遵守保密纪律,工作认真负责。凡进入保密室必须有至少三人在场,与招生无关的人员不得擅自进入保密室。
第十一条保密室应保持通风清洁,严禁吸烟和明火,并注意检查电源、电器设备使用情况,确保安全。
第四章试题的命制、印刷和密封
第十二条命题教师和接触试题的工作人员均需签定《试题保密承诺书》,并严格遵守招生考试保密工作的有关规定。在研究生入学考试结束前,不得以任何方式泄露命题教师的身份和试题的内容及试题组建情况,命题教师不得参与任何形式的考前辅导或接待考生的个别咨询。
第十三条在命题、组题期间严禁任何无关人员进入命题、组题场所,手提电话不得带入组题现场,命、组题所用计算机不得与网络连接。
第十四条命题完成后,命题教师应及时将试题和标准答案分别装入专用信封,并按规定进行密封和签名,送交研招办试题专管员签收和保管。
第十五条参与试题命制及试题库组建工作的人员不得保留试题副本及有关原始资料,命题、组题工作完成后立即销毁与试题有关的草稿或电子文本等材料,任何人不得保存有关试题库的记录。
第十六条各招生单位负责人对本单位试题命制及题库组建工作的保密性与安全性负领导责任。
第十七条印制试卷必须在试卷保密室印制。
第十八条启封试题和试卷的印制、存放,必须至少有两名工作人员在场,并对各科试卷印制的份数进行登记,报废试卷必须当场销毁。
第十九条试卷分装、密封必须严格执行操作规程,遵守保密纪律。试卷密封后应认真核对、登记份数,并及时分类存放至保密室。
第五章试卷的保管和收发
第二十条试卷由保密室管-理-员负责保管和寄发。
第二十一条研究生处领取全国统一命题或联合命题的试卷,必须有公安人员和两名以上试题专管员前往,并用专车接运试卷。签收试卷时应认真核对各科试卷的份数,确保准确无误。试卷运回学校后,必须立即存放至保密室的密码铁柜,并从接收试卷之日起至入学考试结束止,安排本院和保卫处有关工作人员至少两人昼夜值班。
第二十二条学校自行命题的试卷,必须通过机要方式向各有关考点寄发。寄发试卷的科目、份数必须准确无误,并进行登记。
第二十三条密封在小信封内的试卷,只能由考生本人于规定的时间在考场当场拆封。任何人在开考前不得启封试卷。
第二十四条各监考人员领取试卷时,应认真核对应试的.科目和试卷的份数,办理签收手续。
第二十五条如发生试卷丢失或试题泄密情况,必须立即向分管校长和上级主管部门报告,或报公安部门立案侦察,并迅速查明原因,采取有效的补救措施。
第二十六条考试结束后,监考人员应当场清点答卷份数和回收所有缺考试卷,确认准确无误后即装袋密封和签字,并向试卷收发人员办理交接手续。管理人员在签收试卷收发人员送交的答卷后,应及时将答卷存放至保密室铁柜内。
第二十七条接收外考点寄回的答卷,必须严格进行核对和登记,并存放至保密室铁柜内。若发现答卷份数有误或缺页,应立即与有关考点联系,查明原因并做好记录。
第六章试卷评阅
第二十八条试卷评阅前,应严格按操作规程整理、加密试卷,核对和登记各科应考试卷份数,并在向有关阅卷点送交试卷和学校自行评阅试卷过程中,严格履行试卷的交接和领取手续。
第二十九条学校自命题的试卷必须在规定的地点集中评阅。阅卷教师和有关工作人员应严格遵守阅卷规则和保密纪律,不得以任何理由将试卷带离阅卷场所,不得对外泄露阅卷情况。
第三十条考试成绩处理阶段的一切信息均属机密,有关工作人员必须对已评阅的试卷采取安全保密措施。任何人不得擅自更改、泄露或提前对外公布考生的考试成绩。
第三十一条评阅后的试卷属于机要档案,已录取考生的试卷应保存三年,保留到考生毕业离校为止。对未录取的考生(含调剂考生)的答卷和有关材料保存一年。保存期满后按有关规定销毁。
第七章信息安全
第三十二条考生的报名信息和考试成绩是招生录取工作的重要依据。有关招生工作人员特别是机房信息管-理-员应加强保密意识,采取必要措施,确保信息安全。
第三十三条招生信息管理专用计算机不得与网络连接,并设置开机密码。信息管-理-员必须对招生信息管理的计算机设置密码,成绩公布前录入考生成绩的计算机必须用易于保密存放的手提电脑。对于重要信息和数据应随时做好备份,并交招生负责人存放一份。
第三十四条重要信息和数据的上机修改必须有书面记录,并有修改提出人、核查人和修改操作人签字。
第三十五条招生办公室应对招生信息和数据管理情况加强检查,对于变动部分应核查书面记录。
第三十六条任何招生工作人员均不得将考生的报名和考试成绩等个人信息提供给无关人员;未经主管领导许可,不得擅自对外提供招生内部信息和统计数据。
第八章附则
第三十七条凡本人或有亲属当年参加研究生入学考试的有关工作人员,应事先申报回避,不得参与有关试卷的命题、收发、印制、整理、保管等环节的工作,亦不得参加诸如监考等考务工作。
第三十八条研究生入学考试工作环节多、周期长、保密要求高,研究生部和各招生单位主管领导要高度重视,切实加强保密教育,从事和参与入学考试的工作人员应自觉遵守保密纪律。对于违反保密纪律造成泄密的人员,学校将依据有关处罚条例进行严肃处理;情节严重构成犯罪的,将依法追究其刑事责任。
第三十九条本细则自公布之日起实行。
第四十条本细则由研究生处负责解释。
一、统计从业资格考试试卷等相关资料在考试启用前属于机密级国家秘密,命题人员、涉卷人员及相关考试工作人员对其负有安全、保密职责,并承担相应的行政及法律责任。
二、国家统计局负责考试命题、样卷印制、及样卷向各省级人民政府统计机构、新疆生产建设兵团统计局运送过程中的安全、保密管理工作;各省级人民政府统计机构、新疆生产建设兵团统计局负责试卷印刷、保管、运送,以及考试等环节相应的安全、保密管理工作。
三、考试命题采用命题组集中命题的方式进行。试题命制后的所有相关资料存放在具有安全防盗功能的保险柜中,由专人负责保管。无须保留的与试题有关的原始材料要及时销毁。
四、命题组成员不得以任何形式泄露其命题人身份和与试题有关的信息。
五、考试试卷(样卷)印制必须在持有《国家秘密载体复制许可证》的定点复制单位进行。交印和承印双方要有严格的交接手续,并应事先签定安全保密、任务、质量等方面的协议。
六、试卷(样卷)包装封面须标明密级标识,试卷(样卷)包装必须用专用密封签密封。
七、若邮寄试卷(样卷)必须采用机要交通渠道。若通过火车、飞机等公共交通工具运送试卷(样卷),必须由两名以上工作人员押运,押运全程要做到人卷不分离。
八、各省级人民政府统计机构、各县(或市)级人民政府统计机构应当设立试卷保密室或配备试卷保密柜保管试卷。保密室和保密柜应符合严格的保密要求,具备防盗、防火、防潮、防蛀等功能,且须配备双锁,钥匙由工作人员两人分别掌管。
九、试卷保密室、保密柜保管人员负责试卷(样卷)接收、保管和发放过程中的安全保密工作。试卷(样卷)接收和发放应当履行严格的交接手续。
十、试卷保密室、保密柜保管人员发现试卷(样卷)漏封、破损、涂改、泄密、被盗等异常问题应如实记录、保护现场,并立即报告主管领导。
信息安全保密管理制度
1、对收文和发文,要严格按登记传阅手续办理,并定期检查清理,发现短缺要及时查找,如有丢失,要及时报上级备案。工作人员调动时,务必将个人所保存的机密文电统计资料等进行认真清点交接,不得带走。
2、领导干部涉密人员不得使用手机谈论秘密事项;不得将手机带入谈论秘密事项的场所。
3、加强印信管理中的保密工作。凡需加盖印章的,都要严格按印信管理规定办理。工作人员要妥善保管印章和各类介绍信函,不准携带公章外出,下班后务必将印章锁入保险柜内。
4、不该说的机密绝对不说,不该问的机密绝对不问,不该看的.机密绝对不看,不该记录的机密绝对不记;不在私人电话通信中涉及机密;不得携带机密文件游览参观走亲访友和出入公共场所;不得在公共场所和家属子女亲友面前谈论机密。
5、务必要做到这十六字,严肃认真周到细致稳妥可靠万无一失。
6、对违反公司保密制度,造成失泄密事件的,根据有关规定严肃处理。
8、不能利用电子邮件在互联网上传递国家秘密及内部办公信息;不能利用外网计算机处理存储传递国家秘密及内部办公信息;处理存储传递国家秘密及内部办公信息的计算机及其网络务必与互联网实行物理隔离。
9、凡有秘密资料的文电草稿资料档案表册照片等在拟制打印复制收发传递阅办保管清退归档移交和销毁等过程中,务必严格按保密文电管理工作的规定执行,不得私自复制抄录和保存秘密文件,机要文电务必存放在加锁的文件橱内。
10、跟随领导出发的司机及有关人员,凡本人不应明白的机密文件机密事项,要自觉做到不看不听,已经明白的要做到不传。
安全保密部门管理制度
违反本制度造成泄密的,将根据情节进行批评教育、党纪政纪处分,构成犯罪的,由有关部门依法追究刑事责任。
招收攻读硕士学位研究生入学考试是国家教育统一考试。 为切实加强硕士研究生入学考试的安全保密工作,根据《中华人民共和国宪法》、《中华人民共和国保守国家秘密法》、《中华人民共和国保守国家秘密实施办法》、《印刷、复印等行业复制国家秘密载体暂行规定》、《国家教育考试考务安全保密工作规定》、《山东省普通高校招生考试安全保密工作实施细则》等文件规定,结合我校实际,特制定本实施细则。
山东财经大学(筹)是山东省教育招生考试院指定的全国硕士研究生入学考试考点之一,负责有关硕士研究生入学考试的组织管理工作。
山东财经大学(筹)研究生处作为学校负责研究生工作的职能部门,负责全国硕士研究生入学考试统一命题、联合命题的试卷保管;负责硕士研究生入学考试有关专业基础课、专业课考试各科试卷的命题、印刷、保管、分装、寄发、评卷的组织管理工作。
在硕士研究生入学考试中,全国统一命制的试题(由教育部考试中心组织命制的`试题,包括副题)在启封并使用完毕前按国家绝密级事项管理,答案及评分参考在考试结束前按国家绝密级事项管理;我校自行命制的试题(包括副题、单考试题)在启封并使用完毕前按国-家-机-密级事项管理,答案及评分参考在考试结束前按国-家-机-密级事项管理。
答案及评分参考在考试结束后至使用完毕前按国家秘密级事项管理。
考生答卷(含答题纸、答题卡)在成绩公布前按国家秘密级事项管理。
从命题开始至成绩公布前的各个工作环节,对所有试卷和答卷必须采取严格的安全保密措施。
研究生部主任为山东财经大学(筹)研究生入学考试第一责任人,全面负责学校研究生入学考试的安全保密工作。研究生招生办公室主任负责各项安全保密措施的组织落实工作。
研究生招生办公室指定两名工作人员负责硕士研究生入学考试从命题开始直至各科开考前试题、试卷(含标准答案)的保密保管工作及接收、整理答卷、评卷直至成绩公布前的答卷保密保管工作。
研究生招生办公室按《山东省普通高校招生考试安全保密工作实施细则》(鲁教招字[2004]5 号)要求设立试卷保密室,兼做答卷保管室,用于存放试题、答卷及有关保密的其它资料等。
保密室由山东省保密局及山东省教育招生考试院验收并负责监督检查。
保密室钥匙、铁柜钥匙、铁柜密码由两人分别掌管。
保密室专管员应坚持原则,忠于职守,严格遵守保密纪律,工作认真负责。凡进入保密室必须有至少三人在场,与招生无关的人员不得擅自进入保密室。
保密室应保持通风清洁,严禁吸烟和明火,并注意检查电源、电器设备使用情况,确保安全。
命题教师和接触试题的工作人员均需签定《试题保密承诺书》,并严格遵守招生考试保密工作的有关规定。在研究生入学考试结束前,不得以任何方式泄露命题教师的身份和试题的内容及试题组建情况,命题教师不得参与任何形式的考前辅导或接待考生的个别咨询。
在命题、组题期间严禁任何无关人员进入命题、组题场所,手提电话不得带入组题现场,命、组题所用计算机不得与网络连接。
命题完成后,命题教师应及时将试题和标准答案分别装入专用信封,并按规定进行密封和签名,送交研招办试题专管员签收和保管。
参与试题命制及试题库组建工作的人员不得保留试题副本及有关原始资料,命题、组题工作完成后立即销毁与试题有关的草稿或电子文本等材料,任何人不得保存有关试题库的记录。
各招生单位负责人对本单位试题命制及题库组建工作的保密性与安全性负领导责任。
印制试卷必须在试卷保密室印制。
启封试题和试卷的印制、存放,必须至少有两名工作人员在场,并对各科试卷印制的份数进行登记,报废试卷必须当场销毁。
试卷分装、密封必须严格执行操作规程,遵守保密纪律。试卷密封后应认真核对、登记份数,并及时分类存放至保密室。
试卷由保密室管-理-员负责保管和寄发。
研究生处领取全国统一命题或联合命题的试卷,必须有公安人员和两名以上试题专管员前往,并用专车接运试卷。签收试卷时应认真核对各科试卷的份数,确保准确无误。试卷运回学校后,必须立即存放至保密室的密码铁柜,并从接收试卷之日起至入学考试结束止,安排本院和保卫处有关工作人员至少两人昼夜值班。
学校自行命题的试卷,必须通过机要方式向各有关考点寄发。寄发试卷的科目、份数必须准确无误,并进行登记。
密封在小信封内的试卷,只能由考生本人于规定的时间在考场当场拆封。任何人在开考前不得启封试卷。
各监考人员领取试卷时,应认真核对应试的科目和试卷的份数,办理签收手续。
如发生试卷丢失或试题泄密情况,必须立即向分管校长和上级主管部门报告,或报公安部门立案侦察,并迅速查明原因,采取有效的补救措施。
考试结束后,监考人员应当场清点答卷份数和回收所有缺考试卷,确认准确无误后即装袋密封和签字,并向试卷收发人员办理交接手续。管理人员在签收试卷收发人员送交的答卷后,应及时将答卷存放至保密室铁柜内。
接收外考点寄回的答卷,必须严格进行核对和登记,并存放至保密室铁柜内。若发现答卷份数有误或缺页,应立即与有关考点联系,查明原因并做好记录。
试卷评阅前,应严格按操作规程整理、加密试卷,核对和登记各科应考试卷份数,并在向有关阅卷点送交试卷和学校自行评阅试卷过程中,严格履行试卷的交接和领取手续。
学校自命题的试卷必须在规定的地点集中评阅。阅卷教师和有关工作人员应严格遵守阅卷规则和保密纪律,不得以任何理由将试卷带离阅卷场所,不得对外泄露阅卷情况。
考试成绩处理阶段的一切信息均属机密,有关工作人员必须对已评阅的试卷采取安全保密措施。任何人不得擅自更改、泄露或提前对外公布考生的考试成绩。
评阅后的试卷属于机要档案,已录取考生的试 卷应保存三年,保留到考生毕业离校为止。对未录取的考生(含调剂考生)的答卷和有关材料保存一年。 保存期满后按有关规定销毁。
考生的报名信息和考试成绩是招生录取工作的重要依据。有关招生工作人员特别是机房信息管-理-员应加强保密意识,采取必要措施,确保信息安全。
招生信息管理专用计算机不得与网络连接,并设置开机密码。信息管-理-员必须对招生信息管理的计算机设置密码,成绩公布前录入考生成绩的计算机必须用易于保密存放的手提电脑。对于重要信息和数据应随时做好备份,并交招生负责人存放一份。
重要信息和数据的上机修改必须有书面记录,并有修改提出人、核查人和修改操作人签字。
招生办公室应对招生信息和数据管理情况加强检查,对于变动部分应核查书面记录。
任何招生工作人员均不得将考生的报名和考试成绩等个人信息提供给无关人员;未经主管领导许可,不得擅自对外提供招生内部信息和统计数据。
凡本人或有亲属当年参加研究生入学考试的有关工作人员,应事先申报回避,不得参与有关试卷的命题、收发、印制、整理、保管等环节的工作,亦不得参加诸如监考等考务工作。
研究生入学考试工作环节多、周期长、保密要求高,研究生部和各招生单位主管领导要高度重视,切实加强保密教育,从事和参与入学考试的工作人员应自觉遵守保密纪律。对于违反保密纪律造成泄密的人员,学校将依据有关处罚条例进行严肃处理;情节严重构成犯罪的,将依法追究其刑事责任。
本细则自公布之日起实行。
本细则由研究生处负责解释。
信息安全保密管理制度
为了保护《出生医学证明》个人信息安全,保障公民的合法权益,特拟定以下制度:
一、保护能够识别公民个人身份和涉及公民个人隐私的信息。任何组织和个人不得窃取或者以其他非法方式获取公民个人信息,不得出售或者非法向他人提供公民个人信息。
二、《出生医学证明》办理工作人员在业务活动中收集、使用公民个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的.、方式和范围,不得违反法律、法规的规定收集、使用信息。
三、《出生医学证明》办理工作人员对在业务活动中收集的公民个人信息必须严格保密,不得泄露、篡改、毁损,不得出售或者非法向他人提供。
四、《出生医学证明》办理单位应当采取技术措施和其他必要措施,确保信息安全,防止在业务活动中收集的公民个人信息泄露、毁损、丢失。在发生或者可能发生信息泄露、毁损、丢失的情况时,应当立即采取补救措施。
五、《出生医学证明》办理单位应当加强对公民个人信息的管理,发现法律、法规禁止发布或者传输的信息的,应当立即停止传输该信息,采取消除等处置措施,保存有关记录,并向有关主管部门报告。
信息安全保密管理制度条例
信息系统的安全保密工作是保证数据信息安全的基础,同时给全院的信息安全保密工作提供了一个工作指导。为了加强我院信息系统的安全保密管理工作,根据上级要求,结合我院的实际情况,现制定如下制度:
第一章总则。
第一条*学院校园网和各个信息系统的服务对象是学校教学、科研和管理机构,全校教职工和学生,以及其他经学校授权的单位及个人。
第二条我院内任何部门及个人不得利用校园网危害国家安全、泄露国家秘密,不得侵犯国家、社会、集体利益和个人的合法权益,不得从事违法犯罪活动。
第三条未经批准,任何单位或个人不得将校园网延伸至校外或将校外网络引入至校园内。未经批准,任何数据业务运营商或电信代理商不得擅自进入山东信息职业技术学院内进行工程施工,开展因特网业务。
第四条各部门应按照国家信息系统等级保护制度的相关法律法规、标准规范的要求,落实信息系统安全等级保护制度。
第五条各部门要规范信息维护、信息管理、运行维护等方面的工作流程和机制,指定专人负责系统运行的日常工作,做好用户授权等管理服务工作。
第二章数据安全。
第六条本制度中的数据是指各类信息系统所覆盖的所有数据,包括档案管理系统、财务管理系统、资产管理系统、安防监控系统以及学院网站等网站和系统的所有数据。
第七条各部门要及时补充和更新管理系统的业务数据,确保数据的完整性、时效性和准确性。
第八条各部门要保证信息系统安全和数据安全,制定重要数据库和系统主要设备的容灾备案措施。记录并保留至少60天系统维护日志。各系统管理员和个人要妥善保管好账号和密码,定期更新密码,防止密码外泄。
第九条保证各系统相关数据安全。各部门和系统管理人员,要对自己所管理的数据负责,保证数据安全,防止数据泄漏。
第十条学校数据信息主要用于教学、科研、管理、生活服务等,申请数据获取的单位有义务保护数据的隐秘性,不得将数据信息用于申请用途外的活动。
第十一条未经批准,任何部门和个人不得擅自提供信息系统的内部数据。对于违反规定、非法披露、提供数据的单位和个人,应依照相关规定予以处罚。
第十二条任何部门和个人不得利用校园网及各系统制作、复制、传播和查阅下列信息:
(一)危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一的;
(二)损害国家荣誉和利益的;
(三)煽动民族仇恨、民族歧视,破坏民族团结的;
(四)破坏国家宗教政策,宣扬邪教和封建迷信的;
(五)散布谣言,扰乱社会公共秩序,破坏国家稳定的;
(六)散步淫秽、色情、暴力、凶杀、恐怖或者教唆犯罪的;
(七)侮辱和诽谤他人,侵害他人合法权益的;
(八)含有国家法律和行政法规禁止的其他内容的;
(九)煽动抗拒、破坏宪法和法律、法规实施的;
第十三条未经批准,任何个人和部门不能擅自发布、删除和改动学院网站和系统信息。凡发布信息,必须经过严格审核。
第十四条校园网用户必须自觉配合国家和学校有关部门依法进行的监督、检查。用户若发现违法有害信息,有义务向学校有关部门报告。
第十五条学院内部所有人员上网均需实名制,并执行严格的实名备案制度。一经发现上网本制度禁止信息,要尽快查处,情节严重者交由公安机关。
第四章学院网站安全。
第十六条学院网站是学院的门户,学院网站信息安全是至关重要的。*学院门户网站已按照相关部门要求,委托信息中心备案,备案域名为:。
第十七条凡上线网站,山东信息职业技术学院实行网站备案,未经备案的网站,学院一律停止对该网站的运行。
第十八条各部门要保证网站的数据安全和系统安全,制定重要数据库和系统主要设备的容灾备案措施。记录并保留至少60天系统维护日志。
第十九条各部门网站信息发布严格实行信息发布审核登记制度,发现有害信息,应当在保留有关原始记录后,及时予以删除,并在第一时间向学校办公室和网络管理中心报告。发现计算机犯罪案件,要立即向公安机关网警部门报案。
第二十条学院办公室、网络管理中心负责对学校网站进行监督、检查。对于存在安全隐患的网站,网络信息中心有权停止其对外服务。
第五章其他。
第二十一条违反本管理规定的,视情节轻重采用以下其中一种或多种处理措施:
(一)批评整改;
(二)报相关部门领导处理;
(三)移交公安、司法部门处理。
第二十二条本规定由网络信息中心负责解释。
第二十三条本规定自公布之日起生效。
第一章总则。
第一条为加强公司计算机和信息系统(包括涉密信息系统和非涉密信息系统)。
安全保密管理,确保国家秘密及商业秘密的安全,根据国家有关保密法规标准和中核集团公司有关规定,制定本规定。
第二条本规定所称涉密信息系统是指由计算机及其相关的配套设备、设施构成的,按照一定的应用目标和规定存储、处理、传输涉密信息的系统或网络,包括机房、网络设备、软件、网络线路、用户终端等内容。
第三条涉密信息系统的建设和应用要本着“预防为主、分级负责、科学管理、保障安全”的方针,坚持“谁主管、谁负责,谁使用、谁负责”和“控制源头、归口管理、加强检查、落实制度”的原则,确保涉密信息系统和国家秘密信息安全。
第四条涉密信息系统安全保密防护必须严格按照国家保密标准、规定和集团公司文件要求进行设计、实施、测评审查与审批和验收;未通过国家审批的涉密信息系统,不得投入使用。
第二章管理机构与职责。
第六条公司法人代表是涉密信息系统安全保密第一责任人,确保涉密信息系统安全保密措施的落实,提供人力、物力、财力等条件保障,督促检查领导责任制落实。
第七条公司保密委员会是涉密信息系统安全保密管理决策机构,其主要职责:
(二)协调处理有关涉密信息系统安全保密管理的重大问题,对重大失泄密事件进行查处。
第八条成立公司涉密信息系统安全保密领导小组,保密办、科技信息部(信息化)、党政办公室(密码)、财会部、人力资源部、武装保卫部和相关业务部门、单位为成员单位,在公司党政和保密委员会领导下,组织协调公司涉密信息系统安全保密管理工作。
第九条保密办主要职责:
(六)对涉密信息系统中各应用系统进行定密、变更密级和解密工作进行审核;
(七)组织查处涉密信息系统失泄密事件。
第十条。
科技信息部、财会部主要职责是:
(一)组织、实施涉密信息系统的规划、设计、建设,制定安全保密防护方案;
小组批准后组织实施,确保安全技术措施有效、可靠;
(六)配合保密办对涉密信息系统进行安全检查,对存在的隐患进行及时整改;
(七)制定。
应急预案。
并组织演练,落实应急措施,处理信息安全突发事件。
第十一条党政办公室主要职责:
按照国家密码管理的相关要求,落实涉密信息系统中普密设备的管理措施。
第十二条相关业务部门、单位主要职责:涉密信息系统的使用部门、单位要严格遵守保密管理规定,教育员工提高安全保密意识,落实涉密信息系统各项安全防范措施;准确确定应用系统密级,制定并落实相应的二级保密管理制度。
第十三条涉密信息系统配备系统管理员、安全保密管理员、安全审计员,其职责是:
(一)系统管理员负责系统中软硬件设备的运行、管理与维护工作,确保信息系统的安全、稳定、连续运行。系统管理员包括网络管理员、数据库管理员、应用系统管理员。
(二)安全保密管理员负责安全技术设备、策略实施和管理工作,包括用户帐号管理以及安全保密设备和系统所产生日志的审查分析。
(三)安全审计员负责安全审计设备安装调试,对各种系统操作行为进行安全审计跟踪分析和监督检查,以及时发现违规行为,并每月向涉密信息系统安全保密领导小组办公室汇报一次情况。
第三章系统建设管理。
第十四条规划和建设涉密信息系统时,按照涉密信息系统分级保护标准的规定,同步规划和落实安全保密措施,系统建设与安全保密措施同计划、同预算、同建设、同验收。
第十五条涉密信息系统规划和建设的安全保密方案,应由具有“涉及国家秘密的计算机信息系统集成资质”的机构编制或自行编制,安全保密方案必须经上级保密主管部门审批后方可实施。
第十六条涉密信息系统规划和建设实施时,应由具有“涉及国家秘密的计算机信息系统集成资质”的机构实施或自行实施,并与实施方签署保密协议,项目竣工后必须由保密办和科技信息部共同组织验收。
第十七条对涉密信息系统要采取与密级相适应的保密措施,配备通过国家保密主管部门指定的测评机构检测的安全保密产品。涉密信息系统使用的软件产品必须是正版软件。
第一节信息分类与控制。
第十八条涉密信息系统的密级,按系统中所处理信息的最高密级设定,严禁处理高于涉密信息系统密级的涉密信息。
第十九条涉密信息系统中产生、存储、处理、传输、归档和输出的文件、数据、图纸等信息及其存储介质应按要求及时定密、标密,并按涉密文件进行管理。电子文件密级标识应与信息主体不可分离,密级标识不得篡改。涉密信息系统中的涉密信息总量每半年进行一次分类统计、汇总,并在保密办备案。
第二十条涉密信息系统应建立安全保密策略,并采取有效措施,防止涉密信息被非授权访问、篡改,删除和丢失;防止高密级信息流向低密级计算机。涉密信息远程传输必须采取密码保护措施。
第二十一条向涉密信息系统以外的单位传递涉密信息,一般只提供纸质文件,确需提供涉密电子文档的,按信息交换及中间转换机管理规定执行。
第二十二条清除涉密计算机、服务器等网络设备、存储介质中的涉密信息时,必须使用符合保密标准、要求的工具或软件。
第二节用户管理与授权。
第二十三条根据本部门、单位使用涉密信息系统的密级和实际工作需要,确定人员知悉范围,以此作为用户授权的依据。
第二十四条用户清单管理。
(三)删除用户时,由用户本人所在部门、单位书面通知科技信息部,核准后由安全保密管理员即时将用户在涉密信息系统内的所有帐号、权限废止;“财务会计核算网”密办审核,公司分管领导审批。开通、审批坚持“工作必须”的原则。
第六十四条国际互联网计算机实行专人负责、专机上网管理,严禁存储、处理、传递涉密信息和内部敏感信息。接入互联网的计算机须建立使用登记制度。
第六十五条上网信息实行“谁上网谁负责”的保密管理原则,信息上网必须经过严格审查和批准,坚决做到“涉密不上网,上网不涉密”。对上网信息进行扩充或更新,应重新进行保密审查。
第六十六条任何部门、单位和个人不得在电子邮件、电子公告系统、聊天室、网络新闻组、博客等上发布、谈论、传递、转发或抄送国家秘密信息。
第六十七条从国际互联网或其它公众信息网下载程序和软件工具等转入涉密系统,经科技信息部审批后,按照信息交换及中间转换机管理规定执行。
第九章便携式计算机管理。
第六十八条便携式计算机(包括涉密便携式计算机和非涉密便携式计算机)实行“谁拥有,谁使用,谁负责”的保密管理原则,使用者须与公司签定保密。
承诺书。
第六十九条涉密便携式计算机根据工作需要确定密级,粘贴密级标识,按照涉密设备进行管理,保密办备案后方可使用。
第七十条便携式计算机应具备防病毒、防非法外联和身份认证(设置开机密码口令)等安全保密防护措施。
第七十一条禁止使用涉密便携式计算机上国际互联网和非涉密网络;严禁涉密便携式计算机与涉密信息系统互联。
第七十二条涉密便携式计算机不得处理绝密级信息。未经保密办审批,严禁在涉密便携式计算机中存储涉密信息。处理、存储涉密信息应在涉密移动存储介质上进行,并与涉密便携式计算机分离保管。
第七十三条禁止使用私有便携式计算机处理办公信息;严禁非涉密便携式计算机存储、处理涉密信息;严禁将涉密存储介质接入非涉密便携式计算机使用。
第七十四条公司配备专供外出携带的涉密便携式计算机和涉密存储介质,按照“集中管理、审批借用”的原则进行管理,建立使用登记制度。外出携带的涉密便携式计算机须经保密办检查后方可带出公司,返回时须进行技术检查。
第七十五条因工作需要外单位携带便携式计算机进入公司办公区域,需办理保密审批手续。
第十章应急响应管理。
第七十六条为有效预防和处置涉密信息系统安全突发事件,及时控制和消除涉密信息系统安全突发事件的危害和影响,保障涉密信息系统的安全稳定运行,科技信息部和财会部应分别制定相应应急响应预案,经公司涉密信息系统安全保密领导小组审批后实施。
第七十七条应急响应预案用于涉密信息系统安全突发事件。突发事件分为系统运行安全事件和泄密事件,根据事件引发原因分为灾害类、故障类或攻击类三种情况。
(一)灾害事件:根据实际情况,在保障人身安全前提下,保障数据安全和设备安。
5、其它未列出的不确定因素造成的事件,结合具体的情况,做出相应的处理。不能处理的及时咨询,上报公司信息安全领导小组。
第七十八条按照信息安全突发事件的性质、影响范围和造成的损失,将涉密信息系统安全突发事件分为特别重大事件(i级)、重大事件(ii级)、较大事件(iii级)和一般事件(iv级)四个等级。
(一)一般事件由科技信息部(或财会部)依据应急响应预案进行处置;
(四)特别重大事件由公司报请中核集团公司对信息安全突发事件进行处置。
第七十九条发生突发事件(如涉密数据被窃取或信息系统瘫痪等)应按如下应急响应的基本步骤、基本处理办法和流程进行处理:
(一)上报科技信息部和保密办;
(二)关闭系统以防止造成数据损失;
(三)切断网络,隔离事件区域;
(四)查阅审计记录寻找事件源头;
(五)评估系统受损程度;
(六)对引起事件漏洞进行整改;
(七)对系统重新进行风险评估;
(八)由保密办根据风险评估结果并书面确认安全后,系统方能重新运行;
(九)对事件类型、响应、影响范围、补救措施和最终结果进行详细的记录;
(十)依照法规制度对责任人进行处理。
第八十条科技信息部、财会部应会同保密办每年组织一次应急响应预案演练,检验应急响应预案各环节之间的通信、协调、指挥等是否快速、高效,并对其效果进行评估,以使用户明确自己的角色和责任。应急响应相关知识、技术、技能应纳入信息安全保密培训内容,并记录备案。
第十一章人员管理。
第八十一条各部门、单位每年应组织开展不少于1次的全员信息安全保密知识技能教育与培训,并记录备案。
第八十二条。
涉密人员离岗、离职,应及时调整或取消其访问授权,并将其保管的涉密设备、存储介质全部清退并办理移交手续。
第八十三条承担涉密信息系统日常管理工作的系统管理员、安全保密管理员、安全审计管理员应按重要涉密人员管理。
第十二章督查与奖惩。
第八十四条公司每年应对涉密信息系统安全保密状况、安全保密制度和措施的落实情况进行一次自查,并接受国家和上级单位的指导和监督。涉密信息系统每两年接受一次上级部门开展的安全保密测评或保密检查,检查结果存档备查。
第八十五条检查涉密计算机和信息系统的保密检查工具和涉密信息系统所使用的安全保密、漏洞检查(取证)软件等,应覆盖保密检查的项目,并通过国家保密局的检测。安全保密检查工具应及时升级或更新,确保检查时使用最新版本。
第八十六条各部门、单位应将员工遵守涉密计算机及信息系统安全保密管理制度的情况,纳入保密自查、考核的重要内容。对违反本规定造成失泄密的当事人及有关责任人,按公司保密责任考核及奖惩规定执行。
第十三章附则。
第八十七条本规定由保密办负责解释与修订。
第八十八条本规定自发布之日起实施。原《计算机磁(光)介质保密管理规定)[制度编号:(厂1908号)]、《涉密计算机信息系统保密管理规定》[制度编号:(20xx)厂1911号]、《涉密计算机采购、维修、变更、报废保密管理规定》[制度编号:(20xx)厂1925号]、《国际互联网信息发布保密管理规定》[制度编号:(20xx)厂1926号]、《涉密信息系统信息保密管理规定》[制度通告:(20xx)0934号]、《涉密信息系统安全保密管理规定》[制度通告:(20xx)0935号]同时废止。
第1条为了加强知识产权保护,防止信息数据丢失和外泄,保持信息系统库正常运行,特制定安全保密制度。
第2条安全保障对象包括办公场所安全,设备安全,软件安全,系统库安全,计算机及通信安全;保密对象包括档案资料,医疗数据资料,信息系统库资料。
第3条信息中心主任、工程师必须严格执行国家的有关规定和院里的有关制度,认真管理档案、医疗数据资料、数据库系统。
第4条信息中心的所有工作人员必须严格遵守院里的。
规章制度。
和信息中心的有关规定,认真做好档案、医疗数据资料、数据库系统的管理和维护工作。
第5条未经院领导和信息中心负责人同意,非管理人员不得进入控制机房,不得擅自操作系统服务器、镜像服务器、应用服务器、控制服务器及控制机房的其他设备。
第6条未经院领导和信息中心负责人同意,严禁任何人以任何形式向外提供数据。实行严格的安全准入制度,档案管理、信息系统管理、作业流程管理权限明确。管理者在授权范围内按资料应用程序提供数据。
第7条档案资料安全保密管理,遵循《档案库房管理制度》、《保密守册》、《档案室职责》、《档案资料利用管理规定》、《档案安全消防措施》执行。
第8条医疗数据资料、信息系统库资料,除参照执行第7条相关规定外,还应遵循:
第1款资料建档和资料派发要履行交接手续。
作业流程把关、资料完整性检查、数据杀毒处理;数据处理员要严格按照“基础地理信息系统建库技术规范”要求作业;专检员要严格按照“资料成果专检”规定把关;系统入库员、系统管理员、网络管理员要保证入库、出库数据质量和数据安全保密。
第3款定期对数据库进行检查、维护,发现问题及时解决和备案,保证数据库系统的正常运行。
第4款未经许可数据库内的数据信息不得随意修改或删除,更不能对外提供。
第5款除授权管理人员外,未经许可,任何人不能动用他人设备,不得通过网络(局域网、vpn虚拟专网、内部网等)联机调阅数据。
第6款医疗数据资料按规定要求进行计算机建档和处理,数据入库后要及时删除工作终端中的原有数据。
第7款严格遵守信息中心工作流程,不得做任何违反工作流程的操作。
第8款定期对数据库的信息数据进行备份,要求每增加或更新批次,数据备份一次,包括异地热机备份和刻盘备份两种方式;每月定期刻盘两套,异地保存。
第9条软件开发要求功能齐全、操作方便、容错能力强、运行效率高、安全保密性好,建库技术标准规范、应用服务体系完善。
第10条信息中心办公场所要建立防火、防盗、防爆、防尘、防潮、防虫、防晒、防雷击、防断电、防腐蚀、防高温等基本防护设施。消除安全隐患,杜绝安全事故。
第11条权限管理是生产有序进行和信息资料合法利用的有效保证。任何法人或自然人只能在授权范围操作。
第12条权限管理从安全级别上分为绝密、机密、秘密;从适用对象上分为高级管理员、系统管理员、高级用户、中级用户、一般用户、特殊用户;从操作承载体上分为服务器(包括系统服务器、镜像服务器、应用服务器和控制服务器)、工作终端、用户终端;从设定内容上分为完全控制、权限设置变更废止、创建、删除、添加、编辑、更新、运行、读取、拷贝、其他操作。
第3款高级管理员为最高权限人,设定权限为完全控制,即拥有对所有用户名及密钥管理,查看系统运行日志,拥有对服务器、终端的所有权限管理,即对绝密、机密、秘密资料拥有权限、创建、删除、添加、编辑、更新、运行、读取、拷贝及其他操作权;系统管理员权限包括对工作终端用户名及密钥管理,拥有对服务器(不包括控制服务器)和终端所有权限管理,即对机密、秘密资料拥有权限、创建、删除、添加、编辑、更新、运行、读取、拷贝及其他操作权;高级用户在本工作终端拥有对系统服务器中的机密、秘密资料进行编辑、更新、运行、读取、部分拷贝及其他操作权;中级用户在本工作终端拥有对系统服务器中的秘密资料进行更新、运行、读取、部分拷贝及其他操作权;一般用户在本工作终端拥有对系统服务器中的秘密资料进行读取、部分拷贝及其他操作权;特殊用户在本工作终端拥有对应用服务器中的机密资料进行读取、部分拷贝及其他操作权。
第13条控制服务器中建立运行日志,以便记录系统运行痕迹。运行日志中至少包括各服务器开关记录及运行诊断情况记录;信息系统库运行情况记录;各终端访问系统服务器时的用户名、对象级别、访问内容、访问起止时间。运行日志中内容记录方式以时间为序。
第14条强化信息安全保密管理,加强安全保密意识教育。因人为原因造成信息数据泄密及安全事故,追究当事人责任;触犯法律的,依法追究。
信息中心。
涉密信息系统安全保密管理制度
一、为保障局内计算机信息系统安全,防止计算机网络失密泄密事件发生,根据《中华人民共和国计算机信息系统安全保护条例》及有关法律法规,结合本局实际制定本局的安全保密制度。
二、为防止病毒造成严重后果,对外来光盘、软件要严格管理,原则上不允许外来光盘、软件在局内局域网计算机上使用。确因工作需要使用的,事先必须进行防(杀)毒处理,证实无病毒感染后,方可使用。
三、严格限制接入网络的计算机设定为网络共享或网络共享文件,确因工作需要,要在做好安全防范措施的前提下设置,确保信息安全保密。
四、为防止黑客攻击和网络病毒的侵袭,接入网络的计算机一律安装杀毒软件,及时更新系统补丁和定时对杀毒软件进行升级,并安装必要的局域网arp拦截防火墙。
五、本局酝酿或规划重大事项的材料,在保密期间,将有关涉密材料保存到非上网计算机上。
六、各科室禁止将涉密办公计算机擅自联接国际互联网。
七、保密级别在秘密以下的材料可通过电子信箱、qq或msn传递和报送,严禁保密级别在秘密以上(含秘密)的材料通过电子信箱、qq或msn传递和报送。
一、岗位管理制度:
(一)计算机上网安全保密管理规定
1、未经批准涉密计算机一律不许上互联网,如有特殊需求,必须事先提出申请报主管领导批准后方可实施,并安装物理隔离卡,在相关工作完成后撤掉网络。
2、要坚持“谁上网,谁负责”的原则,各科室科长负责严格审查上网机器资格工作,并报主管领导批准。
3、国际互联网必须与涉密计算机系统实行物理隔离。
4、在与国际互联网相连的信息设备上不得存储、处理和传输任何涉密信息。
5、加强对上网人员的保密意识教育,提高上网人员保密观念,增强防范意识,自觉执行保密规定。
(二)涉密存储介质保密管理规定
1、涉密存储介质是指存储了涉密信息的硬盘、光盘、软盘、移动硬盘及u盘等。
2、有涉密存储介质的科室需妥善保管,且需填写“涉密存储介质登记表”。
3、存有涉密信息的存储介质不得接入或安装在非涉密计算机或低密级的计算机上,不得转借他人,不得带出工作区,下班后存放在本单位指定的柜中。
4、各科室负责管理其使用的各类涉密存储介质,应当根据有关规定确定密级及保密期限,并视同纸制文件,按相应密级的文件进行分密级管理,严格借阅、使用、保管及销毁制度。借阅、复制、传递和清退等必须严格履行手续,不能降低密级使用。
5、涉密存储介质的维修应保证信息不被泄露,需外送维修的要经主管领导批准,维修时要有涉密科室科长在场。
6、不再使用的涉密存储介质应由使用者提出报告,由
单位领导批准后,交主管领导监督专人负责定点销毁。
二、人员管理制度及操作规程:
(一)计算机维修维护管理规定
1、涉密计算机系统进行维护检修时,须保证所存储的涉密信息不被泄露,对涉密信息应采取涉密信息转存、删除、异地转移存储媒体等安全保密措施。无法采取上述措施时,涉密科室科长必须在维修现场,对维修人员、维修对象、维修内容、维修前后状况进行监督并做详细记录。
2、各涉密科室应将本科室设备的故障现象、故障原因、扩充情况记录在设备的维修档案记录本上。
3、凡需外送修理的涉密设备,必须经主管领导批准,并将涉密信息进行不可恢复性删除处理后方可实施。
4、高密级设备调换到低密级单位使用,要进行降密处理,并做好相应的设备转移和降密记录。
5、由办公室指定专人负责各涉密科室计算机软件的安装和设备的维护维修工作,严禁使用者私自安装计算机软件和擅自拆卸计算机设备。
6、涉密计算机的报废交主管领导监督专人负责定点销毁。
(二)用户密码安全保密管理规定
1、用户密码管理的范围是指本局所有涉密计算机所使用的密码。
2、机密级涉密计算机的密码管理由涉密科室负责人负责,秘密级涉密计算机的密码管理由使用人负责。
3、用户密码使用规定。
(1)密码必须由数字、字符和特殊字符组成;
(2)秘密级计算机设置的密码长度不能少于8个字符,密码更换周期不得多于30天;
(3)机密级计算机设置的密码长度不得少于10个字符,密码更换周期不得超过7天;
4、密码的保存。
(1)秘密级计算机设置的用户密码由使用人自行保存,严禁将自用密码转告他人;若工作需要必须转告,应请示主管领导认可。
(2)机密级计算机设置的用户密码须登记造册,并将密码本存放于保密柜内,由科室主任、科长管理。
(三)涉密电子文件保密管理规定
1、涉密电子文件是指在计算机系统中生成、存储、处理的机密、秘密和内部的文件、图纸、程序、数据、声像资料等。
2、电子文件的密级按其所属项目的最高密级界定,其生成者应按密级界定要求标定其密级,并将文件存储在相应的目录下。
3、各用户需在本人的计算机系统中创建“机密级文件”、“秘密级文件”、“内部文件”三个目录,将系统中的电子文件分别存储在相应的目录中。
4、电子文件要有密级标识,电子文件的密级标识不能与文件的正文分离,一般标注于正文前面。
5、电子文件必须定期、完整、真实、准确地存储到不可更改的介质上,并集中保存,然后从计算机上彻底删除。
悉此备份的人数,做好登记后进保密柜保存。
7、各科室要对备份电子文件进行规范的登记管理。备份可采用磁盘、光盘、移动硬盘、u盘等存储介质。
8、涉密文件和资料的备份应严加控制。未经许可严禁私自复制、转储和借阅。对存储涉密信息的磁介质应当根据有关规定确定密级及保密期限,并视同纸制文件,分密级管理,严格借阅、使用、保管及销毁制度。
9、备份文件和资料保管地点应有防火、防热、防潮、防尘、防磁、防盗设施,并进行异地备份。
(四)涉密计算机系统病毒防治管理规定
1、涉密计算机必须安装经过国家安全保密部门许可的查、杀病毒软件。
2、每周升级和查、杀计算机病毒软件的病毒样本。确保病毒样本始终处于最新版本。
3、绝对禁止涉密计算机在线升级防病毒软件病毒库,同时对离线升级包的来源进行登记。
4、每周对涉密计算机病毒进行一次查杀检查。
5、涉密计算机应限制信息入口,如软盘、光盘、u盘、移动硬盘等的使用。
6、对必须使用的外来介质(磁盘、光盘,u盘、移动硬盘等),必须先进行计算机病毒的查、杀处理,然后才可使用。
7、对于因未经许可而擅自使用外来介质导致严重后果的,要严格追究相关人员的责任。
(五)上网发布信息保密规定
1、上网信息的保密管理坚持“谁发布谁负责”的原则。凡
向国际联网或本单位的网站提供或发布信息,必须经过保密审查批准,报主管领导审批。提供信息的单位应当按照一定的工作程序,健全信息保密审批制度。
2、凡以提供网上信息服务为目的而采集的信息,除在其它新闻媒体上已公开发表的,组织者在上网发布前,应当征得提供信息单位的同意。凡对网上信息进行扩充或更新,应当认真执行信息保密审核制度。
3、涉密人员在其它场所上国际互联网时,要提高保密意识,不得在聊天室、电子公告系统、网络新闻上发布、谈论和传播国家秘密信息。
4、使用电子函件进行网上信息交流,应当遵守国家保密规定,不得利用电子函件传递、转发或抄送国家秘密信息。
2015年3月1日
一、计算机信息系统保密管理
1、涉密计算机系统保密建设方案应经过市委保密委员会的审查批准,未经审批不得投入运行。
2、进入涉密计算机系统应进行身份鉴别,要按要求设置并定期更新涉密系统口令。
3、涉密计算机系统应当与国际互联网物理隔离。严禁以任何方式将涉密计算机联入国际互联网或其他非涉密计算机系统。
4、涉密计算机系统工作场所应作为保密要害部位进行管理。
5、机关工作人员不得越权访问涉密信息。
6、涉密计算机系统安全保密管理员、密钥管理员和系统管理员应由不同人员担任,并且职责明确。
二、涉密计算机使有管理
1、承担涉密事项处理的计算机应专机专用,专人管理,严
格控制,不得他人使用。
2、禁止使用涉密计算机上国际互联网或其它非涉密信息系统。
3、严格一机两用操作程序,未安装物理隔离卡的涉密计算机严禁连接国际互联网或其它非涉密信息系统。
4、涉密计算机系统的软件配置情况及本身有涉密内容的各种应用软件,不得进行外借和拷贝。
5、未经许可,任何私人的光盘、软盘、u盘不得在涉密计算机机设备上使用;涉密计算机必需安装防毒软件并定期升级。
三、笔记本电脑使用管理
1、涉密笔记本电脑由办公室统一管理,使用时必须履行登记手续。
2、涉密笔记本电脑严禁安装无线网卡等无线设备,严禁联接国际互联网。
3、涉密笔记本电脑限委机关工作人员使用,禁止将涉密笔记本电脑借与他人。
4、涉密笔记本电脑中的涉密信息不得存入硬盘,要存入软盘、移动硬盘、u盘等移动存储介质,必须定期清理,与涉密笔记本电脑分离保管。
5、不准携带储涉密信息的笔记本电脑出国或去公共场所,确因工作需要携带的,必须办理相关审批手续。
四、移动存储介质使用管理
1、涉密存储介质由办公室统一管理,使用时必须履行登记手续。
2、涉密存储介质应按存储信息的最高密级标注密级,并按相同密级的秘密载体管理。
3、禁止将涉密存储介质接入非涉密计算机使用。
4、不得将涉密存储价质带出办公场所,如因工作需要必须带出的,需履行相应的审批和登记手续。
5、个人使用的u盘等移动存储介质,不得存储涉密信息,因工作需要必须使用的,使用后要及时消除密信息。
五、数码复钱机、多功能一体机使用管理
1、数码复印机、多功能一体机必须指定专人使用,其他任何人未经许可,不得使用。
2、处理涉密信息的数码复印机、多功能一体机不得连接普通电话线,不得与委局域网连接。
3、复制涉密文件、资料、图纸等必须严格履行审批手续,复制件必须按密件处理,不得降低密级使用。
4、处理涉密信息完毕后,必须立即销毁存储的涉密信息。
六、国际互联网上发布信息保密制度
1、在国际互联网上发布信息必须由办公室统一管理,指定专人负责操作,其它科室和个人不得擅自在互联网上发布涉及工作内容的任何信息。
2、在国际互联网上发布涉及工作内容的信息必须履行审批手续,必须由市建设口保密领导小组审查后,交一把手书记签批手方可发布。
3、严禁将任何涉密文件、信息等发布到国际互联网上。
4、严禁将案件、信访信息发布到国际互关风上。
本制度从发文之日起执行。
第一章 总 则
第一条 *******计算机信息系统是全县农村信用社发展各项业务的核心技术手段,为了保护计算机网络系统的安全,根据《中华人民共和国保守国家秘密法》、《计算机信息系统保密暂行规定》等法律、法规制订本办法。
第二条 本办法所称的计算机信息系统,是指由计算机、网络设备、数据信息以及其相关配套的设备、设施构成的,按照一定的应用目标和规则对数据信息进行采集、加工、存储、传输、检索等处理的人机系统。
第三条 本办法下列用语的含义。
计算机信息系统安全是指计算机信息系统的硬件、软件、网络和数据的安全必须受到保护,不因自然的和人为的原因而遭到破坏、更改和丢失,以保证计算机信息系统能连续正常运行。
计算机信息系统保密是指对涉及*******商密的'包括但不限于计算机信息系统的软件、硬件、系统数据信息、技术开发文档、管理及操作规定、自有知识产权产品等资料、信息保守秘密,包括利用密码技术对信息进行加密处理,防止信息非法泄露,保障*******的利益。
第四条 计算机信息系统的安全保密,指保障计算机、数据
信息网络及其相关的和配套的设备、设施的安全,保障运行环境(机房)的安全,保障信息的安全,保障计算机和网络功能的正常发挥,防止工作或政治因素造成的失密、泄密,防止人为或自然灾害等造成的破坏,以及防止利用计算机犯罪等。
第五条 *******计算机网络系统安全领导小组(以下简称“计算机安全领导小组”)的领导下,科技部门按相关管理规定,负责计算机信息系统安全保密工作。
第六条 *******(以下简称“***”)各部室必须指定专人负责本部门有关信息系统的安全保密工作,其主要职责是:
(一)定期向***保密委报告安全保密工作情况;
(二)督促本部门安全保密措施的贯彻执行;
(三)组织安全保密检查;
(四)进行安全保密教育。
第七条 任何单位和个人,不得利用计算机网络系统从事或危害农村信用社利益的活动,不得危害计算机网络系统的安全。
第二章 计算机及网络系统
第八条 设备选型、购置须经充分论证,做好验收,对密钥、密码、参数等信息应做好接交保管,网络设备要特别关注其保密性能。
第九条 购入的计算机网络安全设备,必须经国家有关部门进行安全、保密认证,系统运行期间,不得随意更改其系统配置。
第十条 建立常规硬件系统维护管理制度,保持维护计算机和网络设备、工具和资料处于良好状态,备件应有库存帐,可随时查阅,并根据具体情况补充和更新。防止重大事故,应有应急处理的措施。
第十一条 各级操作人员必须进行必要的安全保密培训,在职责范围内严格按相关操作规程进行操作。
第十二条 应用系统软件、数据应有备份;有故障时能及时采取措施进行处理,并应对工作人员定期进行训练和演习。 第十三条 应用系统在设计上严格控制涉密文件信息查询、检索的人员范围,严格管理用户使用权限。系统软硬件一经安装、调试、正式运行,各部(室)、***、**未经***科技部门许可,不得自行对其更改配置。
第十四条 制定设备、软件管理细则,应用软件开发要严格按照有关规定执行。
第十五条 计算机操作(或应用)系统版本的更新、升级须拟出方案,应用系统须经过严测试,凭更新、升级方案和测试报告,经科技部门负责人批准后由系统维护人员进行,应用系统的文档资料,无关人员一律不得查阅。
第十六条 传输秘密以上级别的信息时,通信两端设备需在相应安全环境中,对所传输数据,要采取加密措施。
第三章 介质、资料的管理
第十七条 应用系统使用、产生的介质(磁性存储介质、电
子存储介质、光存储介质等)或资料(纸质文档、电子文档、程序等)要按其重要性进行分类,对存放有关键或重要数据的介质和资料,应复制必要的份数,并分别存放在不同的安全地方,建立严格的保密保管制度。
第十八条 保留在机房内的介质或资料,应为系统有效运行所必需的最少数量,除此之外,不应保留在机房内。
第十九条 存放介质、资料的库房,必须设有防火、防潮、防高温、防震、防电磁场、防静电及防盗等的设施。
第二十条 介质(资料)库,应设专人负责登记保管,未经批准,不得向第三方提供。
第二十一条 系统内有关人员在使用介质(资料)期间,应严格按国家相关保密规定进行控制,不得转借或复制,需要使用或复制的须经相关领导批准。
第二十二条 库房保管人对所有介质(资料)应定期检查,根据介质的安全保存期限,及时更新复制。损坏、废弃或过期的介质(资料)应由专人负责处理,秘密级以上的介质(资料)在超过保密期或废弃不用时,要及时销毁。
第二十三条 机密数据处理作业结束时,应及时清除存储器、联机磁带、磁盘及其它介质上有关作业的程序和数据,应及时销毁废弃的打印纸。
第四章 计算机及网络系统的环境
第二十五条 机房选点尽量避开便于驻留无关人员的场所。 第二十六条 计算机系统设备场地,应具备应急照明供电;应急报警设施,应急安全断电线路。
第二十七条 在计算机房、办公设施、通讯及动力设施附近施工危害计算机信息系统安全的,由***会同有关单位进行交涉。
第二十八条 制定机房出入管理制度,对每个工作人员授予不同权限,规定活动区域。设立值班人员负责监督制度的执行和安全保卫工作。
第五章 安全保密制度
第二十九条 计算机信息系统的建设和应用,应当遵守国家有关法律、行政法规和***其它有关规定。
安全等级保护的具体办法由省清算中心制定。
第三十一条 计算机机房、办公、防雷、消防、通讯及供配电设施应当符合国家标准和国家有关规定。在上述设施附近施工,不得危害计算机网络系统的安全。因施工危害计算机信息系统安全的,由相关部门与施工单位进行交涉。
第三十二条 要求接入国际互联网的计算机,由使用部门提出申请,经科技部门按规定审核后,报分管领导审批。
第三十三条 携带或邮寄计算机介质(资料)的,应当如实向***计算机安全领导小组申报。
第三十四条 对计算机信息系统中发生的案件,应按规定及时向***及相关部门报告。 第三十五条 联网计算机应定期进行查、杀病毒操作,发现计算机新病毒,应按照规定及时向*******计算机病毒防治工作小组报告。
第六章 人员内控管理
第三十六条 人员审查。
人员的审查必须根据计算机网络系统所规定的安全等级来确定审查标准。凡接触系统安全三级以上信息系统的所有人员,必须按机要人员的条件进行审查。
第三十七条 关键岗位人选。
以保证这部分人员可信可靠,能胜任本职工作。关键岗位人员要实行定期强制休假制度。 第三十八条 人员培训。
计算机信息系统上岗的所有工作人员,均需由有关部门组织上岗培训,包括计算机及网络操作、维护培训、应用软件操作培训、计算机网络系统安全课程及保密教育培训,经培训合格的人员持证上岗。
第三十九条 人员考核。
人事部门要定期组织有关方面人员对计算机网络系统所有的工作人员从政治思想、业务水平、工作表现、遵守安全规程等方面进行考核,对于考核发现有违反安全法规行为的人员或发现不适于接触计算机网络系统的人员要及时调离岗位,不应让其再接触系统,对情节严重的应追究其法律责任。 第四十条 签订保密协议。
对于所有进入计算机网络系统工作的人员,均应签订保密契约,承诺其对系统应尽的安全保密义务,保证在岗工作期间和离岗后均不得违反保密契约,泄漏系统秘密。对违反保密契约的,应有惩处条款。对接触机密信息的人员,应规定在离岗后的多长时期内不得离境。
第四十一条 人员调离。
资料。更换系统口令和用户名。自调离决定通知之日起,必须立即进行上述工作,不得拖延。
第七章 操作安全管理
第四十二条 系统操作安全管理目标。
系统操作是指对计算机信息系统开发、操作、维护、系统管理等人员的行为或活动。全县农村信用社计算机信息系统操作安全管理的目标是:
(一)对系统管理及系统操作均应进行有效的监督或监控;
(二)所有接触系统的人员均应承担与其工作性质相应的安全责任。
第四十三条 计算机操作人员分类。
对计算机信息系统的操作人员,应根据计算机信息系统有限职责、有限使用授权原则进行分类。
(一)营业网点操作员、管理人员。
(二)事后监督系统操作员、管理人员。
(三)办公自动化系统操作、管理人员。
(四)网络及硬件维护人员。
(五)系统运行维护人员。
(六)中心系统管理人员。
(七)安全管理人员。
第四十四条 系统操作控制管理。
(一)应按照分工负责、互相制约的原则制定各类系统操
(二)各类人员在履行职责时要按规定行事,不得从事超越自己职责以外的任何操作。
(三)在对生产系统和监督系统进行系统维护、恢复、强行更改数据时,至少应有两名操作人员在场、并进行详细的登记及签名。
(四)系统稽核人员、安全管理人员有权对生产系统进行监督与核查,但该过程必须履行必要的手续和按照一定的程序进行。
(五)应为长期从事计算机工作的人员创造合适的人机工作环境。使他们享有相应的劳动保护,定期进行专门体检,保持身心健康。
第八章 安全保密监督
第四十五条 科技部门对计算机信息系统安全保密工作,行使下列监督职权:
(一)监督、检查、指导计算机信息系统安全保密工作;
(二)检查危害计算机信息系统安全的违规事件;
议对策。
第九章 奖励和惩处
第四十七条 违反本办法的规定,有下列行为之一的,由计算机安全领导小组处以警告或者停机整顿,严重的应依据《中华人民共和国保守国家秘密法》的有关条款进行处理并追究单位领导的责任。
(一)违反计算机信息系统安全等级制度,危害计算机信息系统安全的;
(二)不按照本办法规定时间报告计算机信息系统中发生的案件的;
(三)接到有关要求改进安全保密状况的通知后,在限期内不予改进的;
(四)对本办法贯彻不力,造成事故隐患,影响系统正常运行的;
(五)违反本办法造成严重损失或造成重大失泄密的。 第四十八条 对于引入计算机病毒以及其他有害数据危害计算机信息系统安全的,或者未经许可使用计算机信息系统安全专用产品的单位和个人,由***给予严肃处理。
第四十九条 凡是认真贯彻本规定要求,维护系统安全运行,杜绝事故发生,防止失泄密成绩显著者,或迅速排除故障,恢复系统正常运行或减少损失者,***应视情况给予表彰。