第一条 为了加强检察院办公自动化、计算机信息系统保密管理,确保国家秘密、检察院涉密网工作秘密的安全,并根据国家保密法及有关规定,结合检察院涉密网实际,特制定本制度。
第二条 本制度适用于检察院对涉及国家秘密、检察院工作秘密的通讯、办公自动化及计算机信息系统的保密工作。
第三条 本制度所称计算机包括:涉密计算机、非涉密计算机和计算机信息系统。
第四条 本制度所称的办公自动化、计算机信息系统是指以计算机、电话机、传真机、打印机、文字处理机、声像设备等终端设备利用计算机、通讯、网络等方面的技术进行信息采集、处理、存储和传输的组合。规划和建设涉密计算机系统,应当符合《涉及国家秘密的计算机系统保密技术要求》,同步规划和落实相应的保密技术防范措施。
第五条 本制度所称的保密设施是指为防止涉密信息的泄露或者被非法窃取而采用的设备、技术、管理的组合。
第六条 检察院保密委员会办公室主管检察院计算机系统的保密工作,按“业务管到哪里,保密工作就管到哪里”的原则,涉密系统的日常管理由宿城区人民检察院管理,保密办监督、检查和指导,业务系统负责本系统的保密工作。
第七条 对涉密信息系统管理原则是:同步建设,严格审批,加大投入,规范管理。
第八条 对公共信息系统(网)管理原则是:控制源头,加强检查,明确责任,落实制度。
第二章 涉密计算机信息系统保密管理
第九条 计算机信息系统的建设,按照国家保密局《计算机信息系统保密管理暂行规定》和《计算机信息系统国际互联网保密管理规定》及涉及国家秘密的计算机信息系统安全保密方案设计指南执行。涉密计算机信息系统保密应经国家涉密信息系统测评机构测评合格后方可投入使用。
第十条 涉密计算机信息系统的建设必须由具备保密资质的单位来承建。按照国家保密局《涉及国家秘密的计算机信息系统集成资质管理办法(试行)》执行。
第十一条 规划和建设涉密系统,应当同时规划落实相应的保密设施。
第十二条 涉密计算机信息系统在投入使用前须经过上级保密主管部门审批,未通过审批的计算机信息系统不准运行涉密信息。处理涉密信息的级别不得超越审批级别。
第十三条 涉密计算机信息系统中心机房、绝密级计算机系统工作场所等应作为保密要害部门部位进行管理。
第十五条 涉密系统有关设备电磁泄露发射应符合下列要求:
(一)有关设备应当具有符合国家标准《电话机电磁泄露发限值和测试方法》(RMH-1)或者中华人民共和国公共安全和保密标准《信息设备电磁泄漏发射限值》(GBB-1)的相应标识;
(二)不符合GCB-1 标准的设备在处理秘密级、机密级信息的系统中使用,应当安装经国家主管部门批准的干扰器;
第十六条 涉密系统投入使用之前,保密部门应当对涉密系统单位报送的保密设施情况书面材料进行审查,最终报宿城区保密局审查。
第十七条 涉密系统在使用前,应通过保密部门组织的有关主要部门、专家对涉密系统的安全检查。涉密系统应当严格执行《宿城区人民检察院计算机安全保密管理制度》。
第十八条 涉密计算机信息系统应当与国际互联网物理隔离。严禁以任何方式将涉密计算机联入国际互联网或其他非涉密计算机系统。
第十九条 涉密计算机信息系统管理员、安全保密管理员和安全审计员应由不同人员担任,并且职责明确。及时进行培训考核,并按涉密人员进行审查管理,签订保密协议。
第二十条 涉密信息系统的主要设备、软件、数据、电源等应有备份,并有技术措施和组织措施能够在较短时间内恢复系统运行。
第二十一条 系统审计员应定期审查系统日志并作审查记录。机密级以下涉密系统审查周期不得长于1 个月。
第二十二条 系统管理员应定期对涉密信息系统进行病毒扫描和系统漏洞扫描,采用国家有关主管部门批准的查杀软件,并定期进行病毒程序的升级和安装系统补丁。
第二十三条 保密部门应当配备能检测涉密系统有关参数的技术检查设备。
第三章 涉密计算机及终端设备管理
第二十四条 进入涉密计算机信息系统。要按要求设置并定期更新系统密码。涉密系统身份认证应当符合以下要求:
(一) 密码必须由数字、字符和特殊字符组成;
(二) 秘密级设置的密码长度不能少于8个字符,密码更换周期不得多于30天;
(三) 机密级设置的密码长度不能少于10个字符,密码更换周期不得超过7天;
(四) 涉密计算机需要分别设置BIOS、操作系统开机登录、系统管理员和屏幕保护密码。
第二十五条 密码的保存
(一) 秘密级设置的用户密码须登记造册,由使用人自行保存,严禁将自用密码转告他人;若必经转告,应请本单位负责人认可;
(二) 机密级设置的用户密码须登记造册,并将密码本存放于密码柜内,由系统管理员负责管理。
第二十六条 涉密信息的存储、传输应当符合以下要求:
(一)凡存放涉密文件、磁盘等载体场所应当配置铁质密码柜;
(二)秘密级、机密级信息应当加密传输。涉密系统安全处于主管部门(单位)独立使用和管理的封闭建筑群内,可以只采取物理保护措施;
(三)使用的加密措施应当经过有关主管部门的批准, 并且与所保护的信息密级一致。
第二十七条 涉密信息处理场所应当定期或者根据需要进行保密检查。未经主管领导批准,无关人员不得入内。
第二十八条 处理涉密信息应当建立审批、收发登记、总台帐(标注、表明相应密级)制度。
第二十九条 存储过国家秘密、检察院工作秘密的信息系统,不能降低密级使用,不再使用时交宿城区人民检察院进行技术鉴定,经确认后集中保管,由保密办统一销毁。
第三十条 涉密计算机在淘汰、报废或送出进行维修前,应办理相关审批手续,由宿城区人民检察院派专人进行信息消除处理后,拆除涉密存储介质。
第三十一条 如需恢复已损坏涉密存储部件的存储信息,必须经宿城区人民检察院同意,保密办备案后,在国家保密工作部门认可具有数据恢复资质的单位进行,并由专人负责送取,做好相关日志。
第三十二条 涉密计算机及相关设备应按照《宿城区人民检察院设备与介质管理办法》进行采购,选择经国家保密测评机构认可的计算机及网络产品或设备。
第三十三条 涉密计算机、涉密存储介质及涉密网络产品或设备在使用前,由各部门到宿城区人民检察院进行登记、编号,建立统一台帐交保密办备案。标明密级,粘贴密级标识和编号。
第三十四条 未在宿城区人民检察院登记的计算机、存储介质、计算机网络产品或设备等不得接入涉密计算机系统或处理涉密信息。因特殊情况处理过涉密信息的,在部门登记后纳入检察院保密管理范畴。
第三十五条 系统管理人员必须全程配合系统提供商进行产品的安装和培训,熟练掌握产品的功能、性能和配置方法。计算机信息系统安全保密管理员必须经过培训方可对网络安全产品进行管理和使用。系统安全保密管理员每月对安装的信息安全系统运行情况进行检查,并对日志进行分析和记录,如有异常情况及时向业务主管部门和保密部门汇报。
第三十六条 产品安装后,使用人员不得擅自更改或变动涉密计算机、涉密计算机网络配置、密级标识等参数。不可擅自移动、改变用途、改变结构(包括软、硬件)、更改接口、私自维修,配置参数等更改必须征求保密办和业务主管部门的同意。
第三十七条 计算机使用人员或责任人不得私自安装任何软件,计算机中不得私自存储与工作无关的信息。常用软件由宿城区人民检察院派专人安装;专业软件由宿城区人民检察院负责监督安装。
第三十八条 调剂或购置的信息安全设备安装到指定地点后,宿城区人民检察院将发放新的台帐编号,由使用人办理部门登记手续后签收。同时需要将调剂的计算机的存储介质进行销毁。
第四章 涉密信息系统用户管理与授权
第三十九条 安全保密管理员建立完整的系统用户清单,并报检察院涉密网保密办备案。
第四十条 新增用户时,应由用户本人提出书面申请,部门主管领导审批认可,并报检察院保密办备案。
第四十一条 删除用户时,应由用户本人所在部门主管领导书面通知安全保密管理员,并报检察院保密办备案。安全保密管理员在收到通知后,应及时将用户在系统内的账号及权限废止。
第四十二条 用户系统登录时所使用的用户身份标识,应由用户本人提出书面申请,本部门负责人审批认可,并报院保密办备案后,再由系统管理员产生,并应确保用户标识在此系统生命周期中的唯一性。
第四十三条 安全保密管理员应每月检查与用户身份标识相关的日志,发现异常情况,应及时向宿城区人民检察院检察院和保密办汇报。
第四十四条 安全保密管理员应明确最小授权权限分配策略,并将所有用户的权限明细文档化。每月审查权限列表,发现异常情况,及时向宿城区人民检察院和保密办汇报。
第五章 涉密信息保密管理
第四十五条 未经批准严禁私自下载涉密信息。因工作需要打印或下载涉密信息的应当按密级文件进行管理,履行登记手续。
第四十六条 发往上级机关、所属单位的涉密电子邮件,应当通过加密网传递或涉密网传输。
第四十七条 涉密信息的定密制度和管理制度应当符合国家和检察院有关的保密规定。
第四十八条 检察院涉密网用户使用电子函件等进行网上交流信息时,不得涉及国家秘密和检察院涉密网工作秘密。各部门对其管理的信息系统,应明确保密要求,建立健全单位保密责任制,自觉接受业务部门、保密部门的保密监督检查;并根据保密要求删除秘密信息;同时发现秘密泄露或可能泄露应及时向保密部门报告。
第四十九条 与宿城区人民检察院工作无关的人员严禁接触宿城区人民检察院内部信息,不允许使用宿城区人民检察院内部设备;非涉密人员只允许知悉非涉密信息,使用的设备标识为非密;一般涉密人员允许知悉非涉密信息、秘密级文件,使用的设备标识为秘密;
第五十条 涉密计算机信息系统存储、处理、传递、输出的涉密信息要有相应的密级标识,密级标识不能与正文分离并不得随意篡改;
第五十一条 处于起草、设计、编辑、修改过程中的文档、图表、图形、数据,应在首页设密级标识;
第五十二条 对密级信息总量进行统计,并归类各个密级信息的数量与内容,定期进行分门别类的统计,与文档管理,上报保密办。
第五十三条 当系统中的秘密级信息数量或含量增多时,保密办应考虑调整系统防护措施,选择BMB17-2006中相应的更高要求,对系统内的涉密信息进行保护。
第五十四条 涉密信息在存储、传输阶段,必须采取相应的加密措施,防止信息的泄露。秘密级、机密级信息应当加密传输。使用的加密措施应与涉密信息的密级相适应,并得到主管部门批准;密级信息要严格按照知悉范围,在使用、处理、传递过程中,必须按照密级的规定进行,不在知悉范围的责任主体,不能知悉此密级信息。
第五十五条 涉密信息的复制、分发、输出,必须得到有效控制,并按相应密级的文件进行管理;
第五十六条 涉及秘密信息的数据库必须有与涉密信息密级相适应的安全保密措施,确保涉密信息在建库、检索、修改、输出等环节的安全保密,未采取技术安全保密措施的数据库不得联网。
第五十七条 宿城区人民检察院涉密网信息输入输出均受控制。没有经过审批的涉密网计算机禁止使用移动存储设备接口。
第五十八条 信息的打印由主机审计系统进行监控。信息须到部门信息保密管理员处登记,按密级文件管理。
第五十九条 涉密网电子信息的输入输出应该通过一次性使用的光盘进行。涉密U盘、移动硬盘不能接入到非密计算机中使用。
第六十条 由于涉密网计算机构成一个封闭的整体,宿城区人民检察院涉密网信息电子格式的文件输入输出应通过集中输入输出点进行,该输入输出点设在宿城区人民检察院七楼集中文印室。
第六十一条 涉密信息的电子文档输出到光盘,应按以下程序操作:
需要输出的涉密信息由申请人提出申请,填写《涉密载体(信息)流向审批及交接单》(参见附件49);
主管领导对申请输出的内容、密级进行审查,审查无误后同意输出。
宿城区人民检察院配置专用于输出的计算机,并使用输出专用帐号登录该机器,由专人核对申请表,输出信息到光盘中,并对输出信息进行记录。格式见《宿城区人民检察院涉密网信息集中输出记录表》(参见附件50);
信息输出后,必须按照涉密信息的登记、借阅管理规定和对涉密载体的使用规定进行操作;
信息使用完毕后,相关文件或载体内容应履行归档或销毁手续。
第六十二条 外部信息输入涉密网时,应按以下程序操作:
需要输入的外部信息由申请人提出申请,主管领导对申请输入的外部信息进行审查,审查无误后同意输入。信息导入完成后,由操作人员对信息进行传输等处理和操作,将信息发送到指定用户; 操作完成后,由操作人员统一记录。
第六章 涉密信息系统互联保密管理
第六十三条 秘密级信息系统与其他涉密信息系统、非涉密信息系统之间互联时,应进行需求风险评估。通过分析系统的安全漏洞和脆弱性,评估系统互联带来的风险,确定能否进行互联,或为互联双方各自的安全保密策略以及制定互联后系统的安全保密措施提供依据。
第六十四条 秘密级信息系统与其他涉密信息系统之间安全互联互通时应满足下列条件:
(一) 涉密信息系统符合分级保护要求,并在投入运行前均已通过了保密部门的审批;
(二) 系统之间的边界划分明确,采取了有效的边界防护和访问控制措施,能够防止高密级信息流向低等级信息系统。
第六十五条 秘密级信息系统与非涉密信息系统互联时,应满足下列条件:
(一)秘密级信息系统符合分级保护要求,并在投入运行前通过了保密工作部门的审批;
(二)非涉密信息系统与国际互联网或者其他公共信息网络实行物理隔离,并且其安全防护达到国家信息安全等级第三级(含)以上防护要求;
(三)秘密级信息系统与非涉密信息系统边界划分明确,采取有效的边界防护和控制措施,能够防止高密级信息流向低等级安全域;
第六十六条 对于要接入本网的其他涉密网,必须先向保密办、技术科报送网络确定密级的公文(复印件)、网络有否连接互联网的证明材料、网络建设方案、拓扑结构图和验收结果材料,并提出书面接入申请。
第六十七条 保密办、技术科接到接入申请材料后,及时召开专家论证会,对系统安全性进行评估。在两个月内向保密委员会提出接入报告。
第六十八条 保密委员会根据专家及保密办、技术科的报送意见,半个月内对申请接入单位进行书面回复。
第七章 涉密信息系统废止的相关管理制度
第六十九条 涉密信息系统不再使用时,检察院保密委员会应向负责该系统审批的保密工作部门备案。
第七十条 对报废涉密信息系统包含的涉及国家秘密信息的设备、产品、介质和文档资料按照检察院涉密设备和介质的消除和销毁规定进行处理。
第七十一条 信息消除和载体销毁处理所采用的技术、设备和措施应符合相关标准和规定,防止失泄密事件的发生。
第八章 处罚规定
第七十二条 凡公然违反以上计算机保密管理规定,引起或可能引起严重后果的行为,一经查实,先下岗,后视情节轻重给予相应的行政处罚,对触犯法律的,贪污追究其刑事责任,在对当事人处罚的同时,将追究本部门领导的责任。
第九章 附 则
第七十三条 本规定如与上级规定相冲突时,以上级规定为准。
第七十四条 违反本规定将按检察院有关保密规定处理。
第七十五条 本制度的解释权属宿城区人民检察院。
第七十六条 本制度自颁布下发之日起施行。
