1999年10月12日市委办公室、市政府办公室发布
苏办发[1999]51号
第一章 总 则
第一条 为维护国家的安全和利益,保障计算机信息系统处理的国家秘密安全,根据《中华人民共和国保守国家秘密法》、《中华人民共和国计算机信息系统安全保护条例》以及其他有关规定,制定本规定。
第二条 本规定所称计算机信息系统(以下简称涉密系统),是由计算机及相关的和配套的设备、设施(含网络设施)构成的,按照一定的应用目标和规则对国家秘密信息进行采集、加工、存储、传输处理的人机系统。
第三条 苏州市国家保密局主管本行政区内计算机信息系统的保密管理工作。
公安、国家安全、电信、信息管理等部门,在其职责范围内做好协调配合工作。
第二章 系统建设
第四条 规划和建设涉密系统,应当同步规划和建设保密设施,符合国家规定的保密防范要求:
(一)系统设备
1.涉密系统原则上应使用国产设备。必须使用进口设备时,应经有关部门进行保密技术安全测试。
2.系统设备应当具有符合中华人民共和国公共安全和保密标准《信息设备电磁泄漏发射限值》(GBB-1)的相应标识。
3.符合GBB-1标准的设备在处理绝密级信息的系统中使用时,应当在符合国家标准的屏蔽室内进行。
4.不符合GBB-1标准的设备在处理秘密级、机密级信息的系统中使用时,应当在安装国家主管部门批准使用的干扰器。
(二)系统软件
1.涉密系统安装的系统软件和应用软件,原则上应使用国产软件。确需使用进口软件的,应进行保密检查。
2.进口软件进行升级、换代时,不能将计算机直接接入国际互联网络,应采取其他替代方法实现。
(三)网络安全
1.身份认证:1)口令应当由系统安全保密管理人员集中产生供用户选用,并有口令更换记录,不得由用户产生。2)处理秘密级信息的系统,口令长度不得少于8个字符,口令更换周期不得长于一个月;处理机密级信息的系统,口令长度不得少于10个字符,口令更换周期不得长于一周,处理绝密级信息的系统,应当采用一次性口令或生理特征等强认证措施。3)口令必须加密存储,并且保证口令存放载体的物理安全。4)口令在网络中必须加密传输。
2.访问控制:
1)处理秘密级、机密级信息的系统,访问应当按照用户类别控制。
2)处理绝密级信息的系统,访问控制到单个用户。
3.审计跟踪:
1)涉密系统应当有详细的系统日志,记录每个用户的每次活动(访问时间、地址、数据、程序、设备等)以及系统出错和配置修改等信息。
2)处理秘密级、机密级信息的系统,系统安全保密管理人应当定期审查系统日志并作审查记录,审查周期不得长于一个月。
3)处理绝密级信息的系统,应当能够检测到并且记录侵犯系统的事件,及时自动报警。系统安全保密管理人员应当定期审查系统日志并作审查记录,审查周期不得长于一周。
(四)周围环境:
涉密系统的信息处理场所,应当根据国家有关规定,与境外机构驻地、境外人员住所保持一定的安全距离:
1.处理秘密级、机密级信息的系统,安全距离应保持在500米以上。
2.处理绝密级信息的系统,安全距离应保持在1000米以上。
由于历史或其他客观原因,无法达到规定的安全距离,涉密信息系统处理场所应采取屏蔽、干扰等防辐射措施。
(五)安装维护
1.涉密系统设备安装,原则上应由国内公司和人员承担。必须由外方人员参与时,应限定其接触范围,并有中方技术人员全程陪同。
2.系统建成后,必须由使用单位负责维护。严禁外方人员或境外公司参与涉密系统日常管理和维护。
3.涉密系统设备发生故障需要维修时,应将涉密信息备份后删除。不能删除的,应当采取其他可靠的保密监督措施。
第五条 涉密系统投入使用前,有关单位应向保密工作部门申请办理涉密系统安全保密审批手续。
对具备投入运行条件的涉密系统,同意其投入使用。已经投入使用,尚未经过审批的涉密系统,应按要求补办审批手续。
第六条 苏州市国家保密局负责本行区域内所有涉密系统的安全保密审批工作。
跨区域的涉密系统由相应管理权限的上一级保密工作部门审批。
第七条 涉及工作秘密、商业秘密的计算机及其网络系统(简称内部系统)的保密设施建设及保密防范要求,参照涉密系统的要求执行。
第三章 涉密信息
第八条 采集、加工、存储涉及国家秘密信息(简称涉密信息)时:应当在文件显著位置表明相应的密级标识,密级标识不能与正文分离。
绝密级、机密级信息应当加密存储。
第九条 存储涉密信息的计算机媒体,应按所存储信息的最高密级标明密级,并按相应密级的文件进行管理。
计算机媒体中的涉密信息不再使用时,应及时进行彻底删除。
存储过涉密信息的计算机不能降低密级使用。已经废弃的媒体应及时销毁。
第十条 涉密系统打印输出的涉密文件、资料,应按相应密级的文件、资料进行管理。
第十一条 涉密信息原则上只允许在封闭的计算机信息系统中运行。必须传输时,应当采用密传方式。使用的加密措施应当符合国家有关标准,并与其密级要求相一致。
严禁涉密信息通过电子邮件或明码电报传输。
第十二条 采集、加工、存储、传输涉及工作秘密、商业秘密的信息(简称内部信息)的保密要求,参照涉密信息的管理要求进行执行。
第十三条 为实施“政府上网工程”而规划建设的公共信息网络系统,不得采集、加工、存储、传输涉密信息和内部信息。
第十四条 党政机关、保密要害部门在网上建立主页或发布信息时,必须严格保密审查审批制度。所有涉密信息和内部信息,不得上网。
上网信息的保密审查应坚持“谁上网谁负责”的原则。各级党政机关、保密要害部门要对上网信息进行严格审查审批,并将有关情况报送保密工作部门备案。
在对上网信息进行保密审查时,对密与非密把握不准的,由上级业务主管部门或保密工作部门审定。
未经保密审查和履行审批手续的,网络接入单位不得为其制作主页及发布信息。
第四章 国际联网
第十五章 涉密系统必须与国际互联网在物理上完全断开。严禁以一台计算机同时接入涉密系统和国际互联网
中国公共信息网络与国际互联网直接相联,涉密系统必须同时与该网在物理上完全断开。
第十六章 内部系统原则上不得与国际互联网和中国公共信息网络直接相连。确因工作需要进行联网时,必须采取严密的保密防范措施。主要是:
(一)对内部系统重要信息进行彻底清除,并与涉密系统完全断开。
(二)对内部系统网络结构和设备进行重组,避免使用奔腾Ⅲ微处理器和Win98操作系统等有泄密隐患的进口设备及软件。
(三)采取“防火墙”、通行口令字、远程登陆审计监控、信息调阅使用权限、软硬盘数据保护措施等保密防范措施。
第十七条 为严防国家秘密信息外泄,对党政机关、保密要害部门计算机(含网络)国际互联网实行保密工作部门审核制度。
对具备国际联网条件的计算机,同意其国际联网。已经实现国际联网,尚未经过审核的计算机,应按要求补办保密审核手续。
第十八条 苏州市国家保密局负责市直机关单位、苏州工业园区、苏州新区计算机国际联网的保密审核工作。
各县级市、区保密局负责所管辖单位的计算机国际互联网的保密审核工作。
第十九条 电信等网络接入单位在受理党政机关、保密要害部门用户国际互联网申请时,必须查验保密审核手续。
受理一般用户国际联网申请时,应与用户签订《苏州市计算机国际联网保密责任书》,进行保密法律法规知识的教育和培训,并于每月上旬将前一个月的保密责任书报送保密工作部门备案。
第五章 系统管理
第二十条 计算机信息系统保密管理实行领导负责制,各单位分管领导负责本单位计算机信息系统的保密工作,并指定专门承办机构和管理人员。
各单位保密组织要加强计算机信息系统保密管理工作的指导、协调、监督和检查,结合实际,制定本单位计算机信息系统保密管理制度。
第二十一条 涉密系统和内部系统的工作人员,应当经过严格的审查,定期进行考核,并保持相对稳定。上岗前应接受保密法规知识和计算机保密防范知识的培训。
第二十二条 涉密信息和内部信息处理场所应当根据涉密程度设立控制区,控制人员进出。
处理绝密级、机密级信息的场所,必须对人员进出情况进行登记。
第二十三条 保密工作部门要加强对计算机工作人员的保密教育、业务培训和监督检查。
要定期对涉密系统的安全性和中国公共信息网络和国际互联网络信息进行保密安全技术检查。
第二十四条 在计算机网络运行或国际互联网中,发现泄漏国家秘密或存在严重泄密隐患时,有关部门和用户应立即采取补救措施,并及时上报保密、公安等部门。
发现泄漏不宜公开的内部信息时,有关部门应当采取相应处理措施,并及时向本单位保密组织报告。
第二十五条 保密工作部门应当对涉密系统、国际联网的党政机关、保密要害部门的计算机的安全保密情况进行年度审查。
第六章 奖 惩
第二十六条 在对计算机信息系统保密管理工作中成绩显著的单位和个人,由所在单位、上级机关、保密工作部门或者当地政府给予表彰奖励。
第二十七条 违反本规定,在规划和建设涉密系统时不同步规划和建设保密设施,使涉密系统处于基本不设防状态,视同泄密事件查处。
违法本规定,对涉密系统疏于管理,使国家秘密信息安全受到严重威胁,保密工作部门应责令其立即强化管理,必要时可责令其立即停止使用。限期不改,又继续使用的,视同泄密事件查处。
违反本规定,不履行相关审批手续,擅自将涉密系统投入使用,保密工作部门应责令其立即补办审批手续。拒不办理的,视同泄密事件查处。
违反本规定,使涉密系统直接或间接地与国际互联网或公共信息网络相连,视同泄密事件查处。
第二十八条 违反本规定,故意或者过失泄漏泄露国家秘密的,依据有关法律、法规进行处罚,并追究所在单位领导责任。构成犯罪的,依法追究法律责任。
第六章 附 则
第二十九条 本规定所称国际联网,是指本行政区域内的计算机(含网络)为实现信息的国际交流,同境外的计算机(含网络)进行联网。
本规定所称党政机关、保密要害部门,是指本行政区域内的市和县级市、区两级党政机关、部省属单位以及涉及国家秘密的其他单位。
第三十条 本规定自发布之日起实施。
(责任编辑:adminadmin2008)
