為加強數(shù)據(jù)中心的數(shù)據(jù)安全和保密管理，保障數(shù)據(jù)中心的數(shù)據(jù)安全，現(xiàn)依據(jù)國家有關(guān)法律法規(guī)和政策，針對當(dāng)前安全保密管理工作中可能存在的問題和薄弱環(huán)節(jié)，制定本辦法。
??????? 一、?按照“誰主管誰負責(zé)、誰運行誰負責(zé)”的原則，各部門在其職責(zé)范圍內(nèi)，負責(zé)本單位計算機信息系統(tǒng)的安全和保密管理。
??????? 二、?各單位應(yīng)當(dāng)明確一名主要領(lǐng)導(dǎo)負責(zé)計算機信息系統(tǒng)安全和保密工作，指定一個工作機構(gòu)具體負責(zé)計算機信息系統(tǒng)安全和保密綜合管理。各部門內(nèi)設(shè)機構(gòu)應(yīng)當(dāng)指定一名信息安全保密員。???
??????? 三、?要加強對與互聯(lián)網(wǎng)聯(lián)接的信息網(wǎng)絡(luò)的管理，采取有效措施，防止違規(guī)接入，防范外部攻擊，并留存互聯(lián)網(wǎng)訪問日志。
??????? 四、?計算機的使用管理應(yīng)當(dāng)符合下列要求：
??????? 1.?對計算機及軟件安裝情況進行登記備案，定期核查；
??????? 2.?設(shè)置開機口令，長度不得少于8個字符，并定期更換，防止口令被盜；
??????? 3.?安裝防病毒等安全防護軟件，并及時進行升級；及時更新操作系統(tǒng)補丁程序；
??????? 4.?不得安裝、運行、使用與工作無關(guān)的軟件；
??????? 5.?嚴禁同一計算機既上互聯(lián)網(wǎng)又處理涉密信息；
??????? 6.?嚴禁使用含有無線網(wǎng)卡、無線鼠標(biāo)、無線鍵盤等具有無線互聯(lián)功能的設(shè)備處理涉密信息；
??????? 7.?嚴禁將涉密計算機帶到與工作無關(guān)的場所。
??????? 五、?移動存儲設(shè)備的使用管理應(yīng)當(dāng)符合下列要求：
??????? 1.?實行登記管理；
??????? 2.?移動存儲設(shè)備不得在涉密信息系統(tǒng)和非涉密信息系統(tǒng)間交叉使用，涉密移動存儲設(shè)備不得在非涉密信息系統(tǒng)中使用；
??????? 3.?移動存儲設(shè)備在接入本單位計算機信息系統(tǒng)之前，應(yīng)當(dāng)查殺病毒、木馬等惡意代碼；
??????? 4.?鼓勵采用密碼技術(shù)等對移動存儲設(shè)備中的信息進行保護；
??????? 5.?嚴禁將涉密存儲設(shè)備帶到與工作無關(guān)的場所。
??????? 六、?數(shù)據(jù)復(fù)制操作管理應(yīng)當(dāng)符合下列要求：
??????? 1.?將互聯(lián)網(wǎng)上的信息復(fù)制到處理內(nèi)部信息的系統(tǒng)時，應(yīng)當(dāng)采取嚴格的技術(shù)防護措施，查殺病毒、木馬等惡意代碼，嚴防病毒等傳播；
??????? 2.?嚴格限制從互聯(lián)網(wǎng)向涉密信息系統(tǒng)復(fù)制數(shù)據(jù)。確需復(fù)制的，應(yīng)當(dāng)嚴格按照國家有關(guān)保密標(biāo)準(zhǔn)執(zhí)行；
??????? 3.?不得使用移動存儲設(shè)備從涉密計算機向非涉密計算機復(fù)制數(shù)據(jù)。確需復(fù)制的，應(yīng)當(dāng)采取嚴格的保密措施，防止泄密；
??????? 4.?復(fù)制和傳遞涉密電子文檔，應(yīng)當(dāng)嚴格按照復(fù)制和傳遞同等密級紙質(zhì)文件的有關(guān)規(guī)定辦理。
??????? 七、?處理內(nèi)部信息的計算機及相關(guān)設(shè)備在變更用途時，應(yīng)當(dāng)使用能夠有效刪除數(shù)據(jù)的工具刪除存儲部件中的內(nèi)部信息。
??????? 八、?涉密計算機及相關(guān)設(shè)備不再用于處理涉密信息或不再使用時，應(yīng)當(dāng)將涉密信息存儲部件拆除或及時銷毀。涉密信息存儲部件的銷毀必須按照涉密載體銷毀要求進行。
??????? 九、?加強對計算機使用人員的管理，開展經(jīng)常性的保密教育培訓(xùn)，提高計算機使用人員的安全和保密意識與技能。
??????? 十、?各單位應(yīng)當(dāng)與重點崗位的計算機使用人員簽訂安全保密責(zé)任書，明確安全和保密要求與責(zé)任。
??????? 十一、?計算機使用人員離崗離職，有關(guān)部門應(yīng)當(dāng)即時取消其計算機信息系統(tǒng)訪問授權(quán)，收回計算機、移動存儲設(shè)備等相關(guān)物品。
??????? 十二、?各單位要加強對本單位計算機信息系統(tǒng)安全和保密管理情況的監(jiān)督，定期開展檢查，發(fā)現(xiàn)問題及時糾正。
??????? 十三、?定期檢查重點
??????? 1.?系統(tǒng)安全運行情況。
??????? 檢查各個信息系統(tǒng)運行情況。綜合業(yè)務(wù)網(wǎng)絡(luò)殺毒軟件更新、運行情況；外網(wǎng)辦公用計算機病毒查殺情況；操作系統(tǒng)和軟件使用情況是否安全；是否存在內(nèi)外網(wǎng)混用情況；終端機是否開啟安全防護措施。
??????? 2.?安全管理情況。
??????? A.?信息安全主管領(lǐng)導(dǎo)、信息安全管理部門、信息安全工作人員履職以及崗位責(zé)任情況等。
??????? （1）?信息安全主管領(lǐng)導(dǎo)明確及工作落實情況。
??????? 是否有領(lǐng)導(dǎo)分工等相關(guān)文件，是否明確了信息安全主管領(lǐng)導(dǎo)，檢查信息安全相關(guān)工作批示和會議記錄等文件，了解主管領(lǐng)導(dǎo)工作落實情況。
??????? （2）?信息安全管理部門指定及工作落實情況。
??????? 檢查部門分工文件，是否指定了信息安全管理部門。是否制定了工作計劃、工作方案、管理規(guī)章制度、監(jiān)督檢查記錄等文件，檢查管理部門工作落實情況。
??????? （3）?信息安全工作人員配備及工作落實情況。
??????? 檢查人員列表、崗位職責(zé)分工等文件，是否配備了信息安全工作人員。
??????? B.?日常安全管理制度建立和落實情況。
??????? 檢查人員管理、設(shè)備管理、運行維護管理情況。
??????? （1）?人員管理制度。
??????? 檢查人員管理制度文件，是否有崗位信息安全責(zé)任，人員離崗離職管理、外部人員來訪管理等制度。檢查人員離崗離職管理落實情況。
??????? （2）?設(shè)備管理制度。
??????? 檢查設(shè)備管理制度等文件。是否有設(shè)備發(fā)放、使用、維修、維護和報廢等相關(guān)制度，是否明確了相關(guān)管理責(zé)任人。硬件設(shè)備登記情況，包括PC機，路由器，交換機及其他主要設(shè)備。檢查《計算機硬件設(shè)備登記簿》。
??????? （3）?運行維護管理制度。
??????? 檢查是否建立了運行維護管理等相關(guān)制度文件，是否包含事故處理記錄、數(shù)據(jù)維護情況等相關(guān)內(nèi)容。檢查運維操作手冊和運維相關(guān)記錄，檢查是否有事故處理記錄、數(shù)據(jù)維護記錄、運行維護管理制度落實情況及相關(guān)記錄完整性。