|  网站地图
您当前的位置:首页 > 公告报告 > 行政公文

山西省审计厅关于印发《信息安全管理制度》和《计算机管理制度》的通知

晋审技〔2015〕244号

【时间:2015-11-25】   【来源:】    【大】 【中】 【小】

各处室、单位:

《山西省审计厅信息安全管理制度》、《山西省审计厅计算机管理制度》已经2015年9月29日第5次厅长办公会议审定通过,现印发给你们,请遵照执行。

 

                                                                  山西省审计厅

                                                                  2015年11月18日

 

山西省审计厅信息安全管理制度 

第一章  总  则

第一条  为规范和加强审计信息安全管理工作,根据《中华人民共和国计算机信息系统安全保护条例》、《政府部门信息安全管理基本要求》、《信息系统安全等级保护基本要求》、《涉及国家秘密的信息系统分级保护管理规范》等法规制度和国家标准,制定本制度。

第二条  信息安全是指利用计算机、网络、信息系统存储和处理的电子信息的安全,包括电子信息的保密性、完整性、可用性和可控性。

保密性是指电子信息只能由合法用户所获取、识别和使用,保证信息不泄露给未经授权的人;完整性是指保证电子信息的准确性、完整性和一致性,防止信息数据被非法篡改;可用性是指保证合法用户在使用信息时不会被不正当地拒绝;可控性是指对信息及信息系统能够实施安全监控。

第三条  涉及国家秘密的电子信息称为涉密信息,存储和处理涉密信息的计算机、网络、信息系统,称为涉密计算机、涉密网络、涉密信息系统。

不涉及国家秘密的电子信息称为非涉密信息,存储和处理非涉密信息的计算机、网络、信息系统,称为非涉密计算机、非涉密网络、非涉密信息系统。

第四条  信息安全管理包括信息安全组织管理、信息安全人员管理、信息安全资产管理、信息安全技术防护、信息处理安全管理、信息系统应急管理、信息安全检查等。

第五条  信息安全管理的总体方针是“安全第一,预防为主,管理和技术并重,综合防范,全员参与”。

信息安全工作的总体目标是严格执行信息系统等级保护和分级保护制度,确保计算机和信息系统持续、稳定、可靠运行,防止因信息系统自身故障导致不能正常使用和系统崩溃,抵御黑客、病毒、恶意代码等对信息系统发起的各类攻击和破坏,防止信息内容及数据丢失和失密,防止有害信息在网上传播。

第六条  信息系统建设过程中,要同步规划、设计、建设、运行、管理信息安全设施,建立健全信息安全技术防护体系。

第七条  信息安全设施运行维护、日常信息安全管理、信息安全教育培训、信息安全检查、信息安全风险评估、信息系统等级和分级保护测评、信息安全应急处置等费用,应当纳入年度经费预算予以保障。

第二章  信息安全组织管理

第八条  审计信息安全关系国家信息安全、被审计单位信息安全和审计风险,在厅党组领导下开展管理工作。分管信息化工作的厅领导为主管领导,根据国家政策和法律法规的要求,结合审计工作实际,组织制定信息安全管理制度,完善技术防护措施,开展信息安全检查,协调处理信息安全事故。

第九条  授权计算机技术中心为审计厅信息安全管理责任部门,承办信息安全管理具体工作,组织落实信息安全管理制度,建设信息安全技术防护体系,会同有关部门开展信息安全教育培训和监督检查。

第十条  各处室、单位负责人是本部门信息安全管理第一责任人,督促检查本部门信息安全工作。指定一名计算机管理员,负责本部门日常信息安全管理工作。计算机管理员应当具备较强的信息安全意识和工作责任心,参加有关业务培训,掌握基本的信息安全知识和技能。

第三章  信息安全人员管理

第十一条  调入、军队转业和新录用人员应当经过信息安全培训,掌握信息安全基本要求和基本技能。厅机关及所属事业单位工作人员每年应当参加一次信息安全培训,了解信息安全最新要求,掌握新的信息安全知识技能。

计算机技术中心网络管理员、机房管理员、安全管理员、应用系统管理员、密码管理员和操作员等信息安全管理相关工作人员,应当参加专门的技术培训,掌握相应的信息安全管理技术。

第十二条  厅机关与计算机技术中心网络管理员、机房管理员、安全管理员、应用系统管理员、密码管理员和操作员、涉密远程站管理员,以及各处室、单位涉密计算机使用人员等重点岗位人员,应当签订信息安全与保密协议,明确信息安全管理责任。

第十三条  厅机关及所属事业单位工作人员调整工作岗位、离职离岗、退休时,应当向计算机技术中心交回个人保管使用的计算机等软硬件设备,签署安全保密承诺书,计算机技术中心进行脱密处理后移交办公室资产实物库,并且相应调整和终止网络和信息系统的访问权限。未办理上述事项前,不得办理调动、离职手续。

第十四条  发生信息安全责任事故,应当依法、依规追究当事人和有关负责人的责任。

第四章  信息安全资产管理

第十五条  信息资产包括机房、网络、计算机培训教室、视频会议室等信息化基础设施,网络设备、安全设备、存储设备、服务器等信息系统设备,计算机、打印机、移动存储介质等终端设备,各类通用软件、专用软件使用许可等。

第十六条  信息化建设应采购安全可控的信息资产和服务,并进行安全性评估;服务器、计算机终端等硬件设备,应采购配备安全可控CPU、操作系统等关键软硬件的产品;数据中心、灾备中心不得设立在境外。

第十七条  外包开发的信息系统、软件上线应用之前,应进行安全测评,并且要求开发方及时提供系统、软件的升级、漏洞堵塞等相应服务。

第十八条  信息资产的维护由计算机技术中心统一负责,制定和落实机房管理、网络管理、应用系统管理、设备维修管理等规章制度;建立信息资产技术档案,及时记录资产状态和使用情况,实行从保管、使用、维护、报废全过程的动态管理。需要外部机构和人员提供专业技术服务的,应当与外包服务商签订信息安全与保密协议,明确信息安全保密责任。

第十九条  制定和实施计算机管理制度,规范计算机、打印机、移动存储介质、通用和专用软件的配发、使用、维修、脱密报废等工作。

第五章  信息安全技术防护

第二十条  根据金审工程规划,厅机关建设审计内网、审计专网、互联网接入网三套基础网络,根据其他政府部门的要求,建设相关网络的接入网络。

(一)审计内网是涉密办公网,信息点覆盖到厅领导和涉密工作岗位,存储和处理涉密信息,与审计署审计内网连接,与互联网和其他网络实行物理隔离。

(二)审计专网是非涉密办公网,信息点覆盖到所有工作岗位,存储和处理不宜向社会公开或暂时不公开的一般性审计工作信息,与审计署、市县审计机关审计专网和审计现场连接,与互联网和其他公共网络实行逻辑隔离。

(三)互联网接入网是非涉密网络,信息点覆盖到所有工作岗位,为厅机关工作人员提供接入互联网服务,处理可以通过各种渠道向社会公开、可使用互联网邮箱传输的信息。

(四)其他网络的接入网,按照主管部门的要求建设。

第二十一条  涉密网络建设、涉密信息的存储和处理,接受国家保密主管部门的业务领导和安全检查。非涉密网络建设、非涉密信息的存储和处理,接受公安部门的业务领导和安全检查。与审计署、省委涉密网络的连接,装备主管部门统一配发的普通密码设备,接受审计署密码办、省国家密码管理局的业务领导和安全检查,制定并落实普通密码管理制度。

第二十二条  建设网络准入系统,对接入各个网络的终端计算机实行实名登记认证、IP地址与MAC地址绑定,统一软件下发,统一安装系统补丁,统一实施病毒库升级和病毒查杀,统一进行漏洞扫描。

第二十三条  建设网络安全技术防护体系,包括网络监控、访问控制、安全审计、行为管理、边界完整性检查、入侵防范、恶意代码防范等系统。根据承载业务的重要性对网络进行分区分域管理,采取必要的技术措施对不同网络分区进行防护、对不同安全域之间实施访问控制。

第二十四条  建设互联网上网行为管理系统,对访问互联网的终端计算机的上网行为进行记录备查。

第二十五条  互联网门户网站应当使用“gov.cn”、“政务.cn”或“政务”域名,采取必要的技术措施,提高网站防篡改、防攻击能力。网站开通前,应当组织专业技术机构进行安全测评,对新增应用要进行安全评估;应当定期对网站链接进行安全性和有效性检查。

第二十六条  门户网站电子邮件系统只限于审计系统内部使用,并且应当采取反垃圾邮件等技术防护措施。

第二十七条  非涉密信息系统实行等级保护,涉密信息系统实行分级保护,应当按照信息系统等级保护和分级保护制度和国家标准,综合考虑信息系统的重要性、涉密程度和面临的信息安全风险等因素,对信息系统实施相应等级的安全管理,包括确定安全保护等级,实施安全系统建设等。

第六章  信息处理安全管理

第二十八条  利用计算机和信息系统处理审计工作信息,厅机关内部处室之间、人员之间,与上下级审计机关和其他单位之间共享、传输电子信息,应当遵守以下规则:

(一)涉密信息只能在涉密计算机、打印机上处理,使用涉密存储介质、审计内网传输,其中与审计署传输涉密电子公文,使用审计署审计内网远程站;与省委传输涉密电子公文,使用省委党务内网远程站。

省厅和市县审计机关之间传输涉密文件、资料和电子信息,通过省委机要局人工办理。

(二)一般性非涉密信息,包括不宜向社会公开的审计工作信息、被审计单位工作秘密和商业秘密信息、其他敏感信息,只能在审计专网终端计算机上处理,使用普通存储介质、审计专网和其他非涉密办公网络传输,其中与审计署传输非涉密电子公文,使用审计署审计专网远程站;与省政府传输非涉密电子公文,使用省政府远程站;与市、县审计机关传输非涉密电子公文和电子数据,使用全省审计专网电子邮件系统和大数据传输系统。

(三)厅机关内部处理非涉密电子公文、管理审计项目,使用审计专网部署的审计管理系统。

(四)机关工作人员个人之间、审计组成员之间传输、共享、交流非涉密信息和电子数据,使用审计专网即时通信系统。审计厅统一组织的行业审计项目,可以在即时通信系统中临时开通用户群,发布、讨论、交流行业审计非涉密信息。

(五)发布需要在审计系统内部公开,但又不宜向社会公开的工作动态、会议纪要、规章制度等非涉密信息,使用审计专网内部网站。

(六)按照政务公开制度要求,处理向社会公开的法规政策、政务信息、审计动态、审计报告,使用互联网接入网终端计算机,在山西审计门户网站发布。

(七)与其他相关主管部门、被审计单位传输非涉密普通工作信息,可以视信息的敏感程度,使用山西审计门户网站的电子邮件系统。一般情况下,不得使用普通的互联网免费邮箱、腾讯QQ、微信等工具传输工作信息。

(八)任何部门和个人不得利用计算机和网络制作、复制、传播法律法规禁止的信息,不得从事法律法规禁止的行为。

第二十九条  建立并落实审计管理系统、内部网站、电子邮件系统、大数据传输系统、即时通信系统,以及山西审计门户网站管理制度,明确各个系统的管理和使用规范。

第三十条  接入审计内网、审计专网、互联网接入网和其他网络的终端计算机应当保持稳定,不得随意变更用途。

第七章  信息系统应急管理

第三十一条  计算机技术中心应当制定机房、网络、应用系统、终端计算机应急预案,并且每年评估一次,根据实际情况适时修订。

第三十二条  计算机技术中心应当每年定期组织两次应急演练,确保相关人员熟悉应急预案,保证发生各类信息安全事故时,能够规范、及时处置,努力降低风险,减少损失。

第三十三条  发生信息安全事故,有关人员应当立即启动相关应急预案,报告分管领导和相关主管部门,及时采取补救措施,尽可能减少损失。

第八章  信息安全检查

第三十四条  计算机技术中心应当对信息安全进行日常监督检查,包括系统监控、现场检查和抽查等。

每年组织一次全面的信息安全检查,掌握信息安全总体状况和面临的威胁,查找安全隐患,堵塞安全漏洞,完善安全措施,减少安全风险,提高安全防护能力。

根据审计署和政府主管部门的要求,组织专项信息安全检查。

第三十五条  信息安全检查应当采取必要的技术检测手段,加强保密管理和风险控制,严格检查人员、有关文档和数据的安全保密管理,制定安全检查应急预案,确保信息系统的正常运行。

第三十六条  按照信息系统分级保护和等级保护制度要求,定期组织信息系统安全测评和风险评估。

第九章  附  则

第三十七条  本制度由计算机技术中心负责解释。

第三十八条  本制度自发布之日起施行,现行制度中与本制度不一致的内容,一并废止。


 

山西省审计厅计算机管理制度

第一章  总  则

第一条  为了规范厅机关计算机的采购、配发、使用、保管、维修工作,确保资产安全和信息安全,促进审计信息化的发展,根据国家有关计算机管理制度和数字化审计机关建设标准的要求,结合实际情况,制定本制度。

第二条  本制度所称计算机包括五类设备、软件:

(一)计算机终端,包括台式计算机、笔记本计算机、平板电脑等;

(二)计算机外围设备,包括打印机、桌面一体机、扫描仪、投影仪、传真机、显示器等;

(三)通用软件,指每台计算机都需要安装的操作系统、防病毒软件和办公软件;

(四)移动存储介质,包括移动硬盘、U盘;

(五)计算机消耗材料,包括计算机零配件、光盘、打印机墨粉、小型外接音响、电源插座等。

第三条  计算机实行统一配发、统一管理、统一维护、责任到人、分散使用的原则。

第四条  计算机必须使用正版软件,禁止使用未经授权和未经软件产业主管部门登记备案的软件。按照《政府机关使用正版软件管理办法》的规定,厅长是审计厅使用正版软件工作的第一责任人。

第五条  授权计算机技术中心为省审计厅计算机专职管理部门,职责如下:

(一)根据信息化建设规划和计算机配发标准,收集各处室、单位实际需求,编制年度计算机采购计划;

(二)为每台计算机建立技术档案,记录使用状态和维修事项,实行从保管、使用、维护、报废全过程的动态管理;

(三)负责计算机的统一维修、维护,保障计算机的正常稳定运行;

(四)负责计算机性能鉴定,对拟转移、报废计算机进行脱密技术处理;

(五)负责推进使用正版软件工作;

(六)负责计算机消耗材料的领用审核、供应;

(七)组织计算机使用监督、检查。

第六条  办公室负责审核年度计算机采购计划和资金预算,办理政府采购项目申请(备案)手续,组织计算机采购,进行资产帐务和实物的入库、出库和报废资产的实物回收。

第七条  各处室、单位负责人是本部门计算机管理的第一责任人,督促本部门人员严格按照规定管理和使用计算机。指定一名计算机管理员,负责本部门计算机的日常管理,监督使用,确保计算机资产安全和信息安全。每个工作人员要妥善保管计算机,违反使用管理规定,发生丢失、损坏、泄密事件,应当依法、依规追究当事人和有关负责人的责任。

第二章  计算机的采购和配发

第八条  计算机按以下原则配发:

(一)所有正式工作人员每人配发一台台式计算机,用于在厅内办公,连接审计专网和互联网接入网。

厅领导、处室或单位负责人、审计业务人员,以及其他特殊岗位人员,每人配发一台笔记本计算机,用于外出审计,远程接入审计专网,处理电子公文,传输共享审计数据。

(二)每位厅领导配备1台A4打印机或桌面一体机;每个处室、单位配备1台A3打印机,每3人配备1台A4打印机或桌面一体机(不足3人按3人计算)。其他外围设备和移动存储介质根据需要配备。

(三)涉密和特殊工作岗位、公共场所计算机终端和外围设备,根据需要配发。

(四)采购一定数量的计算机终端作为备用周转计算机,保障计算机送修、干部交流、聘用人员、临时任务等工作需要。

(五)计算机的更新周期原则上为6年。

第九条  计算机技术中心根据信息化建设规划和计算机配发标准、实际使用情况,每年11月底之前起草次年的计算机采购计划(草案),包括数量、规格型号、金额预算、配发范围等内容,经办公室审核会签、分管财务厅领导批准后纳入年度财政预算和政府采购计划。采购计划按下列要求制定:

(一)根据计算机管理台帐登记的配发日期测算需要更新的计算机数量;

(二)根据新增人员计划测算新配发计算机数量;

(三)根据审计工作需要和计算机审计软件的发展测算配套使用的通用正版软件数量;

(五)征求各部门意见,测算其他外围设备数量;

(六)根据历年计算机维修和消耗材料支出测算相关费用;

(七)确定计算机的选型、技术配置和通用软件型号时,应当进行评估和测试,符合审计业务和信息安全需要,避免与应用软件发生冲突。所购置的设备应当符合国家关于安全和节能的要求,优先使用国产软件。

第十条  各处室、单位临时或特殊需要的计算机,应当单独提出申请,经办公室、计算机技术中心和分管厅领导审核,分管财务厅领导批准后办理。

第十一条  办公室根据财政预算和政府采购计划,办理政府采购申请(备案)手续,根据财政部门核准的政府采购组织形式和采购方式,组织计算机政府采购,计算机技术中心参与公开招标和竞争性谈判项目采购评审。采购完成后,报分管财务厅领导签发政府采购合同。

第十二条  计算机采购到货后,按下列程序办理验收、入库、领用和报销手续:

(一)计算机技术中心验收设备,核对设备装箱单,登记技术档案,粘贴统一标识(包括审计标识、设备类型、设备编号、使用人姓名、采购时间),安装应用软件,配置终端安全系统,保存合同、质保证明和随机技术资料。

(二)办公室办理资产入库、出库登记手续。

(三)领用单位和领用人员签字领用。

(四)办公室按照财务管理制度办理报销手续。

第十三条  备用周转计算机由计算机技术中心领用和分配使用。

第十四条  预装通用软件作为计算机终端的组成部分,与计算机终端一起登记入库和使用管理。单独采购的通用软件单独入库和使用管理。

第三章  计算机的管理和使用

第十五条  计算机终端设备原则上配发给个人使用,登记在个人名下,随个人在厅内工作岗位的变动而流动,调整调动工作岗位、离职离岗、退休时,按照《信息安全管理制度》的要求办理相关手续。

第十六条  计算机外围设备配发给部门使用,登记在处室、单位名下,不得随使用人员在厅内工作岗位的变动而流动。

第十七条  计算机终端按下列要求使用,确保信息安全:

(一)在任何时间、任何地点,只能用于与审计业务和个人素质提高相关的工作,不得安装游戏、炒股等与工作无关的软件,不得存储和处理与工作无关的个人信息、资料、数据,不得制作、复制和传播非法、低俗、有害信息。

(二)不得自行拆卸计算机零部件,卸载预装的正版软件,不得安装使用非法、盗版,以及来历不明的软件。

(三)设置具有一定强度的开机密码和屏幕保护密码,关闭不必要的应用、服务、端口。

(四)普通计算机分为审计专网计算机和互联网计算机,其中审计专网计算机可以连接审计专网,用于处理日常非涉密工作信息,包括处理电子公文、运用计算机审计软件、开展数据分析、编制审计文书和审计档案等;互联网计算机可以连接互联网,主要用于帮助审计人员提高个人素质,参加在线学习,查询法规资料,以及处理可以向社会公开、在门户网站上发布的信息。

(五)审计专网计算机和互联网计算机之间、与其他计算机之间,使用移动存储介质交换信息时,必须使用杀毒软件进行安全检查。

(六)安装双网隔离卡的计算机内网和外网分别连接审计专网和互联网。

(七)计算机实行“审计不上网、上网不审计”。笔记本计算机、审计现场的计算机一般应视为审计专网计算机,不得连接互联网。根据工作需要,可以在审计现场设立一台专门的互联网计算机连接互联网,用于查询法规资料,与其他单位传输电子邮件等。审计专网计算机变更为互联网计算机之前,应当清理、删除所有工作信息。任何计算机不得既保存工作信息,又访问互联网。

第十八条  未经许可,不得将计算机终端和外围设备借给外单位使用。外单位交流干部、临时聘用人员从事与审计业务相关的工作,原则上应当使用审计厅配发的计算机终端。

第十九条  外出人员要妥善保管计算机终端和外围设备,发生丢失、被盗,要立即上报,采取补救措施。造成资产损失、敏感信息泄密的,按有关规定追究责任。

第二十条  建立正版软件长效机制,计算机技术中心应当于每年的11月底前起草当年推进使用正版软件情况报告,经厅领导批准后报省版权局。

第四章  计算机的保养和维修

第二十一条  计算机终端和外围设备属于精密设备,在使用中应当保持外观整洁,轻拿轻放,避免挤压。应当在符合办公条件的环境中使用,有稳定电源,远离易燃、易爆、腐蚀和强磁性物品,不得在键盘附近放置水杯、食物等,防止液体流入或异物掉入键盘和机箱。由于使用不当造成设备损坏的,按有关规定处理。

第二十二条  计算机和外围设备发生硬件损坏、系统崩溃、数据丢失等自行无法修复的故障,应当联系计算机技术中心维修,不得擅自交由外单位人员带出维修。维修内容和结果应当记录到设备技术档案。

第二十三条  计算机终端和外围设备送计算机技术中心维修时,应当填写《计算机维修申请表》,注明故障现象,并由处室、单位负责人签字。

第二十四条  计算机技术中心对于自身无法维修的设备,可送特约服务商维修。特约服务商要保持相对稳定,签订信息安全与保密协议。

第五章  计算机的转移和报废

第二十五条  各处室、单位领用的计算机终端和外围设备,实行以旧换新。办理出库领用手续后,应当在一周之内完成数据迁移,将旧设备交到计算机技术中心,办理交接手续。

第二十六条  计算机技术中心对各处室、单位交回的计算机终端和外围设备统一进行脱密处理,格式化硬盘,删除电子信息。处理过程和结果要记录在设备管理档案中。

第二十七条  计算机技术中心在对收回的计算机终端进行脱密处理的同时,进行技术鉴定,提出处置意见,报分管厅领导审批。其中尚有使用价值的设备可转移到公共场所、培训教室等对计算机性能要求不高的部位使用,没有使用价值的设备应当及时报废。

第二十八条  预装通用软件随计算机终端一起转移和报废。单独采购的软件满足下列条件可以申请报废。

(一)因特定工作任务结束,软件无使用价值的;

(二)因技术进步、软件升级,原有软件无继续使用价值的。

第二十九条  办公室根据计算机技术中心的处置意见和厅领导批示,办理计算机资产转移和报废手续:

(一)转移资产重新办理入库、出库手续;

(二)报废硬件资产交回实物,办理报废、帐务核销手续;

(三)单独报废的软件资产,不需要交回实物,办理报废、帐务核销手续。

第六章  涉密计算机和电子载体管理

第三十条  涉密计算机,是指存储、处理涉及国家秘密信息的计算机终端,山西省审计厅涉密计算机允许存储和处理的最高密级为机密级信息,包括秘密、机密。涉密电子载体,是指与涉密计算机连接的打印机,以及光盘、U盘、移动硬盘等存储介质。手机、照相机、MP3媒体播放器等电子载体不能存储和处理涉密信息。

第三十一条  涉密计算机的管理和使用接受厅保密委员会及其办公室的指导、检查。

第三十二条  涉密计算机和涉密电子载体的配发范围为厅领导、产生和处理涉密信息的处室、单位,具体的配发部位、数量由保密办审定。各处室、单位需要配发涉密计算机和涉密电子载体,向保密办提出申请,经核准后由计算机技术中心纳入年度设备采购计划,执行设备采购程序。

第三十三条  各处室、单位的涉密计算机和涉密电子载体由专人保管和使用,使用人员要符合涉密人员的任职资格条件。

第三十四条  根据国家相关规定,涉密计算机和电子载体应当符合下列要求:

(一)国产设备;

(二)从专门配备的红黑电源插座中取电,且该红黑电源未向任何非涉密设备供电;

(三)显示器放置位置应当符合安全距离要求,不符合要求的,应当在主机与显示器之间加装干扰装置;

(四)涉密计算机终端不得配备蓝牙、无线网卡、无线键盘、无线鼠标等具有无线发射功能的硬件设备;配备无线网卡的涉密笔记本计算机,应当拆除之后使用;

(五)涉密计算机终端不得通过安装双网隔离卡,共用键盘、鼠标、主板,与非涉密计算机混用;

(六)涉密计算机终端必须安装防病毒软件,并及时升级;

(七)涉密计算机终端必须设置开机密码和屏幕保护密码,由使用人员掌握。密码应当不少于10个字符,包括字母和数字,不能使用简单的数字排列、电话号码、身份证号码等易于猜测、破解的弱密码。密码应当定期更换,最长使用时间不得超过1年。严禁将密码贴在计算机终端上,或者记载在不保密的媒介上。

(八)涉密打印机不得装有硬盘或其他存储模块,不能具备传真功能;

(九)涉密存储介质应当具有相关安全检测证书,具有密码或指纹保护功能,只能连接涉密计算机,严禁与非涉密计算机和存储介质交叉使用。

(十)安装涉密计算机和涉密载体的办公场所应当具有良好的防盗设施。涉密场所同时安装的连接互联网的非涉密计算机,严禁配备和使用摄像头等视频输入设备。

第三十五条  涉密计算机所使用的操作系统、办公软件、杀毒软件等由计算机技术中心统一安装和升级维护,各使用单位和人员不得自行安装其他应用软件。

第三十六条  按照金审工程规划,省级审计机关需要建设审计内网,运行涉密信息系统,存储和处理涉密信息,接入审计内网的计算机终端、打印机、存储介质为涉密计算机和涉密电子载体。在审计内网建成之前,涉密计算机终端实行单机管理,单独使用,互相之间使用涉密存储介质交换信息。与审计署、省委、省政府涉密网络连接的计算机终端,为涉密计算机终端。

第三十七条  涉密计算机和涉密电子载体只能处理涉及国家秘密的审计信息和资料,只能与其他涉密计算机和涉密电子载体连接,交换涉密信息,严禁与非涉密网络和非涉密计算机、打印机和存储介质连接,交叉使用。

特殊情况下,需要从非涉密计算机、非涉密网络向涉密计算机导入文件资料,实行信息单向导入、单向流动,即只能从非涉密计算机向涉密计算机导入,不能从涉密计算机向非涉密计算机导入。单向导入时,只能使用光盘,先将非涉密信息拷贝到光盘,经过安全检查确认没有病毒、木马等恶意代码,在涉密计算机上将光盘信息读出,然后物理销毁光盘。

严禁涉密计算机连接非涉密计算机、非涉密网络、非涉密电子载体和手机、照相机、MP3媒体播放器等电子设备。

第三十八条  外出使用涉密笔记本计算机、涉密存储介质时,必须经过处室领导批准,不能乘坐公共交通,涉密设备应当始终处在可控范围之内。涉密存储介质应进行必要的信息消除处理,保证介质上只存有与本次外出相关的资料。

第三十九条  工作人员临时离开办公场所,应当将涉密计算机锁定。下班或节假目期间,应关闭设备,锁好门窗,切断电源,涉密存储介质及相关保密设备应放入保险柜。

第四十条  使用涉密计算机和涉密打印机打印出的涉密纸质文件,按照纸质涉密文件的管理规定管理和使用。

第四十一条  审计工作中采集和处理的被审计单位涉密电子数据、涉密文件资料必须在涉密计算机中处理,实行同等密级保护,或者使用被审计单位提供的专用计算机处理。

第四十二条  涉密计算机和涉密电子载体发生丢失、被盗事件,应当立即报告保密办,并采取一切必要的措施,防止泄露国家秘密,将损失降低到最低程度。造成涉密信息泄密的,按有关规定追究责任。

第四十三条  涉密计算机和涉密电子载体的维护维修执行以下规则:

(一)设备发生故障,必须联系计算机技术中心安全管理员维修,不得擅自联系其他单位和人员维修;

(二)邀请外单位专业人员维修时,安全管理员必须全程陪同;

(三)特殊情况需要将涉密设备送到专业机构维修时,应当拆除计算机硬盘。

第四十四条  涉密计算机和涉密打印机达到使用年限,按以下程序办理报废手续:

(一)使用单位向保密办提出书面申请(可以与新配发、更换设备一起申请);

(二)使用单位联系将拟报废设备交计算机技术中心,拆除硬盘,进行脱密处理;

(三)计算机技术中心定期报保密办批准,将拆除的涉密计算机硬盘,集中交到省保密局指定的机构销毁。

第四十五条  涉密存储介质损坏无法使用时,交回计算机技术中心以旧换新。计算机技术中心与拆除的涉密计算机硬盘一起定期集中销毁。

第七章  移动存储介质和消耗材料的管理

第四十六条  各处室、单位根据工作需要,可以申请领用移动存储介质和消耗材料,填写《计算机消耗材料申请表》,注明材料型号、规格、数量,经处室、单位负责人签字。

第四十七条  机关工作人员原则上每人可以领用一个移动硬盘和一个U盘,登记在个人名下,专门用于临时拷贝、存储与审计工作相关的资料、数据。因设备损坏、容量不足等原因,需要领用新的移动硬盘和U盘时,应当以旧换新。

第四十八条  临时聘用人员,或者完成特殊事项,可以申请领用专用移动硬盘和U盘。临时聘用人员离岗,或者特殊事项完成后,要将设备交回,另行分配使用。

第四十九条  使用人员要妥善保管移动硬盘和U盘,不得将业务资料和敏感数据长期保存在里面。

第五十条  使用人员以旧换新,交回旧的硬盘、U盘,要提前自行清理、删除数据。对无法交回的介质,要写出书面说明。

第八章  监督检查

第五十一条  计算机技术中心应当结合信息安全检查,对计算机使用管理情况进行日常监督和全面检查,每半年组织一次涉密计算机和涉密电子载体安全检查。经分管厅领导审核批准,在全厅通报和向有关主管部门报告检查结果,对违反本制度规定的单位和人员,提出处理意见。根据政府主管部门的安排,组织其他专项检查。

第九章  附  则

第五十二条  本制度由计算机技术中心负责解释。

第五十三条  本制度由发布之日起施行,现行制度中与本制度不一致的内容,一并废止。

 

【关闭】 【打印】