第一章 总则
第一条 为加强北京企密安信息安全技术有限公司所服务企业的信息系统保密管理,保障企业信息系统中存储和处理商业秘密的安全,依据中华人民共和国网络安全法和数据安全法等相关法律法规,结合企业信息系统运行实际,制定本制度示范条文。
第二条 本制度适用于企业所有信息系统、网络设备、计算设备、存储设备和应用系统中的保密管理活动,包括但不限于企业办公网络、业务系统、研发系统、财务系统、邮件系统、即时通讯系统、协同办公平台以及各类数据库和应用软件。
第三条 信息系统保密管理遵循安全合规、分级保护、主动防御、持续改进的原则。保密工作机构与信息技术部门协同负责信息系统保密管理工作。
第二章 信息系统安全等级保护
第四条 企业根据信息系统处理信息的密级和系统本身的重要程度,对信息系统实行安全等级保护。信息系统安全等级分为三级:一级为处理一般秘密的信息系统,二级为处理重要秘密的信息系统,三级为处理核心秘密的信息系统。
第五条 一级信息系统应具备基础的安全防护能力,包括用户身份认证、访问控制、数据备份和安全审计等功能。二级信息系统应在一级基础上增强安全防护措施,包括双因素认证、数据传输加密、入侵检测和漏洞扫描等功能。三级信息系统应在二级基础上进一步强化安全措施,包括物理隔离或强逻辑隔离、全面审计监控和实时安全预警等功能。
第六条 信息系统的安全等级应在系统规划阶段确定,系统建设和改造应按照相应等级的安全要求进行安全设计和建设。信息系统投入运行前应进行安全测试和评估,符合安全要求方可上线运行。
第三章 用户账号与访问控制
第七条 企业信息系统的用户账号实行实名制管理。每个用户只能拥有一个工作账号,账号与使用者一一对应,不得共用账号和借用他人账号。临时人员和外部人员因工作需要访问信息系统的,应申请临时账号并设置有效期限。
第八条 用户账号的创建、变更和删除应经过正式审批流程。新员工入职后根据岗位需要分配账号和权限,员工岗位变动后及时调整账号权限,员工离职后应立即注销账号。信息技术部门应定期清理逾期未使用的账号。
第九条 信息系统实行最小权限原则和权限分离原则。用户只能拥有完成本职工作所必需的信息系统访问权限。涉及敏感操作的权限如数据导出、权限分配、系统配置等应实行权限分离,需要多人协同审批方可执行。
第十条 用户账号密码应符合安全复杂度要求,包括足够的密码长度、包含字母数字和特殊字符等。用户应定期更换密码,不得将密码告知他人,不得在多个系统间重复使用同一密码。核心系统的访问应启用多因素认证。
第四章 数据安全管理
第十一条 企业信息系统中的商业秘密数据应根据数据分类分级标准进行标识和管理。信息系统中的数据分类分级应与纸质载体的密级划分保持一致。信息系统应支持数据的密级标识功能,具备按密级控制数据访问和操作的能力。
第十二条 企业重要业务数据和商业秘密数据应进行加密存储。数据传输过程中应使用安全的加密协议进行加密传输,确保数据在存储和传输过程中不被窃取和篡改。加密密钥应按照密钥管理规定进行生成、分发、存储、使用和销毁。
第十三条 企业应建立数据备份与恢复机制。重要业务数据应每日进行增量备份,每周进行完整备份。备份数据应至少保留规定天数以上。关键业务系统的备份数据应异地存储。数据恢复能力应定期进行演练和验证。
第十四条 数据导出和批量下载应经过审批。从信息系统中批量导出商业秘密数据,需要部门负责人和保密工作机构的双重审批。导出的数据应有明确的使用目的和使用期限,使用结束后应及时清理。数据导出全过程应保留审计日志。
第五章 网络安全保密管理
第十五条 企业网络实行安全域划分管理。根据信息系统的重要程度和所处理信息的密级,将企业网络划分为不同的安全域,各安全域之间通过防火墙或网闸进行隔离和访问控制。核心涉密系统应部署在独立的安全域中。
第十六条 企业网络边界应部署防火墙、入侵检测和入侵防御系统等安全设备。安全设备的规则应定期评审和更新。企业应建立网络安全态势感知能力,能够及时发现和处置网络安全事件。
第十七条 无线网络的使用应经过批准。企业无线网络应采用安全加密方式,设置访问密码并定期更换。涉密信息系统不得通过无线网络接入,核心涉密区域不得使用无线网络设备。
第十八条 外部网络接入企业内网应经过审批并通过安全接入网关进行。远程办公用户应通过虚拟专用网络等安全加密通道接入企业内网。远程接入用户应进行身份认证和终端安全检查。
第六章 终端设备安全保密
第十九条 企业统一配发的计算机、笔记本电脑、平板电脑和手机等终端设备应安装企业统一部署的安全管理软件,包括防病毒软件、主机防火墙、终端安全管理软件等。终端设备应按照企业要求进行安全配置,安装操作系统安全补丁和应用程序更新。
第二十条 终端设备的使用人应对设备安全负责。使用人不得私自卸载和绕过终端安全管理软件,不得将办公终端设备交给非授权人员使用,不得在办公终端上安装未经批准的软件程序。
第二十一条 移动存储介质的使用应经过审批。U盘、移动硬盘等移动存储设备在接入企业计算机前应进行病毒和恶意软件扫描。涉密移动存储介质应标注密级、登记管理,不得在非涉密计算机和涉密计算机之间交叉使用。
第二十二条 终端设备的维修和报废应进行安全处理。设备维修应在企业监控下进行,存储涉密信息的设备送修前应对存储数据进行安全擦除。报废的存储设备应进行物理销毁或专业消磁处理。
第七章 应用系统安全保密
第二十三条 企业应用系统的开发和采购应满足安全保密要求。自建系统在开发阶段应遵循安全编码规范,进行安全测试和代码审计后方可上线运行。外购系统应要求供应商提供安全测试报告,系统交付后应进行安全评估。
第二十四条 应用系统的用户操作应有详细的日志记录。日志应包括用户身份、操作时间、操作类型、操作对象和操作结果等信息。日志保存期限不得少于规定时间,日志应进行完整性保护,防止被篡改和删除。
第二十五条 软件版本发布和系统变更应经过审批和测试。变更实施前应制定变更方案和回滚方案,变更后应进行功能验证和安全检查。紧急变更应在事后补办审批手续。
第八章 安全事件应急响应
第二十六条 企业建立信息安全事件应急响应机制。信息安全事件包括系统入侵、数据泄露、病毒感染、拒绝服务攻击、账号被盗等安全事件。应急响应机制应明确应急组织结构、应急响应流程、沟通报告机制和恢复方案等内容。
第二十七条 安全事件发生后,发现人应立即报告信息技术部门和保密工作机构。信息技术部门应迅速采取控制措施,防止事态扩大,保护现场证据。保密工作机构应启动事件调查程序,评估事件影响,决定是否需要向相关方通报。
第二十八条 企业定期组织信息安全应急演练。应急演练包括桌面推演和实战演练,演练内容覆盖常见安全事件场景。演练后应进行总结评估,改进应急响应流程和技术措施。
第九章 安全审计与检查
第二十九条 企业建立信息系统安全审计制度。安全审计包括日志审计、操作审计和合规审计等。安全审计应定期进行,审计结果形成审计报告报送企业分管领导和保密工作机构。
第三十条 信息技术部门定期对企业信息系统的安全状况进行检查和评估。检查内容包括系统漏洞和安全配置、用户权限和账号管理、数据备份和恢复、安全设备运行状况、员工安全行为等。
第三十一条 企业可以委托专业安全服务机构对信息系统进行安全测试和评估,包括渗透测试、漏洞扫描、安全合规评估等。安全测试和评估结果应及时整改,重大问题应上报保密工作机构。
第十章 违规处理
第三十二条 违反信息系统保密管理规定的,根据违规行为的性质和后果给予相应处理。擅自将涉密信息上传至非涉密网络和云存储的,私自搭建无线网络绕过企业安全管控的,故意泄露账号密码的,私自安装恶意软件和未授权软件的,均属于违规行为。
第三十三条 因违反信息系统保密管理规定导致信息安全事件和数据泄露的,企业有权追究当事人和管理人员的责任,要求赔偿经济损失。
第十一章 附则
第三十四条 本制度由保密工作机构和信息技术部门共同负责解释。各部门应配合信息技术部门做好本部门信息系统的使用管理工作。
第三十五条 本制度自发布之日起施行。企业原有信息系统保密管理规定与本制度不一致的,以本制度为准。
常见问题
问:企业员工使用个人手机处理工作事务时,如何做好信息保密? 答:这是一个普遍存在且管理难度较大的问题。北京企密安建议企业采取以下措施:一是制定移动设备使用规范,明确禁止在个人手机上处理核心秘密信息;二是对必须使用移动设备处理的工作事务,使用企业统一部署的安全办公软件进行安全通信和文件传输,避免使用个人社交软件发送涉密内容;三是要求员工在手机屏幕有被窥视风险的公共场所谨慎操作;四是员工离职或手机更换时,应及时清除手机中保存的企业信息。
问:企业上云后,云计算环境下的信息系统保密工作应该如何开展? 答:企业上云后保密管理的核心是明确云服务商和企业的安全责任边界。北京企密安建议企业重点做好以下工作:一是在选择云服务商时评估其安全资质和数据保护能力,签署详细的云服务协议和数据保护条款;二是对上传到云平台的数据进行分类分级,核心涉密数据不宜上公有云,敏感数据上云前应进行加密处理;三是做好云上资源的访问控制,管理好云账号和访问密钥;四是定期对云上配置进行安全审计,检查是否存在配置不当导致数据泄露风险。云环境下的保密管理需要企业与云服务商密切配合,共同做好数据保护工作。
如需信息系统保密体系建设咨询,请联系北京企密安。北京企密安 010-63711822 baomiwang.com
