關於加強黨政機關計算機信息系統安全和保密管理的若干規定

為加強黨政機關計算機信息系統安全和保密管理，保障計算機信息系統和國家秘密的安全，現依據國家有關法律法規和政策，針對當前網路安全保密管理工作存在的突出問題和薄弱環節，制定本規定。

一、按照“誰主管誰負責、誰運行誰負責”的原則，各部門在其職責範圍內，負責本單位計算機信息系統的安全和保密管理。

二、各級黨政機關應當明確一名主要領導負責計算機信息系統安全和保密工作，指定一個工作機構具體負責計算機信息系統安全和保密綜合管理。各部門內設機構應當指定一名信息安全保密員。

三、計算機信息系統應當按照國家信息安全等級保護的要求實行分類分級管理。

四、涉及國家秘密的信息系統（以下簡稱涉密信息系統）應當按照國家保密法規和標準管理。涉密信息系統的建設，應當與保密設施的建設同步進行，經保密工作部門審批後，才能投入使用。

五、涉及國家秘密的信息（以下簡稱涉密信息）應當在涉密信息系統中處理。非涉密信息系統不得處理涉密信息。涉密信息系統必須與網際網路及其他公共信息網路實行物理隔離。

六、要加強對與網際網路聯接的信息網路的管理，採取有效措施，防止違規接入，防範外部攻擊，並留存網際網路訪問日誌。

七、計算機的使用管理應當符合下列要求：

（一）對計算機及軟體安裝情況進行登記備案，定期核查；

（二）設定開機口令，長度不得少於8個字元，並定期更換，防止口令被盜；

（三）安裝防病毒等安全防護軟體，並及時進行升級；及時更新作業系統補丁程式；

（四）不得安裝、運行、使用與工作無關的軟體；

（五）嚴禁同一計算機既上網際網路又處理涉密信息；

（六）嚴禁使用含有無線網卡、無線滑鼠、無線鍵盤等具有無線互聯功能的設備處理涉密信息；

（七）嚴禁將涉密計算機帶到與工作無關的場所。

八、移動存儲設備的使用管理應當符合下列要求：

（一）實行登記管理；

（二）移動存儲設備不得在涉密信息系統和非涉密信息系統間交叉使用，涉密移動存儲設備不得在非涉密信息系統中使用；

（三）移動存儲設備在接入本單位計算機信息系統之前，應當查殺病毒、木馬等惡意代碼；

（四）鼓勵採用密碼技術等對移動存儲設備中的信息進行保護；

（五）嚴禁將涉密存儲設備帶到與工作無關的場所。

九、數據複製操作管理應當符合下列要求：

（一）將網際網路上的信息複製到處理內部信息的系統時，應當採取嚴格的技術防護措施，查殺病毒、木馬等惡意代碼，嚴防病毒等傳播；

（二）嚴格限制從網際網路向涉密信息系統複製數據。確需複製的，應當嚴格按照國家有關保密標準執行；

（三）不得使用移動存儲設備從涉密計算機向非涉密計算機複製數據。確需複製的，應當採取嚴格的保密措施，防止泄密；

（四）複製和傳遞涉密電子文檔，應當嚴格按照複製和傳遞同等密級紙質檔案的有關規定辦理。

十、各級黨政機關應當積極使用國產軟硬體產品，公文處理軟體、信息安全產品等原則上應當使用國產產品。

保密要害部門、部位使用的保密技術防護設備，應當按照有關保密規定和標準配備；使用進口設備和產品，應當進行技術檢查。

十一、涉密計算機及相關設備維修，應當在本單位內部現場進行，並指定專人全過程監督，嚴禁維修人員讀取和複製涉密信息。確需送修的，應當拆除涉密信息存儲部件。

十二、涉密計算機及相關設備存儲數據的恢復，必須由國家保密工作部門指定的具有涉密數據恢復資質的單位進行。

十三、處理內部信息的計算機及相關設備在變更用途時，應當使用能夠有效刪除數據的工具刪除存儲部件中的內部信息。

十四、涉密計算機及相關設備不再用於處理涉密信息或不再使用時，應當將涉密信息存儲部件拆除或及時銷毀。

涉密信息存儲部件的銷毀必須按照涉密載體銷毀要求進行。

十五、加強對計算機使用人員的管理，開展經常性的保密教育培訓，提高計算機使用人員的安全和保密意識與技能。

十六、各級黨政機關應當與重點崗位的計算機使用人員簽訂安全保密責任書，明確安全和保密要求與責任。

十七、計算機使用人員離崗離職，有關部門應當即時取消其計算機信息系統訪問授權，收回計算機、移動存儲設備等相關物品。

十八、國家網路與信息安全協調小組辦公室和國家保密局要在各自職責範圍內，負責對中央和國家機關計算機信息系統安全和保密工作的協調、指導和督促檢查。相關職能部門要密切配合，共同做好計算機信息系統安全和保密工作。

十九、各級黨政機關要加強對本單位計算機信息系統安全和保密管理情況的監督，定期開展檢查，發現問題及時糾正。

二十、計算機信息系統使用管理人員違反本規定，情節較輕的，由本單位予以批評教育；情節嚴重，造成安全和泄密隱患的，按有關規定處理。

二十一、違反本規定泄露國家秘密的，按照有關規定給予直接責任人和有關領導行政或者黨紀處分；構成犯罪的，依法追究刑事責任。

二十二、各級黨政機關要根據本規定，結合實際，制定完善本單位計算機信息系統安全和保密管理的具體辦法。