《工业股份有限公司信息安全保密系统管理办法.doc》由会员分享,可在线阅读,更多相关《工业股份有限公司信息安全保密系统管理办法.doc(51页珍藏版)》请在三一办公上搜索。
1、工业股份有限公司(集团)信息安全保密系统管理办法(试行)为了保护公司商业秘密、技术秘密、工艺秘密等秘密信息在生成、传递、使用、归档、存储等过程中的安全保密,确保公司利益不受损失,根据国家有关法规和公司安全保密系统的运行要求,特制定本办法。第一章 总则第一条 本办法仅适用于以计算机、网络系统为载体的公司商业秘密、技术秘密、工艺秘密等秘密信息的安全保密。本办法不适用于纸介质等其他载体保存的公司秘密信息的安全保密管理。第二条 本办法所指安全保密系统由下述部分构成:(1)ViaSeal系统,含服务器系统(安装部门:01工程、信息技术部)和客户端;(2)ViaControl系统,含服务器系统(安装部门:
2、01工程、技术中心、信息技术部)和客户端;(3)Gefon SID-LASA(格方SID强双因子身份认证系统,安装部门:01工程),LANSA Windows 域服务器系统(安装部门:技术中心),LANSA 客户端系统,LANSA InfoKey,LANSA Super InfoKey(保管部门:01工程、技术中心、信息技术部);(4)技术中心档案室FTP Serv-U Server系统;(5)Sygate Personal FireWall系统(运行于ViaSeal系统、ViaControl系统、FTP Serv-U Server系统服务器上);(6)SoftXP 网路岗系统(安装部门:01
3、工程、技术中心、信息技术部);(7)D-LOCK硬盘加密锁TP-7618(SE-40)及Key(使用部门:01工程办公室)。(8)OA系统的邮件备份系统。第三条 本办法所指使用人员包含以下部分的人员:(1)安全保密系统的系统管理员(参见第十三条);(2)对系统管理员进行审计的安全审计员;(3)ViaSeal客户端、ViaControl客户端、LANSA InfoKey的使用人员;(4)01工程办公室全体人员;(5)技术中心全体人员;(6)FTP Serv-U Server系统的使用人员。第四条 秘密范围本办法所指的公司技术秘密是指由01工程办公室确定的需保密的01工程相关的产品设计信息(含文件
4、)、由技术中心确定的需保密的公司产品设计信息(文件);公司工艺秘密是指由公司工艺管理部门(品质技术部)确定的需保密的公司工艺信息(文件);公司商业秘密是指由公司相关职能部门(公司办公室、企业发展部、财务部、人力资源部、品质技术部、销售公司)确定的需限制知悉范围的公司相关信息(文件)。第二章 管理部门第五条 适用范围本办法适用于公司所有部门和员工,以及由01工程办公室、技术中心确定的产品零部件配套单位。第六条 管理部门本办法所指安全保密系统分为三个组成部分:01工程安全保密系统;技术中心安全保密系统;公司安全保密系统。(1)01工程安全保密系统的系统管理部门为01工程办公室;安全审计部门为公司保
5、密委员会;(2)技术中心安全保密系统的系统管理部门为技术中心;安全审计部门为公司保密办公室;(3)公司安全保密系统的系统管理部门为信息技术部;安全审计部门为公司保密办公室。第三章 基本概念第七条 本办法中所引用的基本概念如下:1. 安全模型:安全模型是由下述三个方面构成的权限控制整体:1) 公司秘密信息的分类及类别名称(每类对应一个密钥钥匙)、角色名称(确定对秘密信息的访问人员分组名称);2) 公司每类秘密信息与其角色之间的关联关系,即每类秘密信息可由那些角色生成,由那些角色访问、使用;3) 公司使用人员与角色之间的关联关系,即确定每个角色是由那些使用人员组成,或公司的每位使用人员具有那些角色
6、(对应产生每位使用人员独有的内带相应密钥钥匙的标识文件);安全模型实际上确定了公司的每类秘密资料可由那些公司使用人员接触使用。2. 资料类别:秘密资料的分类。不同的秘密资料有不同的知悉范围(角色),相同知悉范围的不同秘密资料可分为一类,它们可使用相同的密钥钥匙。秘密资料的分类可按资料的使用属性分类(如财务、人事、战略等,整车、发动机、车架、电器等),也可按资料的自有属性分类(即图书馆分类法、档案分类法等)。秘密资料分类一旦确定分配密钥钥匙,其名称就不能被修改和删除。3. 角色:使用人员的分组。每个资料类别有固定的知悉人员组;使用人员可以同时属于不同的组。分组名(角色)与资料类别对应,不变化;使
7、用人员及所属分组可以改变。4. 加、解密密钥(令牌):每个资料类别对应一个唯一的密钥,使用者可用该密钥对资料类别中的任何资料进行加密和解密。该密钥由系统管理,使用者不保管该密钥。使用密钥对资料进行加、解密在系统中称为加、解保护;使用者使用的密钥存放在一个称为令牌的文件中(该令牌也是加密的),该令牌使用者不能自行保存,其有效期维持9小时(使用者每天均需从服务器上获取令牌)。只有相应的授权用户才能获取资料类别的加密权限或者解密权限;授权关系由安全模型确定并由系统自动管理。5. InfoKey:用于使用者登陆终端时的验证,包含口令(PIN值)和一个USB硬件设备。该USB硬件设备与终端计算机一一对应
8、,用于识别该终端设备的使用员工(即USB硬件设备的保管者)。本办法中的InfoKey指USB硬件设备。6. IP地址:计算机在网络中的地址标识。IP地址由公司或单位的计算机管理员统一分配,使用者不得擅自更改终端的IP地址。7. MAC地址:网卡的物理地址。用于识别网卡设备,每块网卡的MAC地址与该网卡一一对应,在全球均是唯一的,不可更改的。第四章 法律责任第八条 法律申明任何终端上计算机设备及相应的附属设备、安全系统的帐号、密钥、口令、InfoKey、Super InfoKey、IP地址、技术秘密、商业秘密、工艺秘密均属公司资产,任何员工不得私自更改、销毁、隐藏,违者将受到公司相关制度规定的处
9、罚,公司将保留对违规员工追究其承担侵犯公司知识产权和损害公司财产的法律责任的权利。第五章 安全策略及实施模型第九条 原则上安全模型中的资料类别可以新增和停用,不得更改或删除。第十条 安全模型的建立安全模型的首次建立和新增内容必须按以下流程进行:1. 各应用单位提出需进行安全保密的秘密资料的类别名称、每类资料的范围定义、每类资料相应的知悉人员范围及角色名称的需求申请;应用单位仔细研究所提需求,特别是资料类别及其相应的角色对应关系,确保公司秘密资料在受控范围内使用。参见附件1:安全模型示例2. 单位领导确认应用单位主管领导应部门提出的安全模型需求,结合公司业务实际和商业、技术秘密管理的有关规定,进
10、行研究核实,确保需要保护的秘密信息已经纳入,不需保护的秘密没有加入,以利于工作的开展和秘密的保护双不误。单位主管领导应签字确认并加盖公章。向信息技术部同时报送书面申请和电子文档。3. 信息技术部审核汇总信息技术部汇总各单位申请,形成公司安全模型;对安全模型进行技术评估,提出安全模型的技术实施方案;安全模型报公司保密办。4. 公司保密办公室研究公司保密办公室召集相关部门及人员对安全模型进行研究,确定是否符合公司的相关管理规定。5. 公司领导审查批准新的安全模型由公司保密办报公司保密委员会审查批准;如只涉及一项资料类别的安全模型,或属同一类型(如都是公司战略发展方面的核心商业秘密)的多项类别的安全
11、模型,可由分管该类型业务的公司领导审查批准。公司保密办公室将安全模型下达信息技术部执行并进行审计。6. 系统管理员实施信息技术部组织相关系统的系统管理员,按公司批准的安全模型及其技术实施方案,在系统上进行实现。7. 审计安全审计员按安全模型对系统管理员执行结果进行审计,形成审计报告(参见第六章第二十二条)。8. 公司保密办公室备案新的安全模型和审计报告。9. 信息技术部向公司使用人员发布新的安全模型的使用办法并进行相关培训;修订相关的培训、操作使用教程并下发使用。第十一条 安全模型的修改安全模型的修改必须按以下流程进行:1. 各应用单位提出需进行修改资料类别、角色以及对应权限关系的需求申请;2
12、. 单位领导确认单位主管领导应签字确认并加盖公章。向信息技术部同时报送书面申请和电子文档。3. 信息技术部审核汇总信息技术部汇总各单位申请,形成公司安全模型;对安全模型进行技术评估,对已有资料类别的修改应该拒绝,提出安全模型的实施过程方案;安全模型报公司保密办。4. 公司保密办公室审核公司保密办公室召集相关部门及人员对安全模型进行审核,确定是否符合公司的相关管理规定。5. 公司领导审批新的安全模型由公司保密办报公司保密委员会审查批准;如只涉及一项资料类别的安全模型,或属同一类型(如都是公司战略发展方面的核心商业秘密)的多项类别的安全模型,可由分管该类型业务的公司领导审查批准。公司保密办公室将安
13、全模型下达信息技术部执行并进行审计。6.实施信息技术部组织相关系统的系统管理员和系统使用人员,按公司批准的安全模型及其实施过程方案,在系统上进行变更。7. 审计安全审计员按安全模型对执行结果进行审计,形成审计报告(参见第六章第二十二条)。8. 公司保密办公室备案新的安全模型和审计报告。9. 信息技术部修订相关的培训、操作使用教程并下发使用。第十二条 使用人员变更使用人员的增加、删除、变更角色属性按以下流程进行:1. 各单位提出使用人员变更申请;2. 单位分管领导审核,签字同意并加盖单位公章后报信息技术部;3. 对新增使用人员,系统管理员安装所需的ViaSeal客户端、ViaControl系统客
14、户端、LANSA客户端及InfoKey、FTP客户端,配置相应的ViaControl、SoftXP 网路岗系统、OA系统的邮件备份系统进行审计;按第七章的有关规定进行培训。4. 信息技术部组织ViaSeal、ViaControl、LANSA、FTP、Sygate Personal FireWall系统、SoftXP 网路岗系统、OA系统的系统管理员在系统上实现使用人员的变更调整。5. 信息技术部定期将使用人员变更情况报公司保密办备案。第六章 使用人员及职责第十三条 系统管理员由于公司的秘密信息均由系统管理员掌握,系统管理员是公司信息安全保密系统的核心人员,也是公司秘密信息权限分配的管理者,公司
15、人力资源部门、保密办公室应加强对系统管理员的管理。本办法所称系统管理人员由以下人员构成:(1) 信息技术部、技术中心、01工程办公室ViaSeal服务器系统的主机管理员,ViaSeal系统管理员,SO操作员,域管理员,组管理员;(2) 信息技术部、技术中心、01工程办公室ViaControl服务器系统的主机管理员,ViaControl系统管理员;(3) 信息技术部、技术中心、01工程办公室LANSA Super InfoKey保管员和使用者,LANSA Windows 域服务器系统管理员;(4) 技术中心档案室FTP Serv-U Server系统的主机管理员,FTP Server系统管理员;
16、(5) 信息技术部、技术中心、01工程办公室、技术中心档案室Sygate Personal FireWall系统管理员;(6) 信息技术部、技术中心、01工程办公室SoftXP 网路岗系统管理员;(7) 信息技术部OA系统的系统管理员。第十四条 系统管理员岗位基本条件忠诚嘉陵,具备高度的职业道德修养;具备熟练的计算机操作技能,具备基本的计算机信息安全基础;具有较强的学习能力;具有敢于坚持原则,甘于淡泊的工作心态。第十五条 系统管理员由信息技术部、技术中心、01工程办公室确定,并报公司人力资源管理部门、公司保密办公室、信息技术部备案;系统管理员岗位异动后,应及时报公司人力资源管理部门、公司保密办
17、公室、信息技术部备案。第十六条 系统管理员职责系统管理员应履行以下基本职责:1. 管理职责对所负责的安全保密系统进行日常的管理;根据公司的有关决定进行安全模型在本系统上的实施和调整;根据安全审计员的建议和意见对本系统进行调整管理。2. 维护职责对系统进行日常维护,确保系统的正常运行;对系统客户端进行维护管理,对使用人员正确使用和维护系统客户端进行指导。3. 检查职责对本系统使用人员在使用中是否有违反本办法的情况进行日常检查;配合相关主管部门对本系统使用人员在使用中是否有违反本办法的情况进行检查。4. 建议职责对使用人员的违规情况提出处罚建议;根据技术的发展要求和公司信息安全环境的变化对安全模型
18、及其安全管理机制提出策略的调整建议。5. 记录归档职责对系统管理员在系统服务器上进行操作的所有行为进行登记;对系统日志和操作行为登记记录进行定期归档保存。系统管理员应按附件2:安全保密系统操作基本规定的相关规定执行。第十七条 安全审计员安全审计员是受安全审计部门委派对系统管理员按公司相关规定及安全模型进行系统管理、设置、操作的行为是否违反本办法规定进行检查的人员。安全审计员由公司保密办公室、公司保密委员会确定,并通告系统管理员及其所属单位。第十八条 安全审计员职责安全审计员应履行以下基本职责:1. 对系统管理员私自违反安全模型的规定的行为进行监督审计;2. 对系统管理员的违规行为按本办法及公司
19、的有关规定提出处罚建议;3. 根据审计情况,对公司安全模型及有关管理制度、流程提出修改或调整建议。安全审计员应按附件2:安全保密系统操作基本规定的相关规定执行。第十九条 审计方法审计采用定期审计与抽查审计相结合、全面审计与专项审计相结合、管理审计与技术审计相结合的方式进行。审计采用通过查阅系统管理员的操作记录(归档)、服务器系统日志、与系统管理员交谈等方式进行。第二十条 审计流程1. 审计部门提出审计主题;2. 通知系统管理员提供相应的操作记录档案和需要的相关依据;3. 安全审计员对记录档案进行分析;在需要时查阅系统服务器日志或询问系统管理员,印证审计分析;4. 归纳审计问题、分析原因、提出解
20、决对策,撰写审计结论报告。5. 反馈审计结论。(1) 对一般审计事项:返回记录档案;向系统管理员反馈审计建议或下达审计问题整改对策,系统管理员进行整改;(2) 对审计出的违规事项:返回记录档案;向系统管理员下达审计问题整改对策,系统管理员进行整改;向公司相关部门提出处罚建议,对系统管理员进行处罚。第二十一条 审计周期定期审计中管理审计方面的周期应不低于3个月;技术审计方面的周期应不低于2个月。第二十二条 审计报告审计报告及建议应包含以下基本内容:1. 审计主题;2. 审计时间;3. 审计人; 4. 被审计对象、范围、日期段;5. 审计出的问题;6. 问题产生的原因;7. 解决问题的对策建议;8
21、. 损失分析;9. 责任分析;10. 处罚建议第二十三条 使用人员职责系统使用人员(系统客户端的使用人员)应履行以下基本职责:1. 学习并遵守本办法及其他公司安全保密系统的制度规定;2. 不得私自破坏安全系统在自己终端上的完好性和可用性;3. 对他人破坏安全系统客户端的行为进行监督和举报。使用人员应按附件2:安全保密系统操作基本规定的相关规定执行。第七章 安全保密系统的人员培训制度第二十四条 安全保密系统的使用人员上岗前必须接受培训。培训工作由人力资源部负责管理和检查,信息技术部进行技术协助。第二十五条 培训内容培训内容为制度、流程培训和系统使用培训。制度、流程培训为公司保密制度、规定,包含本
22、办法在内;系统使用培训为安全保密系统的操作,使用重庆普金软件股份有限公司提供的JL-CIMS/ISMC信息安全保密系统用户培训教材、JL-CIMS/ISMC信息安全保密系统管理员培训手册作为培训教材。第二十六条 人力资源部负责对新进员工进行上岗培训;01工程和技术中心由本单位进行培训;公司其他部门的使用人员可由本部门进行培训,也可委托信息技术部进行集中培训。第八章 安全保密系统的终端系统维护制度第二十七条 各应用单位应确定本单位的安全保密系统终端设备的计算机管理员(01工程、技术中心确定系统管理员),负责本单位安全保密系统终端设备的管理。统称为终端系统管理员终端系统管理员名单报信息技术部备案。
23、第二十八条 任何安装了本办法所指安全保密系统客户端的终端的操作系统以及系统客户端的管理权限归终端系统管理员。使用人员对终端操作系统和系统客户端进行任何新装、变更、维护均需报告终端系统管理员,终端系统管理员必须确保系统变化后各安全保密系统客户端仍有效工作。01工程和技术中心的终端系统管理员在终端维护完成、各安全保密系统客户端工作正常后,收回该终端的管理员权限。第二十九条 任何终端上相应安全系统的密钥、口令等均属公司资产。使用人员离岗时应向终端系统管理员进行移交。第九章 安全保密系统的人员权限变更、审批、登记第三十条 已有资料分类、角色和安全模型1. 公司2005年8月时的安全模型,详见附件3:公
24、司安全模型。2. 01工程2005年8月时的安全模型,详见附件4:01工程安全模型。3. 技术中心2005年8月时的安全模型,详见附件5:技术中心安全模型。第三十一条 角色和资料分类的新增和变更按第十条、第十一条的规定办理。1. 在业务需求紧急情形下,新增单一资料类别可按以下简化流程处理:(1)业务部门和职能部门提出新增资料分类及其关联访问角色的定义申请(2)申请单位分管领导确认(3)公司分管领导批准(4)信息技术部组织系统管理员实施。信息技术部处理完毕后报公司保密办公室备案,修订相关手册并下发使用人员执行。2. 01工程办公室在日常工作中的资料分类和角色管理按以下流程处理:(1)01工程办公
25、室相关科室提出新增资料分类及其关联访问角色的定义申请(2)分管01工程的公司领导批准(3)01工程系统管理员实施(4)报公司保密办公室备案,通告安全审计员。01工程办公室定期将新的安全模型通告信息技术部,信息技术部组织资料档案室进行相应变更维护,修订相关手册并下发使用人员执行。3. 技术中心在日常工作中的资料分类和角色管理按以下流程处理:(1)技术中心业务部门提出新增资料分类及其关联访问角色的定义申请(2)业务部门领导确认(3)技术中心领导审定批准(4)技术中心系统管理员实施(5)报公司保密办公室备案,通告安全审计员进行审计。技术中心定期将新的安全模型通告信息技术部,信息技术部组织资料档案室进
26、行相应变更维护,修订相关手册并下发使用人员执行。第三十二条 使用人员及其所属角色的权限新增、变更按第十二条的规定办理。1. 在业务需求紧急情形下,使用人员变更所属角色可按以下简化流程处理:(1)使用单位提出使用人员角色变更申请(2)单位领导审核批准(3)信息技术部组织系统管理员实施(4)报公司保密办公室备案并审计。2. 01工程办公室使用人员变更所属角色可按以下简化流程处理:(1)01工程办公室相关科室提出使用人员角色变更申请(2)01工程分管领导审核批准(3)01工程系统管理员实施并登记。01工程办公室定期报公司保密办公室备案审核。3. 技术中心使用人员变更所属角色可按以下简化流程处理:(1
27、)技术中心业务部门提出使用人员角色变更申请(2)部门领导确认(3)技术中心分管领导批准(4)技术中心系统管理员实施并登记。技术中心定期报公司保密办公室备案审核。第十章 秘密资料的归档管理第三十三条 资料归档当公司商业秘密、技术秘密、工艺秘密等秘密资料不再进行修改、项目所产生的公司秘密资料在项目验收后均应移交到公司资料档案室进行统一管理,即秘密资料归档。安全保密系统中的秘密资料归档的管理部门为公司技术中心。秘密资料归档的管理按司技发200240号关于下发集团公司电子档案管理办法(试行)的通知、股司技发200322号关于下发中国嘉陵工业股份有限公司(集团)电子档案管理办法(试行)补充规定的通知执行
28、。第三十四条 资料归档系统资料归档管理系统(FTP Serv-U Server)在涉及公司商业秘密、技术秘密、工艺秘密等秘密资料的管理、维护和使用中应遵循以下基本原则:1. 归档秘密资料必须经档案管理部门审核后由资料归档管理系统的系统管理员统一储存于资料归档管理系统中,禁止使用人员直接在资料归档管理系统中储存归档秘密资料;2. 资料归档管理系统中归档秘密资料的分类名称及储存目录、访问人员的访问许可权限必须和公司安全模型保持一致;3. 资料归档管理系统中归档秘密资料必须使用公司安全模型中规定的密钥加密后传输、储存;4. 资料归档系统(FTP Server)系统管理员接受公司保密办公室安全审计员的
29、审计。本条原则规定如有与司技发200240号、股司技发200322号相冲突的地方,遵循本条原则规定。资料归档系统(FTP Server)权限管理、审计的具体事项由公司档案管理部门另行制定。第三十五条 资料阶段归档主要指产品设计项目在产品未定型、项目未验收归档前,对项目设计过程中已定型(不再修改)的技术秘密资料进行归档管理。第三十六条 秘密资料阶段归档由技术中心、01工程办公室根据第十章的规定,结合工作实际,制定相应的阶段归档资料的归档流程、操作方法和管理的实施细则,报信息技术部和公司保密办公室备案。第三十七条 阶段归档资料的操作方法应充分考虑已归档资料在使用中的方便性,使用专用的分类交换区域进
30、行;对违规行为应按处罚上限执行并加重处罚。第三十八条 已归档的秘密资料借阅使用时,需使用安全保密系统的相应权限密钥加密后传输给借阅者;如借阅者未使用安全保密系统,经相关公司领导同意后,由资料归档系统的系统管理员解密后传输给借阅者。第三十九条 秘密文件资料的传输严禁使用共享文件及共享目录方式。第十一章 安全保密系统的安全关联策略第四十条 安全保密系统的以下组成部分必须同步设置:使用人员使用的InfoKey的PIN值(用户名及口令)使用者本人知晓和管理口令;ViaSeal服务器系统的帐号(用户名及口令)使用者本人知晓和管理口令;使用人员使用的InfoKey终端计算机的IP地址、终端计算机的MAC地
31、址;终端计算机的IP、MAC地址服务器FireWall的许可访问地址;FTP秘密资料目录及其可许可用户的用户名、口令、许可访问的IP、MAC 地址用户终端计算机的IP、MAC地址;ViaSeal服务器系统的帐号(用户名及口令)使用者本人知晓和管理口令。第四十一条 关联内容1. 使用人员首次使用InfoKey时,应立即更改其口令,并妥善保管口令,凡是以该InfoKey及口令登陆相应终端计算机所产生的任何行为均视为使用者(InfoKey持有者)的行为。2. 首次使用ViaSeal客户端的使用者,应立即更改帐户口令,并妥善保管口令,凡是以该帐户获取令牌对相应秘密资料文件进行的任何操作行为均视为使用者
32、(帐户所有者)的行为。3. 安全保密系统的终端计算机的IP地址与MAC地址必须进行捆绑,使用人员不得擅自更改IP地址与MAC地址;凡是以IP地址或MAC地址在安全保密系统中进行的任何操作行为均视为使用者(该终端对应的InfoKey持有者)的行为。4. 系统管理员必须确保ViaSeal服务器、ViaControal服务器、资料归档管理服务器(FTP Serv-U Server)中FireWall中的许可访问规则中的MAC地址与系统使用人员的终端计算机的MAC地址一一对应;FireWall应禁止其他任何IP地址访问ViaSeal服务器、ViaControal服务器和资料归档管理服务器(FTP Se
33、rv-U Server)。5. FTP秘密资料目录在设定其可许可用户的帐户(用户名、口令)时,必须同步设置许可访问的IP地址(或MAC地址),并禁止在其他IP地址的终端计算机使用该帐户;FTP系统管理员必须确保FTP帐户上许可IP地址与可使用该帐户的使用人员终端计算机的IP地址一一对应。6. ViaSeal服务器系统的帐号(用户名及口令)使用者本人知晓和管理口令。第四十二条 系统管理员设定第四十一条规定的关联内容时,其关联关系必须和公司安全策略相符合。当公司安全策略发生变化时,系统管理员必须同步更新关联内容的关联关系。第十二章 安全保密系统的InfoKey管理制度第四十三条 InfoKey仅指
34、由使用人员持有的;Super InfoKey是由LANSA系统(含Windows域服务器系统)的系统管理员持有,对InfoKey进行管理的USB硬件设备。第四十四条 InfoKey用于识别持有人与所使用的终端计算机及其IP地址、MAC地址的唯一关联关系。InfoKey由系统管理员在终端计算机上生成并发放给使用人员后,任何由该终端计算机IP地址、MAC地址产生的行为即视为持有InfoKey的员工的行为。第四十五条 InfoKey持有者对InfoKey负有保管责任,建议不要借给他人使用;InfoKey持有者应对InfoKey的PIN值(帐户口令)进行定期更换,并保管好口令,确保终端计算机的使用安全
35、;InfoKey持有者禁止更改本机IP地址,应要求系统管理员将本机IP地址与MAC地址捆绑;应随时检查本机IP地址的冲突情况,发现本机IP地址冲突时及时报告系统管理员,以发现盗用本机IP地址的员工;InfoKey持有者应要求系统管理员对本机的系统管理权限进行限制:(1)禁止使用光盘、软盘、USB设备启动计算机;(2)禁止他人拆装计算机;(3)禁止私自重装操作系统;(4)维修计算机及维护操作系统时按第八章的有关规定进行。第四十六条 Super InfoKey由系统管理员保管;技术中心的Super InfoKey(2个)由技术中心负责保管;公司安全保密系统中LANSA系统的Super InfoKe
36、y(6个)由信息技术部负责保管;Super InfoKey只能由系统管理人员使用,用于生成InfoKey及对InfoKey的管理;其他的Super InfoKey的管理者只能作为系统管理员对Super InfoKey管理的备份管理,禁止私自使用或借给其他人员使用。Super InfoKey一旦遗失,必须立即报告信息技术部和公司保密办公室,并按以下流程处理:(1)停用ViaSeal系统及LANSA系统;(2)重新购买并安装LANSA系统;(3)启用ViaSeal系统及LANSA系统;(4)责任追究:遗失Super InfoKey的系统管理员及所在单位应承担更换LANSAN系统及由此产生泄密所造成
37、损失的全额赔偿责任。第四十七条 使用人员遗失InfoKey时按以下流程处理:(1)遗失者报告所在系统的系统管理员:01工程办公室的使用人员报告01工程办公室的系统管理员;技术中心的使用人员报告技术中心的系统管理员;公司其他部门使用人员报告信息技术部系统管理员;(2)系统管理员在终端计算机上注销原InfoKey的注册使用,并重新制作生成InfoKey并由遗失者签字领用;(3)遗失者按InfoKey的购买成本的双倍赔偿。第四十八条 InfoKey的持有者因岗位变动不再使用安全保密系统时,应将InfoKey移交系统管理员。对拒绝移交的,系统管理员应在终端计算机上注销原InfoKey的注册使用,并由持
38、有者按InfoKey遗失情形进行购买成本的双倍赔偿。第十三章 特例第四十九条 Gefon SID-LASA(格方SID强双因子身份认证系统)的管理由01工程办公室参照LANSA的管理规定执行。第五十条 D-LOCK硬盘加密锁及Key的管理由01工程办公室参照LANSA Super InfoKey的管理规定执行。第五十一条 01工程安全保密管理的详细实施细则,由01工程办公室制定,报公司保密办公室和信息技术部备案后实施。第五十二条 技术中心安全保密管理的详细实施细则,由技术中心制定,报公司保密办公室和信息技术部备案后实施。第十四章 检查与考核与奖惩第五十三条 公司使用人员的检查考核由信息技术部负
39、责;其中技术中心、01工程使用人员的日常检查考核委托技术中心、01工程办公室负责,信息技术部抽查。第五十四条 系统管理员的检查考核由公司保密办公室负责,日常检查考核由安全审计员负责。第五十五条 对使用人员的违规行为,按下列情形进行处罚:1. 使用人员上岗前必须接受相关培训,并按规定使用有关安全保密系统;检查中每发现违反1次,给予50100元的经济处罚;对累计5次违反者,建议给予调离岗位的行政处罚。2. 使用禁止私自拆卸计算机及网络设备;检查中每发现违反1次,给予100200元的经济处罚;对累计3次违反者,建议给予调离岗位的行政处罚。3. 使用人员禁止私自在计算机上安装硬件设备,特别是应用蓝牙技
40、术等无线设备;检查中每发现违反1次,给予200300元的经济处罚;情节严重者,视为窃密(泄密)事件,按集企发200320号关于印发嘉陵集团公司计算机应用保密安全管理办法的通知附件五计算机泄密事件的报告、处理制度的有关规定处理。4. 使用人员禁止私自安装任何威胁安全保密系统的程序(如一些易造成网络系统不稳、故障、甚至崩溃的软件,黑客程序,窥探软件等);检查中每发现违反1次,给予2002000元的经济处罚。5. 使用人员禁止私自重装操作系统,或采取特殊措施逃避系统监控与审计;检查中每发现违反1次,给予200300元的经济处罚。6. 01工程办公室和技术中心使用人员的终端计算机(笔记本电脑除外)的内
41、置超级管理员帐户administrator由01工程办公室和技术中心的系统管理员负责管理,使用人员禁止私自禁用、更改、删除;其帐户口令由系统管理员集中管理,使用人员禁止私自更改;检查中每发现违反1次,给予100元的经济处罚。7. 使用人员禁止私自更改IP地址;检查中每发现违反1次,给予100元的经济处罚。8. 使用人员首次启用InfoKey,应更改PIN值(帐户口令),禁止使用默认PIN值;检查中每发现违反1次,给予50100元的经济处罚。第五十六条 对使用人员违反规定,并可能造成失、泄密情形的,按以下情形分别进行处罚:1. 改变但不能确定秘密信息外泄的,给予警告,同时公司保留根据后续损失进行
42、追加处罚的权利;2. 改变已造成秘密信息外泄,直接损失和潜在损失轻微的,给予1000-5000元的经济处罚;3. 改变已造成秘密信息外泄,直接损失和潜在损失严重的,给予5000元以上的经济处罚,并建议给予调离本岗位的行政处罚;4. 对触犯法律的,同时移交政法机关追究其法律责任。第五十七条 系统管理员、安全审计员违反管理规定,按下列情形分别处理:1. 尚未造成秘密信息外泄的,检查中每发现违反1次,给予5001000元的经济处罚;2. 已造成秘密信息外泄,直接损失和潜在损失轻微的,给予5000元以上的经济处罚,并建议给予调离本岗位的行政处罚;3. 已造成秘密信息外泄,直接损失和潜在损失严重的,按集
43、企发200320号关于印发嘉陵集团公司计算机应用保密安全管理办法的通知附件五计算机泄密事件的报告、处理制度的有关规定处理。4. 对触犯法律的,按集企发200320号关于印发嘉陵集团公司计算机应用保密安全管理办法的通知附件五计算机泄密事件的报告、处理制度的有关规定处理,同时移交政法机关追究其法律责任。第十五章 附则第五十八条 本办法由公司委托信息技术部解释。第五十九条 本办法由公司保密办公室和信息技术部联合修订。第六十条 本办法自下发之日起执行。附件1:安全模型示例1技术中心R99项目安全模型(1)项目资料分类管理资料:项目推进过程中的所有行政管理文件,包括项目合同,项目周报,项目进度,规章制度
44、等等。设计资料:项目产品设计全部数据,包括全部部件2D,3D数据。(2)资料类别:R99项目合同文件R99项目行政文件R99项目管理文件R99项目总体结构数据R99项目关键部件数据R99项目普通部件数据注:关键部件和普通部件的划分由项目负责人和主设计师共同制定。(3)角色项目负责人:对项目组所有成员进行监督,管理;管理人员:对项目推进全过程进行日常管理;主设计师:对项目产品设计全过程进行规划,总体设计,设计决策;部件设计师:按照主设计师的规划对项目产品部件进行实际设计;(4)资料类别、角色、使用人员的权限对应关系:R99项目组资料项目行政文件项目合同文件项目管理文件管理资料项目负责人:易小波,
45、张翔管理人员:周秀丽,王艳,刘兵总体结构数据主设计师:孙敏,张喀南设计资料关键部件数据部件设计师:黄建彬,周先龙,李应全。普通部件数据说明:资料类别角色:表明该角色对该资料类别只有读权限,即解密。资料类别角色:表明该角色对该资料类别只有写权限,即加密。资料类别角色:表明该角色对该资料类别有写、读权限,即加密、解密。附件2:安全保密系统操作基本规定系统管理员操作基本规定LANSA_Infokey 系统1. 服务器安装程序比客户端安装程序功能多,从安全角度考虑用户仅需要安装客户端版本即可。2. 因为每个Infokey都有统一的默认PIN和管理员口令,建议管理员在给用户安装之前修改每个Infokey
46、的管理员口令。3. 需要将写入Infokey的用户设置为用户不能修改口令和用户口令永不过期。4. 安装完成后,LANSA系统提示注册用户,此时将Infokey插入到USB口,系统会自动安装驱动,当确认驱动安装完成后,请将Infokey移到其他的USB口,并反复插拔Infokey几次,确认驱动生效,之后方可转换用户、重新启动计算机。5. 确认在该计算机上存在一个系统管理员知道口令的管理员权限的账户,以备系统管理员维护使用。6. 卸载LANSA系统时,需要本地管理员权限和LANSA管理员权限,并且需要相应的口令。7. 卸载时有两种方式,其一是使用超级Key,另外一种是使用连接服务器的方式。8. 切勿直接删除LANSA安装目录,否则可能造成系统无法启动或加密的文件无法打开的严重后果。9. 当用户忘记PIN或被锁定后,系统管理员可以将用户的Infokey拿到LANSA服务器进行解锁,此时需要知道该Infokey的管理员口令。10. 当用户的Infokey丢失或无法使用其登陆系统时,系统管理员可以使用超级key和在该用户计算机上预留的管理员身份登陆系统进行维护。11. 使用超级key时,需要仅插入该超级key,在用户登陆界面按“Ctrl+Alt+Del”,然后再按“Esc”,如此连续反复操作5次之后会弹出新
