保密信息系统范文

保密信息系统范文（精选3篇）

保密信息系统 第1篇

关键词：涉密信息系统,安全,保密

随着信息技术的高速发展，信息系统的基础设施的数量急速膨胀，信息系统软件的建设水平也日益提高，信息系统无论在政府、军队还是企业都是不可缺少的，涉密信息系统安全问题也同时变得日益突出。如果不能很好解决安全保密问题，将会引起泄密事件和网络被攻击事件发生，更会影响信息系统效能的发挥。分析现阶段涉密信息系统安全存在的问题，并找出相应的对策，对当前涉密信息系统建设和发展具有十分重要的意义。

1 计算机系统安全保密措施

1) 安全操作系统

操作系统是计算机软件系统的基础，操作系统的安全稳定直接关系到系统的稳定，设计一个安全的操作系统，从技术上讲有四种安全方法，如隔离控制、访问控制、信息加密和审计跟踪。操作系统采用的安全控制方法主要是隔离控制和访问控制。

2) 后门程序和漏洞

当程序员设计一个功能较复杂的软件时，都习惯于先将整个软件分割为若干模块，然后再对各模块单独设计、调试，每个模块的秘密入口即是后门。另外，程序员在设计系统时，虽然考虑了很多系统安全因素，但是总会有些不足的地方。系统本身的这些脆弱环节，就是通常所说的系统的漏洞。这些后门和漏洞的存在可能被程序的作者秘密使用，也可能被少数人发现并加以利用。为防止后门程序和漏洞，涉密信息系统中的计算机系统要及时安装漏洞修补程序和防火墙软件。

3) 病毒和木马

计算机病毒：编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。木马也叫特洛伊木马—Trojan Horse，来源于古希腊的神话故事“木马记”。特洛伊木马是一种隐蔽的远程控制工具。其实质是C/S结构的网络程序。木马具有很强的隐蔽性和危害性。为此涉密计算机一定要安装经过国家安全部门安全认证过的正版杀毒软件。尤其以经过安全认证的国产杀毒软件为佳。

2 通信安全保密措施

1) 加密技术

加密技术是通信安全保密的主要措施，加密通常分为应用层加密和网络层加密两个部分。网络层加密是实现信息偷不走，应用层加密是实现偷走后看不懂。通常两种加密手段结合使用。

2) 专网技术

目前人防多数都建设了自己的专网，专网技术能有效地将涉密信息与非涉密信息、内部网络和外部网络进行有效隔离。

3) 干扰技术

移动通信技术提升了日常办公和生活的便利性，但由于其开放性，也给信息窃取提供了渠道。干扰技术是防止无线窃密技术的重要手段。

4) 屏蔽技术

电磁泄露和电磁攻击成为涉密信息系统安全的一大隐患，而且是一项不易发现，不受重视的威胁，电磁屏蔽技术是抵抗这一威胁的重要手段。

5) 合理布线技术

布线系统是通信系统的重要部分，合理布线不仅可以减少敌方从电路层窃取信息的可能，还可以减少电磁辐射，方便日常维护管理。

3 网络安全保密措施

1) 网络拓扑结构

拓扑逻辑决定了网络的工作原理及网络信息的传输方式。一旦网络的拓扑逻辑选定，必定要选择一种适合这种拓扑逻辑的工作方式与信息的传输方式。如果这种选择和配置不当，将为网络安全埋下隐患。通常人防系统的计算机网络结构采用层次化设计、层次化设计具有明显的优势：

(1) 层与层既相互连接, 又相对独立，层次结构清晰、各层分工明确, 各级设备的选择使用更有针对性, 网络/业务的管理更为便捷。

(2) 层与层之间的相互影响降低只最小，接入层业务接入点的增减不影响汇接层的性能，业务的增加不影响业务接入层性能，从而使得网络的扩展更为容易。

(3) 层次化的设计也方便了管线的布放，一方面节省工程投资，另一方面减少因网络变化而可能带来的工作量。

2) 隔离技术

隔离就是在内部系统与对外连接通道上设置阻塞点，以便对攻击者进行监视和控制，有效地维持被保护网络的边界安全。按照《国家信息化领导小组关于我国电子政务建设的指导意见》，“电子政务网络由政务内网和政务外网构成，两网之间物理隔离，政务外网与Internet之间逻辑隔离”，网络隔离技术从大的方面看，可以分为逻辑隔离(主要指防火墙)和物理隔离(主要指网闸)。隔离技术是实现计算机网络内网与外网有效隔离的手段，也是目前计算机网络安全保密系数最大的手段，通常逻辑隔离没有实现真正的物理隔离，对一般的非涉密的网络，利用逻辑隔离技术可以减少内部网络受攻击的概率，而对于涉密网络通常采用物理隔离的方式。物理隔离分为主机隔离和硬盘卡隔离。随着窃密技术的发展，各种隔离技术的安全性也受到挑战。

3) 防火墙技术

防火墙是指隔离在本地网络与外界网络之间的一道或一组执行控制策略的防御系统。它对网络之间传输的数据包依照一定的安全策略进行检查，以决定通信是否被允许，对外屏蔽内部网的信息、结构和运行状况，并提供单一的安全和审计的安装控制点，从而达到保护内部网络的信息不被外部非授权用户访问和过滤不良信息目的。

4 数据库安全保密措施

1) 备份问题

随着网络规模的迅速扩充，数据容量的大量增长，系统要求有更为完备的手段保障系统运行的高可靠性和系统交易的不间断性，用以对付类似系统崩溃，硬件损坏等意外情况的发生。系统需要一个支持各种应用、可以实时镜像、自动检测和切换的服务器容错镜像热备份工具。目前的双机(多机)容错系统可以分为共享介质下的双机容错和非共享介质下的双机容错，共享介质下的容错系统支持磁盘阵列设备，共享的磁盘阵列中被保护的数据无需要同步，非共享介质下的双机容错使用服务器磁盘同步镜像，共享介质的双机容错相对于非共享介质来说，数据同步基本不占用系统资源，切换时间短，数据传输速度快(相对于单机还快)，但对于系统硬件的要求高，并需要额外增加磁盘阵列设备。

2) 服务器操作系统

商用操作系统是由于维护费用较低，便于操作使用，但是由于其考虑各种软件的兼容性和权限的开放性，其安全构架必然受到影响，尽管微软宣称Vista系统的安全性更高，但其整体构架并没有彻底改变。Windows自身存在的安全风险依然存在。为此，服务器的操作系统建议使用安全性较高的Unix或者Linux。

5 附属设备安全保密措施

1) 数据恢复

通常有人认为数据删除了就安全了，其实数据删除了并不一定就安全了，这和磁盘的存储结构有关系。磁盘的存储结构分为五个部分： (1) 主引导扇区; (2) 操作系统引导扇区; (3) 文件分配表; (4) 目录区; (5) 数据区。文件删除只是将目录区中该文件的记录删除，实际上数据区中的数据并没有清除，如果没有新数据写入覆盖，就可以恢复。FORMAT操作，仅仅是将FAT表清零，表明该卷所有的簇可用，而未对数据区的数据清零。即使是数据被覆盖、复写，包括低级格式化(清零)之后，仍然可以利用剩磁原理进行弱磁的恢复。

2) 木马摆渡技术

很多人认为，指挥网和互联网进行了物理隔离，不存在泄密的可能，同一个U盘在两个网之间交叉使用。这种错误的做法为木马摆渡技术提供了可乘之机。所谓木马摆渡就是木马程序利用U盘作为中间载体，实现内网与外网之间的信息转送。当U盘插入互联网上的机器上时，木马就被种植在U盘上，当中毒后的U盘再次插入内网计算机上，木马就被感染到内网计算机上，内网机器上的木马被激动活后就将内网上的涉密文档打包隐藏发送到U盘上，当U盘再次插入互联网上的计算机上，涉密文档就通过互联网被窃取。

3) 脱机运行技术

目前很多办公设备都具有脱机工作和联网工作的功能，脱机工作和联网工作的原理就在设备内部安装一个单板和嵌入式操作系统，其功能相当于一个计算机，能处理客户发送过来的任务，同时实现联网功能。正因为其有自身的处理器和存储器件，为黑客进攻提供了机会。各种打印复印的内容也有遗留在存储器件内的可能。增大了失泄密的机会。

4) 安全保密措施

(1) 涉密存储介质淘汰报废或者维修，必须对秘密信息进行销毁。

(2) 安装必要的防病毒木马程序或者保密系统，实行专盘专用，严禁“一盘跨多网”。

(3) 购置、维修设备必须找正规厂商，并进行必要的保密检查。

参考文献

[1]陈志龙.人民防空概论[M].北京:解放军出版社, 2007.

[2]徐国爱.网络安全[M].北京:北京邮电大学出版社, 2005.

[3]周学广.信息安全学[M].2版.北京:机械工业出版社, 2007.

计算机和信息系统安全保密管理规定 第2篇

第一章 总则

第一条 为加强公司计算机和信息系统（包括涉密信息系统和非涉密信息系统）

安全保密管理，确保国家秘密及商业秘密的安全，根据国家有关保密法规标准和中核集团公司有关规定，制定本规定。

第二条 本规定所称涉密信息系统是指由计算机及其相关的配套设备、设施构成的，按照一定的应用目标和规定存储、处理、传输涉密信息的系统或网络，包括机房、网络设备、软件、网络线路、用户终端等内容。

第三条 涉密信息系统的建设和应用要本着“预防为主、分级负责、科学管理、保障安全”的方针，坚持“谁主管、谁负责，谁使用、谁负责”和“控制源头、归口管理、加强检查、落实制度”的原则，确保涉密信息系统和国家秘密信息安全。

第四条 涉密信息系统安全保密防护必须严格按照国家保密标准、规定和集团公司文件要求进行设计、实施、测评审查与审批和验收；未通过国家审批的涉密信息系统，不得投入使用。

第五条 本规定适用于公司所有计算机和信息系统安全保密管理工作。第二章 管理机构与职责

第六条 公司法人代表是涉密信息系统安全保密第一责任人，确保涉密信息系统安全保密措施的落实，提供人力、物力、财力等条件保障，督促检查领导责任制落实。第七条 公司保密委员会是涉密信息系统安全保密管理决策机构，其主要职责：

（一）建立健全安全保密管理制度和防范措施，并监督检查落实情况；

（二）协调处理有关涉密信息系统安全保密管理的重大问题，对重大失泄密事件进行查处。

第八条 成立公司涉密信息系统安全保密领导小组，保密办、科技信息部（信息化）、党政办公室（密码）、财会部、人力资源部、武装保卫部和相关业务部门、单位为成员单位，在公司党政和保密委员会领导下，组织协调公司涉密信息系统安全保密管理工作。

第九条 保密办主要职责：

（一）拟定涉密信息系统安全保密管理制度，并组织落实各项保密防范措施；

（二）对系统用户和安全保密管理人员进行资格审查和安全保密教育培训，审查涉密信息系统用户的职责和权限，并备案；

（三）组织对涉密信息系统进行安全保密监督检查和风险评估，提出涉密信息系统安全运行的保密要求；

（四）会同科技信息部对涉密信息系统中介质、设备、设施的授权使用的审查，建立涉密信息系统安全评估制度，每年对涉密信息系统安全措施进行一次评审；

（五）对涉密信息系统设计、施工和集成单位进行资质审查，对进入涉密信息系统的安全保密产品进行准入审查和规范管理，对涉密信息系统进行安全保密性能检测；

（六）对涉密信息系统中各应用系统进行定密、变更密级和解密工作进行审核；

（七）组织查处涉密信息系统失泄密事件。第十条

科技信息部、财会部主要职责是：

（一）组织、实施涉密信息系统的规划、设计、建设，制定安全保密防护方案；

（二）落实涉密信息系统安全保密策略、运行安全控制、安全验证等安全技术措施；每半年对涉密信息系统进行风险评估，提出整改措施，经涉密信息系统安全保密领导小组批准后组织实施，确保安全技术措施有效、可靠；

（三）落实涉密信息系统中各应用系统进行用户权限设置及介质、设备、设施的授权使用、保管以及维护等安全保密管理措施；

（四）配备涉密信息系统管理员、安全保密管理员和安全审计员，并制定相应的职责； “三员”角色不得兼任，权限设置相互独立、相互制约；“三员”应通过安全保密培训持证上岗；

（五）落实计算机机房、配线间等重要部位的安全保密防范措施及网络的安全管理，负责日常业务数据及其他重要数据的备份管理；

（六）配合保密办对涉密信息系统进行安全检查，对存在的隐患进行及时整改；

（七）制定应急预案并组织演练，落实应急措施，处理信息安全突发事件。第十一条 党政办公室主要职责：

按照国家密码管理的相关要求，落实涉密信息系统中普密设备的管理措施。

第十二条 相关业务部门、单位主要职责：涉密信息系统的使用部门、单位要严格遵守保密管理规定，教育员工提高安全保密意识，落实涉密信息系统各项安全防范措施；准确确定应用系统密级，制定并落实相应的二级保密管理制度。

第十三条 涉密信息系统配备系统管理员、安全保密管理员、安全审计员，其职责是：

（一）系统管理员负责系统中软硬件设备的运行、管理与维护工作，确保信息系统的安全、稳定、连续运行。系统管理员包括网络管理员、数据库管理员、应用系统管理员。

（二）安全保密管理员负责安全技术设备、策略实施和管理工作，包括用户帐号管理以及安全保密设备和系统所产生日志的审查分析。

（三）安全审计员负责安全审计设备安装调试，对各种系统操作行为进行安全审计跟踪分析和监督检查，以及时发现违规行为，并每月向涉密信息系统安全保密领导小组办公室汇报一次情况。第三章 系统建设管理

第十四条 规划和建设涉密信息系统时，按照涉密信息系统分级保护标准的规定，同步规划和落实安全保密措施，系统建设与安全保密措施同计划、同预算、同建设、同验收。

第十五条 涉密信息系统规划和建设的安全保密方案，应由具有“涉及国家秘密的计算机信息系统集成资质”的机构编制或自行编制，安全保密方案必须经上级保密主管部门审批后方可实施。

第十六条 涉密信息系统规划和建设实施时，应由具有“涉及国家秘密的计算机信息系统集成资质”的机构实施或自行实施，并与实施方签署保密协议，项目竣工后必须由保密办和科技信息部共同组织验收。

第十七条 对涉密信息系统要采取与密级相适应的保密措施，配备通过国家保密主管部门指定的测评机构检测的安全保密产品。涉密信息系统使用的软件产品必须是正版软件。

第四章 信息管理

第一节 信息分类与控制

第十八条 涉密信息系统的密级，按系统中所处理信息的最高密级设定，严禁处理高于涉密信息系统密级的涉密信息。

第十九条 涉密信息系统中产生、存储、处理、传输、归档和输出的文件、数据、图纸等信息及其存储介质应按要求及时定密、标密，并按涉密文件进行管理。电子文件密级标识应与信息主体不可分离，密级标识不得篡改。涉密信息系统中的涉密信息总量每半年进行一次分类统计、汇总，并在保密办备案。第二十条 涉密信息系统应建立安全保密策略，并采取有效措施，防止涉密信息被非授权访问、篡改，删除和丢失；防止高密级信息流向低密级计算机。涉密信息远程传输必须采取密码保护措施。

第二十一条 向涉密信息系统以外的单位传递涉密信息，一般只提供纸质文件，确需提供涉密电子文档的，按信息交换及中间转换机管理规定执行。

第二十二条 清除涉密计算机、服务器等网络设备、存储介质中的涉密信息时，必须使用符合保密标准、要求的工具或软件。第二节 用户管理与授权

第二十三条 根据本部门、单位使用涉密信息系统的密级和实际工作需要，确定人员知悉范围，以此作为用户授权的依据。第二十四条 用户清单管理

（一）科技信息部管理“研究试验堆燃料元件数字化信息系统”和“中核集团涉密广域网”用户清单；财会部管理“财务会计核算网”用户清单；

（二）新增用户时，由用户本人提出书面申请，经本部门、单位审核，科技信息部、保密办审批后，由科技信息部备案并统一建立用户；“财务会计核算网”的用户由财会部统一建立；

（三）删除用户时，由用户本人所在部门、单位书面通知科技信息部，核准后由安全保密管理员即时将用户在涉密信息系统内的所有帐号、权限废止；“财务会计核算网”密办审核，公司分管领导审批。开通、审批坚持“工作必须”的原则。

第六十四条 国际互联网计算机实行专人负责、专机上网管理，严禁存储、处理、传递涉密信息和内部敏感信息。接入互联网的计算机须建立使用登记制度。

第六十五条 上网信息实行“谁上网谁负责”的保密管理原则，信息上网必须经过严格审查和批准，坚决做到“涉密不上网，上网不涉密”。对上网信息进行扩充或更新，应重新进行保密审查。

第六十六条 任何部门、单位和个人不得在电子邮件、电子公告系统、聊天室、网络新闻组、博客等上发布、谈论、传递、转发或抄送国家秘密信息。

第六十七条 从国际互联网或其它公众信息网下载程序和软件工具等转入涉密系统，经科技信息部审批后，按照信息交换及中间转换机管理规定执行。第九章 便携式计算机管理 第六十八条 便携式计算机（包括涉密便携式计算机和非涉密便携式计算机）实行 “谁拥有，谁使用，谁负责”的保密管理原则，使用者须与公司签定保密承诺书。

第六十九条 涉密便携式计算机根据工作需要确定密级，粘贴密级标识，按照涉密设备进行管理，保密办备案后方可使用。

第七十条 便携式计算机应具备防病毒、防非法外联和身份认证（设置开机密码口令）等安全保密防护措施。

第七十一条 禁止使用涉密便携式计算机上国际互联网和非涉密网络；严禁涉密便携式计算机与涉密信息系统互联。

第七十二条 涉密便携式计算机不得处理绝密级信息。未经保密办审批，严禁在涉密便携式计算机中存储涉密信息。处理、存储涉密信息应在涉密移动存储介质上进行，并与涉密便携式计算机分离保管。

第七十三条 禁止使用私有便携式计算机处理办公信息；严禁非涉密便携式计算机存储、处理涉密信息；严禁将涉密存储介质接入非涉密便携式计算机使用。

第七十四条 公司配备专供外出携带的涉密便携式计算机和涉密存储介质，按照 “集中管理、审批借用”的原则进行管理，建立使用登记制度。外出携带的涉密便携式计算机须经保密办检查后方可带出公司，返回时须进行技术检查。第七十五条 因工作需要外单位携带便携式计算机进入公司办公区域，需办理保密审批手续。

第十章 应急响应管理

第七十六条

为有效预防和处置涉密信息系统安全突发事件，及时控制和消除涉密信息系统安全突发事件的危害和影响，保障涉密信息系统的安全稳定运行，科技信息部和财会部应分别制定相应应急响应预案，经公司涉密信息系统安全保密领导小组审批后实施。

第七十七条 应急响应预案用于涉密信息系统安全突发事件。突发事件分为系统运行安全事件和泄密事件，根据事件引发原因分为灾害类、故障类或攻击类三种情况。

（一）灾害事件：根据实际情况，在保障人身安全前提下，保障数据安全和设备安

（二）故障或攻击事件：判断故障或攻击的来源与性质，关闭影响安全与稳定的网络设备和服务器设备，断开信息系统与攻击来源的网络物理连接，跟踪并锁定攻击来源的IP地址或其它网络用户信息，修复被破坏的信息，恢复信息系统。按照事件发生的性质分别采用以下方案：

1、病毒传播：及时寻找并断开传播源，判断病毒的类型、性质、可能的危害范围。为避免产生更大的损失，保护计算机，必要时可关闭相应的端口，寻找并公布病毒攻击信息，以及杀毒、防御方法；

2、外部入侵：判断入侵的来源，评价入侵可能或已经造成的危害。对入侵未遂、未造成损害的，且评价威胁很小的外部入侵，定位入侵的IP地址，及时关闭入侵的端口，限制入侵的IP地址的访问。对于已经造成危害的，应立即采用断开网络连接的方法，避免造成更大损失和带来的影响；

3、内部入侵：查清入侵来源，如IP地址、所在区域、所处办公室等信息，同时断开对应的交换机端口，针对入侵方法调整或更新入侵检测设备。对于无法制止的多点入侵和造成损害的，应及时关闭被入侵的服务器或相应设备；

4、网络故障：判断故障发生点和故障原因，能够迅速解决的尽快排除故障，并优先保证主要应用系统的运转；

5、其它未列出的不确定因素造成的事件，结合具体的情况，做出相应的处理。不能处理的及时咨询，上报公司信息安全领导小组。

第七十八条 按照信息安全突发事件的性质、影响范围和造成的损失，将涉密信息系统安全突发事件分为特别重大事件（I级）、重大事件（II级）、较大事件（III级）和一般事件（IV级）四个等级。

（一）一般事件由科技信息部（或财会部）依据应急响应预案进行处置；

（二）较大事件由科技信息部（或财会部）、保密办依据应急响应预案进行处置，及时向公司信息安全领导小组报告并提请协调处置；

（三）重大事件启动应急响应预案，对突发事件进行处置，及时向公司党政报告并提请协调处置；

（四）特别重大事件由公司报请中核集团公司对信息安全突发事件进行处置。

第七十九条 发生突发事件（如涉密数据被窃取或信息系统瘫痪等）应按如下应急响应的基本步骤、基本处理办法和流程进行处理：

（一）上报科技信息部和保密办；

（二）关闭系统以防止造成数据损失；

（三）切断网络，隔离事件区域；

（四）查阅审计记录寻找事件源头；

（五）评估系统受损程度；

（六）对引起事件漏洞进行整改；

（七）对系统重新进行风险评估；

（八）由保密办根据风险评估结果并书面确认安全后，系统方能重新运行；

（九）对事件类型、响应、影响范围、补救措施和最终结果进行详细的记录；

（十）依照法规制度对责任人进行处理。

第八十条

科技信息部、财会部应会同保密办每年组织一次应急响应预案演练，检验应急响应预案各环节之间的通信、协调、指挥等是否快速、高效，并对其效果进行评估，以使用户明确自己的角色和责任。应急响应相关知识、技术、技能应纳入信息安全保密培训内容，并记录备案。第十一章 人员管理

第八十一条 各部门、单位每年应组织开展不少于1次的全员信息安全保密知识技能教育与培训，并记录备案。第八十二条

涉密人员离岗、离职，应及时调整或取消其访问授权，并将其保管的涉密设备、存储介质全部清退并办理移交手续。

第八十三条 承担涉密信息系统日常管理工作的系统管理员、安全保密管理员、安全审计管理员应按重要涉密人员管理。第十二章 督查与奖惩

第八十四条 公司每年应对涉密信息系统安全保密状况、安全保密制度和措施的落实情况进行一次自查，并接受国家和上级单位的指导和监督。涉密信息系统每两年接受一次上级部门开展的安全保密测评或保密检查，检查结果存档备查。

第八十五条 检查涉密计算机和信息系统的保密检查工具和涉密信息系统所使用的安全保密、漏洞检查（取证）软件等，应覆盖保密检查的项目，并通过国家保密局的检测。安全保密检查工具应及时升级或更新，确保检查时使用最新版本。

第八十六条 各部门、单位应将员工遵守涉密计算机及信息系统安全保密管理制度的情况，纳入保密自查、考核的重要内容。对违反本规定造成失泄密的当事人及有关责任人，按公司保密责任考核及奖惩规定执行。第十三章 附 则

第八十七条 本规定由保密办负责解释与修订。

第八十八条 本规定自发布之日起实施。原《计算机磁（光）介质保密管理规定）[制度编号：（厂1908号）]、《涉密计算机信息系统保密管理规定》［制度编号:（2006）厂1911号］、《涉密计算机采购、维修、变更、报废保密管理规定》［制度编号:（2007）厂1925号］、《国际互联网信息发布保密管理规定》［制度编号:（2007）厂1926号］、《涉密信息系统信息保密管理规定》［制度通告:（2008）0934号］、《涉密信息系统安全保密管理规定》［制度通告:（2008）0935号］同时废止。

关于公司计算机信息系统安全和保密管理工作的规定 各部门：

为了认真贯彻落实ＸＸ保密委《关于传发<全市ＸＸ组织开展互联网涉密及敏感信息检查清除活动实施方案>的通知》精神和要求，进一步加强公司各部门网络及计算机信息安全的保密管理，防止网上泄密事件发生，确保公司网络及计算机工作安全可靠，结合公司实际情况，现就进一步加强计算机信息系统安全和保密管理工作有关事宜规定如下：

一、计算机操作人员必须遵守国家有关法律，任何人不得利用计算机从事违法活动。

二、按照“谁主管、谁负责”和“谁使用、谁负责”的原则，开展自查。

1.明确内网使用人责任，签订《职工信息安全保密责任书》，认真落实各项安全保密管理规章制度，积极参加各类安全保密学习和活动，知道“一机两用”违规行为的类型，不违反相关的制度规定。

2.严禁在互联网上发布公司涉密文件、资料、信息、数据。未经主管领导批准，不得向外提供公司信息和资料，坚持做到“谁上网、谁负责”，“上网不涉密、涉密不上网”。

三、严禁公司内网计算机终端上操作事项。2 / 3 1.内网计算机终端上违规处理、存储的国家秘密信息； 2.内网移动存储介质中违规存储的国家秘密信息； 3.内网服务器上违规处理、存储的国家秘密信息； 4.内网网站上违规发布的国家秘密信息。

四、严禁公司互联网网计算机终端上操作事项。

1.互联网计算机终端上违规处理、存储的国家秘密和警务工作秘密信息；

2.互联网移动存储介质中违规存储的国家秘密和警务工作秘密信息；

3.互联网服务器上违规处理、存储的国家秘密和警务工作秘密信息；

4.互联网上开设的网站中违规发布的国家秘密和警务工作秘密信息；

5.互联网社会网站上开通的微博、电子邮箱等信息发布和传输平台中违规发布、存储的国家秘密和警务工作秘密信息。

五、专用于存储公司财务、工程设计方案、安保方案应急预案等资料和内部文件的计算机要由专人使用，并设置密码，禁止网络上的其它计算机访问，禁止访问互联网及其它外部网络系统。

六、做好计算机网络病毒防治工作。每台计算机要由专人负责，定期升级计算机杀毒软件，进行查杀病毒，在使用3 / 3软盘、U盘和移动硬盘等存储、拷贝文件之前，要先查杀病毒。严禁在计算机有毒未杀的情况下发电子邮件和拷贝文件到公司的其它计算机上。

七、严格按照操作程序使用计算机，认真做好计算机防盗工作。公司员工要爱护计算机。下班及节假日，务必将电源开关关闭，彻底切断计算机电源，关好门窗，做好防火、防盗工作。

八、严格工作纪律。禁止浏览和下载不健康的网上信息，禁止从网上下载与工作无关的软件。二〇一二年五月三日

计算机网络及信息资源安全保密管理制度 第一节总则

第一条为保护公司计算机信息资源的安全，并规范公司计算机及网络 硬件的采购、安装（建设）、维护、管理等环节的管理要求，根据《中华人民共和国保守国家秘密法》，《中华人民共和国计算机信息网络国际互联网管理暂行规定》和《中国公用计算机互联网国际联网管理办法》，特制定本规定。第二条 本规定适用于公司内部所有单位所使用的计算机系统。第二节计算机的涉密管理规定

第三条 公司内部计算机信息系统的安全保密工作由信息技术部负责具体实施。公司各下属单位、部门主要领导主管本单位、本部门的计算机信息系统的安全保密工作。第四条存放过秘密信息的计算机及相应介质未在彻底格式化前不能降低密级使用。第五条存储有秘密信息的计算机及相应存储装置在维修时，应采取措施保 证所存储的秘密信息不被泄露。

第六条企业内部规划和建设任何计算机信息系统，应当同步规划落实相应 的信息资源安全保密措施。

第七条对涉及企业经营、管理、技术和人事秘密的数据库以及计算机应用系统，必须采取技术安全保密措施，并且不得与外部连通。第三节计算机及网络硬件管理

第八条所有计算机及网络硬件的采购和建设实施，须在总体规划目标指导下进行。第九条进入总体规划的计算机及网络硬件在采购和建设实施时，需提前预算。作为预算的申请依据，信息技术部每年第四季度在公司开始下一的预算工作前，发布次年各类主要计算机设备的采购计划价。

第十条总部部门或事业部在申请预算（或追加预算）时若涉及计算机购买计划，须提交《计算机设备预算追加及采购审批表》，并履行相应的审核手续。

第十一条信息技术部负责编制公司网络中心及主干网络硬件采购计划和预算，报公司批准后执行。总部各部门获批准的计算机预算，由信息技术部监管使用。

第十二条各事业部每年底将下的计算机及网络硬件采购计划和预算报信息技术部审核。信息技术部有权纠正事业部硬件采购计划或硬件预算中不合理的需求。第十三条每预算定稿之后，运营管理部负责将总部部门及各事业部获准采购计算机的数字通报信息技术部，信息技术部负责监管各单位的采购行为。

第十四条信息技术部在每季度的第一周发布本季度的计算机硬件采购选型指导，供全公司统一执行。

第十五条对公司总部及各事业部需求量较大的计算机设备，信息技术部会同运营管理部通过招标谈判在计算机供货商中选定战略合作伙伴，使公司总部及各事业部能够以统一的优惠价格采购到所需的计算机产品。

第十六条公司总部的硬件采购工作，委托装载机事业部代为实施。装载机事业部接受委托时须对申请部门提交的《计算机设备预算追加及采购审批表》确认后,方可采购。第十七条各事业部计算机维修配件的采购，由各事业部根据不同计算机的具体情况相应处理。

第十八条在硬件采购合同执行的过程中，如遇到特殊情况需要更改采购技术型号的，必须经过信息技术部复审同意。

第十九条公司总部的计算机，由信息技术部负责硬件安装、维修、服务和管理。各事业部的计算机，由事业部备案的硬件岗位人员负责软硬件安装、维修、服务和管理。第二十条公司总部各部门和各事业部每年底要将本单位的计算机设备状况、配置变动、责任人变动等情况填表报信息技术部。

第二十一条岗位上的计算机超过使用年限之后，如果因为主要部件的故障频率高并无法修复的，经过所在资产管理实体的资产管理人员及硬件专业人员审核同意后，可以申

第四节网络的接入管理

第二十二条信息技术部是管理企业网络接入的责任部门。信息技术部的网络管理员是整个柳工网络的总管理员，对全网安全总负责，并牵头与各子域网络管理员组建企业网络管理委员会，共同维护企业的网络安全以及信息安全。

第二十三条为保障企业网络的安全，所有连接到企业内部网的计算机必须经过信息技术部的企业网络管理员注册登记。每台联网的计算机都必须确定责任人，对该机的遵纪使用及安全状况负责。不得私自在内部网上接入未经网管注册的计算机，否则视同窃取企业机密，一旦发现，按照有关规定进行处理。

第二十四条为保证网络信息资源安全，严格便携机的管理，在柳工网内使用便携机的特殊用户必须登记备案，并接受网络安全措施、信息安全培训和病毒防护管理。第二十五条为防止信息流失和计算机病毒，要严格控制内部网与外部的直接I/O 通道，所有联网的计算机都要拆除软驱、光驱、刻录设备及其他移动存储设备。需要保留的，必须经过企业信息工作主管领导的特别批准，向信息技术部的网络管理员登记注册。第二十六条未经信息技术部批准和备案，私自在企业网络的计算机上安装各种通讯和存储设备（如MODEM、软驱、光驱等）、私自往厂区内带入未经注册登记的便携机和存储设备等行为，均视同窃取企业机密，一经发现，须没收上交企业保密委员会，按照有关规定进行处理。

第二十七条合作单位人员因业务交流需要带入计算机及有关设备的，不得接入企业网络，由接待部门领导负责相应的信息安全责任。要进行数据交换的，按本规定有关条文处理。第二十八条

通过MODEM、VPN 等各种方式连入企业内部网的远程访问用户也要柳工内部控制制度接受企业网络总管理员的管理，否则将不允许连接到企业内部网。

第二十九条企业网络是工作网络，禁止任何利用企业网络以及企业集成信息平台进行有损企业安定团结局面的行为，违犯者将被追究纪律甚至法律的责任。

第三十条企业的网络和计算机都属于企业生产、工作的重要设备，任何破坏企业网络和计算机的行为都视同破坏企业生产、工作的严重行为，需要追究纪律和法律的责任。第五节数据及信息安全的管理 第三十一条

数据及信息的安全包括数据的物理安全以及信息保密。企业各计算机信息系统都要建立相应的安全管理制度，信息技术部对企业的全局数据库信息资源安全负责，各应用系统、单位部门的主要负责人对本应用系统、单位部门的计算机信息资源安全负责。第三十二条各应用系统、主要单位部门及各域都必须建立相应的数据备 份与灾难恢复制度和策略，并切实执行。

第三十三条

确有特殊需求经批准在企业网的某些计算机上保留有光驱和软驱的部门，其部门领导和系统管理员必须对该I/O 通道的安全负责，各类数据的拷出必须有相关领导的审批以及文字性记录备案。

第三十四条除网络管理员及其授权人员外，其余人员无权擅自在网络上传播、扩散来自企业网络以外的其它软件和电子文档。

第三十五条

浅议我国信息系统审计发展 第3篇

关键词：信息技术 信息系统审计 发展战略

1、信息系统审计的定义

信息系统审计（information system audit，ISA），最早被称作计算机审计，是随着计算机在财务会计领域的应用而产生的。对于信息系统审计的概念，国内外的专业机构都有着不同的定义。本文经过总结和思考，认为信息系统审计指：“通过对被审单位的信息系统组成部分的审查来获取和评价审计证据，并由此对信息系统的安全性、数据的完整性以及信息系统对资源能否经济使用且有效地实现目标发表审计意见的一种活动。”

2、信息系统审计的起源和发展

信息系统审计的起源，最早可以追溯到20世纪60年代，当时的著名计算机制造商IBM公司给出了在新的电子数据环境下的内部审计规则和组织方法，介绍了许多新的概念、术语和审计技术。与此同时，由于工作需要，会计师和审计时也自然成为最早关注信息系统审计的一群人，因此随后又有一些会计协会和相关机构也陆续发表出版了相关的研究成果，但是那时的信息系统审计的含义还比较窄，主要是针对财务数据的审计。

信息系统审计的快速发展，始于世纪之交，信息系统审计的外延得到极大的扩展。一方面由于计算机技术的快速发展，互联网的广泛运用，企业和部门网络经营风险加大，需要加强企业内部控制；另一方面是企业内部对信息系统的依存度大幅提高，利用信息技术进行舞弊的风险也在增加，故而信息系统审计作为预防和保护企业信息运行的手段，广泛的推广开来。

3、信息系统审计的重要意义

信息系统审计发展完善的必要性来源于信息系统的重要性，计算机信息技术给企业和机构的经营和运作带来了业务操作便利以及信息整合加强，并使企业对其依赖程度不断提高，以此同时，我们不能忽略的是其内部也蕴含着巨大的经营风险，在信息系统审计发展过程中出现了许多因信息系统舞弊而给企业和社会带来巨大损失的事件，其中比较典型的有美国安然公司财务舞弊和法国兴业银行信息系统被盗事件，这些重大案件在给投资者带来巨大损失的同时也给人们留下许多的反省和思考。因此，完善和加强信息系统的建设就具有重要的现实意义。

4、我国信息系统审计的发展问题

与国外相比，中国的信息系统安全审计由于起步较晚，发展基础比较落后，在审计规范、审计技术、制度建设、信息交流等方面都还有待研究，因此审计信息化建设在实际工作中，还存在着以下比较严峻的问题：

4.1、审计观念滞后

观念的问题也就是思想认识问题。即使现在，我国大部分人甚至许多相关从业人员都把审计简单的理解为“查账”，对信息系统审计的理解也仅仅是停留在使用计算机辅助审计工作或对于辅助审计软件开发及应用的层次上。审计的根本任务就是帮助被审计者建立、健全这种机制，而不应该是代替被审计者去履行他们的“管理责任”或“会计责任”。

4.2、审计方法落后

目前，被审计单位对于数据处理等财务工作已多采用计算机，但是大部分注册会计师对计算机信息系统的运用还不太熟悉，绝大多数审计业务仍绕过计算机而保留在传统审计方法的阶段。

4.3、信息系统审计的专业人才不足

信息系统审计需要一批既掌握现代审计理论与实务又了解计算机技术的复合型知识结构的专业人才，但我国现在的相关实际工作岗位中能做到兼顾此两种技能的人才严重缺乏，与其同时，国家和高校的培养工作也严重不能满足社会需要。

4.4、行业标准和操作指南不完善

目前我国信息系统审计不论是从国家法律建设还是行业自身规章准则制定方面都远不够完善，与国际先进水平差距还较为明显，这也是影响和迟滞该行业进一步发展的一个重要原因。如果没有标准和规范，所有的实践活动就只能局限在低水平上的重复。一次如何开展行业标准化和规范化建设，缩小与国际先进水平的差距，是摆在该领域的一个严峻问题。

5、我国信息系统审计的发展对策

5.1、积极转变审计观念

首先，我觉得我们必须转变传统的审计观念，结合审计工作发展的实际需要，树立正确的信息系统审计观念，即系统基础审计或风险基础审计的观念。同时，国家和相关部门应该充分调动审计人员的积极性，加强信息系统审计相关的理论研究和实践探索，使“审计信息化是一场革命”，“不掌握信息系统技术将失去审计资格”等观念真正为广大审计人员所熟悉和接受。

5.2、加强和完善会计信息系统审计相关法律法规

任何方法和程序都必须经过法律和法规的制定才能使其真正规范化并得以沿袭，信息系统审计发展到一定阶段，同样须由相关部门和组织出面将实际经验和成果加以总结，然后通过政府及行业监管组织，通过立法和定规的方式使其上升到法律高度，这是推进会计信息系统审计持续健康化和规范化发展的基础。

5.3、借鉴国外经验，加强市场竞争与行业发展

我们必须通过学习和借鉴国外相关领域的优秀发展经验发展自己，包括建立信息系统行业培养和认证体系，参照和学习国外行业标准和规范，制定适合我国的行业标准和规范，借以促进我国的行业发展。

5.4、加强信息系统审计人才队伍的培养

首先，国家应加强对信息系统审计的扶持和宣传工作，创立良好的社会环境；其次，企业和相关部门应提高对信息系统审计的学习和认识，提高人员的操作和业务水平；再次，积极促进注册会计师行业对信息系统审计业务的扩展，大力增加信息系统审计鉴证业务；最后，高校等研究机构则应推进对信息系统审计的理论研究与学科建设，推动国际交流和学习借鉴，加大对信息系统审计高级人才的培养力度。

6、结束语

随着信息社会的到来及信息技术的发展，信息系统审计也将逐渐显示出其在提高企业运营效率和降低内部管理风险方面的独特性和重要性，这代表着审计未来发展的一个重要方向。预见了这一发展方向并提前加以准备，通过政府协助、行业推动以及企业自身发展相结合，真正做到“以工业化推动信息化，信息化带动工业化”，共同积极地应对这场审计革命的到来，就一定会把握住这个机遇，使我国的审计事业迈向一个崭新的高度。

参考文献：

[1]张永雄.信息系统审计产生及发展研究[J].审计与理财，2006：43-106.

[2]周新玲.我国IT审计的发展对策[J].科技进步与对策；2004，（3）：14-17.