資訊保安保密管理制度條例
篇一:資訊系統安全保密制度
資訊系統的安全保密工作是保證資料資訊保安的基礎,同時給全院的資訊保安保密工作提供了一個工作指導。為了加強我院資訊系統的安全保密管理工作,根據上級要求,結合我院的實際情況,現制定如下制度:
第一章總則
第一條***學院校園網和各個資訊系統的服務物件是學校教學、科研和管理機構,全校教職工和學生,以及其他經學校授權的單位及個人。
第二條我院內任何部門及個人不得利用校園網危害國家安全、洩露國家祕密,不得侵犯國家、社會、集體利益和個人的合法權益,不得從事違法犯罪活動。
第三條未經批准,任何單位或個人不得將校園網延伸至校外或將校外網路引入至校園內。未經批准,任何資料業務運營商或電信代理商不得擅自進入山東資訊職業技術學院內進行工程施工,開展因特網業務。
第四條各部門應按照國家資訊系統等級保護制度的相關法律法規、標準規範的要求,落實資訊系統安全等級保護制度。
第五條各部門要規範資訊維護、資訊管理、執行維護等方面的工作流程和機制,指定專人負責系統執行的日常工作,做好使用者授權等管理服務工作。
第二章資料安全
第六條本制度中的資料是指各類資訊系統所覆蓋的所有資料,包括檔案管理系統、財務管理系統、資產管理系統、安防監控系統以及學院網站等網站和系統的所有資料。
第七條各部門要及時補充和更新管理系統的業務資料,確保資料的完整性、時效性和準確性。
第八條各部門要保證資訊系統安全和資料安全,制定重要資料庫和系統主要裝置的容災備案措施。記錄並保留至少60天系統維護日誌。各系統管理員和個人要妥善保管好賬號和密碼,定期更新密碼,防止密碼外洩。
第九條保證各系統相關資料安全。各部門和系統管理人員,要對自己所管理的資料負責,保證資料安全,防止資料洩漏。
第十條學校資料資訊主要用於教學、科研、管理、生活服務等,申請資料獲取的單位有義務保護資料的隱祕性,不得將資料資訊用於申請用途外的活動。
第十一條未經批准,任何部門和個人不得擅自提供資訊系統的內部資料。對於違反規定、非法披露、提供資料的單位和個人,應依照相關規定予以處罰。
第三章資訊保安
第十二條任何部門和個人不得利用校園網及各系統制作、複製、傳播和查閱下列資訊:
(一)危害國家安全,洩露國家祕密,顛覆國家政權,破壞國家統一的;
(二)損害國家榮譽和利益的;
(三)煽動民族仇恨、民族歧視,破壞民族團結的;
(四)破壞國家宗教政策,宣揚邪教和封建迷信的;
(五)散佈謠言,擾亂社會公共秩序,破壞國家穩定的;
(六)散步淫穢、色情、暴力、凶殺、恐怖或者教唆犯罪的;
(七)侮辱和誹謗他人,侵害他人合法權益的;
(八)含有國家法律和行政法規禁止的其他內容的;
(九)煽動抗拒、破壞憲法和法律、法規實施的;
第十三條未經批准,任何個人和部門不能擅自發布、刪除和改動學院網站和系統資訊。凡釋出資訊,必須經過嚴格稽核。
第十四條校園網使用者必須自覺配合國家和學校有關部門依法進行的監督、檢查。使用者若發現違法有害資訊,有義務向學校有關部門報告。
第十五條學院內部所有人員上網均需實名制,並執行嚴格的實名備案制度。一經發現上網本制度禁止資訊,要儘快查處,情節嚴重者交由公安機關。
第四章學院網站安全
第十六條學院網站是學院的門戶,學院網站資訊保安是至關重要的。****學院入口網站已按照相關部門要求,委託資訊中心備案,備案域名為:***。
第十七條凡上線網站,山東資訊職業技術學院實行網站備案,未經備案的網站,學院一律停止對該網站的執行。
第十八條各部門要保證網站的資料安全和系統安全,制定重要資料庫和系統主要裝置的容災備案措施。記錄並保留至少60天系統維護日誌。
第十九條各部門網站資訊釋出嚴格實行資訊釋出稽核登記制度,發現有害資訊,應當在保留有關原始記錄後,及時予以刪除,並在第一時間向學校辦公室和網路管理中心報告。發現計算機犯罪案件,要立即向公安機關網警部門報案。
第二十條學院辦公室、網路管理中心負責對學校網站進行監督、檢查。對於存在安全隱患的網站,網路資訊中心有權停止其對外服務。
第五章其他
第二十一條違反本管理規定的,視情節輕重採用以下其中一種或多種處理措施:
(一)批評整改;
(二)報相關部門領導處理;
(三)移交公安、司法部門處理。
第二十二條本規定由網路資訊中心負責解釋。
第二十三條本規定自公佈之日起生效。
篇二:計算機和資訊系統安全保密管理規定
第一章 總則
第一條 為加強公司計算機和資訊系統(包括涉密資訊系統和非涉密資訊系統)
安全保密管理,確保國家祕密及商業祕密的安全,根據國家有關保密法規標準和中核集團公司有關規定,制定本規定。
第二條 本規定所稱涉密資訊系統是指由計算機及其相關的配套裝置、設施構成的,按照一定的應用目標和規定儲存、處理、傳輸涉密資訊的系統或網路,包括機房、網路裝置、軟體、網路線路、使用者終端等內容。
第三條 涉密資訊系統的建設和應用要本著“預防為主、分級負責、科學管理、保障安全”的方針,堅持“誰主管、誰負責,誰使用、誰負責”和“控制源頭、歸口管理、加強檢查、落實制度”的原則,確保涉密資訊系統和國家祕密資訊保安。
第四條 涉密資訊系統安全保密防護必須嚴格按照國家保密標準、規定和集團公司檔案要求進行設計、實施、測評審查與審批和驗收;未通過國家審批的涉密資訊系統,不得投入使用。
第五條 本規定適用於公司所有計算機和資訊系統安全保密管理工作。
第二章 管理機構與職責
第六條 公司法人代表是涉密資訊系統安全保密第一責任人,確保涉密資訊系統安全保密措施的落實,提供人力、物力、財力等條件保障,督促檢查領導責任制落實。
第七條 公司保密委員會是涉密資訊系統安全保密管理決策機構,其主要職責:
(一)建立健全安全保密管理制度和防範措施,並監督檢查落實情況;
(二)協調處理有關涉密資訊系統安全保密管理的重大問題,對重大失洩密事件進行查處。
第八條 成立公司涉密資訊系統安全保密領導小組,保密辦、科技資訊部(資訊化)、黨政辦公室(密碼)、財會部、人力資源部、武裝保衛部和相關業務部門、單位為成員單位,在公司黨政和保密委員會領導下,組織協調公司涉密資訊系統安全保密管理工作。
第九條 保密辦主要職責:
(一)擬定涉密資訊系統安全保密管理制度,並組織落實各項保密防範措施;
(二)對系統使用者和安全保密管理人員進行資格審查和安全保密教育培訓,審查涉密資訊系統使用者的職責和許可權,並備案;
(三)組織對涉密資訊系統進行安全保密監督檢查和風險評估,提出涉密資訊系統安全執行的保密要求;
(四)會同科技資訊部對涉密資訊系統中介質、裝置、設施的授權使用的審查,建立涉密資訊系統安全評估制度,每年對涉密資訊系統安全措施進行一次評審;
(五)對涉密資訊系統設計、施工和整合單位進行資質審查,對進入涉密資訊系統的安全保密產品進行准入審查和規範管理,對涉密資訊系統進行安全保密效能檢測;
(六)對涉密資訊系統中各應用系統進行定密、變更密級和解密工作進行稽核;
(七)組織查處涉密資訊系統失洩密事件。
第十條
科技資訊部、財會部主要職責是:
(一)組織、實施涉密資訊系統的規劃、設計、建設,制定安全保密防護方案;
(二)落實涉密資訊系統安全保密策略、執行安全控制、安全驗證等安全技術措施;每半年對涉密資訊系統進行風險評估,提出整改措施,經涉密資訊系統安全保密領導
小組批准後組織實施,確保安全技術措施有效、可靠;
(三)落實涉密資訊系統中各應用系統進行使用者許可權設定及介質、裝置、設施的授權使用、保管以及維護等安全保密管理措施;
(四)配備涉密資訊系統管理員、安全保密管理員和安全審計員,並制定相應的職責; “三員”角色不得兼任,許可權設定相互獨立、相互制約;“三員”應通過安全保密培訓持證上崗;
(五)落實計算機機房、配線間等重要部位的安全保密防範措施及網路的安全管理,負責日常業務資料及其他重要資料的備份管理;
(六)配合保密辦對涉密資訊系統進行安全檢查,對存在的隱患進行及時整改;
(七)制定應急預案並組織演練,落實應急措施,處理資訊保安突發事件。
第十一條 黨政辦公室主要職責:
按照國家密碼管理的相關要求,落實涉密資訊系統中普密裝置的'管理措施。
第十二條 相關業務部門、單位主要職責:涉密資訊系統的使用部門、單位要嚴格遵守保密管理規定,教育員工提高安全保密意識,落實涉密資訊系統各項安全防範措施;準確確定應用系統密級,制定並落實相應的二級保密管理制度。
第十三條 涉密資訊系統配備系統管理員、安全保密管理員、安全審計員,其職責是:
(一)系統管理員負責系統中軟硬體裝置的執行、管理與維護工作,確保資訊系統的安全、穩定、連續執行。系統管理員包括網路管理員、資料庫管理員、應用系統管理員。
(二)安全保密管理員負責安全技術裝置、策略實施和管理工作,包括使用者帳號管理以及安全保密裝置和系統所產生日誌的審查分析。
(三)安全審計員負責安全審計裝置安裝除錯,對各種系統操作行為進行安全審計跟蹤分析和監督檢查,以及時發現違規行為,並每月向涉密資訊系統安全保密領導小組辦公室彙報一次情況。
第三章 系統建設管理
第十四條 規劃和建設涉密資訊系統時,按照涉密資訊系統分級保護標準的規定,同步規劃和落實安全保密措施,系統建設與安全保密措施同計劃、同預算、同建設、同驗收。
第十五條 涉密資訊系統規劃和建設的安全保密方案,應由具有“涉及國家祕密的計算機資訊系統整合資質”的機構編制或自行編制,安全保密方案必須經上級保密主管部門審批後方可實施。
第十六條 涉密資訊系統規劃和建設實施時,應由具有“涉及國家祕密的計算機資訊系統整合資質”的機構實施或自行實施,並與實施方簽署保密協議,專案竣工後必須由保密辦和科技資訊部共同組織驗收。
第十七條 對涉密資訊系統要採取與密級相適應的保密措施,配備通過國家保密主管部門指定的測評機構檢測的安全保密產品。涉密資訊系統使用的軟體產品必須是正版軟體。
第四章 資訊管理
第一節 資訊分類與控制
第十八條 涉密資訊系統的密級,按系統中所處理資訊的最高密級設定,嚴禁處理高於涉密資訊系統密級的涉密資訊。
第十九條 涉密資訊系統中產生、儲存、處理、傳輸、歸檔和輸出的檔案、資料、圖紙等資訊及其儲存介質應按要求及時定密、標密,並按涉密檔案進行管理。電子檔案密級標識應與資訊主體不可分離,密級標識不得篡改。涉密資訊系統中的涉密資訊總量每半年進行一次分類統計、彙總,並在保密辦備案。
第二十條 涉密資訊系統應建立安全保密策略,並採取有效措施,防止涉密資訊被非授權訪問、篡改,刪除和丟失;防止高密級資訊流向低密級計算機。涉密資訊遠端傳輸必須採取密碼保護措施。
第二十一條 向涉密資訊系統以外的單位傳遞涉密資訊,一般只提供紙質檔案,確需提供涉密電子文件的,按資訊交換及中間轉換機管理規定執行。
第二十二條 清除涉密計算機、伺服器等網路裝置、儲存介質中的涉密資訊時,必須使用符合保密標準、要求的工具或軟體。
第二節 使用者管理與授權
第二十三條 根據本部門、單位使用涉密資訊系統的密級和實際工作需要,確定人員知悉範圍,以此作為使用者授權的依據。
第二十四條 使用者清單管理
(一)科技資訊部管理“研究試驗堆燃料元件數字化資訊系統”和“中核集團涉密廣域網”使用者清單;財會部管理“財務會計核算網”使用者清單;
(二)新增使用者時,由使用者本人提出書面申請,經本部門、單位稽核,科技資訊部、保密辦審批後,由科技資訊部備案並統一建立使用者;“財務會計核算網”的使用者由財會部統一建立;
(三)刪除使用者時,由使用者本人所在部門、單位書面通知科技資訊部,核准後由安全保密管理員即時將使用者在涉密資訊系統內的所有帳號、許可權廢止;“財務會計核算網”密辦稽核,公司分管領導審批。開通、審批堅持“工作必須”的原則。
第六十四條 國際網際網路計算機實行專人負責、專機上網管理,嚴禁儲存、處理、傳遞涉密資訊和內部敏感資訊。接入網際網路的計算機須建立使用登記制度。
第六十五條 上網資訊實行“誰上網誰負責”的保密管理原則,資訊上網必須經過嚴格審查和批准,堅決做到“涉密不上網,上網不涉密”。對上網資訊進行擴充或更新,應重新進行保密審查。
第六十六條 任何部門、單位和個人不得在電子郵件、電子公告系統、聊天室、網路新聞群組、部落格等上釋出、談論、傳遞、轉發或抄送國家祕密資訊。
第六十七條 從國際網際網路或其它公眾資訊網下載程式和軟體工具等轉入涉密系統,經科技資訊部審批後,按照資訊交換及中間轉換機管理規定執行。
第九章 行動式計算機管理
第六十八條 行動式計算機(包括涉密行動式計算機和非涉密行動式計算機)實行 “誰擁有,誰使用,誰負責”的保密管理原則,使用者須與公司簽定保密承諾書。
第六十九條 涉密行動式計算機根據工作需要確定密級,貼上密級標識,按照涉密裝置進行管理,保密辦備案後方可使用。
第七十條 行動式計算機應具備防病毒、防非法外聯和身份認證(設定開機密碼口令)等安全保密防護措施。
第七十一條 禁止使用涉密行動式計算機上國際網際網路和非涉密網路;嚴禁涉密行動式計算機與涉密資訊系統互聯。
第七十二條 涉密行動式計算機不得處理絕密級資訊。未經保密辦審批,嚴禁在涉密行動式計算機中儲存涉密資訊。處理、儲存涉密資訊應在涉密移動儲存介質上進行,並與涉密行動式計算機分離保管。
第七十三條 禁止使用私有行動式計算機處理辦公資訊;嚴禁非涉密行動式計算機儲存、處理涉密資訊;嚴禁將涉密儲存介質接入非涉密行動式計算機使用。
第七十四條 公司配備專供外出攜帶的涉密行動式計算機和涉密儲存介質,按照 “集中管理、審批借用”的原則進行管理,建立使用登記制度。外出攜帶的涉密行動式計算機須經保密辦檢查後方可帶出公司,返回時須進行技術檢查。
第七十五條 因工作需要外單位攜帶行動式計算機進入公司辦公區域,需辦理保密審批手續。
第十章 應急響應管理
第七十六條 為有效預防和處置涉密資訊系統安全突發事件,及時控制和消除涉密資訊系統安全突發事件的危害和影響,保障涉密資訊系統的安全穩定執行,科技資訊部和財會部應分別制定相應應急響應預案,經公司涉密資訊系統安全保密領導小組審批後實施。
第七十七條 應急響應預案用於涉密資訊系統安全突發事件。突發事件分為系統執行安全事件和洩密事件,根據事件引發原因分為災害類、故障類或攻擊類三種情況。
(一)災害事件:根據實際情況,在保障人身安全前提下,保障資料安全和裝置安
(二)故障或攻擊事件:判斷故障或攻擊的來源與性質,關閉影響安全與穩定的網路裝置和伺服器裝置,斷開資訊系統與攻擊來源的網路物理連線,跟蹤並鎖定攻擊來源的IP地址或其它網路使用者資訊,修復被破壞的資訊,恢復資訊系統。按照事件發生的性質分別採用以下方案:1、病毒傳播:及時尋找並斷開傳播源,判斷病毒的型別、性質、可能的危害範圍。為避免產生更大的損失,保護計算機,必要時可關閉相應的埠,尋找並公佈病毒攻擊資訊,以及防毒、防禦方法;
2、外部入侵:判斷入侵的來源,評價入侵可能或已經造成的危害。對入侵未遂、未造成損害的,且評價威脅很小的外部入侵,定位入侵的IP地址,及時關閉入侵的埠,限制入侵的IP地址的訪問。對於已經造成危害的,應立即採用斷開網路連線的方法,避免造成更大損失和帶來的影響;
3、內部入侵:查清入侵來源,如IP地址、所在區域、所處辦公室等資訊,同時斷開對應的交換機埠,針對入侵方法調整或更新入侵檢測裝置。對於無法制止的多點入侵和造成損害的,應及時關閉被入侵的伺服器或相應裝置;
4、網路故障:判斷故障發生點和故障原因,能夠迅速解決的儘快排除故障,並優先保證主要應用系統的運轉;
5、其它未列出的不確定因素造成的事件,結合具體的情況,做出相應的處理。不能處理的及時諮詢,上報公司資訊保安領導小組。
第七十八條 按照資訊保安突發事件的性質、影響範圍和造成的損失,將涉密資訊系統安全突發事件分為特別重大事件(I級)、重大事件(II級)、較大事件(III級)和一般事件(IV級)四個等級。
(一)一般事件由科技資訊部(或財會部)依據應急響應預案進行處置;
(二)較大事件由科技資訊部(或財會部)、保密辦依據應急響應預案進行處置,及時向公司資訊保安領導小組報告並提請協調處置;
(三)重大事件啟動應急響應預案,對突發事件進行處置,及時向公司黨政報告並提請協調處置;
(四)特別重大事件由公司報請中核集團公司對資訊保安突發事件進行處置。
第七十九條 發生突發事件(如涉密資料被竊取或資訊系統癱瘓等)應按如下應急響應的基本步驟、基本處理辦法和流程進行處理:
(一)上報科技資訊部和保密辦;
(二)關閉系統以防止造成資料損失;
(三)切斷網路,隔離事件區域;
(四)查閱審計記錄尋找事件源頭;
(五)評估系統受損程度;
(六)對引起事件漏洞進行整改;
(七)對系統重新進行風險評估;
(八)由保密辦根據風險評估結果並書面確認安全後,系統方能重新執行;
(九)對事件型別、響應、影響範圍、補救措施和最終結果進行詳細的記錄;
(十)依照法規制度對責任人進行處理。
第八十條 科技資訊部、財會部應會同保密辦每年組織一次應急響應預案演練,檢驗應急響應預案各環節之間的通訊、協調、指揮等是否快速、高效,並對其效果進行評估,以使使用者明確自己的角色和責任。應急響應相關知識、技術、技能應納入資訊保安保密培訓內容,並記錄備案。
第十一章 人員管理
第八十一條 各部門、單位每年應組織開展不少於1次的全員資訊保安保密知識技能教育與培訓,並記錄備案。
第八十二條
涉密人員離崗、離職,應及時調整或取消其訪問授權,並將其保管的涉密裝置、儲存介質全部清退並辦理移交手續。
第八十三條 承擔涉密資訊系統日常管理工作的系統管理員、安全保密管理員、安全審計管理員應按重要涉密人員管理。
第十二章 督查與獎懲
第八十四條 公司每年應對涉密資訊系統安全保密狀況、安全保密制度和措施的落實情況進行一次自查,並接受國家和上級單位的指導和監督。涉密資訊系統每兩年接受一次上級部門開展的安全保密測評或保密檢查,檢查結果存檔備查。
第八十五條 檢查涉密計算機和資訊系統的保密檢查工具和涉密資訊系統所使用的安全保密、漏洞檢查(取證)軟體等,應覆蓋保密檢查的專案,並通過國家保密局的檢測。安全保密檢查工具應及時升級或更新,確保檢查時使用最新版本。
第八十六條 各部門、單位應將員工遵守涉密計算機及資訊系統安全保密管理制度的情況,納入保密自查、考核的重要內容。對違反本規定造成失洩密的當事人及有關責任人,按公司保密責任考核及獎懲規定執行。
第十三章 附 則
第八十七條 本規定由保密辦負責解釋與修訂。
第八十八條 本規定自發布之日起實施。原《計算機磁(光)介質保密管理規定)[制度編號:(廠1908號)]、《涉密計算機資訊系統保密管理規定》[制度編號:(2006)廠1911號]、《涉密計算機採購、維修、變更、報廢保密管理規定》[制度編號:(2007)廠1925號]、《國際網際網路資訊釋出保密管理規定》[制度編號:(2007)廠1926號]、《涉密資訊系統資訊保密管理規定》[制度通告:(2008)0934號]、《涉密資訊系統安全保密管理規定》[制度通告:(2008)0935號]同時廢止。
篇三:資訊保安保密制度
第1條 為了加強智慧財產權保護,防止資訊資料丟失和外洩,保持資訊系統庫正常執行,特制定安全保密制度。
第2條 安全保障物件包括辦公場所安全,裝置安全,軟體安全,系統庫安全,計算機及通訊安全;保密物件包括檔案資料,醫療資料資料,資訊系統庫資料。
第3條 資訊中心主任、工程師必須嚴格執行國家的有關規定和院裡的有關制度,認真管理檔案、醫療資料資料、資料庫系統。
第4條 資訊中心的所有工作人員必須嚴格遵守院裡的規章制度和資訊中心的有關規定,認真做好檔案、醫療資料資料、資料庫系統的管理和維護工作。
第5條 未經院領導和資訊中心負責人同意,非管理人員不得進入控制機房,不得擅自作業系統伺服器、映象伺服器、應用伺服器、控制伺服器及控制機房的其他裝置。
第6條 未經院領導和資訊中心負責人同意,嚴禁任何人以任何形式向外提供資料。實行嚴格的安全准入制度,檔案管理、資訊系統管理、作業流程管理許可權明確。管理者在授權範圍內按資料應用程式提供資料。
第7條 檔案資料安全保密管理,遵循《檔案庫房管理制度》、《保密守冊》、《檔案室職責》、《檔案資料利用管理規定》、《檔案安全消防措施》執行。
第8條 醫療資料資料、資訊系統庫資料,除參照執行第7條相關規定外,還應遵循:
第1款 資料建檔和資料派發要履行交接手續。
第2款 原始資料、中間資料、成果資料等,應按規定作業流程辦理。資料提供方要確保資料齊全、正確、安全、可靠;辦公文員要對資料進行校驗,注意
作業流程把關、資料完整性檢查、資料防毒處理;資料處理員要嚴格按照“基礎地理資訊系統建庫技術規範” 要求作業;專檢員要嚴格按照“資料成果專檢”規定把關;系統入庫員、系統管理員、網路管理員要保證入庫、出庫資料質量和資料安全保密。
第3款 定期對資料庫進行檢查、維護,發現問題及時解決和備案,保證資料庫系統的正常執行。
第4款 未經許可資料庫內的資料資訊不得隨意修改或刪除,更不能對外提供。
第5款 除授權管理人員外,未經許可,任何人不能動用他人裝置,不得通過網路(區域網、VPN虛擬專網、內部網等)聯機調閱資料。
第6款 醫療資料資料按規定要求進行計算機建檔和處理,資料入庫後要及時刪除工作終端中的原有資料。
第7款 嚴格遵守資訊中心工作流程,不得做任何違反工作流程的操作。
第8款 定期對資料庫的資訊資料進行備份,要求每增加或更新批次,資料備份一次,包括異地熱機備份和刻盤備份兩種方式;每月定期刻盤兩套,異地儲存。
第9條 軟體開發要求功能齊全、操作方便、容錯能力強、執行效率高、安全保密性好,建庫技術標準規範、應用服務體系完善。
第10條 資訊中心辦公場所要建立防火、防盜、防爆、防塵、防潮、防蟲、防晒、防雷擊、防斷電、防腐蝕、防高溫等基本防護設施。消除安全隱患,杜絕安全事故。
第11條 許可權管理是生產有序進行和資訊資料合法利用的有效保證。任何法人或自然人只能在授權範圍操作。
第12條 許可權管理從安全級別上分為絕密、機密、祕密;從適用物件上分為高階管理員、系統管理員、高階使用者、中級使用者、一般使用者、特殊使用者;從操作承載體上分為伺服器(包括系統伺服器、映象伺服器、應用伺服器和控制伺服器)、工作終端、使用者終端;從設定內容上分為完全控制、許可權設定變更廢止、建立、刪除、新增、編輯、更新、執行、讀取、拷貝、其他操作。
第1款 安全級別中絕密資料內容包括使用者名稱及金鑰、資訊系統庫金鑰、系統執行日誌、控制資訊資料;
第2款 設定內容中,完全控制是指對VPN虛擬專網中伺服器(包括系統伺服器、映象伺服器、應用伺服器和控制伺服器)、終端(包括工作終端和使用者終端)有絕對控制權,包括IP地址、閘道器、DNS伺服器地址、超級使用者密碼、系統庫密碼、作業系統、程式、資訊資料的設定、修改、刪除權利等;
第3款 高階管理員為最高許可權人,設定許可權為完全控制,即擁有對所有使用者名稱及金鑰管理,檢視系統執行日誌,擁有對伺服器、終端的所有許可權管理,即對絕密、機密、祕密資料擁有許可權、建立、刪除、新增、編輯、更新、執行、讀取、拷貝及其他操作權;系統管理員許可權包括對工作終端使用者名稱及金鑰管理,擁有對伺服器(不包括控制伺服器)和終端所有許可權管理,即對機密、祕密資料擁有許可權、建立、刪除、新增、編輯、更新、執行、讀取、拷貝及其他操作權;高階使用者在本工作終端擁有對系統伺服器中的機密、祕密資料進行編輯、更新、執行、讀取、部分拷貝及其他操作權;中級使用者在本工作終端擁有對系統伺服器中的祕密資料進行更新、執行、讀取、部分拷貝及其他操作權; 一般使用者在本工作終端擁有對系統伺服器中的祕密資料進行讀取、部分拷貝及其他操作權;特殊使用者在本工作終端擁有對應用伺服器中的機密資料進行讀取、部分拷貝及其他操作權。
第13條 控制伺服器中建立執行日誌,以便記錄系統執行痕跡。執行日誌中至少包括各伺服器開關記錄及執行診斷情況記錄;資訊系統庫執行情況記錄;各終端訪問系統伺服器時的使用者名稱、物件級別、訪問內容、訪問起止時間。執行日誌中內容記錄方式以時間為序。
第14條 強化資訊保安保密管理,加強安全保密意識教育。因人為原因造成資訊資料洩密及安全事故,追究當事人責任;觸犯法律的,依法追究。
資訊中心