為加強數(shù)據中心的數(shù)據安全和保密管理，保障數(shù)據中心的數(shù)據安全，現(xiàn)依據國家有關法律法規(guī)和政策，針對當前安全保密管理工作中可能存在的問題和薄弱環(huán)節(jié)，制定本辦法。
??????? 一、?按照“誰主管誰負責、誰運行誰負責”的原則，各部門在其職責范圍內，負責本單位計算機信息系統(tǒng)的安全和保密管理。
??????? 二、?各單位應當明確一名主要領導負責計算機信息系統(tǒng)安全和保密工作，指定一個工作機構具體負責計算機信息系統(tǒng)安全和保密綜合管理。各部門內設機構應當指定一名信息安全保密員。???
??????? 三、?要加強對與互聯(lián)網聯(lián)接的信息網絡的管理，采取有效措施，防止違規(guī)接入，防范外部攻擊，并留存互聯(lián)網訪問日志。
??????? 四、?計算機的使用管理應當符合下列要求：
??????? 1.?對計算機及軟件安裝情況進行登記備案，定期核查；
??????? 2.?設置開機口令，長度不得少于8個字符，并定期更換，防止口令被盜；
??????? 3.?安裝防病毒等安全防護軟件，并及時進行升級；及時更新操作系統(tǒng)補丁程序；
??????? 4.?不得安裝、運行、使用與工作無關的軟件；
??????? 5.?嚴禁同一計算機既上互聯(lián)網又處理涉密信息；
??????? 6.?嚴禁使用含有無線網卡、無線鼠標、無線鍵盤等具有無線互聯(lián)功能的設備處理涉密信息；
??????? 7.?嚴禁將涉密計算機帶到與工作無關的場所。
??????? 五、?移動存儲設備的使用管理應當符合下列要求：
??????? 1.?實行登記管理；
??????? 2.?移動存儲設備不得在涉密信息系統(tǒng)和非涉密信息系統(tǒng)間交叉使用，涉密移動存儲設備不得在非涉密信息系統(tǒng)中使用；
??????? 3.?移動存儲設備在接入本單位計算機信息系統(tǒng)之前，應當查殺病毒、木馬等惡意代碼；
??????? 4.?鼓勵采用密碼技術等對移動存儲設備中的信息進行保護；
??????? 5.?嚴禁將涉密存儲設備帶到與工作無關的場所。
??????? 六、?數(shù)據復制操作管理應當符合下列要求：
??????? 1.?將互聯(lián)網上的信息復制到處理內部信息的系統(tǒng)時，應當采取嚴格的技術防護措施，查殺病毒、木馬等惡意代碼，嚴防病毒等傳播；
??????? 2.?嚴格限制從互聯(lián)網向涉密信息系統(tǒng)復制數(shù)據。確需復制的，應當嚴格按照國家有關保密標準執(zhí)行；
??????? 3.?不得使用移動存儲設備從涉密計算機向非涉密計算機復制數(shù)據。確需復制的，應當采取嚴格的保密措施，防止泄密；
??????? 4.?復制和傳遞涉密電子文檔，應當嚴格按照復制和傳遞同等密級紙質文件的有關規(guī)定辦理。
??????? 七、?處理內部信息的計算機及相關設備在變更用途時，應當使用能夠有效刪除數(shù)據的工具刪除存儲部件中的內部信息。
??????? 八、?涉密計算機及相關設備不再用于處理涉密信息或不再使用時，應當將涉密信息存儲部件拆除或及時銷毀。涉密信息存儲部件的銷毀必須按照涉密載體銷毀要求進行。
??????? 九、?加強對計算機使用人員的管理，開展經常性的保密教育培訓，提高計算機使用人員的安全和保密意識與技能。
??????? 十、?各單位應當與重點崗位的計算機使用人員簽訂安全保密責任書，明確安全和保密要求與責任。
??????? 十一、?計算機使用人員離崗離職，有關部門應當即時取消其計算機信息系統(tǒng)訪問授權，收回計算機、移動存儲設備等相關物品。
??????? 十二、?各單位要加強對本單位計算機信息系統(tǒng)安全和保密管理情況的監(jiān)督，定期開展檢查，發(fā)現(xiàn)問題及時糾正。
??????? 十三、?定期檢查重點
??????? 1.?系統(tǒng)安全運行情況。
??????? 檢查各個信息系統(tǒng)運行情況。綜合業(yè)務網絡殺毒軟件更新、運行情況；外網辦公用計算機病毒查殺情況；操作系統(tǒng)和軟件使用情況是否安全；是否存在內外網混用情況；終端機是否開啟安全防護措施。
??????? 2.?安全管理情況。
??????? A.?信息安全主管領導、信息安全管理部門、信息安全工作人員履職以及崗位責任情況等。
??????? （1）?信息安全主管領導明確及工作落實情況。
??????? 是否有領導分工等相關文件，是否明確了信息安全主管領導，檢查信息安全相關工作批示和會議記錄等文件，了解主管領導工作落實情況。
??????? （2）?信息安全管理部門指定及工作落實情況。
??????? 檢查部門分工文件，是否指定了信息安全管理部門。是否制定了工作計劃、工作方案、管理規(guī)章制度、監(jiān)督檢查記錄等文件，檢查管理部門工作落實情況。
??????? （3）?信息安全工作人員配備及工作落實情況。
??????? 檢查人員列表、崗位職責分工等文件，是否配備了信息安全工作人員。
??????? B.?日常安全管理制度建立和落實情況。
??????? 檢查人員管理、設備管理、運行維護管理情況。
??????? （1）?人員管理制度。
??????? 檢查人員管理制度文件，是否有崗位信息安全責任，人員離崗離職管理、外部人員來訪管理等制度。檢查人員離崗離職管理落實情況。
??????? （2）?設備管理制度。
??????? 檢查設備管理制度等文件。是否有設備發(fā)放、使用、維修、維護和報廢等相關制度，是否明確了相關管理責任人。硬件設備登記情況，包括PC機，路由器，交換機及其他主要設備。檢查《計算機硬件設備登記簿》。
??????? （3）?運行維護管理制度。
??????? 檢查是否建立了運行維護管理等相關制度文件，是否包含事故處理記錄、數(shù)據維護情況等相關內容。檢查運維操作手冊和運維相關記錄，檢查是否有事故處理記錄、數(shù)據維護記錄、運行維護管理制度落實情況及相關記錄完整性。