涉密计算机审计报告算涉密文件吗

涉密计算机安全保密审计报告

一． 涉密计算机概况

涉密机台数：3 涉密机编号： 位置： 二． 安全审计策略

（1） 一般审计日志项目：

a. 授权访问的细节（用户ID、日期、访问的文件、使用的工具）。 b. 所有特殊权限操作。 c. 未授权的访问尝试。 d. 系统故障及其处置。 e. 防护系统的激活和停用。

f. 涉密机管理员的活动日志。包括：事件（成功的或失败的）发生的

时间、关于事件（例如处理的文件）或故障（发生的差错和采取的纠正措施） 的信息、涉及的帐号和管理员或操作员、涉及的过程 （2） 日志保留要求：

保留前所有的日志记录。 （3） 日志保护要求：

应保护日志信息，以防止篡改和未授权的访问，避免导致错误的安全判断。

a. 应向信息系统日志管理员沟通日志保护的重要性，日志管理的纪律。 b. 应定期评审日志管理员的工作，必要时进行调整。

c. 设定合理的日志文件介质存储能力的界限，避免不能记录事件或过去记录事件被覆盖。 （4） 故障日志处置要求：

a. 涉密机管理员负责记录与信息处理或通信系统的问题有关的用户或系统程序所报告的故障。 b. 涉密机管理员负责分析故障日志，提出纠正和纠正措施的建议。

c. 涉密机管理员实施纠正和纠正措施。 （

涉密计算机安全保密审计报告

一． 涉密计算机概况

涉密机台数：3 涉密机编号： 位置： 二． 安全审计策略

（1） 一般审计日志项目：

a. 授权访问的细节（用户ID、日期、访问的文件、使用的工具）。 b. 所有特殊权限操作。 c. 未授权的访问尝试。 d. 系统故障及其处置。 e. 防护系统的激活和停用。

f. 涉密机管理员的活动日志。包括：事件（成功的或失败的）发生的

时间、关于事件（例如处理的文件）或故障（发生的差错和采取的纠正措施） 的信息、涉及的帐号和管理员或操作员、涉及的过程 （2） 日志保留要求：

保留前所有的日志记录。 （3） 日志保护要求：

应保护日志信息，以防止篡改和未授权的访问，避免导致错误的安全判断。

a. 应向信息系统日志管理员沟通日志保护的重要性，日志管理的纪律。 b. 应定期评审日志管理员的工作，必要时进行调整。

c. 设定合理的日志文件介质存储能力的界限，避免不能记录事件或过去记录事件被覆盖。 （4） 故障日志处置要求：

a. 涉密机管理员负责记录与信息处理或通信系统的问题有关的用户或系统程序所报告的故障。 b. 涉密机管理员负责分析故障日志，提出纠正和纠正措施的建议。

c. 涉密机管理员实施纠正和纠正措施。 （

吉林省国家税务局 机关涉密计算机管理办法

第一条 为做好吉林省国家税务局机关涉密计算机的安全和使用管理，切实加强和规范信息保密管理工作制定本办法。

第二条 涉密计算机是指由省局保密委员会登记备案的，用于存储、处理、传输国家秘密信息的专用计算机及外部设备。

第三条 涉密计算机所处理的涉密信息，应根据国家秘密及其密级具体范围的规定确定密级和保密期限，并做出密级标识。

第四条 省局办公室是涉密计算机的保密管理部门，负责制定保密管理制度，汇总涉密计算机需求，制定计划，协助设备的采购和配发，定期组织安全保密检查。

信息中心是涉密计算机日常运行和技术维护管理部门，负责各种由保密办指定的软件安装、维护工作；负责机关涉密计算机的维护。

第五条 涉密计算机装备实行“统一配备、按岗配发”原则，由办公室根据涉密业务工作需求，提出涉密计算机装备计划。

第六条 涉密计算机实行逐台备案制并纳入涉密载体管理范围。禁止使用未经备案的计算机处理国家秘密信息。

第七条 涉密计算机装备标准

（一）计算机配置标准：原则上使用国产计算机；不得配备网卡、无线网卡等联网设备；不得使用蓝牙、红外和具有无线功

能的键盘、鼠标等装置；不安装摄像头、扬声器等视音频设备；或对上

吉林省国家税务局 机关涉密计算机管理办法

第一条 为做好吉林省国家税务局机关涉密计算机的安全和使用管理，切实加强和规范信息保密管理工作制定本办法。

第二条 涉密计算机是指由省局保密委员会登记备案的，用于存储、处理、传输国家秘密信息的专用计算机及外部设备。

第三条 涉密计算机所处理的涉密信息，应根据国家秘密及其密级具体范围的规定确定密级和保密期限，并做出密级标识。

第四条 省局办公室是涉密计算机的保密管理部门，负责制定保密管理制度，汇总涉密计算机需求，制定计划，协助设备的采购和配发，定期组织安全保密检查。

信息中心是涉密计算机日常运行和技术维护管理部门，负责各种由保密办指定的软件安装、维护工作；负责机关涉密计算机的维护。

第五条 涉密计算机装备实行“统一配备、按岗配发”原则，由办公室根据涉密业务工作需求，提出涉密计算机装备计划。

第六条 涉密计算机实行逐台备案制并纳入涉密载体管理范围。禁止使用未经备案的计算机处理国家秘密信息。

第七条 涉密计算机装备标准

（一）计算机配置标准：原则上使用国产计算机；不得配备网卡、无线网卡等联网设备；不得使用蓝牙、红外和具有无线功

能的键盘、鼠标等装置；不安装摄像头、扬声器等视音频设备；或对上

关于印发《涉密和非涉密计算机保密管理制度》等五项制度的通知

机关各科室、委属各单位、：

现将《涉密和非涉密计算机保密管理制度》、《涉密和非涉密移动存储介质保密管理制度》、《涉密网络保密管理制度》、《涉密计算机维修更换报废保密管理制度》、《信息保密管理制度》等五项制度印发给你们，请认真贯彻执行。

二〇〇九年十一月十二日

附件1：

涉密和非涉密计算机保密管理制度

为了进一步加强我委计算机信息保密管理工作，杜绝泄密隐患，确保国家秘密的安全，根据《中华人民共和国保守国家秘密法》，结合我委实际，特制定本制度。

第一条 委保密工作领导小组及办公室负责本委计算机网络的统一建设和管理，维护网络正常运转，委属各单位、科室不得擅自在局系统网络上安装其他设备。

第二条 涉密计算机严禁直接或间接接入电子政务外网以及国际互联网等公共信息网络。非涉密计算机严禁直接或间接接入政务内网。

第三条 涉密计算机主要用于处理涉密业务和内部办公业务，不得处理绝密级国家秘密信息。非涉密计算机严禁存储、处理、传递和转载国家秘密信息和内部工作信息。

第四条 未经单位领导批准和授权，个人使用的计算机不得交由非本岗位工作人员操作。

第五条 不得使用移动存储设备在涉密和非涉密计算机间复制数据。

移动存储介质为什么不得在涉密计算机和非涉密计算机之间交叉使用？

移动存储介质在非涉密计算机上使用时，有可能被植入“木马”等窃密程序。当这个移动存储介质又在涉密计算机上使用时，“木马”窃密程序会自动复制到涉密计算机中，并将涉密计算机中的涉密信息打包存储到移动存储介质上。当移动存储介质再次接入到连接互联网的计算机时，涉密信息就会被自动发往指定主机上，造成涉密。

将非涉密信息复制到涉密计算机，应对复制的数据进行病毒查杀，并采取必要的技术防护措施，使用一次性光盘或经过国家保密行政管理部门批准的信息单向导入设备。 涉密计算机如何设置口令？

口令是计算机及其信息系统的第一道安全防线，涉密计算机信息系统通过口令验证用户身份，区分和控制访问权限。计算机口令设置如果达不到足够长度，非常容易被破解。口令一旦被破解，破解者就可以冒充合法用户进入涉密计算机任意获取信息。

根据有关保密要求，涉密计算机口令设置要根据计算机所处理的涉密信息的密级决定，处理绝密级信息的计算机，口令设置不能少于12个字符，最好采用一次性口令或生理特征鉴别方式；处理机密级信息的，口令长度不得少于10个字符，更换周期不得超过7天；处理秘密级信息的，至少要有8个字符以上的长度，更换周期不得超过

1.1.1 应急响应设计

安全应急响应与计划是XXX涉密信息系统运行安全的主要内容之一。意外事件是不可避免的，即使XXX涉密信息系统有良好的安全系统，仍可能发生事故。当事故发生时，网络管理部门要在第一时间作出正确的响应。

事件响应计划应指定事件响应小组和事件响应步骤。要在事件响应计划中包括所有可能的情况是不现实的，但一个设计良好的事件响应计划应该包括每一种合理的情况。对事故的响应要依赖于成员单位安全部门和其他小组成员的技术能力。

XXX涉密信息系统安全应急响应与计划包括如下部分： 1) 事件响应小组； 2) 事件确认； 3) 事件升级； 4) 控制措施； 5) 事件根除； 6) 事件文档； 7) 事件响应清单； 8) 应急计划。

1.1.1.1 泄密事件应急响应流程

（一）分级响应程序 1) 保密应急事件等级标准

? 一级应急事件：受境内外情报部门派遣或间谍指使，通过非法手段

窃取国家秘密的。

? 二级应急事件：严重违反保密规定或受重大突发事件影响，造成国

家秘密发生失泄密，损失较大的；为个人或团体的私欲通过非法手段窃取敏感信息，严重影响企业发展的。

? 三级应急事件：违反保密规定或受重大突发事件影响，使国家秘密

失泄密，损失轻微的。

2) 凡

6－1－1 《哈尔滨工业大学涉密计算机审批表》 6－1－2 《哈尔滨工业大学中间转换计算机审批表》

6－1－3《哈尔滨工业大学涉密移动存储介质、打印机、复印机审批表》

6－1－4《哈尔滨工业大学涉密设备变更审批表》 6－2－1《XX单位涉密计算机台帐》 6－2－２《XX单位非涉密计算机台帐》 6－2－３《XX单位中间转换计算机台帐》 6－2－４《XX单位涉密移动存储介质台帐》 6－2－５《XX单位非涉密移动存储介质台帐》 6－2－６《XX单位涉密打印\\复印机台帐》

6－2－７《XX单位非涉密打印机\\复印机\\传真机台帐》 6－2－８《XX单位滤波电源台帐》 6－2－９《XX单位电磁干扰设备台帐》

6－3－1《哈尔滨工业大学涉密设备维修、报废审批表》 6－3－2《哈尔滨工业大学涉密设备维修情况记录表》 6－3－3《哈尔滨工业大学涉密设备维修保密协议书》 6－3－4《哈尔滨工业大学涉密存储介质维修记录表》

6－3－5《哈尔滨工业大学涉密设备硬件新增或配置变动审批表》 6－3－6《哈尔滨工业大学涉密设备维修情况检查登记表》 6－4－1《哈尔滨工业大学涉密计算机可安装软件白名单》 6－4－2《涉密计算机操作系统及不在白名单上的应用软件安装审批

1

涉密计算机系统集成资质介绍

按照国家有关规定，从事涉及国家秘密的计算机信息系统集成业务的单位，须经保密工作部门审批，并取得《涉及国家秘密的计算机信息系统集成资质证书》，方可从事涉密信息系统集成业务。 为进一步加强对涉及国家秘密的计算机信息系统的规范化管理，确保国家秘密信息的安全，国家保密局修订下发了新的管理办法。原颁发的资质证书有效期截止到2005年9月30日，从2005年10月1日起启用新的资质证书。根据新的管理办法规定，涉密系统集成资质分为甲级、乙级和单项三种，并引入了评估机制。

涉及国家秘密的计算机信息系统集成资质的种类与限定如下： 涉密系统集成资质分为甲级、乙级和单项三种资质。

A、甲级资质单位可在全国范围内承接涉密信息系统的规划、设计和实施业务，并仅可承担本单位承建的涉密信息系统的系统服务和系统咨询工作，不得从事其它单项资质业务。

B、乙级资质单位仅限在所批准的省、自治区、直辖市所辖行政区域内承接涉密信息系统的规划、设计和实施业务，并仅可承担本单位承建的涉密信息系统的系统服务和系统咨询工作，不得从事其它单项资质业务。 C、单项资质单位可在全国范围内开展业务，但仅限承接所批准的涉密系统集成单项业

泸州信达科技发展有限公司

保密项目流程管理

1

第一章 总则

一、为维护国家利益，保障公司长期稳定发展，促进项目的顺利进展，特制定本规定。 二、国家秘密是关系到国家的权利和利益，依照特定程序确定，在一定时间内只限一定范围人员知悉的事项。

三、项目组所有人员都有保守公司秘密之义务。 四、公司保密工作，实行既确保秘密又便利工作的方针。 五、本制度由公司涉密工作小组负责实施。

第二章 保密范围

一、项目进展中重大决策的事项； 二、项目发展战略的秘密事项。

三、项目所有生产工艺线的图纸设计、技术参数等秘密事项。

四、项目组掌握的招标资料、合同、协议、意向书及可行性报告、主要会议记录等； 六、项目财务预决算及各类财务报表、统计报表。

七、项目人员的人事档案、薪资待遇、劳务性收入及相关信息。

八、一般性决定、决议、通告、通知、行政管理资料等内部文件都属于保密范畴。 九、其他秘密事项。

2

涉密项目整体流程

1.1 涉密项目工作流程

涉密项目投标—→成立涉密项目组—→涉密项目合同—→签订保密协议—→涉密项目预评测—→上报保密局备案—→涉密工程实施—→涉密项目日常管理—→涉密项目测试与检查—→涉密项目验收—→涉密项目