信息保密规定精选6篇

第一条 为加强公司计算机和信息系统（包括涉密信息系统和非涉密信息系统）

安全保密管理，确保国家秘密及商业秘密的安全，根据国家有关保密法规标准和中核集团公司有关规定，制定本规定。

第二条 本规定所称涉密信息系统是指由计算机及其相关的配套设备、设施构成的，按照一定的应用目标和规定存储、处理、传输涉密信息的系统或网络，包括机房、网络设备、软件、网络线路、用户终端等内容。

第三条 涉密信息系统的建设和应用要本着“预防为主、分级负责、科学管理、保障安全”的方针，坚持“谁主管、谁负责，谁使用、谁负责”和“控制源头、归口管理、加强检查、落实制度”的原则，确保涉密信息系统和国家秘密信息安全。

第四条 涉密信息系统安全保密防护必须严格按照国家保密标准、规定和集团公司文件要求进行设计、实施、测评审查与审批和验收；未通过国家审批的涉密信息系统，不得投入使用。

第五条 本规定适用于公司所有计算机和信息系统安全保密管理工作。

第二章 管理机构与职责

第六条 公司法人代表是涉密信息系统安全保密第一责任人，确保涉密信息系统安全保密措施的落实，提供人力、物力、财力等条件保障，督促检查领导责任制落实。

第七条 公司保密委员会是涉密信息系统安全保密管理决策机构，其主要职责：

（一）建立健全安全保密管理制度和防范措施，并监督检查落实情况；

（二）协调处理有关涉密信息系统安全保密管理的重大问题，对重大失泄密事件进行查处。

第八条 成立公司涉密信息系统安全保密领导小组，保密办、科技信息部（信息化）、党政办公室（密码）、财会部、人力资源部、武装保卫部和相关业务部门、单位为成员单位，在公司党政和保密委员会领导下，组织协调公司涉密信息系统安全保密管理工作。

第九条 保密办主要职责：

（一）拟定涉密信息系统安全保密管理制度，并组织落实各项保密防范措施；

（二）对系统用户和安全保密管理人员进行资格审查和安全保密教育培训，审查涉密信息系统用户的职责和权限，并备案；

（三）组织对涉密信息系统进行安全保密监督检查和风险评估，提出涉密信息系统安全运行的保密要求；

（四）会同科技信息部对涉密信息系统中介质、设备、设施的授权使用的审查，建立涉密信息系统安全评估制度，每年对涉密信息系统安全措施进行一次评审；

（五）对涉密信息系统设计、施工和集成单位进行资质审查，对进入涉密信息系统的安全保密产品进行准入审查和规范管理，对涉密信息系统进行安全保密性能检测；

（六）对涉密信息系统中各应用系统进行定密、变更密级和解密工作进行审核；

（七）组织查处涉密信息系统失泄密事件。

第十条

科技信息部、财会部主要职责是：

（一）组织、实施涉密信息系统的规划、设计、建设，制定安全保密防护方案；

（二）落实涉密信息系统安全保密策略、运行安全控制、安全验证等安全技术措施；每半年对涉密信息系统进行风险评估，提出整改措施，经涉密信息系统安全保密领导

小组批准后组织实施，确保安全技术措施有效、可靠；

（三）落实涉密信息系统中各应用系统进行用户权限设置及介质、设备、设施的授权使用、保管以及维护等安全保密管理措施；

（四）配备涉密信息系统管理员、安全保密管理员和安全审计员，并制定相应的职责； “三员”角色不得兼任，权限设置相互独立、相互制约；“三员”应通过安全保密培训持证上岗；

（五）落实计算机机房、配线间等重要部位的安全保密防范措施及网络的安全管理，负责日常业务数据及其他重要数据的备份管理；

（六）配合保密办对涉密信息系统进行安全检查，对存在的隐患进行及时整改；

（七）制定应急预案并组织演练，落实应急措施，处理信息安全突发事件。

第十一条 党政办公室主要职责：

按照国家密码管理的相关要求，落实涉密信息系统中普密设备的管理措施。

第十二条 相关业务部门、单位主要职责：涉密信息系统的使用部门、单位要严格遵守保密管理规定，教育员工提高安全保密意识，落实涉密信息系统各项安全防范措施；准确确定应用系统密级，制定并落实相应的二级保密管理制度。

第十三条 涉密信息系统配备系统管理员、安全保密管理员、安全审计员，其职责是：

（一）系统管理员负责系统中软硬件设备的运行、管理与维护工作，确保信息系统的安全、稳定、连续运行。系统管理员包括网络管理员、数据库管理员、应用系统管理员。

（二）安全保密管理员负责安全技术设备、策略实施和管理工作，包括用户帐号管理以及安全保密设备和系统所产生日志的审查分析。

（三）安全审计员负责安全审计设备安装调试，对各种系统操作行为进行安全审计跟踪分析和监督检查，以及时发现违规行为，并每月向涉密信息系统安全保密领导小组办公室汇报一次情况。

第三章 系统建设管理

第十四条 规划和建设涉密信息系统时，按照涉密信息系统分级保护标准的规定，同步规划和落实安全保密措施，系统建设与安全保密措施同计划、同预算、同建设、同验收。

第十五条 涉密信息系统规划和建设的安全保密方案，应由具有“涉及国家秘密的计算机信息系统集成资质”的机构编制或自行编制，安全保密方案必须经上级保密主管部门审批后方可实施。

第十六条 涉密信息系统规划和建设实施时，应由具有“涉及国家秘密的计算机信息系统集成资质”的.机构实施或自行实施，并与实施方签署保密协议，项目竣工后必须由保密办和科技信息部共同组织验收。

第十七条 对涉密信息系统要采取与密级相适应的保密措施，配备通过国家保密主管部门指定的测评机构检测的安全保密产品。涉密信息系统使用的软件产品必须是正版软件。

第四章 信息管理

第一节 信息分类与控制

第十八条 涉密信息系统的密级，按系统中所处理信息的最高密级设定，严禁处理高于涉密信息系统密级的涉密信息。

第十九条 涉密信息系统中产生、存储、处理、传输、归档和输出的文件、数据、图纸等信息及其存储介质应按要求及时定密、标密，并按涉密文件进行管理。电子文件密级标识应与信息主体不可分离，密级标识不得篡改。涉密信息系统中的涉密信息总量每半年进行一次分类统计、汇总，并在保密办备案。

第二十条 涉密信息系统应建立安全保密策略，并采取有效措施，防止涉密信息被非授权访问、篡改，删除和丢失；防止高密级信息流向低密级计算机。涉密信息远程传输必须采取密码保护措施。

第二十一条 向涉密信息系统以外的单位传递涉密信息，一般只提供纸质文件，确需提供涉密电子文档的，按信息交换及中间转换机管理规定执行。

第二十二条 清除涉密计算机、服务器等网络设备、存储介质中的涉密信息时，必须使用符合保密标准、要求的工具或软件。

第二节 用户管理与授权

第二十三条 根据本部门、单位使用涉密信息系统的密级和实际工作需要，确定人员知悉范围，以此作为用户授权的依据。

第二十四条 用户清单管理

（一）科技信息部管理“研究试验堆燃料元件数字化信息系统”和“中核集团涉密广域网”用户清单；财会部管理“财务会计核算网”用户清单；

（二）新增用户时，由用户本人提出书面申请，经本部门、单位审核，科技信息部、保密办审批后，由科技信息部备案并统一建立用户；“财务会计核算网”的用户由财会部统一建立；

（三）删除用户时，由用户本人所在部门、单位书面通知科技信息部，核准后由安全保密管理员即时将用户在涉密信息系统内的所有帐号、权限废止；“财务会计核算网”密办审核，公司分管领导审批。开通、审批坚持“工作必须”的原则。

第六十四条 国际互联网计算机实行专人负责、专机上网管理，严禁存储、处理、传递涉密信息和内部敏感信息。接入互联网的计算机须建立使用登记制度。

第六十五条 上网信息实行“谁上网谁负责”的保密管理原则，信息上网必须经过严格审查和批准，坚决做到“涉密不上网，上网不涉密”。对上网信息进行扩充或更新，应重新进行保密审查。

第六十六条 任何部门、单位和个人不得在电子邮件、电子公告系统、聊天室、网络新闻组、博客等上发布、谈论、传递、转发或抄送国家秘密信息。

第六十七条 从国际互联网或其它公众信息网下载程序和软件工具等转入涉密系统，经科技信息部审批后，按照信息交换及中间转换机管理规定执行。

第九章 便携式计算机管理

第六十八条 便携式计算机（包括涉密便携式计算机和非涉密便携式计算机）实行 “谁拥有，谁使用，谁负责”的保密管理原则，使用者须与公司签定保密承诺书。

第六十九条 涉密便携式计算机根据工作需要确定密级，粘贴密级标识，按照涉密设备进行管理，保密办备案后方可使用。

第七十条 便携式计算机应具备防病毒、防非法外联和身份认证（设置开机密码口令）等安全保密防护措施。

第七十一条 禁止使用涉密便携式计算机上国际互联网和非涉密网络；严禁涉密便携式计算机与涉密信息系统互联。

第七十二条 涉密便携式计算机不得处理绝密级信息。未经保密办审批，严禁在涉密便携式计算机中存储涉密信息。处理、存储涉密信息应在涉密移动存储介质上进行，并与涉密便携式计算机分离保管。

第七十三条 禁止使用私有便携式计算机处理办公信息；严禁非涉密便携式计算机存储、处理涉密信息；严禁将涉密存储介质接入非涉密便携式计算机使用。

第七十四条 公司配备专供外出携带的涉密便携式计算机和涉密存储介质，按照 “集中管理、审批借用”的原则进行管理，建立使用登记制度。外出携带的涉密便携式计算机须经保密办检查后方可带出公司，返回时须进行技术检查。

第七十五条 因工作需要外单位携带便携式计算机进入公司办公区域，需办理保密审批手续。

第十章 应急响应管理

第七十六条 为有效预防和处置涉密信息系统安全突发事件，及时控制和消除涉密信息系统安全突发事件的危害和影响，保障涉密信息系统的安全稳定运行，科技信息部和财会部应分别制定相应应急响应预案，经公司涉密信息系统安全保密领导小组审批后实施。

第七十七条 应急响应预案用于涉密信息系统安全突发事件。突发事件分为系统运行安全事件和泄密事件，根据事件引发原因分为灾害类、故障类或攻击类三种情况。

（一）灾害事件：根据实际情况，在保障人身安全前提下，保障数据安全和设备安

（二）故障或攻击事件：判断故障或攻击的来源与性质，关闭影响安全与稳定的网络设备和服务器设备，断开信息系统与攻击来源的网络物理连接，跟踪并锁定攻击来源的ip地址或其它网络用户信息，修复被破坏的信息，恢复信息系统。按照事件发生的性质分别采用以下方案：1、病毒传播：及时寻找并断开传播源，判断病毒的类型、性质、可能的危害范围。为避免产生更大的损失，保护计算机，必要时可关闭相应的端口，寻找并公布病毒攻击信息，以及杀毒、防御方法；

2、外部入侵：判断入侵的来源，评价入侵可能或已经造成的危害。对入侵未遂、未造成损害的，且评价威胁很小的外部入侵，定位入侵的ip地址，及时关闭入侵的端口，限制入侵的ip地址的访问。对于已经造成危害的，应立即采用断开网络连接的方法，避免造成更大损失和带来的影响；

3、内部入侵：查清入侵来源，如ip地址、所在区域、所处办公室等信息，同时断开对应的交换机端口，针对入侵方法调整或更新入侵检测设备。对于无法制止的多点入侵和造成损害的，应及时关闭被入侵的服务器或相应设备；

4、网络故障：判断故障发生点和故障原因，能够迅速解决的尽快排除故障，并优先保证主要应用系统的运转；

5、其它未列出的不确定因素造成的事件，结合具体的情况，做出相应的处理。不能处理的及时咨询，上报公司信息安全领导小组。

第七十八条 按照信息安全突发事件的性质、影响范围和造成的损失，将涉密信息系统安全突发事件分为特别重大事件（i级）、重大事件（ii级）、较大事件（iii级）和一般事件（iv级）四个等级。

（一）一般事件由科技信息部（或财会部）依据应急响应预案进行处置；

（二）较大事件由科技信息部（或财会部）、保密办依据应急响应预案进行处置，及时向公司信息安全领导小组报告并提请协调处置；

（三）重大事件启动应急响应预案，对突发事件进行处置，及时向公司党政报告并提请协调处置；

（四）特别重大事件由公司报请中核集团公司对信息安全突发事件进行处置。

第七十九条 发生突发事件（如涉密数据被窃取或信息系统瘫痪等）应按如下应急响应的基本步骤、基本处理办法和流程进行处理：

（一）上报科技信息部和保密办；

（二）关闭系统以防止造成数据损失；

（三）切断网络，隔离事件区域；

（四）查阅审计记录寻找事件源头；

（五）评估系统受损程度；

（六）对引起事件漏洞进行整改；

（七）对系统重新进行风险评估；

（八）由保密办根据风险评估结果并书面确认安全后，系统方能重新运行；

（九）对事件类型、响应、影响范围、补救措施和最终结果进行详细的记录；

（十）依照法规制度对责任人进行处理。

第八十条 科技信息部、财会部应会同保密办每年组织一次应急响应预案演练，检验应急响应预案各环节之间的通信、协调、指挥等是否快速、高效，并对其效果进行评估，以使用户明确自己的角色和责任。应急响应相关知识、技术、技能应纳入信息安全保密培训内容，并记录备案。

第十一章 人员管理

第八十一条 各部门、单位每年应组织开展不少于1次的全员信息安全保密知识技能教育与培训，并记录备案。

第八十二条

涉密人员离岗、离职，应及时调整或取消其访问授权，并将其保管的涉密设备、存储介质全部清退并办理移交手续。

第八十三条 承担涉密信息系统日常管理工作的系统管理员、安全保密管理员、安全审计管理员应按重要涉密人员管理。

第十二章 督查与奖惩

第八十四条 公司每年应对涉密信息系统安全保密状况、安全保密制度和措施的落实情况进行一次自查，并接受国家和上级单位的指导和监督。涉密信息系统每两年接受一次上级部门开展的安全保密测评或保密检查，检查结果存档备查。

第八十五条 检查涉密计算机和信息系统的保密检查工具和涉密信息系统所使用的安全保密、漏洞检查（取证）软件等，应覆盖保密检查的项目，并通过国家保密局的检测。安全保密检查工具应及时升级或更新，确保检查时使用最新版本。

第八十六条 各部门、单位应将员工遵守涉密计算机及信息系统安全保密管理制度的情况，纳入保密自查、考核的重要内容。对违反本规定造成失泄密的当事人及有关责任人，按公司保密责任考核及奖惩规定执行。

第十三章 附 则

第八十七条 本规定由保密办负责解释与修订。

第八十八条 本规定自发布之日起实施。原《计算机磁（光）介质保密管理规定）[制度编号：（厂1908号）]、《涉密计算机信息系统保密管理规定》［制度编号:（20xx）厂1911号］、《涉密计算机采购、维修、变更、报废保密管理规定》［制度编号:（20xx）厂1925号］、《国际互联网信息发布保密管理规定》［制度编号:（20xx）厂1926号］、《涉密信息系统信息保密管理规定》［制度通告:（20xx）0934号］、《涉密信息系统安全保密管理规定》［制度通告:（20xx）0935号］同时废止。

1.网络中心负责网络系统的运行，管理和维护工作，任何用户未经同意不得擅自变动网络系统中的各种设备和线路。

2.任何用户不得利用联网设备从事危害网络和网上用户的任何行为，不得危害或侵入未经授权的所有网上设备。

3.任何用户不得利用各种软硬件技术从事网上侦听，盗用等活动;

4.任何用户未经允许，不能对计算机信息网络中存储，处理或传输的数据和应用程序进行删除，修改或增加。

5.任何用户不得故意制作，传播计算机病毒等破坏性程序，不能使用来历不明的软件。

6.禁止非工作人员操作服务器，不使用服务器时，应注意锁屏;

7.每周检查主机登录日志，及时发现不合法的登录情况。

8.网络管理员，系统管理员和系统操作员所用的密码每15天更换一次，口令要无规则，重要口令要多于八位。

9.管理员密码只被系统管理员掌握，尽量不直接使用管理员密码登录服务器。

10，涉密信息不得进入国际互联网传输或存储，处理涉密信息的计算机信息系统也不得接入国际互联网，必须采取与国际互联网完全隔离的保密措施。

(一)总则:

1、为保守医院秘密，维护医院权益，特制定本制度。

2、医院秘密是关系医院发展和利益，依照特定程序确定，在一定时间内只限一定范围的人员知悉的事项。

3、医院各科室和全体员工都有保守医院秘密的义务。

4、医院保密工作，实行既确保秘密又便利工作的方针。

(二)保密范围和密级确定:

1、医院秘密包括下列秘密事项:

(1)医院重大决策中的秘密事项。

(2)医院尚未付诸实施的发展战略、发展方向、发展规划等。

(3)医院内部掌握的合同、协议、意见书及可行性报告、主要会议记录。

(4)医院财务预决算报告及各类财务报表、统计报表。

(5)医院所掌握的尚未进入社会或尚未公开的各类信息。

(6)医院员工的人事档案，工资性、劳务性收入及家庭地址、家庭成员、通讯方式等员工基本情况。

(7)其他经医院确定应当保密的事项。一般性决定、决议、通告、通知、行政管理资料等内部文件不属于保密范围。

2、医院秘密的密级分为“绝密”、“机密”、“秘密”三级。绝密是最重要的医院秘密，泄露会使医院利益遭受特别严重的损害;机密是重要的医院秘密，泄露会使医院权益和利益遭受到严重的损害;秘密是一般的医院秘密，泄露会使医院的权益和利益遭受损害。

3、医院密级的确定:

(1)医院经营发展中，直接影响医院权益和利益的重要决策文件资料为绝密级;

(2)医院的规划、财务报表、统计资料、重要会议记录、医院经营情况为机密级;

(3)医院人事档案、合同、协议、职员工资性收入、尚未进入市场或尚未公开的各类信息为秘密级。

(三)保密措施:

1、属于医院秘密的文件、资料和其它物品的制作、收发、传递、使用、复制、摘抄、保存和销毁，由党政办或分管副院长委托专人执行;采用电脑技术存取、处理、传递的

医院秘密由信息部门负责保密。

2、对于密级文件、资料和其他物品，必须采取以下保密措施:

(1)非经院长或分管院长批准，不得复制和摘抄;

(2)收发、传递和外出携带，由指定人员担任，并采取必要的安全措施;

3、不准在私人交往和通信中泄露医院秘密，不准在公共场所谈论医院秘密，不准通过其他方式传递医院秘密。

4、医院工作人员发现医院秘密已经泄露或者可能泄露时，应当立即采取补救措施并及时报告党政办;党政办接到报告，应立即作出处理。

(四)责任与处罚:

1、出现下列情况之一者，给予警告，并扣发50—500元:

(1)泄露医院秘密，尚未造成严重后果或经济损失的;

(2)违反本制度规定的秘密内容的;

(3)已泄露医院秘密但采取补救措施的。

2、出现下列情况之一的，予以辞退并酌情赔偿经济损失，必要时追究其法律责任:

(1)故意或过失泄露医院秘密，造成严重后果或重大经济损失的;

(2)违反本保密制度规定，为他人窃取、刺探、收买或违章提供医院秘密的;

(3)利用职权强制他人违反保密规定的。

为了保证互联网网络与信息安全，维护国家安全和社会稳定，保障公民、法人和其他组织的合法权益，本单位在从事互联网信息服务业务期间严格执行如下措施：

一、 遵守《全国人民代表大会常务委员会关于维护互联网安全的决定》、《中华人民共和国电信条例》、《互联网信息服务管理办法》等法律法规的有关规定，依法从事互联网信息服务业务。

二、 本公司所有工作人员必须保守国家机密的各项法律和规定，严格执行网络信息安全保密制度。

三、 不得利用网络从事危害国家安全、泄露国家秘密等犯罪活动，不得制作、查询、复制和传播有碍社会治安的信息，如发现有害信息，按照有关规定及时处理，并报告通信管理局。

四、 按照分层负责的原则，建立信息安全保障责任制，由领导分管信息安全保密的安全工作。并设立计算机信息系统安全责任人和安全管理员，负责系统管理维护，制定计算机信息系统的安全策略、风险防范。

五、 不在网上传送密件，不泄露用户个人资料。

六、 建立公共信息内容自动过滤系统和人工值班监控制度，用户上传的公共信息在本网站上网前，必须经过本网站工作人员的人工审核后，方能上网发布。

七、 因管理员对上网信息审查不严，出现严重问题，造成不良影响的，追究信息员的责任。若违反有关规定，严肃处理。

八、 网站信息内容记录备份不少于60日，在国家有关机关依法查询时予以提供。

九、 接受并配合国家有关部门、各级网络中心依法进行监督检查。

1、为了处理工作中涉及的办公秘密信息和业务秘密信息，特制定计算机信息系统安全保密规定。

2、学校网络中心负责指导全校各部门入网人员的保密技术培训，落实技术防范措施。

3、各部门要有一名教师主管此项工作。要指定专人负责接入网络的安全保密管理工作和对上网信息的保密检查，落实好保密防范措施，对本单位上网人员进行保密教育和管理。

4、涉密信息不得在与国际网络联网的计算机系统中存储、处理和传输。

5、凡上网的信息，上网前必须进行审查，进行登记，“谁上网，谁负责”，确保国家机密不上网。

6、不得利用校园网从事危害国家安全，泄露国家机密的活动。

7、如在网上发现黄色的宣传品和出版物，要保护好现场，及时向校保卫部门汇报，依据有关规定处理。如发现泄露国家机密的情况，要及时报网络中心采取措施，同时向校园网领导小组报告。对违反规定造成后果的，依据有关规定进行处理，并追究部门领导的责任。

8、未经批准，任何人不得开设bbs，一经发现立即依法取缔。

9、对校园网内开设的合法论坛要积极推行论坛管理员负责制，论坛主持人经校园网领导小组批准备案。坚决取缔未经批准开设的非法论坛。

10、加强个人主页管理，对于在个人主页中张贴、传播有害信息的责任人要依法处理，并删除个人主页。

11、校内各机房要严格管理制度，落实责任人。引导学生开展健康、文明的网上活动，杜绝将电子阅览室和计算机房变相为娱乐场所。

12、对于问题突出，管理失控，造成有害信息传播的网站和网页，坚决依法予以关闭和清除；对于制作、复制、印发和传播有害信息的单位和个人要依法移交有关部门处理。

13、发生重大突发事件期间，校园网领导小组及各部门领导要加强网络监控，及时、果断地处置网上突发事件，维护校内稳定。

为了保护《出生医学证明》个人信息安全，保障公民的合法权益，特拟定以下制度:

一、保护能够识别公民个人身份和涉及公民个人隐私的信息。任何组织和个人不得窃取或者以其他非法方式获取公民个人信息，不得出售或者非法向他人提供公民个人信息。

二、《出生医学证明》办理工作人员在业务活动中收集、使用公民个人信息，应当遵循合法、正当、必要的原则，明示收集、使用信息的目的、方式和范围，不得违反法律、法规的规定收集、使用信息。

三、《出生医学证明》办理工作人员对在业务活动中收集的公民个人信息必须严格保密，不得泄露、篡改、毁损，不得出售或者非法向他人提供。

四、《出生医学证明》办理单位应当采取技术措施和其他必要措施，确保信息安全，防止在业务活动中收集的公民个人信息泄露、毁损、丢失。在发生或者可能发生信息泄露、毁损、丢失的情况时，应当立即采取补救措施。

五、《出生医学证明》办理单位应当加强对公民个人信息的管理，发现法律、法规禁止发布或者传输的信息的，应当立即停止传输该信息，采取消除等处置措施，保存有关记录，并向有关主管部门报告。