计算机保密管理制度 计算机信息系统保密管理规定

在信息时代，计算机安全关系企业命脉。为规范管理，防范信息泄露、数据损毁及网络攻击，建立《计算机保密管理制度》至关重要。其旨在明确责任、统一标准，构筑坚实安全防线。本文将提供几篇不同侧重点的制度范文，以供实践应用。

篇一：《计算机保密管理制度》

第一章 总则

第一条 目的与依据
为加强本单位计算机信息系统的安全保密管理，规范全体员工的计算机操作行为，防止单位商业秘密、技术秘密及重要工作信息的泄露、丢失或损毁，保障计算机信息系统及网络的安全、稳定、高效运行，依据国家相关法律法规，结合本单位实际情况，特制定本制度。

第二条 适用范围
本制度适用于本单位所有部门及全体员工（包括但不限于正式员工、实习生、外包人员、临时访问人员）。所有使用、管理、维护本单位计算机设备、网络资源及信息系统的人员，均应严格遵守本制度。

第三条 基本原则
本制度遵循“预防为主、明确责任、突出重点、综合防范”的原则，将技术防范与管理监督相结合，确保各项保密措施落到实实处。

第四条 定义
（一）计算机设备：指本单位所有的台式计算机、笔记本电脑、服务器、工作站以及相关的外部设备（如打印机、扫描仪、移动硬盘、U盘等）。
（二）信息系统：指由计算机及其相关和配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。
（三）涉密信息：指关系本单位安全和利益，一旦泄露、丢失或被篡改，可能对本单位造成经济损失、声誉损害或法律风险的各类信息。根据其重要程度，可划分为不同密级。

第二章 组织机构与职责

第五条 组织领导
本单位设立信息安全领导小组，作为计算机保密管理的最高决策机构。
（一）组长：由单位主要负责人担任。
（二）副组长：由分管信息化和安全的负责人担任。
（三）成员：由各部门主要负责人及信息技术部负责人组成。

第六条 信息安全领导小组职责
（一）审定本单位计算机保密管理制度及相关技术规范。
（二）统筹规划本单位信息安全体系建设，审批重大安全项目和资金预算。
（三）领导、组织和协调重大信息安全事件的应急处置工作。
（四）定期听取信息安全工作汇报，监督、检查本制度的执行情况。

第七条 信息技术部职责
信息技术部是本单位计算机保密管理的日常执行与监督部门。
（一）负责本制度的具体实施、宣传、培训和解释。
（二）负责计算机设备、网络系统、应用软件的统一规划、采购、配置、维护和管理。
（三）负责部署和维护防火墙、杀毒软件、入侵检测等安全防护措施。
（四）负责用户账户、权限的分配与管理，并定期进行审核。
（五）负责对全单位的计算机使用情况进行日常监控和安全审计。
（六）负责对信息安全事件进行技术分析、响应和报告。
（七）负责涉密信息的备份、恢复及销毁的技术支持。

第八条 各部门职责
（一）各部门负责人为本部门计算机保密管理的第一责任人，负责组织本部门员工学习并遵守本制度。
（二）监督本部门员工的计算机使用行为，及时发现并制止违规操作。
（三）负责本部门内部涉密信息的确定、标识和管理。
（四）配合信息技术部进行安全检查和事件调查。

第九条 员工职责
（一）每位员工均为本人所使用计算机及账户安全保密的直接责任人。
（二）应签署《员工保密协议》，承诺履行保密义务。
（三）自觉遵守本制度及其他相关安全规定，接受安全培训和检查。
（四）发现信息安全隐患或安全事件时，有义务立即向本部门负责人和信息技术部报告。

第三章 人员保密管理

第十条 上岗管理
（一）新员工入职时，必须接受信息安全和保密制度的培训，并签署《员工保密协议》后，方可获得计算机及网络账户的使用权限。
（二）信息技术部根据员工的岗位和工作性质，遵循“最小权限”原则，为其配置相应的系统访问权限。

第十一条 在岗管理
（一）员工应妥善保管自己的账户密码，严禁将个人账户转借他人使用。密码设置应符合复杂度要求（长度不少于8位，包含大小写字母、数字和特殊符号），并定期更换。
（二）员工应对本人产生、处理和存储的电子文档的安全性负责，根据信息的重要性进行加密或采取其他保护措施。
（三）未经批准，员工不得擅自更改计算机的硬件配置、操作系统设置及网络地址等。
（四）严禁在工作计算机上安装与工作无关的软件、游戏，或浏览不健康的网站。
（五）员工参加对外技术交流、会议或发布信息时，应事先经过保密审查，严防涉密信息泄露。

第十二条 离岗管理
（一）员工离职（包括调离、辞职、退休等），必须办理计算机及信息移交手续。
（二）离职前，员工应将其保管的全部电子文档、资料及数据完整移交给部门指定的接收人，并清除个人计算机上的非工作信息。
（三）信息技术部应在员工办理离职手续后，立即终止其所有系统账户的访问权限，并收回其使用的计算机设备。
（四）员工离职后，仍需对其在职期间接触和知悉的本单位涉密信息承担保密责任。

第四章 设备与介质保密管理

第十三条 计算机设备管理
（一）本单位所有计算机设备均属于单位资产，由信息技术部统一编号、登记造册，并建立设备档案。
（二）员工应爱护所使用的计算机设备，保持其清洁和正常运行。设备出现故障，应及时报信息技术部维修，严禁私自拆卸。
（三）笔记本电脑的使用者负有保管责任。携带笔记本电脑外出时，应确保设备安全，防止丢失或被盗。在公共场所使用时，应注意防止信息被窥视。
（四）处理涉密信息的计算机必须与互联网及其他公共信息网络实行物理隔离。
（五）计算机设备报废，须由信息技术部进行专业的数据清除或物理销毁处理，确保信息无法恢复，并履行资产报废手续。

第十四条 移动存储介质管理
（一）移动存储介质（U盘、移动硬盘、光盘等）应由信息技术部统一采购、登记和发放。
（二）禁止在连接互联网的计算机和处理涉密信息的计算机之间交叉使用移动存储介质。
（三）存储有涉密信息的移动存储介质必须专人保管、专盘专用，并采取加密措施。严禁将其带离办公场所或转借他人。
（四）不再使用的涉密移动存储介质，必须交由信息技术部进行物理销毁。

第五章 网络与数据保密管理

第十五条 网络接入管理
（一）所有计算机接入单位内部网络，必须经过信息技术部的批准和配置。严禁私自将外部计算机或网络设备接入内部网络。
（二）员工不得擅自更改网络配置，如IP地址、子网掩码、网关等。
（三）无线网络的使用应严格遵守单位的无线安全策略，禁止使用个人无线路由器。

第十六条 互联网使用管理
（一）员工应在授权范围内使用互联网资源，主要用于工作目的。
（二）禁止通过互联网邮箱、即时通讯工具、网盘等传输、存储涉密信息和重要工作文件。
（三）提高警惕，防范网络钓鱼和恶意软件。不随意点击来历不明的邮件附件和链接。
（四）所有计算机必须安装信息技术部指定的防病毒软件，并保持病毒库实时更新。

第十七条 数据保密管理
（一）信息分类：本单位信息资产根据其敏感性和重要性，分为“核心机密”、“内部秘密”、“公开信息”三级。各部门负责对本部门产生的数据进行定级和标识。
（二）数据存储：核心机密和内部秘密数据必须存储在单位内部的指定服务器上，并由信息技术部统一进行备份。严禁将其存储在个人电脑本地硬盘、公共云盘或个人移动设备上。
（三）数据传输：通过网络传输涉密信息时，必须使用单位认可的加密通道或加密软件进行加密。
（四）数据销毁：对于不再需要的涉密电子文档，应使用文件粉碎工具进行彻底删除，确保无法被恢复。

第六章 监督检查与奖惩

第十八条 监督检查
信息安全领导小组及信息技术部有权对本制度的执行情况进行定期或不定期的检查。检查内容包括但不限于：计算机使用情况、软件安装情况、网络行为、保密措施落实情况等。所有部门和员工应积极配合检查工作。

第十九条 奖励
对于在计算机保密管理工作中表现突出，或在防范、发现、处置重大安全事件中做出重要贡献的部门或个人，本单位将给予通报表扬或物质奖励。

第二十条 处罚
对违反本制度的行为，视情节严重程度和造成后果，给予以下处罚：
（一）情节轻微，未造成实际损失的，给予内部通报批评、书面警告，并责令限期整改。
（二）多次违规或情节较重，造成信息泄露风险或轻微损失的，给予记过、降职、扣发奖金等处分。
（三）严重违反本制度，导致单位重大经济损失、核心秘密泄露或严重声誉损害的，将予以辞退，并保留追究其法律责任的权利。
（四）行为触犯国家法律的，将移交司法机关处理。

第七章 附则

第二十一条 本制度由信息安全领导小组负责解释。
第二十二条 本制度自发布之日起施行。以往相关规定与本制度不符的，以本制度为准。

篇二：《计算机保密管理制度》

第一章 总则

第一条【立法目的】为保障国家秘密和工作秘密安全，规范本机构计算机及信息系统的保密管理，防范和打击计算机信息系统领域的窃密、泄密活动，根据国家保密法律法规，制定本规定。

第二条【适用对象】本规定适用于本机构内所有涉密人员、涉密计算机、涉密信息系统以及相关的管理活动。

第三条【核心原则】计算机保密管理必须贯彻“积极防范、突出重点、技管并重、依法管理”的方针，遵循“谁主管、谁负责，谁运营、谁负责，谁使用、谁负责”的责任制原则。

第四条【密级定义】本规定所称的国家秘密是指关系国家安全和利益，依照法定程序确定，在一定时间内只限一定范围的人员知悉的事项。本规定涉及的计算机信息密级分为“绝密”、“机密”、“秘密”三级。
（一）绝密级：最重要的国家秘密，泄露会使国家安全和利益遭受特别严重的损害。
（二）机密级：重要的国家秘密，泄露会使国家安全和利益遭受严重的损害。
（三）秘密级：一般的国家秘密，泄露会使国家安全和利益遭受损害。

第二章 涉密计算机系统管理

第五条【分类管理】计算机信息系统依据其处理信息的最高密级，划分为绝密级、机密级、秘密级系统。非涉密计算机信息系统不得处理、存储任何密级的国家秘密信息。

第六条【物理隔离】绝密级计算机信息系统必须与任何公共信息网络（包括互联网）实行物理隔离。机密级、秘密级计算机信息系统不得直接或间接地与互联网连接，必须与互联网实行有效的逻辑隔离，并采取严格的访问控制和边界防护措施。

第七条【系统建设】涉密计算机信息系统的建设、升级和改造，必须由保密工作部门进行保密审查，并选用符合国家保密标准的安全保密产品。系统投入使用前，必须通过国家保密行政管理部门授权的测评机构的系统测评。

第八条【身份鉴别】涉密计算机必须设置开机密码、屏幕保护密码。密码必须由字母、数字和符号混合组成，长度不少于十位，并按规定定期更换。严禁使用弱密码或默认密码。对处理核心涉密信息的用户，应采用基于生理特征、密码、智能卡等多因素组合的身份鉴别方式。

第九条【访问控制】必须对涉密信息系统的用户进行严格的权限管理，遵循“最小授权”和“职责分离”原则。对用户的操作行为进行记录，审计日志应至少保存六个月以上，确保所有操作可追溯。

第十条【安全防护】涉密计算机必须安装经国家有关部门认证的病毒防治、恶意代码防范和主机监控审计等安全保密软件。严禁擅自卸载、停用安全保密软件。系统漏洞和补丁应由系统管理员统一管理，及时更新。

第三章 涉密信息处理与传输管理

第十一条【信息定密】产生、制作国家秘密信息时，必须依据《国家秘密定密管理暂行规定》，准确确定其密级、保密期限和知悉范围，并在信息的载体上做出明显的、符合规范的密级标志。

第十二条【信息输入】将外部信息（包括非涉密信息）录入到涉密计算机前，必须经过病毒查杀和保密审查。严禁将含有潜在风险或来源不明的信息导入涉密系统。

第十三条【信息输出】从涉密计算机打印、拷贝涉密信息，必须履行审批登记手续。打印的涉密文件应按纸质文件进行管理。输出的电子文档必须注明密级。

第十四条【信息传输】在涉密网络内部传输涉密信息，应采取加密等安全措施。严禁通过普通电话、明传电报、普通传真、普通电子邮件等非涉密信道传输任何国家秘密信息。确需通过非涉密网络传输涉密信息的，必须使用经国家密码管理部门批准的加密设备进行加密。

第十五条【信息发布】任何部门和个人不得在连接互联网的计算机上或对外公开发布的信息中涉及国家秘密。对外提供信息，必须经过严格的保密审查。

第四章 涉密存储介质管理

第十六条【介质购置】涉密移动存储介质（如U盘、移动硬盘、光盘等）必须由保密工作部门统一购置、登记、编号，并加贴密级标识。

第十七条【专盘专用】涉密存储介质必须专人保管、专机使用，严禁在涉密计算机与非涉密计算机之间交叉混用。绝密级、机密级、秘密级存储介质应分开管理，不得混用。

第十八条【携带规定】因工作需要携带涉密存储介质外出的，必须履行严格的审批手续，并采取严密的保护措施，确保介质不离身、不失控。严禁在公共场所和非保密环境下使用涉密存储介质。

第十九条【介质销毁】涉密存储介质达到使用年限或不再使用时，不得自行处理。必须将其送交保密工作部门或国家指定的销毁机构，采用物理粉碎、强磁消磁等方式进行彻底销毁，并做好销毁记录。对于存储过绝密级信息的介质，必须销毁，不得降级使用或淘汰处理。

第五章 人员保密责任

第二十条【涉密资格】从事涉密计算机系统管理和操作的人员，必须经过严格的政治审查和保密资格审查，并定期接受保密教育和技能培训。

第二十一条【保密承诺】所有涉密人员上岗前必须签订《保密承诺书》，明确其应承担的保密责任和义务。

第二十二条【日常行为规范】涉密人员必须严格遵守以下规定：
（一）不得将个人计算机、非涉密设备接入涉密网络。
（二）不得在涉密计算机上使用无线网卡、无线鼠标、无线键盘等具有无线互联功能的设备。
（三）不得将手机等智能终端设备带入核心涉密场所。
（四）不得在非涉密计算机上处理、存储、讨论涉密信息。
（五）发现泄密、窃密线索或隐患，必须立即报告，并采取补救措施。

第二十三条【离岗脱密】涉密人员离岗、离职，必须办理严格的保密交接手续，清退所有涉密载体，并履行脱密期管理规定。在脱密期内，未经批准不得在境外企业或组织任职，不得以任何形式泄露其掌握的国家秘密。

第六章 监督与追责

第二十四条【保密检查】保密工作部门应会同有关部门，每年至少组织一次全面的计算机保密专项检查，对发现的问题要下达整改通知书，并监督落实。

第二十五条【事件处置】发生计算机泄密事件，必须立即启动应急预案，保护现场，第一时间向本机构保密委员会和上级保密行政管理部门报告，并全力配合事件的调查处理。

第二十六条【责任追究】对违反本规定的行为，将依据情节轻重，给予责任人批评教育、警告、严重警告、撤销党内职务、留党察看、开除党籍等党纪处分，以及警告、记过、记大过、降级、撤职、开除等行政处分。

第二十七条【法律责任】违反本规定，构成犯罪的，依法追究刑事责任。对于泄露国家秘密，给国家安全和利益造成损害的，将依照《中华人民共和国刑法》中“故意泄露国家秘密罪”或“过失泄露国家秘密罪”追究其法律责任。

第七章 附则

第二十八条 本规定由本机构保密委员会负责解释。
第二十九条 本规定自印发之日起生效。

篇三：《计算机保密管理制度》

引言：我们的安全，共同的责任

在快速发展的数字世界里，每一行代码、每一份文档、每一封邮件都承载着公司的价值。信息安全不是IT部门的独角戏，而是我们每一个人的责任。本指南旨在为大家提供清晰、实用、易于遵循的计算机使用安全准则，帮助我们共同守护公司的核心资产，让创新和业务在安全的环境中蓬勃发展。请记住，一个微小的疏忽可能带来巨大的风险，而一个良好的习惯则能构筑坚固的防线。

第一部分：你的数字身份——账户与密码安全

1. 创建强密码，这是第一道防线
   • 复杂度是关键：你的密码必须至少包含12个字符，并混合使用大写字母、小写字母、数字和特殊符号（如!@#$%^&*）。不要使用生日、姓名、电话号码或常见的单词（如”password”、”123456″）。
   • 唯一性原则：为不同的系统（公司邮箱、内部系统、外部服务）设置不同的密码。避免“一码走天下”，这样即使一个账户泄露，也不会殃及其他。
   • 善用密码管理器：我们鼓励使用公司推荐的密码管理器。它可以帮你生成并安全地存储所有复杂密码，你只需要记住一个主密码即可。
   • 定期更换：请至少每90天更换一次你的系统登录密码。
2. 多因素认证（MFA）：给你的账户上把“双重锁”
   • 启用MFA：所有支持MFA的关键系统（如企业邮箱、VPN、代码仓库），你都必须启用它。这意味着除了密码，你还需要通过手机验证码、认证应用或物理密钥进行二次验证。
   • 保护你的第二因素：妥善保管你的手机或物理密钥。如果丢失，请第一时间向IT支持团队报告。
3. 账户的生命周期管理
   • 最小权限原则：你只会获得完成本职工作所必需的最小系统权限。如果你需要额外权限，请通过审批流程申请。
   • 共享账户是禁区：严禁与同事、朋友或家人共享你的工作账户。每一个人都必须使用自己的独立账户进行操作，以便追溯和管理。
   • 及时报告账户异常：如果你怀疑自己的账户被盗用（例如，收到异地登录提醒），请立即修改密码并通知IT安全团队。

第二部分：你的工作伙伴——设备安全管理

1. 保持“清洁桌面”和“锁屏”好习惯
   • 人走即锁屏：当你暂时离开座位时，哪怕只有一分钟，也请使用快捷键（Windows: Win+L, Mac: Cmd+Ctrl+Q）锁定屏幕。
   • 物理安全：在办公室下班或外出时，请确保你的笔记本电脑存放在安全的地方（如上锁的抽屉）。在咖啡馆、机场等公共场所办公时，切勿让设备离开你的视线。
   • 打印文件不乱放：打印的敏感文件应及时取走，避免被他人误拿。废弃的敏感文件应使用碎纸机销毁。
2. 软件安装与更新
   • 只用“白名单”软件：请只安装和使用公司批准的软件列表中的应用程序。如需安装列表外的软件，必须提交申请并获得IT部门批准。这能有效防止恶意软件和盗版软件带来的风险。
   • 拥抱自动更新：请确保你的操作系统和常用软件（如浏览器、办公套件）开启了自动更新功能。及时的安全补丁是抵御网络攻击最有效的手段之一。
   • 卸载不必要的软件：定期清理你的电脑，卸载不再使用的软件，减少潜在的安全攻击面。
3. 外部设备，谨慎连接
   • 来源不明的U盘是“特洛伊木马”：严禁将任何来源不明的U盘、移动硬盘或其他USB设备连接到你的工作电脑。
   • 公司设备专用：请使用公司统一发放的、经过安全扫描的移动存储设备。在首次使用前，应由IT部门进行格式化和安全配置。
   • 数据拷贝需谨慎：将公司数据拷贝到移动设备前，请确认其必要性，并确保数据已加密。

第三部分：我们的核心资产——数据安全

1. 识别和处理敏感数据
   • 了解数据等级：你需要能识别什么是客户个人信息、财务数据、技术源码、战略规划等敏感数据。如果不确定，请咨询你的上级或数据保护官。
   • 加密是标配：对于存储在本地或移动设备上的所有敏感文件，必须使用公司提供的加密工具进行加密。
   • 命名清晰：在文件名或邮件标题中适当标识敏感性（如[内部秘密]），以提醒接收者注意。
2. 安全的数据存储与分享
   • 云端优先：请优先将工作文件存储在公司指定的云存储（如OneDrive, Google Drive）或内部文件服务器上。这些平台有专业的安全防护和自动备份机制。
   • 本地存储是例外：尽量避免将重要文件长时间存放在本地电脑的桌面上或“我的文档”中，以防设备丢失或损坏导致数据永久丢失。
   • 用链接代替附件：分享文件时，优先使用云存储的“分享链接”功能，并设置查看/编辑权限和有效期。这比通过邮件发送附件更安全、更可控。
   • 禁止使用个人网盘：严禁使用个人百度云、Dropbox等非公司许可的网盘存储或传输任何工作文件。

第四部分：畅游网络世界——安全行为准则

1. 警惕“钓鱼”邮件和社交工程
   • 核实发件人：对于要求你提供密码、点击链接或下载附件的意外邮件，务必仔细核实发件人地址是否真实可信。
   • 悬停查看链接：在点击任何链接前，将鼠标悬停在上面，预览其真实网址。如果看起来可疑，切勿点击。
   • “天上不会掉馅饼”：对那些听起来好得令人难以置信的优惠、中奖信息或紧急请求保持高度警惕。
   • 有疑虑，就上报：如果你收到疑似钓鱼邮件，请不要回复、点击或删除，直接将其作为附件转发给IT安全团队进行分析。
2. 公共网络中的自我保护
   • VPN是你的隐身衣：当你在家、咖啡馆、酒店或机场等外部网络环境下办公时，必须始终连接公司的VPN。VPN会为你和公司网络之间建立一条加密的安全通道。
   • 不信任公共Wi-Fi：避免在公共Wi-Fi上处理高度敏感的工作。如果必须使用，确保VPN已连接。

第五部分：当意外发生时——安全事件响应

1. 发现异常？立即报告！
   • 如果你发现以下任何情况，请不要惊慌，也不要尝试自行解决，应立即联系IT支持或安全团队：
     • 电脑运行异常缓慢，频繁弹出广告或出现奇怪的提示。
     • 怀疑自己的账户密码已泄露。
     • 丢失了存有公司数据的笔记本电脑或U盘。
     • 不小心点击了钓鱼邮件中的链接或打开了恶意附件。
     • 发现任何潜在的信息泄露情况。
2. 为什么“立即报告”如此重要？
   • 黄金救援时间：安全事件的处置分秒必争。你越早报告，我们的安全团队就越有可能在损害扩大前控制住局势。
   • 你不是一个人在战斗：我们有一个专业的团队来处理这些问题。隐瞒或延迟报告只会让问题变得更糟。公司鼓励主动报告，不会因此惩罚无意犯错的员工。

结语
安全是一种文化，一种习惯。感谢你花时间阅读并理解这份指南。让我们将这些准则融入日常工作，像保护自己的财产一样保护公司的信息资产。如果你有任何疑问或建议，欢迎随时与IT安全团队沟通。安全之路，我们并肩同行。