计算机信息系统安全保密、法律法规及国土资源计算机信息系统安全管理制度文件汇编
计算机信息系统安全保密、法律法规及国土资源计算机信息系统安全管理制度文件汇编
计算机信息系统安全保密、法律法规及国土资源计算机信息系统安全管理制度文件汇编 计算机信息系统安全保密、法律法规及国土资源计算机信息系统安全管理制度文件汇编前 言随着信息技术的飞速发展,其在国民经济各个领域已经渗透到国土资源调查评价、管理和对外服务的各个环节。加快国土资源信息化建设的步伐,已经成为当前我们工作中的紧要任务。为了规范各级国土资源信息化建设工作的安全保密行为,便于各部门掌握计算机信息系统安全保密方面的法律、法规及有关规定,我们收集了计算机信息系统安全保密管理方面的有关法规和文件,供有关人员工作使用。本汇编所称的计算机信息系统是指由计算机及其相关和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息采集、加工、存储、传输、检索等处理的人机系统。计算机信息系统的安全保护,主要是为了保障计算机及其相关和配套的设备、设施(含网络)的安全,运行环境的安全,保障信息的安全,保障计算机功能的正常发挥,以维护计算机信息系统的安全运行。本汇编对计算机信息系统安全保密管理有着重要意义。本汇编在编印过程中,得到了各方面的大力支持和帮助,谨此深表谢意!目 录
一、总 则
二、国家及省内相关法规中华人民共和国计算机信息系统安全保护条例中华人民共和国国家标准计算机信息系统安全保护等级划分准则黑龙江省计算机信息系统安全管理规定地质矿产工作中国家秘密及其密级具体范围的规定土地管理工作中国家秘密及其密级具体范围的规定
三、黑龙江省国土资源系统计算机信息系统安全管理制度管理层物理层* 物理安全管理制度* 自然灾害管理制度 * 机房安全管理制度网络层* 网络系统安全管理制度系统层* 系统操作管理制度* 系统
口令管理制度应用层* 计算机数据管理制度运行层* 系统软件、应用软件管理制度* 计算机操作人员管理制度* 安全系统运行规范* 监督管理制度 * 信息安全管理制度 1/20 156789101112 下一页尾页
一、总 则黑龙江省国土资源系统计算机信息安全保密管理制度汇编是为保证黑龙江省国土资源厅计算机信息系统的安全制定的,本制度汇编依据国家的有关规定和法律法规结合国土资源厅的实际情况制定,如有与国家相关法规、制度冲突的内容,以国家相关法规、制度为准。
二、国家及省内相关法规中华人民共和国计算机信息系统安全保护条例(1994.2.18 中华人民共和国国务院令第 147 号)第一章 总则第一条 为了保护计算机信息系统的安全,促进计算机的应用和发展,保障社会主义现代化建设的顺利进行,制定本条例。第二条 本条例所称的计算机信息系统,是指由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。第三条 计算机信息系统的安全保护,应当保障计算机及其相关的和配套的设备、设施(含网络)的安全,运行环境的安全,保障信息的安全,保障计算机功能的正常发挥,以维护计算机信息系统的安全运行。第四条 计算机信息系统的安全保护工作,重点维护国家事务、经济建设、国防建设、尖端科学技术等重要领域的计算机信息系统的安全。第五条 中华人民共和国境内的计算机信息系统的安全保护,适用本条例。未联网的微型计算机的安全保护办法,另行制定。第六条 公安部主管全国计算机信息系统安全保护工作。国家安全部、国家保密局和国务院其他有关部门,在国务院规定的职责范围内做好计算机信息系统安全保护的有关工作。第七条 任何组织或者个人,不得利用计算机信息系统从事危害国家利益、集体利益和公民合法利益的活动,不得危害计算机信息系统的安全。第二章 安全保护制度第八条 计算机信息系统的建设和应用,应当遵守法律、行政法规和国家其他有关规定。第九条 计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。第十条 计算机机房应
当符合国家标准和国家有关规定。在计算机机房附近施工,不得危害计算机信息系统的安全。第十一条 进行国际联网的计算机信息系统,由计算机信息系统的使用单位报省级以上人民政府公安机关备案。第十二条 运输、携带、邮寄计算机信息媒体进出境的,应当如实向海关申报。第十三条 计算机信息系统的使用单位应当建立健全安全管理制度,负责本单位计算机信息系统的安全保护工作。第十四条 对计算机信息系统中发生的案件,有关使用单位应当在24小时内向当地县级以上人民政府公安机关报告。第十五条 对计算机病毒和危害社会公共安全的其他有害数据的防治研究工作,由公安部归口管理。第十六条 国家对计算机信息系统安全专用产品的销售实行许可证制度。具体办法由公安部会同有关部门制定。第三章 安全监督第十七条 公安机关对计算机信息系统安全保护工作行使下列监督职权:
(一)监督、检查、指导计算机信息系统安全保护工作;(二)查处危害计算机信息系统安全的违法犯罪案件;
(三)履行计算机信息系统安全保护工作的其他监督职责。第十八条 公安机关发现影响计算机信息系统安全的隐患时,应当及时通知使用单位采取安全保护措施。第十九条 公安部在紧急情况下,可以就涉及计算机信息系统安全的特定事项发布专项通令。第四章 法律责任第二十条 违反本条例的规定,有下列行为之一的,由公安机关处以警告或者停机整顿:
(一)违反计算机信息系统安全等级保护制度,危害计算机信息系统安全的;(二)违反计算机信息系统国际联网备案制度的;
(三)不按照规定时间报告计算机信息系统中发生的案件的;(四)接到公安机关要求改进安全状况的通知后,在限期内拒不改进的;(五)有危害计算机信息系统安全的其他行为的。第二十一条 计算机机房不符合国家标准和国家其他有关规定的,或者在计算机机房附近施工
危害计算机信息系统安全的,由公安机关会同有关单位进行处理。第二十二条 运输、携带、邮寄计算机信息媒体进出境,不如实向海关申报的,由海关依照《中华人民共和国海关法》和本条例以及其他有关法律、法规的规定处理。第二十三条 故意输入计算机病毒以及其他有害数据危害计算机信息系统安全的,或者未经许可出售计算机信息系统安全专用产品的,由公安机关处以警告或者对个人处以5000元以下的罚款、对单位处以15000元以下的罚款;有违法所得的,除予以没收外,可以处以违法所得1至3倍的罚款。第二十四条 违反本条例的规定,构成违反治安管理行为的,依照《中华人民共和国治安管理处罚条例》的有关规定处罚;构成犯罪的,依法追究刑事责任。第二十五条 任何组织或者个人违反本条例的规定,给国家、集体或者他人财产造成损失的,应当依法承担民事责任。第二十六条 当事人对公安机关依照本条例所做出的具体行政行为不服的,可以依法申请行政复议或者提起行政诉讼。第二十七条 执行本条例的国家公务员利用职权,索取、收受贿赂或者有其他违法、失职行为,构成犯罪的,依法追究刑事责任;尚不构成犯罪的,给予行政处分。第五章 附则第二十八条 本条例下列用语的含义:计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。计算机信息系统安全专用产品,是指用于保护计算机信息系统安全的专用硬件和软件产品。第二十九条 军队的计算机信息系统安全保护工作,按照军队的有关法规执行。第三十条 公安部可以根据本条例制定实施办法。第三十一条 本条例自发布之日起施行 2/20 156789101112 下一页尾页本标准规定了计算机系统安全保护能力的五个等级,即:
第一级:
用户自主保护级;第二级:
系统审计保护级;第三级:
安全标记保护级;第四级:
结构化保护级;第五级:
访问验证保护级。本标准适用计算机信息系统安全保护技术能力等级的划分。计算机信息系统安全保护能力随着安全保护等级的增高,逐渐增强。2 引用标准下列标准所包含的条文,通过在本标准中引用而构成本标准的条文。本标准出版时,所示版本均为有效。所有标准都会被修订,使用本标准的各方应探讨使用下列标准最新版本的可能性。GB/T 5271 数据处理词汇 3 定义除本章定义外,其他未列出的定义见 GB/T 5271。3.1 计算机信息系统 puter information system 计算机信息系统是由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。3.2 计算机信息系统可信计算基 trusted puting base of puter information system 计算机系统内保护装置的总体,包括硬件、固件、软件和负责执行安全策略的组合体。它建立了一个基本的保护环境并提供一个可信计算系统所要求的附加用户服务。3.3 客体 object 信息的载体。3.4 主体 subject 引起信息在客体之间流动的人、进程或设备等。3.5 敏感标记 sensitivity label 表示客体安全级别并描述客体数据敏感性的一组信息,可信计算基中把敏感标记作为强制访问控制决策的依据。3.6 安全策略 security policy 有关管理、保护和发布敏感信息的法律、规定和实施细则。3.7 信道 channel 系统内的信息传输路径。3.8 隐蔽信道 covert channel 允许进程以危害系统安全策略的方式传输信息的通信信道。3.9 访问监控器 reference monitor 监控主体和客体之间授权访问关系的部件。4 等级划分准则 4.1 第一级 用户自主保护级本级的计算机信息系统可信计算基通过隔离用户与数据,使用户具备自主安全保护的能力。它具有多种形式的控制能力,对用户实施访问控制,即为用户提供可行的手段,保护用户和用户组信息,避免其他用户对数据的非法读写与破坏。4.1.1 自主访问控制计算机信息系统可信计算基定义和控制系统中命名用户对命名客体的访问。实施机制(例如:
访问控制表)允许命名用户以用户和(或)用户组的身份规定并控制客体的共享,阻止非授权用户读取敏感信息。4.1.2 身份鉴别计算机信息系统可信计算基初始执行时,首先要求用户标识自己的身
份,并使用保护机制(例如:
口令)来鉴别用户的身份,阻止非授权用户访问用户身份鉴别数据。4.1.3 数据完整性计算机信息系统可信计算基通过自主完整性策略,阻止非授权用户修改或破坏敏感信息。4.2 第二级 系统审计保护级与用户自主保护级相比,本级的计算机信息系统可使计算机实施了粒度更细的自主访问控制,它通过登录规程、审计安全性相关事件和隔离资源,使用户对自己的行为负责。4.2.1 自主访问控制计算机信息系统可信计算基定义和控制系统中命名用户对命名客体的访问。实施机制(例如:
访问控制表)允许命名用户以用户和(或)用户组的身份规定并控制客体的共享;阻止非授权用户读取敏感信息。并控制访问权限扩散。自主访问控制机制根据用户指定方式或默认方式,阻止非授权用户访问客体。访问控制的粒度是单个用户。没有存取权的用户只允许由授权用户指定对客体的访问权。4.2.2 身份鉴别计算机信息系统可使计算机初始执行时,首先要求用户标识自己的身份,并使用保护机制(例如:
口令)来鉴别用户的身份;阻止非授权用户访问用户身份鉴别数据。通过为用户提供唯一标识、计算机信息系统可使计算机能够使用户对自己的行为负责。计算机信息系统可使计算机还具备将身份标识与该用户所有可审计行为相关联的能力。4.2.3 客体重用在计算机信息系统可使计算机的空闲存储客体空间中,对客体初始指定、分配或再分配一个主体之前,撤销该客体所含信息的所有授权。当主体获得对一个已被释放的客体的访问权时,当前主体不能获得原主体活动所产生的任何信息。4.2.4 审计计算机信息系统可使计算机能创建和维护受保护客体的访问审计跟踪记录,并能阻止非授权的用户对它访问或破坏。计算机信息系统可使计算机能记录下述事件:
使用身份鉴别机制;将客体引入用户地址空间(例如:
打开文件、程序初始化);删除客体;由操作员、系统管理员或(和)系统安全管理员实施的动作,以及其他与系统安全有关的事件。对于
每一事件,其审计记录包括:
事件的日期和时间、用户、事件类型、事件是否成功。对于身份鉴别事件,审计记录包含的来源(例如:
终端标识符);对于客体引入用户地址空间的事件及客体删除事件,审计记录包含客体名。对不能由计算机信息系统可使计算机独立分辨的审计事件,审计机制提供审计记录接口,可由授权主体调用。这些审计记录区别于计算机信息系统可使计算机独立分辨的审计记录。4.2.5 数据完整性计算机信息系统可使计算机通过自主完整性策略,阻止非授权用户修改或破坏敏感信息。
3/20 156789101112 下一页尾页黑龙江省计算机信息系统安全管理规定(1997 年 8 月 5 日黑龙江省人民政府令 11 号发布 1997 年 9 月 1 日施行)第一条 为加强计算机信息系统安全管理,促进计算机的应用和发展,维护国家和社会公共利益,根据国家有关法律、法规,结合本省实际情况,制定本规定。第二条 本规定所称的计算机信息系统,是指由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行收集、加工、存储、传输、检索等处理的人机系统。第三条 本规定适用于本省行政区域内建立和利用计算...
下一篇:发生交通意外应急处理程序
