1、总则

1.1、目的

为了加强知识产权保护，防止信息数据丢失和外泄，保持信息系统库正常运行，特制定安全保密管理制度。

1.2、范围

安全保障对象包括办公场所安全，设备安全，软件安全，系统库安全，计算机及通信安全；保密对象包括档案资料，业务数据资料，信息系统库资料。

1.3、职责

XXXXX单位工作人员必须严格执行国家的有关规定和单位里的有关制度，认真管理档案、业务数据资料和数据库系统。注：如有涉密信息请各部门自行妥善管理。

2、管理细则

1. XXXXX单位的所有工作人员必须严格遵守单位里的规章制度和XXXXX单位的有关规定，认真做好档案、业务数据资料、数据库系统的管理和维护工作。
2. 未经单位领导和网络安全与信息化管理部门负责人同意，非管理人员不得进入控制机房，不得擅自操作系统服务器、镜像服务器、应用服务器、管理服务器及控制机房的其他设备。
3. 未经单位领导和XXXXX单位负责人同意，严禁任何人以任何形式向外提供数据。实行严格的安全准入制度，档案管理、信息系统管理、作业流程管理权限明确。管理者在授权范围内按资料应用程序提供数据。
4. 档案资料安全保密管理，遵循市政府下发的保密资料规定，标注为密件或内部文件的资料一律保密处理。
5. 业务数据资料、信息系统库资料，除参照执行市政府下发的保密资料规定外，还应遵循：

a)资料建档和资料派发要履行交接手续。

b)原始数据、中间数据、成果数据等，应按规定作业流程办理。数据提供方要确保数据齐全、正确、安全、可靠；要对数据进行校验，注意作业流程把关、资料完整性检查、数据杀毒处理；数据处理员要严格按照“基础地理信息系统建库技术规范” 要求作业。

c)定期对数据库进行检查、维护，发现问题及时解决和备案，保证数据库系统的正常运行。

d)未经许可数据库内的数据信息不得随意修改或删除，更不能对外提供。

e)除授权管理人员外，未经许可，任何人不能动用他人设备，不得通过网络（局域网、VPN虚拟专网、内部网等）联机调阅数据。

f)业务数据资料按规定要求进行计算机建档和处理，数据入库后要及时删除工作终端中的原有数据。

g)严格遵守XXXXX单位工作流程，不得做任何违反工作流程的操作。

h)定期对数据库的信息数据进行备份，要求每增加或更新批次，数据备份一次，包括异地热机备份和刻盘备份两种方式；每月定期刻盘两套，异地保存。

1. 软件开发要求功能齐全、操作方便、容错能力强、运行效率高、安全保密性好，建库技术标准规范、应用服务体系完善。
2. XXXXX单位办公场所要建立防火、防盗、防爆、防尘、防潮、防虫、防晒、防雷击、防断电、防腐蚀、防高温等基本防护设施。消除安全隐患，杜绝安全事故。
3. 权限管理是生产有序进行和信息资料合法利用的有效保证。任何法人或自然人只能在授权范围操作。
4. 权限管理从安全级别上分为绝密、机密、秘密；从适用对象上分为高级管理员、系统管理员、高级用户、中级用户、一般用户、特殊用户；从操作承载体上分为服务器（包括系统服务器、镜像服务器、应用服务器和管理服务器）、工作终端、用户终端；从设定内容上分为完全控制、权限设置变更废止、创建、删除、添加、编辑、更新、运行、读取、拷贝、其他操作。

a)安全级别中绝密资料内容包括用户名及密钥、信息系统库密钥、系统运行日志、控制信息资料；

b)设定内容中，完全控制是指对VPN虚拟专网中服务器（包括系统服务器、镜像服务器、应用服务器和管理服务器）、终端（包括工作终端和用户终端）有绝对控制权，包括IP地址、网关、DNS服务器地址、超级用户密码、系统库密码、操作系统、程序、信息数据的设定、修改、删除权利等；

c)高级管理员为最高权限人，设定权限为完全控制，即拥有对所有用户名及密钥管理，查看系统运行日志，拥有对服务器、终端的所有权限管理，即对绝密、机密、秘密资料拥有权限、创建、删除、添加、编辑、更新、运行、读取、拷贝及其他操作权；系统管理员权限包括对工作终端用户名及密钥管理，拥有对服务器（不包括控制服务器）和终端所有权限管理，即对机密、秘密资料拥有权限、创建、删除、添加、编辑、更新、运行、读取、拷贝及其他操作权；高级用户在本工作终端拥有对系统服务器中的机密、秘密资料进行编辑、更新、运行、读取、部分拷贝及其他操作权；中级用户在本工作终端拥有对系统服务器中的秘密资料进行更新、运行、读取、部分拷贝及其他操作权; 一般用户在本工作终端拥有对系统服务器中的秘密资料进行读取、部分拷贝及其他操作权；特殊用户在本工作终端拥有对应用服务器中的机密资料进行读取、部分拷贝及其他操作权。

1. 管理服务器中建立运行日志，以便记录系统运行痕迹。运行日志中至少包括各服务器开关记录及运行诊断情况记录；信息系统库运行情况记录；各终端访问系统服务器时的用户名、对象级别、访问内容、访问起止时间。运行日志中内容记录方式以时间为序。
2. 强化信息安全保密管理，加强安全保密意识教育。因人为原因造成信息数据泄密及安全事故，追究当事人责任；触犯法律的，依法追究。