检察院涉密信息系统运行与开发管理规定.docx

《检察院涉密信息系统运行与开发管理规定.docx》由会员分享，可在线阅读，更多相关《检察院涉密信息系统运行与开发管理规定.docx（3页珍藏版）》请在课桌文档上搜索。

1、XX区人民检察院涉密信息系统运行与开发管理规定第一章运行使用第一条策略规则审核在保密办的监督下，本院涉密信息系统安全管理员定期对系统内使用的权限分配、信息分类、用户分类、安全保密设备的安全策略规则等进行审核，确保信息系统安全。第二条软件安装控制本院对涉密信息系统内的软件安装进行集中管理，软件安装需申请审批后，方可安装。严禁用户私自安装与工作无关的软件、程序。第三条系统变更管理（一）本院涉密信息系统在系统规模、用户数量变化的情况下，需要组织重新进行风险评估，及时调整涉密信息系统的配置及保护策略。（二）系统管理员定期对系统安全性能进行检测，根据检测结果调整系统配置。（三）系统配置及策略变更需经过院

2、保密部门及技术科的确认，并记录系统变更日志。第四条安全保密监管本院涉密信息系统安全保密审计员应定期采用技术手段对系统的运行情况和用户操作行为进行安全保密法规、国家保密标准符合性方面的检查，及时发现违规操作和信息系统可能存在的安全隐患。第五条文档资料更新系统管理员、安全管理员和安全保密审计员在日常保密管理过程中，在系统变更或调整策略时，应及时更新系统文档资料，使之与实际状况保持一致。第二章安全审计第六条安全审计员主要负责对系统管理员、安全保密管理员的操作行为进行审计跟踪分析和监督检查，及时发现违规行为，并定期向保密办汇报相关情况；第七条安全审计员负责定期（一个月）审查安全保密管理员对各部门工作人

3、员访问权限的管理、网络攻击、探测和入侵检测等记录，并留存审查记录；第八条安全审计员负责定期（一个月）审查安全保密管理员对系统日志的记录情况，系统管理员对数据备份的情况，并留存审查记录。第三章应用系统开发第九条安全同步开发在组织开发用于处理涉密信息的业务应用系统时，应按照BMB172006中8.3”信息安全保密要求”要求，从身份鉴别、访问控制和安全审计等方面进行安全保密功能的同步开发。身份鉴别要求结合本院网络信任体系，充分利用现有资源，将现有数字证书（USBKey为载体）推广于应用系统的身份认证。访问控制要求按照强制访问控制的要求，从访问控制的主体和客户两方面着手，做到能够较细粒度的制定访问控制

4、策略。安全审计要求按照系统管理员、安全管理员和安全保密审计员的职责要求，应用系统能够自行审计系统管理员、安全管理员的操作日志，该日志信息由安全保密审计员负责查看和分析，且日志记录不可删除。第十条开发环境分离涉密信息系统开发、测试业务应用系统时所使用的网络环境和设备应与系统实际运行环境、设备物理分离。严禁在实际运行的涉密信息系统环境中做调试和测试。第十一条测试联调控制所有正在开发的涉密应用系统在业务测试、联调时，只能使用模拟数据进行测试，禁止使用实际涉密信息作为测试数据。第十二条后期维护管理（一）应有专人对进入现场进行后期维护或升级的服务人员全程陪同，禁止其将具有存储功能的自带设备接入系统。（二）应有专人全程陪同后期维护或升级的服务人员对系统进行操作访问，限制其对系统操作访问权限、禁止访问涉密信息。（三）对应用系统的每次维护或升级均需要做记录。