1.信息系统、信息设备和存储设备的管理和使用应当符合国家有关保密法律法规和标准要求,禁止以下行为:
【注释】
1.应当按照岗位职能、涉密程度和对国家秘密的知悉范围,以及业务工作中接触、存储、处理涉密信息的需求,为涉密人员配发涉密信息系统用户终端等涉密信息设备和涉密存储设备。绝密级信息设备,重要以上涉密人员配备和管理;机密级信息设备,一般以上涉密人员(一般涉密人员仅能少量存储和处理机密级信息,年度不超过6份)配备和管理;秘密级信息设备,涉密人员配备和管理。非涉密人员一般不得配备、管理或者使用涉密信息系统中的涉密用户终端等涉密信息设备和涉密存储设备。
2.单位内部非涉密人员在岗位工作中,确需少量接触、存储、处理涉密信息的,经过批准,可以配备、管理或使用涉密信息系统中秘密级用户终端,或者秘密级计算机等信息设备,秘密级用户终端、秘密级计算机等信息设备中,年度存储和处理秘密级信息不得超过6份。
3.非涉密人员不得配备、管理或者使用机密级以上涉密信息设备和涉密存储设备。一般涉密人员不得配备、管理或者使用绝密级信息设备和绝密级存储设备。
4.涉密信息设备和涉密存储设备,不得存储、处理或传输高于其设备涉密等级的涉密信息。
下列行为,己在国家相关保密法律法规标准中明文禁止,任何建设、管理、使用、维护涉密信息系统和涉密计算机的个人或单位不得违反。
2.将涉密信息系统、涉密信息设备和涉密存储设备接入互联网及其他公共信息网络;
【注释】
1.涉密信息系统、涉密信息设备和涉密存储设备接入互联网及其他公共信息网络,涉密信息处于不可控状态、直接危害国家秘密安全。
2.公共信息网络是指不涉及国家秘密的各种网络(利用公共信息基础设施传输和处理公共信息的计算机、通信和社会服务信息系统。例如互联网、有线电话网、有线电视网、微波通信网、移动通信网等)和信息系统。
3.应当采用国家保密行政管理部门批准的违规外联监控等技术措施,防止涉密信息系统、涉密信息设备和涉密存储设备接入互联网及其他公共信息网络。违规外联监控系统的安装使用和功能设置应当能够及时发现和有效阻断违规外联,并具有及时报警的功能。
3.在未采取防护措施的情况下,在涉密信息系统、涉密信息设备和涉密存储设备与互联网及其他公共信息网络之间进行信息交换;
【注释】
1.在未采取防护措施的情况下,涉密信息系统、涉密信息设备和涉密存储设备与互联网及其他公共信息网络之间进行信息交换时,无法对涉密信息进行有效控制。既存在涉密信息交换到互联网及其他公共信息网络的重大风险,也存在涉密信息系统、涉密信息设备被植人“木马”等恶意破坏或窃密程序,导致涉密信息被破坏或者窃取的隐患。
2.应当采用国家保密行政管理部门批准的单向导入设备,或者使用中间转换机,向涉密信息系统和涉密信息设备导入来源于互联网及其他公共信息网络的信息、数据或者软件。
3.从涉密信以系统或涉密信息设备导出的信息、数据和软件,需要进入互联网及其他公共信息网络等非涉密信息系统或非涉密信息设备的,应当从指定的、并由专人管理的导出设备上导出,配备符合国家保密要求的监控审计产品,导出的信息和数据应当进行查验确认,并经过导出设备管理责任人签字认可。
4.移动存储设备禁止在涉密信息系统、涉密信息设备与互联网及其他公共信息网络之间交叉使用。
4.使用非涉密信息系统、非涉密信息设备和非涉密存储设备存储、处理、传输国家秘密信息;
【注释】
1.使用非涉密信息系统、非涉密信息设备和非涉密存储设备存储、处理、传输涉及国家秘密的信息,极易使国家秘密失去有效控制和保护,导致涉密信息被非授权查看和获取。
2.使用国际互联网及其他公共信息网络的信息设备存储、传输涉密信息,将直接导致涉密信息失控。
3.使用单位内部非涉密计算机或信息设备存储和处理涉密信息,将会扩大国家秘密的知悉范围,导致涉密信息被非授权查看和获取。
4.将涉密武器装备科研生产项目分解后,各分解部分应当经有权限的定密责任人认定,批准为不涉及国家秘密,并经合同甲方确认后,才可以在内部非涉密信息设备和非涉密存储设备上存储或处理。
