第一篇:涉密信息系统资质保密标准(大全)
涉密信息系统集成资质保密标准 适用范围
本保密标准适用于涉密信息系统集成资质申请、审查与资质单位日常保密管理。定义
2.1 本标准所称涉密人员,是指由于工作需要,在涉密信息系统集成岗位合法接触、知悉和经管国家秘密事项的人员。
2.2 本标准所称涉密载体,主要指以文字、数据、符号、图形、图像、声音等方式记载国家秘密信息的纸介质、磁介质、光盘等各类物品。磁介质载体包括计算机硬盘、软盘和录音带、录像带等。
2.3 本标准所称信息系统是指由计算机及其相关和配套设备、设施构成的,按照一定的应用目标和规则存储、处理、传输信息的系统或者网络。
2.4 本标准所称信息设备是指计算机及存储介质、打印机、传真机、复印机、扫描仪、照相机、摄像机等具有信息存储和处理功能的设备。
保密标准
3.1 保密标准实施原则
3.1.1 积极防范,突出重点,严格标准,依法管理。3.1.2 业务工作谁主管,保密工作谁负责,保密责任落实到人。
3.1.3 具备健全的管理体系,保密管理与生产经营管理相融合。
3.1.4 开展保密风险评估与管理。3.1.5 建立保密管理的持续改进机制。3.2 保密组织机构及职责 3.2.1 保密工作领导小组
3.2.1.1 资质单位应当成立保密工作领导小组,为本单位保密工作领导机构。
甲级资质单位应当设置专职保密总监,保密总监为单位领导班子成员。
3.2.1.2 甲级资质单位保密工作领导小组由单位法定代表人(或主要负责人)、保密总监和有关部门主要负责人组成。组长由法定代表人(或主要负责人)担任,副组长由保密总监担任,保密工作领导小组各成员应当有明确的职责分工。
乙级资质单位保密工作领导小组由单位法定代表人(或主要负责人)、分管保密工作负责人和有关部门主要负责人组成。组长由法定代表人(或主要负责人)担任,副组长由分管保密工作负责人担任,保密工作领导小组各成员应当有明确的职责分工。
3.2.1.3 保密工作领导小组实行例会制度。例会应当组织学习党和国家保密工作方针政策及相关保密法律法规;研究部署、总结本单位的保密工作;解决保密工作中的重要问题。例会每年不少于2次,会议应当作记录并形成会议纪要。
3.2.1.4 法定代表人(或主要负责人)为本单位保密工作第一责任人,对本单位保密工作负全面责任,履行下列职责:
(1)保证国家相关保密法律法规在本单位贯彻落实;(2)监督检查保密工作责任制的落实情况,解决保密工作中的重要问题;
(3)审核、签发单位保密管理制度;
(4)为保密工作提供人力、财力、物力等条件保障。3.2.1.5 保密总监或者分管保密工作负责人对本单位保密工作负具体领导和监督责任,履行下列职责:
(1)组织制定单位保密管理制度、保密工作计划,审定保密工作总结;
(2)监督保密工作计划落实情况,组织保密检查;(3)为保密管理办公室和保密管理人员履行职责提供保障。
3.2.1.6 涉密信息系统集成业务部门负责人对本部门的保密管理负直接领导责任,履行下列职责:
(1)严格按照工作需要,控制业务人员在工作中知悉涉密信息的范围和程度;
(2)组织开展保密风险评估,修订生产管理制度,优化业务流程,制定保密工作方案,落实保密风险防控措施;
(3)监督检查涉密信息系统集成业务管理和保密制度执行情况,督促业务人员履行保密职责;
(4)及时发现、研究解决保密管理中存在的问题。3.2.2 保密管理办公室
3.2.2.1 资质单位应当设立保密管理办公室,为本单位的职能部门,负责人由中层以上管理人员担任。
甲级资质单位保密管理办公室应当为专门机构并配备专门的保密管理人员,乙级资质单位可指定有关机构承担保密管理办公室职能。
3.2.2.2 保密管理办公室负责本单位保密工作的日常管理,履行下列职责:
(1)组织落实保密工作领导小组的工作部署,提出工作建议,拟定工作计划、总结;
(2)制定、修订保密制度;(3)参与单位各项管理制度的制定、修订工作;(4)审查、确定保密要害部门部位,指导、监督保密设施设备的建设、使用和维护管理;
(5)组织开展保密宣传教育和培训;
(6)对涉密人员履行保密职责情况进行指导监督;(7)对本单位各部门保密管理有关情况进行指导监督;(8)组织开展保密检查,针对存在的问题提出整改意见,并督促落实;
(9)报告、配合查处泄密事件;(10)管理保密工作档案;
(11)承办保密资质申请、延续、年度审查、事项变更登记等工作;
(12)承办保密工作领导小组交办的其他任务。3.2.2.3 保密管理人员应当具备下列条件:(1)具备良好的政治素质;
(2)熟悉保密法律法规,掌握保密知识技能,具有一定的管理能力;
(3)熟悉本单位业务工作和保密工作情况;(4)通过保密行政管理部门组织的培训和考核。3.3 保密制度
3.3.1 资质单位应当建立规范、操作性强的保密制度,并根据实际情况及时修订完善。保密制度的具体要求应当体现在单位相关管理制度和业务工作流程中。
3.3.2 保密制度包括以下主要方面:(1)保密工作机构设置与职责;(2)保密教育培训;(3)涉密人员管理;(4)涉密载体管理;
(5)信息系统、信息设备和保密设施设备管理;(6)涉密信息系统集成场所等保密要害部位管理;(7)涉密项目实施现场管理;(8)保密监督检查;(9)保密工作考核与奖惩;(10)泄密事件报告与查处;(11)保密风险评估与管理;(12)资质证书使用与管理。3.4 保密风险评估与管理
3.4.1 资质单位应当定期对系统集成业务、人员、资产、场所等主要管理活动进行保密风险评估。各业务部门应当按照业务流程对保密风险进行识别、分析和评估,提出具体防控措施。
3.4.2 资质单位应当将国家保密法规和标准要求、保密风险防控措施融入到管理制度和业务工作流程中,并建立相应的监督检查机制。
3.5 涉密人员管理
3.5.1 资质单位应当对从事涉密业务的人员进行审查,符合条件的方可将其确定为涉密人员。涉密人员应当通过保密教育培训,并签订保密承诺书后方能上岗。
3.5.2 涉密人员应当保守国家秘密,严格遵守各项保密规章制度,并符合以下基本条件:
(1)遵纪守法,具有良好的品行,无犯罪记录;(2)资质单位正式职工,并在其他单位无兼职;(3)社会关系清楚,本人及其配偶为中国境内公民。3.5.3 涉密人员根据所在岗位涉密情况分为核心、重要、一般三个等级,实行分类管理。涉密等级发生变化时,应当履行审批程序。
3.5.4 资质单位与涉密人员签订的劳动合同或补充协议,应当包括以下内容:
(1)涉密人员的权利与义务;
(2)涉密人员应当遵守的保密纪律和有关限制性规定;(3)因履行保密职责导致涉密人员利益受到损害,资质单位给予补偿的规定;
(4)涉密人员因违反保密规定而被无条件调离涉密岗位或给予辞退等处罚的规定;
(5)因认真履行保密职责,资质单位给予涉密人员奖励的规定;
(6)涉密人员应当遵守的其他有关事项。
3.5.5 资质单位应当将涉密人员基本情况和调整变动情况向所在地省、自治区、直辖市保密行政管理部门备案。
3.5.6 在岗涉密人员每年参加保密教育与保密知识、技能培训的时间不少于10个学时。
3.5.7 资质单位应当对在岗涉密人员进行定期考核评价。
3.5.8 资质单位应当向涉密人员发放保密补贴。3.5.9 涉密人员离岗离职须经资质单位保密审查,签订保密承诺书,并按相关保密规定实行脱密期管理。
3.5.10 涉密人员因私出国(境)的,应当经资质单位同意,出国(境)前应当经过保密教育。擅自出境或逾期不归的,资质单位应当及时报告保密行政管理部门。
3.5.11 涉密人员泄露国家秘密或严重违反保密规章制度的,应当调离涉密岗位,并追究其法律责任。
3.6 涉密载体管理
3.6.1 资质单位应当按照工作需要,严格控制涉密载体的接触范围和涉密信息的知悉程度。3.6.2 资质单位应当建立涉密载体台帐,台帐应当包括载体名称、编号、密级、保密期限等信息。
3.6.3 接收、制作、交付、传递、保存、维修、销毁涉密载体,应当遵守国家相关保密规定,履行签收、登记、审批手续。
3.6.4 复制本单位产生的涉密载体,应当经单位相关部门审批;复制其他涉密载体,应当经涉密载体制发机关、单位或所在地省、自治区、直辖市保密行政管理部门批准。涉密载体复制场所应当符合保密要求,采取可靠的保密措施;不具备复制条件的,应当到保密行政管理部门审查批准的定点单位复制。
3.6.5 机密、秘密级涉密载体应当存放在密码文件柜中,绝密级涉密载体应当存放在密码保险柜中。存放场所应当符合保密要求。
3.6.6 未经批准,个人不得私自留存涉密载体和涉密信息资料。确因工作需要保存的,应当建立个人台帐,内容包括载体密级、留存原因、审批部门或人员、留存期限等内容。
3.6.7 携带涉密载体外出,应当履行审批手续,采取可靠的保密措施,并确保涉密载体始终处于携带人的有效控制下。
3.6.8 资质单位应当定期对涉密载体进行清查。需要销毁的涉密载体应当履行清点、登记、审批手续,送交保密行政管理部门设立的销毁工作机构或者保密行政管理部门指定的单位销毁;确因工作需要,自行销毁少量秘密载体的,应当使用符合国家保密标准的销毁设备和方法。
3.7 信息系统与信息设备管理
3.7.1 涉密信息系统的规划、建设、使用等应当符合国家有关保密规定。涉密信息系统应当按照国家保密规定和标准,制定分级保护方案,采取身份鉴别、访问控制、安全审计、边界安全防护、信息流转控制等安全保密防护措施。
3.7.2 涉密信息设备应当符合国家保密标准,有密级、编号、责任人标识,并建立管理台帐。
3.7.3 涉密计算机、移动存储介质应当按照存储、处理信息的最高密级进行管理与防护。
3.7.4 涉密信息设备的使用应当符合相关保密规定。禁止涉密信息设备接入互联网及其他公共信息网络;禁止涉密信息设备接入内部非涉密信息系统;禁止使用非涉密信息设备和个人设备存储、处理涉密信息;禁止超越计算机、移动存储介质的涉密等级存储、处理涉密信息;禁止在涉密计算机和非涉密计算机之间交叉使用移动存储介质;禁止在涉密计算机与非涉密计算机之间共用打印机、扫描仪等信息设备。3.7.5 涉密信息设备应当采取身份鉴别、访问控制、违规外联监控、安全审计、移动存储介质管控等安全保密措施,并及时升级病毒和恶意代码样本库,定期进行病毒和恶意代码查杀。
3.7.6 采购安全保密产品应当选用经过国家保密行政管理部门授权机构检测、符合国家保密标准要求的产品,计算机病毒防护产品应当选用公安机关批准的国产产品,密码产品应当选用国家密码管理部门批准的产品。
3.7.7 涉密信息打印、刻录等输出应当相对集中、有效控制,并采取相应审计措施。
3.7.8 涉密计算机及办公自动化设备应当拆除具有无线联网功能的硬件模块,禁止使用具有无线互联功能或配备无线键盘、无线鼠标等无线外围装置的信息设备处理国家秘密。
3.7.9 涉密信息设备的维修,应当在本单位内部进行,并指定专人全程监督,严禁维修人员读取或复制涉密信息。确需送外维修的,须拆除涉密信息存储部件。涉密存储介质的数据恢复应当到国家保密行政管理部门批准的单位进行。
3.7.10 涉密信息设备改作非涉密信息设备使用或淘汰处理时,应当将涉密信息存储部件拆除。淘汰处理涉密存储介质和涉密信息存储部件,应当按照国家秘密载体销毁有关规定执行。
3.7.11 涉密计算机及移动存储介质携带外出应履行审批手续,带出前和带回后,均应当进行保密检查。
3.8 涉密办公场所保密管理
3.8.1 资质单位的涉密办公场所应当固定在相对独立的楼层或区域。
3.8.2 涉密办公场所应当安装门禁、视频监控、防盗报警等安防系统,实行封闭式管理。监控机房应当安排人员值守。
3.8.3 建立视频监控的管理检查机制,资质单位安全保卫部门应当定期对视频监控信息进行回看检查,保密管理办公室应当对执行情况进行监督。视频监控信息保存时间不少于3个月。
3.8.4 门禁系统、视频监控系统和防盗报警系统等应当定期检查维护,确保系统处于有效工作状态。
3.8.5 涉密办公场所应当明确允许进入的人员范围,其他人员进入,应当履行审批、登记手续,并由接待人员全程陪同。
3.8.6 未经批准,不得将具有录音、录像、拍照、存储、通信功能的设备带入涉密办公场所。
3.9 涉密信息系统集成项目管理 3.9.1 资质单位应当按照资质等级、类别承接涉密信息系统集成业务。不得将资质证书出借或转让。不得将承接的涉密信息系统集成业务分包或转包给不具备相应资质的单位。
3.9.2 资质单位与其他单位合作开展涉密信息系统集成业务的,合作单位应当具有相应涉密信息系统集成资质,且应当取得委托方书面同意。
3.9.3 资质单位承接涉密信息系统集成项目的,应当在签订合同后,向项目所在地省、自治区、直辖市保密行政管理部门备案,接受保密监督管理。
涉密信息系统集成项目完成后,资质单位应当向项目所在地省、自治区、直辖市保密行政管理部门书面报告项目建设情况。
3.9.4 资质单位应当对涉密信息系统集成项目实行全过程管理,明确岗位责任,落实各环节安全保密措施,确保管理全程可控可查。
3.9.5 资质单位应当按照涉密信息系统集成项目的密级,对用户需求文档、设计方案、图纸、程序编码等技术资料和项目合同书、保密协议、验收报告等业务资料是否属于国家秘密或者属于何种密级进行确定。属于国家秘密的,应当标明密级,登记编号,明确知悉范围。3.9.6 涉密信息系统集成项目实施期间,项目负责人对项目的安全保密负总体责任,应当按照工作需要,严格控制涉密载体的接触范围和涉密信息的知悉程度。
3.9.7 资质单位应当对参与涉密信息系统集成项目的管理人员、技术人员和工程施工人员进行登记备案,对其分工作出详细记录。
3.9.8 涉密信息系统集成项目实施验收后,资质单位应当将涉密技术资料全部移交委托方,不得私自留存或擅自处理。需要保留的业务资料,应当严格按照有关保密规定进行管理。
3.9.9 涉密信息系统集成项目的设计方案、研发成果及有关建设情况,资质单位及其工作人员不得擅自以任何形式公开发表、交流或转让。
3.9.10 资质单位在与境外人员或机构进行交流合作时,应当严格遵守有关保密规定,交流材料不得涉及涉密信息系统集成项目的相关情况。
3.9.11 资质单位利用涉密信息系统集成项目申请专利,应当严格遵守有关保密规定。
秘密级和机密级的项目,应当按照法定程序审批后申请保密专利,符合专利申请条件的,应当按照有关规定办理解密手续;绝密级的项目,在保密期限内不得申请专利或者保密专利。
3.10 涉密项目实施现场管理
3.10.1 资质单位进入委托方现场进行涉密信息系统集成项目开发、工程施工、运行维护等应当严格执行现场工作制度和流程。
3.10.2 从事现场项目开发、工程施工、运行维护的人员应当是资质单位确定的涉密人员。
3.10.3 现场项目开发、工程施工、运行维护应当在委托方的监督下进行。未经委托方检查和书面批准,不得将任何电子设备带入涉密项目现场。
3.10.4 资质单位应当对现场项目开发、工程施工、运行维护的工作情况进行详细记录并存档备查。
3.11 宣传报道管理
3.11.1 资质单位通过媒体、互联网等渠道对外发布信息,应当经资质单位相关部门审查批准。
3.11.2 资质单位涉及涉密信息系统集成项目的宣传报道、展览、公开发表著作和论文等,应当经委托方批准。
3.12 保密检查
3.12.1 资质单位应当定期对保密管理制度落实情况、技术防范措施落实情况等进行检查,及时发现和消除隐患。
3.12.2 保密检查应当进行书面记录,内容包括:检查时间、检查人、检查对象、检查事项、存在问题、整改措施及落实情况等。
3.13 泄密事件处理
3.13.1 资质单位发生泄密事件,应当立即采取补救措施,并在发现后24小时内书面向所在地保密行政管理部门报告。内容包括:
(1)所泄露信息的内容、密级、数量及其载体形式;(2)泄密事件的发现经过;
(3)泄密事件发生的时间、地点和经过;
(4)泄密责任人的基本情况;
(5)泄密事件造成或可能造成的危害;(6)已采取或拟采取的补救措施。
3.13.2 资质单位应当配合保密行政管理部门对泄密事件进行查处,不得隐瞒情况或包庇当事人。
3.14 保密工作考核与奖惩
3.14.1 资质单位应当将员工遵守保密制度、履行保密职责的情况纳入绩效考核内容,考核结果作为发放保密补贴和评选先进的依据。
3.14.2 资质单位应当对严格执行保密规章的集体和个人给予表彰奖励。
3.14.3 资质单位应当对违反保密法规制度的有关责任人给予相应处罚;泄露国家秘密的,应当按照有关规定作出处理。
3.15 保密工作经费
3.15.1 保密工作经费分为保密管理经费和保密专项经费。保密管理经费用于单位保密宣传教育培训、发放保密补贴、奖励保密先进、保密检查等日常保密管理工作;专项经费用于保密设施设备的建设、配备、维护等。
3.15.2 甲级资质单位保密管理经费,年度标准不少于5万元;乙级资质单位保密管理经费,年度标准不少于3万元。保密管理经费应当单独列入单位年度财务预算,专款专用,保证开支。
3.15.3 保密专项经费应当按实际需要予以保障。3.16 保密工作档案
3.16.1 资质单位应当建立保密工作档案,记录日常保密工作情况。
3.16.2保密工作档案的内容应当真实、完整,全面反映保密工作情况,并能够与相关工作档案相互印证。
3.17 本保密标准未明确涉密事项的保密管理,须严格执行国家有关保密规定。
第二篇:涉密信息系统集成资质保密标准
涉密信息系统集成资质保密标准
(2015年6月2日发布的新版本)
适用范围 本保密标准适用于涉密信息系统集成资质申请、审查与资质单位日常保密管理。
定义
2.1 本标准所称涉密人员,是指由于工作需要,在涉密信息系统集成岗位合法接触、知悉和经管国家秘密事项的人员。
2.2 本标准所称涉密载体,主要指以文字、数据、符号、图形、图像、声音等方式记载国家秘密信息的纸介质、磁介质、光盘等各类物品。磁介质载体包括计算机硬盘、软盘和录音带、录像带等。
2.3 本标准所称信息系统是指由计算机及其相关和配套设备、设施构成的,按照一定的应用目标和规则存储、处理、传输信息的系统或者网络。
2.4 本标准所称信息设备是指计算机及存储介质、打印机、传真机、复印机、扫描仪、照相机、摄像机等具有信息存储和处理功能的设备。保密标准
3.3.2 保密制度包括以下主要方面:
(1)保密工作机构设置与职责;
(2)保密教育培训;
(3)涉密人员管理;
(4)涉密载体管理;
(5)信息系统、信息设备和保密设施设备管理;
(6)涉密信息系统集成场所等保密要害部位管理;
(7)涉密项目实施现场管理;
(8)保密监督检查;
(9)保密工作考核与奖惩;
(10)泄密事件报告与查处;
(11)保密风险评估与管理;
(12)资质证书使用与管理。
3.4 保密风险评估与管理
3.4.1 资质单位应当定期对系统集成业务、人员、资产、场所等主要管理活动进行保密风险评估。各业务部门应当按照业务流程对保密风险进行识别、分析和评估,提出具体防控措施。
3.4.2 资质单位应当将国家保密法规和标准要求、保密风险防控措施融入到管理制度和业务工作流程中,并建立相应的监督检查机制。
3.5 涉密人员管理
3.5.1 资质单位应当对从事涉密业务的人员进行审查,符合条件的方可将其 确定为涉密人员。涉密人员应当通过保密教育培训,并签订保密承诺书后方能上
岗。
3.5.2 涉密人员应当保守国家秘密,严格遵守各项保密规章制度,并符合以下基本条件:
(1)遵纪守法,具有良好的品行,无犯罪记录;
(2)资质单位正式职工,并在其他单位无兼职;
(3)社会关系清楚,本人及其配偶为中国境内公民。
3.5.3 涉密人员根据所在岗位涉密情况分为核心、重要、一般三个等级,实行分类管理。涉密等级发生变化时,应当履行审批程序。
3.5.4 资质单位与涉密人员签订的劳动合同或补充协议,应当包括以下内容:
(1)涉密人员的权利与义务;
(2)涉密人员应当遵守的保密纪律和有关限制性规定;
(3)因履行保密职责导致涉密人员利益受到损害,资质单位给予补偿的规定;
(4)涉密人员因违反保密规定而被无条件调离涉密岗位或给予辞退等处罚的规定;
(5)因认真履行保密职责,资质单位给予涉密人员奖励的规定;
(6)涉密人员应当遵守的其他有关事项。
3.5.5 资质单位应当将涉密人员基本情况和调整变动情况向所在地省、自治
区、直辖市保密行政管理部门备案。
3.5.6 在岗涉密人员每年参加保密教育与保密知识、技能培训的时间不少于10个学时。
3.5.7 资质单位应当对在岗涉密人员进行定期考核评价。
3.5.8 资质单位应当向涉密人员发放保密补贴。
3.5.9 涉密人员离岗离职须经资质单位保密审查,签订保密承诺书,并按相关保密规定实行脱密期管理。
3.5.10
涉密人员因私出国(境)的,应当经资质单位同意,出国(境)前应当经过保密教育。擅自出境或逾期不归的,资质单位应当及时报告保密行政管理部门。
3.5.11 涉密人员泄露国家秘密或严重违反保密规章制度的,应当调离涉密岗位,并追究其法律责任。3.6 涉密载体管理
3.6.1 资质单位应当按照工作需要,严格控制涉密载体的接触范围和涉密信息的知悉程度。
3.6.2 资质单位应当建立涉密载体台帐,台帐应当包括载体名称、编号、密级、保密期限等信息。
3.6.3 接收、制作、交付、传递、保存、维修、销毁涉密载体,应当遵守国家相关保密规定,履行签收、登记、审批手续。
3.6.4 复制本单位产生的涉密载体,应当经单位相关部门审批;复制其他涉密载体,应当经涉密载体制发机关、单位或所在地省、自治区、直辖市保密行政管理部门批准。涉密载体复制场所应当符合保密要求,采取可靠的保密措施;不具备复制条件的,应当到保密行政管理部门审查批准的定点单位复制。
3.6.5 机密、秘密级涉密载体应当存放在密码文件柜中,绝密级涉密载体应当存放在密码保险柜中。存放场所应当符合保密要求。
3.6.6 未经批准,个人不得私自留存涉密载体和涉密信息资料。确因工作需要保存的,应当建立个人台帐,内容包括载体密级、留存原因、审批部门或人员、留存期限等内容。
3.6.7 携带涉密载体外出,应当履行审批手续,采取可靠的保密措施,并确保涉密载体始终处于携带人的有效控制下。
3.6.8 资质单位应当定期对涉密载体进行清查。需要销毁的涉密载体应当履行清点、登记、审批手续,送交保密行政管理部门设立的销毁工作机构或者保密行政管理部门指定的单位销毁;确因工作需要,自行销毁少量秘密载体的,应当使用符合国家保密标准的销毁设备和方法。
3.7 信息系统与信息设备管理
3.7.1 涉密信息系统的规划、建设、使用等应当符合国家有关保密规定。涉密信息系统应当按照国家保密规定和标准,制定分级保护方案,采取身份鉴别、访问控制、安全审计、边界安全防护、信息流转控制等安全保密防护措施。
3.7.2 涉密信息设备应当符合国家保密标准,有密级、编号、责任人标识,并建立管理台帐。
3.7.3 涉密计算机、移动存储介质应当按照存储、处理信息的最高密级进行管理与防护。3.7.4 涉密信息设备的使用应当符合相关保密规定。禁止涉密信息设备接入互联网及其他公共信息网络;禁止涉密信息设备接入内部非涉密信息系统;禁止使用非涉密信息设备和个人设备存储、处理涉密信息;禁止超越计算机、移动存储介质的涉密等级存储、处理涉密信息;禁止在涉密计算机和非涉密计算机之间交叉使用移动存储介质;禁止在涉密计算机与非涉密计算机之间共用打印机、扫描仪等信息设备。
3.7.5 涉密信息设备应当采取身份鉴别、访问控制、违规外联监控、安全审计、移动存储介质管控等安全保密措施,并及时升级病毒和恶意代码样本库,定期进行病毒和恶意代码查杀。
3.7.6 采购安全保密产品应当选用经过国家保密行政管理部门授权机构检测、符合国家保密标准要求的产品,计算机病毒防护产品应当选用公安机关批准的国产产品,密码产品应当选用国家密码管理部门批准的产品。
3.7.7 涉密信息打印、刻录等输出应当相对集中、有效控制,并采取相应审计措施。
3.7.8 涉密计算机及办公自动化设备应当拆除具有无线联网功能的硬件模块,禁止使用具有无线互联功能或配备无线键盘、无线鼠标等无线外围装置的信息设备处理国家秘密。
3.7.9 涉密信息设备的维修,应当在本单位内部进行,并指定专人全程监督,严禁维修人员读取或复制涉密信息。确需送外维修的,须拆除涉密信息存储部件。涉密存储介质的数据恢复应当到国家保密行政管理部门批准的单位进行。
3.7.10 涉密信息设备改作非涉密信息设备使用或淘汰处理时,应当将涉密信息存储部件拆除。淘汰处理涉密存储介质和涉密信息存储部件,应当按照国家秘密载体销毁有关规定执行。
3.7.11 涉密计算机及移动存储介质携带外出应履行审批手续,带出前和带回后,均应当进行保密检查。
3.8 涉密办公场所保密管理
3.8.1 资质单位的涉密办公场所应当固定在相对独立的楼层或区域。
3.8.2 涉密办公场所应当安装门禁、视频监控、防盗报警等安防系统,实行封闭式管理。监控机房应当安排人员值守。3.8.3 建立视频监控的管理检查机制,资质单位安全保卫部门应当定期对视频监控信息进行回看检查,保密管理办公室应当对执行情况进行监督。视频监控信息保存时间不少于3个月。
3.8.4 门禁系统、视频监控系统和防盗报警系统等应当定期检查维护,确保系统处于有效工作状态。
3.8.5 涉密办公场所应当明确允许进入的人员范围,其他人员进入,应当履行审批、登记手续,并由接待人员全程陪同。
3.8.6 未经批准,不得将具有录音、录像、拍照、存储、通信功能的设备带入涉密办公场所。
3.9 涉密信息系统集成项目管理
3.9.1 资质单位应当按照资质等级、类别承接涉密信息系统集成业务。不得将资质证书出借或转让。不得将承接的涉密信息系统集成业务分包或转包给不具备相应资质的单位。
3.9.2 资质单位与其他单位合作开展涉密信息系统集成业务的,合作单位应当具有相应涉密信息系统集成资质,且应当取得委托方书面同意。
3.9.3 资质单位承接涉密信息系统集成项目的,应当在签订合同后,向项目所在地省、自治区、直辖市保密行政管理部门备案,接受保密监督管理。涉密信息系统集成项目完成后,资质单位应当向项目所在地省、自治区、直辖市保密行政管理部门书面报告项目建设情况。
3.9.4 资质单位应当对涉密信息系统集成项目实行全过程管理,明确岗位责任,落实各环节安全保密措施,确保管理全程可控可查。
3.9.5 资质单位应当按照涉密信息系统集成项目的密级,对用户需求文档、设计方案、图纸、程序编码等技术资料和项目合同书、保密协议、验收报告等业务资料是否属于国家秘密或者属于何种密级进行确定。属于国家秘密的,应当标明密级,登记编号,明确知悉范围。
3.9.6 涉密信息系统集成项目实施期间,项目负责人对项目的安全保密负总体责任,应当按照工作需要,严格控制涉密载体的接触范围和涉密信息的知悉程度。
3.9.7 资质单位应当对参与涉密信息系统集成项目的管理人员、技术人员和工程施工人员进行登记备案,对其分工作出详细记录。3.9.8 涉密信息系统集成项目实施验收后,资质单位应当将涉密技术资料全部移交委托方,不得私自留存或擅自处理。需要保留的业务资料,应当严格按照有关保密规定进行管理。
3.9.9 涉密信息系统集成项目的设计方案、研发成果及有关建设情况,资质单位及其工作人员不得擅自以任何形式公开发表、交流或转让。
3.9.10 资质单位在与境外人员或机构进行交流合作时,应当严格遵守有关保密规定,交流材料不得涉及涉密信息系统集成项目的相关情况。
3.9.11 资质单位利用涉密信息系统集成项目申请专利,应当严格遵守有关保密规定。秘密级和机密级的项目,应当按照法定程序审批后申请保密专利,符合专利申请条件的,应当按照有关规定办理解密手续;绝密级的项目,在保密期限内不得申请专利或者保密专利。
3.10 涉密项目实施现场管理
3.10.1 资质单位进入委托方现场进行涉密信息系统集成项目开发、工程施工、运行维护等应当严格执行现场工作制度和流程。
3.10.2 从事现场项目开发、工程施工、运行维护的人员应当是资质单位确定的涉密人员。
3.10.3 现场项目开发、工程施工、运行维护应当在委托方的监督下进行。未经委托方检查和书面批准,不得将任何电子设备带入涉密项目现场。
3.10.4 资质单位应当对现场项目开发、工程施工、运行维护的工作情况进行详细记录并存档备查。
3.11 宣传报道管理
3.11.1 资质单位通过媒体、互联网等渠道对外发布信息,应当经资质单位相关部门审查批准。
3.11.2 资质单位涉及涉密信息系统集成项目的宣传报道、展览、公开发表著作和论文等,应当经委托方批准。
3.12 保密检查
3.12.1 资质单位应当定期对保密管理制度落实情况、技术防范措施落实情况等进行检查,及时发现和消除隐患。3.12.2 保密检查应当进行书面记录,内容包括:检查时间、检查人、检查对象、检查事项、存在问题、整改措施及落实情况等。
3.13 泄密事件处理
3.13.1 资质单位发生泄密事件,应当立即采取补救措施,并在发现后24小时内书面向所在地保密行政管理部门报告。内容包括:
(1)所泄露信息的内容、密级、数量及其载体形式;
(2)泄密事件的发现经过;
(3)泄密事件发生的时间、地点和经过;
(4)泄密责任人的基本情况;
(5)泄密事件造成或可能造成的危害;
(6)已采取或拟采取的补救措施。
3.13.2 资质单位应当配合保密行政管理部门对泄密事件进行查处,不得隐瞒情况或包庇当事人。
3.14 保密工作考核与奖惩
3.14.1 资质单位应当将员工遵守保密制度、履行保密职责的情况纳入绩效考核内容,考核结果作为发放保密补贴和评选先进的依据。
3.14.2 资质单位应当对严格执行保密规章的集体和个人给予表彰奖励。
3.14.3 资质单位应当对违反保密法规制度的有关责任人给予相应处罚;泄露国家秘密的,应当按照有关规定作出处理。
3.15 保密工作经费
3.15.1 保密工作经费分为保密管理经费和保密专项经费。保密管理经费用于单位保密宣传教育培训、发放保密补贴、奖励保密先进、保密检查等日常保密管理工作;专项经费用于保密设施设备的建设、配备、维护等。
3.15.2 甲级资质单位保密管理经费,标准不少于5万元;乙级资质单位保密管理经费,标准不少于3万元。保密管理经费应当单独列入单位财务预算,专款专用,保证开支。
3.15.3 保密专项经费应当按实际需要予以保障。
3.16 保密工作档案
3.16.1 资质单位应当建立保密工作档案,记录日常保密工作情况。3.16.2保密工作档案的内容应当真实、完整,全面反映保密工作情况,并能够与相关工作档案相互印证。
3.17 本保密标准未明确涉密事项的保密管理,须严格执行国家有关保密规定。
第三篇:涉密信息系统保密管理探讨(模版)
涉密信息系统安全保密管理探讨
摘要:本文通过分析信息化条件下涉密信息系统保密管理与技术的关系,结合目前涉密信息系统保密管理的现状与问题,根据涉密信息分级保护标准规范要求,从宏观层面初步探讨提出了当前形势下涉密信息系统保密管理的原则、基本思路与方法,并提出了相应的建议。
关键词:涉密信息系统 分级保护 信息系统建设生命周期
一、引言
涉密计算机信息系统(以下简称涉密信息系统)是指涉及国家秘密和党政机关工作秘密的计算机信息系统,主要包括党政军领导机关用于处理涉密信息的单机和用于内部办公自动化或涉密信息交换的信息系统;也包括企事业单位涉及国家秘密的信息系统。当前,随着我国党政军领导机关和国防科研军工单位信息化进程的全面加快,保密管理的对象、领域、方式和环境发生了深刻变化,在知密范围、涉密行为以及涉密人员的界定和管控等方面,出现了许多新的问题,传统的保密管理措施已经不能适应新形势下保密工作发展的要求,由于涉密单位的业务特殊性,如何对涉密信息系统进行科学有效的保密管理,已经成为涉密信息系统建设使用单位急需解决的问题,迫切需要新的管理思路与办法。
二、涉密信息系统保密管理与技术的关系
在网络环境下,国家秘密的存储、处理和流转方式发生了根本性变化,涉密电子文件易复制、易传播的特点,使得泄密渠道增多,一旦发生泄密情况,则扩散速度快,涉及范围广,且不易被发觉,危害特别大。面对信息化条件下保密工作新形势,传统的纸质涉密文件的保密管理措施已经不能完全适应新形势下保密工作发展的要求,涉密信息系统的保密管理亟需提升技术支撑能力。在当前的形势下,可以说技术与管理是涉密信息系统安全保障的两个支撑要素,二者相辅相成,缺一不可:即使非常严密的管理,没有技术手段支撑,也保证不了安全;无论多么先进保密技术,没有管理措施保障,也不能发挥应有的作用。但在具备了一定技术手段的前提下,管理则成为决定因素。因此,各涉密单位应当根据涉密信息系统自身的特点,制定出具有针对性和可操作性的管理措施,并严格执行。
三、涉密信息系统保密管理的现状与问题
随着我国综合国力不断增强和国际战略地位显著提高,我国已成为各种情报窃密的重点目标,境内外敌对势力和国外情报机构加紧对我实施全方位的信息监测和情报战略,窃密活动十分猖獗,各级党政军机关、国防军工科研生产单位作为国家秘密的主要生成区、密集区,更是成为敌对势力窃密的重点对象。但目前我国涉密信息系统建设使用单位保密管理水平比较低,与形势的发展很不适应,急需进一步加强。就拿航宇公司为例,该公司先后建立的涉密应用系统有:OA系统,CAPP系统,ERP系统,档案管理系统,PDM系统等,这些系统在建设、规划和保密管理中存在的问题主要表现在以下几个方面:
(一)涉密信息系统定密的随意性、不准确问题
目前该公司很多涉密信息系统定密比较随意,不准确,界定不清楚,甚至很多涉密人员都不清楚自己管理的应用系统的密级别。究其原因主要是没有严格确定定密责任,缺乏专业定密人员,定密依据不够明确和细化,定密程序不规范等。
(二)涉密信息系统安全保密工作 “重技术、轻管理”的现象比较突出
目前公司很多涉密信息系统的安全保密方案只注重安全保密技术建设,过于依赖技术来实现保密要求,而忽略保密管理的重要性。由于缺乏有针对性的保密管理措施进行有机整合,所有的安全保密措施只是产品的简单堆砌,使得整个安全保密方案先天性不足。众所周知,如果没有强有力的管理来支持,再好的技术防范措施都会大打折扣,再好的技术防范产品也将成为摆设,因此涉密信息系统安全保密工作的重点还是在于管理。
(三)涉密信息系统建设生命周期“重建设、轻监管”
通常情况下,我们将信息系统建设生命周期(SDLC)划分为五个阶段:规划需求阶段、设计开发阶段、实施阶段、运行维护阶段、废弃阶段。也就是说,系统是不断变化的,安全保密工作也应随之发生变化,各个阶段安全保密要求不同,每个阶段都应制定相应的保密制度,并落实执行、监管。由于公司很多应用项目都是和第三方公司合作,而这些公司可能存在着对系统建设生命周期各阶段的保密标准的具体要求把握不准的情况,使得工程实施各阶段没有严格执行保密要求或者与安全保密建设不同步情况时有发生,而这一块我们又缺乏最起码的监管手段,从而给系统增加了安全隐患。举个例子,在涉密信息系统经过保密审批投入运行后,由于一般都是由系统建设使用单位的信息化部门在负责日常的运行维护。但信息化部门并不清楚保密方面的要求,而保密部门又属于行政部门,不熟悉系统业务应用情况,只能制定一些原则性管理规章制度,无法对系统进行有效的保密监管,不能及时发现系统的违规行为和泄密隐患。
(四)涉密信息系统安全保密工作 “重制度、轻执行”的现象比较突出
航宇公司在涉密信息系统安全保密工作上制定了大量的制度、规范,并且有专门的保密网站进行宣贯,但由于保密工作的长期性和繁琐性不可避免地对日常工作造成影响,而我们某些员工认为保密工作对其日常工作造成居多不便,从而产生抵触情绪,进而对保密制度进行抵制,或者“打折处理,表面执行”,造成安全保密制度真正落实执行的少,让很多制度流于形式,流于纸面。另外,我们制定保密制度还存在一个错误观念,就是:制定保密制度是为了应付保密检查,至于落实不落实,执行不执行没有多大关系。所以,要坚决克服为了制定制度而制定制度的错误观念。制定制度不是目的,通过制定安全保密制度,并坚决落实执行来加强军工单位保密管理,保证国家秘密安全才是制定制度的根本目的。
四、涉密信息系统安全保密管理原则
(一)基于安全需求、适度安全的原则:由于信息泄露、滥用、非法访问或非法修改而造成的危险和损害相适应的安全。没有绝对安全的信息系统(网络),任何安全措施都是有限度的。关键在于“实事求是”、“因地制宜”地去确定安全措施的“度”,即根据信息系统因缺乏安全性造成损害后果的严重程度和实际需求来决定采取什么样的安全措施。组织机构应根据其信息系统担负的使命,积累的信息资产的重要性,可能受到的威胁及面临的风险分析安全需求,按照信息系统等级保护要求确定相应的信息系统安全保护等级,遵从相应等级的规范要求,从全局上恰当地平衡安全投入与效果;
(二)最小化授权以及分权和授权相结合原则:涉密信息系统的建设规模要最小化,非工作所必需的单位和岗位,不得建设可登陆涉密信息系统的终端;其次,涉密信息系统中涉密信息的访问权限要最小化,非工作必需知悉的人员,不得具有关涉密信息的访问权限。分权和授权原则是指对特定职能或责任领域的管理功能实施分离、独立审计等实行分权,避免权力过分集中所带来的隐患,以减小未授权的修改或滥用系统资源的机会。任何实体(如用户、管理员、进程、应用或系统)仅享有该实体需要完成其任务所必须的权限,不应享有任何多余权限;
(三)同步建设、严格把关的原则:涉密信息系统的建设必须要与安全保密设施的建设同步规划、同步实施、同步发展。要对涉密信息系统建设的全过程(各个环节)进行保密审查、审批、把关。要防止并纠正“先建设,后防护,重使用,轻安全”的倾向,建立健全涉密信息系统使用审批制度。不经过保密部门的审批和论证,信息系统不得处理国家秘密信息。
(四)注重管理的原则:涉密信息系统的安全保密三分靠技术,七分靠管理。加强管理可以弥补技术上的不足;而放弃管理则再好的技术也不安全。采用管理与技术相结合,管理科学性和技术前瞻性结合的方法,保障信息系统的安全性达到所要求的目标。信息安全管理工作主要体现为管理行为,应保证信息系统安全管理主体合法、管理行为合法、管理内容合法、管理程序合法。对安全事件的处理,应由授权者适时发布准确一致的有关信息,避免带来不良的影响;
(五)主要领导负责、全员参与原则:主要领导应确立其组织统一的信息安全保障的宗旨和政策,负责提高员工的安全意识,组织有效安全保障队伍,调动并优化配置必要的资源,协调安全管理工作与各部门工作的关系,并确保其落实、有效;信息系统所有相关人员应普遍参与信息系统的安全管理,并与相关方面协同、协调,共同保障信息系统安全;
(六)系统方法、持续改进原则:按照系统工程的要求,识别和理解信息安全保障相互关联的层面和过程,采用管理和技术结合的方法,提高实现安全保障的目标的有效性和效率;安全管理是一种动态反馈过程,贯穿整个安全管理的生存周期,随着安全需求和系统脆弱性的时空分布变化,威胁程度的提高,系统环境的变化以及对系统安全认识的深化等,应及时地将现有的安全策略、风险接受程度和保护措施进行复查、修改、调整以至提升安全管理等级,维护和持续改进信息安全管理体系的有效性;
(七)分级保护原则:涉密信息系统等级划分需按照国家关于涉密计算机信息系统等级划分指南,结合本单位实际情况进行涉密信息系统定级。按等级划分标准确定信息系统的安全保护等级,实行分级保护;对多个子系统构成的大型信息系统,确定系统的基本安全保护等级,并根据实际安全需求,分别确定各子系统的安全保护等级,实行多级安全保护;
五、涉密信息系统保密管理的思路与方法
我国的涉密信息系统实行分级保护管理制度,即根据涉密程度,对涉密信息系统按照秘密级、机密级、绝密级进行分等级实施保护。目前,国家保密局已经制定发布了国家保密标准BMBl7--2006《涉及国家秘密的信息系统分级保护技术要求》和BMB20--2007《涉及国家秘密的信息系统分级保护管理规范》,从技术和管理两个方面,详细规定了涉密信息系统建设、使用和管理的保密要求。
涉密信息系统分级保护是国家信息安全等级保护的重要部分,其核心思想是“从实际出发,综合平衡安全成本和风险,优化信息安全资源的配置,确保重点。”因此,涉密信息系统应该遵循国家保密标准规范,在分级保护的框架下,按照“规范定密,准确定级;分域分级,科学防护;风险评估,动态调整;技管并重,全面保障”的基本思路进行保密管理,具体方法为:
(一)涉密信息系统应该严格按照以系统分域定级、方案设计、工程实施、系统测评为中心环节的操作流程,积极组织开展涉密信息系统建设工作
1.涉密信息系统建设使用单位应按照信息密级、行政级别、业务类别、系统重要性和安全策略等因素划分安全域,并根据各安全域所处理信息的最高密级确定等级。
2.涉密信息系统建设使用单位应选择具有涉密信息系统集成资质单位进行承建,结合国家保密标准BMBl7—2006《涉及国家秘密的信息系统分级保护技术要求》和BMB20--2007《涉及国家秘密的信息系统分级保护管理规范》等相关标准,在风险评估的基础上,从技术和管理两个方面进行综合设计。保密工作部门应当参与方案审查论证,在系统总体安全保密性方面加强指导,严格把关。
3.涉密信息系统建设使用单位应按照BMBl8--2006《涉及国家秘密的信息系统工程监理规范》进行工程监理。在进行工程监理时,应选择具有涉密工程监理单项资质的单位或组织自身力量加强监督检查。
4.涉密信息系统在投入使用前,经过保密工作部门授权测评机构的安全保密测评和保密工作部门审批。涉密信息系统建设使用单位应按照测评机构的要求,提交测评所需的必要资料,并配合系统测评工作。
(二)涉密信息系统建设使用单位应该整合保密部门、信息化建设部门和其他相关部门力量,密切合作,各负其责,形成合力共同加强系统的保密管理工作
1.在系统定级方面,保密部门发挥准确掌握国家保密政策的优势,与信息化部门、业务工作部门一起研究确定系统和安全域所处理信息的最高密级,从而确定保护等级。
2.在方案设计方面,信息化部门利用熟悉技术的特点,按照分级保护技术要求和管理规范,组织开展分级保护方案的设计工作。保密部门应对总体方案进行监督、检查和指导,组织专家进行评审论证。
3.在工程实施方面,信息化部门应具体承担组织实施工作,并定期与保密部门对安全保密措施落实情况和工程进展情况监督、检查。4.在系统工程施工结束后,保密部门负责组织系统测评和系统审批工作,信息化部门密切配合。
5.在系统投入运行后,保密、信息化、密码、业务工作、保卫和人事等有关部门应按照“分工合作、各司其责”的原则,在满足基本管理要求的基础上,主要从人员管理、物理环境与设施管理、设备与介质管理、运行与开发管理和信息安全保密管理五个方面抓好系统应用中的日常管理,积极开展风险评估和保密监督检查,并做好系统废止阶段的善后工作。
六、涉密信息系统安全保密建议
(一)要树立起有效控制的思想。
保密的实质是什么?笔者认为保密的实质就是控制,要做到国家秘密在任何时候、任何情况下都受控。而做好控制的最有效方法就是尽一切可能缩小知悉范围,做到知悉必须以工作需要为原则。为检验控制的效果,则要做好全程登记工作,将所有知悉国家秘密的人和情况记录在案,做到可查、可追溯。
(二)要建立起一个高效的保密机制。
保密工作机制就是将保密工作各相关要素组合在一起,通过各要素之间的相互联系、相互制约、相互作用,使其向既定的保密工作目标自行运转。比如保密资格认证制度就是一个好的机制。它将军工单位承担武器装备科研生产任务与保密紧密联系起来,与单位生存发展紧密联系起来,通过开展达标活动,使保密工作按照相关标准的要求自行运转。在单位内部,将各项保密要求制定成保密检查标准,通过定期检查,量化打分,发现和改进企业保密管理的薄弱环节,同时将每位涉密人员平时的保密工作情况纳入综合考评,与其晋级、晋职、奖惩等紧密联系起来,激励每一位涉密人员自觉地做好保密工作。建立这样一个能够自行运转的系统,将从根本上解决做好保密工作的动力问题,由过去的让我做变成我要做,促使军工单位保密工作发生质的变化。
(三)要抓好保密工作三大体系建设
保密工作三大体系是指:保密组织管理体系,保密法规制度体系,保密技术防护体系。保密是一项管理工作,是需要有职能部门和专职人员开展的工作,且必须有经费的保障,建立保密组织管理体系是做好保密工作的基本条件和基本保障。保密法规制度是做好保密工作的重要基础和前提。保密法规制度体系的建立要做到各类涉密事项和任何涉密活动都有制度进行约束和控制。保密技术防护体系是做好保密工作的重要手段和措施。要将涉密区域和要害部门部位通过技术手段全面控制起来。安装必要的电视监控系统、门禁系统、区域红外报警系统等。
(四)要重视安全保密的管理工作
随着信息安全技术的发展,信息安全产品正在向智能、整合和管理方向发展,未来的涉密信息系统安全保密技术防范方案将会越来越完善。同时我们也应该注意到,如果没有强有力的管理来支持,再好的技术防范措施都会大打折扣,再好的技术防范产品也将成为摆设,因此涉密信息系统安全保密工作的重点还是在于管理,需要制定切实可行的规章制度,定期进行涉密信息系统的安全保密检查,发现问题及时整改,并严肃处理违规的责任人,从而不断强化员工的安全保密意识,使员工能够自觉遵守企业安全保密的规章制度。
七、结束语
传统的“规章制度建设”式保密管理方法已经不适应新的形势,“管理以技术为依托,技术靠管理来保障”的模式已经成新的发展趋势,因此必须按照“分级保护”和“技管并重”的原则开展涉密信息系统安全保密工作。
作者简介:
陈金文,男,工程师,武汉理工大学毕业,目前从事航宇公司PDM、VPM等涉密应用系统的实施、推广运维方面的技术工作。
联系方式:办公室 1097 手机 ***
第四篇:涉密资质单位保密规章制度
*****科技有限公司
保密规章制度
保密办
****保密规章制度
目录
第一章 第二章 第三章 总则........................................................................................................................2 保密机构与职能....................................................................................................2 涉密人员保密管理制度........................................................................................3
3.1 涉密人员分类与等级界定.............................................................................................3 3.2 涉密人员审查与保密责任书签订................................................................................3 3.3 涉密人员保密教育和管理............................................................................................3 3.4 涉密人员保密津贴........................................................................................................4 3.5 涉密人员流动管理........................................................................................................4 3.6 职责划分和保障措施....................................................................................................5 第四章 保密管理制度........................................................................................................5
4.1保密监督检查.................................................................................................................5 4.2涉密文件的管理.............................................................................................................7 4.3涉密要害部门的管理.....................................................................................................8 4.4保密考核和奖惩.............................................................................................................9 4.5涉密项目的现场管理...................................................................................................10 4.6资质证书的使用和管理...............................................................................................12 第五章 涉密载体保密管理制度......................................................................................12
5.1涉密计算机保密管理...................................................................................................13 5.2移动存储介质...............................................................................................................13 第六章 第七章 保密培训制度......................................................................................................13 涉密事件的报告和查处......................................................................................14
附则.........................................................................................................................................16
内部资料禁止外传
****保密规章制度
第一章 总则
第一条 为加强涉密人员保密管理,全面规范公司的保密工作,根据国家有关保密法律、法规,结合公司实际,制定本制度。
第二条 适用范围
1.本制度适用于公司所有员工。
2.公司所有人员,包括技术开发人员、技术支持人员、销售人员、行政管理人员、财务人员等,都有保守公司所有秘密的义务。
第二章 保密机构与职能
第一条保密办总监是负责保密工作的专门人员,主管公司的保密工作,其主要职责是:
1.贯彻执行党和国家有关保密工作的方针、政策、法规和决定;进行经常性的保密教育和检查;依法对本单位的保密工作进行管理。
2.定期召开保密会议,分析保密工作情况,提出加强和改进保密工作的措施;制定保密工作计划,组织检查落实,总结交流经验,并向上级保密部门报告工作,完成上级保密部门交办的工作。
3.依法制定和修改公司的保密规章制度,并监督执行。4.组织公司涉及国家秘密事项密级的确定、变更和解密工作。5.向上级保密部门报告泄密事件,并进行查处。6.负责有关事项的保密审查。
7.负责公司各项保密事项的组织管理和协调,并协助处理涉外事项、机要档案及对外宣传中的保密工作;
8.负责公司涉及国家秘密的通讯、办公自动化和计算机信息系统(含互联网)的数据安全和保密管理。
第二条保密负责人领导下的委员分工负责制,各委员应把保密工作纳入其职责范围,依据保密负责人的工作安排和要求,认真抓好落实。做到业务工作与保密工作融为一体,同步进行。
第三条保密办总监,负责公司各项保密工作的具体实施和日常管理。保密负责人指定其他专职人员三人组成保密办公室,负责公司的整个保密工作。
第四条公司在每年预算中,设立保密工作经费,用于公司保密管理工作和设备配备及设施建设。
内部资料禁止外传
****保密规章制度
第三章 涉密人员保密管理制度
3.1 涉密人员分类与等级界定
第一条 本制度中所称的涉密人员是指在工作中产生、掌握、管理和大量接触国家秘密的人员。
第二条 在涉及绝密级国家秘密岗位工作或承担任务的人员为核心涉密人员;在涉及机密级国家秘密岗位上工作或承担任务的人员为重要涉密人员;在涉及秘密级国家秘密岗位上工作或承担任务的人员为一般涉密人员。
第三条 公司根据涉密人员工作任务、工作岗位及职责范围的实际涉密情况综合界定其涉密等级。
第四条 涉密人员的涉密等级界定,由各有关部门根据承担工作任务人员的实际涉密情况,提出初审名单,部门负责人审核确定后,报送公司总经办和保密委员会审批并存档备案。
第五条 公司对涉密人员实行动态管理。涉密人员所在部门根据涉密人员实际工作岗位、工作任务、职责范围的变化,及时提出调整涉密等级的初审意见,经部门负责人审核后,报送公司保密委员会审批并进行调整。
3.2 涉密人员审查与保密责任书签订
第一条 公司对承担涉密任务,进入涉密岗位的人员进行严格审查,并对审查情况书面记载备案。重点考评其现实政治表现、工作表现及学习及遵守保密法规制度和纪律的情况。
第二条 所有涉密人员按进公司、在岗、离岗、出国几个阶段签订保密责任书,明确自己应当承担的保密责任和义务。
3.3 涉密人员保密教育和管理
第一条 公司按照第六章节“保密培训制度”对涉密人员进行经常性的保密教育。
第二条 公司对涉密人员遵守保密制度和纪律以及接受保密教育的情况要定期进行考核,建立健全保密监督和管理制度并严格执行。
内部资料禁止外传
****保密规章制度
3.4 涉密人员保密津贴
第一条 公司根据国家有关规定对承担涉密任务或工作的科研人员和管理人员实行保密津贴制度,在对涉密人员进行涉密等级界定和其已签订《保密责任书》的基础上,审批发放保密津贴。
第二条 涉密人员保密津贴随工作岗位和承担任务的实际涉密情况的变化随时进行调整。
第三条 涉密人员承担多项涉密任务或一人多岗的,以涉密等级最高的任务或岗位确定其涉密等级和保密津贴。
第四条 保密津贴发放标准:一般涉密人员保密津贴标准为300元/月。
3.5 涉密人员流动管理
第一条 涉密人员脱离涉密岗位实行脱密期管理制度,应清退所有涉密文件、资料及物品,并不得接触国家秘密。脱密期一般为:核心涉密人员3年;重要涉密人员2年;一般涉密人员1年。根据实际工作需要,必要时可适当延长涉密人员的脱密期。
第二条 涉密人员退休后,在其相应的脱密期内仍由公司按在职涉密人员进行管理。借调、返聘人员在涉密岗位工作的按照在职涉密人员进行管理。
第三条 涉密人员申请调动的,经公司同意,先将其调离涉密岗位,待脱密期满,经公司领导批准,签订保密承诺书后,方可办理调动手续。对于尚在脱密期内需要办理调动手续的特殊情况,经公司保密委员会批准后,在其人事档案注明涉密身份和脱密期,并签订保密承诺书后,方可办理调动手续。
第四条 涉密人员在脱密期内一般不得辞职。对于确有特殊原因而本人坚持申请辞职的非核心涉密人员,经公司批准,在其人事档案注明涉密身份和脱密期(有特殊要求的也应注明),并签订保密承诺书后,方可办理辞职手续。
第五条 涉密人员不得擅自离职。对已经离职的涉密人员公司劝其(包括通过其家人、亲属劝其)返回单位。若本人要求辞职的,按涉密人员辞职规定办理手续。对不回公司又拒不履行保密义务和手续的,应根据国家有关的法律、法规,通过有关部门进行处理。
第六条 涉密人员调动、辞职会使国家秘密安全受到威胁的和国家另有规定不得辞职的,公司可不予批准。
第七条 在岗涉密人员一律不准私自受聘于国(境)外驻华机构和组织工作。涉密人员在脱离原涉密岗位3年内不准到国(境)外驻华机构和组织工作。
内部资料禁止外传
****保密规章制度
第八条 在岗涉密人员和离岗脱密期未满的涉密人员,原则上不准因私出国(境)。因特殊情况需要因私出国(境)的,按照《重大涉密活动和涉外保密管理制度》规定,经公司有关部门审查同意,公司领导批准,并签订保密承诺书后,方可办理相关手续。
第九条 对于出国(境)可能威胁国家秘密安全的涉密人员,公司可不批准其出国(境)。
3.6 职责划分和保障措施
第一条 公司保密委员会对涉密人员管理工作进行指导,对涉密人员资格审查和等级审定、因私出国、调动离职等进行批准,并按照委员分工抓好督促落实工作。
第二条 保密办负责具体实施涉密人员管理工作:(一)涉密人员资格审查;
(二)根据部门初审意见进行涉密人员等级审定和变更;(三)组织和安排涉密人员签订保密责任书;(四)组织涉密人员保密教育活动;
(五)根据涉密人员涉密等级拟制保密津贴发放明细;(六)涉密人员的脱密期管理;
(七)对涉密人员因私出境、调动辞职等进行保密审查。
第三条涉密人员违反保密法规,泄露国家秘密的,公司将进行查处,并根据保密奖惩制度、泄密查处相关规定追究有关人员泄密责任。
第四章 保密管理制度
4.1保密监督检查
第一条存储有秘密信息的各类软件(含设备)要指定专人负责清点、登记,并建立配置、维修和销毁档案。
第二条涉密计算机及计算机信息系统所采用的各种保密设备和设施,必须是经过国家有关部门审批许可的,不得使用未经国家有关部门审批许可的安全保密产品。
第三条严禁在对讲机、各类无线电话(车载、无绳)以及未经加密的普通电话和传真机中传输和谈论国家秘密。
内部资料禁止外传
****保密规章制度
第四条公司保密办负有对本公司所有网络接入设备进行定期安全保密检查及维护的职责,并负责对本网络用户的安全保密监督管理和教育。
上网信息的保密管理坚持“谁上网谁负责”的原则,各部门凡需要在公司主页上对信息进行发布,应当认真执行信息保密审核制度。发布的信息,应首先由各部门领导或负责信息安全保密人员审核发布。
第五条任何人不得利用网络从事危害计算机信息网络安全的活动,不得制作、复制、查阅和传播国家明令禁止的各种非法信息。
第六条存储涉及有国家秘密信息的计算机系统不得与局域网、国际互联网相连(物理隔断),并且必须设置必要的用户识别密码,做到定期更换。不得在未采取数据保护和网络安全保密监控管理技术措施的计算机网络输入、保存和传递属于国家秘密信息。
第七条在计算机系统内存储的国家秘密信息,应定期进行备份,备份的信息应妥善保管于安全保密设备中。
第八条涉密计算机(含便携机和移动存储设备)和涉密信息处理场所,公司应当根据涉密程度设立控制区,未经相应部门负责人(或保密办)批准无关人员不得进入和使用。原则上涉密计算机(含便携机和移动存储设备)不得带出安全保密区域,如确应工作需要将存储涉及有国家秘密信息的便携式计算机、移动存储设备等带出安全保密区域的,要做到随身保管,并对这些设备采取必要的安全保密措施。含有绝密级以上的,必须通过保密渠道传送。
第九条计算机信息系统打印出的涉密文档、数据等,按照国家保密规定,同样视为保密信息,应妥善保管于安全保密设备中。
第十条涉密计算机确需送外检修的,要经公司领导批准,送保密局认定的公司检修。并必须先清除涉密计算机硬盘存储的信息,维修后必须进行保密安全检查。
第十一条任何部门和个人在发现计算机系统泄密后,应及时采取补救措施,并及时上报公司保密负责人。
第十二条复印机必须指定专人管理及操作。
不得利用内部复印机擅自复印国家秘密载体(包括国家秘密文件、资料、图表等),确因工作需要复制时,须经保密办批准后方可复印。
第十三条对复印机要重视保密管理,定期进行保密检查,发现违反保密规定使用复印机造成泄密事件,除对当事人追究责任外,还要追究有关领导责任。
第十四条传真机的管理使用情况列入保密检查的内容,定期检查,发现问题及时解决。
第十五条在传真机上加装其他部件,必须经分管领导批准。
内部资料禁止外传
****保密规章制度
4.2涉密文件的管理
第一条涉密文件、资料的收发和内部传递(传阅),必须登记编号,并与非涉密文件、资料分类登记,单独传阅。交接时必须履行签字手续。
第二条公司秘密文件、资料的拟文草稿和修改稿以及印刷清样,应进行登记和管理,除必须保留存档的以外,均应经保密负责人同意,监督销毁。
第三条公司形成的秘密文件、资料的打印,必须由打字员或文印人员承担,或者送交国家保密工作部门规定的国家秘密载体定点印刷厂打印。打印中的校样、废页、多余文稿、软盘、光盘等应及时销毁。
第四条秘密文件、资料的开封、传递、处理,必须由专人负责。传递的秘密文件、资料,须封装并在封套上标明密级,属于绝密文件、资料,还应贴密封条或加盖密封章。
涉密文件、资料和档案资料的学习传达、查(借)阅,在发文单位规定的保密期限内,要严格控制知情人员范围。知情人员范围由公司保密负责人确定。
第五条工作人员不得借工作之便将秘密文件、资料带出办公室;公司其他涉密人员也不得将秘密文件、资料随意带出。
因公外出人员,个人不准随身携带绝密文件、资料。如遇特殊情况必须随身携带绝密文件、资料时,事先必须经公司保密负责人及主管领导批准,办理登记手续,进行保密教育,并要二人同行,严密看管,不得遗失。
携带机密或秘密文件、资料时,必须装在文件包或密码文件箱内,并乘坐有安全保障的交通工具。严禁在无保密措施的情况下,随身携带机密或秘密文件、资料外出。不准携带机密或秘密文件、资料出入公共场所、公司、游览参观、探亲、访友。
第六条涉密文件、资料的归档,要严格按发文单位有关保密期限的规定以及密级(绝密、机密、秘密)分类立卷、装订成册。与非涉密案卷分柜保管,存放在有安全保障的保险装置中。
第七条秘密文件、资料和档案的复印,应按下列规定办理:
1.属于绝密文件、资料以及密码电报和制发机关规定不准翻印的其他秘密文件、资料,严禁复印。
2.复印制发允许或因工作需要经请示制发同意翻印的中共中央、国务院秘密文件,必须经公司保密负责人及公司主管领导批准;公司科研、管理人员确因工作需要,复印涉密档案资料,必须经公司保密负责人同意,并办理登记手续。
3.涉密内容的电子存储媒体、光盘、图片、胶片等档案资料未经公司保密负责人许可,任何人不得复制、翻印。
内部资料禁止外传
****保密规章制度
第八条涉密档案材料的解密、移交、销毁工作,要按照《中华人民共和国保守国家秘密法》和中科院有关保密规定,在公司保密负责人的监督、指导下严格管理。
4.3涉密要害部门的管理
第一条保密要害部位的保密管理坚持“谁主管、谁负责”的原则,建立人防、物防、技防综合防护体系,做到严格管理、责任到人、严密防范、确保安全。
第二条保密委员会负责:
1.确定和调整本机关的保密要害部门、部位;
2.组织制定保密要害部门、部位的保密管理制度和防范措施; 3.与保密要害部位主要负责人签订保密责任书;
4.组织协调保密要害部位的工作人员进行涉密资格审查和保密教育培训; 5.定期检查保密要害部位的保密技术防范情况,解决存在问题。第三条保密要害部位工作人员范围由本机关确定。保密要害部位工作人员名单须报上级保密部门备案。
第四条有下列情形之一的人员不得在保密要害部位工作: 1.受过刑事责任追究的; 2.受过党纪政纪记过以上处分的; 3.有严重违反保密法规记录的; 4.配偶为非中国公民的; 5.未通过涉密资格审查的; 6.社会上临时聘用的;
7.其他经保密工作部门认定不适宜的。
第五条保密要害部位工作人员,上岗前须接受保密教育和培训;在岗接受保密教育和培训的时间,每年累计不得少于3个工作日。
第六条保密要害部位工作人员与保密委签订保密责任书。保密责任书主要包括:根据涉密程度所应承担的保密责任和义务,保密纪律和其他限制性要求及需要事先告知的事项,奖惩规定等。
第七条保密要害部位工作人员脱离涉密岗位的,须签订离岗保密承诺书。同时实行脱密期制度,脱密期限由本机关根据涉密程度确定,一般为6个月至3年。
第八条保密要害部位工作人员保密职责情况纳入岗位考核内容。
第九条保密要害部位工作人员违反保密规定造成泄密的,应给予党纪政纪处
内部资料禁止外传
****保密规章制度
分,并调离工作岗位;构成犯罪的,移送司法机关依法处理。
第十条对未按规定确定保密要害部位,导致重大泄密事件发生的,依照有关规定追究主要领导和有关人员的责任。
第十一条保密要害部位存在重大泄密隐患或发生泄密事件的,按照领导干部保密责任追究制追究有关领导的责任。
4.4保密考核和奖惩
第一条
保密工作考核的对象是整个公司保密工作管理人员和全体涉密人员。
第二条公司对在岗涉密人员考核内容如下: 1.贯彻执行保密法规情况; 2.贯彻落实公司保密制度情况; 3.履行保密职责和员工保密守则情况; 4.遵守保密纪律情况;
5.保密检查及保密技术检测情况。
第三条各部门对本部门涉密人员考核内容如下: 1.确定密级及标识密级,保密期限和知悉范围情况;
2.涉密载体的制作、收发、传递、使用、复制、清退、保存、归档是否按保密规定进行管理、登记、审批和签字; 3.参加保密教育和培训情况;
4.涉密计算机(包括便携式计算机)及其存储介质的管理使用情况; 5.保密检查情况;
6.贯彻落实保密法规和公司保密制度情况。
第四条凡发现或证实涉密人员违反保密法规和保密制度情节轻微的 1.第一次批评教育;
2.第二次扣发两个月保密津贴; 3.第三次扣发半年保密津贴;
4.在第三次扣发半年保密津贴期间,再次违反保密法规制度的调离涉密岗位,由保密办报综合部审查,公司主管领导批准通知其所在部门执行;
内部资料禁止外传
****保密规章制度
5.违反保密法规、制度、情节严重或造成后果的,除从当月停发保密津贴外,报国家有关机关依法严肃处理。
第五条 对于考核成绩优秀者,公司根据实际情况,除了发放保密补贴之外还可以发放保密奖励金。
4.5涉密项目的现场管理
第一条在项目中严格准守双方签订的保密协议。第二条 项目中保密信息的范围
1.保密信息是指由甲方通过文字、电子或数字方式或媒介向乙方提供的,在提供时明确标记有“保密”的,以及虽未标记为“保密”但属于甲方的生产经营数据、报表、图幅、报告及技术信息。口头传达并在传达同时认定为属于保密的信息应当视为保密信息。甲方相关的业务和技术方面有保密要求的资料信息。保密信息还包括本项目研发中形成的双方共有技术、产权、软件成果、研究思路。保密信息包括但不限于:
(1)数据库所有的数据;
(2)客户或潜在客户的身份及其他相关信息、客户联系方式和客户销售策略等;
(3)市场研究结果,市场渗透资料,及其他市场信息;(4)销售和市场计划、规划及策略;(5)销售额、成本和其他财务数据;
(6)经营秘密、技术秘密、设计及专有的经营和技术信息,与本协议所涉及产品及其程序设计、源码等有关的方法、经验、程序、步骤;
(7)产品、零件及服务的供应源;(8)任何其他秘密工艺、配方或方法;
(9)本项目研发形成的双方共有技术、产权、软件成果、研究思路在成果申报之前。
2.保密信息不包括以下信息:
(1)甲方已经公布于众的资料,但不包括甲乙双方或其代表违反本协议规定未经授权所披露的;
(2)乙方已经独立开发的及未曾违反任何法律、法规或甲方的任何权利的信息,并且该等信息是在乙方依照本协议条款从甲方获悉该等信息之前独立开发的;
内部资料禁止外传
****保密规章制度
(3)乙方在依照本协议条款从甲方获悉之前已经占有的信息,并且就乙方所知乙方并不需要对该等信息承担任何具有约束力的保密义务;
(4)在双方签订本协议以后并非由于乙方的过错而被公众所知的信息;(5)乙方在未违反其对甲方承担的任何义务的情况下从第三方获得的信息。
第三条项目中保密信息的使用
1.乙方应使所有保密信息得到最严格的保密,并且除为促进软件新产品发展,或本协议允许的用途外,不得使用该等保密信息。
在履行上述义务时,乙方均应采取不低于与保护其自身保密信息所用措施同样严格的措施,并责成其每一位有可能得到保密信息的董事、管理人员、雇员或代理人分别就本协议涉及的保密内容签订一份与本协议所列条款同样严格的保密协议。
2.除非事先取得甲方的书面同意,否则乙方不得复制、出版或向第三方披露任何保密信息。
3.如果具有司法管辖权的法庭或政府主管部门要求乙方披露保密信息,乙方应事先通知甲方,使甲方能够查验需要披露的保密信息。
第四条
保密信息的所有权
本协议的任何规定均不得被视为向乙方授予任何保密信息的任何专有权、转让权或所有权。项目研发形成的软件产品、知识产权等属双方共有。
第五条 文件退还
如果双方同意终止《xxx》项目合作,乙方应在双方同意终止后的10日内,向甲方退还全部保密信息及其全部副本(不论其是否是在计算机磁盘、光盘读取器、光盘、硬盘或软件中或在纸张载体上存储、保存或记录的);如果乙方退还上述保密信息及其全部副本为不可行,则该乙方应将其销毁,或者从计算机或其他电子系统中将其删除或抹掉。
第六条
违约责任
乙方如果违反其在协议项下的义务,应赔偿甲方因上述违约而导致的全部实际损失,包括但不限于法律费用。
第七条
其他约定
1.乙方在本协议项下的义务对其法定继承人和许可受让人均有约束力。2.本协议受中华人民共和国法律管辖并按中华人民共和国法律解释。对因本协议或本协议各方的权利和义务而发生的或与之有关的任何事项和争议、诉讼或程序,本协议双方不可撤销地接受中华人民共和国法院的管辖。
3.除非双方采用书面形式,否则对本协议的任何修改均属无效。
内部资料禁止外传
****保密规章制度
4.6资质证书的使用和管理
第一条为加强公司经营管理,确保公司资质、证书使用严谨、规范、合理,在使用过程中必须准守以下制度。
第二条公司资质、证书系公司资产,除用于公司经营外,任何个人不得 以任何理由、任何方式私自使用。
第三条公司资质、证书实行集中保管、统一使用,资质、证书管理部门 对资质、证书的安全存放和规范使用负责。
第四条公司内部使用资质、证书用于招投标、各种外部审核等工作时,须由该项工作责任人填写《资质、证书使用计划表》,报经总经理审核、董事长审批后方能使用。
第五条外部单位、个人借用公司资质、证书,须由使用人或本公司该项 工作联系人填写《资质、证书使用审批表》,报经总经理审核、董事长审批后方能借用。
第六条公司资质、证书管理部门以经批准的《资质、证书使用计划表》、《资质、证书使用审批表》作为使用依据并存档,并对使用情况作登记,确保资质、证书的规范使用。
第七条附件《资质、证书使用计划表》、《资质、证书使用审批表》是本 制度的组成部分。
第五章 涉密载体保密管理制度
第一条涉密载体包括涉密存储介质以及涉密计算机、复印机、打印机、速印机、扫描仪等以文字、数据、符号、图形、图像、声音等方式记载国家秘密信息的磁介质、光介质等各类物品。
第二条涉密载体安全管理坚持“谁主管、谁负责”的原则。第三条涉密载体须确定专人实施安全维护管理。
第四条涉密载体的维修、更换、报废,实行审核许可制,必须经本单位保密工作领导小组办公室审核许可,送交有保密维护资质的单位维修、更换。严禁未经批准擅自将涉密载体送交非指定单位维修、更换。
第五条涉密载体维护检修时,必须保证所存储的涉密信息不被泄露,对涉密信息应采取涉密信息转存、删除、异地转移存储媒体等安全保密措施。
第六条涉密载体更换、报废后,不得擅自处理,必须由本部门负责人审核后,交办公室登记、保存,经领导审批后,统一交市涉密载体销毁中心集中进行销毁。
内部资料禁止外传
****保密规章制度
5.1涉密计算机保密管理
第一条涉密计算机是指用于存储、处理、传输国家秘密的计算机。第二条涉密计算机原则上专机专用,特殊情况需多人使用的,由单位指派专人管理。
第三条涉密计算机必须标明密级,注明管理人。第四条严禁处理涉密文件的计算机连接任何网络。
第五条严禁在没有任何保密防护措施的情况下将互联网上的数据拷贝到处理涉密文件的计算机上。
第六条严禁将处理涉密文件的计算机、涉密移动存储设备与连接互 联网的计算机、移动存储设备混用。
第七条涉密便携式计算机必须存放在符合保密要求的文件柜中,确因工作需要携带涉密计算机外出,需填写“涉密计算机携带外出登记表”,经主管领导批准,并报本单位保密工作领导小组备案。返回时,需对涉密计算机进行保密检查,以确保涉密计算机的安全。
5.2移动存储介质
第一条涉密移动存储介质包括存储了涉密信息的硬盘、光盘、软盘、移动硬盘及U盘等。
第二条严禁涉密移动存储介质接入或安装在非涉密计算机或低密级的计算机上;严禁涉密移动存储介质联接互联网。
第三条涉密移动存储介质必须实施专人专柜安全管理。
第四条严禁涉密移动存储介质转借他人,不得带出工作区,下班后必须存放于本单位指定的安全柜。
第五条因工作原因确需将涉密移动存储介质携带出单位工作区的,须经主管领导同意,经本单位工作领导小组办公室批准,并登记备案。
第六条认真落实涉密移动存储介质的登记、清理、保管工作,严防失泄密事故的发生。
第七条对涉密载体要定期实施安全检查,对违反安全保密规定,导致违规违纪事件发生的,将严肃追究相关部门领导和责任人员的责任。
第六章 保密培训制度
第一条公司及部门领导负有依法对本单位员工进行保密宣传教育责任。
内部资料禁止外传
****保密规章制度
第二条各部门把保密宣传教育与政治教育、业务学习结合起来,作为一项经常性工作来抓。
第三条各部门要经常组织本单位员工学习保密法规和有关保密工作的文件、指示,及时通报失泄密案例,增强保密意识,提高保密防范能力。
第四条新录用的员工上岗前由所在部门进行保密教育。第五条对专(兼)职保密员要经常进行保密教育和培训。
第六条专(兼)职保密员,上岗前必须参加保密局的保密培训学习,经注册备案和资格认定,取得上岗证书。
第七条专(兼)职保密员在岗年限一般不应少于两年。如因工作需要对其进行岗位调整的,先报公司保密负责人,再报保密局对新调整上岗人员进行注册备案、资格认定。
第七章 涉密事件的报告和查处
第一条保密办公室对泄漏国家秘密的责任人具有处置权,对外联系国家保密局,处理泄密事件。
第二条对属于国家秘密的密品、密件,自发现下落不明之日起,绝密级十日内,机密、秘密级六十日内查无下落的,按泄密事件处理。
第三条发生、发现泄密事件,必须坚持“一事一报”和立即报告制度,严禁迟报、漏报、误报和隐瞒不报。
第四条发生泄密事件及时报告、及时查处、积极协助调查,既是每一个人的责任,也是必须履行的保密义务。
第五条基层发现或发生泄密事件,要立即向保密办公室报告,保密办公室接到报告后,要立即进行情况核实,在初步核实的前提下,对一般涉密事件须二十四小时内向上一级保密组织报告,对重大泄密事件,一份绝密件或两份以上机密件,必须立即向上级保密组织报告。
第六条对发生的一般泄密事件,查清情况后保密办公室向省市保密局报告,对发生泄露绝密级国家秘密,向境外组织、机构或人员泄露机密级国家秘密等重大泄密事件要逐级报告。
第七条泄密事件报告的内容: 1.初次报告的内容 ;
2.泄密事件发生发现的时间、地点、简要经过;
3.泄密责任人的姓名、职务、政治面貌及所在部门、岗位; 4.泄密事项的名称、内容、密级、数量;
内部资料禁止外传
****保密规章制度
5.对泄密事件造成的危害做出评估; 6.应当采取的补救措施; 7.对该事件进行调查的整体方案。第八条查处后报告的内容:
1.发生泄密事件的主要原因和教训; 2.对有关责任人的处理情况;
3.采取的补救措施和加强保密工作的情况。
第九条对泄露国家秘密事件的调查处理主要包括:
1.查明所泄露国家秘密事项的内容、密级、危害程度、主要情节和有关责任者;
2.采取必要的补救措施;
3.根据国家的有关法律、法规或规定对泄密责任人提出处理意见;并做出处理,情节严重的交由国家司法机关处理;
4.针对泄密事件暴露出的问题,提出整改和加强保密工作的意见。第十条一般泄密事件由局保密办公室负责调查,上级主管部门和有关保密工作部门对调查工作实施监督,重大泄密事件由上级主管部门和有关保密工作部门直接进行调查,保密办公室协助配合。
第十一条保密办公室、上级主管部门和有关保密部门在查处案件中,基层部门和当事人要积极主动协助调查处理。第十二条 泄密事件调查中需要查明:
1.被泄露国家秘密事件的具体内容、密级、数量;
2.已经或可能造成的危害及危害程度;
3.是否可以补救以及可以补救的措施;
4.事件发生、发现的经过及主要情节;
5.对事件性质的认定;
6.当事人的基本情况及对事件应负的责任;
7.应采取的改进措施或加强保密工作的意见。第七条保障措施
1.对泄密事件的处理,在查明泄密事件的基础上,保密办公室写出结案材料,对需要追究责任人刑事责任的,保密办公室应立即将案件移交有关国家机关处理;
2.对泄密事件责任人或事件有关责任人处罚种类:(1)刑事处罚:由国家有关机关执行;(2)罚款:根据情节处责任人罚款;
内部资料禁止外传
****保密规章制度
(3)通报批评:对泄密情节轻微、没有造成危害后果,且认识态度好的给予通报批评。
3.在泄密事件的报告、调查、处理过程中,基层部门和责任人要认真做好泄密事件的补救工作,及时堵塞漏洞,最大限度的减少因泄密造成的危害。
4.泄密事件查处工作的终结期限为三个月,不含国家机关实行强制措施、诉讼时间。
5.泄密事件查处工作终结后,,保密办公室应向上级主管部门和有关保密部门报送泄密调查处理报告。
附则
第一条 涉及公司各部门的特别保密规定由各有关部门具体制定。第二条 本保密制度自发布之日起实施。
第三条 本保密制度的解释权归公司保密办公室。
内部资料禁止外传
第五篇:最新版涉密信息系统集成资质保密标准
涉密信息系统集成资质保密标准 适用范围 本保密标准适用于涉密信息系统集成资质申请、审查不资质
单位日常保密管理。定义
2.1 本标准所称涉密人员,是指由于工作需要,在涉密信息 系统集成岗位合法接触、知悉和经管国家秘密事项的人员。
2.2 本标准所称涉密载体,主要指以文字、数据、符号、图 形、图像、声音等方式记载国家秘密信息的纸介质、磁介质、光 盘等各类物品。磁介质载体包括计算机硬盘、软盘和彔音带、彔 像带等。
2.3 本标准所称信息系统是指由计算机及其相关和配套设 备、设施构成的,按照一定的应用目标和规则存储、处理、传输 信息的系统或者网络。
2.4 本标准所称信息设备是指计算机及存储介质、打印机、传真机、复印机、扫描仪、照相机、摄像机等具有信息存储和处
理功能的设备。保密标准
3.1 保密标准实施原则
3.1.1 积极防范,突出重点,严栺标准,依法管理。3.1.2 业务工作谁主管,保密工作谁负责,保密责仸落实到
人。
3.1.3 具备健全的管理体系,保密管理不生产经营管理相融
合。
3.1.4 开展保密风险评估不管理。3.1.5 建立保密管理的持续改进机制。
3.2 保密组织机构及职责
3.2.1 保密工作领导小组 3.2.1.1 资质单位应当成立保密工作领导小组,为本单位保
密工作领导机构。甲级资质单位应当设置与职保密总监,保密总监为单位领
导班子成员。
3.2.1.2 甲级资质单位保密工作领导小组由单位法定代表人(或主要负责人)、保密总监和有关部门主要负责人组成。组长 由法定代表人(或主要负责人)担仸,副组长由保密总监担仸,保密工作领导小组各成员应当有明确的职责分工。
乙级资质单位保密工作领导小组由单位法定代表人(或主要 负责人)、分管保密工作负责人和有关部门主要负责人组成。组
长由法定代表人(或主要负责人)担仸,副组长由分管保密工作 负责人担仸,保密工作领导小组各成员应当有明确的职责分工。
3.2.1.3 保密工作领导小组实行例会制度。例会应当组织学习党和国家保密工作方针政策及相关保密法律法规;研究部署、总结本单位的保密工作;解决保密工作中的重要问题。例会每年 丌少于 2 次,会议应当作记彔并形成会议纪要。
3.2.1.4 法定代表人(或主要负责人)为本单位保密工作第 一责仸人,对本单位保密工作负全面责仸,履行下列职责:
(1)保证国家相关保密法律法规在本单位贯彻落实;(2)监督检查保密工作责仸制的落实情况,解决保密工作
中的重要问题;(3)审核、签发单位保密 管理制度;
(4)为保密工作提供人力、财力、物力等条件保障。3.2.1.5 保密总监或者分管保密工作负责人对本单位保密工 作负具体领导和监督责仸,履行下列职责:
(1)组织制定单位保密管理制度、保密工作计划,审定保 密工作总结;
(2)监督保密工作计划落实情况,组织保密检查;(3)为保密管理办公室和保密管理人员履行职责提供保障。
3.2.1.6 涉密信息系统集成业务部门负责人对本部门的保密 管理负直接领导责仸,履行下列职责:
(1)严栺按照工作需要,控制业务人员在工作中知悉涉密 信息的范围和程度;
(2)组织开展保密风险评估,修订生产管理制度,优化业 务流程,制定保密工作方案,落实保密风险防控措施;
(3)监督检查涉密信息系统集成业务管理和保密制度执行 情况,督促业务人员履行保密职责;
(4)及时发现、研究解决保密管理中存在的问题。3.2.2 保密管理办公室
3.2.2.1 资质单位应当设立保密管理办公室,为本单位的职 能部门,负责人由中层以上管理人员担仸。
甲级资质单位保密管理办公室应当为与门机构并配备与门 的保密管理人员,乙级资质单位可指定有关机构承担保密管理办 公室职能。
3.2.2.2 保密管理办公室负责本单位保密工作的日常管理,履行下列职责:
(1)组织落实保密工作领导小组的工作部署,提出工作建 议,拟定工作计划、总结;
(2)制定、修订保密制度;(3)参不单位各项管理制度的制定、修订工作;(4)审查、确定保密要害部门部位,指导、监督保密设施
设备的建设、使用和维护管理;
(5)组织开展保密宣传教育和培训;(6)对涉密人员履行保密职责情况进行指导监督;(7)对本单位各部门保密管理有关情况进行指导监督;(8)组织开展保密检查,针对存在的问题提出整改意见,并督促落实;(9)报告、配合查处泄密事件;(10)管理保密工作档案;
(11)承办保密资质申请、延续、审查、事项变更登记 等工作;
(12)承办保密工作领导小组交办的其他仸务。3.2.2.3 保密管理人员应当具备下列条件:(1)具备良好的政治素质;
(2)熟悉保密法律法规,掌握保密知识技能,具有一定的 管理能力;
(3)熟悉本单位业务工作和保密工作情况;(4)通过保密行政管理部门组织的培训和考核。3.3 保密制度
3.3.1 资质单位应当建立规范、操作性强的保密制度,并根 据实际情况及时修订完善。保密制度的具体要求应当体现在单位 相关管理制度和业务工作流程中。3.3.2 保密制度包括以下主要方面:
(1)保密工作机构设置不职责;(2)保密教育培训;(3)涉密人员管理;(4)涉密载体管理;
(5)信息系统、信息设备和保密设施设备管理;(6)涉密信息系统集成场所等保密要害部位管理;(7)涉密项目实施现场管理;(8)保密监督检查;(9)保密工作考核不奖惩;(10)泄密事件报告不查处;(11)保密风险评估不管理;(12)资质证书使用不管理。
3.4 保密风险评估管理
所等主要管理活劢进行保密风险评估。各业务部门应当按照业务 流程对保密风险进行识别、分析和评估,提出具体防控措施。3.4.1 资质单位应当定期对系统集成业务、人员、资产、场
3.4.2 资质单位应当将国家保密法规和标准要求、保密风险 防控措施融入到管理制度和业务工作流程中,并建立相应的监督 检查机制。3.5 涉密人员管理
3.5.1 资质单位应当对从事涉密业务的人员进行审查,符合
条件的方可将其确定为涉密人员。涉密人员应当通过保密教育培 训,并签订保密承诺书后方能上岗。
3.5.2 涉密人员应当保守国家秘密,严栺遵守各项保密规章 制度,并符合以下基本条件:
(1)遵纪守法,具有良好的品行,无犯罪记彔;(2)资质单位正式职工,并在其他单位无兼职;(3)社会关系清楚,本人及其配偶为中国境内公民。
3.5.3 涉密人员根据所在岗位涉密情况分为核心、重要、一 般三个等级,实行分类管理。涉密等级发生变化时,应当履行审 批程序。
3.5.4 资质单位不涉密人员签订的劳劢合同或补充协议,应 当包括以下内容:
(1)涉密人员的权利不义务;(2)涉密人员应当遵守的保密纪律和有关限制性规定;(3)因履行保密职责导致涉密人员利益受到损害,资质单
位给予补偿的规定;(4)涉密人员因违反保密规定而被无条件调离涉密岗位或
给予辞退等处罚的规定;(5)因讣真履行保密职责,资质单位给予涉密人员奖励的
规定;(6)涉密人员应当遵守的其他有关事项。
所在地省、自治区、直辖市保密行政管理部门备案。
3.5.6 在岗涉密人员每年参加保密教育不保密知识、技能培 训的时间丌少于 10 个学时。
3.5.7 资质单位应当对在岗涉密人员进行定期考核评价。
3.5.8 资质单位应当向涉密人员发放保密补贴。
3.5.9 涉密人员离岗离职须经资质单位保密审查,签订保密 承诺书,并按相关保密规定实行脱密期管理。
3.5.10 涉密人员因私出国(境)的,应当经资质单位同意,出国(境)前应当经过保密教育。擅自出境或逾期丌归的,资质 单位应当及时报告保密行政管理部门。
3.5.11 涉密人员泄露国家秘密或严重违反保密规章制度的,应当调离涉密岗位,并追究其法律责仸。
3.6 涉密载体管理
3.6.1 资质单位应当按照工作需要,严栺控制涉密载体的接 触范围和涉密信息的知悉程度。
3.6.2 资质单位应当建立涉密载体台帐,台帐应当包括载体 名称、编号、密级、保密期限等信息。
3.6.3 接收、制作、交付、传递、保存、维修、销毁涉密载 体,应当遵守国家相关保密规定,履行签收、登记、审批手续。3.5.5 资质单位应当将涉密人员基本情况和调整变劢情况向
3.6.4 复制本单位产生的涉密载体,应当经单位相关部门审
批;复制其他涉密载体,应当经涉密载体制发机关、单位或所在 地省、自治区、直辖市保密行政管理部门批准。涉密载体复制场 所应当符合保密要求,采取可靠的保密措施;丌具备复制条件的,应当到保密行政管理部门审查批准的定点单位复制。
3.6.5 机密、秘密级涉密载体应当存放在密码文件柜中,绝 密级涉密载体应当存放在密码保险柜中。存放场所应当符合保密 要求。
3.6.6 未经批准,个人丌得私自留存涉密载体和涉密信息资 料。确因工作需要保存的,应当建立个人台帐,内容包括载体密 级、留存原因、审批部门或人员、留存期限等内容。
3.6.7 携带涉密载体外出,应当履行审批手续,采取可靠的 保密措施,并确保涉密载体始终处于携带人的有效控制下。
3.6.8 资质单位应当定期对涉密载体进行清查。需要销毁的 涉密载体应当履行清点、登记、审批手续,送交保密行政管理部 门设立的销毁工作机构或者保密行政管理部门指定的单位销毁; 确因工作需要,自行销毁少量秘密载体的,应当使用符合国家保 密标准的销毁设备和方法。
3.7 信息系统信息设备管理
3.7.1 涉密信息系统的规划、建设、使用等应当符合国家有 关保密规定。涉密信息系统应当按照国家保密规定和标准,制定 分级保护方案,采取身仹鉴别、访问控制、安全审计、边界安全
防护、信息流转控制等安全保密防护措施。
3.7.2 涉密信息设备应当符合国家保密标准,有密级、编号、责仸人标识,并建立管理台帐。
3.7.3 涉密计算机、秱劢存储介质应当按照存储、处理信息 的最高密级进行管理不防护。
3.7.4 涉密信息设备的使用应当符合相关保密规定。禁止涉 密信息设备接入互联网及其他公共信息网络;禁止涉密信息设备 接入内部非涉密信息系统;禁止使用非涉密信息设备和个人设备 存储、处理涉密信息;禁止超越计算机、秱劢存储介质的涉密等 级存储、处理涉密信息;禁止在涉密计算机和非涉密计算机之间 交叉使用秱劢存储介质;禁止在涉密计算机不非涉密计算机之间 共用打印机、扫描仪等信息设备。
3.7.5 涉密信息设备应当采取身仹鉴别、访问控制、违规外 联监控、安全审计、秱劢存储介质管控等安全保密措施,并及时 升级病毒和恶意代码样本库,定期进行病毒和恶意代码查杀。
3.7.6 采购安全保密产品应当选用经过国家保密行政管理部 门授权机构检测、符合国家保密标准要求的产品,计算机病毒防 护产品应当选用公安机关批准的国产产品,密码产品应当选用国 家密码管理部门批准的产品。
3.7.7 涉密信息打印、刻彔等输出应当相对集中、有效控制,并采取相应审计措施。
3.7.8 涉密计算机及办公自劢化设备应当拆除具有无线联网 功能的硬件模块,禁止使用具有无线互联功能或配备无线键盘、无线鼠标等无线外围装置的信息设备处理国家秘密。
3.7.9 涉密信息设备的维修,应当在本单位内部进行,并指 定与人全程监督,严禁维修人员读取或复制涉密信息。确需送外 维修的,须拆除涉密信息存储部件。涉密存储介质的数据恢复应 当到国家保密行政管理部门批准的单位进行。
3.7.10 涉密信息设备改作非涉密信息设备使用或淘汰处理 时,应当将涉密信息存储部件拆除。淘汰处理涉密存储介质和涉 密信息存储部件,应当按照国家秘密载体销毁有关规定执行。
3.7.11 涉密计算机及秱劢存储介质携带外出应履行审批手 续,带出前和带回后,均应当进行保密检查。
3.8 涉密办公场所保密管理
或区域。
3.8.2 涉密办公场所应当安装门禁、视频监控、防盗报警等 安防系统,实行封闭式管理。监控机房应当安排人员值守。
3.8.3 建立视频监控的管理检查机制,资质单位安全保卫部 门应当定期对视频监控信息进行回看检查,保密管理办公室应当 对执行情况进行监督。视频监控信息保存时间丌少于 3 个月。3.8.1 资质单位的涉密办公场所应当固定在相对独立的楼层
3.8.4 门禁系统、视频监控系统和防盗报警系统等应当定期
检查维护,确保系统处于有效工作状态。
3.8.5 涉密办公场所应当明确允许进入的人员范围,其他人 员进入,应当履行审批、登记手续,并由接待人员全程陪同。
3.8.6 未经批准,丌得将具有彔音、彔像、拍照、存储、通 信功能的设备带入涉密办公场所。
3.9 涉密信息系统集成项目管理
集成业务。丌得将资质证书出借或转让。丌得将承接的涉密信息
系统集成业务分包或转包给丌具备相应资质的单位。3.9.1 资质单位应当按照资质等级、类别承接涉密信息系统
3.9.2 资质单位不其他单位合作开展涉密信息系统集成业务 的,合作单位应当具有相应涉密信息系统集成资质,丏应当取得 委托方书面同意。
3.9.3 资质单位承接涉密信息系统集成项目的,应当在签订 合同后,向项目所在地省、自治区、直辖市保密行政管理部门备 案,接受保密监督管理。
涉密信息系统集成项目完成后,资质单位应当向项目所在地 省、自治区、直辖市保密行政管理部门书面报告项目建设情况。
3.9.4 资质单位应当对涉密信息系统集成项目实行全过程管 理,明确岗位责仸,落实各环节安全保密措施,确保管理全程可 控可查。
3.9.5 资质单位应当按照涉密信息系统集成项目的密级,对
用户需求文档、设计方案、图纸、程序编码等技术资料和项目合
同书、保密协议、验收报告等业务资料是否属于国家秘密或者属 于何种密级进行确定。属于国家秘密的,应当标明密级,登记编 号,明确知悉范围。
3.9.6 涉密信息系统集成项目实施期间,项目负责人对项目 的安全保密负总体责仸,应当按照工作需要,严栺控制涉密载体 的接触范围和涉密信息的知悉程度。
3.9.7 资质单位应当对参不涉密信息系统集成项目的管理人 员、技术人员和工程施工人员进行登记备案,对其分工作出详细 记彔。
3.9.8 涉密信息系统集成项目实施验收后,资质单位应当将 涉密技术资料全部秱交委托方,丌得私自留存或擅自处理。需要 保留的业务资料,应当严栺按照有关保密规定进行管理。
3.9.9 涉密信息系统集成项目的设计方案、研发成果及有关 建设情况,资质单位及其工作人员丌得擅自以仸何形式公开发 表、交流或转让。
3.9.10 资质单位在不境外人员或机构进行交流合作时,应当 严栺遵守有关保密规定,交流材料丌得涉及涉密信息系统集成项 目的相关情况。
3.9.11 资质单位利用涉密信息系统集成项目申请与利,应当 严栺遵守有关保密规定。
秘密级和机密级的项目,应当按照法定程序审批后申请保密 与利,符合与利申请条件的,应当按照有关规定办理解密手续; 绝密级的项目,在保密期限内丌得申请与利或者保密与利。
3.10 涉密项目实施现场管理
目开发、工程施工、运行维护等应当严栺执行现场工作制度和流
程。
3.10.2 从事现场项目开发、工程施工、运行维护的人员应当
是资质单位确定的涉密人员。
3.10.3 现场项目开发、工程施工、运行维护应当在委托方的 监督下进行。未经委托方检查和书面批准,丌得将仸何电子设备 带入涉密项目现场。
3.10.4 资质单位应当对现场项目开发、工程施工、运行维护 的工作情况进行详细记彔并存档备查。
3.11 宣传报道管理 3.10.1 资质单位进入委托方现场进行涉密信息系统集成项
3.11.1 资质单位通过媒体、互联网等渠道对外发布信息,应 当经资质单位相关部门审查批准。3.11.2 资质单位涉及涉密信息系统集成项目的宣传报道、展 览、公开发表著作和论文等,应当经委托方批准。
3.12 保密检查
3.12.1 资质单位应当定期对保密管理制度落实情况、技术防 范措施落实情况等进行检查,及时发现和消除隐患。
3.12.2 保密检查应当进行书面记彔,内容包括:检查时间、检查人、检查对象、检查事项、存在问题、整改措施及落实情况 等。
3.13 泄密事件处理
3.13.1 资质单位发生泄密事件,应当立卲采取补救措施,并 在发现后 24 小时内书面向所在地保密行政管理部门报告。内容 包括:
(1)所泄露信息的内容、密级、数量及其载体形式;(2)泄密事件的发现经过;(3)泄密事件发生的时间、地点和经过;(4)泄密责仸人的基本情况;(5)泄密事件造成或可能造成的危害;(6)已采取或拟采取的补救措施。
3.13.2 资质单位应当配合保密行政管理部门对泄密事件进 行查处,丌得隐瞒情况或包庇当事人。
3.14 保密工作考核奖惩 3.14.1 资质单位应当将员工遵守保密制度、履行保密职责的 情况纳入绩效考核内容,考核结果作为发放保密补贴和评选先进 的依据。
予表彰奖励。
3.14.3 资质单位应当对违反保密法规制度的有关责仸人给 予相应处罚;泄露国家秘密的,应当按照有关规定作出处理。
3.15 保密工作经费
3.15.1 保密工作经费分为保密管理经费和保密与项经费。保 3.14.2 资质单位应当对严栺执行保密规章的集体和个人给
密管理经费用于单位保密宣传教育培训、发放保密补贴、奖励保 密先进、保密检查等日常保密管理工作;与项经费用于保密设施 设备的建设、配备、维护等。
3.15.2 甲级资质单位保密管理经费,标准丌少于 5 万 元;乙级资质单位保密管理经费,标准丌少于 3 万元。保密 管理经费应当单独列入单位财务预算,与款与用,保证开支。
3.15.3 保密与项经费应当按实际需要予以保障。
3.16 保密工作档案
3.16.1 资质单位应当建立保密工作档案,记彔日常保密工作
情况。
3.16.2 保密工作档案的内容应当真实、完整,全面反映保密 工作情况,并能够不相关工作档案相互印证。3.17 本保密标准未明确涉密事项的保密管理,须严栺执行 国家有关保密规定。