第一篇:《武器装备科研生产单位一级保密资格标准》解读 2017版
1/63
第三部分
《武器装备科研生产单位一级保密资格标准》
解读
《标准》是依据党和国家有关保密工作方针政策、法律和法规制定的,是对保密法律法规要求的具体细化,作为军工保密资格审查认定的基本依据,也是衡量军工单位保密工作水平的具体标准。《标准》分为一级、二级、三级,包括适用范围、实施要求和具体标准。其中,具体标准包括保密责任、归口管理、保密组织机构、保密制度、保密管理、监督与保障等六个方面要求。
本说明只注释一级《标准》条款。二级、三级《标准》条款具体释义以本说明为基本参考依据。
一、适用范围 【原文】
1.1本标准为武器装备科研生产单位一级保密资格审查认定的依据。【注释】
本《标准》是对申请武器装备科研生产一级保密资格单位进行书面审査、现场审査或者复査的依据,也是对承担武器装备科研生产任务的一级保密资格单位保密工作的基本要求,同时也是武器装备科研生产一级保密资格单位开展保密工作的基本依据。
二、实施要求 【原文】
2.1积极防范,突出重点,严格标准,依法管理。
2.2业务工作谁主管,保密工作谁负责,促进保密工作与业务工作相融合。2.3规范定密,严格按照工作需要控制国家秘密的知悉范围。2.4健全保密管理体系,提升系统防范能力。【注释】
本条对《标准》的实施要求作出规定。
1.“积极防范”是指要坚持关口前移、预防为主,教育、监督并重,采取人防、物防和技防相结合的防范措施,提高防范、发现和处置等能力。
2.“突出重点”是指要从维护国家安全利益的角度,结合本单位实际情况,针对定密、涉
2/63
密人员、保密要害部门部位、涉密信息系统、信息设备和存储设备等最容易发生保密隐患和漏洞的地方入手,突出重点抓好保密管理工作。
3.“严格标准”是要按照《标准》的各项要求,建立健全保密管理体系,逐条逐项组织抓好落实,切实娜本单位的保密工作。
4.“依法管理”是要按照党和国家有关保密工作方针政策、法律和法规要求,牢固树立保国家安全、保单位发展、保个人家庭意识,做到遵纪守法,依法管理,严格护法,确保国家秘密安全。5.“业务工作谁主管,保密工作谁负责,促进保密工作与业务工作相融合”,是要把保密工作作为业务工作的重要组成部分,严格落实一岗双责,抓好业务工作的同时必须抓好保密工作,切实履行涉密业务部门的保密主体责任,促进保密工作与业务工作相互融合发展。
6.“规范定密,严格按照工作需要控制国家秘密的知悉范围”是指要严格按照法定程序确定国家秘密的密级、期限和知悉范围,并根据情况变化及时变更和解除国家秘密。同时做到未经授权不得接触知悉国家秘密事项,且知悉范围内的人员未经授权不得扩大知悉范围。
7.“健全保密管理体系,提升系统防范能力”是指要根据国家有关法律法规,建立健全本单位保密管理制度体系,结合工作实际开展保密风险评估,加强自查自纠,及时清除隐患,提升系统风险防范能力。
三、具体标准 【原文】 3保密责任 【注幹】
保密责任是保密工作落实到位的关键。本部分内容对单位法定代表人或者主要负责人、分管保密工作负责人、其他负责人、涉密部门或者项目负责人和涉密人员五个层次承担的岗位责任,分别提出不同的保密责任要求。
【原文】
3.1法定代表人或者主要负责人责任 3.1.1对本单位保密工作负全面领导责任;
3.1.2贯彻党和国家有关保密工作的方针政策和法律法规,并提出明确落实要求; 3.1.3了解和掌握单位保密工作情况,及时研究解决保密工作重大问题; 3.1.4为保密工作提供人力、财力、物力等条件保障;
3/63
3.1.5监督保密工作责任制的落实。【注释】
1.法定代表人是指依法代表法人行使民事权利、履行民事义的主要负责人,是单位重要决策者和资源管理者,对保密工作的开展起至关重要作用,对单位保密工作负全面领导责任。
2.法定代表人或者主要负责人要了解和掌握单位保密工作情况,将保密工作情况列入党委(党组)议事日程,及时研究解决保密工作重大问题;结合本单位实际,对贯彻党和国家有关保密工作的方针政策和法律法规,提出具体落实要求,为本单位保密工作开展提供人力、财力、物力等条件保障。特别是要将履行保密责任纳入绩效考核内容,落实保密奖惩措施,重点监督各类人员保密工作责任制落实。
3.主要负责人是指除法定代表人之外的主持单位全面工作的负责人。若企业法定代表人不实际履行企业领导管理职责,则由授权实际主持工作的主要负责人履行本单位法定代表人的责任,对本单位保密工作负全面领导责任。
【原文】
3.2分管保密工作负责人责任
3.2.1对本单位保密工作负具体领导责任; 3.2.2组织研究和部署落实保密工作;
3.2.3协调解决保密工作中的重点、难点问题; 3.2.4监督、检查保密工作落实情况; 3.2.5为保密工作机构履行职责提供保障。【注释】
分管保密工作负责人,是指单位保密委员会主任或者实际主持单位保密委员会工作的负责人或者保密总监,对本单位保密工作负具体组织领导责任。
【原文】
3.3其他负责人责任
3.3.1对分管业务范围内的保密工作负直接领导责任; 3.3.2将保密管理要求融入分管业务工作;
3.3.3组织制定分管业务范围内的保密管理制度和措施,并督促检查落实; 3.3.4在分管业务范围内为保密工作开展提供保障。
4/63
【注释】
其他负责人,是指单位除法定代表人或者主要负责人及保密委员会主任以外的单位其他经营管理班子成员,按照“业务工作谁主管,保密工作谁负责”的原则,对所分管的业务工作范围内的保密工作负直接领导责任。
【原文】
3.4涉密部门负责人或者涉密项目负责人责任
3.4.1对本部门或者本项目的保密工作负直接管理责任;
3.4.2明确部门或者项目内人员的保密职责,按照工作需要控制国家秘密的知悉范围; 3.4.3将保密管理要求融入业务工作制度中; 3.4.4采取具体措施组织落实单位保密工作部署; 3.4.5开展日常保密教育和监督检查。【注释】
1.涉密部门负责人,是指单位内设机构涉密部门负责人;涉密项目负责人,是指具体负责涉密科研项目或者课题的负责人。
2.涉密部门负责人或者项目负责人,直接掌握和管理本部门或者本项目业务工作范围内的保密工作,对本部门或者本项目的保密工作负直接管理责任。
3.涉密部门或者项目负责人作为单位基层保密工作的具体组织和实施者,要按照“业务工作谁主管,保密工作谁负责”的基本原则,明确本部门或者本项目人员的岗位保密职责,严格按照工作需要控制接触和知悉国家秘密的人员范围,将保密要求融入业务工作当中,认真落实单位各项保密工作部署,切实加强人员的日常教育、检査和监督管理。
【原文】 3.5涉密人员责任
3.5.1对本职岗位保密工作负直接责任; 3.5.2掌握基本的保密知识、技能和要求; 3.5.3遵守保密法规制度,履行岗位保密职责; 3.5.4及时报告泄密隐患,制止违法违规行为。【注释】
涉密人员直接接触和知悉国家秘密,对本职岗位的保密工作负有直接责任。保守知悉和掌
5/63
握的国家秘密、制止和报告违法违规行为,是涉密人员最基本的责任和义务,要加强学习,熟练掌握基本的保密知识、技能和要求,真正有效履行本职岗位保密工作主体责任。
【备注】
二级和三级《标准》保密责任要求与一级《标准》的要致。【原文】 4归口管理 【注释】
归口管理是推动建立健全单位保密管理体系建设,落实“业务工作谁主管,保密工作谁负责”原则的重要举措,本部分内容对实施归口管理提出了明确要求。
【原文】
单位科研生产、人力资源、信息化、新闻宣传、外事等职能部门,应当明确职责,结合各自业务工作实际,归口负责业务工作范围内的保密管理工作和相关工作制度制定。
【注释】
归口管理是指单位应当根据各项涉密业务属性,结合单位内设部门机构职能,按照“业务工作谁主管,保密工作谁负责”的原则,合理确定各类业务归口管理部门。归口管理部门要在单位保密委员会领导和保密工作机构指导下,负责业务工作范围内的相关保密和业务工作制度制定,并将相关保密要求融入业务工作制度,使保密工作成为业务工作的重要组成部分,逐步建立健全符合各单位实际的保密管理体系,确保涉密业务开展到哪里,保密要求就延伸到哪里,有效实现业务工作与保密工作的相互融合发展。
【备注】
二级和三级《标准》归口管理要求与一级《标准》的要求相一致。【原文】 5保密组织机构 【注释】
保密组织机构是开展保密工作的基本保障。本部分内容对保密委员会、保密工作机构、保密工作人员配备等方面提出要求。
【原文】 5.1保密委员会
6/63
5.1.1单位应当成立保密委员会,保密委员会为单位保密工作领导机构,应当明确职责并制定工作规则。
5.1.2保密委员会由单位负责人和有关部门负责人组成,并明确职责分工。保密委员会主任由单位负责人担任。
5.1.3保密委员会应当实行例会制度,对保密工作进行研究、部署和总结,重要问题应当及时研究解决。
5.1.4保密委员会成员应当每年向保密委员会报告履职情况。5.1.5单位应当依照有关规定设立保密总监。5.1.6保密委员会应当设立办公室,承办日常工作。【注释】
1.单位应当成立保密委员会,组织领导本单位的保密工作。保密委员会主任由单位主要负责人担任,保密委员会成员一般由单位其他负责人和综合协调、科研、生产、计划、组织人事、宣传、外事、财务,保密和保卫等内设部门的主要负责人担任。
设立董事会制度的企业事业单位,保密委员会负责人也可由单位总经理及相应经营管理层负责人担任。
2.保密委员会应当制定明确的职责和工作规则。其基本职责|是贯彻落实党的保密工作方针政策及国家有关保密法律法规;研究部署本单位保密工作;组织审定本单位保密制度;审查审批本单位保密工作重要事项;组织检査单位保密工作开展情况;组织査处失泄密案件等。保密委员会具体工作规则根据单位实际情况自行确定。
3.保密委员会要实行例会制度,及时研究解决单位保密工作重大问题,年度内全体会议不得少于一次。保密委员会通过述职述密等方式向保密委员书面报告履职情况。
4.一级保密资格单位应当设立专职保密总监,职级应高于内设二级部门机构正职,纳入单位编制序列,作为保密委员会专职委员,在保密委员会领导下,协助保密委员会主任组织开展单位保密工作。
【原文】 5.2保密工作机构
5.2.1单位应当设置专门负责保密管理工作的职能部门,独立行使保密管理职能。单位涉密人员100人以下的,可不设立专门部门,但应当确定一个部门履行保密管理职责。
7/63
5.2.2保密工作机构主要职责
5.2.2.1组织落实保密委员会工作部署;
5.2.2.2组织制定保密基本制度,拟制年度保密工作计划,对落实保密工作提出意见建议; 5.2.2.3监督指导各部门保密工作;
5.2.2.4组织确定和调整保密要害部门部位; 5.2.2.5组织开展保密检查;
5.2.2.6组织查处违反保密法律法规的行为和泄密事件; 5.2.2.7提出保密责任追究和奖惩建议。【注释】
1.专门负责保密管理工作的职能部门是指列入本单位内设二级机构编制序列,独立行使保密管理职能,专门从事保密管理工作,并直接对本单位保密委员会负责的专门机构。军工集团公司总部、院级等管理机构可设在三级机构之内。
2,单位涉密人员100人(含)以上的,应当成立专门保密管理工作职能部门;100人以下的,指定一部门负责保密管理工作,成立保密工作办公室,独立行使保密管理职能。
3.单位保密工作机构的主要职责是在保密委员会的领导下,组织、协调、指导和监督检査本单位保密工作落实情况,推动保密工作与业务工作相互融合发展。
4.单位保密工作机构设置不符合标准要求的,作为一票否决项,中止审查或复査。【原文】
5.3保密工作机构人员配备
5.3.1涉密人员1000人(含)以上的,专职工作人员不得少于4人;500人(含)以上1000人以下的,专职人员不得少于3人;100人(含)以上500人以下的,专职人员不得少于2人;100人以下的,专职人员不得少于1人。
管理多个法人单位的,其保密工作机构人员配备应当按所管理单位涉密人员总数计算。涉密人员超过100人(含)的部门,应当配备1名专职保密工作人员;100人以下的,配备兼职保密工作人员。
5.3.2专职保密工作人员2人(含)以上的,应当配备1名保密技术管理人员。5.3.3保密工作机构人员条件 5.3.3.1具备良好的政治素质;
8/63
5.3.3.2熟悉保密法律法规,掌握保密知识技能,具有一定的管理能力; 5.3.3.3熟悉本单位业务工作和保密工作情况; 5.13.4经过保密知识技能培训。【注释】
1.涉密人员数量,是指本单位及其所属单位确定的涉密人员数量的总和。
2.专职保密工作人员,是指专门从事保密管理工作的人员,不兼任除保密管理工作之外的其他工作。保密工作机构负责人应为单位专职从事保密管理工作的负责人。涉密人员超过500人(含)以上的单位或任务较重的部门可适当增加专职保密干部数量。单位保密工作机构专职保密工作人员配备人数不包括单位所属内设涉密部门所配备的专职保密员。
3.保密技术管理人员,是指接受过相关计算机网络或信息技术;专业学习或培训,熟悉国家有关保密法规和与保密工作相关的各类信息安全技术防范知识,能够指导、监督和检查本单位保密技术防范措施建设和管理的人员。
4.保密干部业务培训一般须经省、自治区、直辖市以上保密行政管理部门和国防科技工业管理部门、教育、工信、国资等国家主管部门、中科院、军工集团公司、中国工程物理研究院总部组织的培训。组织开展保密专业知识技能培训,是适应形势变化、提高专业能力、做好保密管理工作的重要保障。
【备注】
二级和三级《标准》保密工作机构根据实际,对保密委员会设立、保密工作机构设置、专职保密人员配备以及机构职责个别条款与一级《标准》要求上有所区别。
6保密制度 【注释:】
建立健全完善的保密规章制度是做好保密工作的基础。本部分内容对建立健全保密基本制度、专项制度和业务工作制度分别提出相应工作要求。
6.1保密制度应当全面、规范,具有可操作性,并根据实际情况及时修订。
6.2单位应当建立保密基本制度,包括保密责任(含归口管理责任),定密工作,涉密人员,保密教育培训,国家秘密载体,密品,保密要害部门部位,信息系统、信息设备和存储设备,新闻宣传,涉密会议,协作配套,涉外活动,外场试验,保密监督检查,泄密事件报告和查处,考核与奖惩等方面基本要求。
9/63
6.3重大涉密工程或者项目应当制定专项保密制度。
6.4单位各职能部门应当将保密管理要求融入业务工作制度中,并组织落实。【注释】
1.基本保密制度是单位依据党和国家有关保密工作方针政策和保密法律法规,以及上级有关规定制定的日常保密管理总的工作规范,涵盖单位落实保密责任(含归口管理责任),定密工作,涉密人员,保密教育培训,国家秘密载体,密品,保密要害部门部位,信息系统、信息设备和存储设备,新闻宣传,涉密会议,协作配套,涉外活动,外场试验,保密监督检查,泄密事件报告和查处,考核与奖惩等保密工作各个方面基本要求・由单位保密工作机构牵头组织制定,总的要求应符合党和国家保密工作方针政策和保密法律法规规定,紧密联系单位实际,适应工作开展,做到健全、规范,可操作。如果单位不涉及要求规定的某项工作内容,可以免于制定有关该项工作的规定。
2.单位保密基本制度中涉及定密管理、涉密人员管理、国家秘密载体管理、密品管理、保密要害部门部位管理、信息系统和信息设备及存储设备管理、新闻宣传管理、涉密会议管理、协作配套管理、涉外活动管理、外场试验管理、保密监督检查、泄密事件报告和查处、考核与奖惩等方面各项的具体要求和流程,由单位相关业务归口管理部门会同单位保密工作机构组织制定,经单位保密委员会审定后,由单位法定代表人或主要负责人签发颁布实施。并要根据相关情况的发展变化,及时对保密制度进行修订完善,注意与保密法律法规和上级有关政策法规相一致、与实际工作相适应的要求。
3.业务工作制度是单位根据具体科研生产或管理需要,结合实际制定的工作规范和要求。业务工作中涉及保密管理要求的,单位业务职能归口管理部门要根据业务工作流程,将保密管理要求融人各个环节,体现业务工作开展到哪里,保密工作就延伸到哪里。
4.专项保密制度是根据重大涉密工程或项目的特点,为保证重大涉密工程或者项目科研生产过程中国家秘密安全,在现有保密基本制度的基础上制定的特殊保密管理措施。应当明确有关工程或者项目密级、众项、研制、试验、结题以及参研人员管理等全过程保密铃理要求。单位业务部门根据甲方单位或项目总承包单位有关要求负贵制定,单位保密上作机构应当进行指导和监督。
5.重大涉密工程或者项目是指涉密程度高、研制周期长、参与单位多,在政治、军事、外交等方面较为敏感的重要武器装备科研生产工程或项目。
10/63
【备注】
三级《标准》未提出制定专项制度要求。7保密管理 【注释】
保密管理是落实保密工作法律法规制度的主要手段。《标准》从定密管理、涉密人员管理、国家秘密载体管理、密品管理、保密要害部门部位管理、信息系统和信息设备存及储设备管理、新闻宣传管理、涉密会议管理、外场试验管理、协作配套管理、涉外管理等方面提出保密要求。
7.1定密管理
7.1.1单位应当根据定密权限依法开展定密工作。
7.1.2单位应当明确定密程序,制定国家秘密事项范围细目,并根据情况变化及时调整。7.1.3单位对产生的国家秘密事项应当及时确定密级、保密期限和知悉范围。
7.1.4法定代表人或者主要负责人对单位定密工作负总责。法定代表人或者主要负责人可以根据工作需要指定定密责任人,明确定密权限。
7.1.5定密责任人应当接受定密培训,经考核具备上岗能力。
7.1.6定密责任人在职责范围内承担有关国家秘密确定、变更和解除工作。
7.1.7单位应当每年组织对本单位产生的国家秘密事项进行审核,做好国家秘密变更和解除工作。
【注释:】
1.取得保密资格是指单位具备承担涉密武器装备科研生产任务的资格,不等同于获得定密授权,未经具有定密授权资格单位的授权,不能直接从事定密业务。
2.按照《国家秘密定密管理暂行规定》,三年来,年均产生绝密级6件以上的单位可申请绝密级、机密级、秘密级定密权;年均产生机密级6件以上的单位可申请机密级、秘密级定密权;年均产生秘密级6件以上的单位可申请秘密级定密权。这里的“年”是指自然年。
3.军工集团公司所属单位申请定密授权,可由军工集团公司审核后,报国家国防科技工业局审批。
地方军工、民口配套单位(含非公有制企业),应当向所在地省级国防科技工业管理部门提出申请,并由省级国防科技工业管理部门审核后,报国家国防科技工业局审批。
承担涉密武器装备科研生产任务的中国科学院、有关高校及其他企业事业单位,应当向其
11/63
上级机关或者业务主管部门提出申请,经审核后报国家国防科技工业局审批。
4.单位主管科研生产和定密的归口管理部门,应当会同保密工作机构,组织相关涉密业务部门依据任务或者项目原始密级和有关保密范围,研究制定本单位《国家秘密事项范围细目》,经单位法定定密责任人审批后生效。
5.单位应当明确定密程序,由承办人依据单位《国家秘密事项范围细目》提出拟定密级・保密期限和知悉范围的初始建议,经部门或者项目负责人审核,提交本单位定密责任人审批。
6.定密责任人包括两类人员・一类是法定定密责任人,另一类是由法定定密责任人根据工作需要指定的定密责任人。法定定密责任人是单位法定代表人或者单位主要负责人,对单位定密工作负总责。指定定密责任人一般包括单位分管涉密业务工作的其他负责人、业务部门或者研制项目负责人等。法定定密责任人在指定定密责任人时,应当同时确定其定密权限、定密范围,根据职务、岗位不同,授予其不同的定密权限。
7.定密责任人应当定期接受各级机关、单位组织的定密培训,熟悉国家有关定密法规、本单位国家秘密事项范围和定密解密程序,切实履行定密职责,提高定密工作水平。
8.定密工作归口管理部门应当定期对本单位定密工作进行审核,协调相关部门对本单位产生的国家秘密及其变更、解除工作进行清理统计。
【备注】
二级和三级《标准》定密管理要求与一级《标准》的要求相一致。7.2涉密人员管理
7.2.1单位应当对岗位和人员的涉密等级作出界定。
涉密岗位和人员的涉密等级分为核心、重要和一般三个等级。7.2.2涉密人员的涉密等级,应当根据情况变化,及时进行调整。
7.2.3进入涉密岗位的人员应当通过审查和培训,签订保密承诺书,并定期组织复审。7.2.4单位应当对在岗涉密人员进行保密教育培训,每人每年度不少于15学时。7.2.5涉密人员严重违反保密制度的,应当及时调离涉密岗位。
7.2.6单位应当每年对涉密人员进行考核,考核不合格的,应当及时调离涉密岗位。7.2.7单位应当根据涉密人员的涉密等级,给予相应的保密补贴。
7.2.8单位应当及时将涉密人员在公安机关出入境管理机构备案。涉密人员出国(境)应当履行审批程序,出国(境)前单位应当对其进行保密教育,返回后及时进行回访。擅自出
12/63
国(境)或者逾期不归的,单位应当立即向上级机关、单位和有关部门报告。
7.2.9单位应当对涉密人员的出入境证件实行统一管理。
7.2.10挂职返聘借调、学习实习人员从事涉密工作以及临时参与涉密业务的,由用人单位按照涉密人员进行管理。
7.2.11涉密人员离岗离职,应当在离岗离职前清退保管和使用的国家秘密载体、涉密信息设备、涉密存储设备和密品等,并与单位签订保密承诺书,明确应当承担的法律责任和具体脱密期限。单位应当按照有关规定对其实行脱密期管理。
【注释:】
1.单位应当将下列岗位确定为涉密岗位:传递、保管、维修和销毁国家秘密载体的岗位;建设、管理、运维等岗位;承担涉密项目研究、建设、岗位;从事国家秘密产品生产的岗位及相关管理岗位;定密责任人岗位;其他专门处理国家秘密的岗位。
不属于上述特定岗位,但在工作中产生、处理国家秘密达到一定数量的岗位,应当确定为涉密岗位。年产生、处理3项(件)以上绝密级国家秘密事项的,可以确定为核心涉密岗位;年产生、处理绝密级国家秘密事项不足3件(项)或者机密级国家秘密事项6项(件)以上的,可以确定为重要涉密岗位;年产生、处理机密级国家秘密事项不足6件(项)或者秘密级国家秘密事项9项(件)以上的,可以确定为一般涉密岗位。
2.单位应根据涉密岗位密级确定在涉密岗位工作的人员的密级只接触绝密级、机密级国家秘密载体但不知悉内容的涉密人员,在确定涉密等级时,可以下调一级不在涉密岗位工作,但又接触或者知悉少量国家秘密的工作人员.可以不确定为涉密人员。
3.单位应当严格上岗前保密审查
(1)对涉密人员上岗前保密审查,主要包括:国籍、政治立场、个人品行、学习经历、工作经历、现实表现、主要社会关系以及与闰亡境)外机构组织和人员交往等情况单位认为有必要的,可以提请公安机关和国家安全机关协助审查一拟任(聘)用有境外学习、工作背景的人员从事涉密工作,应当按照有关规定进行国家安全背景审查审查不合格的,不得任(聘)用到涉密岗位工作。
单位借用、交流、实习等人员需要进人涉密岗位的,按照上述要求执行。
(2)人岗前保密培训内容主要是保密形势、单位保密事项和保密规章制度以及保密基本知识技能等,切实提高人员的保密意识和能力。培训后应当组织考核,未经培训或者考核不合格
13/63 的,不得任(聘)用到涉密岗位工作。
(3)涉密人员上岗前,单位应当与涉密人员签订《国防科技工业涉密人员保密承诺书》,主要内容包括保密管理要求、涉密人员应当履行的保密义务和承担的责任,由双方签字盖章后生效。
4.单位应当加强涉密人员在岗管理。
(1)定期组织对涉密人员进行教育培训和复审,年度培训不少于15学时。核心涉密人员每年复审一次,重要涉密人员每3年复审一次,一般涉密人员每5年复审一次。涉密人员发生岗位变动、类别调整的,应当及时进行复审。
(2)及时将涉密人员信息报所在地的地市级以上公安机关出人境管理机构备案。对于挂职、借调期间确定为涉密人员的,挂职、借调单位应通知原单位进行备案,原单位不具备备案条件的,由挂职、借调单位进行备案。
(3)对涉密人员出人境证件统一管理,并建立台账。经批准出国(境)的,应当对其进行行前保密提醒,并做好回访工作。归国后,7个工作日内,所在单位将出人境证件收回统一保管。核心涉密人员原则上不予批准因私出国(境),特殊情况应报国家国防科技工业局办理保密审批手续。
(4)定期对涉密人员遵守保密制度、履行保密职责等情况进行考核,对考核不合格的以及严重违反保密法律法规和保密制度,造成泄密事件或者酿成重大泄密隐患的,应当及时调离涉密岗位。
5.单位应当加强涉密人员离岗管理。
(1)对离岗涉密人员要实行脱密期管理,并明确脱密期管理有关要求,核心涉密人员的脱密期为3年,重要涉密人员的脱密期为2年,一般涉密人员的脱密期为1年。从事弹道导弹、核武器、军用核动力、核潜艇等装备研制的技术专业人员脱密期限不少于5年。
(2)对离岗涉密人员,应当督促本人将管理、使用的全部国家秘密载体上交单位,列出移交数量清单,办理清退手续,不得私自留存。
(3)与离岗涉密人员签订《国防科技工业涉密人员离岗离职保密承诺书》,明确脱密期间应当承担的保密责任和义务,提出具体保密要求。
(4)定期对脱密期涉密人员实施回访,了解脱密期内涉密人员工作、生活等有关情况,并作出记录。特别是对在脱密期内的涉密人员不得撤销出人境备案,不得将出人境证件交给本人
14/63
保管。
(5)涉密人员在本单位内部调离涉密岗位或退休的,脱密期管理由本单位负责。涉密人员调人其他党政机关、人民团体、位或者具备军工保密资格单位的,脱密期管理由调人机关、责,调出单位应当将涉密人员脱密期限函告调人机关、单位涉密人员出人境证件移交调人机关。在确认调人机关、单位为其在公安机关出人境管理部门备案前,至脱密期结束。
不属于上述情形的,调出单位应当将涉密人员脱密期限函告其社保关系转人地的地市级以上保密行政管理部门;对社保关系转入地不明确的,应当将脱密期限函告其户籍所在地的地市级以上保密行政管理部门。调出单位应当继续履行涉密人员管理相关职责,在人员脱密期内不得撤销在公安机关出人境管理部门的备案,不得将出人境证件交给本人保管。
【备注】
二级和三级《标准》涉密人员管理要求与一级《标准》的要求基本相一致。三级《标准》涉密人员管理的要求主要在培训时间量化要求上有所区别。
7.3国家秘密载体管理
7.3.1国家秘密载体应当相对集中管理,建立台账,做到账物相符,追溯期限不少于3年。7.3.2国家秘密载体应当按照有关规定作出国家秘密标志,标明密级和保密期限。7.3.3制作、收发、传递、使用、复制、保存、维修和销毁国家秘密载体,应当符合有关规定。
7.3.4单位应当根据工作需要,严格控制国家秘密的知悉范围。持有国家秘密载体或者知悉国家秘密,应当履行审批程序。
7.3.5机密级(含)以下国家秘密载体应当存放在密码文件柜中,绝密级国家秘密载体应当存放在密码保险柜中。
7.3.6国家秘密载体的管理和使用,应当禁止以下行为: 7.3.6.1非法获取、持有国家秘密载体; 7.3.6.2非法复制、记录、存储国家秘密; 7.3.6.3买卖、转送或者私自销毁国家秘密载体;
7.3.6.4通过普通邮政、快递等无保密措施的渠道传递国家秘密载体; 7.3.6.5邮寄、托运国家秘密载体出境;
7.3.6.6未经有关主管部门批准,携带、传递国家秘密载体出境。
15/63
【注释:】
1.按照业务工作谁主管,保密工作谁负责的原则,通过采取按照工作职责划分、管理环节过程、存放场所物理位置集中等方式方法,对国家秘密载体进行相对集中管控。
2.单位各业务部门和个人应当建立涉密载体台账,部门台账与个人台账的内容应当一致,并与实物相符合,追溯期限一般不少于3年。台账基本要素包括:涉密载体名称、编号、密级、份数、页数和保密期限。
3.国家秘密载体的制作、收发、传递、修和销毁应当严格执行国家保密管理规定,各个环节履行签收、登记、审批等手续,确保程序规范,过程管理严格,手续齐全清楚。
国家秘密载体不需要留存的,应当及时销毁。销毁国家秘密载体应当履行清点、登记、审批手续,并送交保密行政管理部门设立的销毁工作机构或者保密行政管理部门指定的单位销毁。机关、单位确因工作需要,自行销毁少量国家秘密载体的,应当使用符合国家保密标准的销毁设备和方法。
4.单位应当按照工作需要和最小化的原则,确定国家秘密载体的接触人员范围,不得擅自扩大国家秘密的知悉范围。未经批准不得持有、知悉国家秘密。
单位对接触绝密级国家秘密载体的人员要严格指定,并对接触和知悉的时间、处理结果等情况记录在案。
5.《标准》中提到的违规行为是导致保密措施失效、国家秘密失控、国家秘密安全遭受严重威胁的最常见、最典型的行为,应当依法追究有关责任人员的法律责任。《保密法》第四十八条明确规定,不论是否产生泄密实际后果,只要发生所列举的严重违规行为之一的,都应依法追究责任。在审查(复查)中发现单位存在上述违规行为的,除按照《评分标准》中止审查(复查)或扣除相应分数外,还应作出详细记录并进行取证,向负责审批的保密行政管理部门和国防科技工业管理部门报告。有关情况经核实后,作为对该单位作出行政审批决定或处罚的重要依据,并依法追究有关人员法律责任。
【备泣】
二级《标准》国家秘密载体管理要求与一级《标准》的要求相一致。三级《标准》因不涉及绝密级,与一级《标准》国家秘密载体管理的要求相比有所简化。
7.4密品管理
7.4.1密品应当确定密级,按照国家有关规定作出国家秘密标志,并在有关技术文件中注
16/63
明。
7.4.2密品应当建立台账,做到账物相符。
7.4.3对外形和构造容易暴露国家秘密的密品,在研制、生产、试验、运输、保存、维修、使用过程中应当对其采取遮挡或者其他保护性措施。
7.4.4密品禁止通过普通邮政、快递等渠道传递。重要密品运输应当制定安全保密方案,落实安全保密措施,并做好记录。
7.4.5密品销毁应当履行审批程序,选择符合保密要求的部门、单位、场所进行,指定人员监销。
【注释】
1.密品是指直接含有国家秘密信息 或者通过观察、测试、分析等手段能够获取所承载的国家秘密信息的设备和产品。
2.密品属于设备、产品形态的国家秘密载体、应当在壳体及封面、外包装的显著位置标注国家秘密标志,无法在物品本身标注或者不宜作出国家秘密标志的.应当在密品技术说明书(履历书)中注明密级、保密期限和知悉范围,并提出相应的保密措施。
3.密品管理部门应当建立台联,且与实物相符合台账基本要素包括:密品名称、编号、密级、保密期限、数量。同时要对密品出入库进行严格管理.交接手续齐全。
4.密品在研制过程电对外形或者构造容易暴露国家秘密信息的,应采取遮盖措施或者其他保护性措施、有特殊要求的密品・应在出厂前对可能暴露国家秘密信息的文字标志、特征标志采取伪装或者拼除等措施。
5.密品销毁应当履行登记、审批手续・选择有保密保障的部门、单位、场所进行.并指定专人负责监销,确保销毁后不再具有国家秘密信息;外形上能直接反映国家秘密的密品,应当彻底毁形;对仍有保密价值的碎屑、粉末、液体等残留物质,应当及时收集并妥善处理。
6.重要密品运输时,应当制定保密方案,将密品密封包装,发货、收货、承运单位对密品的名称、运输方式、运输时间和路线、中途停靠、安全警卫措施等情况应当保密,并做好记录。
【备注】
二级、三级《标准》密品管理要求与一级《标准》的要求相一致。7.5保密要害部门部位管理
17/63
7.5.1单位应当按照有关规定确定保密要害部门部位。
7.5.2保密要害部门应当实行区域隔离,并采取出入口控制、入侵报警、视频监控等技防措施。
7.5.3保密要害部位应当实施物理防护,并采取出入口控制、入侵报警、视频监控等技防措施。
7.5.4非授权人员进入保密要害部门部位应当履行审批程序、登记,并采取监督管理措施。7.5.5未经批准,不得将具有无线通信功能的设备和具备拍摄、录音等功能的电子设备带入保密要害部门部位。严禁将手机带入保密要害部门部位。
7.5.6对进入保密要害部门部位的工勤服务人员应当采取相应的保密管理措施。7.5.7涉及保密要害部门部位的工程建设项目要符合安全保密要求,所采取的保密防护措施应当经过单位保密工作机构审核,与工程建设同计划、同设计、同建设、同验收。
【注释】
1.保密要害部门是单位日常工作中经常产生、传递、使川和竹理绝密级或者较多机密级、秘密级国家秘密的内设机钩。
保密要害部位是单位集中制作、存放、保竹国家秘密载体即认要密品研制、实验的专门场所。
单位要准确确定保密要害部门部位,许按规定程履行报批手续,落实相关保密技术防护措施,切实加强日常保密管理。
2.保密要害部门部位的技术防护措施要按照有关保密法规标准规定要求,结合单位保密要害部门部位的实际情况进行设计和建设,采取相应的保密技术防护措施.切实做到保密技术防护措施得当、有效。
3.保密要害部门部位视频监控记录保存时间应不低于三获个月。单位应当至少每月组织对保密要害部门部位视频监控内容进行回看,及时处理发现和反映的问题。
4.单位保密要害部门部位的值班和工勤人员要经过审查和保密培训,签订保密承诺书,采取相应的安全措施。视频监控应落实双人双岗值班制度,指南人员做到技术熟练,训练有素,能够及时有效处理紧急情况。进入保密要害部门部位的外来人员要经过审批登记,有专人接送和全程陪同。
5.涉及保密要害部门部位的工程建设立项方案要征求单位保密工作机构意见。技术防护
18/63
部分工程竣工后要经单位保密工作机构审核合格后方能投人使用。特别是承担保密要害部门部位技术防护措施建设单位要从具备涉密安防监控资质的单位中选取。
【备注】
二级、三级《标准》保密要害部门部位管理要求与一级《标准》相比在位班人员配备和防护措施要求上有所简化。
7.6信息系统、信息设备和存储设备管理
7.6.1信息系统、信息设备和存储设备包含各类应用系统、服务器、计算机、网络设备、外部设施设备、存储介质、办公自动化设备、声像设备和安全保密产品。
【注释】
信息系统、信息设备和存储设备管理是保密工作中的重点和难点。本部分内容依据国家相关保密法规和标准要求,结合武器装备科研生产单位的业务特点,对信息系统、信息设备和存储设备的保密管理工作和技术防护措施提出要求。
信息系统、信息设备和存储设备,指武器装备科研生产单位在日常工作和科研生产活动中配备和使用的各类应用系统、服务器、计算机、网络设备、外部设施设备、存储介质、办公自动化设备、声像设备和安全保密产品。
应用系统包括:由各种硬件设备及系统、接口部件、外部设备、应用软件、支持软件和工具软件组成的,为武器装备科研生产服务的人机系统,以及安装在信息系统中,实现某些专门应用的综合系统;
服务器、计算机包括:服务器、操作终端、台式计算机、便携式计算机、工作站、小型机、中型机、大型机、巨型机等;
网络设备包括:交换机、路由器、网关等;
外部设施设备包括:打印机、扫描仪、移动光驭、读卡器、测试系统、调试系统、传感器系统等;
存储介质包括:计算机硬盘和固态存储器、移动硬盘、光盘、优盘、软盘等;
力公自动化设备包括:打字机、复印机、传真机、多功能一体机、碎纸机、速印机、晒图机、绘图仪等.及其相关存储附件和耗材(其中部分设备也可以看做计算机的外部设备);
19/63
声像设备包括:照相机、摄像机、录音机、投影仪、非线性编辑机、扩音设备、音频矩阵、视频矩阵、视频会议设备、数字化会议设备、存储卡、记忆棒、录音带、录像带等,及其相关附件和耗材;
安全保密产品包括:接人控制、单向导人、身份鉴别、访问控制、监控审计、病毒防治、干扰滤波、漏洞扫描等。
7.6.2涉密信息系统应当由国家保密行政管理部门设立或者授权的保密测评机构进行系统测评或者风险评估,并经省、自治区、直辖市以上保密行政管理部门审查合格,取得《涉及国家秘密的信息系统使用许可证》。许可证涉及事项发生变化时,应当按照有关规定及时报告。申请系统测评或者风险评估的拓扑结构应当与网络实际情况一致。
【注释】
1.涉密信息系统是指由计算机及其相关和配套设施、设备构成的,按照一定应用目标和规则存储、处理、传输国家秘密信息的系统或者网络。涉密信息系统应当按照现行BMB23-2008《涉及国家秘密的信息系统分级保护方案设计指南》进行设计和建设,配备符合国家保密标准要求的设施、设备;同时,满足现行BMBI7-2006《涉及国家秘密的信息系统分级保护技术要求》和BMB2O-2007《涉及国家秘密的信息系统分级保护管理规范》等国家保密法规和标准要求。
2.根据《涉及国家秘密的信息系统审批管理规定》,涉密信息系统建设完成后,应当通过国家保密行政管理部门设立或者授权的保密测评机构进行测评,取得国家保密行政管理部门颁发的《涉及国家秘密的信息系统使用许可证》后,方可投入涉密运行。
3.取得使用许可证投人涉密运行的涉密信息系统,每两年应通过国家保密行政管理部门设立或者授权的保密测评机构组织的风险评估,继续取得国家保密行政管理部门换发的《涉及国家秘密的信息系统使用许可证))4.涉密信息系统的拓扑结构、安全机制、应用系统,应当在系统测评或者风险评估时如实申报。涉密信息系统中的应用系统无论是否涉密,在申请系统测评或者风险评估时都应当如实申报。通过测评(风险评估)后,列人《涉及国家秘密的信息系统使用许可证》中的应用系统,允许使用。
5.涉密信息系统使用许可证涉及事项发生重大变化时,例如:系统整体搬迁或延伸到新的建筑物中、系统的体系结构或拓扑结构或安全域划分等发生变化、网络规模(布线点和用户终
20/63
端)增加或缩减大于30%、特殊设备或者信息系统的接入、与其他信息系统互联、采用虚拟化技术等,应当向_L级主管单位(没有上级主管单位的,报当地保密行政管理部门)和国家保密行政管理部门设立或者授权的测评机构及时报告,重新申请测评或者风险评估,通过后继续取得国家保密行政管理部门换发的《涉及国家秘密的信息系统使用许可证》。
6.涉密信息系统中的应用系统名称与《涉及国家秘密的信息系统使用许可证》批准的内容不一致时,如果实际的应用系统已经涉密且不再系统评测(风险评估)申请书的应用系统清单中,应当判定为未经测评或者风险评估,违规运行。建设使用单位应及时门报告,并提出新增应用系统单项检测申请,测评机构未及时安排测评的,不判定违规。
7.不得将安防监控(涉密科研生产现场的监控系统应当单独建立,并由涉密人员实施管理和监控,不在此列)、消防等信息系统(或网络)联入涉密信息系统。
8.单位递交《申请书》时,应当在《申请书》中说明本单位涉密信息系统中全部应用系统的使用许可审批情况。现场审查时,应当查验《涉及国家秘密的信息系统使用许可证》原件,核对涉密信息系统中的每个应用系统,对不符合的单位按照相关条款扣分,或者中止审查或复查。
9.未建立涉密信息系统的单位,《申请书》中应当说明“本单位没有建设涉密信息系统,采用单台计算机处理涉密信息”。单台涉密计算机及其配套的外部设备、存储设备的配备和使用,应当符合国家相关保密法规和标准要求。
10.涉密信息系统应当具备完整的拓扑结构图,拓扑结构图应当包含从核心、汇聚到楼层接人交换机(楼层接人交换机可以部分省略)的全部设备,包括但不限于所有的服务器、安全保密产品、备份存储设备等,以及网络连接的线路和对应的'P地址,并且注明每一个安全域的边界。拓扑结构图应当与涉密信息系统(网络)实际部署情况一致。
7.6.3信息系统、信息设备和存储设备的管理和使用应当符合国家有关保密法律法规和标准要求,禁止以下行为:
【注释】
1.应当按照岗位职能、涉密程度和对国家秘密的知悉范围,以及业务工作中接触、存储、处理涉密信息的需求,为涉密人员配发涉密信息系统用户终端等涉密信息设备和涉密存储设备。绝密级信息设备,重要以上涉密人员配备和管理;机密级信息设备,一般以仁涉密人员(一般涉密人员仅能少量存储和处理机密级信息,年度不超过6份)配备和管理;秘密级信息设备,21/63
涉密人员配备和管理。非涉密人员一般不得配备、管理或者使用涉密信息系统中的涉密用户终端等涉密信息设备和涉密存储设备。
2.单位内部非涉密人员在岗位工作中,确需少量接触、存储、处理涉密信息的,经过批准,可以配备、管理或使用涉密信息系统中秘密级用户终端,或者秘密级计算机等信息设备.但是秘密级用户终端、秘密级计算机等信息设备中,年度存储和处理秘密级信息不得超过6份。
3.非涉密人员不得配备、管理或者使用机密级以上涉密信息设备和涉密存储设备。一般涉密人员不得配备、管理或者使用绝密级信息设备和绝密级存储设备。
4.涉密信息设备和涉密存储设备,不得存储、处理或传输高于其设备涉密等级的涉密信息。
下列行为,己在国家相关保密法律法规标准中明文禁止,任何建设、管理、使用、维护涉密信息系统和涉密计算机的个人或单位不得违反。
7.6.3.1将涉密信息系统、涉密信息设备和涉密存储设备接入互联网及其他公共信息网络; 【注释】
1.涉密信息系统、涉密信息设备和涉密存储设备接人互联网及其他公共信息网络,涉密信息处于不可控状态、直接危害国家秘密安全。
2.公共信息网络是指不涉及国家秘密的各种网络(利用公共信息基础设施,传输和处理公共信息的计算机、通信和社会服务信息系统。例如互联网、有线电话网、有线电视网、微波通信网、移动通信网等)和信息系统。
3.应当采用国家保密行政管理部门批准的违规外联监控等技术措施,防止涉密信息系统、涉密信息设备和涉密存储设备接人互联网及其他公共信息网络。违规外联监控系统的安装使用和功能设置.应当能够及时发现和有效阻断违规外联,并具有及时报普的功能。
7.6.3.2在未采取防护措施的情况下,在涉密信息系统、涉密信息设备和涉密存储设备与互联网及其他公共信息网络之间进行信息交换;
【注释】
1.在未采取防护措施的情况下,涉密信息系统、涉密信息设备和涉密存储设备与互联网及其他公共信息网络之间进行信息交换时,无法对涉密信息进行有效控制。既存在涉密信息交换到互联网及其他公共信息网络的重大风险,也存在涉密信息系统、涉密信息设备被植人“木马”等恶意破坏或窃密程序,导致涉密信息被破坏或者窃取的隐患。
22/63
2.应当采用国家保密行政管理部门批准的单向导人设备,或者使用中间转换机,向涉密信息系统和涉密信息设备导人来源于互联网及其他公共信息网络的信息、数据或者软件。
3.从涉密信以系统或涉密信息设侨泞出的信息、数据和软件,需要进入互联网及其他公共信息网络等非涉密信息系统或作涉密信息设备的.应当从指定的、并山专人管理的导出设备上导出.同时配备符合国家保密要求的监控审计产品,导出的信息和数据应当进行查验确认,并经过导出设备管理责任人签字认可。
4.移动存储设备禁止在涉密信息系统、涉密信息设备与互联网及其他公共信息网络之间交叉使用。
7.6.3.3使用非涉密信息系统、非涉密信息设备和非涉密存储设备存储、处理、传输国家秘密信息;
【注释】
1. 使用非涉密信息系统、非涉密信息设备和非涉密存储设备存储、处理、传输涉及国家秘密的信息,极易使国家秘密失去有效控制和保护,导致涉密信息被非授权查看和获取。
2. 使用国际互联网及其他公共信息网络的信息设备存储、传输涉密信息,将直接导致涉密信息失控。
3. 使用单位内部非涉密计算机或信息设备存储和处理涉密信息、将会扩大国家秘密的知悉范围,导致涉密信息被非授权查看和获取。
4. 将涉密武器装备科研生产项目分解后,各分解部分,应当经有权限的定密责任人认定,批准为不涉及国家秘密,并经合同甲方确认后,才可以在内部非涉密信息设备和非涉密存储设备上存储或处理。
7.6.3.4在未采取保密措施的有线或者无线通信中传递国家秘密; 【注释】
1. 互联网、固定电话网、移动通信网、广播电视网等公共信网络通信,以及没有保护措施的有线和无线通信,无法确保传递息的安全,不能用来传递国家秘密信息。
2. 应当对互联网及其他公共信息网络和通信设备采取管理和技术措施控制,防止传递涉密信息。
3. 可以采用国家密码管理部门批准的加密通信设施、设备进行传递。
4. 发现外单位通过互联网及其他公共信息网络发来的涉密信息,应当及时将接收信息的
23/63
计算机断开网络连接,立即报告本单位保密工作机构,记录接收现场设备的工作状态,清除涉密信息并通报发文单位。
7.6.3.5未经安全技术处理,将退出使用的涉密信息设备、涉密存储设备赠送、出售、丢弃或者改作其他用途;
【注释】
1.未经安全技术处理,将退出使用的涉密计算机等涉密信息设备和涉密存储设备赠送、出售、丢弃或者改作其他用途,即使删除涉密信息,仍可以通过技术手段恢复,将会扩大知悉范围,被不应知悉者知悉,存在严重泄密隐患。
2“安全技术处理”,是指为保证涉密信息安全,对退出使用的涉密计算机等涉密信息设备和涉密存储设备,采取符合国家保密标准的技术处理措施,包括对存储过涉密信息的硬件和固件(硬盘、电子存储器、内存条、存储芯片等)进行拆除和销毁,或者对涉密信息进行清除,采取的消除方式应当确保涉密信息无法被恢复。
3.涉密计算机等涉密信息设备退出使用,应当将存储过涉密信息的硬件和固件拆除,交由运行维护机构或者指定的部门按照保密要求保存,拆卸审批单、拆卸记录、交接手续和清单记录应当完备。存储过涉密信息的硬件和固件可以再利用的,应当由运行维护机构进行信息消除后按照保密要求妥善保存。不再使用的硬件和固件应当交保密工作机构按照保密要求进行销毁。信息消除、硬件和固件销毁都应当履行规定程序,并保存完整记录。
4.涉密存储设备退出使用,应当采用国家保密行政管理部门批准的,符合相应密级要求的信息消除工具,由运行维护机构对涉密信息进行消除,或交保密工作机构按照保密要求进行销毁。信息消除、涉密存储设备销毁都应当履行规定程序,并保存完整记录。退出使用的涉密存储设备禁止赠送、出售、丢弃或者改作其他用途。
5.经过安全技术处理的涉密计算机等涉密信息设备,如果不能确保涉及国家秘密的信息不被恢复或者以其他方式获取,仍然不得赠送、出售、丢弃或者改作其他用途。
7.6.3.6擅自卸载、修改涉密信息系统、涉密信息设备和涉密存储设备的安全技术程序、管理程序;
【注释】
1.“安全技术程序”、“管理程序”,指为确保涉密信息系统、涉密信息设备和涉密存储设
24/63
备的运行安全、信息安全,安装在涉密信息系统和涉密信息设备中,对其进行安全保护和控制的应用程序安全技术程序主要包括身份鉴别程序、访问控制程序、主机及网络监控审计程序、导入导出监控审计程序、病毒和恶意代码检测程序、安全保密产品的控制策略和审计程序等。管理程序主要包括安全策略管理程序、权限管理程序、审计管理程序,以及操作系统提供的各种安全配置程序、注册表文件和上述程序软件在运行中生成的各种日志文件等。
2.在涉密信息系统、涉密信息设备和涉密存储设备的定期安全审计工作中,应当严格检查安全技术程序和管理程序的完整性,发现卸载、删除或修改记录和痕迹的,应当追查原因。
3.因意外情况造成涉密信息系统、涉密信息设备和涉密存储设备的安全技术程序、管理程序以及相关日志记录被卸载、修改或删除的,信息安全管理部门应当组织运行维护机构分析查找原因,制定补救措施,对原因、结果和补救措施进行记录并报保密工作机构备案。
7.6.3.7擅自访问、下载、存储、传输知悉范围以外的国家秘密; 【注释】
1.擅自访问、下载、存储、传输知悉范围以外的国家秘密属于违规行为,是严重违反保密法的行为,具有重大的泄密隐患。
2.涉密信息系统、涉密信息设备和涉密存储设备的管理和使用人员,应当依据涉密等级、知悉范围,赋予其相应的访问规则或权限,按照规定程序访问、下载、存储、传输国家秘密信息。
3.因工作需要必须知悉涉密等级或访问权限以外的国家秘密信息时,应当履行规定程序,经批准授权后,进行访问、下载、存储、传输,并保存完整的操作记录。
7.6.3.8擅自扫描或者检测涉密信息系统的网络基础设施、安全保密产品以及应用系统等。【注释】
1.运行维护人员扫描或者检测涉密信息系统的网络基础设施、安全保密产品以及应用系统时,应当履行审批程序,并保存完整记录。
2一般用户管理和使用的涉密信息系统终端(单台涉密计算机),不得安装、配备扫描或者检测涉密信息系统的网络基础设施、安全保密产品以及应用系统的工具。
3.安装安全保密产品、病毒和恶意代码防护等工具时,产品和工具自带扫描或者检测涉密信息系统的网络基础设施、安全保密产品以及应用系统功能的,应当禁止使用相应的功能。
4.进行系统测评、风险评估或自评估时.如果需要在用户终端上安装使用扫描或者检测工
25/63
具(系统),应当履行审批程序,使用完毕应当及时删除和卸载,审批单和操作记录留存备查。
7.6.4单位应当明确信息化管理部门,负责信息系统、信息设备和存储设备的安全保密管理;指定或者委托具有相应资质的机构(单位)负责信息系统、信息设备和存储设备的运行维护。
【注释】
l单位应当颁发正式文件确定信息化管理部门,负责信息化的规划、建设、运行维护以及安全保密的管理〔作。信息化管理部门可以是单位的内设机构,如信息化处、信息化推进处、信息安全处等;也可以明确单位的其他业务部门承担其相应职责。信息化管理部门应当接受保密工作机构的指导、监督和检查。
2.信息化管理部门无论是专门机构,还是由某个业务部门承担其职责,都应当至少配备一名信息化和信息安全专业技术管理人员进行专业化管理。专业技术管理人员应当具有相关专业知识.并通过国家保密行政管理部门、国防科技工业管理部门,或者国家保密行政管理部门授权的其他部门或单位组织的安全保密和专业技能培训。
3.单位应当指定具体机构负责信息系统、信息设备和存储设备的运行维护工作 4.运行维护机构允许采取以下几种方式之一:
(1)接受本单位信息化管理部门业务监管的内设机构(如信息中心、网络中心、计算中心、计算机室等),具备信息系统、信息设备和存储没备日常运行维护和安全保密管理的能力。
(2)与单位同法人(或者同一上级法人)的直接下属单位的内设机构,受信息化管理部门委托开展运行维护工作,并接受监督指导。
(3)选择非同一法人(或者非同一上级法人)的机构(单位)承担运行维护工作的,被委托机构(单位)应当具备国家保密行政管理部门颁发的涉密信息系统运行维护资质,并指派专业技术人员〔涉密人员),在信息化管理部门监督管理下,负责运行维护工作。
7.6.4.1信息化管理部门应当组织制定由信息安全策略、管理制度和操作规程等组成的信息安全保密管理体系文件,对信息系统、信息设备和存储设备的运行维护工作进行监管,组织对信息系统、信息设备和存储设备的安全保密检查。
【注释】
1.信息系统、信息设备和存储设备的安全策略、管理制度、操作规程等是落实安全保密工作,实现信息系统、信息设备和存储设备可管、可用、可控、可查、可审、可追溯的基础,是
26/63
信息系统、信息设备和存储设备的管理准则和控制流程。安全策略针对安全问题提出对策和解决方案,管理制度应当保障安全策略提出的对策和解决方案能够正确执行,操作规程是安全策略在信息系统、信息设备和存储设备上具体实现的操作步骤,这三个部分既相互独立,又相互关联,缺一不可。
2.安全策略应当包括信息系统、信息设备和存储设备安全保密的整体目标和范围、安全原则、安全方针、安全组织机构、安全管理人员、安全保密产品和工具、物理和环境安全、通信和传输安全、信息设备安全、存储设备安全、操作安全(主要是身份鉴别、访问控制和导人导出)、应用系统安全、信息交换安全、数据和数据库安全、备份与恢复安全、开发和维护安全、审计安全,以及相关的运维安全管理等。
3.在制定安全策略前,应当分析信息系统、信息设备和存储设备等存在的脆弱性和威胁,识别风险和隐患,提出解决安全问题的誉理办法和控制措施,解释清楚“什么能做,什么不能做,应当怎么做”。
4.管理制度应当包括信息系统、信息设备和存储设备的管理、使用、维护,以及保障安全策略相关的各项规定和要求,确保安全策略的实施和落实。
5.操作规程应当明确实施安全策略的资源、设备、工具和人员,确定安全配置管理权限的划分和变更流程,明确实施安全策略时应当履行的规定程序和具体步骤。
6.安全策略、管理制度、操作规程组成的体系文件应当由单位信息化管理部门组织相关业务部门(机构)人员编制,经保密工作机构审核后,报单位分管信息化和保密工作负责人批准施行。应结合岗位职责和业务特点,有针对性地对全体系统管理人员和使用人员开展宣贯培训以确保策略制度规程可以有效落实。
7.物理环境、安全保密设施、风险威胁变化时,及时调整更新安全策略、管理制度和操作规程。如,涉密信息系统、涉密信息设备和存储设备的物理环境发生重大改变,涉密设备发生较大的增加、延伸、扩展、缩减、拆卸等变化,或者出现新的安全隐患和风险时,都应当进行调整。调整应当依据安全风险分析的结果,以不降低信息系统、信息设备和存储设备的整体安全强度,确保国家秘密安全为原则。
8.委托非本单位机构负责涉密信息系统、涉密信息设备和涉密存储设备运行维护工作,单位信息化管理部门应当与受委托承担涉密信息系统运行维护的机构(单位)签订运行维护工作合同和保密协议,会同人力资源部门对受委托承担运行维护的人员进行保密审查和保密教育,27/63
并确保实际参加运维的人员与合同确定人员一致。受委托承担运行维护的人员应当签订保密承诺书。
9.信息化管理部门应当对信息系统、信息设备和存储设备的运行维护工作进行监管,定期会同保密工作机构和相关业务部门,组织对信息系统、信息设备和存储设备的安全保密检查,监督管理运行维护机构的日常工作,并对检查和监督管理工作进行记录。
7.6.4.2运行维护机构应当制定运行维护工作制度和操作规程,落实信息系统、信息设备和存储设备的安全保密要求。
【注释】
1.运行维护工作制度和操作规程应当符合国家相关保密法规、标准,结合运行维护业务工作实际制定,且条款清晰、分工明确、责权利并举,具有可操作性。
2.运行维护机构应当按照现行BMB17-2006《涉及国家秘密的信息系统分级保护技术要求》和BMB20-2007《涉及国家秘密的信息系统分级保护管理规范》的要求,建立健全工作记录和日志文档,并妥善保存。运行维护工作的操作内容和处理过程应留有记录。
3.多个单位共同使用一个涉密信息系统,应当明确涉密信息系统运行维护的主体责任单位;其他使用涉密信息系统的单位应当与其签订运行维护委托协议和保密协议,并配备相应的管理和运行维护人员(至少各配备1人),协助进行运行维护工作。各单位在涉密信息系统中应当划分独立的安全域,并有符合保密要求的技术措施实现边界防护和访问控制。
7.6.5涉密信息系统应当配备系统管理员、安全保密管理员和安全审计员(简称“三员”)。未建立涉密信息系统仅使用涉密计算机的单位,至少应当配备涉密计算机安全保密管理员。
7.6.5.1“三员”的配备和权限设置应当相互独立、相互制约,不得兼任或者交叉替代。7.6.5.2单位应当组织“三员”参加保密行政管理部门、国防科技工业管理部门,或者保密行政管理部门授权的其他部门组织的培训,具备岗位所要求的专业能力。
【注释】
1.涉密信息系统责任单位,应当按照国家保密标准配备系统管理员、安全保密管理员和安全审计员三类管理人员(简称“三员”),分别负责涉密信息系统的安全运行、安全保密和安全审计工作。网络管理员、数据库管理员、应用系统管理员等其他角色的运行维护人员可根据需要自行配备,但是应当纳人“三员”的范畴进行管理。“三员”应当设置独立的工作权限,明
28/63
确岗位职责,并能够实现相互监督、相互制约,相互之间不得兼任或者替代。
2.单位应当对涉密信息系统、涉密信息设备和涉密存储设备运行维护的工作任务进行分析,按照最大化原则为运行维护机构配备“三员”。“三员”人数配备应当足够满足运行维护需要,确保武器装备科研生产和日常工作有序运转。
3.“三员”应当通过国家保密行政管理部门、国防科技工业管理部门,或者国家保密行政管理部门授权的其他部门或单位组织的专业培训,具备上岗能力后,由运行维护机构所在单位的人力资源部门进行任命或者下发相应的上岗文件。机密级(含)以上涉密信息系统“三员”应当确定为重要涉密人员,秘密级涉密信息系统“三员”可以确定为一般涉密人员。未参加培训或者不具备岗位能力的人员不得任命为“三员”,也不得从事与涉密信息系统、涉密信息设备和涉密存储设备相关的运行维护工作。
4.无涉密信息系统,仅使用单台涉密计算机的单位,应当配备安全保密管理员,负责涉密计算机的运行维护和安全保密管理工作,并指定专人负责安全保密审计。建立了涉密信息系统的单位,如果有不接人涉密信息系统的单台涉密计算机,也应当明确单台涉密计算机的管理人员。
5.“三员”上岗后,单位应当定期安排参加安全保密管理和专业技能方面的培训,使“三员”熟悉国家有关招意妥全保密的法规标准和防护要求、具备信息安全保密知识、掌握计算机与信息系统的专业知识和运行维护技能,持续提高运维技术水平。
6.信息化管理部门应当会同人力资源部门,针对“三员”建立相应的安全保密管理制度,明确“三员”作为管理者和被管理者的角色、权限、任务,规范约束“三员’,行为,定期进行监督检查。
7.涉密信息系统用户终端或者涉密计算机较多的部门,应当配备兼职的涉密信息系统或者涉密计算机管理员,协助“三员”做好本部门涉密信息系统或者涉密计算机的运行维护和安全保密工作。
7.6.6信息设备和存储设备应当根据存储、处理、传输信息的最高密级确定涉密等级和责任人,并按规定程序进行变更和调整。
【注释】
涉密信息系统的服务器和用户终端、单台涉密计算机、便携式计算机等信息设备和存储设备投人涉密使用前,应当根据业务工作中存储、处理或传输涉密信息的涉密等级,由使用部门
29/63
提出申请,经过主管领导和定密责任人审查后确定密级。涉密信息系统中如果存在非涉密安全域,非涉密安全域中的信息设备和存储设备应当按照秘密级安全域要求进行管理和防护。
涉密信息设备和涉密存储设备应确定涉密等级的同时,应同时确定设备等级和责任人。3..涉密信息设备和涉密存储设备的变更(包括涉密等级、责任人、放置地点、用途、人网、退网、维修、停用或者退出使用、归库、报废等)都应当履行审批程序,并对存储过涉密信息的硬件和固件以及相应的安全保密产品进行保护和控制。
4.非涉密信息设备和存储设备需要变为涉密的,或者低密级信息设备和存储设备需要变为高密级的,应当由使用部门提出申请,经过主管负责人和定密责任人审查后确定密级。确定涉密等级后,服务器和用户终端、单台计算机、便携式计算机等信息设备,应当重新安装操作系统,进行安全策略配置,安装相应的安全保密产品,按照新确定的涉密等级进行管理和使用。
5.高密级信息设备和存储设备需要变为低密级的,应当履行审批程序,更换存储过涉密信息的硬件和固件,或采用国家保密行政管理部门批准的消除工具进行信息消除(消除工具的等级应当符合保密要求)后,进行安全策略配置,安装相应的安全保密产品,按照新确定的涉密等级进行管理和使用。
6.涉密信息设备需要变为非涉密的,应当履行审批程序,拆除存储过涉密信息的硬件和固件并妥善保存,更换新的存储硬件和固件后,按照非涉密设备进行管理和使用。涉密存储设备不得变更为非涉密存储设备。
7.涉密信息设备上存储过涉密信息的硬件和固件不能拆除,也无法采用国家保密行政管理部门审批的消除工具进行信息消除的,不能降低涉密等级或变为非涉密信息设备。
8.涉密信息设备和涉密存储设备变更涉密等级的,应当做到申请理由充分、审批程序完备、变更操作规范、记录真实准确,存储过涉密信息的硬件和固件拆除后,应当按照国家相关保密标准的要求存放和管控。
9.涉密移动存储设备应当指定专人集中管理依据最小授权原则制定涉密移动存储设备的安全保密控制策略,依据国家秘密的知悉范围确定使用范围。涉密移动存储设备应当根据涉密等级存放在相应的保密柜(密码保险柜)等符合国家保密要求的设施中。借用时应当履行审批程序,用后及时归还。
10.内部移动存储设备应当根据授权在内部计算机和信息系统中使用,外来的移动存储设
30/63
备应当履行审批程序,按照安全策略和管理制度规定的程序以及转换控制机制使用。任何未经授权、没有标志、不在台账上的移动存储设备,不得在涉密信息系统和涉密计算机上使用,也不得在涉密信息系统中的非涉密服务器和用户终端上使用。
7.6.7应当建立信息系统、信息设备和存储设备台账,做到信息要素完整、账物相符。涉密信息系统、涉密信息设备和涉密存储设备应当实行全生命周期管理。
【注释】
1. 单位以及各业务部门(机构)应当建立信息系统、信息设备、存储设备和安全保密产品台账。单位应当由信息化管理部门会同资产管理部门和运行维护机构建立总台账,各业务部门(机构)应当建立管辖范围内的设备台账。总台账与各个业务部门(机构)的台账内容应当相互印证,与实物相符合。台账应当依据信息系统、信息设备、存储设备和安全保密产品的类别和涉密属性分类建账,能l够反映出设备变化情况。台账应当保留一个审查周期,审查周期内的台账变化情况应当可追溯。可以采用电子或纸质的台账(现场审查或复查时,单位应当提供最新的纸质总台账)。
2. 台账至少应当包含以下信息要素(设备不具有的信息要素可以不填写):(l)信息系统(含服务器、终端、堡垒机、交换机、路由器、网关、网闸、VPN设备、KVM设备等)台账,至少应当包括:编号、名称、型号、密级(绝密、机密、秘密)、用途、所属部门、放置地点、责任人、操作系统安装日期、硬盘序列号、'P地址、MAC地址、启用时间、使用情况(包括在用、停用、归库、维修、报废)等(信息设备只要接人涉密信息系统视为在用设备)o(2)信息设备(含各类台式计算机、便携式计算机、各种工作站、非线性编辑机、工业控制机、打印机、制图机、绘图仪、扫描仪、外接式光盘刻录机、移动光驱、照相机、摄像机、投影仪、音视频矩阵、专用显示器或电视机、读卡器等)台账,至少应当包括:编号、名称、型号、密级、用途、所属部门、放置地点、责任人、操作系统安装日期、硬盘序列号、设备序列号、IP地址、启用时间、使用情况等。
(3)存储设备(含各类硬盘和固态存储器、移动硬盘、光盘、U盘、软盘、存储卡、记忆棒、录音带、录像带等)台账,至少应当包括:编号、名称、型号、密级、用途、所属部门、放置地点、责任人、序列号、启用时间、使用情况等。非涉密光盘可以不建立台账,但是操作系统安装、软件安装、病毒库升级、清除工具、检查工具等光盘应当上账。
31/63
(4)安全保密产品[包括计算机病毒查杀工具、密码产品、身份鉴别设备(IC卡、USBKey・指纹仪等)、访问控制设备、输人输出控制产品、安全审计系统、人侵监测系统、边界控制和防护系统、电磁辐射和传导泄漏发射防护产品、存储保护系统、信息消除工具、移动存储设备销毁工具、检查工具等1台账,至少应当包括:编号、名称、型号、密级、生产厂家、检测证书名称和编号、责任人、购置时间、启用时间、使用情况等。
3.应当根据信息设备和存储设备的特点在台账中添加能够唯一确定设备的关键信息要素,如打印机、移动刻录机、读卡器的物理序列号,网络打印机和交换机的'P地址等,确保台账中的一条记录仅对应唯一设备。
4,信息化管理部门应当会同资产管理部门和运行维护机构定期(绝密级3个月、机密级6个月、秘密级12个月)对信息系统、信息设备、存储设备和安全保密产品进行清查核对。清查核对结果应当报单位信息化管理部门和保密工作机构。
5.涉密信息设备和涉密存储设备的全生命周期包括确定密级、申领(人网)、使用、变更、维修、停用或者退出使用、报废、销毁的全部环节。动态管理是指计算机等信息设备和存储设备在全生命周期中的各种状态改变〔包括管理和使用人员的变化),均有审批和记录,各种管理和控制过程均有据可查。
6.运行维护机构应当为每台涉密信息设备、涉密存储设备建立单独档案(电子或纸质),保存其各类相关记录文档,包括定密记录、变更记录、运维记录、维修记录、报废和销毁记录等。
7.新购计算机在确定为涉密计算机时,应当重新安装操作系统(应当选用非家庭版的操作系统;如果使用Window,系统,则应当选用XP、Windows7、WindowslO)以及安全保密产品,并进行相关的安全配仪和设置后,及时变更台账信息,保证台账信息的唯一性。
7.6.8信息设备、存储设备应当具有标识,标识的信息要素应当完整,涉密的标明密级,非涉密的标明用途并粘贴保密提醒;涉密信息设备和涉密存储设备中存储的涉密信息应当具有密级标志。
【注释】
1.应当对信息系统、信息设备和存储设备进行标识管理。标识形式可以是标签或者其他可区别设备属性信息的图形、颜色等。标识应当能够表明信息设备和存储设备的涉密属性、用
32/63
途、分类、责任人(责任主体)等信息。键盘、鼠标、信号线、滤波电源插座、电源线等可以不建立标识。
2.标签或其他标识方式应当由单位信息化管理部门统一确定、制作和管理。标签至少应当包含编号、涉密属性、责任人等信息,其中涉密属性或者用途一般可以分为绝密、机密、秘密、内部工作、互联网、中间转换等。标签或者其他标识方式的内容,应当与台账信息要素相符合并具有唯一性(一台设备只有一个标签,每台设备的标签内容应当不同),标签应当不易损坏、涂改或擦除。
3.信息系统中的服务器、用户终端和信息设备、存储设备、安全保密产品等应当根据所处理和存储信息的最高密级或主要用途粘贴标签,或者采用其他标识方式(特殊颜色的图形或者图标、刻录或者不可擦除的书写)进行标记。标签应当粘贴在设备的明显位置,并与涉密信息的存储部件相关联。例如涉密信息系统服务器、用户终端或者涉密计算机的标签应当粘贴在主机箱上的明显位置(存储涉密信息的硬盘在主机箱内),而不应当粘贴在显示器上。非涉密信息系统服务器、用户终端或信息设备、存储设备应当粘贴保密提醒等警醒提示(如非涉密设备、禁止存储和处理涉密信息)。
4.部分移动存储设备(如CF卡、SD卡、MS卡、TF卡等)如果无法粘贴标签或者粘贴标签后影响使用的,可以采用不可擦除的标记方式(如激光刻录、不可擦除签字笔等)。
5.对于专供外出携带的涉密信息设备和涉密存储设备,可以不使用标签,而采用隐去涉密信息标识的标记方式,但至少应包括责任人和编号。其密级可采用其他方式进行标识,该标识应当在台账上有明确的定义。
6.涉密信息系统、涉密信息设备和涉密存储设备中存储、处理和传输的涉密信息应当具有密级标志(绝密、机密、秘密),密级标志应当符合国家相关保密标准要求。
7.信息密级标志的标注应当遵循以下原则:
(1)处于起草、设计、编辑、修改过程中和已完成的电子文档、图表、图形、图像、数据,首页应标注密级标志。
(2)电子数据文件、图表、图形、图像等涉密信息在首页无法直接标注密级标志的,可将密级标志作为文件名称的一部分进行标注。
(3)在首页无法直接标注密级标志,也不能将密级标志作为文件名称的一部分进行标注时,可以建立涉密文件夹,将密级标志标注在文件夹上。应当将符合要求的涉密信息存放在具有密
33/63
级标志的文件夹中,同时不违反上述(1)和(2)中的要求。
(4)涉及国家秘密的软件程序、数据库文件、数据文件、音频文件、视频文件等,在软件运行首页、数据视图首页、音频播放首段和影像播映首段应当标注密级标志。
8.信息在存储、处理、传输过程中都应当具有密级标志,并与信息的涉密等级保持一致。涉密应用系统进行信息交换时,密级标志应当与应用系统允许处理业务流程允许的涉密等级相符合。信息在打印、刻录、拷贝等输出操作时,应当确保输出后的载体具有与源信息涉密等级相同的密级标志。
9.涉密信息设备和涉密存储设备中存储的没有密级标志的电子文档、图表、图形、图像、数据等,现场审查时无法判定其内容是否涉及国家秘密的,应当参照被审查单位提供的《国家秘密事项范围细目》和项目合同进行判定。
7.6.9测试、调试、仿真、工控、数控等专用系统或者设备应当明确涉密等级和保护要求,采取管控措施,保证信息流向安全可控。因特殊工作需要,涉密网络与非涉密网络、工业控制系统连接实时进行特定信息交换的,应当制定专门的安全保密方案报国家保密行政管理部门审查。
【注释】
1.测试、调试、仿真、工控、数控等信息设备是指应用于科研试验、生产制造、产品测试、质量控制、库存配送等用途的专用信息设备(各种图形工作站、小型、大型计算机等无法安装安全保密产品或安装后影响使用的可以参照执行)。
2.测试、调试、仿真、工控、数控等信息设备,管理使用部门应当根据用途以及存储和处理信息明确是醚考。如果涉密,应当履行定密程序并确定每台设备的密级,按照密级明确要求和应当采取的安全保护措施。
3.不接人涉密信息系统的,独立运行的涉密测试、调试、仿真、工控、数控等单台涉密信息设备(系统),应当指定责任人负责管理和维护,安装相应的安全保密产品,设置相应的安全策略。无法安装安全保密产品,或者安装后影响设备正常使用的,应当说明理由提出申请,经信息化管理部门和保密工作机构批准后可不安装。使用中应当加强管理,制定专项管理制度、安全保护策略和技术控制措施。
4.涉密测试、调试、仿真、工控、数控等信息设备独立构成涉密网络的,应当按照涉密信息系统分级保护的要求,申请涉密信息系统的系统测评(风险评估),取得国家保密行政管理
34/63
部门颁发的《涉及国家秘密的信息系统使用许可证》。
5.因特殊工作需要,将测试、调试、仿真、工控、数控等专用系统或设备接人涉密信息系统,实时进行特定信息交换的,建设使用单位应当对接人后的整个系统进行风险评估,根据评估中存在(可能存在)的隐患、脆弱性和威胁,制定专门的接人方案和安全保密方案,经过本单位(或者上级主管单位)组织的专家评审会(保密行政管理部门、国防科技工业管理部门、涉密信息系统测评机构、本行业和本单位的信息安全专家)评审通过后,报国家保密行政管理部门审查。
6.测试、调试、仿真、工控、数控等专用系统或设备应当划分为独立的安全域,通过边界防护控制措施,保证信息流向安全可控。完成接人的涉密信息系统,应当整体申请系统测评。
7.涉密测试、调试、仿真、工控、数控等信息设备,应当物理封堵或拆除不使用的网络、USB、串行、并行、读卡器等数据接口,充分利用操作系统提供的功能进行安全策略配置,并定期检查其安全状态。
8.涉密测试、调试、仿真、工控、数控计算机等信息设备和存储设备的维修、报废和销毁按照涉密信息系统和涉密信息设备的要求执行。
9.非涉密测试、调试、仿真、工控、数控等专用信息设备或信息系统与涉密计算机、信息系统之间的信息交换应当采取单向方式,导人和导出应当采用不同的端口,或者通过“三合一”的非涉密信息交换口(绿口)单向导人。
7.6.10绝密级信息系统、绝密级信息设备和绝密级存储设备的配置、管理和使用,应当符合有关规定和标准要求。绝密级信息的存储和传输应当采取密码保护措施。
【注释】
1.绝密级计算机一般应当选用获得国家保密行政管理部门批准的低泄射计算机(根据安全距离选用不同防护等级的低泄射计算机)。如果采用普通计算机,应当放置在符合安全距离要求的屏蔽室(屏蔽机柜)内使用。屏蔽室(屏蔽机柜)应当选用国家保密行政管理部门设立或者授权的测评机构检测合格的产品(根据安全距离选用不同防护等级的屏蔽产品)。绝密级计算机如果连接其他信息设备或存储设备,接人的设备、接口、连接器件和信号线也应当符合绝密级安全保密防护要求。
2.绝密级计算机应当采取生理特征(指纹、虹膜等)身份鉴别方式,并安装相应的安全保密产品。采用的生理特征身份鉴别物理装置和安全保密产品不能破坏绝密级计算机的屏蔽效
35/63
能。
3.绝密级计算机等信息设备和绝密级存储设备应当按照国家相关保密法规、标准进行管理,严格控制使用。应当对绝密级计算机的操作人员、操作时间、操作内容、导人导出、设备接人等进行登记和记录,绝密级计算机导出任何信息,都应当履行审批程序。应当采用符合国家保密要求的监控审计系统,加强对数据接口、导人导出、设备接人等使用情况进行监控和审计。
4.放置绝密级计算机和绝密级存储设备的房间或者区域应当确定为保密要害部位,按照保密要害部位管理要求做好防护和监控。绝密级便携式计算机和绝密级移动存储设备不使用的时候,应当存放在密码保险柜中,密码保险柜的钥匙和密码应当由不同的涉密人员管控。
5.绝密级信息应当采用国家密码管理部门批准的密码保护措施进行加密存储和加密传输。7.6.11涉密信息系统、涉密信息设备和涉密存储设备应当按照规定程序进行维修和报废。维修中应当对存储过涉密信息的硬件和固件采取有效的管控措施,对外来维修人员履行审批程序并全程旁站陪同。
【注释】
1.单位应当根据工作需要,配备专供外出携带的涉密信息设备和涉密存储设备,并由专人集中进行管理和维护。专供外出携带的涉密信息设备和涉密存储设备,一般不得在单位内部使用。确定为单位内部使用的涉密信息设备和存储设备,一般不应当带出使用(如果有特殊使用需求,或设备不够用时,经业务主管负责人和信息化管理部门批准,可以相互借用,但年度不应当超过3次)。
2.携带涉密信息设备和涉密存储设备外出前,应当填写外出携带审批单,经业务部门领导审批后,向负责集中管理的部门借出使用。审批单至少应当包括外出的时间、地点、事由,从事的涉密工作或事项的名称和密级,携带的涉密信息设备和涉密存储设备的名称、密级和编号,设备中存储的涉密电子文档信息的名称和密级,接口和端口的开放需求,外部设备接人的需求,接人外单位涉密信息系统或者与其他涉密信息设备连接的需求,是否允许导人或导出操作,外出期间使用涉密信息设备和涉密存储设备的人员名单,外出前的保密检查情况、领用和预计返还时间等。
3.携带外出的涉密信息设备和涉密存储设备,带出前应当进行必要的信息清除,以确保外出时,涉密信息设备和涉密存储设备中仅存有与本次外出工作有关的涉密信息。外出后归还的35
36/63
涉密信息设备和涉密存储设备,应当由借用人员负责信息清除,所采用的技术、设备和措施应当符合国家有关保密标准要求。信息清除只允许对硬盘的数据区进行操作,禁止清除系统区以及各类系统日志和安全产品日志文件。
4.外出期间,借用人员对涉密信息设备和涉密存储设备负有保密管理责任。携带外出的设备应当配备使用记录本,外出使用期间,对设备使用人、开关机时间、外部设备接人、接人外单位涉密信息系统或者与其他涉密信息设备连接、导人导出等情况进行记录。导出的涉密信息应当做到安全可控,存储涉密信息的载体按保密要求管理。如果外出前未批准允许导人导出,则禁止在外出期间进行导人导出操作。外出期间,涉密信息设备或涉密存储设备连接投影仪等外部设备的,也应当记录。
5.返回后,应当及时将涉密信息设备和涉密存储设备交还管理人员。交还时,管理人员和借用人共同进行安全保密检查并建立完整的检查记录,两人应同时在检查记录表上签字确认。
【原文】
7.6.12涉密信息系统、涉密信息设备和涉密存储设备应当按照规定程序进行维修和报废。维修中应当对存储过涉密信息的硬件和固件采取有效的管控措施,对外来维修人员履行审批程序并全程旁站陪同。
【注释】
1.应当建立涉密信息设备和涉密存储设备维修、报废的管理制度、安全策略和控制流程,确保设备维修、报废的各个环节安全可控。
2.涉密信息设备或涉密存储设备发生故障时,责任人应当填写维修申请单,经业务部门主管领导批准后,向单位运行维护机构或者设备维修主管部门(机构)提出维修申请;运行维护机构或维修主管部门受理后,应当及时了解故障情况,派人到现场进行维修或者将设备送至内部维修点进行维修。
3.内部维修室应当设立在单位工作区域内,并配备专门的维修人员。单位没有内部维修机构的,应当选择本系统涉密单位或者保密行政管理部门批准或授权的维修机构,并由信息化管理部门与维修单位签订维修合同和保密协议。合同维修单位人员到单位内部进行现场维修时,应当记录维修人员的身份信息和联系方式,告知保密要求,并对其进行保密提醒。维修人员应当签订保密承诺书。
37/63
4.工作现场维修,一般应当由本单位内部维修人员实施,且维修人员应当是涉密人员;需由合同维修单位人员到现场维修时,应当由内部维修人员或者设备责任人全程旁站陪同。维修前,应当对涉密信息和存储涉密信息的硬件和固件采取必要的保护措施。维修中,禁止维修人员恢复、读取和复制待修设备中的涉密信息。禁止通过远程维护和远程监控,对涉密信息设备进行维修。
5.单位维修室维修,维修人员应当与责任人办理涉密信息设备和涉密存储设备的交接手续,明确保密责任。维修完成后,责任人领回涉密信息设备和涉密存储设备时,也应当办理交接手续。合同维修单位人员维修的,同上款要求。
6.送外单位维修,应当由单位运行维护机构或设备维修主管部门统一送修。送出前应当拆除所有存储过涉密信息的硬件和固件,并按照保密要求进行管理。维修完成后,应当进行保密检查,安装存储涉密信息的硬件和固件,由责任人办理交接手续后取回使用。
7.涉密信息设备中存储过涉密信息的硬件和固件、涉密存储设备发生故障确需维修的,应当履行审批程序,选择具有保密行政管理部门颁发的涉密信息数据恢复资质的单位进行维修,并由专人负责送取。
8.单位运行维护机构或设备维修主管部门应当建立维修日志和档案,对涉密信息设备和涉密存储设备的维修情况进行记录。记录包括,维修设备名称、密级、维修时间、维修人员・更换设备等信息。维修过程中,需要更换硬盘等存储设备(硬件或者固件)的,应当记录旧硬盘和新硬盘的名称、型号、容量、序列号,拆下的旧硬盘应当记录去向(停用、归库或报废等),按照涉密存储设备明确责任人,办理交接手续后妥善保存。
9.涉密信息设备和涉密存储设备需要退出使用或者报废时,应当向业务部门主管领导提出申请,批准后报单位信息化管理部门或设备管理部门审批,并经信息消除后,将所有存储过涉密信息的硬件和固件上缴单位保密工作机构。
10.存放退出使用或者报废待销毁的涉密信息设备和涉密存储设备,应当符合国家保密标准对涉密载体保存的相关要求;若退出使用或者报废待销毁的涉密信息设备和涉密存储设备需要重新起用的,应当通过单位信息化管理部门和设备管理部门的审批,并对设备重新起用的各个环节和流程进行详细记录。
11.单位保密工作机构应当建立销毁涉密信息设备和涉密存储设备的清单,按照BMB21-2007《涉及国家秘密的载体销毁与信息消除安全保密要求》的规定,对涉密信息设备和
38/63
涉密存储设备定期进行销毁。销毁前,应当将待销毁设备与清单一一核对,经单位主管领导审批,送国家保密行政管理部门指定的销毁机构进行销毁。销毁机构出具的销毁证明和清单应当妥善保存。
12.单位自行销毁的,应当保存销毁清单和相关记录,对涉密信息设备和涉密存储设备的名称、密级、序列号、经办人、采取的销毁方法和控制措施,以及销毁后残留物的最终去向等情况详细记录并存档(可采取拍照、摄像等方式)。自行销毁应确保涉密信息不可恢复。
【原文】
7.6.13涉密信息系统、涉密信息设备和涉密存储设备使用的安全保密产品、具有安全保密功能的信息设备、虚拟化产品,应当通过国家相关主管部门授权测评机构的检测,使用中应当按照安全保密要求设置相关策略。涉密信息系统、涉密信息设备、涉密存储设备和传输线路的电磁泄漏发射防护,应当符合国家有关规定和标准要求。
【注释】
1.安全保密产品一般分为计算机病毒与恶意代码防护产品、密码产品、信息安全保密产品和电磁泄漏发射防护产品。涉密信息系统、涉密信息设备和涉密存储设备使用的安全保密产品原则上应当选用国产产品,并获得国家相关主管部门的批准。计算机病毒与恶意代码防治产品应当获得国家公安部门批准,密码产品应当获得国家密码管理部门批准,其他安全保密产品应当获得国家保密行政管理部门批准。
2.选择安全保密产品时,应当查验生产厂商提供的国家相关主管部门授权测评机构的检测报告和证书,确认安全保密产品的名称、型号、版本、序列号和保护功能与检测报告和证书一致,并在有效期内。
3.安全保密产品应当按照保密要求管理和使用,安全保密管理员应当根据产品的功能和安全策略要求进行部署,并进行相关策略配置,未经信息化管理部门和保密工作机构批准,不得变更部署和策略配置。
4.安全保密产品不适用、不能安装或者安装后严重影响涉密信息系统和涉密信息设备使用的,经过信息化管理部门和保密工作机构批准,可以不安装。但是应当对涉密信息系统和涉密信息设备的所有空余的接口和端口采取物理封堵,或者采取严格的管控措施。
5.运行维护机构应当每半年对安全保密产品的部署情况、策略设置和工作状态进行检查并记录。安全保密产品发生故障应当及时维修,不能维修的应当及时更换,确保安全保密产品
39/63
始终处于正常的运行状态。
6.在涉密信息系统中采用虚拟化技术,或使用虚拟化产品的,无论是全部还是部分采用虚拟化,建设使用单位应当对整个系统进行风险评估,根据评估中(可能)存在的隐患、脆弱性和威胁,制定专门的建设方案和安全保密方案,经过本单位(或者上级主管单位)组织的专家评审会(保密行政管理部门、国防科技工业管理部门、涉密信息系统测评机构、本行业和本单位的信息安全专家)评审通过后,报保密行政管理部门审查(按照审批权限报送)。采用的虚拟化产品应当通过国家保密行政管理部门设立或者授权测评机构检测合格后,方可采用。
7.涉密信息系统、涉密信息设备、涉密存储设备和传输线路的电磁泄漏发射防护,应当采取获得国家保密行政管理部门设立或者授权的测评机构检测合格并批准的技术措施实施保护。涉密设备供电应当满足安全隔离要求,涉密信息设备使用的滤波电源插座不得给手机、移动终端等移动通信设备和非涉密信息设备使用。
8.涉密信息系统和涉密信息设备的安装、摆放和线路敷设应当满足红黑隔离要求。同时,按照BMB5-2000《涉密信息设备使用现场的电磁泄漏发射防护要求》的规定,保持规定的安全距离。
9.运行维护机构应当及时安装涉密信息系统和涉密信息设备的操作系统、数据库系统和应用系统的补丁程序(补丁程序发布后3个月内)。用户未经审批不得擅自对涉密计算机和信息系统服务器、用户终端安装补丁程序。
10.运行维护机构应当及时更新病毒与恶意代码防护产品特征库,涉密信息系统至少每周更新1次,单台涉密计算机至少每两周更新1次。应当定期对病毒和恶意代码进行查杀(每个月不少于l次,全系统或全盘查杀),并及时清除病毒隔离区。归库、维修、待报废等涉密计算机和信息系统用户终端,以及集中管理的便携式计算机,长期不使用的,应当在重新启用或者借用时更新特征库,并进行病毒与恶意代码查杀后再启用或者借用。
【原文】
7.6.14涉密信息系统、涉密信息设备和涉密存储设备,不得具有无线通信功能,不得连接具有无线通信功能的设备。因特殊工作需要采用无线方式接入的,应当采用国家保密行政管理部门检测合格的安全保密设施设备和国家密码管理部门检测合格的密码设备,并制定专门的安全保密方案报国家保密行政管理部门审查。
【注释】
40/63
1.部分信息设备(如便携式计算机、照相机、摄像机等)配置了无线通信模块。其信道为开放性信道,传输媒介为不可控区域,传输内容随时可能被截获.侦听,应当物理拆除具有无线联网功能的硬件模块(如:无线发射、Wi-Fl、蓝牙、红外等)。
2.Wi-Fi、蓝牙、红外等无线功能部件无法拆除,而信息设备又因业务厂作必须作为涉密信息设备使用的,应当采用物理或技术手段,对无线功能部件做破坏处理,同时采取硬件禁用的方式,使其在任何情况下无法启用无线通信功能。
3.涉密信息系统和涉密信息设备、涉密存储设备,应当禁止接人和使用无线键盘、无线鼠标以及其他具有无线通信功能的外部设备或部件。
4.涉密计算机等信息设备成功连接过(通过设备驱动程序安装和相关的系统日志文件记录确认)无线键盘、无线鼠标及其他具有无线通信功能的外部设备,视为破坏物理隔离,可以中止审查或复查;存在连接过无线键盘、无线鼠标及其他具有无线通信功能的外部设备或部件记录,即使设备驱动程序安装不成功,连接后不能使用的,也属于违规行为。
5.因特殊业务工作需要,涉密信息系统、涉密信息设备需要采用无线方式接人或者连接具有无线通信功能的外部设备或部件的,应当确定采用无线方式对涉密信息系统、涉密信息设备可能带来的安全隐患,并作出风险分析。在风险分析中,应当确定无线通信方式的发射距离,保证将无线发射信号控制在相对安全的区域内(一般不得超出单位的可控边界)。
6.应当根据风险分析结果,针对(可能)存在的风险和隐患,制定专门的接人方案和安全保密方案,采用国家保密行政管理部门和国家密码管理部门检测合格的安全保密设施设备和密码设备,经过本单位(或者上级主管单位)组织的专家评审会(保密行政管理部门、国防科技工业管理部门、涉密信息系统测评机构、本行业和本单位的信息安全专家)评审通过后,报保密行政管理部门审查(按照审批权限报送)。按照通过审查后的方案实施建设完成后,应当将涉密信息系统整体申请系统测评(风险评估)并取得使用许可。
【原文】
7.6.15涉密服务器和涉密计算机重装操作系统、安装或者拆卸软硬件应当履行审批程序;涉密信息系统和涉密信息设备使用的各种软件应当统一管理。
【注释】
1.涉密信息系统和涉密信息设备未履行审批程序,禁止任何软硬件的安装、扩展、缩减、拆卸。应当采取技术手段控制涉密信息系统和涉密信息设备擅自安装和卸载任何软件,或改变
41/63
任何外部设备的状态。
2.涉密信息系统中的服务器、网络设备等软硬件的安装与拆卸,应当由运行维护人员提出申请,经过运行维护机构和信息化管理部门批准后实施;涉密信息系统中的用户终端和单台涉密信息设备等,安装操作系统应当由责任人或使用人提出申请,经过业务部门和运行维护机构批准后实施。
3.操作系统一般应当由系统管理员负责安装,系统管理员因故不能安装的,应当授权相关部门兼职管理人员负责安装。安装操作系统后,应当根据信息设备的涉密等级和安全需求,由安全保密管理员安装必要的安全保密产品,配置完整的安全策略,更新台账相关内容,并将审批表、安装记录以及授权安装表等存档备案。未经批准和授权,任何人不得擅自对涉密信息系统和涉密信息设备进行格式化,或安装操作系统。
4.安装操作系统一般应当使用正版安装媒介。安装操作系统时,应当详细记录安装时间、操作系统名称和版本号、操作系统安全策略配置、应用软件安装、安全保密产品安装和策略设置、安装人员和策略设置人员等。操作系统的版本信息、安装时间、安装记录应当与台账中记录一致(如果采用GHOST盘或者硬盘备份等方式进行操作系统安装,则安装记录表中应当记录GHOST盘或者硬盘备份盘上的操作系统时间和实际的操作系统安装时间)。
5.单位年度经过审批对涉密信息设备进行格式化重装操作系统的设备数量,以及更换硬盘的设备数量,不得超过单位涉密信息系统服务器、用户终端和涉密计算机等信息设备总数的20%。现场审查前6个月内,更换涉密信息系统服务器、用户终端、涉密计算机硬盘,重装操作系统的数量,不得超过涉密信息系统服务器、用户终端、涉密计算机总数的20%(导人导出专用计算机、中间机和涉密便携式计算机的数量,单独按其总数的20%计算)。
6.单位应当设置软件白名单,对工具软件和应用软件集中管理(操作系统、安全保密产品、检查检测工具、清除工具等不能放在白名单中)。需要经常安装的工具软件和应用软件应当由系统运行维护人员进行安全检测后,列人软件白名单并放置在指定的服务器上,或者存储在固定的存储设备(介质)中,供涉密信息系统和涉密信息设备用户自行安装使用,不用时可以自行卸载。
7.涉密信息系统和涉密信息设备,因工作需要安装不在软件白名单中的软件,应当经过业务部门领导和运行维护机构批准,对其软件进行计算机病毒与恶意代码的查杀、查验后安装。安装完成之后,应当对安装软件的设备、安装人、安装时间、安装介质进行记录。
42/63
8.涉密信息系统和涉密信息设备因工作需要新增或拆除硬件设备或者部件,应当由责任人提出申请,经过业务部门和运行维护机构批准后实施,并保存相关记录。
9.运行维护机构日常工作时所使用的硬件或软件,包括移动光驱、检查工具等,应当根据用途分为涉密专用和非涉密专用,并纳人台账管理,使用时应当经过信息化管理部门审批。
【原文】
7.6.16涉密信息系统和涉密信息设备的身份鉴别应当符合有关规定和标准要求。7.6.16.1应当根据涉密信息系统和涉密信息设备的保护级别,采取相应的身份鉴别方式。7.6.16.2用于身份鉴别的物理装置应当参照国家秘密载体的要 求严格管控。【注释】
1.涉密信息系统的服务器、用户终端、应用系统、数据库等,以及涉密计算机等信息设备,应当建立符合国家保密要求且唯一有效的身份鉴别机制,确保用户主体在对客体访问时标记的唯一性,同时具备鉴别技术的复杂性。
2.用户身份标识符应当由系统管理员统一生成并发放,确保在涉密信息系统的服务器、用户终端、应用系统、数据库,以及涉密信息设备生命周期内的唯一性。用户身份标识符应当与安全审计相关联,保证涉密信息系统和涉密信息设备内安全事件的可核查性。身份鉴别措施应当根据涉密人员岗位和密级变化情况,以及配发的涉密信息设备及时调整。
3.涉密信息系统中服务器、用户终端以及其他涉密信息设备应当设置BIOS启动口令(如果可以设置),其口令的长度(BIOS口令允许长度无法满足国家相关保密标准要求的,按照允许的长度设满为止)、复杂性应当符合国家保密标准规定。在涉密计算机等信息设备主板支持的条件下,应当分别设置系统管理和用户登录的BIOS口令,系统管理的BIOS口令应当由运行维护人员统一管控。禁止以任何方式停止、复原或绕过BIOS,直接引导操作系统。
4.登录涉密信息系统的服务器、用户终端、应用系统、数据库,以及涉密信息设备,应当采取符合国家保密标准要求的方式进行身份鉴别,采用IC卡加PIN码、USBKey加PIN码、牛理特征识别或者其他鉴别方式进行身份鉴别时,应当选用通过国家保密行政管理部门批准的鉴别方式或产品。口令(PIN码)应当根据涉密信息系统的服务器、用户终端、应用系统、数据库,以及涉密信息设备的涉密等级,设置符合长度、复杂性要求的口令(PIN码),并定期更换。用户身份鉴别成功后,当空闲操作时间超过规定值(通常不超过十分钟),应当重新进行
43/63
身份鉴别。
5.在涉密信息系统中采用域控模式管理时,应当有效设置用户访问控制权限。使用域控方式的系统,应设置有效的域控策略,绑定用户账户登录主机(或设置用户账户登录所允许的静态IP)。一般不得开放涉密信息系统用户终端的“本地用户登录”,本地登录的用户身份标识符和口令应当由涉密信息系统的安全保密管理员控制。因业务工作需要必须开放“本地登录”的,应当经过业务部门领导和信息化管理部门的批准。
6.涉密信息系统的运行维护,在对服务器、交换机、安全保密产品、数据库系统、集中存储等进行操作时,也应当进行身份鉴别。如果没有符合国家保密标准要求的身份鉴别产品,则应当采取设备自身能够提供的最高强度的身份鉴别方式。
7.用于身份鉴别的IC卡、USBKey、指纹仪等物理装置,应当严格管控,建立台账,并确保台账信息和真实用户配发的身份鉴别物理装置相符。身份鉴别物理装置应当参照国家秘密载体的要求存放管理,未经批准不得带出工作场所。身份鉴别物理装置禁止与其他非涉密信息系统(门禁、考勤、用餐卡等)共用。涉密信息系统和涉密信息设备的管理和使用人员,应当妥善保管本人的身份鉴别物理装置,确保不被偷盗或者冒用。离休、退休、离岗、离职时,应当及时移交配发的IC卡、USBKey、指纹仪等身份鉴别物理装置。
【原文】
7.6.17涉密信息系统和涉密信息设备应当建立符合有关规定和标准要求的强制访问控制措施。
7.6.17.1应当根据国家秘密的知悉范围,实现主体对客体的访问授权。
7617.2应当采取管理或者技术措施,防止信息设备、存储设备的非授权接入以及信息的非授权输入输出。
7.6.17.3多人共同使用一台涉密信息设备或者涉密存储设备时,应当控制每个用户的访问权限,或者获取。
【注释】
1.访问控制是防止涉密信息系统、涉密信息设备和涉密存恤备中的资源(如计算机资源、网络设备资狐通信资源洲汀息资镰等)未授权的访问和使用。如,非法用户进入系统、合法用户对系统资源的非授权使用、泄露、修改、销毁信息以及颁发指令等。
2.访问控制策略主要要求包括:
44/63
(1)应当涵盖网络层、应用层、操作系统层多个层面;(2)应当采取有效的信息流向控制措施,防止高密低传。(3)应当防止非涉密用户或者低密级用户访问超出涉密等级和 知悉范围的涉密信息。
(4)涉密信息系统应当根据服务器功能、是否涉密以及业务范围划分服务器安全域,不同的服务器应当放置在不同安全域内.并采取有效的访问控制措施。服务器安全域之间应当进行访问控制规则设置,实现逻辑隔离,仅开放服务器之间必要的通信端口,并满足访问控制细粒度要求。应当配置访问规则,禁止处理内部信息的服务器访问涉密服务器。
(5)用户终端可根据用户所在部门、业务范围或者涉密等级划分在不同的安全域,不同用户安全域之间不得直接互访。同一安全域内的用户,如果对国家秘密的知悉范围不同,也不得直接互访,应当通过服务器安全域进行访问和信息交换。应当根据用户最小授权范围,设置边界防护访问控制规则,使终端用户仅能访问其授权范围内的网络资源和应用系统资源。
(6)涉密应用系统应当能够对主体(应用系统用户)和客体(应用系统中的信息资源)依据涉密等级、业务类型、功能模块等进了分类,并能够对主体访问客体进行最小授权,使其仅能访问业务二作和知悉范围内的涉密信息资源,并符合相应等级的保护要求。
(7)涉密信息系统中应当禁止建立或者使用不可管控的信息交换渠道,不得擅自开放共享文件夹或建立其他的共享信息交换方式。应当采取管理或者技术措施,保证涉密信息系统服务器、用户终端和其他涉密信息设备中的涉密信息不被非授权访问、查看和获取。
3.应当根据主体的涉密等级和对国家秘密的知悉范围,制定访问控制策略和授权机制,对每个主体建立知悉范围列表,采用最小授权原则实现主体对客体的访问授权。对于同时承担多个项目的用户,应当采取控制措施,避免该用户成为两个不同涉密项目的中介,导致涉密信息知悉范围扩大。
4.应当根据涉密信息系统使用人员对国家秘密的知悉范围和业务工作需要,经过业务部门和信息化管理部门审批,明确每一个使用人员(主体)在涉密信息系统(涉密计算机)中允许访问哪些信息(客体),“三员”依据授权审批单,为涉密信息系统中每一个使用人设定相应的访问权限。应当禁止默认用户访问,对主体和客体实行安全标记,并通过比较安全标签来确定是授予还是拒绝主体对客体的访问。
5.应当采取网络接口控制等技术,防止信息设备和存储设备的非授权接人。网络接口控
45/63
制,涉密信息系统服务器和用户终端应当采用802.lx等技术措施,网络层不能采用技术措施的,应当采用与网络接口物理绑定。
6.多人共用一台涉密信息设备时,应当以不扩大国家秘密的知悉范围为原则。应当指派安全保密管理员或者专人担任涉密计算机等信息设备的系统管理员,并为每个使用人分别设置不同的用户标识和权限,严格按照用户涉密等级和对国家秘密信息的知悉范围,控制涉密信息的访问权限,防止用户查看或者获取知悉范围之外的涉密信息。多人共同使用一台涉密信息设备时,除管理员外,使用者的权限应当设置为一般用户,不得设置为系统管理员权限用户。应当为每个使用人划分一个独立的硬盘涉密分区,除操作系统分区外,不得混用;或者在硬盘上采取符合国家保密标准的存储保护系统存储涉密信息;也可以配发专用涉密移动存储设备用于存储和处理涉密信息。应当确保其中任何一个使用人在使用涉密计算机等信息设备时,不能以任何方式查看和获取他人的涉密信息,确保国家秘密安全。
【原文】
7.6.18涉密信息系统、涉密信息设备和涉密存储设备的信息导入导出应当履行审批程序,相对集中管理,指定人员负责。
1.应当依据安全策略和管理制度,在满足业务工作需求的同时,按“最小化”原则设置涉密信息系统、涉密信息设备的导人导出点。一般一个部门、科室、机构、场所等,可以分别设置1-2个导人导出点,配备相应的导人导出设备,专人负责管理。导入设备(导人信息设备以及单向导人装置、移动光驱、扫描仪、移动硬盘、读卡器等)和导出设备(导出信息设备以及打印机、绘图仪、光盘刻录机、移动硬盘等)应当按照国家相关保密标准要求进行管控。
2.非涉密信息导人涉密信息系统和涉密信息设备,应当通过单向导人设备(如“三合一”单向导人装置、非涉密中间机等)导人。导人前,应当履行审批程序,审批单上应当注明信息的名称、来源、用途、承载的移动存储设备(包括移动存储设备的名称、型号、名量、序列号)等,经业务部门和运行维护机构批准后,采用下列方式导人:
(1)将USB接口的非涉密移动存储设备接人“三合一”单向导人装置绿口(非涉密导人口),信息导人涉密信息系统和涉密信息设备。记录导人过程,审批单和操作记录应当存档备案。
(2)将非涉密移动存储设备接人非涉密中间机,进行计算机病毒、木马程序、恶意代码和间谍软件的查杀,然后在非涉密中间机上将信息刻录到一次性写人光盘,使用光盘将信息导人涉密信息系统和涉密信息设备。记录导人过程,审批单和操作记录应当存档备案。导人使用的45
46/63
光盘应当进行标志记录,禁止重复刻录,光盘使用后不得再次在非涉密中间机、非涉密信息系统或非涉密信息设备中查看或使用。
3.涉密信息应当采取可控的单向导人方式(如“三合一”单向导人装置、涉密中间机等)将涉密信息导人到涉密信息系统或者涉密信息设备中。涉密信息导人前,应当履行审批程序,审批单上应当注明信息的名称、密级、来源、用途、承载的移动存储设备(包括移动存储设备的名称、型号、容量、序列号)等,经业务部门和运行维护机构批准后,采用下列方式导人:
(1)外来涉密信息的载体为“三合一”特种涉密移动存储设备红盘),且适合接人本单位“三合一”单向导人装置的,可将其接入“三合一”单向导入装置(红口),涉密信息导人涉密信息系统和涉密信息设备(同时应当判断红盘的访问控制策略是否符合保密标准的要求)。
(2)外来涉密信息的载体为涉密存储设备(非“三合一”特种涉密移动存储设备),具有明确的密级标志、、编号和责任人时,将承载涉密信息的光盘接人涉密中间机,进行计算机病毒、木马程序、恶意代码和间谍软件的查杀后,可以直接使用该光盘将涉密信息导人涉密信息系统和涉密信息设备;也可以将涉密信息从涉密中间机上拷贝到本单位“三合一”特种涉密移动存储设备中,再导人涉密信息系统和涉密信息设备。记录导人过程,涉密光盘应当按照保密要求进行管理。
(3)外来涉密信息的载体不能判定为涉密存储设备(非“三合一”特种涉密移动存储设备,不具有明确的密级标志、编号和责任人)时,应当首先验证是否为涉密存储设备,是否存储涉密信息。如果能够确定为涉密存储设备,存储有涉密信息,则将承载涉密信息的光盘接人涉密中间机,进行计算机病毒、木马程序、恶意代码和间谍软件的查杀后,将信息刻录一次性光盘,或者拷贝到“三合一”特种涉密移动存储设备中,再导人涉密信息系统和涉密信息设备。如果确定为非涉密存储设备,或者无法判定,则应当退还提供单位,并对其进行保密警示提醒。
4.“三合一”单向导人装置不得配置在非涉密信息设备上使用,非涉密USB接口(绿口)应当控制使用,涉密USB接口(红口)应当做好策略设置(不得设置为通用策略):涉密中间机和非涉密中间机作为“三合一”单向导人装置的补充设备,以满足多种信息设备和存储设备的信息导人需求。涉密中间机的密级应当由导人信息的最高密级决定。中间机应当指定专人管理,控制使用范围,并安装计算机病毒与恶意代码查杀工具。使用时,应当履行审批程序,并对导入操作(导人信息的名称、密级、时间、承载的移动存储介质、去向或者使用人姓名等)进行记录。中间机作为单向导人设备,不允许处理与信息导人无关的业务工作,禁
47/63
止进行除单向导人以外的任何导出操作。
5.照相机存储卡等不具备可读序列号的移动存储设备,应当在涉密与非涉密中间机上配置固定的、具有可控序列号的读卡器,将存储卡中的信息导人到涉密信息系统和涉密信息设备中。更换读卡器应当通过运行维护机构的审批。
6.单位内部单台涉密信息设备之间,或与涉密信息系统进行信息交换时,应当经本业务部门有审批权限的负责同志批准后,通过“三合一”单向导人装置,使用“三合一”特种涉密移动存储介质,或者使用具备技术控制措施的涉密移动存储设备进行信息交换。
7.涉密信息系统内部进行涉密信息交换时,应当经本业务部门有审批权限的负责同志批准后,采用涉密信息系统内提供的信息交换方式进行。
8.涉密信息系统和涉密信息设备确定的信息导出点,应当采取符合国家保密要求的技术控制措施,对信息导出进行监控审计,防止涉密信息的非授权导出。没有确定为信息导出点的涉密信息系统服务器、用户终端和涉密计算机等信息设备,禁止连接具有导出功能的信息设备。
9.涉密信息系统和涉密信息设备中的信息导出应履行审批手续,一般应当由业务部门负责同志进行审批,业务部门负责审批的负责同志不能进行审批时,应当授权相应的涉密人员负责导出审批。应当建立管理和技术控制措施,保证导出信息在审批和导出过程中的完整性和唯一性,并采取控制措施禁止变更信息内容或者增加附件。
10.涉密信息系统和涉密信息设备导出涉密信息到涉密载体时,涉密载体的领取、保存、使用等应当符合国家相关保密标准。导出的纸质涉密文件应当有不可篡改的标志,导出的涉密光盘应当制作光盘封面,封面上应当有不可篡改的标志,保证导出信息的唯一可核查性。未建立导出信息监控审计的单位,应当建立严格的导出信息记录和领取载体登记制度。
11.涉密信息系统和涉密信息设备中的非涉密信息导出时,一般应当导出到纸质介质。确因工作需要将信息导出到存储介质时,应当采取刻录一次性光盘的方式,不得导出到其他移动存储设备(如果非涉密信息仅在涉密信息系统和涉密信息设备中使用,则可以导出到“三合一”特种涉密移动存储设备中)。应当在导出点配备具有光盘刻录功能的信息设备,或配置移动光盘刻录设备,并指定专人负责管理和使用。导出完成后应当做好记录,并卸载移动光盘刻录装置,或关闭数据接口。非涉密信息导出后,单位应当指定专人对信息内容进行非涉密审查,确认无涉密信息后,方可领用以及对外传递和发布。
48/63
【原文】
7.6.19涉密信息系统机房应当确定为保密要害部位.划定安全控制区域,采取符合有关规定和标准要求的安全控制措施。
【注释】
1.机房是为信息系统和信息设备提供运行环境的场所,可以是一幢建筑物或者建筑物的一部分,包括主机房、辅助区、支持区等。涉密信息系统的主机房应当确定为要害部位,并粘贴相应标识。
主机房是信息系统和信息设备放置和运行的实体空间,包括服务器机房、服务器备份机房、后备存储机房等。主机房应当与机房的其他区域之间采取隔离控制措施,任何人未经审批不得进人。
辅助区是系统和应用软件的安装、调试、维护、运行监控和管理的场所,包括运维操作间、进线间、测试机房、监控中心、备件库、导人导出室、维修室等区域。
支持区是保障信息系统正常工作以及完成信息处理过程和技术作业的场所,包括变配电室、柴油发电机房、UPS室、电池室、空调机房、动力站房、消防设施用房、消防和安防控制室等。
2.机房应当实行专人管理,所在楼宇(建筑)出入口应当配备值班人员,出人刷卡验证;应当设置机房出人登记表,登记表包括进人人员姓名、工作内容、进人日期、进人和离开时间及全程陪同人员(若需要)等信息。应当设置电子监控系统对人员出人进行监控;设置红外报警系统对非法人侵进行监控报警。
3.禁止携带手机等无线通信设备,以及与工作无关的具有录音、录像、拍照、信息存储等功能的设备进人主机房。因工作需要带人具有录音、录像、拍照、信息存储等功能的设备进人机房应当履行审批程序。
4.任何人(含信息系统运行维护人员)进人主机房,应当履行审批程序,由信息化管理部门审批。应当采用双向门禁系统控制主机房的人员出人,鉴别方式为智能卡与口令相结合或生理特征识别能够自动记录人员出人时间等相关信息。需要进人主机房直接对服务器等信息设备进行操作时,应当由至少两名以上运行维护人员同时进人。工作或者对信息设备操作时,应当由两名以上的运行维护人员共同完成,工作结束后同时离开。进人人员在主机房内的全部操作应当进行文字记录(如操作的时间、内容、结果、是否接人设备、是否有信息导人导出等),48
49/63
并至少有两人签字,记录应当妥善保存。
5.“三员”的日常运行维护工作应当在机房的辅助区通过堡垒机或者KVM接人设备完成,堡垒机或者KVM的操作记录和审计日志应当妥善保存,不得修改和清除。同时,应当建立运维操作记录本,由“三员”进行操作内容的记录。主机房设备的运行维护工作不得在用户区的用户终端上操作,也不得通过远程终端设备进行操作。
【原文】
7.6.20涉密服务器应当按照有关规定和标准要求严格管控。【注释】
1.涉密信息系统中的各种服务器,包括应用系统服务器、数据库服务器、安全保密产品服务器、安全控制服务器、数据备份服务器等,应按照是否涉密分为涉密服务器和非涉密服务器。放置涉密信息系统服务器的机房应当符合本标准7.6.19的要求。
2.服务器应当设置符合国家相关保密制机制,防止涉密信息系统的运行维护人员擅自或越权访问服务器。不同的运行维护人员(“三员”),应当仅能访问和操作自己职责权限范围内的服务器,并坟写相关的操作记录,严禁越权访问或操作涉密信息系统服务器。
3.应当对涉密信息系统中的服务器采取安全加固措施,充分利用操作系统提供的安全策略进行安全设置,配置必要的安全保密产品并设置相关的安全策略.对于服务器上不使用的各种接口和端口应当采取技术乒段或物理措施进行封堵,防止被非授权利用。
4.服务器基本安全要求:
(1)系统管理员应当明确每个服务器对外开放的端口和服务,关闭多余端口和服务,并形成列表文档,明确说明每个运行服务和开放端口的用途。
(2)涉密服务器应当禁用默认共享,取消除某些特殊业务需求的文件共享。因特殊工作需要,必须采用共享方式才能开展工作的,应当对潜在风险进行分析评估,制定相应的安全保密管理制度和技术保护措施,保证涉密信息控制在确定的安全域中。
(3)可在涉密信息系统中配置一台软件安装服务器,存放软件白名单内的软件安装程序,设置权限仅允许该服务器管理员l几传安装软件,其余用户终端通过规定方式获得安装软件的使用权限,禁止该服务器存储和处理涉密信息,不得通过该服务器访问其他涉密服务器。
(4)机密级以上服务器应当定期对服务器操作系统、应用系统、安全策略配置文件、安全日志等进行系统备份,提供服务的应用程序产生的日志也应当进行备份。
50/63
(5)应当对服务器设置有效的身份鉴别策略。未实施PKI系统身份鉴别的服务器应当启用复杂口令策略,服务器操作系统应删除多余用户、禁用Guest用户。限制单个用户对系统资源的最大或最小使用限度。
(6)服务器应当设置BIOS口令(如果设备提供)、操作系统登录口令、屏保口令,不可采用默认口令、简单口令,且口令长度均不得少于10位。应当采用组合复杂、不易猜测的口令,一般是大小写英文字母、数字和特殊符号中三者以上的组合,更换周期符合国家保密标准中相关密级的要求。绝密级信息系统服务器应当采用双人、双物理特征鉴别的方式进行身份鉴别。
5.主要服务器(包括服务器硬件、部件以及相应的操作系统)应当采取备份措施。对于关键应用服务器和安全控制服务器,应当配有备用设备,在条件允许的情况下应当采取双机热备方式。服务器操作系统配置应当定期备份,服务器操作系统配置发生变化时,应当及时进行备份。
【原文】
7.6.21应当对涉密信息系统中关键业务数据和涉密信息采取备份措施,并采取技术措施实现备份与恢复中的权限控制;对数据库服务器、磁盘阵列中集中存储的涉密信息,应当采取管理和技术措施,实现安全可控。
【注释】
1.为保障涉密信息系统安全可靠运行,应当对系统中的软件以乏信息资源进行分析,制定完备的备份策略。关键数据备份应当包宇涉密信息系统中的重要应用系统的安装文件和运行文件、数据库数据、文件数据、关健设务的配俊参数以及安全保密产品的策略文件、日志文件等
2.应用系统备份主要包括应川系统的配置备份以及应用系统程序备份等。应用系统发生变更或升级时,变更前应当对原系统的配置、应用系统程序进行备份,确保应用系统在变更、升级失败时,可以回退到系统变更前的状态。
3.数据(信息)备份主要包括数据库备份和关键业务数据(信息)备份等。数据应当按照其重要性制定不同的备份策略。通过增量备份、全量备份方式满足数据库和关键业务数据、涉密信息和数据的备份需求。对数据库系统进行升级或补丁程序更新时,变更前应当对数据库进行备份,确保数据库数据在升级或更新失败时,可以回退到变更前的状态。
4.备份工作应当根据相关管理制度和备份策略进行。备份前,应当履行审批程序,经运
第二篇:1-武器装备科研生产单位一级保密资格标准
武器装备科研生产单位一级保密资格标准 适用范围
1.1 本标准为武器装备科研生产单位一级保密资格审查认证和复查的依据。2 实施原则
2.1 积极防范,突出重点,严格标准,严格管理。2.2 业务工作谁主管,保密工作谁负责。3 具体标准
3.1 保密责任
3.1.1 法定代表人或主要负责人责任: 对本单位保密工作负全面领导责任。
a)保证党和国家有关保密工作的方针政策和法律法规在本单位的贯彻执行; b)保证本标准在本单位的实施,及时解决保密工作中的重要问题,监督检查领导责任制的落实;
c)为保密工作提供人力、财力、物力等条件保障。3.1.2 分管保密工作负责人责任: 对本单位保密工作负具体领导责任。a)及时研究和部署保密工作;
b)对保密工作落实情况组织监督检查; c)为保密工作机构履行职责提供保障。3.1.3 其他负责人责任:
对分管工作范围内的保密工作负领导责任。
a)对分管工作中的保密工作进行研究和部署;
b)对分管工作中的保密措施落实情况进行监督检查; c)为分管工作中的保密工作开展提供保障。3.1.4 涉密部门负责人或项目负责人责任: 对本部门或本项目的保密工作负直接领导责任。a)掌握本部门或本项目的保密工作情况; b)采取具体措施组织落实单位保密工作部署; c)对保密措施落实情况进行监督检查。3.1.5 涉密人员责任:
对本职岗位的保密工作负直接责任。a)熟悉本职岗位的保密要求; b)按规定履行保密工作职责。3.2 保密组织机构 3.2.1 保密委员会
3.2.1.1 单位应当成立保密委员会,保密委员会为单位保密工作领导机构,应当有明确的职责。
3.2.1.2 保密委员会由单位负责人和有关部门主要负责人组成,保密委员会主任由单位负责人担任;保密委员会成员应当有明确的职责分工。3.2.1.3 保密委员会实行例会制度,对保密工作进行研究、部署和总结,及时解决保密工作中的重要问题。保密委员会例会每年不少于2次。
3.2.2 保密工作机构
3.2.2.1 单位应当设置负责保密管理工作的专门处室,在保密委员会领导下独立行使保密管理职能。
单位涉密人员100人以下的,可不设立专门处室,确定一部门负责保密管理工作。3.2.2.2 保密工作机构应当履行下列职责:
a)向保密委员会提出工作建议,组织落实保密委员会的工作部署; b)组织指导制定保密制度;
c)组织指导涉密人员的审查界定和保密教育培训; d)组织保密检查工作; e)监督指导定密工作;
f)组织协调保密审查工作;
g)监督指导重要涉密活动的保密管理工作; h)组织确定和调整保密要害部门、部位;
i)监督指导计算机和信息系统、通信及办公自动化设备的保密管理工作; j)监督指导保密防护措施的实施;
k)查处违反保密法律法规的行为和泄密事件; l)提出保密责任追究和奖惩建议。3.2.3 保密工作机构人员配备
3.2.3.1 涉密人员1000人(含)以上的,专职保密工作人员配备不得少于4人; 500人(含)以上1000人以下的,不得少于3人;100人(含)以上500人以下的,不得少于2人;100人以下的,不得少于1人。
管理多个独立法人单位的保密工作机构人员配备按所属单位涉密人员总数计算。
军工集团公司总部保密工作机构人员配备不得少于4人。
涉密部门涉密人员100人(含)以上的,应当配备1名专职保密工作人员;100人以下的,配备兼职保密工作人员。
3.2.3.2 专职保密工作人员2人以上的,应当配备1名保密技术管理人员。3.2.3.3 保密工作机构人员应当具备下列条件: a)具备良好的政治素质;
b)熟悉保密法律法规,掌握保密知识技能,具有一定的管理工作能力; c)熟悉本单位业务工作和保密工作情况; d)通过培训和考核,获得保密工作资格证书。3.3 保密制度
保密制度健全、规范,具有可操作性。保密制度包括基本制度、二级制度和专项制度。
3.3.1 基本制度
基本制度是单位依据国家保密法律法规和上级有关规定制定的日常保密管理总的工作规范,包括以下基本内容:
a)保密教育;
b)涉密人员管理;
c)确定、变更和解除国家秘密管理; d)国家秘密载体管理; e)要害部门、部位管理; f)计算机和信息系统管理;
g)通信及办公自动化设备管理; h)宣传报道管理; i)涉密会议管理; j)协作配套管理; k)涉外活动管理;
l)保密监督检查;
m)泄密事件报告和查处; n)责任考核与奖惩。3.3.2 二级制度
二级制度是单位内部涉密部门根据工作需要,依据基本制度,结合业务工作实际,制定的具体保密管理措施。应当按照业务工作流程,明确保密要求和保密责任,做到简明扼要,易记易懂易操作。
3.3.3 专项制度
专项制度是针对重大涉密工程或项目、外场试验等制定的专门保密管理措施。应当按照专项任务的特点和要求,做到密级划分清楚,责任明确,措施具体。
3.3.4 保密制度应当根据实际情况及时修订完善。3.4 保密监督管理 3.4.1 定密管理
3.4.1.1 单位应当成立定密工作小组,负责本单位国家秘密事项密级确定审核工作。定密工作小组由单位有关业务工作负责人、业务部门、保密工作机构人员组成。
3.4.1.2 单位应当依据国家秘密及其密级具体范围及时确定本单位国家秘密事项、密级和保密期限。
3.4.1.3 单位应当根据情况变化,及时变更本单位国家秘密事项的密级和保密期限。
国家秘密事项在保密期限内不需要继续保密的,单位应当及时解密。3.4.2 涉密人员管理
3.4.2.1 单位应当按照涉密程度对涉密岗位和涉密人员的涉密等级做出界定。涉密岗位和涉密人员的涉密等级分为核心(绝密级)、重要(机密级)和一般(秘密级)三个等级。
3.4.2.2 涉密人员的涉密等级,应当根据情况变化,及时进行调整。
3.4.2.3 进入涉密岗位的人员,单位人事部门应当会同保密工作机构进行审查和培训。
3.4.2.4 单位应当与涉密人员签订保密责任书。保密责任书包括涉密人员的保密义务和责任及享有的权利等基本内容。
3.4.2.5 单位对在岗涉密人员应当进行保密教育培训,每人每不少于15学时。
3.4.2.6 建立涉密人员保密自查制度。对涉密人员的保密义务和责任情况,应至2年。3.4.2.9 单位应当及时将涉密人员名单在公安机关出入境管理机构登记备案。因私出国(境)的,应当按有关规定审批。出国(境)前应当对其进行保密教育。
涉密人员擅自出国(境)的,单位应当立即向上级机关或有关部门报告。3.4.3 涉密载体管理
3.4.3.1 国家秘密载体应当按有关规定标明密级和保密期限。
3.4.3.2 制作、收发、传递、使用、复制、保存、维修和销毁国家秘密载体(含纸介质、磁介质和光盘等各类物品)及其过程文件资料,应当符合国家有关保密管理规定。
3.4.3.3 密品研制、生产、试验、运输、使用、保存、维修和销毁,应当符合国家有关保密管理规定。
3.4.3.4 严格控制国家秘密载体的接触范围。对接触和知悉绝密级国家秘密的人员应当作出文字记载。
3.4.3.5 机密级(含)以下国家秘密载体应当存放在密码文件柜中,绝密级国家秘密载体应当存放在密码保险柜中。
3.4.3.6 涉密人员辞职、解聘、调离涉密岗位,应当在离岗前清退保管和使用的国家秘密载体。
3.4.4 要害部门、部位管理
3.4.4.1 单位日常工作中经常产生、传递、使用和管理绝密级或较多机密级、秘密级国家秘密的内设机构,应当确定为保密要害部门。
单位集中制作、存放、保管国家秘密载体及重要密品研制、实验的专门场所,应当确定为保密要害部位。
3.4.4.2 保密要害部门、部位的确定,应当按有关规定履行审批程序。3.4.4.3 保密要害部门、部位应当采取严格的保密防护措施。
根据有关规定安装防盗报警装置、视频监控和电子门禁系统。保密要害部门、部位相对集中的建筑物,应当确定安全控制区域,外周界应当安装防入侵报警装置和视频监控系统,配备安全值班人员,出入口应当设置电子门禁系统。
3.4.4.4 涉及保密要害部门、部位的新建、改建工程项目要符合安全保密要求,所采取的保密防护措施应当经单位保密工作机构组织的审核,与工程建设同计划、同设计、同建设、同验收。
3.4.4.5 对进入保密要害部门、部位的安全值班、工勤服务和外来人员应当有相应的保密管理措施。
3.4.5 计算机和信息系统管理
3.4.5.1 涉密信息系统投入运行前,应当经国家保密工作部门审批。
3.4.5.2 涉密计算机和信息系统应当与国际互联网和其它公共信息网络实行物理隔离;禁止使用非涉密的计算机、信息系统和存储介质存储和处理涉密信息;禁止将涉密计算机和信息系统接入内部非涉密信息系统;涉密信息的远程传输应当按国家有关部门要求采取密码保护措施;未经单位信息化管理部门审批,禁止对涉密计算机和信息系统格式化或重装操作系统,禁止删除涉密计算机和信息系统的移动存储介质及外部设备等日志记录。
3.4.5.3 应当建立信息设备和存储介质台帐;涉密信息设备和存储介质的维修、报废应当符合国家有关保密管理规定。
3.4.5.4 信息设备和存储介质应当具有标识,涉密的应当标明密级,非密的应当标明用途;涉密信息设备和存储介质中的涉密信息应当标明密级。
3.4.5.5 涉密计算机和信息系统应当制定文档化的安全保密策略,并根据环境、系统和威胁变化情况及时调整更新;应当定期(绝密级1周、机密级1个月、秘密级3个月)形成文档化的安全保密审计报告;每6个月根据系统综合日志,进行一次风险自评估,形成文档化的风险分析报告,对存在的风险应当及时采取补救措施。
3.4.5.6 涉密计算机和信息系统应当按照存储和处理信息的相应密级进行管理和防护;涉密计算机和信息系统应当选择通过国家相关主管部门授权测评机构检测的安全保密产品,并正确配置和使用;涉密计算机和信息系统应当采取身份鉴别、访问控制和安全审计等技术保护措施,及时升级病毒和恶意代码样本库,进行病毒和恶意代码查杀,及时安装操作系统、数据库和应用系统的补丁程序;涉密计算机和信息系统中的信息输出应当相对集中,有效控制;未经本单位信息化管理部门审批,涉密计算机和信息系统用户终端禁止安装或拆卸硬件设备和软件。
3.4.5.7 应当拆除涉密便携式计算机中具有无线联网功能的硬件模块;涉密计算机和信息系统禁止使用具有无线功能的外部设备;未经单位保密工作机构审批,涉密便携式计算机不得存储涉密信息。
3.4.5.8 绝密级计算机的使用环境应当符合国家有关保密管理规定;绝密级信息的存储和传输应当按国家有关部门要求采取密码保护措施。
3.4.5.9 在涉密计算机和信息系统内使用的存储介质应当采取绑定或有效的技术措施;禁止使用无标识的存储介质;禁止在低密级计算机上使用高密级存储介质;禁止在低密级存储介质上存储高密级信息;信息交换应当符合国家有关保密管理规定,并配备中间转换机。
3.4.5.10 涉密信息设备和传输线路的电磁泄漏发射防护措施应当符合国家有关保密管理规定。
3.4.5.11 应当根据工作需要,配备专供外出携带的涉密计算机和存储介质,并由专人进行集中管理和维护;涉密计算机和存储介质携带外出应当履行审批手续,确保仅存有与外出工作相关的涉密信息,带回时应当进行保密检查。
3.4.5.12 涉密信息系统应当配备系统管理员、安全保密管理员、安全审计员,权限设置应当相互独立、相互制约,三员角色不得兼任;没有涉密信息系统的单位应当配备涉密计算机安全保密管理员;涉密计算机和信息系统安全保密管理人员应当通过安全保密培训,持证上岗,并按照重要涉密人员管理。
3.4.5.13 要建立防止涉密信息上国际互联网和其它公共信息网络的控制措施,对外发布信息应当经过保密审查;从国际互联网和其它公共信息网络下载信息、程序和软件工具等到涉密计算机和信息系统中应当加强管理与控制。
3.4.6 通信及办公自动化设备管理
3.4.6.1 处理涉密信息的办公自动化设备禁止连接国际互联网和其它公共信息网络,禁止连接内部非涉密计算机和信息系统;禁止使用非涉密办公自动化设备存储和处理涉密信息。
3.4.6.2 通信设备的使用应当符合国家有关保密管理规定,重要涉密场所禁止使用无线通信设备;办公自动化设备应当建立台帐,并指定专人管理;禁止使用具有无线互联功能的办公自动化设备处理涉密信息;涉密办公自动化设备的维修、报废应当符合国家有关保密管理规定。
3.4.7 宣传报道管理
3.4.7.1 涉及军工科研生产事项的宣传报道、展览、公开发表著作和论文等,应当经单位业务主管部门保密审查和保密工作机构审核;需报上级主管部门审批的,应当履行报批手续。
3.4.7.2 接受涉及军工科研生产事项的新闻媒体采访,应当履行审批手续,不得涉及国家秘密。
3.4.8 涉密会议管理
3.4.8.1 涉密会议应当在具备安全保密条件的场所召开。
重要涉密会议应当在内部场所召开,主办部门应当提前制定保密方案,并向单位保密工作机构备案。必要时单位保密工作机构应当派人监督和检查。
3.4.8.2 严格控制与会人员范围,并对与会人员进行身份确认。
3.4.8.3 会议涉密载体的发放、清退和销毁应当指定专人负责,使用和管理应当符合相关保密要求。
3.4.8.4 会议使用的扩音等技术设备应当符合保密要求;会议场所禁止带入手机等移动通信工具,必要时应当设置手机信号干扰器;禁止带入具有无线上网功能的便携式计算机;未经批准禁止带入具有摄录功能的设备。
3.4.9 外场试验管理
3.4.9.1 外场试验单位应当制定保密工作方案,指定保密责任人。试验现场的保密管理工作由牵头单位组织协调,参试人员应当遵守试验现场的保密管理规定。
3.4.9.2 对无线通信设备和具有摄录功能的设备等应当采取严格控制措施。3.4.9.3 对涉密载体和密品的管理应当采取安全保密防护措施。3.4.10 协作配套管理 3.4.10.1 分包涉密任务,应当选择具有相应保密资格的单位。
3.4.10.2 与涉密协作配套单位签订合同,应当明确项目密级和保密条款,重要涉密项目应当签订保密协议,并监督保密条款或保密协议的执行。
3.4.10.3 在合同签订、合同履行和合同文本中,严格控制背景、用途等涉密内容,不得提供配套项目研制必需的技术要求以外的涉密信息。
3.4.10.4 承担涉密协作配套任务的单位,应当严格执行合同保密条款,遵守保密协议。
3.4.11 涉外管理
3.4.11.1 在对外交流、合作和谈判等外事活动中应当制定保密方案,明确保密事项,采取相应的保密措施,执行保密提醒制度。
3.4.11.2 对外提供文件资料或物品的,应当经过保密审查;涉及国家秘密的,应当按照国家有关规定审批。
3.4.12 保密检查
3.4.12.1 单位应当每6个月组织保密检查,对发现的问题,提出书面整改要求,并督促整改。
单位保密工作机构应当每3个月对涉密部门负责人进行保密检查,保密委员会内应当组织对单位负责人的保密检查。
涉密部门和涉密人员应当每月进行保密自查。
3.4.12.2 发现泄密事件应当按有关规定及时报告和采取补救措施,并报告查处情况。
3.4.13 考核与奖惩
3.4.13.1 应当严格执行保密责任追究制度。
3.4.13.2 保密责任落实情况应当纳入绩效考核内容。
3.4.13.3 对保密工作做出突出成绩的单位和个人应当给予表彰和奖励。
3.4.13.4 对违反保密法律法规的行为,应当视情给予处罚;泄露国家秘密的,应当按照有关规定作出处理。
3.4.14 工作档案管理
3.4.14.1 单位保密工作机构对保密工作开展情况应当有文字记载,内容完整详实,并进行分类归档,有条件的建立电子文档。
3.4.14.2 涉密部门对保密工作开展情况应当有文字记载。3.5 保密条件保障
3.5.1 保密工作经费分为保密管理工作经费和专项保密工作经费。保密管理工作经费用于单位日常保密管理工作;专项保密工作经费用于保密防护设施的建设和设备的配备。
3.5.2 保密管理工作经费应当单独列入单位财务预算,根据工作需要保证足额开支。
3.5.3 保密管理工作经费预算按下列标准计算: a)核心涉密人员平均每人每300元,重要涉密人员200元,一般涉密人员100元。
b)经合计高于30万元的单位,以30万元为保证基数,低于10万元的单位以10万元为保证基数,不足部分按实际工作需要增补。
管理多个独立法人单位的,按所属单位涉密人员总数计算。军工集团公司总部以30万元为保证基数。
3.5.4 专项保密工作经费应当按实际需要予以保障。3.5.5 具备满足工作需要的保密技术检查手段和能力。
第三篇:武器装备科研生产单位三级保密资格标准
武器装备科研生产单位三级保密资格标准
1适用范围
1.1本标准为武器装备科研生产单位三级保密资格审查认定的依据。
2实施要求
2.1积极防范,突出重点,严格标准,依法管理。2.2业务工作谁主管,保密工作谁负责,促进保密工作与业务工作相融合。
2.3规范定密,严格按照工作需要控制国家秘密的知悉范围。
2.4健全保密管理体系,提升系统防范能力。
3保密责任
3.1法定代表人或者主要负责人责任 3.1.1对本单位保密工作负全面领导责任;
3.1.2贯彻党和国家有关保密工作的方针政策和法律法规,并提出明确落实要求;
3.1.3了解和掌握单位保密工作情况,及时研究解决保密工作重大问题;
3.1.4为保密工作提供人力、财力、物力等条件保障; 3.1.5监督保密工作责任制的落实。3.2分管保密工作负责人责任
3.2.1对本单位保密工作负具体领导责任; 3.2.2组织研究和部署落实保密工作;
3.2.3协调解决保密工作中的重点、难点问题; 3.2.4监督、检查保密工作落实情况; 3.2.5为保密工作机构履行职责提供保障。3.3其他负责人责任
3.3.1对分管业务范围内的保密工作负直接领导责任; 3.3.2将保密管理要求融入分管业务工作;
3.3.3组织制定分管业务范围内的保密管理制度和措施,并督促检查落实;
3.3.4在分管业务范围内为保密工作开展提供保障。3.4涉密部门负责人或者涉密项目负责人责任
3.4.1对本部门或者本项目的保密工作负直接管理责任; 3.4.2明确部门或者项目内人员的保密职责,按照工作需要控制国家秘密的知悉范围;
3.4.3将保密管理要求融入业务工作制度中; 3.4.4采取具体措施组织落实单位保密工作部署; 3.4.5开展日常保密教育和监督检查。3.5涉密人员责任
3.5.1对本职岗位保密工作负直接责任; 3.5.2掌握基本的保密知识、技能和要求; 3.5.3遵守保密法规制度,履行岗位保密职责; 3.5.4及时报告泄密隐患,制止违法违规行为。4归口管理
单位科研生产、人力资源、信息化、新闻宣传、外事等职能部门,应当明确职责,结合各自业务工作实际,归口负责业务工作范围内的保密管理工作和相关工作制度制定。
5保密组织机构
5.1保密委员会(保密工作领导小组)
5.1.1单位应当成立保密委员会(保密工作领导小组),保密委员会(保密工作领导小组)为单位保密工作领导机构,应当明确职责并制定工作规则。
5.1.2保密委员会(保密工作领导小组)由单位负责人和有关部门负责人组成,并明确职责分工。保密委员会(保密工作领导小组)主任(组长)由单位负责人担任。
5.1.3保密委员会(保密工作领导小组)应当实行例会制度,对保密工作进行研究、部署和总结,重要问题应当及时研究解决。
5.1.4保密委员会(保密工作领导小组)成员应当每年向保密委员会(保密工作领导小组)报告履职情况。
5.1.5保密委员会(保密工作领导小组)应当设立办公室,承办日常工作。
5.2保密工作机构
5.2.1单位应当确定负责保密管理工作的机构,在保密委员会(保密工作领导小组)领导下独立行使保密管理职能。5.2.2保密工作机构主要职责
5.2.2.1组织落实保密委员会(保密工作领导小组)工作部署;
5.2.2.2组织制定保密基本制度,拟制保密工作计划,对落实保密工作提出意见建议;
5.2.2.3监督指导各部门保密工作;
5.2.2.4组织确定和调整保密要害部门部位; 5.2.2.5组织开展保密检查;
5.2.2.6组织查处违反保密法律法规的行为和泄密事件; 5.2.2.7提出保密责任追究和奖惩建议。5.3保密工作机构人员配备
5.3.1涉密人员100人(含)以上的,专职保密工作人员配备不得少于1人;涉密人员100人以下的,应当配备兼职保密工作人员。
单位应当确定一部门负责人担任保密工作机构负责人。5.3.2专职保密工作人员2人(含)以上的,应当配备1名保密技术管理人员。
5.3.3保密工作机构人员条件 5.3.3.1具备良好的政治素质;
5.3.3.2熟悉保密法律法规,掌握保密知识技能,具有一定的管理能力;
5.3.3.3熟悉本单位业务工作和保密工作情况; 5.3.3.4经过保密知识技能培训。
6保密制度
保密制度应当全面、规范,具有可操作性,并根据实际情况及时修订。内容应当包括保密责任(含归口管理责任),定密工作,涉密人员,保密教育培训,国家秘密载体,密品,保密要害部门部位,信息系统、信息设备和存储设备,新闻宣传,涉密会议,协作配套,涉外活动,外场试验,保密监督检查,泄密事件报告和查处,考核与奖惩等方面基本要求。
7保密管理
7.1定密管理
7.1.1单位应当根据定密权限依法开展定密工作。7.1.2单位应当明确定密程序,制定国家秘密事项范围细目,并根据情况变化及时调整。
7.1.3单位对产生的国家秘密事项应当及时确定密级、保密期限和知悉范围。
7.1.4法定代表人或者主要负责人对单位定密工作负总责。法定代表人或者主要负责人可以根据工作需要指定定密责任人,明确定密权限。
7.1.5定密责任人应当接受定密培训,经考核具备上岗能力。
7.1.6定密责任人在职责范围内承担有关国家秘密确定、变更和解除工作。7.1.7单位应当每年组织对本单位产生的国家秘密事项进行审核,做好国家秘密变更和解除工作。
7.2涉密人员管理
7.2.1单位应当对岗位和人员的涉密等级作出界定。涉密岗位和人员的涉密等级分为重要和一般两个等级。7.2.2涉密人员的涉密等级,应当根据情况变化,及时进行调整。
7.2.3进入涉密岗位的人员应当通过审查和培训,签订保密承诺书,并定期组织复审。
7.2.4单位应当对在岗涉密人员进行保密教育培训,每人每不少于8学时。
7.2.5涉密人员严重违反保密制度的,应当及时调离涉密岗位。
7.2.6单位应当每年对涉密人员进行考核,考核不合格的,应当及时调离涉密岗位。
7.2.7单位应当根据涉密人员的涉密等级,给予相应的保密补贴。
7.2.8单位应当及时将涉密人员在公安机关出入境管理机构备案。涉密人员出国(境)应当履行审批程序,出国(境)前单位应当对其进行保密教育,返回后及时进行回访。擅自出国(境)或者逾期不归的,单位应当立即向上级机关、单位和有关部门报告。7.2.9单位应当对涉密人员的出入境证件实行统一管理。7.2.10挂职返聘借调、学习实习人员从事涉密工作以及临时参与涉密业务的,由用人单位按照涉密人员进行管理。
7.2.11涉密人员离岚离职,应当在离岗离职前清退保管和使用的国家秘密载体、涉密信息设备、涉密存储设备和密品等,并与单位签订保密承诺书,明确应当承担的法律责任和具体脱密期限。单位应当按照有关规定对其实行脱密期管理。
7.3国家秘密载体管理
7.3.1国家秘密载体应当相对集中管理,建立台账,做到账物相符,追溯期限不少于3年。
7.3.2国家秘密载体应当按照有关规定作出国家秘密标志,标明密级和保密期限。
7.3.3制作、收发、传递、使用、复制、保存、维修和销毁国家秘密载体,应当符合有关规定。
7.3.4单位应当根据工作需要,严格控制国家秘密的知悉范围。持有国家秘密载体或者知悉国家秘密,应当履行审批程序。
7.3.5国家秘密载体应当存放在密码文件柜中。7.3.6国家秘密载体的管理和使用,应当禁止以下行为: 7.3.6.1非法获取、持有国家秘密载体; 7.3.6.2非法复制、记录、存储国家秘密; 7.3.6.3买卖、转送或者私自销毁国家秘密载体; 7.3.6.4通过普通邮政、快递等无保密措施的渠道传递国家秘密载体;
7.3.6.5邮寄、托运国家秘密载体出境;
7.3.6.6未经有关主管部门批准,携带、传递国家秘密载体出境。
7.4密品管理
7.4.1密品应当确定密级,按照国家有关规定作出国家秘密标志,并在有关技术文件中注明。
7.4.2密品应当建立台账,做到账物相符。
7.4.3对外形和构造容易暴露国家秘密的密品,在研制、生产、试验、运输、保存、维修、使用过程中应当对其采取遮挡或者其他保护性措施。
7.4.4密品禁止通过普通邮政、快递等渠道传递。重要密品运输应当制定安全保密方案,落实安全保密措施,并做好记录。
7.4.5密品销毁应当履行审批程序,选择符合保密要求的部门、单位、场所进行,指定人员监销。
7.5保密要害部门部位管理
7.5.1单位应当按照有关规定确定保密要害部门部位,并采取出入口控制、入侵报警、视频监控等技防措施。
7.5.2非授权人员进入保密要害部门部位应当履行审批程序、登记,并采取监督管理措施。
7.5.3未经批准,不得将具有无线通信功能的设备和具备拍摄、录音等功能的电子设备带入保密要害部门部位。严禁将手机带入保密要害部门部位。
7.5.4对进入保密要害部门部位的工勤服务人员应当采取相应的保密管理措施。
7.5.5涉及保密要害部门部位的工程建设项目要符合安全保密要求,所采取的保密防护措施应当经过单位保密工作机构审核,与工程建设同计划、同设计、同建设、同验收。
7.6信息系统、信息设备和存储设备管理
7.6.1信息系统、信息设备和存储设备包含各类应用系统、服务器、计算机、网络设备、外部设施设备、存储介质、办公自动化设备、声像设备和安全保密产品。
7.6.2涉密信息系统应当由国家保密行政管理部门设立或者授权的保密测评机构进行系统测评或者风险评估,并经设区的市、自治州级以上保密行政管理部门审查合格,取得《涉及国家秘密的信息系统使用许可证》。许可证涉及事项发生变化时,应当按照有关规定及时报告。申请系统测评或者风险评估的拓扑结构应当与网络实际情况一致。
7.6.3信息系统、信息设备和存储设备的管理和使用应当符合国家有关保密法律法规和标准要求,禁止以下行为:
7.6.3.1将涉密信息系统、涉密信息设备和涉密存储设备接入互联网及其他公共信息网络;
7.6.3.2在未采取防护措施的情况下,在涉密信息系统、涉密信息设备和涉密存储设备与互联网及其他公共信息网络之间进行信息交换;
7.6.3.3使用非涉密信息系统、非涉密信息设备和非涉密存储设备存储、处理、传输国家秘密信息;
7.6.3.4在未采取保密措施的有线或者无线通信中传递国家秘密;
7.6.3.5未经安全技术处理,将退出使用的涉密信息设备、涉密存储设备赠送、出售、丢弃或者改作其他用途;
7.6.3.6擅自卸载、修改涉密信息系统、涉密信息设备和涉密存储设备的安全技术程序、管理程序;
7.6.3.7擅自访问、下载、存储、传输知悉范围以外的国家秘密;
7.6.3.8擅自扫描或者检测涉密信息系统的网络基础设施、安全保密产品以及应用系统等。
7.6.4单位应当明确部门或者具有相应资质的机构负责信息系统、信息设备和存储设备的安全保密管理和运行维护,根据工作实际组织制定信息安全策略、管理制度和操作规程,落实信息系统、信息设备和存储设备的安全保密要求。
7.6.5涉密信息系统应当配备系统管理员、安全保密管理员和安全审计员(简称“三员”)。未建立涉密信息系统、仅使用涉密计算机的单位,至少应当配备涉密计算机安全保密管理员。
7.6.5.1“三员”的配备和权限设置应当相互独立、相互制约,安全审计员不得兼任系统管理员和安全保密管理员。
7.6.5.2单位应当组织“三员”参加保密行政管理部门、国防科技工业管理部门,或者保密行政管理部门授权的其他部门组织的培训,具备岗位所要求的专业能力。
7.6.6信息设备和存储设备应当根据存储、处理、传输信息的最高密级确定涉密等级和责任人,并按规定程序进行变更和调整。
7.6.7应当建立信息系统、信息设备和存储设备台账,做到信息要素完整、账物相符。涉密信息系统、涉密信息设备和涉密存储设备应当实行全生命周期管理。
7.6.8信息设备、存储设备应当具有标识,标识的信息要素应当完整,涉密的标明密级,非涉密的标明用途并粘贴保密提醒;涉密信息设备和涉密存储设备中存储的涉密信息应当具有密级标志。
7.6.9测试、调试、仿真、工控、数控等专用系统或者设备应当明确涉密等级和保护要求,采取管控措施,保证信息流向安全可控。因特殊工作需要,涉密网络与非涉密网络、工业控制系统连接实时进行特定信息交换的,应当制定专门的安全保密方案报国家保密行政管理部门审查。7.6.10外出携带的涉密信息设备和涉密存储设备,应当专人集中管理。携带外出应当履行审批程序,带出前和带回时应当进行保密检查,外出期间应当按照保密要求管理和使用。
7.6.11涉密信息系统、涉密信息设备和涉密存储设备应当按照规定程序进行维修和报废。维修中应当对存储过涉密信息的硬件和固件采取有效的管控措施,对外来维修人员履行审批程序并全程旁站陪同。
7.6.12涉密信息系统、涉密信息设备和涉密存储设备使用的安全保密产品、具有安全保密功能的信息设备、虚拟化产品,应当通过国家相关主管部门授权测评机构的检测。使用中应当按照安全保密要求设置相关策略。涉密信息系统、涉密信息设备、涉密存储设备和传输线路的电磁泄漏发射防护,应当符合国家有关规定和标准要求。
7.6.13涉密信息系统、涉密信息设备和涉密存储设备,不得具有无线通信功能,不得连接具有无线通信功能的设备。因特殊工作需要采用无线方式接入的,应当采用国家保密行政管理部门检测合格的安全保密设施设备和国家密码管理部门检测合格的密码设备,并制定专门的安全保密方案报国家保密行政管理部门审查。
7.6.14涉密服务器和涉密计算机重装操作系统、安装或者拆卸软硬件应当履行审批程序;涉密信息系统使用的各种软件应当统一管理。
7.6.15涉密信息系统和涉密信息设备的身份鉴别应当符合有关规定和标准要求,用于身份鉴别的物理装置应当严格管控。
7.6.16涉密信息系统和涉密信息设备应当建立符合有关规定和标准要求的访问控制措施。
7.6.16.1应当采取管理或者技术措施,防止信息设备、存储设备的非授权接入以及信息的非授权输入输出。
7.6.16.2多人共同使用一台涉密信息设备或者涉密存储设备时,应当控制每个用户的访问权限,确保涉密信息不被他人非授权访问或者获取。
7.6.17涉密信息系统、涉密信息设备和涉密存储设备的信息导入导出应当履行审批程序,指定人员负责。
7.6.18涉密信息系统机房应当确定为保密要害部位,采取符合有关规定和标准要求的安全控制措施。
7.6.19应当对涉密信患系统中关键业务数据采取备份措施;对数据库服务器、磁盘阵列中集中存储的涉密信息,应当采取管理和技术措施,实现安全可控。
7.6.20应当定期对涉密信息系统、涉密信息设备和涉密存储设备进行审计,并对审计内容进行综合安全分析,形成审计报告,报信息化管理部门和分管业务负责人。
7.6.21应当定期对涉密信息系统、涉密信息设备和涉密存储设备进行风险自评估,查找脆弱性和威胁,确定风险和隐患,及时采取整改措施,并报信息化管理部门和分管业务负责人。
7.6.22应当建立互联网接入审批和登记制度,严格控制互联网接入口数量,并采取符合有关规定和标准的监管技术措施。
7.7新闻宣传管理
7.7.1涉及武器装备科研生产事项的宣传报道、展览、发表著作和论文等,应当经合同甲方单位审批。
7.7.2涉及涉密武器装备科研生产事项的参观、采访,应当按照规定履行审批程序,提出保密要求。
7.8涉密会议管理
7.8.1涉密会议应当确定密级,在具备安全保密条件的场所召开。
7.8.2应当严格控制与会人员范围,对进入会场人员进行身份登记确认。
7.8.3会议涉密载体发放、清退、保管和销毁应当指定人员负责,履行相关手续。
7.8.4会议使用的音像等技术设备应当符合保密要求;会议场所禁止带入手机等移动通信工具。未经批准不得将具备拍摄、录音功能的设备带入会议场所。
7.9外场试验管理 7.9.1外场试验单位应当制定保密方案,指定保密负责人。试验现场的保密管理工作由牵头单位组织协调,参试人员应当遵守试验现场的保密管理规定。
7.9.2外场试验数据交换和通信应当采取保密措施。7.9.3对涉密载体和密品的管理应当符合安全保密要求。7.10协作配套管理
7.10.1分包涉密项目,应当选择具有相应保密资格的单位。《武器装备科研生产许可目录》之外的应急或者短期生产秘密级项目,选择非保密资格单位的,分包单位应当按照有关保密规定和程序对承制方进行保密审查,签订保密协议,提出保密要求,履行保密监管责任。
7.10.2严格控制分包项目的涉密内容,不得提供项目研制必需之外的涉密信息。
7.10.3与协作配套单位签订的合同中,应当有保密条款或者签订保密协议,明确界定合同文本和项目的密级、保密要求和保密责任,并监督执行。
7.10.4涉及军工单位的涉密信息系统集成、国家秘密载体印制、军工涉密业务咨询服务等业务,应当从取得相关涉密资质的单位中选择。
7.10.5承担涉密协作配套任务的单位,应当严格执行合同保密条款,遵守保密协议。
7.11涉外管理 7.11.1对外交流、合作和谈判等外事活动应当制定保密方案,明确保密事项,采取相应的保密措施,执行保密提醒制度。
7.11.2接待境外人员来访,应当按照有关规定履行审批程序,对来访人员进行身份确认,明确活动区域,采取必要的安全保密防范措施。
7.11.3对外交流内容、谈判口径、提供资料和产品应当经过保密审查;涉及国家秘密的,应当按照有关规定履行审批程序。
8监督与保障
8.1保密检查
8.1.1单位应当每半年组织一次保密检查;对发现的问题提出书面整改要求,并督促整改。
8.1.2涉密部门应当每季度进行一次自查,自查及整改情况报单位保密工作机构。
8.1.3单位应当根据工作情况组织开展专项检查。8.1.4单位应当根据日常管理和检查情况,对单位存在的保密风险进行分析,提出改进措施,并督促落实。
8.2泄密事件查处
发生泄密事件应当按照有关规定及时报告和采取补救措施,并报告查处情况。
8.3考核与奖惩 8.3.1保密工作责任落实情况应当纳入绩效考核。8.3.2单位应当每年对保密工作成绩突出的部门和个人给予表彰和奖励。
8.3.3单位应当严格执行保密工作责任追究制度,对违反保密规章制度或者不履行保密责任的给予处罚,并追究相关领导的责任。
8.4保密工作经费
8.4.1保密工作经费分为保密管理工作经费和专项保密工作经费。保密管理工作经费用于单位日常保密管理工作;专项保密工作经费用于保密防护设施的建设和设备的配备。保密管理工作经费应当列入单位财务预算。
8.4.2保密管理工作经费以5万元为保证基数,不足部分按实际工作需要增补。
8.5保密工作档案
8.5.1单位应当建立保密工作档案,档案内容应当完整真实,反映单位保密工作开展实际情况。
8.5.2保密工作档案应当按照规定保存,保存期限一般不少于3年。
第四篇:武器装备科研生产单位二级保密资格标准
武器装备科研生产单位二级保密资格标准
1适用范围
1.1本标准为武器装备科研生产单位二级保密资格审查认定的依据。
2实施要求
2.1积极防范,突出重点,严格标准,依法管理。2.2业务工作谁主管,保密工作谁负责,促进保密工作与业务工作相整合。
2.3规范定密,严格按照工作需要控制国家秘密的知悉范围。
2.4健全保密管理体系,提升系统防范能力。3保密责任
3.1法定代表人或者主要负责人责任;3.1.1对本单位保密工作负全面领导责任;
3.1.2贯彻党和国家有关保密工作的方针政策和法律法规,并提出明确落实要求;
3.1.3了解和掌握单位保密工作情况,及时研究解决保密工作重大问题;
3.1.4为保密工作提供人力、财力、物力等条件保障; 3.1.5监督保密工作责任制的落实。3.2分管保密工作负责人责任
3.2.1对本单位保密工作负具体领导责任 3.2.2组织研究和部署落实保密工作;
3.2.3协调解决保密工作中的重点、难点问题; 3.2.4监督、检查保密工作落实情况; 3.2.5为保密工作机构履行职责提供保障。3.3其他负责人责任
3.3.1对分管业务范围内的保密工作负直接领导责任; 3.3.2将保密管理要求融入分管业务工作;
3.3.3组织制定分管业务范围内的保密管理制度和措施,并督促检查落实;
3.3.4在分管业务范围内为保密工作开展提供保障。3.4涉密部门负责人或者涉密项目负责人责任;3.4.1对本部门或者本项目的保密工作负直接管理责任; 3.4.2明确部门或者项目内人员的保密职责,按照工作需要控制国家秘密的知悉范围;
3.4.3将保密管理要求融入业务工作制度中; 3.4.4采取具体措施组织落实单位保密工作部署; 3.4.5开展日常保密教育和监督检查。3.5涉密人员责任
3.5.1对本职岗位保密工作负直接责任; 3.5.2掌握基本保密知识、技能和要求; 3.5.3遵守保密法规制度,履行岗位保密职责; 3.5.4及时报告泄密隐患,制止违法违规行为。4归口管理
单位科研生产、人力资源、信息化、新闻宣传、外事等职能部门,应当明确职责,结合各自业务工作实际,归口负责业务工作范围内的保密管理工作和相关工作制度制定。
5保密组织机构
5.1保密委员会(保密工作领导小组)
5.1.1单位应当成立保密委员会(保密工作领导小组),保密委员会(保密工作领导小组)为单位保密工作领导机构,应当明确职责并制定工作规则。
5.1.2保密委员会(保密工作领导小组)由单位负责人和有关部门负责人组成,并明确职责分工。保密委员会(保密工作领导小组)主任(组长)由单位负责人担任。
5.1.3保密委员会(保密工作领导小组)应当实行例会制度,对保密工作进行研究、部署和总结,重要问题应当及时研究解决。
5.1.4保密委员会(保密工作领导小组)成员应当每年向保密委员会(保密工作领导小组)报告履职情况。
5.1.5保密委员会(保密工作领导小组)应当设立办公室,承办日常工作。
5.2保密工作机构
5.2.1单位应当设臵专门负责保密管理工作的职能部门,独立行使保密管理职能。单位涉密人员200人以下的,可不设立专门部门,但应当确定一个部门履行保密管理职责。
5.2.2保密工作机构主要职责
5.2.2.1组织落实保密委员会(保密工作领导小组)工作部署;
5.2.2.2组织制定保密基本制度,拟制保密工作计划,对落实保密工作提出意见建议;
5.2.2.3监督指导各部门保密工作;
5.2.2.4组织确定和调整保密要害部门部位; 5.2.2.5组织开展保密检查;
5.2.2.6组织查处违反保密法律法规的行为和泄密事件; 5.2.2.7提出保密责任追究和奖惩建议。5.3保密工作机构人员配备
5.3.1涉密人员1000人(含)以上的,专职保密工作人员配备不得少于3人;200人(含)以上1000人以下的,不得少于2人,200人以下的,不得少于1人。
5.3.3.2熟悉保密法律法规,掌握保密知识技能,具有一定的管理能力;
5.3.3.3熟悉本单位业务工作和保密工作情况; 5.3.3.4经过保密知识技能培训。6保密制度
6.1保密制度应当全面、规范,具有可操作性,并根据 实际情况及时修订。
6.2单位应当建立保密基本制度,包括保密责任(含归口管理责任),定密工作,涉密人员,保密教育培训,国家秘密载体,密品,保密要害部门部位,信息系统、信息设备和存储设备,新闻宣传,涉密会议,协作配套,涉外活动,外场试验,保密监督检查,泄密事件报告和查处,考核与奖惩等方面基本要求。
6.3重大涉密工程或者项目应当制定专项保密制定。6.4单位各职能部门应当将保密管理要求融入业务工作制度中,并组织落实。
7保密管理 7.1定密管理
7.1.1单位应当根据定密权限依法开展定密工作。7.1.2单位应当明确定密程序,制定国家秘密事项范围事项范围细目,并根据情况变化及时调整。
7.1.3单位对产生的国家秘密事项应当及时确定密级、保密期限和知悉范围。
7.1.4法定代表人或者主要负责人对单位定密工作负总责。法定代表人或者主要负责人可以根据工作需要指定定密责任人,明确定密权限。
7.1.5定密责任人应当接受密室培训,经考核具备上岗能力。7.1.6定密责任人在职责范围内承担有关国家秘密确定,变更和解除工作。
7.1.7单位应当每年组织对本单位产生的国家秘密事项进行审核,做好国家秘密变更和解除工作。
7.2涉密人员管理
7.2.1单位应当对岗位和人员的涉密等级作出界定。涉密岗位和人员的涉密等级分为核心、重要和一般三个等级。
7.2.2涉密人员的涉密等级,应当根据情况变化,及时进行调整。
7.2.3进入涉密岗位的人员应当通过审查和培训,签订保密承诺书,并定期组织复审。
7.2.4单位应当对在岗涉密人员进行保密教育培训,签订保密承诺书,并定期组织复审。
7.2.5涉密人员严重违反保密制度的,应当及时调离涉密岗位。
7.2.6单位应当每年对涉密人员进行考核,考核不合格的,应当及时调离涉密岗位。
7.2.7单位应当根据涉密人员的涉密等级,给予相应的保密补贴。
7.2.8单位应当及时将涉密人员在公安机关出入境管理机构备案。涉密人员出国(境)应当履行审批程序,出国(境)前单位应当对其进行保密教育,返回后及时进行回访。擅自出国(境)或者逾期不归的,单位应当立即向上级机关、单位和有关部门报告。
7.2.9单位应当对涉密人员的出入境证件实行统一管理。7.2.10挂职返聘借调、学习实习人员从事涉密工作以及临时参与涉密业务的,由用人单位按照涉密人员进行管理。
7.2.11涉密人员离岗离职,应当在离岗离职前清退保管和使用的国家秘密载体、涉密信息设备、涉密存储设备和密品等,并与单位签订保密承诺书,明确应当承担的法律责任和具体脱密期限。单位应当按照有关规定对其实行脱密期管理。
7.3国家秘密载体管理
7.3.1国家秘密载体应当相对集中管理,建立台账,做到相符,追溯期限不少于3年。
7.3.2国家秘密载体应当按照有关规定作出国家秘密标志,标明密级和保密期限。
7.3.3制作、收发、传递、使用、复制、保存、维修和销毁国家秘密载体,应当符合有关规定。
7.3.4单位应当根据工作需要,严格控制国家秘密的知悉范围,持有国家秘密载体或者知悉国家秘密,应当履行审批程序。
7.3.5机密级(含)以下国家秘密载体应当存放在密码 文件柜中,绝密级国家秘密载体应当存放在密码保险柜中。
7.3.6国家秘密载体的管理和使用,应当禁止以下行为: 7.3.6.1非法获取、持有国家秘密载体; 7.3.6.2非法复制、记录、存储国家秘密; 7.3.6.3买卖、转送或者私自销毁国家秘密载体; 7.3.3.4通过普通邮政、快递等无保密措施的渠道传递国家秘密载体;
7.3.6.5邮寄、托运国家秘密载体出境;
7.3.6.6未经有关主管部门批准、携带、传递国家秘密载体出境。
7.4密品管理
7.4.1密品应当确定密级,按照国家有关规定作出国家秘密标志,并在有关技术文件中注明。
7.4.2密品应当建立台账,做到账物相符。
7.4.3对外形和构造容易暴露国家秘密的密品,在研制、生产、试验、运输、保存、维修、使用过程中应当对其采取遮挡或者其他保护性措施。
7.4.4密品禁止通过普通邮政、快递等渠道传递。重要密品运输应当制定安全保密方案,落实安全保密措施,并做好记录。
7.4.5密品销毁应当履行审批程序,选择符合保密要求的部门、单位、场所进行,指定人员监销。7.5保密要害部门部位管理
7.5.1单位应当按照有关规定确定保密要害部门部位。7.5.2保密要害部位应当实施物理防护,并采取出入口控制、入侵报警、视频监控等技防措施。
7.5.4非授权人员进入保密要害部门部位应当履行审批程序、登记,并采取监督管理措施。
7.5.5未经批准,不得将具有无线通信功能的设备和具备拍摄、录音等功能的电子设备融入保密要害部门部位。严禁将手机融入保密要害部门部位。
7.5.6对进入保密要害部门部位的工勤服务人员应当采取相应的保密管理措施。
7.5.7涉及保密要害部门部位的工程建设项目要符合安全保密要求,所采取的保密防护措施应当经过单位保密工作机构审核,与工程建设同计划、同设计,同建设,同验收。
7.6信息系统、信息设备和存储设备管理
7.6.1信任主、信息设备和存储设备包含各类应用系统、服务器、计算机、网络设备、外部设施设备、存储介质、办公自动化设备、声像设备和安全保密产品。
7.6.2涉密信息系统应当由国家保密行政管理部门设立或者授权的保密的测评机构进行系统测评或者风险评估,并经省、自治区、直辖市以上保密行政管理部门审查合格,取得《涉及国家秘密的信息系统使用许可证》。许可证涉及事 项发生变化时,应当按照有关规定及时报告。申请系统测评或者风险评估的拓扑结构应当与网络实际情况一致。
7.6.3信息系统、信息设备和存储设备的管理和使用应当符合国家有关保密法律法规和标准要求,禁止以下行为:
7.6.3.1将涉密信息系统、涉密信息设备和涉密存储设备接入互联网及其他公共信息网络。
7.6.3.2在未采取防护措施的情况下,在涉密信息系统、涉密信息设备和涉密存储设备与互联网及其他公共信息网络之间进行信息交换;
7.6.3.3使用非涉密信息系统、非涉密信息设备和非涉密存储设备存储、处理、传输国家秘密信息;
7.6.3.4在未采取保密措施的有线或者无线通信中传递国家秘密;
7.6.3.5未经安全技术处理,将退出使用的涉密信息设备、涉密存储设备赠送、出售、或者发作其他用途;
7.6.3.6擅自卸载、修改涉密信息系统、涉密信息设备和涉密存储设备的安全技术程序、管理程序;
7.6.3.8擅自访问、下载、存储、传输和知悉范围以外的国家秘密;
7.6.4单位应当明确信息化管理部门,负责信息系统、信息设备和存储设备的安全保密管理;指定或者委托具有相应资质的机构(单位)负责信息系统、信息设备和存储设备 的运行维护。
7.6.4.1信息化管理部门应当组织制定由信息安全策略、管理制度和操作规程等组成的信息安全保密管理体系文件,对信息系统、信息设备和存储设备的安全保密检查。
7.6.4.2运行维护机构应当制定运行维护工作制度和操作规程,落实信息系统、信息设备和存储设备的安全保密要求。
7.6.5涉密信息系统应当配备系统管理员、安全保密管理员和安全审计员(简称“三员”)。未建立涉密信息系统仅使用涉密计算机的单位,至少应当配备涉密计算机安全保密管理员。
7.6.5.1“三员”的配备和权限的设臵应当相互独立、相互制约,不得兼任或者交叉替代。
7.6.5.2单位应当组织“三员”参加保密行政管理部门、国防科技工业管理部门,或者保密行政管理部门授权的其他部门组织的培训,具备岗位所要求的专业能力。
7.6.6信息设备和存储设备应当根据存储、处理、传输信息的最高密级确定涉密等级和责任人,并按规定程序进行变更和调整。
7.6.7应当建立信息系统、信息设备和存储设备台账,做到信息要素完整、账物相符。涉密信息系统、涉密信息设备和涉密存储设备应当实行全生命周期管理。7.6.8信息设备、存储设备应当具有标识,标识的信息要素应当完整,涉密的标明密级,非涉密的标明用途并粘贴保密提醒;涉密信息设备和涉密存储设备中存储的涉密信息应当具有密级标志。
7.6.9测试、调试、仿真、工控、数控等专用系统或者设备应当明确涉密等级和保护要求,采取管控措施,保证信息流向安全可控。因特殊工作需要,涉密网络与非涉密网络、工业控制系统连接实时进行特定信息交换的,应当制定专门的安全保密方案报国家保密行政管理部门审查。
7.6.10应当根据工作需要,配备专供外出携带的涉密信息设备和涉密存储设备,并由专人集中管理。携带外出应当履行审批程序,带出前和带回时应当进行保密检查,外出期间应当按照保密要求管理和使用。
7.6.11涉密信息系统、涉密信息设备和涉密存储设备应当按照规定程序进行维修和报废。维修中应当对存储过涉密信息的硬件和固件采取有效的管控措施,对外来维修人员履行审批程序并全程旁站陪同。
7.6.12涉密信息系统、涉密信息设备和涉密存储设备使用的安全保密产品、具有安全保密功能的信息设备、虚拟化产品,应当通过国家相关主管部门授权测评机构的检测。使用中应当按照安全保密要求设臵相关策略。涉密信息系统、涉密信息设备、涉密存储设备和传输线路和电磁泄漏发射防 护,应当符合国家有关规定和要求。
7.6.13涉密信息系统、涉密信息设备和涉密存储设备,不得具有无线通信功能,不得连接具有无线通信功能的设备。因特殊工作需要采用无线方式接入的,应当采用国家保密行政管理部门检测合格的安全保密设施设备和国家密码管理部门检测合格的密码设备,并制定专门的安全保密方案报国家保密行政管理部门审查。
7.6.14涉密服务器和涉密计算机重装操作系统、安装或者拆卸软硬件应当履行审批程序;涉密信息系统和涉密信息设备使用的各种软件应当统一管理。
7.6.15涉密信息系统和涉密信息设备的身份鉴别应当符合有关规定和标准要求。
7.6.15.1应当根据涉密信息系统和涉密信息设备的保护级别,采取相应的身份鉴别方式。
7.6.15.2用于身份鉴别的物理装臵应当参照国家秘密载体的要求严格管控。
7.6.16涉密信息系统和涉密信息设备应当建立符合有关规定的标准要求的强制访问控制措施。
7.6.16.1应当根据国家秘密和知悉范围,实现主体对客体的访问授权。
7.6.16.2应当采取管理或者技术措施,防止信息设备、存储设备的非授权人以及信息的非授权输入输出。7.6.16.3多人共同使用一台涉密信息设备或者涉密存储设备时,应当控制每个用户的访问权限,确保涉密信息不被他人非授权访问或者获取。
7.6.17涉密信息系统、涉密信息设备和涉密存储设备的信息导入导出应当履行审批程序,相对集中管理,指定人员负责。
7.6.18涉密信息系统机房应当确定为保密要害部位,采取符合有关规定和标准要法度的安全控制措施。
7.6.19涉密服务器应当按照有关规定和标准要求严格管控。
7.6.20应当对涉密信息系统中关键业务数据和涉密信息采取备份措施,并采取技术措施实现备份与恢复中的权限控制;对数据库服务器、磁盘阵列中集中存储的涉密信息,应当采取管理和技术措施,实现安全可控。
7.6.21应当定期对信息系统、信息设备和存储设备进行审计,并对审计内容进行综合安全分析,形成审计报告,报信息化管理部门和分管业务负责人。
7.6.22应当定期对涉密信息系统、涉密信息设备和涉密存储设备进行风险自评估,查找脆弱性和威胁,确定风险和除患,及时采取整改措施,并报信息化管理部门和分管业务负责人。
7.6.23应当建立互联网接入审批和登记制度,严格控制 互联网接入口数量,并采取符合有关规定和标准和监管技术措施。
7.7新闻宣传管理
7.7.1涉及武器装备科研生产事项的宣传报道、展览、发表著作和论文等,应当经单位业务主管部门保密审查;需报上级主管部门审批的,应当履行报批手续。
7.7.2涉及涉密武器装备科研生产事项的参观、采访,应当按照规定履行审批程序,提出保密要求。
7.8涉密会议管理
7.8.1涉密会议应当确定密级,在具备安全保密条件的场所召开。
7.8.2应当严格控制与会人员范围,对进入会场人员进行身份登记确认。
7.8.3会议涉密载体发放、清退、保管和销毁应当指定人员负责,履行相关手续。
7.8.4会议使用的音像等技术设备应当符合保密要求;会议场所禁止带入手机等移动通信工具。未经批准不得将具备拍摄、录音功能的设备融入会议场所。
7.8.5重要涉密会议,主办部门应当制定保密方案,落实保密措施,必要时保密工作机构应当派人监督和检查。
7.9外场试验管理
7.9.1外场试验单位应当制定保密方案,指定保密负责 人。试验现场的保密管理工作由牵头单位组织协调,参试人员应当遵守试验现场的保密管理规定。
7.9.2外场试验数据交换和通信应当采取保密措施。7.9.3对涉密载体和密品的管理应当符合安全保密要求。7.9.4外场试验牵头单位应当定期对试验现场的保密工作进行检查。
7.10协作配套管理。
7.10.1分包涉密项目,应当选择具有相应保密资格的单位。《武器装备科研生产许可目录》之外的应急或者短期生产秘密级项目,选择非保密资格单位的,分包单位应当按照有关保密规定和程序对承制方进行保密,签订保密协议,提出保密要求,履行保密监管责任。
7.10.2严格控制分包项目的涉密内容,不得提供项目研制发布之外的涉密信息。
7.10.3与协作配套单位签订的合同中,应当有保密条款或者签订保密协议,明确办公室合同文本和项目的密级、保密要求和保密责任,并监督执行。
7.10.4涉及军工单位的涉密信息系统集成、国家秘密载体印制、军工涉密业务咨询服务等业务,应当从取得相关涉密资质的单位中选择。
7.10.5承担涉密协作配套任务的单位,应当严格执行合同保密条款,遵守保密协议。7.11涉外管理
7.11.1对外交流、合格和谈判等外事活动应当制定保密方案,明确保密事项,采取相应的保密措施,执行保密提醒制度。
7.11.2接待境外人员来访,应当按照有关规定履行审批程序,对来访人员进行身份确认,明确活动区域,采取必要的安全保密防范措施。
7.11.3对外交流内容,谈判口径,提供资料和产品应当经过保密审查;涉及国家秘密的,应当按照有关规定履行审批程序。
8监督与保障 8.1保密检查
8.1.1单位应当每半年组织一次保密检查;对发现的问题提出书面整改要求,并督促整改。
8.1.2涉密部门应当每季度进行一次自查,自查及整改情况报单位保密工作机构。
8.1.3单位应当根据工作情况组织开展专项检查。8.1.4单位应当根据日常管理和检查情况,对单位存在保密风险进行分析,提出改进措施,并督促落实。
8.2泄密事件查处
发生泄密事件应当按照有关规定及时报告和采取补救措施,并报告查处情况。8.3考核与奖惩
8.3.1保密工作责任落实情况应当纳入绩效考核 8.3.2单位应当每年对保密工作成绩突出的部门和个人给予表彰和奖励。
8.3.3单位应当严格执行保密工作责任追究制度,对违反保密规章制度或者不履行保密责任的给予处罚,并追究相关领导的责任。
8.4保密工作经费
8.4.1保密工作经费分为保密管理工作经费和专项保密工作经费,保密管理工作经费用于单位日常保密管理工作;专项保密工作经费用于保密防护设施的建设和设备的配备。保密管理工作经费应当列入单位财务预算。
8.4.2保密管理工作经费以5万元为保证基数,不足部分按实际工作需要增补。
8.5保密工作档案
8.5.1单位应当建立保密工作档案,档案内容应当完整真实,反映单位保密工作开展实际情况。
8.5.2保密工作档案应当按照规定保存,保存期限一般不少于3年。
第五篇:武器装备科研生产单位二级保密资格标准
武器装备科研生产单位二级保密资格标准
(2009年新修订)
1适用范围
1.1本标准为武器装备科研生产单位二级保密资格审查认证和复查的依据。2实施原则
2.1积极防范,突出重点,严格标准,严格管理。2.2业务工作谁主管,保密工作谁负责。3具体标准 3.1保密责任
3.1.1法定代表人或主要负责人责任: 对本单位保密工作负全面领导责任。
a)保证党和国家有关保密工作的方针政策和法律法规在本单位的贯彻执行;
b)保证本标准在本单位的实施,及时解决保密工作中的重要问题,监督检查领导责任制的落实; c)为保密工作提供人力、财力、物力等条件保障。3.1.2分管保密工作负责人责任: 对本单位保密工作负具体领导责任。a)及时研究和部署保密工作; b)对保密工作落实情况组织监督检查; c)为保密工作机构履行职责提供保障。3.1.3其他负责人责任:
对分管工作范围内的保密工作负领导责任。a)对分管工作中的保密工作进行研究和部署; b)对分管工作中的保密措施落实情况进行监督检查; c)为分管工作中的保密工作开展提供保障。3.1.4涉密部门负责人或项目负责人责任: 对本部门或本项目的保密工作负直接领导责任。a)掌握本部门或本项目的保密工作情况; b)采取具体措施组织落实单位保密工作部署; c)对保密措施落实情况进行监督检查。3.1.5涉密人员责任:
对本职岗位的保密工作负直接责任。a)熟悉本职岗位的保密要求; b)按规定履行保密工作职责。3.2保密组织机构
3.2.1保密委员会或保密工作领导小组
3.2.1.1单位应当成立保密委员会或保密工作领导小组,保密委员会或保密工作领导小组为单位保密工作领导机构,应当有明确的职责。
3.2.1.2保密委员会或保密工作领导小组由单位负责人和有关部门主要负责人组成,保密委员会主任或保密工作领导小组组长由单位负责人担任;保密委员会或保密工作领导小组成员应当有明确的职责分工。3.2.1.3保密委员会或保密工作领导小组实行例会制度,对保密工作进行研究、部署和总结,及时解决保密工作中的重要问题。保密委员会或保密工作领导小组例会每年不少于2次。3.2.2保密工作机构 3.2.2.1单位应当设置负责保密管理工作的专门处室,在保密委员会或保密工作领导小组领导下独立行使保密管理职能。
单位涉密人员200人以下的,可不设立专门处室,确定一部门负责保密管理工作。3.2.2.2保密工作机构应当履行下列职责:
a)向保密委员会或保密工作领导小组提出工作建议,组织落实保密委员会或保密工作领导小组的工作部署; b)组织指导制定保密制度;
c)组织指导涉密人员的审查界定和保密教育培训; d)组织保密检查工作; e)监督指导定密工作; f)组织协调保密审查工作;
g)监督指导重要涉密活动的保密管理工作; h)组织确定和调整保密要害部门、部位;
i)监督指导计算机和信息系统、通信及办公自动化设备的保密管理工作; j)监督指导保密防护措施的实施;
k)查处违反保密法律法规的行为和泄密事件; l)提出保密责任追究和奖惩建议。3.2.3保密工作机构人员配备
3.2.3.1涉密人员1000人(含)以上的,专职保密工作人员配备不得少于3人;200人(含)以上1000人以下的,不得少于2人;200人以下的,不得少于1人。涉密部门应当配备兼职保密工作人员。
3.2.3.2专职保密工作人员2人以上的,应当配备1名保密技术管理人员。3.2.3.3保密工作机构人员应当具备下列条件: a)具备良好的政治素质;b)熟悉保密法律法规,掌握保密知识技能,具有一定的管理工作能力; c)熟悉本单位业务工作和保密工作情况;d)通过培训和考核,获得保密工作资格证书。3.3保密制度
保密制度健全、规范,具有可操作性。保密制度包括基本制度、二级制度和专项制度。3.3.1基本制度
基本制度是单位依据国家保密法律法规和上级有关规定制定的日常保密管理总的工作规范,包括以下基本内容: a)保密教育; b)涉密人员管理;
c)确定、变更和解除国家秘密管理; d)国家秘密载体管理; e)要害部门、部位管理; f)计算机和信息系统管理; g)通信及办公自动化设备管理; h)宣传报道管理; i)涉密会议管理; j)协作配套管理; k)涉外活动管理; l)保密监督检查; m)泄密事件报告和查处; n)责任考核与奖惩。3.3.2二级制度
二级制度是单位内部涉密部门根据工作需要依据基本制度,结合业务工作实际,制定的具体保密管理措施。应当按照业务工作流程,明确保密要求和保密责任,做到简明扼要,易记易懂易操作。3.3.3专项制度
专项制度是针对重大涉密工程或项目、外场试验等制定的专门保密管理措施。应当按照专项任务的特点和要求,做到密级划分清楚,责任明确,措施具体。3.3.4保密制度应当根据实际情况及时修订完善。3.4保密监督管理 3.4.1定密管理
3.4.1.1单位应当成立定密工作小组,负责本单位国家秘密事项密级确定审核工作。定密工作小组由单位有关业务工作负责人,业务部门、保密工作机构人员组成。
3.4.1.2单位应当依据国家秘密及其密级具体范围及时确定本单位国家秘密事项、密级和保密期限。3.4.1.3单位应当根据情况变化,及时变更本单位国家秘密事项的密级和保密期限。国家秘密事项在保密期限内不需要继续保密的,单位应当及时解密。3.4.2涉密人员管理
3.4.2.1单位应当按照涉密程度对涉密岗位和涉密人员的涉密等级做出界定。
涉密岗位和涉密人员的涉密等级分为核心(绝密级)、重要(机密级)和一般(秘密级)三个等级。3.4.2.2涉密人员的涉密等级,应当根据情况变化,及时进行调整。
3.4.2.3进入涉密岗位的人员,单位人事部门应当会同保密工作机构进行审查和培训。
3.4.2.4单位应当与涉密人员签订保密责任书。保密责任书包括涉密人员的保密义务和责任及享有的权利等基本内容。
3.4.2.5单位对在岗涉密人员应当进行保密教育培训,每人每不少于15学时。
3.4.2.6建立涉密人员保密自查制度。对涉密人员的保密义务和责任情况,应当进行监督考核。涉密人员严重违反保密法律法规应当调离涉密岗位。
3.4.2.7单位应当根据涉密人员涉密等级,给予相应的保密补贴。
3.4.2.8涉密人员脱离单位,应当与原单位签订保密承诺书。单位应当对其实行脱密期管理。核心涉密人员的脱密期为3年至5年,重要涉密人员的脱密期为2年至3年,一般涉密人员的脱密期为1年至2年。3.4.2.9单位应当及时将涉密人员名单在公安机关出入境管理机构登记备案。因私出国(境)的,应当按有关规定审批。出国(境)前应当对其进行保密教育。
涉密人员擅自出国(境)的,单位应当立即向上级机关或有关部门报告。3.4.3涉密载体管理
3.4.3.1国家秘密载体应当按有关规定标明密级和保密期限。
3.4.3.2制作、收发、传递、使用、复制、保存、维修和销毁国家秘密载体(含纸介质、磁介质和光盘等各类物品)及其过程文件资料,应当符合国家有关保密管理规定。
3.4.3.3密品研制、生产、试验、运输、使用、保存、维修和销毁,应当符合国家有关保密管理规定。3.4.3.4严格控制国家秘密载体的接触范围。对接触和知悉绝密级国家秘密的人员应当作出文字记载。3.4.3.5机密级(含)以下国家秘密载体应当存放在密码文件柜中,绝密级国家秘密载体应当存放在密码保险柜中。
3.4.3.6涉密人员辞职、解聘、调离涉密岗位,应当在离岗前清退保管和使用的国家秘密载体。3.4.4要害部门、部位管理
3.4.4.1单位日常工作中经常产生、传递、使用和管理绝密级或较多机密级、秘密级国家秘密的内设机构,应当确定为保密要害部门。
单位集中制作、存放、保管国家秘密载体及重要密品研制、实验的专门场所,应当确定为保密要害部位。3.4.4.2保密要害部门、部位的确定,应当按有关规定履行审批程序。3.4.4.3保密要害部门、部位应当采取严格的保密防护措施。
根据有关规定安装防盗报警装置、视频监控和电子门禁系统。保密要害部门、部位相对集中的建筑物,应当确定安全控制区域,外周界应当安装防入侵报警装置和视频监控系统,配备安全值班人员。
3.4.4.4涉及保密要害部门、部位的新建、改建工程项目要符合安全保密要求,所采取的保密防护措施应当经单位保密工作机构组织的审核,与工程建设同计划、同设计、同建设、同验收。
3.4.4.5对进入保密要害部门、部位的安全值班、工勤服务和外来人员应当有相应的保密管理措施。3.4.5计算机和信息系统管理
3.4.5.1涉密信息系统投入运行前,应当经省(自治区、直辖市)保密工作部门审批。
3.4.5.2涉密计算机和信息系统应当与国际互联网和其它公共信息网络实行物理隔离;禁止使用非涉密的计算机、信息系统和存储介质存储和处理涉密信息;禁止将涉密计算机和信息系统接入内部非涉密信息系统;涉密信息的远程传输应当按国家有关部门要求采取密码保护措施;未经单位信息化管理部门审批,禁止对涉密计算机和信息系统格式化或重装操作系统,禁止删除涉密计算机和信息系统的移动存储介质及外部设备等日志记录。
3.4.5.3应当建立信息设备和存储介质台帐;涉密信息设备和存储介质的维修、报废应当符合国家有关保密管理规定。
3.4.5.4信息设备和存储介质应当具有标识,涉密的应当标明密级,非密的应当标明用途;涉密信息设备和存储介质中的涉密信息应当标明密级。
3.4.5.5涉密计算机和信息系统应当制定文档化的安全保密策略,并根据环境、系统和威胁变化情况及时调整更新;应当定期(机密级1个月、秘密级3个月)形成文档化的安全保密审计报告;每12个月根据系统综合日志,进行一次风险自评估,形成文档化的风险分析报告,对存在的风险应当及时采取补救措施。3.4.5.6涉密计算机和信息系统应当按照存储和处理信息的相应密级进行管理和防护;涉密计算机和信息系统应当选择通过国家相关主管部门授权测评机构检测的安全保密产品,并正确配置和使用;涉密计算机和信息系统应当采取身份鉴别、访问控制和安全审计等技术保护措施,及时升级病毒和恶意代码样本库,进行病毒和恶意代码查杀,及时安装操作系统、数据库和应用系统的补丁程序;涉密计算机和信息系统中的信息输出应当相对集中,有效控制;未经单位信息化管理部门审批,涉密计算机和信息系统用户终端禁止安装或拆卸硬件设备和软件。
3.4.5.7应当拆除涉密便携式计算机中具有无线联网功能的硬件模块;涉密计算机和信息系统禁止使用具有无线功能的外部设备;未经单位保密工作机构审批,涉密便携式计算机不得存储涉密信息。
3.4.5.8在涉密计算机和信息系统内使用的存储介质应当采取绑定或有效的技术措施;禁止使用无标识的存储介质;禁止在低密级计算机上使用高密级存储介质;禁止在低密级存储介质上存储高密级信息;信息交换应当符合国家有关保密管理规定,并配备中间转换机。
3.4.5.9涉密信息设备和传输线路的电磁泄漏发射防护措施应当符合国家有关保密管理规定。
3.4.5.10应当根据工作需要,配备专供外出携带的涉密计算机和存储介质,并由专人进行集中管理和维护;涉密计算机和存储介质携带外出应当履行审批手续,确保仅存有与外出工作相关的涉密信息,带回时应当进行保密检查。
3.4.5.11涉密信息系统应当配备系统管理员、安全保密管理员、安全审计员,权限设置应当相互独立、相互制约,三员角色不得兼任;没有涉密信息系统的单位应当配备涉密计算机安全保密管理员;涉密计算机和信息系统安全保密管理人员应当通过安全保密培训,持证上岗,并按照重要涉密人员管理。
3.4.5.12要建立防止涉密信息上国际互联网和其它公共信息网络的控制措施,对外发布信息应当经过保密审查;从国际互联网和其它公共信息网络下载信息、程序和软件工具等到涉密计算机和信息系统中应当加强管理与控制。
3.4.6通信及办公自动化设备管理 3.4.6.1处理涉密信息的办公自动化设备禁止连接国际互联网和其它公共信息网络,禁止连接内部非涉密计算机和信息系统;禁止使用非涉密办公自动化设备存储和处理涉密信息。
3.4.6.2通信设备的使用应当符合国家有关保密管理规定,重要涉密场所禁止使用无线通信设备;办公自动化设备应当建立台帐,并指定专人管理;禁止使用具有无线互联功能的办公自动化设备处理涉密信息;涉密办公自动化设备的维修、报废应当符合国家有关保密管理规定。3.4.7宣传报道管理
3.4.7.1涉及军工科研生产事项的宣传报道、展览、公开发表著作和论文等,应当经单位业务主管部门保密审查和保密工作机构审核;需报上级主管部门审批的,应当履行报批手续。
3.4.7.2接受涉及军工科研生产事项的新闻媒体采访,应当履行审批手续,不得涉及国家秘密。3.4.8涉密会议管理
3.4.8.1涉密会议应当在具备安全保密条件的场所召开。
重要涉密会议应当在内部场所召开,主办部门应当提前制定保密方案,并向单位保密工作机构备案。必要时单位保密工作机构应当派人监督和检查。
3.4.8.2严格控制与会人员范围,并对与会人员进行身份确认。
3.4.8.3会议涉密载体的发放、清退和销毁应当指定专人负责,使用和管理应当符合相关保密要求。3.4.8.4会议使用的扩音等技术设备应当符合保密要求;会议场所禁止带入手机等移动通信工具,必要时设置手机信号干扰器;禁止带入具有无线上网功能的便携式计算机;未经批准禁止带入具有摄录功能的设备。
3.4.9外场试验管理
3.4.9.1外场试验单位应当制定保密工作方案,指定保密责任人。试验现场的保密管理工作由牵头单位组织协调,参试人员应当遵守试验现场的保密管理规定。
3.4.9.2对无线通信设备和具有摄录功能的设备等应当采取严格控制措施。3.4.9.3对涉密载体和密品的管理应当采取安全保密防护措施。3.4.10协作配套管理
3.4.10.1分包涉密任务,应当选择具有相应保密资格的单位。
3.4.10.2与涉密协作配套单位签订合同,应当明确项目密级和保密条款,重要涉密项目应当签订保密协议,并监督保密条款或保密协议的执行。
3.4.10.3在合同签订、合同履行和合同文本中,严格控制背景、用途等涉密内容,不得提供配套项目研制必需的技术要求以外的涉密信息。
3.4.10.4承担涉密协作配套任务的单位,应当严格执行合同保密条款,遵守保密协议。3.4.11涉外管理
3.4.11.1在对外交流、合作和谈判等外事活动中应当制定保密方案,明确保密事项,采取相应的保密措施,执行保密提醒制度。
3.4.11.2对外提供文件资料或物品的,应当经过保密审查;涉及国家秘密的,应当按照国家有关规定审批。3.4.12保密检查
3.4.12.1单位应当每6个月组织保密检查,对发现的问题,提出书面整改要求,并督促整改。
单位保密工作机构应当每3个月对涉密部门负责人进行保密检查,保密委员会或保密工作领导小组内应当组织对单位负责人的保密检查。
涉密部门和涉密人员应当每月进行保密自查。
3.4.12.2发现泄密事件应当按有关规定及时报告和采取补救措施,并报告查处情况。3.4.13考核与奖惩
3.4.13.1应当严格执行保密责任追究制度。
3.4.13.2保密责任落实情况应当纳入绩效考核内容。
3.4.13.3对保密工作做出突出成绩的单位和个人应当给予表彰和奖励。3.4.13.4对违反保密法律法规的行为,应当视情给予处罚;泄露国家秘密的,应当按照有关规定作出处理。3.4.14工作档案管理
3.4.14.1单位保密工作机构对保密工作开展情况应当有文字记载,内容完整详实,并进行分类归档,有条件的建立电子文档。
3.4.14.2涉密部门对保密工作开展情况应当有文字记载。3.5保密条件保障
3.5.1保密工作经费分为保密管理工作经费和专项保密工作经费。保密管理工作经费用于单位日常保密管理工作;专项保密工作经费用于保密防护设施的建设和设备的配备。
3.5.2保密管理工作经费应当单独列入单位财务预算,根据工作需要保证足额开支。3.5.3保密管理工作经费预算按下列标准计算:
a)核心涉密人员平均每人每300元,重要涉密人员200元,一般涉密人员100元。
b)经合计高于20万元的单位,以20万元为保证基数,低于8万元的单位以8万元为保证基数,不足部分按实际工作需要增补。
3.5.4专项保密工作经费应当按实际需要予以保障。3.5.5具备满足工作需要的保密技术检查手段和能力。
点击咨询 