第一篇:涉密信息系统集成资质保密标准
涉密信息系统集成资质保密标准
(2015年6月2日发布的新版本)
适用范围 本保密标准适用于涉密信息系统集成资质申请、审查与资质单位日常保密管理。
定义
2.1 本标准所称涉密人员,是指由于工作需要,在涉密信息系统集成岗位合法接触、知悉和经管国家秘密事项的人员。
2.2 本标准所称涉密载体,主要指以文字、数据、符号、图形、图像、声音等方式记载国家秘密信息的纸介质、磁介质、光盘等各类物品。磁介质载体包括计算机硬盘、软盘和录音带、录像带等。
2.3 本标准所称信息系统是指由计算机及其相关和配套设备、设施构成的,按照一定的应用目标和规则存储、处理、传输信息的系统或者网络。
2.4 本标准所称信息设备是指计算机及存储介质、打印机、传真机、复印机、扫描仪、照相机、摄像机等具有信息存储和处理功能的设备。保密标准
3.3.2 保密制度包括以下主要方面:
(1)保密工作机构设置与职责;
(2)保密教育培训;
(3)涉密人员管理;
(4)涉密载体管理;
(5)信息系统、信息设备和保密设施设备管理;
(6)涉密信息系统集成场所等保密要害部位管理;
(7)涉密项目实施现场管理;
(8)保密监督检查;
(9)保密工作考核与奖惩;
(10)泄密事件报告与查处;
(11)保密风险评估与管理;
(12)资质证书使用与管理。
3.4 保密风险评估与管理
3.4.1 资质单位应当定期对系统集成业务、人员、资产、场所等主要管理活动进行保密风险评估。各业务部门应当按照业务流程对保密风险进行识别、分析和评估,提出具体防控措施。
3.4.2 资质单位应当将国家保密法规和标准要求、保密风险防控措施融入到管理制度和业务工作流程中,并建立相应的监督检查机制。
3.5 涉密人员管理
3.5.1 资质单位应当对从事涉密业务的人员进行审查,符合条件的方可将其 确定为涉密人员。涉密人员应当通过保密教育培训,并签订保密承诺书后方能上
岗。
3.5.2 涉密人员应当保守国家秘密,严格遵守各项保密规章制度,并符合以下基本条件:
(1)遵纪守法,具有良好的品行,无犯罪记录;
(2)资质单位正式职工,并在其他单位无兼职;
(3)社会关系清楚,本人及其配偶为中国境内公民。
3.5.3 涉密人员根据所在岗位涉密情况分为核心、重要、一般三个等级,实行分类管理。涉密等级发生变化时,应当履行审批程序。
3.5.4 资质单位与涉密人员签订的劳动合同或补充协议,应当包括以下内容:
(1)涉密人员的权利与义务;
(2)涉密人员应当遵守的保密纪律和有关限制性规定;
(3)因履行保密职责导致涉密人员利益受到损害,资质单位给予补偿的规定;
(4)涉密人员因违反保密规定而被无条件调离涉密岗位或给予辞退等处罚的规定;
(5)因认真履行保密职责,资质单位给予涉密人员奖励的规定;
(6)涉密人员应当遵守的其他有关事项。
3.5.5 资质单位应当将涉密人员基本情况和调整变动情况向所在地省、自治
区、直辖市保密行政管理部门备案。
3.5.6 在岗涉密人员每年参加保密教育与保密知识、技能培训的时间不少于10个学时。
3.5.7 资质单位应当对在岗涉密人员进行定期考核评价。
3.5.8 资质单位应当向涉密人员发放保密补贴。
3.5.9 涉密人员离岗离职须经资质单位保密审查,签订保密承诺书,并按相关保密规定实行脱密期管理。
3.5.10
涉密人员因私出国(境)的,应当经资质单位同意,出国(境)前应当经过保密教育。擅自出境或逾期不归的,资质单位应当及时报告保密行政管理部门。
3.5.11 涉密人员泄露国家秘密或严重违反保密规章制度的,应当调离涉密岗位,并追究其法律责任。3.6 涉密载体管理
3.6.1 资质单位应当按照工作需要,严格控制涉密载体的接触范围和涉密信息的知悉程度。
3.6.2 资质单位应当建立涉密载体台帐,台帐应当包括载体名称、编号、密级、保密期限等信息。
3.6.3 接收、制作、交付、传递、保存、维修、销毁涉密载体,应当遵守国家相关保密规定,履行签收、登记、审批手续。
3.6.4 复制本单位产生的涉密载体,应当经单位相关部门审批;复制其他涉密载体,应当经涉密载体制发机关、单位或所在地省、自治区、直辖市保密行政管理部门批准。涉密载体复制场所应当符合保密要求,采取可靠的保密措施;不具备复制条件的,应当到保密行政管理部门审查批准的定点单位复制。
3.6.5 机密、秘密级涉密载体应当存放在密码文件柜中,绝密级涉密载体应当存放在密码保险柜中。存放场所应当符合保密要求。
3.6.6 未经批准,个人不得私自留存涉密载体和涉密信息资料。确因工作需要保存的,应当建立个人台帐,内容包括载体密级、留存原因、审批部门或人员、留存期限等内容。
3.6.7 携带涉密载体外出,应当履行审批手续,采取可靠的保密措施,并确保涉密载体始终处于携带人的有效控制下。
3.6.8 资质单位应当定期对涉密载体进行清查。需要销毁的涉密载体应当履行清点、登记、审批手续,送交保密行政管理部门设立的销毁工作机构或者保密行政管理部门指定的单位销毁;确因工作需要,自行销毁少量秘密载体的,应当使用符合国家保密标准的销毁设备和方法。
3.7 信息系统与信息设备管理
3.7.1 涉密信息系统的规划、建设、使用等应当符合国家有关保密规定。涉密信息系统应当按照国家保密规定和标准,制定分级保护方案,采取身份鉴别、访问控制、安全审计、边界安全防护、信息流转控制等安全保密防护措施。
3.7.2 涉密信息设备应当符合国家保密标准,有密级、编号、责任人标识,并建立管理台帐。
3.7.3 涉密计算机、移动存储介质应当按照存储、处理信息的最高密级进行管理与防护。3.7.4 涉密信息设备的使用应当符合相关保密规定。禁止涉密信息设备接入互联网及其他公共信息网络;禁止涉密信息设备接入内部非涉密信息系统;禁止使用非涉密信息设备和个人设备存储、处理涉密信息;禁止超越计算机、移动存储介质的涉密等级存储、处理涉密信息;禁止在涉密计算机和非涉密计算机之间交叉使用移动存储介质;禁止在涉密计算机与非涉密计算机之间共用打印机、扫描仪等信息设备。
3.7.5 涉密信息设备应当采取身份鉴别、访问控制、违规外联监控、安全审计、移动存储介质管控等安全保密措施,并及时升级病毒和恶意代码样本库,定期进行病毒和恶意代码查杀。
3.7.6 采购安全保密产品应当选用经过国家保密行政管理部门授权机构检测、符合国家保密标准要求的产品,计算机病毒防护产品应当选用公安机关批准的国产产品,密码产品应当选用国家密码管理部门批准的产品。
3.7.7 涉密信息打印、刻录等输出应当相对集中、有效控制,并采取相应审计措施。
3.7.8 涉密计算机及办公自动化设备应当拆除具有无线联网功能的硬件模块,禁止使用具有无线互联功能或配备无线键盘、无线鼠标等无线外围装置的信息设备处理国家秘密。
3.7.9 涉密信息设备的维修,应当在本单位内部进行,并指定专人全程监督,严禁维修人员读取或复制涉密信息。确需送外维修的,须拆除涉密信息存储部件。涉密存储介质的数据恢复应当到国家保密行政管理部门批准的单位进行。
3.7.10 涉密信息设备改作非涉密信息设备使用或淘汰处理时,应当将涉密信息存储部件拆除。淘汰处理涉密存储介质和涉密信息存储部件,应当按照国家秘密载体销毁有关规定执行。
3.7.11 涉密计算机及移动存储介质携带外出应履行审批手续,带出前和带回后,均应当进行保密检查。
3.8 涉密办公场所保密管理
3.8.1 资质单位的涉密办公场所应当固定在相对独立的楼层或区域。
3.8.2 涉密办公场所应当安装门禁、视频监控、防盗报警等安防系统,实行封闭式管理。监控机房应当安排人员值守。3.8.3 建立视频监控的管理检查机制,资质单位安全保卫部门应当定期对视频监控信息进行回看检查,保密管理办公室应当对执行情况进行监督。视频监控信息保存时间不少于3个月。
3.8.4 门禁系统、视频监控系统和防盗报警系统等应当定期检查维护,确保系统处于有效工作状态。
3.8.5 涉密办公场所应当明确允许进入的人员范围,其他人员进入,应当履行审批、登记手续,并由接待人员全程陪同。
3.8.6 未经批准,不得将具有录音、录像、拍照、存储、通信功能的设备带入涉密办公场所。
3.9 涉密信息系统集成项目管理
3.9.1 资质单位应当按照资质等级、类别承接涉密信息系统集成业务。不得将资质证书出借或转让。不得将承接的涉密信息系统集成业务分包或转包给不具备相应资质的单位。
3.9.2 资质单位与其他单位合作开展涉密信息系统集成业务的,合作单位应当具有相应涉密信息系统集成资质,且应当取得委托方书面同意。
3.9.3 资质单位承接涉密信息系统集成项目的,应当在签订合同后,向项目所在地省、自治区、直辖市保密行政管理部门备案,接受保密监督管理。涉密信息系统集成项目完成后,资质单位应当向项目所在地省、自治区、直辖市保密行政管理部门书面报告项目建设情况。
3.9.4 资质单位应当对涉密信息系统集成项目实行全过程管理,明确岗位责任,落实各环节安全保密措施,确保管理全程可控可查。
3.9.5 资质单位应当按照涉密信息系统集成项目的密级,对用户需求文档、设计方案、图纸、程序编码等技术资料和项目合同书、保密协议、验收报告等业务资料是否属于国家秘密或者属于何种密级进行确定。属于国家秘密的,应当标明密级,登记编号,明确知悉范围。
3.9.6 涉密信息系统集成项目实施期间,项目负责人对项目的安全保密负总体责任,应当按照工作需要,严格控制涉密载体的接触范围和涉密信息的知悉程度。
3.9.7 资质单位应当对参与涉密信息系统集成项目的管理人员、技术人员和工程施工人员进行登记备案,对其分工作出详细记录。3.9.8 涉密信息系统集成项目实施验收后,资质单位应当将涉密技术资料全部移交委托方,不得私自留存或擅自处理。需要保留的业务资料,应当严格按照有关保密规定进行管理。
3.9.9 涉密信息系统集成项目的设计方案、研发成果及有关建设情况,资质单位及其工作人员不得擅自以任何形式公开发表、交流或转让。
3.9.10 资质单位在与境外人员或机构进行交流合作时,应当严格遵守有关保密规定,交流材料不得涉及涉密信息系统集成项目的相关情况。
3.9.11 资质单位利用涉密信息系统集成项目申请专利,应当严格遵守有关保密规定。秘密级和机密级的项目,应当按照法定程序审批后申请保密专利,符合专利申请条件的,应当按照有关规定办理解密手续;绝密级的项目,在保密期限内不得申请专利或者保密专利。
3.10 涉密项目实施现场管理
3.10.1 资质单位进入委托方现场进行涉密信息系统集成项目开发、工程施工、运行维护等应当严格执行现场工作制度和流程。
3.10.2 从事现场项目开发、工程施工、运行维护的人员应当是资质单位确定的涉密人员。
3.10.3 现场项目开发、工程施工、运行维护应当在委托方的监督下进行。未经委托方检查和书面批准,不得将任何电子设备带入涉密项目现场。
3.10.4 资质单位应当对现场项目开发、工程施工、运行维护的工作情况进行详细记录并存档备查。
3.11 宣传报道管理
3.11.1 资质单位通过媒体、互联网等渠道对外发布信息,应当经资质单位相关部门审查批准。
3.11.2 资质单位涉及涉密信息系统集成项目的宣传报道、展览、公开发表著作和论文等,应当经委托方批准。
3.12 保密检查
3.12.1 资质单位应当定期对保密管理制度落实情况、技术防范措施落实情况等进行检查,及时发现和消除隐患。3.12.2 保密检查应当进行书面记录,内容包括:检查时间、检查人、检查对象、检查事项、存在问题、整改措施及落实情况等。
3.13 泄密事件处理
3.13.1 资质单位发生泄密事件,应当立即采取补救措施,并在发现后24小时内书面向所在地保密行政管理部门报告。内容包括:
(1)所泄露信息的内容、密级、数量及其载体形式;
(2)泄密事件的发现经过;
(3)泄密事件发生的时间、地点和经过;
(4)泄密责任人的基本情况;
(5)泄密事件造成或可能造成的危害;
(6)已采取或拟采取的补救措施。
3.13.2 资质单位应当配合保密行政管理部门对泄密事件进行查处,不得隐瞒情况或包庇当事人。
3.14 保密工作考核与奖惩
3.14.1 资质单位应当将员工遵守保密制度、履行保密职责的情况纳入绩效考核内容,考核结果作为发放保密补贴和评选先进的依据。
3.14.2 资质单位应当对严格执行保密规章的集体和个人给予表彰奖励。
3.14.3 资质单位应当对违反保密法规制度的有关责任人给予相应处罚;泄露国家秘密的,应当按照有关规定作出处理。
3.15 保密工作经费
3.15.1 保密工作经费分为保密管理经费和保密专项经费。保密管理经费用于单位保密宣传教育培训、发放保密补贴、奖励保密先进、保密检查等日常保密管理工作;专项经费用于保密设施设备的建设、配备、维护等。
3.15.2 甲级资质单位保密管理经费,年度标准不少于5万元;乙级资质单位保密管理经费,年度标准不少于3万元。保密管理经费应当单独列入单位年度财务预算,专款专用,保证开支。
3.15.3 保密专项经费应当按实际需要予以保障。
3.16 保密工作档案
3.16.1 资质单位应当建立保密工作档案,记录日常保密工作情况。3.16.2保密工作档案的内容应当真实、完整,全面反映保密工作情况,并能够与相关工作档案相互印证。
3.17 本保密标准未明确涉密事项的保密管理,须严格执行国家有关保密规定。
第二篇:最新版涉密信息系统集成资质保密标准
涉密信息系统集成资质保密标准 适用范围 本保密标准适用于涉密信息系统集成资质申请、审查不资质
单位日常保密管理。定义
2.1 本标准所称涉密人员,是指由于工作需要,在涉密信息 系统集成岗位合法接触、知悉和经管国家秘密事项的人员。
2.2 本标准所称涉密载体,主要指以文字、数据、符号、图 形、图像、声音等方式记载国家秘密信息的纸介质、磁介质、光 盘等各类物品。磁介质载体包括计算机硬盘、软盘和彔音带、彔 像带等。
2.3 本标准所称信息系统是指由计算机及其相关和配套设 备、设施构成的,按照一定的应用目标和规则存储、处理、传输 信息的系统或者网络。
2.4 本标准所称信息设备是指计算机及存储介质、打印机、传真机、复印机、扫描仪、照相机、摄像机等具有信息存储和处
理功能的设备。保密标准
3.1 保密标准实施原则
3.1.1 积极防范,突出重点,严栺标准,依法管理。3.1.2 业务工作谁主管,保密工作谁负责,保密责仸落实到
人。
3.1.3 具备健全的管理体系,保密管理不生产经营管理相融
合。
3.1.4 开展保密风险评估不管理。3.1.5 建立保密管理的持续改进机制。
3.2 保密组织机构及职责
3.2.1 保密工作领导小组 3.2.1.1 资质单位应当成立保密工作领导小组,为本单位保
密工作领导机构。甲级资质单位应当设置与职保密总监,保密总监为单位领
导班子成员。
3.2.1.2 甲级资质单位保密工作领导小组由单位法定代表人(或主要负责人)、保密总监和有关部门主要负责人组成。组长 由法定代表人(或主要负责人)担仸,副组长由保密总监担仸,保密工作领导小组各成员应当有明确的职责分工。
乙级资质单位保密工作领导小组由单位法定代表人(或主要 负责人)、分管保密工作负责人和有关部门主要负责人组成。组
长由法定代表人(或主要负责人)担仸,副组长由分管保密工作 负责人担仸,保密工作领导小组各成员应当有明确的职责分工。
3.2.1.3 保密工作领导小组实行例会制度。例会应当组织学习党和国家保密工作方针政策及相关保密法律法规;研究部署、总结本单位的保密工作;解决保密工作中的重要问题。例会每年 丌少于 2 次,会议应当作记彔并形成会议纪要。
3.2.1.4 法定代表人(或主要负责人)为本单位保密工作第 一责仸人,对本单位保密工作负全面责仸,履行下列职责:
(1)保证国家相关保密法律法规在本单位贯彻落实;(2)监督检查保密工作责仸制的落实情况,解决保密工作
中的重要问题;(3)审核、签发单位保密 管理制度;
(4)为保密工作提供人力、财力、物力等条件保障。3.2.1.5 保密总监或者分管保密工作负责人对本单位保密工 作负具体领导和监督责仸,履行下列职责:
(1)组织制定单位保密管理制度、保密工作计划,审定保 密工作总结;
(2)监督保密工作计划落实情况,组织保密检查;(3)为保密管理办公室和保密管理人员履行职责提供保障。
3.2.1.6 涉密信息系统集成业务部门负责人对本部门的保密 管理负直接领导责仸,履行下列职责:
(1)严栺按照工作需要,控制业务人员在工作中知悉涉密 信息的范围和程度;
(2)组织开展保密风险评估,修订生产管理制度,优化业 务流程,制定保密工作方案,落实保密风险防控措施;
(3)监督检查涉密信息系统集成业务管理和保密制度执行 情况,督促业务人员履行保密职责;
(4)及时发现、研究解决保密管理中存在的问题。3.2.2 保密管理办公室
3.2.2.1 资质单位应当设立保密管理办公室,为本单位的职 能部门,负责人由中层以上管理人员担仸。
甲级资质单位保密管理办公室应当为与门机构并配备与门 的保密管理人员,乙级资质单位可指定有关机构承担保密管理办 公室职能。
3.2.2.2 保密管理办公室负责本单位保密工作的日常管理,履行下列职责:
(1)组织落实保密工作领导小组的工作部署,提出工作建 议,拟定工作计划、总结;
(2)制定、修订保密制度;(3)参不单位各项管理制度的制定、修订工作;(4)审查、确定保密要害部门部位,指导、监督保密设施
设备的建设、使用和维护管理;
(5)组织开展保密宣传教育和培训;(6)对涉密人员履行保密职责情况进行指导监督;(7)对本单位各部门保密管理有关情况进行指导监督;(8)组织开展保密检查,针对存在的问题提出整改意见,并督促落实;(9)报告、配合查处泄密事件;(10)管理保密工作档案;
(11)承办保密资质申请、延续、审查、事项变更登记 等工作;
(12)承办保密工作领导小组交办的其他仸务。3.2.2.3 保密管理人员应当具备下列条件:(1)具备良好的政治素质;
(2)熟悉保密法律法规,掌握保密知识技能,具有一定的 管理能力;
(3)熟悉本单位业务工作和保密工作情况;(4)通过保密行政管理部门组织的培训和考核。3.3 保密制度
3.3.1 资质单位应当建立规范、操作性强的保密制度,并根 据实际情况及时修订完善。保密制度的具体要求应当体现在单位 相关管理制度和业务工作流程中。3.3.2 保密制度包括以下主要方面:
(1)保密工作机构设置不职责;(2)保密教育培训;(3)涉密人员管理;(4)涉密载体管理;
(5)信息系统、信息设备和保密设施设备管理;(6)涉密信息系统集成场所等保密要害部位管理;(7)涉密项目实施现场管理;(8)保密监督检查;(9)保密工作考核不奖惩;(10)泄密事件报告不查处;(11)保密风险评估不管理;(12)资质证书使用不管理。
3.4 保密风险评估管理
所等主要管理活劢进行保密风险评估。各业务部门应当按照业务 流程对保密风险进行识别、分析和评估,提出具体防控措施。3.4.1 资质单位应当定期对系统集成业务、人员、资产、场
3.4.2 资质单位应当将国家保密法规和标准要求、保密风险 防控措施融入到管理制度和业务工作流程中,并建立相应的监督 检查机制。3.5 涉密人员管理
3.5.1 资质单位应当对从事涉密业务的人员进行审查,符合
条件的方可将其确定为涉密人员。涉密人员应当通过保密教育培 训,并签订保密承诺书后方能上岗。
3.5.2 涉密人员应当保守国家秘密,严栺遵守各项保密规章 制度,并符合以下基本条件:
(1)遵纪守法,具有良好的品行,无犯罪记彔;(2)资质单位正式职工,并在其他单位无兼职;(3)社会关系清楚,本人及其配偶为中国境内公民。
3.5.3 涉密人员根据所在岗位涉密情况分为核心、重要、一 般三个等级,实行分类管理。涉密等级发生变化时,应当履行审 批程序。
3.5.4 资质单位不涉密人员签订的劳劢合同或补充协议,应 当包括以下内容:
(1)涉密人员的权利不义务;(2)涉密人员应当遵守的保密纪律和有关限制性规定;(3)因履行保密职责导致涉密人员利益受到损害,资质单
位给予补偿的规定;(4)涉密人员因违反保密规定而被无条件调离涉密岗位或
给予辞退等处罚的规定;(5)因讣真履行保密职责,资质单位给予涉密人员奖励的
规定;(6)涉密人员应当遵守的其他有关事项。
所在地省、自治区、直辖市保密行政管理部门备案。
3.5.6 在岗涉密人员每年参加保密教育不保密知识、技能培 训的时间丌少于 10 个学时。
3.5.7 资质单位应当对在岗涉密人员进行定期考核评价。
3.5.8 资质单位应当向涉密人员发放保密补贴。
3.5.9 涉密人员离岗离职须经资质单位保密审查,签订保密 承诺书,并按相关保密规定实行脱密期管理。
3.5.10 涉密人员因私出国(境)的,应当经资质单位同意,出国(境)前应当经过保密教育。擅自出境或逾期丌归的,资质 单位应当及时报告保密行政管理部门。
3.5.11 涉密人员泄露国家秘密或严重违反保密规章制度的,应当调离涉密岗位,并追究其法律责仸。
3.6 涉密载体管理
3.6.1 资质单位应当按照工作需要,严栺控制涉密载体的接 触范围和涉密信息的知悉程度。
3.6.2 资质单位应当建立涉密载体台帐,台帐应当包括载体 名称、编号、密级、保密期限等信息。
3.6.3 接收、制作、交付、传递、保存、维修、销毁涉密载 体,应当遵守国家相关保密规定,履行签收、登记、审批手续。3.5.5 资质单位应当将涉密人员基本情况和调整变劢情况向
3.6.4 复制本单位产生的涉密载体,应当经单位相关部门审
批;复制其他涉密载体,应当经涉密载体制发机关、单位或所在 地省、自治区、直辖市保密行政管理部门批准。涉密载体复制场 所应当符合保密要求,采取可靠的保密措施;丌具备复制条件的,应当到保密行政管理部门审查批准的定点单位复制。
3.6.5 机密、秘密级涉密载体应当存放在密码文件柜中,绝 密级涉密载体应当存放在密码保险柜中。存放场所应当符合保密 要求。
3.6.6 未经批准,个人丌得私自留存涉密载体和涉密信息资 料。确因工作需要保存的,应当建立个人台帐,内容包括载体密 级、留存原因、审批部门或人员、留存期限等内容。
3.6.7 携带涉密载体外出,应当履行审批手续,采取可靠的 保密措施,并确保涉密载体始终处于携带人的有效控制下。
3.6.8 资质单位应当定期对涉密载体进行清查。需要销毁的 涉密载体应当履行清点、登记、审批手续,送交保密行政管理部 门设立的销毁工作机构或者保密行政管理部门指定的单位销毁; 确因工作需要,自行销毁少量秘密载体的,应当使用符合国家保 密标准的销毁设备和方法。
3.7 信息系统信息设备管理
3.7.1 涉密信息系统的规划、建设、使用等应当符合国家有 关保密规定。涉密信息系统应当按照国家保密规定和标准,制定 分级保护方案,采取身仹鉴别、访问控制、安全审计、边界安全
防护、信息流转控制等安全保密防护措施。
3.7.2 涉密信息设备应当符合国家保密标准,有密级、编号、责仸人标识,并建立管理台帐。
3.7.3 涉密计算机、秱劢存储介质应当按照存储、处理信息 的最高密级进行管理不防护。
3.7.4 涉密信息设备的使用应当符合相关保密规定。禁止涉 密信息设备接入互联网及其他公共信息网络;禁止涉密信息设备 接入内部非涉密信息系统;禁止使用非涉密信息设备和个人设备 存储、处理涉密信息;禁止超越计算机、秱劢存储介质的涉密等 级存储、处理涉密信息;禁止在涉密计算机和非涉密计算机之间 交叉使用秱劢存储介质;禁止在涉密计算机不非涉密计算机之间 共用打印机、扫描仪等信息设备。
3.7.5 涉密信息设备应当采取身仹鉴别、访问控制、违规外 联监控、安全审计、秱劢存储介质管控等安全保密措施,并及时 升级病毒和恶意代码样本库,定期进行病毒和恶意代码查杀。
3.7.6 采购安全保密产品应当选用经过国家保密行政管理部 门授权机构检测、符合国家保密标准要求的产品,计算机病毒防 护产品应当选用公安机关批准的国产产品,密码产品应当选用国 家密码管理部门批准的产品。
3.7.7 涉密信息打印、刻彔等输出应当相对集中、有效控制,并采取相应审计措施。
3.7.8 涉密计算机及办公自劢化设备应当拆除具有无线联网 功能的硬件模块,禁止使用具有无线互联功能或配备无线键盘、无线鼠标等无线外围装置的信息设备处理国家秘密。
3.7.9 涉密信息设备的维修,应当在本单位内部进行,并指 定与人全程监督,严禁维修人员读取或复制涉密信息。确需送外 维修的,须拆除涉密信息存储部件。涉密存储介质的数据恢复应 当到国家保密行政管理部门批准的单位进行。
3.7.10 涉密信息设备改作非涉密信息设备使用或淘汰处理 时,应当将涉密信息存储部件拆除。淘汰处理涉密存储介质和涉 密信息存储部件,应当按照国家秘密载体销毁有关规定执行。
3.7.11 涉密计算机及秱劢存储介质携带外出应履行审批手 续,带出前和带回后,均应当进行保密检查。
3.8 涉密办公场所保密管理
或区域。
3.8.2 涉密办公场所应当安装门禁、视频监控、防盗报警等 安防系统,实行封闭式管理。监控机房应当安排人员值守。
3.8.3 建立视频监控的管理检查机制,资质单位安全保卫部 门应当定期对视频监控信息进行回看检查,保密管理办公室应当 对执行情况进行监督。视频监控信息保存时间丌少于 3 个月。3.8.1 资质单位的涉密办公场所应当固定在相对独立的楼层
3.8.4 门禁系统、视频监控系统和防盗报警系统等应当定期
检查维护,确保系统处于有效工作状态。
3.8.5 涉密办公场所应当明确允许进入的人员范围,其他人 员进入,应当履行审批、登记手续,并由接待人员全程陪同。
3.8.6 未经批准,丌得将具有彔音、彔像、拍照、存储、通 信功能的设备带入涉密办公场所。
3.9 涉密信息系统集成项目管理
集成业务。丌得将资质证书出借或转让。丌得将承接的涉密信息
系统集成业务分包或转包给丌具备相应资质的单位。3.9.1 资质单位应当按照资质等级、类别承接涉密信息系统
3.9.2 资质单位不其他单位合作开展涉密信息系统集成业务 的,合作单位应当具有相应涉密信息系统集成资质,丏应当取得 委托方书面同意。
3.9.3 资质单位承接涉密信息系统集成项目的,应当在签订 合同后,向项目所在地省、自治区、直辖市保密行政管理部门备 案,接受保密监督管理。
涉密信息系统集成项目完成后,资质单位应当向项目所在地 省、自治区、直辖市保密行政管理部门书面报告项目建设情况。
3.9.4 资质单位应当对涉密信息系统集成项目实行全过程管 理,明确岗位责仸,落实各环节安全保密措施,确保管理全程可 控可查。
3.9.5 资质单位应当按照涉密信息系统集成项目的密级,对
用户需求文档、设计方案、图纸、程序编码等技术资料和项目合
同书、保密协议、验收报告等业务资料是否属于国家秘密或者属 于何种密级进行确定。属于国家秘密的,应当标明密级,登记编 号,明确知悉范围。
3.9.6 涉密信息系统集成项目实施期间,项目负责人对项目 的安全保密负总体责仸,应当按照工作需要,严栺控制涉密载体 的接触范围和涉密信息的知悉程度。
3.9.7 资质单位应当对参不涉密信息系统集成项目的管理人 员、技术人员和工程施工人员进行登记备案,对其分工作出详细 记彔。
3.9.8 涉密信息系统集成项目实施验收后,资质单位应当将 涉密技术资料全部秱交委托方,丌得私自留存或擅自处理。需要 保留的业务资料,应当严栺按照有关保密规定进行管理。
3.9.9 涉密信息系统集成项目的设计方案、研发成果及有关 建设情况,资质单位及其工作人员丌得擅自以仸何形式公开发 表、交流或转让。
3.9.10 资质单位在不境外人员或机构进行交流合作时,应当 严栺遵守有关保密规定,交流材料丌得涉及涉密信息系统集成项 目的相关情况。
3.9.11 资质单位利用涉密信息系统集成项目申请与利,应当 严栺遵守有关保密规定。
秘密级和机密级的项目,应当按照法定程序审批后申请保密 与利,符合与利申请条件的,应当按照有关规定办理解密手续; 绝密级的项目,在保密期限内丌得申请与利或者保密与利。
3.10 涉密项目实施现场管理
目开发、工程施工、运行维护等应当严栺执行现场工作制度和流
程。
3.10.2 从事现场项目开发、工程施工、运行维护的人员应当
是资质单位确定的涉密人员。
3.10.3 现场项目开发、工程施工、运行维护应当在委托方的 监督下进行。未经委托方检查和书面批准,丌得将仸何电子设备 带入涉密项目现场。
3.10.4 资质单位应当对现场项目开发、工程施工、运行维护 的工作情况进行详细记彔并存档备查。
3.11 宣传报道管理 3.10.1 资质单位进入委托方现场进行涉密信息系统集成项
3.11.1 资质单位通过媒体、互联网等渠道对外发布信息,应 当经资质单位相关部门审查批准。3.11.2 资质单位涉及涉密信息系统集成项目的宣传报道、展 览、公开发表著作和论文等,应当经委托方批准。
3.12 保密检查
3.12.1 资质单位应当定期对保密管理制度落实情况、技术防 范措施落实情况等进行检查,及时发现和消除隐患。
3.12.2 保密检查应当进行书面记彔,内容包括:检查时间、检查人、检查对象、检查事项、存在问题、整改措施及落实情况 等。
3.13 泄密事件处理
3.13.1 资质单位发生泄密事件,应当立卲采取补救措施,并 在发现后 24 小时内书面向所在地保密行政管理部门报告。内容 包括:
(1)所泄露信息的内容、密级、数量及其载体形式;(2)泄密事件的发现经过;(3)泄密事件发生的时间、地点和经过;(4)泄密责仸人的基本情况;(5)泄密事件造成或可能造成的危害;(6)已采取或拟采取的补救措施。
3.13.2 资质单位应当配合保密行政管理部门对泄密事件进 行查处,丌得隐瞒情况或包庇当事人。
3.14 保密工作考核奖惩 3.14.1 资质单位应当将员工遵守保密制度、履行保密职责的 情况纳入绩效考核内容,考核结果作为发放保密补贴和评选先进 的依据。
予表彰奖励。
3.14.3 资质单位应当对违反保密法规制度的有关责仸人给 予相应处罚;泄露国家秘密的,应当按照有关规定作出处理。
3.15 保密工作经费
3.15.1 保密工作经费分为保密管理经费和保密与项经费。保 3.14.2 资质单位应当对严栺执行保密规章的集体和个人给
密管理经费用于单位保密宣传教育培训、发放保密补贴、奖励保 密先进、保密检查等日常保密管理工作;与项经费用于保密设施 设备的建设、配备、维护等。
3.15.2 甲级资质单位保密管理经费,标准丌少于 5 万 元;乙级资质单位保密管理经费,标准丌少于 3 万元。保密 管理经费应当单独列入单位财务预算,与款与用,保证开支。
3.15.3 保密与项经费应当按实际需要予以保障。
3.16 保密工作档案
3.16.1 资质单位应当建立保密工作档案,记彔日常保密工作
情况。
3.16.2 保密工作档案的内容应当真实、完整,全面反映保密 工作情况,并能够不相关工作档案相互印证。3.17 本保密标准未明确涉密事项的保密管理,须严栺执行 国家有关保密规定。
第三篇:涉密信息系统集成资质保密知识测试题
涉密信息系统集成资质保密知识测试题库
一、填空题(共 89题)
1.国家秘密是指关系国家的 安全 和 利益,依照法定程序确定,在一定时间内只限 一定范 围 的人员知悉的事项。
2.保守国家秘密的工作,实行积极防范、突出重点、依法管理 的方针,既确保国家秘密安全,又便 利 信 息 资 源 合理利用。
3.保守国家秘密是我国公民的一项基本义务。
4.国家秘密的密级分为 绝密,机密,秘密 三级。
5.《中华人民共和国保守国家秘密法》由中华人民共和国第 11届全国人民代表大会常务委员 会第十四次会议于 2010年 4月 29日修订通过,自 2010年 10月 1日 起试行。
6.涉密人员是指因工作需要,接触、知悉、管理和掌握国家秘密的人员。
7.在涉密岗位工作的人员(简称涉密人员),按照涉密程度分为:核心 涉密人员、重要涉密人 员和 一般 涉密人员,实行分类管理。
8.涉密人员脱离涉密岗位必须实行脱密期管理,其中核心涉密人员脱密期为 2-3 年,重要涉 密人员为 1-2 年,一般涉密人员为 6个月到 1年。
9.机关、单位应当实行 保密工作责任制,健全保密管理制度,完善保密防护措施,开展保密 宣传教育,加强保密检查。
10.销毁磁介质、光盘等秘密载体,应当采用 物理 或 化学 的方法彻底销毁,确保信息无法 还原。
11.不得在涉密计算机和非涉密计算机上 交叉 使用移动存储介质。12.涉密网络不得直接或间接连接国际互联网,必须实行 物理隔离。13.计算机口令在网络中必须加密 存储 和 传输。
14.涉密计算机的密级应按 处理和存储信息的 最高密级 确定。
15.携带涉密计算机和存储介质外出,应当履行 审批 手续,带回时应当进行保密检查。16.机关、单位对承载国家秘密的 纸介质、光介质、电磁介质 等载体以及属于国家秘密的设备、产品,应当做出国家秘密标志。
17.收发涉密载体应当履行清点、编号、登记、签收等手续。
18.绝密 国家秘密是最重要的国家秘密,泄露会使国家安全和利益遭受特别严重的损害。19.机密国家秘密是重要的国家秘密,泄露会使国家安全和利益遭受严重的损害。20.秘密 国家秘密是一般的国家秘密,泄露会使国家安全和利益遭受损害。21.国家秘密的知悉范围,应当根据 工作需要 限定在最小范围。
22.国家秘密的保密期限,除另有规定外,机密级国家秘密不超过 20 年。23.移动存储介质不得在 涉密计算机 和 非涉密计算机 之间交叉使用。
24.涉密信息系统、涉密台式计算机、涉密便携式计算机不得与 国际互联网连接,不得具有无 线上网功能。
25.禁止在互联网及其他公共信息网络或者在未采取保密措施的 有线和无线通信 中传递国家 秘密。
26.举办会议或者其他活动涉及国家秘密的,主办单位 应当采取保密措施,并对参加人员进 行保密教育,提出具体保密要求。
27.摘录、引用国家秘密内容形成的涉密载体,应当按原件密级、保密期限 和 知悉范围 管 理。
28.未经审批的涉密信息系统,在试运行期间不能存储和处理 涉密信息。29.涉密办公自动化设备现场维修时,应由有关人员全程旁站陪同。
130.存储在涉密计算机或存储介质中的电子文件,只要内容涉密,就应当标明密级。
31.机密级涉密计算机的系统登录如采用用户名加口令的方式,则系统口令更换周期不得长于 1 个星期。
32.处理秘密级信息的计算机,口令长度不少于 8 位。33.处理机密级信息的计算机,口令长度不少于 10 位。
34.处理绝密级信息的计算机,应采用 生物特征等强身份鉴别措施。35.高密级的移动存储介质禁止在 低密级的计算机 使用。
36.严禁将用于处理国家秘密信息的具有打印、复印、传真等多功能的一体机与 普通电话线连 接。
37.涉密信息系统按照涉密程度分为 绝密级、机密级 和 秘密级。
38.资质单位应当成立 保密工作领导小组,为本单位保密工作领导机构。
39.国家秘密的知悉范围以外的人员,因工作需要知悉国家秘密的,应当经过机关、单位负责 人 批准。
40.机关、单位对所产生的国家秘密事项,应当按照国家秘密及其密级的具体范围的规定确定密级,同时确定 保密 期限 和 知悉范围。
41.绝密级国家秘密载体应当在符合国家保密标准的设施、设备中保存,并指定专人管理。42.机关、单位应当按照保密法的规定,严格限定国家秘密的 知悉范围,对知悉机密级以上国 家秘密的人员,应当作出 书面记录。
43.涉密人员应当通过 保密教育培训,并签订保密承诺书 后方能上岗。
44.涉密人员离岗离职须经资质单位保密审查,签订保密承诺书,并按相关保密规定实行 脱密 期 管理。
45.资质单位应当按照工作需要,严格控制涉密载体的接触范围和涉密信息的知悉程度。46.涉密办公场所应当安装门禁、视频监控、防盗报警等安防系统,实行封闭式管理。监控机 房应当安排人员值守。
47.涉密信息系统集成项目的设计方案、研发成果及有关建设情况,资质单位及其工作人员不 得擅自以任何形式公开发表、交流或转让。
48.确定国家秘密知悉范围的两个基本原则:一是 工作原则需要,不应简单把国家秘密视为一 种政治待遇,或把行政级别作为确定国家秘密知悉范围的依据。二是最小化原则,能够具体限定到 人员的限定到具体人员,不能限定到具体人员的限定到机关、单位,由机关、单位限定到具体的人 员。
49.保密工作应当坚持最小化、全程化、精准化、自主化、法制化 五项原则。
50.退出使用的涉密计算机未经安全技术处理,不得赠送、出售、丢弃或改作其他用途。
51.涉密计算机改作非涉密计算机使用,应当经过机关、单位批准,并采取拆除信息存储部件(如硬盘、内存)等安全技术处理措施。
52.常见窃听方式主要有有线窃听、无线窃听、激光窃听和定向窃听等。
53.保密要害部门,是指机关、单位日常工作中产生、传递、使用 和管理绝密级或较多机密级、秘密级国家秘密的内设机构。
54.保密要害部位,是指机关、单位内部集中制定、存储、保管涉密载体的专门场所。55.保密要害部门、部位实行“谁主管,谁负责”的原则,做到严格管理、责任到人、严密防 范、确保安全。
56.保密要害部门、部位应按国家标准配备保 密 技 术 防 护 设 备,对使用的信息设备特别是进口设备和产品应进 行保密技术检查检测。
57.保密工作责任制主要有:领导干部保密工作责任制,机关、单位保密工作责任制,定密工 作责任制,涉密人员保密工作责任制,保密行政管理部门工作责任制等。
58.未经批准,不得将具有录像、录音、拍照、2存储、通信功能的设备带入涉密办公场所。
59.从事涉密现场项目开发、工程施工、运行维护的人员应为 涉密人员。60.核心涉密岗位是指产生、管理、掌握或者经常处理绝密事项的工作岗位。61.涉密人员在脱密期内不得到境外驻华机构、组织或者外资企业工作。
62.传递涉密载体应当通过 机要交通、机要通信 或其它符合保密要求的方式进行。
63.销毁涉密载体应当履行 清点、登记、审批手续,并送交保密行政管理部门设立的销毁工 作机构或指定的单位销毁。
64.计算机一旦存储和处理过一份涉密信息,就应当确定为涉密计算机,并粘贴相关密级标志。65.资质单位应当按照资质等级、类别承接涉密信息系统集成业务。
66.涉密人员因私出境应经所在单位同意,还应按照有关规定办理保密审批手续。
67.机密、秘密级涉密载体应当存放在密码文件柜中,绝密级涉密载体应当存放在密码保险柜 中。
68.涉密信息系统应当按照国家保密规定和标准制定分级保护方案,采取 身份鉴别,访问控制,安全审计,边界 安全防护,信息流转控制等安全保密防护措施。
69.涉密人员是指在涉密岗位 工作的人员。
70.变更密级或解密,应由 原定密机关、单位 决定,也可由 其上级机关 决定。
71.销毁秘密文件、资料要履行审批、登记手续,并由两名以上工作人员到指定场所监销。72.违反《中华人民共和国保守国家秘密法》规定,故意或过失 泄露国家秘密,情节严重的,依照刑法 有关规定追究刑事责任。
73.核心涉密人员的脱密期为 2到 3年。
74.涉密人员离岗、离职前,应当将所保管和使用的涉密载体全部清退,并 办理移交手续。75.国家秘密的保密期限,除有特殊规定外,绝密级事项不超过 30年,机密级事项不超过 20 年,秘密级事项不超过 10年。
76.资质单位应当定期对保密管理制度落实情况、技术防范措施落实情况等进行检查,及时发 现和消除隐患。
77.国家秘密载体以及属于国家秘密的设备、产品的明显部位应当标注国家秘密标识。
78.机关、单位对符合保密法的规定,但保密范围没有规定的不明确事项,应当先行拟定 密级、保密期限 和知悉范围,采取相应的保密措施,并自拟定之日起 10 日内报有关部门确定。
79.经保密审查合格的企业事业单位违反保密规定的,由保密行政管理部门 责令限期整改,逾 期不改或整改后仍不符合要求的,暂停涉密业务;情节严重的,停止涉密业务。
80.涉密信息系统未按照规定进行检测评估审查而投入使用的,由保密行政管理部门 责令改 正,并建议有关机关、单位对直接负责主管人员和其他责任人员依法给予处分。
81.未经保密审查的单位从事涉密业务的,由保密行政管理部门责令 停止违法行为 ;有违法 所得的,由 工商行政管理部门 没收违法所得。
二、判断题(共 87题)
1.核心涉密岗位是指产生、管理、掌握或者经常处理绝密级事项的工作岗位。
(√)
2.涉密人员应当具有中华人民共和国国籍。(√)
3.经审查合格,进入涉密岗位的人员须按规定签订保密承诺书,承担相应的保密责任。
(√)
4.涉密人员与境外人员通婚或者接受境外机构、组织资助的应当向单位报告。
(√)
5.涉密人员本人或者直系亲属获得境外永久居留权以及取得外国国籍的应当向单位报告。
(√)
6.涉密人员在脱密期内不得到境外驻华机构、组织或者外资企业工作,但可以为境外组织或
3人员提供劳务咨询或其他服务。()
7.国家秘密的保密期限已满的,可以自行解密。(√)
8.涉密人员脱密期内可以自由因私出境。(×)
9.涉密人员离开涉密岗位后,就不再对本人在原涉密岗位上知悉的国家秘密事项承担保密义
务。(×)
10.涉密人员出境应当经有关部门批准,有关机关认为涉密人员出境将对国家安全造成危害
或者对国家利益造成重大损失的,不得批准出境。(√)
11.配偶、子女和本人都是涉密人员,互相谈涉密事项没有关系。
(×)
12.保密范围定得越宽,密级越高,越有利于国家秘密的安全。
(×)
13.国家秘密的标志为★,★前标注密级,★后标注保密期限。
(√)
14.摘录、引用密件中属于国家秘密的内容,应当以其中最高密级和最长保密期限作出标志。
(√)
15.国家秘密事项的密级和保密期限一经确定,就不能改变。
(×)
16.国家秘密的保密期限,除有特殊规定外,绝密级事项不超过 20年,机密级事项不超过
10年,秘密级事项不超过 5年。(×)
17.企业的技术成果被确定为国家秘密后,在保密期限内不得擅自解密和对外提供。
(√)
18.复制绝密级涉密载体应当履行审批手续,经本机关或本单位负责人批准,加盖复制戳记,视同原件管理,并进行登记。(×)
19.普通手机处于关机状态下,不存在泄密隐患。(×)
20.因工作需要随身携带密件、密品外出时,不得进入购物、餐饮娱乐等公共场所。
(√)
21.密品是指直接含有国家秘密信息的设备或者产品。
(√)22.涉密存储介质经文件删除并格式化处理后,仍不得作为非密介质使用。
(√)
23.涉密计算机和移动存储介质未经国家指定的专业销密点销密,不得自行淘汰处理。
(√)
24.在涉密场所使用的与国际互联网或者其他公共网络连接的计算机不得安装视频、音频等
输入装置。(√)
25.确因工作需要,可以使用私人计算机处理涉密文件,但要与国际互联网断开连接,待处 理完涉密信息后可与互联网连接。(×)
26.召开涉及国家秘密的会议,使用无线扩音、通信设备不能把音量开得太大。
(×)
27.在对外交往与合作中急需提供国家秘密事项的,可以先提供,后补办手续。
(×)
28.发现国家秘密载体在使用中下落不明,应当在 8小时内向本单位保密工作机构报告,向 上级报告不应超过 24小时。
4(√)
29.保密行政管理部门对保密检查中发现的非法获取、持有的国家秘密载体,应当予以收缴。
(√)
30.报告泄密事件应当包括被泄露国家秘密的内容、密级、数量及其载体形式、事件发现经
过、责任人基本情况、发生的时间、地点及经过。(√)
31.未经保密审查的单位从事涉密业务的,由保密行政管理部门责令停止违法行为;有违法所 得的,保密行政管理部门应一并没收违法所得。(×)
32.甲级资质单位只能在注册地省、自治区、直辖市行政区域内从事机密级、秘密级信息系统 集成业务。
(×)
33.资质单位承接涉密信息系统集成工程监理业务的,同时还可以承接所监理工程的其他涉密 信息系统集成业务。(×)
34.《资质证书》有效期满,需要继续从事涉密信息系统集成业务的,应当在期满后向作出审 批决定的保密行政管理部门提出延续申请。(×)
35.涉密信息系统集成项目完成后,资质单位应当向业务项目所在地省、自治区、直辖市保密 行政管理部门报告项目建设情况。(√)
36.将涉密信息系统集成业务分包或者转包给无相应资质单位的,应由作出审批决定保密行政管理部门撤销其资 质。(√)
37.资质单位在涉密计算机和非涉密计算机之间交叉使用优盘、移动硬盘等移动存储介质时,只要及时升级杀毒软件病毒库,就不会造成泄密。(×)
38.甲级涉密信息系统集成资质单位的保密工作领导小组组长可以由法定代表人或者保密总 监担任。(×)
39.机关、单位对知悉机密级以上国家秘密的人员,应当作出书面记录。
(√)
40.根据《保密标准》要求,在岗涉密人员每年参加保密教育与保密知识、技能培训的时间不 少于 10个学时。
(√)
41.资质单位可以将涉密信息系统集成业务分包或者转包给无相应资质的单位。
(×)
42.在涉密项目中,从事现场项目开发、工程施工、运行维护的人员应当是资质单位确定的涉 密人员。(√)
43.甲级资质单位保密管理经费,标准不少于 3万元。
(×)
44.资质单位股权结构发生变更的,在事项变更后向作出审批决定的保密行政管理部门提交变 更方案即可。(×)
45.被撤销资质的单位,在撤销决定下达前已签订有效合同的,在确保安全保密的情况下可以 继续完成涉密信息系统集成业务。(√)
46.涉密信息系统集成项目完成后,资质单位应当向项目所在地省、自治区、直辖市保密行政 管理部门书面报告项目建设情况。(√)
47.涉密信息设备的维修,应当一律在本单位内部进行。(×)
48.涉密计算机安全保密防护软件和设备不可以擅自卸载。
(√)
49.涉密计算机可以接入互联网等公共信息网络。(×)
50.涉密计算机可以使用无线网卡、无线鼠标、无线键盘等无线设备。(×)
第四篇:涉密信息系统集成资质管理办法
涉密信息系统集成资质管理办法
第一章 总 则
第一条 为加强涉密信息系统集成资质管理,确保国家秘密安全,根据《中华人民共和国保守国家秘密法》和有关法律法规,制定本办法。
第二条 本办法所称涉密信息系统集成,是指涉密信息系统的规划、设计、建设、监理和运行维护等活动。
涉密信息系统集成资质是指保密行政管理部门审查确认的企业事业单位从事涉密信息系统集成业务的法定资格。
涉密信息系统集成资质的申请、受理、审批、使用和监督管理,适用本办法。
第三条 从事涉密信息系统集成业务的企业事业单位应当依照本办法,取得涉密信息系统集成资质。
国家机关和涉及国家秘密的单位(以下简称机关、单位)应当选择具有涉密信息系统集成资质的企业事业单位(以下简称资质单位)承接涉密信息系统集成业务。
第四条 涉密信息系统集成资质审批和管理应当坚持公平、公正、公开,遵循总量控制、合理布局、安全第一、审管并重的要求,既确保涉密信息系统安全保密,又促进信息安全保密产业科学发展。
第五条 国家保密行政管理部门主管全国涉密信息系统集成资质管理工作。
省、自治区、直辖市保密行政管理部门负责本行政区域内涉密信息系统集成资质管理工作。
第二章 资质等级与条件
第六条 涉密信息系统集成资质分为甲级和乙级两个等级。
甲级资质单位可以在全国范围内从事绝密级、机密级和秘密级信息系统集成业务。乙级资质单位可以在注册地省、自治区、直辖市行政区域内从事机密级、秘密级信息系统集成业务。
第七条 涉密信息系统集成业务种类包括:系统集成、系统咨询、软件开发、综合布线、安防监控、屏蔽室建设、运行维护、数据恢复、工程监理,以及国家保密行政管理部门审查批准的其他业务。
资质单位应当在保密行政管理部门审查批准的业务范围内承接涉密信息系统集成业务。承接涉密信息系统集成工程监理业务的,不得承接所监理工程的其他涉密信息系统集成业务。
第八条 涉密信息系统集成资质申请单位(以下简称申请单位)应当具备以下基本条件:
(一)在中华人民共和国境内注册的法人;
(二)依法成立3年以上,有良好的诚信记录;
(三)从事涉密信息系统集成业务人员具有中华人民共和国国籍;
(四)无境外(含香港、澳门、台湾)投资,国家另有规定的从其规定;
(五)取得行业主管部门颁发的有关资质,具有承担涉密信息系统集成业务的专业能力。
第九条 申请单位应当具备以下保密条件:
(一)保密制度完善;
(二)保密组织健全,有专门机构或者人员负责保密工作;
(三)用于涉密信息系统集成业务的场所、设施、设备符合国家保密规定和标准;
(四)从事涉密信息系统集成业务人员的审查、考核手续完备;
(五)国家保密行政管理部门规定的其他条件。
第十条 涉密信息系统集成资质不同等级和业务种类的具体申请条件和评定标准由国家保密行政管理部门另行规定。
第十一条 甲级资质由国家保密行政管理部门审批。乙级资质由省、自治区、直辖市保密行政管理部门审批,报国家保密行政管理部门备案。
第三章 资质申请、受理、审查与批准
第十二条 申请涉密信息系统集成资质,应当对照资质申请条件,确定拟申请资质的等级和业务种类。申请甲级资质的,应当向国家保密行政管理部门提交申请书;申请乙级资质的,应当向注册地的省、自治区、直辖市保密行政管理部门提交申请书。
申请单位属于企业的,应当同时提交以下材料:
(一)工商营业执照正本、副本;
(二)组织机构代码证书;
(三)公司章程;
(四)验资报告及上一财务审计报告;
(五)生产经营场所产权证书或者租赁合同;
(六)保密行政管理部门要求提供的其他材料。
申请单位属于事业单位的,应当同时提交以下材料:
(一)事业单位法人证书;
(二)组织机构代码证书;
(三)办公场所产权证书或者租赁合同;
(四)保密行政管理部门要求提供的其他材料。
申请单位应当对申请材料的真实性和完整性负责。
第十三条 保密行政管理部门收到申请材料后,应当在10个工作日内完成材料审查。申请材料齐全的,应当受理并发出受理通知书;申请材料不齐全的,应当告知申请单位补充。
第十四条 资质申请受理后,申请单位应当填写书面审查表,提交具有相应审批权限的保密行政管理部门。保密行政管理部门应当按照本办法第八条、第九条、第十条之规定,对申请单位有关情况进行审查,出具书面审查意见。
第十五条 对通过书面审查的申请单位,保密行政管理部门应当对其保密制度、保密工作机构、保密监督管理、保密技术防护等情况进行检查,出具现场审查意见。
第十六条 对通过现场审查的申请单位,保密行政管理部门应当组织专家评审,出具评审意见。
第十七条 保密行政管理部门根据工作需要,可以组织或者授权专门机构,开展申请受理、书面审查、现场审查和专家评审等工作。
第十八条 专家评审结束后,保密行政管理部门应当根据书面审查、现场审查和专家评审情况,作出是否授予资质的决定。
第十九条 保密行政管理部门对申请单位作出授予资质决定的,在其法定代表人和保密管理人员接受保密培训、法定代表人签订保密责任书后,颁发《涉密信息系统集成资质证书》(以下简称《资质证书》)。
第二十条 《资质证书》主要包括以下内容:
(一)单位名称;
(二)法定代表人;
(三)注册地址;
(四)证书编号;
(五)资质等级;
(六)业务范围;
(七)发证机构;
(八)有效期和发证时间。
第二十一条 《资质证书》分为正本和副本,正本和副本具有同等法律效力。
《资质证书》仅限证书上注明的单位持有和使用。
《资质证书》由国家保密行政管理部门统一制作。
第二十二条 《资质证书》有效期为3年。
《资质证书》有效期满,需要继续从事涉密信息系统集成业务的,应当在期满前3个月向作出审批决定的保密行政管理部门提出延续申请。
第二十三条 需要变更业务种类的资质单位,应当向作出审批决定的保密行政管理部门提交变更申请。保密行政管理部门依据资质申请条件和评定标准进行审查,作出是否批准变更业务种类的决定。
第二十四条 作出授予、变更、注销、撤销资质决定,由国家保密行政管理部门统一发布。
第四章 监督管理
第二十五条 保密行政管理部门应当对资质单位进行监督管理,组织开展保密教育培训和保密检查。
第二十六条 参与涉密信息系统集成业务的人员,应当参加保密行政管理部门组织的保密知识和技能考试,合格后方可从事涉密信息系统集成业务。
从事涉密信息系统集成业务人员应当保守工作中知悉的国家秘密。
第二十七条 机关、单位委托资质单位从事涉密信息系统集成业务,应当查验其《资质证书》,与其签订保密协议,提出保密要求,采取保密措施。
第二十八条 资质单位与其他单位合作开展涉密信息系统集成业务的,合作单位应当具有相应的涉密信息系统集成资质,且应当取得委托方书面同意。
资质单位不得将涉密信息系统集成业务分包或者转包给无相应资质的单位。
第二十九条 资质单位承接涉密信息系统集成业务的,应当在签订合同后,向业务项目所在地省、自治区、直辖市保密行政管理部门备案,接受保密监督管理。
涉密信息系统集成项目完成后,资质单位应当向业务项目所在地省、自治区、直辖市保密行政管理部门报告项目建设情况。
第三十条 涉密信息系统集成资质实行审查制度。甲级资质单位审查由国家保密行政管理部门组织实施;乙级资质单位审查由注册地的省、自治区、直辖市保密行政管理部门组织实施,审查情况报国家保密行政管理部门备案。
第三十一条 资质单位的单位名称、法定代表人、股权结构、单位性质、经营范围、隶属关系等变动的,应当向作出审批决定的保密行政管理部门报告。保密行政管理部门依据本办法作出维持、变更或者撤销资质的决定。
第三十二条 资质单位有下列情形之一的,作出审批决定的保密行政管理部门应当撤销其资质:
(一)采取弄虚作假等不正当手段取得资质的;
(二)涂改、出卖、出租、出借《资质证书》,或者以其他方式伪造、非法转让《资质证书》的;
(三)将涉密信息系统集成业务分包或者转包给无相应资质单位的。
资质单位有下列情形之一的,由作出审批决定的保密行政管理部门责令限期整改;逾期不改,或者整改后仍不符合要求的,责令暂停涉密信息系统集成业务;情节严重的,撤销资质:
(一)超出批准的业务范围或者行政区域承接业务的;
(二)在注册地省、自治区、直辖市行政区域以外承接业务未按规定备案的;
(三)未通过审查的;
(四)拒绝接受保密培训或者保密检查的;
(五)其他违反保密法律法规的情形。
第三十三条 资质单位有下列情形之一的,作出审批决定的保密行政管理部门应当注销其资质:
(一)《资质证书》有效期满未按规定申请延续的;
(二)法人依法终止的;
(三)法律、法规规定应当注销资质的其他情形。
第三十四条 被撤销或者注销资质的单位,自撤销或者注销决定下达之日起,不得签订新的涉密信息系统集成业务合同。已签订有效合同的,在确保安全保密的情况下可以继续完成涉密信息系统集成业务,或者在保密行政管理部门监督下将涉密信息系统集成业务移交其他资质单位。
第三十五条 对保密行政管理部门资质管理相关决定有异议的,可以在收到决定之日起60个工作日内,向国家保密行政管理部门申请复议。国家保密行政管理部门应当自受理之日起60个工作日内作出复议决定。
第五章 法律责任
第三十六条 资质单位违反本办法的,依照本办法有关规定处理;泄露国家秘密构成犯罪的,依法追究刑事责任。
第三十七条 无资质单位违反本办法,擅自从事涉密信息系统集成业务的,由保密行政管理部门责令停止违法行为;泄露国家秘密构成犯罪的,依法追究刑事责任。
第三十八条 机关、单位委托无资质单位从事涉密信息系统集成业务的,应当对直接负责的主管人员和其他直接责任人员依纪依法给予处分;泄露国家秘密构成犯罪的,依法追究刑事责任。
第三十九条 涉密信息系统集成资质审批和管理工作人员在履行职责过程中滥用职权、玩忽职守、徇私舞弊的,依法给予处分;构成犯罪的,依法追究刑事责任。
第六章 附 则
第四十条 机关、单位规划、设计、建设和运行维护涉密信息系统,可以由本机关、单位内部信息化工作机构承担,接受同级保密行政管理部门监督指导。
第四十一条 本办法由国家保密局负责解释。
第四十二条 本办法自印发之日起施行。2005年7月1日发布的《涉及国家秘密的计算机信息系统集成资质管理办法》(国保发[2005]5号)同时废止。
第五篇:涉密信息系统资质保密标准
涉密信息系统集成资质保密标准 适用范围
本保密标准适用于涉密信息系统集成资质申请、审查与资质单位日常保密管理。定义
2.1 本标准所称涉密人员,是指由于工作需要,在涉密信息系统集成岗位合法接触、知悉和经管国家秘密事项的人员。
2.2 本标准所称涉密载体,主要指以文字、数据、符号、图形、图像、声音等方式记载国家秘密信息的纸介质、磁介质、光盘等各类物品。磁介质载体包括计算机硬盘、软盘和录音带、录像带等。
2.3 本标准所称信息系统是指由计算机及其相关和配套设备、设施构成的,按照一定的应用目标和规则存储、处理、传输信息的系统或者网络。
2.4 本标准所称信息设备是指计算机及存储介质、打印机、传真机、复印机、扫描仪、照相机、摄像机等具有信息存储和处理功能的设备。
保密标准
3.1 保密标准实施原则
3.1.1 积极防范,突出重点,严格标准,依法管理。3.1.2 业务工作谁主管,保密工作谁负责,保密责任落实到人。
3.1.3 具备健全的管理体系,保密管理与生产经营管理相融合。
3.1.4 开展保密风险评估与管理。3.1.5 建立保密管理的持续改进机制。3.2 保密组织机构及职责 3.2.1 保密工作领导小组
3.2.1.1 资质单位应当成立保密工作领导小组,为本单位保密工作领导机构。
甲级资质单位应当设置专职保密总监,保密总监为单位领导班子成员。
3.2.1.2 甲级资质单位保密工作领导小组由单位法定代表人(或主要负责人)、保密总监和有关部门主要负责人组成。组长由法定代表人(或主要负责人)担任,副组长由保密总监担任,保密工作领导小组各成员应当有明确的职责分工。
乙级资质单位保密工作领导小组由单位法定代表人(或主要负责人)、分管保密工作负责人和有关部门主要负责人组成。组长由法定代表人(或主要负责人)担任,副组长由分管保密工作负责人担任,保密工作领导小组各成员应当有明确的职责分工。
3.2.1.3 保密工作领导小组实行例会制度。例会应当组织学习党和国家保密工作方针政策及相关保密法律法规;研究部署、总结本单位的保密工作;解决保密工作中的重要问题。例会每年不少于2次,会议应当作记录并形成会议纪要。
3.2.1.4 法定代表人(或主要负责人)为本单位保密工作第一责任人,对本单位保密工作负全面责任,履行下列职责:
(1)保证国家相关保密法律法规在本单位贯彻落实;(2)监督检查保密工作责任制的落实情况,解决保密工作中的重要问题;
(3)审核、签发单位保密管理制度;
(4)为保密工作提供人力、财力、物力等条件保障。3.2.1.5 保密总监或者分管保密工作负责人对本单位保密工作负具体领导和监督责任,履行下列职责:
(1)组织制定单位保密管理制度、保密工作计划,审定保密工作总结;
(2)监督保密工作计划落实情况,组织保密检查;(3)为保密管理办公室和保密管理人员履行职责提供保障。
3.2.1.6 涉密信息系统集成业务部门负责人对本部门的保密管理负直接领导责任,履行下列职责:
(1)严格按照工作需要,控制业务人员在工作中知悉涉密信息的范围和程度;
(2)组织开展保密风险评估,修订生产管理制度,优化业务流程,制定保密工作方案,落实保密风险防控措施;
(3)监督检查涉密信息系统集成业务管理和保密制度执行情况,督促业务人员履行保密职责;
(4)及时发现、研究解决保密管理中存在的问题。3.2.2 保密管理办公室
3.2.2.1 资质单位应当设立保密管理办公室,为本单位的职能部门,负责人由中层以上管理人员担任。
甲级资质单位保密管理办公室应当为专门机构并配备专门的保密管理人员,乙级资质单位可指定有关机构承担保密管理办公室职能。
3.2.2.2 保密管理办公室负责本单位保密工作的日常管理,履行下列职责:
(1)组织落实保密工作领导小组的工作部署,提出工作建议,拟定工作计划、总结;
(2)制定、修订保密制度;(3)参与单位各项管理制度的制定、修订工作;(4)审查、确定保密要害部门部位,指导、监督保密设施设备的建设、使用和维护管理;
(5)组织开展保密宣传教育和培训;
(6)对涉密人员履行保密职责情况进行指导监督;(7)对本单位各部门保密管理有关情况进行指导监督;(8)组织开展保密检查,针对存在的问题提出整改意见,并督促落实;
(9)报告、配合查处泄密事件;(10)管理保密工作档案;
(11)承办保密资质申请、延续、审查、事项变更登记等工作;
(12)承办保密工作领导小组交办的其他任务。3.2.2.3 保密管理人员应当具备下列条件:(1)具备良好的政治素质;
(2)熟悉保密法律法规,掌握保密知识技能,具有一定的管理能力;
(3)熟悉本单位业务工作和保密工作情况;(4)通过保密行政管理部门组织的培训和考核。3.3 保密制度
3.3.1 资质单位应当建立规范、操作性强的保密制度,并根据实际情况及时修订完善。保密制度的具体要求应当体现在单位相关管理制度和业务工作流程中。
3.3.2 保密制度包括以下主要方面:(1)保密工作机构设置与职责;(2)保密教育培训;(3)涉密人员管理;(4)涉密载体管理;
(5)信息系统、信息设备和保密设施设备管理;(6)涉密信息系统集成场所等保密要害部位管理;(7)涉密项目实施现场管理;(8)保密监督检查;(9)保密工作考核与奖惩;(10)泄密事件报告与查处;(11)保密风险评估与管理;(12)资质证书使用与管理。3.4 保密风险评估与管理
3.4.1 资质单位应当定期对系统集成业务、人员、资产、场所等主要管理活动进行保密风险评估。各业务部门应当按照业务流程对保密风险进行识别、分析和评估,提出具体防控措施。
3.4.2 资质单位应当将国家保密法规和标准要求、保密风险防控措施融入到管理制度和业务工作流程中,并建立相应的监督检查机制。
3.5 涉密人员管理
3.5.1 资质单位应当对从事涉密业务的人员进行审查,符合条件的方可将其确定为涉密人员。涉密人员应当通过保密教育培训,并签订保密承诺书后方能上岗。
3.5.2 涉密人员应当保守国家秘密,严格遵守各项保密规章制度,并符合以下基本条件:
(1)遵纪守法,具有良好的品行,无犯罪记录;(2)资质单位正式职工,并在其他单位无兼职;(3)社会关系清楚,本人及其配偶为中国境内公民。3.5.3 涉密人员根据所在岗位涉密情况分为核心、重要、一般三个等级,实行分类管理。涉密等级发生变化时,应当履行审批程序。
3.5.4 资质单位与涉密人员签订的劳动合同或补充协议,应当包括以下内容:
(1)涉密人员的权利与义务;
(2)涉密人员应当遵守的保密纪律和有关限制性规定;(3)因履行保密职责导致涉密人员利益受到损害,资质单位给予补偿的规定;
(4)涉密人员因违反保密规定而被无条件调离涉密岗位或给予辞退等处罚的规定;
(5)因认真履行保密职责,资质单位给予涉密人员奖励的规定;
(6)涉密人员应当遵守的其他有关事项。
3.5.5 资质单位应当将涉密人员基本情况和调整变动情况向所在地省、自治区、直辖市保密行政管理部门备案。
3.5.6 在岗涉密人员每年参加保密教育与保密知识、技能培训的时间不少于10个学时。
3.5.7 资质单位应当对在岗涉密人员进行定期考核评价。
3.5.8 资质单位应当向涉密人员发放保密补贴。3.5.9 涉密人员离岗离职须经资质单位保密审查,签订保密承诺书,并按相关保密规定实行脱密期管理。
3.5.10 涉密人员因私出国(境)的,应当经资质单位同意,出国(境)前应当经过保密教育。擅自出境或逾期不归的,资质单位应当及时报告保密行政管理部门。
3.5.11 涉密人员泄露国家秘密或严重违反保密规章制度的,应当调离涉密岗位,并追究其法律责任。
3.6 涉密载体管理
3.6.1 资质单位应当按照工作需要,严格控制涉密载体的接触范围和涉密信息的知悉程度。3.6.2 资质单位应当建立涉密载体台帐,台帐应当包括载体名称、编号、密级、保密期限等信息。
3.6.3 接收、制作、交付、传递、保存、维修、销毁涉密载体,应当遵守国家相关保密规定,履行签收、登记、审批手续。
3.6.4 复制本单位产生的涉密载体,应当经单位相关部门审批;复制其他涉密载体,应当经涉密载体制发机关、单位或所在地省、自治区、直辖市保密行政管理部门批准。涉密载体复制场所应当符合保密要求,采取可靠的保密措施;不具备复制条件的,应当到保密行政管理部门审查批准的定点单位复制。
3.6.5 机密、秘密级涉密载体应当存放在密码文件柜中,绝密级涉密载体应当存放在密码保险柜中。存放场所应当符合保密要求。
3.6.6 未经批准,个人不得私自留存涉密载体和涉密信息资料。确因工作需要保存的,应当建立个人台帐,内容包括载体密级、留存原因、审批部门或人员、留存期限等内容。
3.6.7 携带涉密载体外出,应当履行审批手续,采取可靠的保密措施,并确保涉密载体始终处于携带人的有效控制下。
3.6.8 资质单位应当定期对涉密载体进行清查。需要销毁的涉密载体应当履行清点、登记、审批手续,送交保密行政管理部门设立的销毁工作机构或者保密行政管理部门指定的单位销毁;确因工作需要,自行销毁少量秘密载体的,应当使用符合国家保密标准的销毁设备和方法。
3.7 信息系统与信息设备管理
3.7.1 涉密信息系统的规划、建设、使用等应当符合国家有关保密规定。涉密信息系统应当按照国家保密规定和标准,制定分级保护方案,采取身份鉴别、访问控制、安全审计、边界安全防护、信息流转控制等安全保密防护措施。
3.7.2 涉密信息设备应当符合国家保密标准,有密级、编号、责任人标识,并建立管理台帐。
3.7.3 涉密计算机、移动存储介质应当按照存储、处理信息的最高密级进行管理与防护。
3.7.4 涉密信息设备的使用应当符合相关保密规定。禁止涉密信息设备接入互联网及其他公共信息网络;禁止涉密信息设备接入内部非涉密信息系统;禁止使用非涉密信息设备和个人设备存储、处理涉密信息;禁止超越计算机、移动存储介质的涉密等级存储、处理涉密信息;禁止在涉密计算机和非涉密计算机之间交叉使用移动存储介质;禁止在涉密计算机与非涉密计算机之间共用打印机、扫描仪等信息设备。3.7.5 涉密信息设备应当采取身份鉴别、访问控制、违规外联监控、安全审计、移动存储介质管控等安全保密措施,并及时升级病毒和恶意代码样本库,定期进行病毒和恶意代码查杀。
3.7.6 采购安全保密产品应当选用经过国家保密行政管理部门授权机构检测、符合国家保密标准要求的产品,计算机病毒防护产品应当选用公安机关批准的国产产品,密码产品应当选用国家密码管理部门批准的产品。
3.7.7 涉密信息打印、刻录等输出应当相对集中、有效控制,并采取相应审计措施。
3.7.8 涉密计算机及办公自动化设备应当拆除具有无线联网功能的硬件模块,禁止使用具有无线互联功能或配备无线键盘、无线鼠标等无线外围装置的信息设备处理国家秘密。
3.7.9 涉密信息设备的维修,应当在本单位内部进行,并指定专人全程监督,严禁维修人员读取或复制涉密信息。确需送外维修的,须拆除涉密信息存储部件。涉密存储介质的数据恢复应当到国家保密行政管理部门批准的单位进行。
3.7.10 涉密信息设备改作非涉密信息设备使用或淘汰处理时,应当将涉密信息存储部件拆除。淘汰处理涉密存储介质和涉密信息存储部件,应当按照国家秘密载体销毁有关规定执行。
3.7.11 涉密计算机及移动存储介质携带外出应履行审批手续,带出前和带回后,均应当进行保密检查。
3.8 涉密办公场所保密管理
3.8.1 资质单位的涉密办公场所应当固定在相对独立的楼层或区域。
3.8.2 涉密办公场所应当安装门禁、视频监控、防盗报警等安防系统,实行封闭式管理。监控机房应当安排人员值守。
3.8.3 建立视频监控的管理检查机制,资质单位安全保卫部门应当定期对视频监控信息进行回看检查,保密管理办公室应当对执行情况进行监督。视频监控信息保存时间不少于3个月。
3.8.4 门禁系统、视频监控系统和防盗报警系统等应当定期检查维护,确保系统处于有效工作状态。
3.8.5 涉密办公场所应当明确允许进入的人员范围,其他人员进入,应当履行审批、登记手续,并由接待人员全程陪同。
3.8.6 未经批准,不得将具有录音、录像、拍照、存储、通信功能的设备带入涉密办公场所。
3.9 涉密信息系统集成项目管理 3.9.1 资质单位应当按照资质等级、类别承接涉密信息系统集成业务。不得将资质证书出借或转让。不得将承接的涉密信息系统集成业务分包或转包给不具备相应资质的单位。
3.9.2 资质单位与其他单位合作开展涉密信息系统集成业务的,合作单位应当具有相应涉密信息系统集成资质,且应当取得委托方书面同意。
3.9.3 资质单位承接涉密信息系统集成项目的,应当在签订合同后,向项目所在地省、自治区、直辖市保密行政管理部门备案,接受保密监督管理。
涉密信息系统集成项目完成后,资质单位应当向项目所在地省、自治区、直辖市保密行政管理部门书面报告项目建设情况。
3.9.4 资质单位应当对涉密信息系统集成项目实行全过程管理,明确岗位责任,落实各环节安全保密措施,确保管理全程可控可查。
3.9.5 资质单位应当按照涉密信息系统集成项目的密级,对用户需求文档、设计方案、图纸、程序编码等技术资料和项目合同书、保密协议、验收报告等业务资料是否属于国家秘密或者属于何种密级进行确定。属于国家秘密的,应当标明密级,登记编号,明确知悉范围。3.9.6 涉密信息系统集成项目实施期间,项目负责人对项目的安全保密负总体责任,应当按照工作需要,严格控制涉密载体的接触范围和涉密信息的知悉程度。
3.9.7 资质单位应当对参与涉密信息系统集成项目的管理人员、技术人员和工程施工人员进行登记备案,对其分工作出详细记录。
3.9.8 涉密信息系统集成项目实施验收后,资质单位应当将涉密技术资料全部移交委托方,不得私自留存或擅自处理。需要保留的业务资料,应当严格按照有关保密规定进行管理。
3.9.9 涉密信息系统集成项目的设计方案、研发成果及有关建设情况,资质单位及其工作人员不得擅自以任何形式公开发表、交流或转让。
3.9.10 资质单位在与境外人员或机构进行交流合作时,应当严格遵守有关保密规定,交流材料不得涉及涉密信息系统集成项目的相关情况。
3.9.11 资质单位利用涉密信息系统集成项目申请专利,应当严格遵守有关保密规定。
秘密级和机密级的项目,应当按照法定程序审批后申请保密专利,符合专利申请条件的,应当按照有关规定办理解密手续;绝密级的项目,在保密期限内不得申请专利或者保密专利。
3.10 涉密项目实施现场管理
3.10.1 资质单位进入委托方现场进行涉密信息系统集成项目开发、工程施工、运行维护等应当严格执行现场工作制度和流程。
3.10.2 从事现场项目开发、工程施工、运行维护的人员应当是资质单位确定的涉密人员。
3.10.3 现场项目开发、工程施工、运行维护应当在委托方的监督下进行。未经委托方检查和书面批准,不得将任何电子设备带入涉密项目现场。
3.10.4 资质单位应当对现场项目开发、工程施工、运行维护的工作情况进行详细记录并存档备查。
3.11 宣传报道管理
3.11.1 资质单位通过媒体、互联网等渠道对外发布信息,应当经资质单位相关部门审查批准。
3.11.2 资质单位涉及涉密信息系统集成项目的宣传报道、展览、公开发表著作和论文等,应当经委托方批准。
3.12 保密检查
3.12.1 资质单位应当定期对保密管理制度落实情况、技术防范措施落实情况等进行检查,及时发现和消除隐患。
3.12.2 保密检查应当进行书面记录,内容包括:检查时间、检查人、检查对象、检查事项、存在问题、整改措施及落实情况等。
3.13 泄密事件处理
3.13.1 资质单位发生泄密事件,应当立即采取补救措施,并在发现后24小时内书面向所在地保密行政管理部门报告。内容包括:
(1)所泄露信息的内容、密级、数量及其载体形式;(2)泄密事件的发现经过;
(3)泄密事件发生的时间、地点和经过;
(4)泄密责任人的基本情况;
(5)泄密事件造成或可能造成的危害;(6)已采取或拟采取的补救措施。
3.13.2 资质单位应当配合保密行政管理部门对泄密事件进行查处,不得隐瞒情况或包庇当事人。
3.14 保密工作考核与奖惩
3.14.1 资质单位应当将员工遵守保密制度、履行保密职责的情况纳入绩效考核内容,考核结果作为发放保密补贴和评选先进的依据。
3.14.2 资质单位应当对严格执行保密规章的集体和个人给予表彰奖励。
3.14.3 资质单位应当对违反保密法规制度的有关责任人给予相应处罚;泄露国家秘密的,应当按照有关规定作出处理。
3.15 保密工作经费
3.15.1 保密工作经费分为保密管理经费和保密专项经费。保密管理经费用于单位保密宣传教育培训、发放保密补贴、奖励保密先进、保密检查等日常保密管理工作;专项经费用于保密设施设备的建设、配备、维护等。
3.15.2 甲级资质单位保密管理经费,标准不少于5万元;乙级资质单位保密管理经费,标准不少于3万元。保密管理经费应当单独列入单位财务预算,专款专用,保证开支。
3.15.3 保密专项经费应当按实际需要予以保障。3.16 保密工作档案
3.16.1 资质单位应当建立保密工作档案,记录日常保密工作情况。
3.16.2保密工作档案的内容应当真实、完整,全面反映保密工作情况,并能够与相关工作档案相互印证。
3.17 本保密标准未明确涉密事项的保密管理,须严格执行国家有关保密规定。