第一篇:《涉密公文管理工作制度》
涉密公文管理工作制度
一、各区县工商局、市局各科、室、队、中心主要负责人为本单位涉密公文管理工作第一责任人,并坚持“谁经办谁负责”原则。
二、涉密公文可按照收文、发文两种情况分类。其中收文类涉密公文管理分为签收、登记、拟办、分送、传阅、承办、归档、清退、销毁等环节;发文类涉密公文管理分为起草、核发、登记、印制、分发等环节。
三、收文类涉密公文管理
(一)涉密公文的签收、登记由市局办公室机要员统一负责(各区、县工商局比照市局模式执行,下同)。机要员须逐件、逐页清点,如发现问题须及时向发文机关查询并采取相应的处理措施。涉密公文的标题、密级、发文机关、发文字号、收文日期、份数及流转、办理情况须由机要员逐项填写清楚。
(二)机要员将涉密公文呈市局办公室负责人提出拟办意见,并做好记录。拟办意见必须按照密级文件传达阅知范围有关规定或者发文机关批注要求严格执行,不得擅自扩大传达阅知范围。
(三)机要员按照拟办意见,将涉密公文分送有关局领导阅批、研办,并做好记录。
(四)需要局领导传阅或传批的涉密公文,机要员须按照一-1-
定程序分送,并应随时掌握公文的去向并做好记录,避免漏传、误传和延误。切勿横传,以免造成传阅失控或公文遗失。
(五)按照局领导批示,机要员将涉密公文交承办单位承办或阅知。市局机关各单位须指定一位思想政治过硬的同志担任机要文书管理人员,负责签收本单位承办或阅知的涉密公文。
(六)涉密公文办理完毕后,承办单位应将涉密公文退回市局办公室,机要员应严格按照公文归档制度,将涉密公文收集齐全,立卷归档。任何个人不得保存涉密公文。
四、发文类涉密公文管理
(一)起草涉密公文必须在处理涉密文件的计算机上进行,严禁在非涉密计算机上处理。
(二)涉密公文须由承办单位专人办理,市局领导审定签发,市局办公室登记、核发。
(三)公文密级须按照有关规定由市局办公室核定,明确印发份数、发放范围。
(四)涉密公文的印制应做到准确、及时、规范、安全、保密。印制地点原则上应在市局机关内部文印,如确需送外单位印制,经市局领导批准后,送经市委保密委员会办公室批准的定点印刷厂印制。
(五)涉密公文的分发必须认真登记,仔细核对,经机要通信网络发送;若需纸质分发的,要保证分拣、装封准确无误,并通过机要邮递渠道分发。
五、涉密公文必须严格按照规定范围阅知,原则上应在办公室阅读,不得随意带出。
六、禁止携带绝密级公文外出。因公外出确需携带秘密级公文,应经市局领导批准,履行借阅手续,并采取保护措施,使密级公文始终处于携带人的有效控制之下;因公外出确需携带机密级公文,应经市局主要领导批准,履行借阅手续,并有二人以上同行,采取保护措施。
七、禁止携带涉密公文参加涉外活动。禁止将绝密级公文携带出境,因工作需要确需携带机密级、秘密级公文出境的,应按照有关保密规定,办理批准和携带手续。
八、绝密级和注明不准翻印、复印的公文不得翻印、复印。翻印、复印其他涉密公文,须经市局领导批准,并在市局办公室登记,注明翻印、复印的机关、日期、份数、印发范围、承办人、单位负责人。翻印、复印的公文要与正式印发的公文同样管理,使用完毕后,全部交还市局办公室统一销毁。
九、借阅涉密公文要经市局领导批准,严格在市局办公室履行借阅手续,限期退回。如需延长使用时间,须办理续借手续。
十、销毁涉密公文,必须按照保密主管部门相关规定执行,必须登记造册,经市局领导或办公室主要负责人审批后送指定地点销毁,销毁时要有二人以上监销。
第二篇:涉密会议管理
涉密会议管理:
采取了以下保密管理措施:
公司举办涉密会议严格按照公司《涉密会议管理制度》执行,对涉密会议采取了严格的保密管理措施:
1、保密办公室是会议保密工作责任人,对会议的保密工作负有布置、指导、监督、检查的领导责任。
2、涉密会议必须在具有安全保密保障的场所召开,申请召开涉密会议的部门应填写《涉密会议审批表》。经保密办审核、保密委员会审批后交由保密办公室布置涉密会议场所。保密办公室应当提前制定保密方案,派人监督和检查会议的保密情况,填写《涉密会议安全检查表》。不得在涉外宾馆、场所组织召开涉密会议。
3、涉密会议使用的扩音、投影等技术设备应符合保密要求,禁止使用无线话筒,会议场所禁止带入手机等移动通信工具,会场内电视监控保持关闭,必要时设置手机信号干扰器。禁止带入具有无线上网功能的便携式计算机、录像设备等进入会场;未经批准禁止带入具有摄录功能的设备。
4、保密办公室对参加会议人员逐一进行审查,并经身份确认后逐一签到入场,并填写《涉密会议到会人员签到表》。必要时制发会议证件,凭证件入场。会议开始时主持人应宣布保密纪律和要求,会议进行中离场人员应进行登记。会议服务保障人员必须是公司内部人员,并应签订保密协议,必要时应进行保密审查。
5、保密办公室应指定专人负责涉密会议载体的发放、清退和销毁工作。涉密文件、材料应标明密级,编号登记,签字发放,会议期间禁止带离会场,会议结束时如数收回,并填写《涉密会议资料发放回收登记表》。属于正式下发的涉密文件、材料,以及会后需要销毁的文件、材料,按照《涉密载体保密管理制度》执行。上至本公司尚未召开过涉密会议。外场试验管理: 公司不涉及协作配套管理:
公司选择协作配套单位严格按照公司《涉密会议管理制度》执行,要求:(1)我公司涉密任务需要与其他单位协作完成时,应由保密办和技术部门选择具有相应保密资格和协作配套能力的单位作为协作配套方。选择完毕,技术部门填写《协作配套单位保密审查表》,经部门负责人同意,保密办审核,报保密委员会批准。
(2)技术部门与涉密项目协作配套单位签订合同时,应当明确项目密级和保密条款,签订保密协议,保密办公室应监督保密条款或保密协议的执行。
(3)在合同签订、合同履行和合同文本中,我方要严格控制涉密项目背景、用途等相关涉密内容,不得向协作配套单位提供配套项目研制必需的技术要求以外的涉密信息。(4)保密办公室应指定一名领导担任保密负责人,保密负责人要告知每一位外包参与人员将承担的保密义务以及应当承担的法律责任,参与人员要签订保密承诺书。(5)协作配套单位应当按照国家和公司有关规定建立健全保密管理制度,取得相应的保密资格,做好保密工作。任务提出部门和保密办对协作配套单位执行保密要求的情况进行监督检查,发现隐患或问题及时提出,要求协作配套单位进行整改,并跟踪。对于存在严重隐患或存在问题不整改的协作配套单位应中止协作合同。
上至本公司没有涉密产品或事项对外要求进行协作。涉外管理:
采取了以下保密管理措施:
公司制订了《涉外活动保密管理制度》,要求:
(1)公司组织涉外活动不得涉及涉密信息,承办部门应提前十个工作日前填写《组织涉外活动保密审查审批表》,明确相应的保密管理措施,送公司保密办公室审查,报保密委员会审批。
(2)公司组织涉外活动的部门和参加涉外活动的人员,应签订《涉外活动保密协议书》。(3)公司对涉密人员出国境参加涉外活动实行“涉密人员因私出国(境)保密守则及注意事项”。具体要求如下:
公司涉密人员参加涉外活动,在办理出国(境)手续和在境内参加涉外活动办理有关保密审查前,应首先到公司保密委员会履行“涉密人员因私出国(境)保密守则及注意事项”;
公司保密委员会负责告知参加涉外活动的涉密人员应遵守的保密守则和要求,提醒涉密人员应注意的保密事项,必要时对涉密人员进行有针对性的保密教育; 涉密人员须签订《涉密人员对外科技交流保密义务承诺书》,承诺履行保密义务; 公司保密委员会在确认涉密人员已经履行《涉密人员因私出国(境)保密守则及注意事项》后,方可办理出国(境)手续或参加国内涉外活动的审批手续。
(4)公司参加涉外活动的人员公开发表论文或提供资料,须填写《涉外合作交流提供资料审批表》,经本部门主管审核,报保密办公室审查,保密委员会批准。
(5)涉密人员携带涉密载体出国(境)的,须填写《涉密载体携带外出审批表》,通过审批后,填写《中华人民共和国涉密载体出境许可证》申请,经相关部门审批后方可携带出国(境)参与涉外活动。
上至本公司没有与涉密事项有关的涉外活动。保密检查:
采取了以下保密管理措施:
1、公司制订了《保密监督检查制度》,保密监督检查的内容主要包括:
公司领导履行保密职责的情况检查;
各涉密部门负责人和项目负责人对本部门、本项目保密工作的组织领导和保密责任制落实情况检查;
涉密人员履行保密职责和遵守保密制度的情况; 涉密载体的管理情况;
计算机和信息系统及通信、办公自动化设备的保密管理情况; 保密要害部位的人防、物防、技防措施的管理情况;
保密工作档案记录情况。
2、上至本开展保密检查工作情况如下:
自2013年3月起,公司保密办公室每3个月组织一次对公司各部门的保密检查,并填写《保密工作检查表》
保密办公室每3个月组织一次对涉密部门负责人的保密检查,并填写了《保密工作检查表》。
保密办公室每年组织1次对涉密区的保密检查,填写《保密工作检查表》。保密委员会每年组织1次对单位负责人的保密检查,填写《保密工作检查表》。保密委员会每季度对保密委员会成员履行保密责任制情况进行监督检查,填写了《XXXX第X季度保密委员会成员履行职责情况考核表》和《XXXX第X季度保密委员会成员履行职责情况检查表》。
涉密人员和涉密部门每月进行了保密工作自查,填写《涉密人员保密工作自查表》、《涉密部门保密工作自查考核表》。
每年对保密人员进行绩效考核,填写《绩效考核表》,并根据绩效考核结果进行有针对性的保密教育奖惩和培训。
3、对保密检查中发现的一般问题,检查人向被检查部门提出了书面整改要求,发放《保密工作整改通知书》,限期整改,并对整改情况进行验证。
4、对保密检查中发现的泄密隐患,立即向主管领导报告,并采取补救措施,迅速整改,防止泄露国家秘密事件的发生。
5、保密检查后,检查结果形成现场记录,向被检部门通报,并经被检人员签字确认,由保密办公室存入保密工作检查档案。考核与奖惩:
上至本保密考核与奖惩情况:
1、公司制订了《责任考核与奖惩制度》,规定了:(1)保密奖励条件和评比方法;(2)违规行为的界定和处罚。
2、公司保密办公室负责制定保密表彰奖励方案,明确奖励范围和表彰奖励名额,并报保密委员会审批;
3、保密办公室按照保密委员会批准的表彰奖励方案和本制度明确的条件,结合保密工作考核情况,参考《绩效考核表》(附件BM-13-07),审核候选部门和个人的保密工作先进事迹;
4、公司保密委员会对推荐的候选部门和个人进行集体研究、审议,并做出审批意见;
5、特殊情况的保密表彰奖励,由公司保密办公室提出保密表彰奖励意见,报保密委员会批准后施行。
6、上至本对保密工作做出突出成绩的先进单位和个人进行评选表彰奖励。评出X名保密先进个人,X名保密先进集体,并给予了奖励。工作档案管理:
保密工作文字记载情况:
根据公司《保密档案管理制度》对公司保密档案进行如下分类,并适时归档:
1、保密责任卷
(1)各类人员职责类(2)各类保密责任书类(3)履行职责情况(4)责任制考核情况
2、组织机构卷
(1)保密工作领导小组及其成员职责分工(2)保密工作部署及计划总结(3)保密工作领导小组会议记录
3、保密制度卷
(1)保密工作基本制度(2)专项制度
4、保密监督管理卷
(1)涉密人员管理卷(内容涵盖涉密人员上岗管理、涉密人员在岗管理、涉密人员离岗管理)
(2)定密管理卷(3)涉密载体管理卷(4)要害部门部位管理卷
(5)计算机信息和信息系统管理卷(6)通信及办公自动化设备管理卷(7)宣传报道管理卷(8)涉密会议保密管理卷(9)协作配套保密管理卷(10)涉外保密管理卷(11)保密检查管理卷
(12)保密工作考核及奖惩管理卷(13)泄密事件管理卷(14)保密档案管理卷
5、保密条件保障类
(1)保密工作经费保障类(保密管理工作经费预算、支出情况明细、保密专项工作经费预算、支出情况明细等)
(2)保密检查工具和设备配备情况
第三篇:公文办理工作制度
西部大道至太平峪口一级公路工程项目组制度汇编
公文办理工作制度
1、公文收发由办公室专人负责签收、分类,对来文机关、文件字号、来文日期、急缓程度、密级、份数等内容进行逐项登记,并及时送项目组领导阅处,按领导批示送达分管领导、部门阅知或办理。
2、办公室负责行政性公文的起草,定稿后送项目组领导审核、签发。印制好的公文必须复核审批、签发手续是否完备,附件材料是否齐全,格式是否统一、规范。
3、分发公文要进行登记。对文件的发文字号、标题、密级、急缓程度、起草单位、印发日期、签发人、文件份数等逐一登记。
4、管理处文件要统一进行编号、存档。
5、技术性文件主要由职能部门起草、核对、打印,办公室负责审核、分发。
6、搞好文件的整理、分类、归档工作。传阅文件要及时回收,发文要连同原稿一起存档。做到档案材料齐全、分类科学合理、编号清楚明白、查找快捷方便。
7、严格执行保密制度。未经领导批准不得将文件随意借阅。
8、搞好文档的防火、防盗、防虫等工作。
9、严格执行市政府办公室印发的“行政机关公文处理工作手册”中的其他规定。
第四篇:涉密计算机管理规定(范文)
天津开发区管委会涉密计算机及涉密网络保密管理
规定
第一条 为加强天津开发区管委会涉密计算机及涉密网络的管理,保障办公使用过程中国家秘密的安全,避免计算机病毒等非法入侵,根据《中华人民共和国保守国家秘密法》、国家保密局《计算机信息系统保密管理暂行规定》、《计算机信息系统国际互联网保密管理规定》及天津市有关规定,结合开发区实际,制定本规定。
第二条 本规定所称的涉密计算机及涉密网络是指处理、存储和传输涉密信息的单机、笔记本电脑、涉密信息系统及涉密网络等。
第三条 本规定适用于天津开发区管委会(党组)各部门、各单位,各直属事业单位、有关事业单位及直属企业(以下简称各部门、各单位)。
第四条 开发区管委会(党组)办公室对本规定第三条所指各部门、各单位执行本规定负有指导、监督、检查职责。各部门、各单位主要领导,对本部门、本单位执行本规定负有指导、监督、检查职责。
第五条 涉密计算机投入使用前,要进行必要的安全检查,不允许进行各种形式的有线及无线的网络连接,不允许使用无线功能的键盘鼠标进行操作。
第六条 涉密计算机应为专人专用,用户应定期修改机器登录密码,密码要求8位以上并有英文大小写和数字的混排。
第七条 涉密网络由各单位指派专人负责接入管理,不允许私自将笔记本电脑、小交换机、无线设备接入涉密网点。
第八条 涉密网络需要使用移动介质前,应先检查移动介质是否存在病毒、木马等恶意程序。
第九条 涉密人员因工作变化、调动等原因需要开始或停止使用涉密计算机及涉密网络的,所在部门应备案登记,并提交书面申请由领导批准后再由网络管理人员开通或关闭相应权限。
第十条 涉密计算机及涉密网络所在的场所,必须采取必要的安全防护措施,安装防盗门和报警器及监控设备等必要措施,并指定专人进行日常管理,严禁无关人员进入该场所。
第十一条 涉密计算机及涉密网络设备需要维修的,必须到天津市保密局指定的维修单位维修。涉密计算机等设备送修前必须将涉密存储部件拆除并妥善保管;如需请外来人员维修,单位应派人全程监督修理过程。涉密存储部件出现故障,如不能保证安全保密,必须按涉密载体予以销毁。
第十二条 涉密计算机如需恢复其存储信息,必须到天津市保密局指定的具有保密资质的单位进行处理,并将废旧的存储介质收回。
第十三条 禁止将涉密计算机转为非涉密环境使用,禁止进行公益捐赠或销售。
第十四条 报废、销毁涉密设备应当严格履行审批、清点、登记手续,送至市保密局指定的销毁单位销毁,任何单位和个人不得擅自销毁。
第十五条 管理人员违反本规定,情节较轻的,应责令改正,给予批评教育;情节严重,造成泄露机密的,按照有关保密规定给予责任人行政或党纪处分;构成犯罪的,移交司法机关,依法追究刑事责任。
第十六条 本规定由开发区管委会(党组)办公室负责解释,自印发之日起实施。各部门、各单位内部相关规定与本规定不一致的,以本规定为准。
第五篇:涉密信息系统保密管理探讨(模版)
涉密信息系统安全保密管理探讨
摘要:本文通过分析信息化条件下涉密信息系统保密管理与技术的关系,结合目前涉密信息系统保密管理的现状与问题,根据涉密信息分级保护标准规范要求,从宏观层面初步探讨提出了当前形势下涉密信息系统保密管理的原则、基本思路与方法,并提出了相应的建议。
关键词:涉密信息系统 分级保护 信息系统建设生命周期
一、引言
涉密计算机信息系统(以下简称涉密信息系统)是指涉及国家秘密和党政机关工作秘密的计算机信息系统,主要包括党政军领导机关用于处理涉密信息的单机和用于内部办公自动化或涉密信息交换的信息系统;也包括企事业单位涉及国家秘密的信息系统。当前,随着我国党政军领导机关和国防科研军工单位信息化进程的全面加快,保密管理的对象、领域、方式和环境发生了深刻变化,在知密范围、涉密行为以及涉密人员的界定和管控等方面,出现了许多新的问题,传统的保密管理措施已经不能适应新形势下保密工作发展的要求,由于涉密单位的业务特殊性,如何对涉密信息系统进行科学有效的保密管理,已经成为涉密信息系统建设使用单位急需解决的问题,迫切需要新的管理思路与办法。
二、涉密信息系统保密管理与技术的关系
在网络环境下,国家秘密的存储、处理和流转方式发生了根本性变化,涉密电子文件易复制、易传播的特点,使得泄密渠道增多,一旦发生泄密情况,则扩散速度快,涉及范围广,且不易被发觉,危害特别大。面对信息化条件下保密工作新形势,传统的纸质涉密文件的保密管理措施已经不能完全适应新形势下保密工作发展的要求,涉密信息系统的保密管理亟需提升技术支撑能力。在当前的形势下,可以说技术与管理是涉密信息系统安全保障的两个支撑要素,二者相辅相成,缺一不可:即使非常严密的管理,没有技术手段支撑,也保证不了安全;无论多么先进保密技术,没有管理措施保障,也不能发挥应有的作用。但在具备了一定技术手段的前提下,管理则成为决定因素。因此,各涉密单位应当根据涉密信息系统自身的特点,制定出具有针对性和可操作性的管理措施,并严格执行。
三、涉密信息系统保密管理的现状与问题
随着我国综合国力不断增强和国际战略地位显著提高,我国已成为各种情报窃密的重点目标,境内外敌对势力和国外情报机构加紧对我实施全方位的信息监测和情报战略,窃密活动十分猖獗,各级党政军机关、国防军工科研生产单位作为国家秘密的主要生成区、密集区,更是成为敌对势力窃密的重点对象。但目前我国涉密信息系统建设使用单位保密管理水平比较低,与形势的发展很不适应,急需进一步加强。就拿航宇公司为例,该公司先后建立的涉密应用系统有:OA系统,CAPP系统,ERP系统,档案管理系统,PDM系统等,这些系统在建设、规划和保密管理中存在的问题主要表现在以下几个方面:
(一)涉密信息系统定密的随意性、不准确问题
目前该公司很多涉密信息系统定密比较随意,不准确,界定不清楚,甚至很多涉密人员都不清楚自己管理的应用系统的密级别。究其原因主要是没有严格确定定密责任,缺乏专业定密人员,定密依据不够明确和细化,定密程序不规范等。
(二)涉密信息系统安全保密工作 “重技术、轻管理”的现象比较突出
目前公司很多涉密信息系统的安全保密方案只注重安全保密技术建设,过于依赖技术来实现保密要求,而忽略保密管理的重要性。由于缺乏有针对性的保密管理措施进行有机整合,所有的安全保密措施只是产品的简单堆砌,使得整个安全保密方案先天性不足。众所周知,如果没有强有力的管理来支持,再好的技术防范措施都会大打折扣,再好的技术防范产品也将成为摆设,因此涉密信息系统安全保密工作的重点还是在于管理。
(三)涉密信息系统建设生命周期“重建设、轻监管”
通常情况下,我们将信息系统建设生命周期(SDLC)划分为五个阶段:规划需求阶段、设计开发阶段、实施阶段、运行维护阶段、废弃阶段。也就是说,系统是不断变化的,安全保密工作也应随之发生变化,各个阶段安全保密要求不同,每个阶段都应制定相应的保密制度,并落实执行、监管。由于公司很多应用项目都是和第三方公司合作,而这些公司可能存在着对系统建设生命周期各阶段的保密标准的具体要求把握不准的情况,使得工程实施各阶段没有严格执行保密要求或者与安全保密建设不同步情况时有发生,而这一块我们又缺乏最起码的监管手段,从而给系统增加了安全隐患。举个例子,在涉密信息系统经过保密审批投入运行后,由于一般都是由系统建设使用单位的信息化部门在负责日常的运行维护。但信息化部门并不清楚保密方面的要求,而保密部门又属于行政部门,不熟悉系统业务应用情况,只能制定一些原则性管理规章制度,无法对系统进行有效的保密监管,不能及时发现系统的违规行为和泄密隐患。
(四)涉密信息系统安全保密工作 “重制度、轻执行”的现象比较突出
航宇公司在涉密信息系统安全保密工作上制定了大量的制度、规范,并且有专门的保密网站进行宣贯,但由于保密工作的长期性和繁琐性不可避免地对日常工作造成影响,而我们某些员工认为保密工作对其日常工作造成居多不便,从而产生抵触情绪,进而对保密制度进行抵制,或者“打折处理,表面执行”,造成安全保密制度真正落实执行的少,让很多制度流于形式,流于纸面。另外,我们制定保密制度还存在一个错误观念,就是:制定保密制度是为了应付保密检查,至于落实不落实,执行不执行没有多大关系。所以,要坚决克服为了制定制度而制定制度的错误观念。制定制度不是目的,通过制定安全保密制度,并坚决落实执行来加强军工单位保密管理,保证国家秘密安全才是制定制度的根本目的。
四、涉密信息系统安全保密管理原则
(一)基于安全需求、适度安全的原则:由于信息泄露、滥用、非法访问或非法修改而造成的危险和损害相适应的安全。没有绝对安全的信息系统(网络),任何安全措施都是有限度的。关键在于“实事求是”、“因地制宜”地去确定安全措施的“度”,即根据信息系统因缺乏安全性造成损害后果的严重程度和实际需求来决定采取什么样的安全措施。组织机构应根据其信息系统担负的使命,积累的信息资产的重要性,可能受到的威胁及面临的风险分析安全需求,按照信息系统等级保护要求确定相应的信息系统安全保护等级,遵从相应等级的规范要求,从全局上恰当地平衡安全投入与效果;
(二)最小化授权以及分权和授权相结合原则:涉密信息系统的建设规模要最小化,非工作所必需的单位和岗位,不得建设可登陆涉密信息系统的终端;其次,涉密信息系统中涉密信息的访问权限要最小化,非工作必需知悉的人员,不得具有关涉密信息的访问权限。分权和授权原则是指对特定职能或责任领域的管理功能实施分离、独立审计等实行分权,避免权力过分集中所带来的隐患,以减小未授权的修改或滥用系统资源的机会。任何实体(如用户、管理员、进程、应用或系统)仅享有该实体需要完成其任务所必须的权限,不应享有任何多余权限;
(三)同步建设、严格把关的原则:涉密信息系统的建设必须要与安全保密设施的建设同步规划、同步实施、同步发展。要对涉密信息系统建设的全过程(各个环节)进行保密审查、审批、把关。要防止并纠正“先建设,后防护,重使用,轻安全”的倾向,建立健全涉密信息系统使用审批制度。不经过保密部门的审批和论证,信息系统不得处理国家秘密信息。
(四)注重管理的原则:涉密信息系统的安全保密三分靠技术,七分靠管理。加强管理可以弥补技术上的不足;而放弃管理则再好的技术也不安全。采用管理与技术相结合,管理科学性和技术前瞻性结合的方法,保障信息系统的安全性达到所要求的目标。信息安全管理工作主要体现为管理行为,应保证信息系统安全管理主体合法、管理行为合法、管理内容合法、管理程序合法。对安全事件的处理,应由授权者适时发布准确一致的有关信息,避免带来不良的影响;
(五)主要领导负责、全员参与原则:主要领导应确立其组织统一的信息安全保障的宗旨和政策,负责提高员工的安全意识,组织有效安全保障队伍,调动并优化配置必要的资源,协调安全管理工作与各部门工作的关系,并确保其落实、有效;信息系统所有相关人员应普遍参与信息系统的安全管理,并与相关方面协同、协调,共同保障信息系统安全;
(六)系统方法、持续改进原则:按照系统工程的要求,识别和理解信息安全保障相互关联的层面和过程,采用管理和技术结合的方法,提高实现安全保障的目标的有效性和效率;安全管理是一种动态反馈过程,贯穿整个安全管理的生存周期,随着安全需求和系统脆弱性的时空分布变化,威胁程度的提高,系统环境的变化以及对系统安全认识的深化等,应及时地将现有的安全策略、风险接受程度和保护措施进行复查、修改、调整以至提升安全管理等级,维护和持续改进信息安全管理体系的有效性;
(七)分级保护原则:涉密信息系统等级划分需按照国家关于涉密计算机信息系统等级划分指南,结合本单位实际情况进行涉密信息系统定级。按等级划分标准确定信息系统的安全保护等级,实行分级保护;对多个子系统构成的大型信息系统,确定系统的基本安全保护等级,并根据实际安全需求,分别确定各子系统的安全保护等级,实行多级安全保护;
五、涉密信息系统保密管理的思路与方法
我国的涉密信息系统实行分级保护管理制度,即根据涉密程度,对涉密信息系统按照秘密级、机密级、绝密级进行分等级实施保护。目前,国家保密局已经制定发布了国家保密标准BMBl7--2006《涉及国家秘密的信息系统分级保护技术要求》和BMB20--2007《涉及国家秘密的信息系统分级保护管理规范》,从技术和管理两个方面,详细规定了涉密信息系统建设、使用和管理的保密要求。
涉密信息系统分级保护是国家信息安全等级保护的重要部分,其核心思想是“从实际出发,综合平衡安全成本和风险,优化信息安全资源的配置,确保重点。”因此,涉密信息系统应该遵循国家保密标准规范,在分级保护的框架下,按照“规范定密,准确定级;分域分级,科学防护;风险评估,动态调整;技管并重,全面保障”的基本思路进行保密管理,具体方法为:
(一)涉密信息系统应该严格按照以系统分域定级、方案设计、工程实施、系统测评为中心环节的操作流程,积极组织开展涉密信息系统建设工作
1.涉密信息系统建设使用单位应按照信息密级、行政级别、业务类别、系统重要性和安全策略等因素划分安全域,并根据各安全域所处理信息的最高密级确定等级。
2.涉密信息系统建设使用单位应选择具有涉密信息系统集成资质单位进行承建,结合国家保密标准BMBl7—2006《涉及国家秘密的信息系统分级保护技术要求》和BMB20--2007《涉及国家秘密的信息系统分级保护管理规范》等相关标准,在风险评估的基础上,从技术和管理两个方面进行综合设计。保密工作部门应当参与方案审查论证,在系统总体安全保密性方面加强指导,严格把关。
3.涉密信息系统建设使用单位应按照BMBl8--2006《涉及国家秘密的信息系统工程监理规范》进行工程监理。在进行工程监理时,应选择具有涉密工程监理单项资质的单位或组织自身力量加强监督检查。
4.涉密信息系统在投入使用前,经过保密工作部门授权测评机构的安全保密测评和保密工作部门审批。涉密信息系统建设使用单位应按照测评机构的要求,提交测评所需的必要资料,并配合系统测评工作。
(二)涉密信息系统建设使用单位应该整合保密部门、信息化建设部门和其他相关部门力量,密切合作,各负其责,形成合力共同加强系统的保密管理工作
1.在系统定级方面,保密部门发挥准确掌握国家保密政策的优势,与信息化部门、业务工作部门一起研究确定系统和安全域所处理信息的最高密级,从而确定保护等级。
2.在方案设计方面,信息化部门利用熟悉技术的特点,按照分级保护技术要求和管理规范,组织开展分级保护方案的设计工作。保密部门应对总体方案进行监督、检查和指导,组织专家进行评审论证。
3.在工程实施方面,信息化部门应具体承担组织实施工作,并定期与保密部门对安全保密措施落实情况和工程进展情况监督、检查。4.在系统工程施工结束后,保密部门负责组织系统测评和系统审批工作,信息化部门密切配合。
5.在系统投入运行后,保密、信息化、密码、业务工作、保卫和人事等有关部门应按照“分工合作、各司其责”的原则,在满足基本管理要求的基础上,主要从人员管理、物理环境与设施管理、设备与介质管理、运行与开发管理和信息安全保密管理五个方面抓好系统应用中的日常管理,积极开展风险评估和保密监督检查,并做好系统废止阶段的善后工作。
六、涉密信息系统安全保密建议
(一)要树立起有效控制的思想。
保密的实质是什么?笔者认为保密的实质就是控制,要做到国家秘密在任何时候、任何情况下都受控。而做好控制的最有效方法就是尽一切可能缩小知悉范围,做到知悉必须以工作需要为原则。为检验控制的效果,则要做好全程登记工作,将所有知悉国家秘密的人和情况记录在案,做到可查、可追溯。
(二)要建立起一个高效的保密机制。
保密工作机制就是将保密工作各相关要素组合在一起,通过各要素之间的相互联系、相互制约、相互作用,使其向既定的保密工作目标自行运转。比如保密资格认证制度就是一个好的机制。它将军工单位承担武器装备科研生产任务与保密紧密联系起来,与单位生存发展紧密联系起来,通过开展达标活动,使保密工作按照相关标准的要求自行运转。在单位内部,将各项保密要求制定成保密检查标准,通过定期检查,量化打分,发现和改进企业保密管理的薄弱环节,同时将每位涉密人员平时的保密工作情况纳入综合考评,与其晋级、晋职、奖惩等紧密联系起来,激励每一位涉密人员自觉地做好保密工作。建立这样一个能够自行运转的系统,将从根本上解决做好保密工作的动力问题,由过去的让我做变成我要做,促使军工单位保密工作发生质的变化。
(三)要抓好保密工作三大体系建设
保密工作三大体系是指:保密组织管理体系,保密法规制度体系,保密技术防护体系。保密是一项管理工作,是需要有职能部门和专职人员开展的工作,且必须有经费的保障,建立保密组织管理体系是做好保密工作的基本条件和基本保障。保密法规制度是做好保密工作的重要基础和前提。保密法规制度体系的建立要做到各类涉密事项和任何涉密活动都有制度进行约束和控制。保密技术防护体系是做好保密工作的重要手段和措施。要将涉密区域和要害部门部位通过技术手段全面控制起来。安装必要的电视监控系统、门禁系统、区域红外报警系统等。
(四)要重视安全保密的管理工作
随着信息安全技术的发展,信息安全产品正在向智能、整合和管理方向发展,未来的涉密信息系统安全保密技术防范方案将会越来越完善。同时我们也应该注意到,如果没有强有力的管理来支持,再好的技术防范措施都会大打折扣,再好的技术防范产品也将成为摆设,因此涉密信息系统安全保密工作的重点还是在于管理,需要制定切实可行的规章制度,定期进行涉密信息系统的安全保密检查,发现问题及时整改,并严肃处理违规的责任人,从而不断强化员工的安全保密意识,使员工能够自觉遵守企业安全保密的规章制度。
七、结束语
传统的“规章制度建设”式保密管理方法已经不适应新的形势,“管理以技术为依托,技术靠管理来保障”的模式已经成新的发展趋势,因此必须按照“分级保护”和“技管并重”的原则开展涉密信息系统安全保密工作。
作者简介:
陈金文,男,工程师,武汉理工大学毕业,目前从事航宇公司PDM、VPM等涉密应用系统的实施、推广运维方面的技术工作。
联系方式:办公室 1097 手机 ***
点击咨询 