第一篇:涉密信息系統資質保密標準(大全)
涉密信息系統集成資質保密標準 適用范圍
本保密標準適用于涉密信息系統集成資質申請、審查與資質單位日常保密管理。定義
2.1 本標準所稱涉密人員,是指由于工作需要,在涉密信息系統集成崗位合法接觸、知悉和經管國家秘密事項的人員。
2.2 本標準所稱涉密載體,主要指以文字、數據、符號、圖形、圖像、聲音等方式記載國家秘密信息的紙介質、磁介質、光盤等各類物品。磁介質載體包括計算機硬盤、軟盤和錄音帶、錄像帶等。
2.3 本標準所稱信息系統是指由計算機及其相關和配套設備、設施構成的,按照一定的應用目標和規則存儲、處理、傳輸信息的系統或者網絡。
2.4 本標準所稱信息設備是指計算機及存儲介質、打印機、傳真機、復印機、掃描儀、照相機、攝像機等具有信息存儲和處理功能的設備。
保密標準
3.1 保密標準實施原則
3.1.1 積極防范,突出重點,嚴格標準,依法管理。3.1.2 業務工作誰主管,保密工作誰負責,保密責任落實到人。
3.1.3 具備健全的管理體系,保密管理與生產經營管理相融合。
3.1.4 開展保密風險評估與管理。3.1.5 建立保密管理的持續改進機制。3.2 保密組織機構及職責 3.2.1 保密工作領導小組
3.2.1.1 資質單位應當成立保密工作領導小組,為本單位保密工作領導機構。
甲級資質單位應當設置專職保密總監,保密總監為單位領導班子成員。
3.2.1.2 甲級資質單位保密工作領導小組由單位法定代表人(或主要負責人)、保密總監和有關部門主要負責人組成。組長由法定代表人(或主要負責人)擔任,副組長由保密總監擔任,保密工作領導小組各成員應當有明確的職責分工。
乙級資質單位保密工作領導小組由單位法定代表人(或主要負責人)、分管保密工作負責人和有關部門主要負責人組成。組長由法定代表人(或主要負責人)擔任,副組長由分管保密工作負責人擔任,保密工作領導小組各成員應當有明確的職責分工。
3.2.1.3 保密工作領導小組實行例會制度。例會應當組織學習黨和國家保密工作方針政策及相關保密法律法規;研究部署、總結本單位的保密工作;解決保密工作中的重要問題。例會每年不少于2次,會議應當作記錄并形成會議紀要。
3.2.1.4 法定代表人(或主要負責人)為本單位保密工作第一責任人,對本單位保密工作負全面責任,履行下列職責:
(1)保證國家相關保密法律法規在本單位貫徹落實;(2)監督檢查保密工作責任制的落實情況,解決保密工作中的重要問題;
(3)審核、簽發單位保密管理制度;
(4)為保密工作提供人力、財力、物力等條件保障。3.2.1.5 保密總監或者分管保密工作負責人對本單位保密工作負具體領導和監督責任,履行下列職責:
(1)組織制定單位保密管理制度、保密工作計劃,審定保密工作總結;
(2)監督保密工作計劃落實情況,組織保密檢查;(3)為保密管理辦公室和保密管理人員履行職責提供保障。
3.2.1.6 涉密信息系統集成業務部門負責人對本部門的保密管理負直接領導責任,履行下列職責:
(1)嚴格按照工作需要,控制業務人員在工作中知悉涉密信息的范圍和程度;
(2)組織開展保密風險評估,修訂生產管理制度,優化業務流程,制定保密工作方案,落實保密風險防控措施;
(3)監督檢查涉密信息系統集成業務管理和保密制度執行情況,督促業務人員履行保密職責;
(4)及時發現、研究解決保密管理中存在的問題。3.2.2 保密管理辦公室
3.2.2.1 資質單位應當設立保密管理辦公室,為本單位的職能部門,負責人由中層以上管理人員擔任。
甲級資質單位保密管理辦公室應當為專門機構并配備專門的保密管理人員,乙級資質單位可指定有關機構承擔保密管理辦公室職能。
3.2.2.2 保密管理辦公室負責本單位保密工作的日常管理,履行下列職責:
(1)組織落實保密工作領導小組的工作部署,提出工作建議,擬定工作計劃、總結;
(2)制定、修訂保密制度;(3)參與單位各項管理制度的制定、修訂工作;(4)審查、確定保密要害部門部位,指導、監督保密設施設備的建設、使用和維護管理;
(5)組織開展保密宣傳教育和培訓;
(6)對涉密人員履行保密職責情況進行指導監督;(7)對本單位各部門保密管理有關情況進行指導監督;(8)組織開展保密檢查,針對存在的問題提出整改意見,并督促落實;
(9)報告、配合查處泄密事件;(10)管理保密工作檔案;
(11)承辦保密資質申請、延續、年度審查、事項變更登記等工作;
(12)承辦保密工作領導小組交辦的其他任務。3.2.2.3 保密管理人員應當具備下列條件:(1)具備良好的政治素質;
(2)熟悉保密法律法規,掌握保密知識技能,具有一定的管理能力;
(3)熟悉本單位業務工作和保密工作情況;(4)通過保密行政管理部門組織的培訓和考核。3.3 保密制度
3.3.1 資質單位應當建立規范、操作性強的保密制度,并根據實際情況及時修訂完善。保密制度的具體要求應當體現在單位相關管理制度和業務工作流程中。
3.3.2 保密制度包括以下主要方面:(1)保密工作機構設置與職責;(2)保密教育培訓;(3)涉密人員管理;(4)涉密載體管理;
(5)信息系統、信息設備和保密設施設備管理;(6)涉密信息系統集成場所等保密要害部位管理;(7)涉密項目實施現場管理;(8)保密監督檢查;(9)保密工作考核與獎懲;(10)泄密事件報告與查處;(11)保密風險評估與管理;(12)資質證書使用與管理。3.4 保密風險評估與管理
3.4.1 資質單位應當定期對系統集成業務、人員、資產、場所等主要管理活動進行保密風險評估。各業務部門應當按照業務流程對保密風險進行識別、分析和評估,提出具體防控措施。
3.4.2 資質單位應當將國家保密法規和標準要求、保密風險防控措施融入到管理制度和業務工作流程中,并建立相應的監督檢查機制。
3.5 涉密人員管理
3.5.1 資質單位應當對從事涉密業務的人員進行審查,符合條件的方可將其確定為涉密人員。涉密人員應當通過保密教育培訓,并簽訂保密承諾書后方能上崗。
3.5.2 涉密人員應當保守國家秘密,嚴格遵守各項保密規章制度,并符合以下基本條件:
(1)遵紀守法,具有良好的品行,無犯罪記錄;(2)資質單位正式職工,并在其他單位無兼職;(3)社會關系清楚,本人及其配偶為中國境內公民。3.5.3 涉密人員根據所在崗位涉密情況分為核心、重要、一般三個等級,實行分類管理。涉密等級發生變化時,應當履行審批程序。
3.5.4 資質單位與涉密人員簽訂的勞動合同或補充協議,應當包括以下內容:
(1)涉密人員的權利與義務;
(2)涉密人員應當遵守的保密紀律和有關限制性規定;(3)因履行保密職責導致涉密人員利益受到損害,資質單位給予補償的規定;
(4)涉密人員因違反保密規定而被無條件調離涉密崗位或給予辭退等處罰的規定;
(5)因認真履行保密職責,資質單位給予涉密人員獎勵的規定;
(6)涉密人員應當遵守的其他有關事項。
3.5.5 資質單位應當將涉密人員基本情況和調整變動情況向所在地省、自治區、直轄市保密行政管理部門備案。
3.5.6 在崗涉密人員每年參加保密教育與保密知識、技能培訓的時間不少于10個學時。
3.5.7 資質單位應當對在崗涉密人員進行定期考核評價。
3.5.8 資質單位應當向涉密人員發放保密補貼。3.5.9 涉密人員離崗離職須經資質單位保密審查,簽訂保密承諾書,并按相關保密規定實行脫密期管理。
3.5.10 涉密人員因私出國(境)的,應當經資質單位同意,出國(境)前應當經過保密教育。擅自出境或逾期不歸的,資質單位應當及時報告保密行政管理部門。
3.5.11 涉密人員泄露國家秘密或嚴重違反保密規章制度的,應當調離涉密崗位,并追究其法律責任。
3.6 涉密載體管理
3.6.1 資質單位應當按照工作需要,嚴格控制涉密載體的接觸范圍和涉密信息的知悉程度。3.6.2 資質單位應當建立涉密載體臺帳,臺帳應當包括載體名稱、編號、密級、保密期限等信息。
3.6.3 接收、制作、交付、傳遞、保存、維修、銷毀涉密載體,應當遵守國家相關保密規定,履行簽收、登記、審批手續。
3.6.4 復制本單位產生的涉密載體,應當經單位相關部門審批;復制其他涉密載體,應當經涉密載體制發機關、單位或所在地省、自治區、直轄市保密行政管理部門批準。涉密載體復制場所應當符合保密要求,采取可靠的保密措施;不具備復制條件的,應當到保密行政管理部門審查批準的定點單位復制。
3.6.5 機密、秘密級涉密載體應當存放在密碼文件柜中,絕密級涉密載體應當存放在密碼保險柜中。存放場所應當符合保密要求。
3.6.6 未經批準,個人不得私自留存涉密載體和涉密信息資料。確因工作需要保存的,應當建立個人臺帳,內容包括載體密級、留存原因、審批部門或人員、留存期限等內容。
3.6.7 攜帶涉密載體外出,應當履行審批手續,采取可靠的保密措施,并確保涉密載體始終處于攜帶人的有效控制下。
3.6.8 資質單位應當定期對涉密載體進行清查。需要銷毀的涉密載體應當履行清點、登記、審批手續,送交保密行政管理部門設立的銷毀工作機構或者保密行政管理部門指定的單位銷毀;確因工作需要,自行銷毀少量秘密載體的,應當使用符合國家保密標準的銷毀設備和方法。
3.7 信息系統與信息設備管理
3.7.1 涉密信息系統的規劃、建設、使用等應當符合國家有關保密規定。涉密信息系統應當按照國家保密規定和標準,制定分級保護方案,采取身份鑒別、訪問控制、安全審計、邊界安全防護、信息流轉控制等安全保密防護措施。
3.7.2 涉密信息設備應當符合國家保密標準,有密級、編號、責任人標識,并建立管理臺帳。
3.7.3 涉密計算機、移動存儲介質應當按照存儲、處理信息的最高密級進行管理與防護。
3.7.4 涉密信息設備的使用應當符合相關保密規定。禁止涉密信息設備接入互聯網及其他公共信息網絡;禁止涉密信息設備接入內部非涉密信息系統;禁止使用非涉密信息設備和個人設備存儲、處理涉密信息;禁止超越計算機、移動存儲介質的涉密等級存儲、處理涉密信息;禁止在涉密計算機和非涉密計算機之間交叉使用移動存儲介質;禁止在涉密計算機與非涉密計算機之間共用打印機、掃描儀等信息設備。3.7.5 涉密信息設備應當采取身份鑒別、訪問控制、違規外聯監控、安全審計、移動存儲介質管控等安全保密措施,并及時升級病毒和惡意代碼樣本庫,定期進行病毒和惡意代碼查殺。
3.7.6 采購安全保密產品應當選用經過國家保密行政管理部門授權機構檢測、符合國家保密標準要求的產品,計算機病毒防護產品應當選用公安機關批準的國產產品,密碼產品應當選用國家密碼管理部門批準的產品。
3.7.7 涉密信息打印、刻錄等輸出應當相對集中、有效控制,并采取相應審計措施。
3.7.8 涉密計算機及辦公自動化設備應當拆除具有無線聯網功能的硬件模塊,禁止使用具有無線互聯功能或配備無線鍵盤、無線鼠標等無線外圍裝置的信息設備處理國家秘密。
3.7.9 涉密信息設備的維修,應當在本單位內部進行,并指定專人全程監督,嚴禁維修人員讀取或復制涉密信息。確需送外維修的,須拆除涉密信息存儲部件。涉密存儲介質的數據恢復應當到國家保密行政管理部門批準的單位進行。
3.7.10 涉密信息設備改作非涉密信息設備使用或淘汰處理時,應當將涉密信息存儲部件拆除。淘汰處理涉密存儲介質和涉密信息存儲部件,應當按照國家秘密載體銷毀有關規定執行。
3.7.11 涉密計算機及移動存儲介質攜帶外出應履行審批手續,帶出前和帶回后,均應當進行保密檢查。
3.8 涉密辦公場所保密管理
3.8.1 資質單位的涉密辦公場所應當固定在相對獨立的樓層或區域。
3.8.2 涉密辦公場所應當安裝門禁、視頻監控、防盜報警等安防系統,實行封閉式管理。監控機房應當安排人員值守。
3.8.3 建立視頻監控的管理檢查機制,資質單位安全保衛部門應當定期對視頻監控信息進行回看檢查,保密管理辦公室應當對執行情況進行監督。視頻監控信息保存時間不少于3個月。
3.8.4 門禁系統、視頻監控系統和防盜報警系統等應當定期檢查維護,確保系統處于有效工作狀態。
3.8.5 涉密辦公場所應當明確允許進入的人員范圍,其他人員進入,應當履行審批、登記手續,并由接待人員全程陪同。
3.8.6 未經批準,不得將具有錄音、錄像、拍照、存儲、通信功能的設備帶入涉密辦公場所。
3.9 涉密信息系統集成項目管理 3.9.1 資質單位應當按照資質等級、類別承接涉密信息系統集成業務。不得將資質證書出借或轉讓。不得將承接的涉密信息系統集成業務分包或轉包給不具備相應資質的單位。
3.9.2 資質單位與其他單位合作開展涉密信息系統集成業務的,合作單位應當具有相應涉密信息系統集成資質,且應當取得委托方書面同意。
3.9.3 資質單位承接涉密信息系統集成項目的,應當在簽訂合同后,向項目所在地省、自治區、直轄市保密行政管理部門備案,接受保密監督管理。
涉密信息系統集成項目完成后,資質單位應當向項目所在地省、自治區、直轄市保密行政管理部門書面報告項目建設情況。
3.9.4 資質單位應當對涉密信息系統集成項目實行全過程管理,明確崗位責任,落實各環節安全保密措施,確保管理全程可控可查。
3.9.5 資質單位應當按照涉密信息系統集成項目的密級,對用戶需求文檔、設計方案、圖紙、程序編碼等技術資料和項目合同書、保密協議、驗收報告等業務資料是否屬于國家秘密或者屬于何種密級進行確定。屬于國家秘密的,應當標明密級,登記編號,明確知悉范圍。3.9.6 涉密信息系統集成項目實施期間,項目負責人對項目的安全保密負總體責任,應當按照工作需要,嚴格控制涉密載體的接觸范圍和涉密信息的知悉程度。
3.9.7 資質單位應當對參與涉密信息系統集成項目的管理人員、技術人員和工程施工人員進行登記備案,對其分工作出詳細記錄。
3.9.8 涉密信息系統集成項目實施驗收后,資質單位應當將涉密技術資料全部移交委托方,不得私自留存或擅自處理。需要保留的業務資料,應當嚴格按照有關保密規定進行管理。
3.9.9 涉密信息系統集成項目的設計方案、研發成果及有關建設情況,資質單位及其工作人員不得擅自以任何形式公開發表、交流或轉讓。
3.9.10 資質單位在與境外人員或機構進行交流合作時,應當嚴格遵守有關保密規定,交流材料不得涉及涉密信息系統集成項目的相關情況。
3.9.11 資質單位利用涉密信息系統集成項目申請專利,應當嚴格遵守有關保密規定。
秘密級和機密級的項目,應當按照法定程序審批后申請保密專利,符合專利申請條件的,應當按照有關規定辦理解密手續;絕密級的項目,在保密期限內不得申請專利或者保密專利。
3.10 涉密項目實施現場管理
3.10.1 資質單位進入委托方現場進行涉密信息系統集成項目開發、工程施工、運行維護等應當嚴格執行現場工作制度和流程。
3.10.2 從事現場項目開發、工程施工、運行維護的人員應當是資質單位確定的涉密人員。
3.10.3 現場項目開發、工程施工、運行維護應當在委托方的監督下進行。未經委托方檢查和書面批準,不得將任何電子設備帶入涉密項目現場。
3.10.4 資質單位應當對現場項目開發、工程施工、運行維護的工作情況進行詳細記錄并存檔備查。
3.11 宣傳報道管理
3.11.1 資質單位通過媒體、互聯網等渠道對外發布信息,應當經資質單位相關部門審查批準。
3.11.2 資質單位涉及涉密信息系統集成項目的宣傳報道、展覽、公開發表著作和論文等,應當經委托方批準。
3.12 保密檢查
3.12.1 資質單位應當定期對保密管理制度落實情況、技術防范措施落實情況等進行檢查,及時發現和消除隱患。
3.12.2 保密檢查應當進行書面記錄,內容包括:檢查時間、檢查人、檢查對象、檢查事項、存在問題、整改措施及落實情況等。
3.13 泄密事件處理
3.13.1 資質單位發生泄密事件,應當立即采取補救措施,并在發現后24小時內書面向所在地保密行政管理部門報告。內容包括:
(1)所泄露信息的內容、密級、數量及其載體形式;(2)泄密事件的發現經過;
(3)泄密事件發生的時間、地點和經過;
(4)泄密責任人的基本情況;
(5)泄密事件造成或可能造成的危害;(6)已采取或擬采取的補救措施。
3.13.2 資質單位應當配合保密行政管理部門對泄密事件進行查處,不得隱瞞情況或包庇當事人。
3.14 保密工作考核與獎懲
3.14.1 資質單位應當將員工遵守保密制度、履行保密職責的情況納入績效考核內容,考核結果作為發放保密補貼和評選先進的依據。
3.14.2 資質單位應當對嚴格執行保密規章的集體和個人給予表彰獎勵。
3.14.3 資質單位應當對違反保密法規制度的有關責任人給予相應處罰;泄露國家秘密的,應當按照有關規定作出處理。
3.15 保密工作經費
3.15.1 保密工作經費分為保密管理經費和保密專項經費。保密管理經費用于單位保密宣傳教育培訓、發放保密補貼、獎勵保密先進、保密檢查等日常保密管理工作;專項經費用于保密設施設備的建設、配備、維護等。
3.15.2 甲級資質單位保密管理經費,年度標準不少于5萬元;乙級資質單位保密管理經費,年度標準不少于3萬元。保密管理經費應當單獨列入單位年度財務預算,專款專用,保證開支。
3.15.3 保密專項經費應當按實際需要予以保障。3.16 保密工作檔案
3.16.1 資質單位應當建立保密工作檔案,記錄日常保密工作情況。
3.16.2保密工作檔案的內容應當真實、完整,全面反映保密工作情況,并能夠與相關工作檔案相互印證。
3.17 本保密標準未明確涉密事項的保密管理,須嚴格執行國家有關保密規定。
第二篇:涉密信息系統集成資質保密標準
涉密信息系統集成資質保密標準
(2015年6月2日發布的新版本)
適用范圍 本保密標準適用于涉密信息系統集成資質申請、審查與資質單位日常保密管理。
定義
2.1 本標準所稱涉密人員,是指由于工作需要,在涉密信息系統集成崗位合法接觸、知悉和經管國家秘密事項的人員。
2.2 本標準所稱涉密載體,主要指以文字、數據、符號、圖形、圖像、聲音等方式記載國家秘密信息的紙介質、磁介質、光盤等各類物品。磁介質載體包括計算機硬盤、軟盤和錄音帶、錄像帶等。
2.3 本標準所稱信息系統是指由計算機及其相關和配套設備、設施構成的,按照一定的應用目標和規則存儲、處理、傳輸信息的系統或者網絡。
2.4 本標準所稱信息設備是指計算機及存儲介質、打印機、傳真機、復印機、掃描儀、照相機、攝像機等具有信息存儲和處理功能的設備。保密標準
3.3.2 保密制度包括以下主要方面:
(1)保密工作機構設置與職責;
(2)保密教育培訓;
(3)涉密人員管理;
(4)涉密載體管理;
(5)信息系統、信息設備和保密設施設備管理;
(6)涉密信息系統集成場所等保密要害部位管理;
(7)涉密項目實施現場管理;
(8)保密監督檢查;
(9)保密工作考核與獎懲;
(10)泄密事件報告與查處;
(11)保密風險評估與管理;
(12)資質證書使用與管理。
3.4 保密風險評估與管理
3.4.1 資質單位應當定期對系統集成業務、人員、資產、場所等主要管理活動進行保密風險評估。各業務部門應當按照業務流程對保密風險進行識別、分析和評估,提出具體防控措施。
3.4.2 資質單位應當將國家保密法規和標準要求、保密風險防控措施融入到管理制度和業務工作流程中,并建立相應的監督檢查機制。
3.5 涉密人員管理
3.5.1 資質單位應當對從事涉密業務的人員進行審查,符合條件的方可將其 確定為涉密人員。涉密人員應當通過保密教育培訓,并簽訂保密承諾書后方能上
崗。
3.5.2 涉密人員應當保守國家秘密,嚴格遵守各項保密規章制度,并符合以下基本條件:
(1)遵紀守法,具有良好的品行,無犯罪記錄;
(2)資質單位正式職工,并在其他單位無兼職;
(3)社會關系清楚,本人及其配偶為中國境內公民。
3.5.3 涉密人員根據所在崗位涉密情況分為核心、重要、一般三個等級,實行分類管理。涉密等級發生變化時,應當履行審批程序。
3.5.4 資質單位與涉密人員簽訂的勞動合同或補充協議,應當包括以下內容:
(1)涉密人員的權利與義務;
(2)涉密人員應當遵守的保密紀律和有關限制性規定;
(3)因履行保密職責導致涉密人員利益受到損害,資質單位給予補償的規定;
(4)涉密人員因違反保密規定而被無條件調離涉密崗位或給予辭退等處罰的規定;
(5)因認真履行保密職責,資質單位給予涉密人員獎勵的規定;
(6)涉密人員應當遵守的其他有關事項。
3.5.5 資質單位應當將涉密人員基本情況和調整變動情況向所在地省、自治
區、直轄市保密行政管理部門備案。
3.5.6 在崗涉密人員每年參加保密教育與保密知識、技能培訓的時間不少于10個學時。
3.5.7 資質單位應當對在崗涉密人員進行定期考核評價。
3.5.8 資質單位應當向涉密人員發放保密補貼。
3.5.9 涉密人員離崗離職須經資質單位保密審查,簽訂保密承諾書,并按相關保密規定實行脫密期管理。
3.5.10
涉密人員因私出國(境)的,應當經資質單位同意,出國(境)前應當經過保密教育。擅自出境或逾期不歸的,資質單位應當及時報告保密行政管理部門。
3.5.11 涉密人員泄露國家秘密或嚴重違反保密規章制度的,應當調離涉密崗位,并追究其法律責任。3.6 涉密載體管理
3.6.1 資質單位應當按照工作需要,嚴格控制涉密載體的接觸范圍和涉密信息的知悉程度。
3.6.2 資質單位應當建立涉密載體臺帳,臺帳應當包括載體名稱、編號、密級、保密期限等信息。
3.6.3 接收、制作、交付、傳遞、保存、維修、銷毀涉密載體,應當遵守國家相關保密規定,履行簽收、登記、審批手續。
3.6.4 復制本單位產生的涉密載體,應當經單位相關部門審批;復制其他涉密載體,應當經涉密載體制發機關、單位或所在地省、自治區、直轄市保密行政管理部門批準。涉密載體復制場所應當符合保密要求,采取可靠的保密措施;不具備復制條件的,應當到保密行政管理部門審查批準的定點單位復制。
3.6.5 機密、秘密級涉密載體應當存放在密碼文件柜中,絕密級涉密載體應當存放在密碼保險柜中。存放場所應當符合保密要求。
3.6.6 未經批準,個人不得私自留存涉密載體和涉密信息資料。確因工作需要保存的,應當建立個人臺帳,內容包括載體密級、留存原因、審批部門或人員、留存期限等內容。
3.6.7 攜帶涉密載體外出,應當履行審批手續,采取可靠的保密措施,并確保涉密載體始終處于攜帶人的有效控制下。
3.6.8 資質單位應當定期對涉密載體進行清查。需要銷毀的涉密載體應當履行清點、登記、審批手續,送交保密行政管理部門設立的銷毀工作機構或者保密行政管理部門指定的單位銷毀;確因工作需要,自行銷毀少量秘密載體的,應當使用符合國家保密標準的銷毀設備和方法。
3.7 信息系統與信息設備管理
3.7.1 涉密信息系統的規劃、建設、使用等應當符合國家有關保密規定。涉密信息系統應當按照國家保密規定和標準,制定分級保護方案,采取身份鑒別、訪問控制、安全審計、邊界安全防護、信息流轉控制等安全保密防護措施。
3.7.2 涉密信息設備應當符合國家保密標準,有密級、編號、責任人標識,并建立管理臺帳。
3.7.3 涉密計算機、移動存儲介質應當按照存儲、處理信息的最高密級進行管理與防護。3.7.4 涉密信息設備的使用應當符合相關保密規定。禁止涉密信息設備接入互聯網及其他公共信息網絡;禁止涉密信息設備接入內部非涉密信息系統;禁止使用非涉密信息設備和個人設備存儲、處理涉密信息;禁止超越計算機、移動存儲介質的涉密等級存儲、處理涉密信息;禁止在涉密計算機和非涉密計算機之間交叉使用移動存儲介質;禁止在涉密計算機與非涉密計算機之間共用打印機、掃描儀等信息設備。
3.7.5 涉密信息設備應當采取身份鑒別、訪問控制、違規外聯監控、安全審計、移動存儲介質管控等安全保密措施,并及時升級病毒和惡意代碼樣本庫,定期進行病毒和惡意代碼查殺。
3.7.6 采購安全保密產品應當選用經過國家保密行政管理部門授權機構檢測、符合國家保密標準要求的產品,計算機病毒防護產品應當選用公安機關批準的國產產品,密碼產品應當選用國家密碼管理部門批準的產品。
3.7.7 涉密信息打印、刻錄等輸出應當相對集中、有效控制,并采取相應審計措施。
3.7.8 涉密計算機及辦公自動化設備應當拆除具有無線聯網功能的硬件模塊,禁止使用具有無線互聯功能或配備無線鍵盤、無線鼠標等無線外圍裝置的信息設備處理國家秘密。
3.7.9 涉密信息設備的維修,應當在本單位內部進行,并指定專人全程監督,嚴禁維修人員讀取或復制涉密信息。確需送外維修的,須拆除涉密信息存儲部件。涉密存儲介質的數據恢復應當到國家保密行政管理部門批準的單位進行。
3.7.10 涉密信息設備改作非涉密信息設備使用或淘汰處理時,應當將涉密信息存儲部件拆除。淘汰處理涉密存儲介質和涉密信息存儲部件,應當按照國家秘密載體銷毀有關規定執行。
3.7.11 涉密計算機及移動存儲介質攜帶外出應履行審批手續,帶出前和帶回后,均應當進行保密檢查。
3.8 涉密辦公場所保密管理
3.8.1 資質單位的涉密辦公場所應當固定在相對獨立的樓層或區域。
3.8.2 涉密辦公場所應當安裝門禁、視頻監控、防盜報警等安防系統,實行封閉式管理。監控機房應當安排人員值守。3.8.3 建立視頻監控的管理檢查機制,資質單位安全保衛部門應當定期對視頻監控信息進行回看檢查,保密管理辦公室應當對執行情況進行監督。視頻監控信息保存時間不少于3個月。
3.8.4 門禁系統、視頻監控系統和防盜報警系統等應當定期檢查維護,確保系統處于有效工作狀態。
3.8.5 涉密辦公場所應當明確允許進入的人員范圍,其他人員進入,應當履行審批、登記手續,并由接待人員全程陪同。
3.8.6 未經批準,不得將具有錄音、錄像、拍照、存儲、通信功能的設備帶入涉密辦公場所。
3.9 涉密信息系統集成項目管理
3.9.1 資質單位應當按照資質等級、類別承接涉密信息系統集成業務。不得將資質證書出借或轉讓。不得將承接的涉密信息系統集成業務分包或轉包給不具備相應資質的單位。
3.9.2 資質單位與其他單位合作開展涉密信息系統集成業務的,合作單位應當具有相應涉密信息系統集成資質,且應當取得委托方書面同意。
3.9.3 資質單位承接涉密信息系統集成項目的,應當在簽訂合同后,向項目所在地省、自治區、直轄市保密行政管理部門備案,接受保密監督管理。涉密信息系統集成項目完成后,資質單位應當向項目所在地省、自治區、直轄市保密行政管理部門書面報告項目建設情況。
3.9.4 資質單位應當對涉密信息系統集成項目實行全過程管理,明確崗位責任,落實各環節安全保密措施,確保管理全程可控可查。
3.9.5 資質單位應當按照涉密信息系統集成項目的密級,對用戶需求文檔、設計方案、圖紙、程序編碼等技術資料和項目合同書、保密協議、驗收報告等業務資料是否屬于國家秘密或者屬于何種密級進行確定。屬于國家秘密的,應當標明密級,登記編號,明確知悉范圍。
3.9.6 涉密信息系統集成項目實施期間,項目負責人對項目的安全保密負總體責任,應當按照工作需要,嚴格控制涉密載體的接觸范圍和涉密信息的知悉程度。
3.9.7 資質單位應當對參與涉密信息系統集成項目的管理人員、技術人員和工程施工人員進行登記備案,對其分工作出詳細記錄。3.9.8 涉密信息系統集成項目實施驗收后,資質單位應當將涉密技術資料全部移交委托方,不得私自留存或擅自處理。需要保留的業務資料,應當嚴格按照有關保密規定進行管理。
3.9.9 涉密信息系統集成項目的設計方案、研發成果及有關建設情況,資質單位及其工作人員不得擅自以任何形式公開發表、交流或轉讓。
3.9.10 資質單位在與境外人員或機構進行交流合作時,應當嚴格遵守有關保密規定,交流材料不得涉及涉密信息系統集成項目的相關情況。
3.9.11 資質單位利用涉密信息系統集成項目申請專利,應當嚴格遵守有關保密規定。秘密級和機密級的項目,應當按照法定程序審批后申請保密專利,符合專利申請條件的,應當按照有關規定辦理解密手續;絕密級的項目,在保密期限內不得申請專利或者保密專利。
3.10 涉密項目實施現場管理
3.10.1 資質單位進入委托方現場進行涉密信息系統集成項目開發、工程施工、運行維護等應當嚴格執行現場工作制度和流程。
3.10.2 從事現場項目開發、工程施工、運行維護的人員應當是資質單位確定的涉密人員。
3.10.3 現場項目開發、工程施工、運行維護應當在委托方的監督下進行。未經委托方檢查和書面批準,不得將任何電子設備帶入涉密項目現場。
3.10.4 資質單位應當對現場項目開發、工程施工、運行維護的工作情況進行詳細記錄并存檔備查。
3.11 宣傳報道管理
3.11.1 資質單位通過媒體、互聯網等渠道對外發布信息,應當經資質單位相關部門審查批準。
3.11.2 資質單位涉及涉密信息系統集成項目的宣傳報道、展覽、公開發表著作和論文等,應當經委托方批準。
3.12 保密檢查
3.12.1 資質單位應當定期對保密管理制度落實情況、技術防范措施落實情況等進行檢查,及時發現和消除隱患。3.12.2 保密檢查應當進行書面記錄,內容包括:檢查時間、檢查人、檢查對象、檢查事項、存在問題、整改措施及落實情況等。
3.13 泄密事件處理
3.13.1 資質單位發生泄密事件,應當立即采取補救措施,并在發現后24小時內書面向所在地保密行政管理部門報告。內容包括:
(1)所泄露信息的內容、密級、數量及其載體形式;
(2)泄密事件的發現經過;
(3)泄密事件發生的時間、地點和經過;
(4)泄密責任人的基本情況;
(5)泄密事件造成或可能造成的危害;
(6)已采取或擬采取的補救措施。
3.13.2 資質單位應當配合保密行政管理部門對泄密事件進行查處,不得隱瞞情況或包庇當事人。
3.14 保密工作考核與獎懲
3.14.1 資質單位應當將員工遵守保密制度、履行保密職責的情況納入績效考核內容,考核結果作為發放保密補貼和評選先進的依據。
3.14.2 資質單位應當對嚴格執行保密規章的集體和個人給予表彰獎勵。
3.14.3 資質單位應當對違反保密法規制度的有關責任人給予相應處罰;泄露國家秘密的,應當按照有關規定作出處理。
3.15 保密工作經費
3.15.1 保密工作經費分為保密管理經費和保密專項經費。保密管理經費用于單位保密宣傳教育培訓、發放保密補貼、獎勵保密先進、保密檢查等日常保密管理工作;專項經費用于保密設施設備的建設、配備、維護等。
3.15.2 甲級資質單位保密管理經費,標準不少于5萬元;乙級資質單位保密管理經費,標準不少于3萬元。保密管理經費應當單獨列入單位財務預算,專款專用,保證開支。
3.15.3 保密專項經費應當按實際需要予以保障。
3.16 保密工作檔案
3.16.1 資質單位應當建立保密工作檔案,記錄日常保密工作情況。3.16.2保密工作檔案的內容應當真實、完整,全面反映保密工作情況,并能夠與相關工作檔案相互印證。
3.17 本保密標準未明確涉密事項的保密管理,須嚴格執行國家有關保密規定。
第三篇:涉密信息系統保密管理探討(模版)
涉密信息系統安全保密管理探討
摘要:本文通過分析信息化條件下涉密信息系統保密管理與技術的關系,結合目前涉密信息系統保密管理的現狀與問題,根據涉密信息分級保護標準規范要求,從宏觀層面初步探討提出了當前形勢下涉密信息系統保密管理的原則、基本思路與方法,并提出了相應的建議。
關鍵詞:涉密信息系統 分級保護 信息系統建設生命周期
一、引言
涉密計算機信息系統(以下簡稱涉密信息系統)是指涉及國家秘密和黨政機關工作秘密的計算機信息系統,主要包括黨政軍領導機關用于處理涉密信息的單機和用于內部辦公自動化或涉密信息交換的信息系統;也包括企事業單位涉及國家秘密的信息系統。當前,隨著我國黨政軍領導機關和國防科研軍工單位信息化進程的全面加快,保密管理的對象、領域、方式和環境發生了深刻變化,在知密范圍、涉密行為以及涉密人員的界定和管控等方面,出現了許多新的問題,傳統的保密管理措施已經不能適應新形勢下保密工作發展的要求,由于涉密單位的業務特殊性,如何對涉密信息系統進行科學有效的保密管理,已經成為涉密信息系統建設使用單位急需解決的問題,迫切需要新的管理思路與辦法。
二、涉密信息系統保密管理與技術的關系
在網絡環境下,國家秘密的存儲、處理和流轉方式發生了根本性變化,涉密電子文件易復制、易傳播的特點,使得泄密渠道增多,一旦發生泄密情況,則擴散速度快,涉及范圍廣,且不易被發覺,危害特別大。面對信息化條件下保密工作新形勢,傳統的紙質涉密文件的保密管理措施已經不能完全適應新形勢下保密工作發展的要求,涉密信息系統的保密管理亟需提升技術支撐能力。在當前的形勢下,可以說技術與管理是涉密信息系統安全保障的兩個支撐要素,二者相輔相成,缺一不可:即使非常嚴密的管理,沒有技術手段支撐,也保證不了安全;無論多么先進保密技術,沒有管理措施保障,也不能發揮應有的作用。但在具備了一定技術手段的前提下,管理則成為決定因素。因此,各涉密單位應當根據涉密信息系統自身的特點,制定出具有針對性和可操作性的管理措施,并嚴格執行。
三、涉密信息系統保密管理的現狀與問題
隨著我國綜合國力不斷增強和國際戰略地位顯著提高,我國已成為各種情報竊密的重點目標,境內外敵對勢力和國外情報機構加緊對我實施全方位的信息監測和情報戰略,竊密活動十分猖獗,各級黨政軍機關、國防軍工科研生產單位作為國家秘密的主要生成區、密集區,更是成為敵對勢力竊密的重點對象。但目前我國涉密信息系統建設使用單位保密管理水平比較低,與形勢的發展很不適應,急需進一步加強。就拿航宇公司為例,該公司先后建立的涉密應用系統有:OA系統,CAPP系統,ERP系統,檔案管理系統,PDM系統等,這些系統在建設、規劃和保密管理中存在的問題主要表現在以下幾個方面:
(一)涉密信息系統定密的隨意性、不準確問題
目前該公司很多涉密信息系統定密比較隨意,不準確,界定不清楚,甚至很多涉密人員都不清楚自己管理的應用系統的密級別。究其原因主要是沒有嚴格確定定密責任,缺乏專業定密人員,定密依據不夠明確和細化,定密程序不規范等。
(二)涉密信息系統安全保密工作 “重技術、輕管理”的現象比較突出
目前公司很多涉密信息系統的安全保密方案只注重安全保密技術建設,過于依賴技術來實現保密要求,而忽略保密管理的重要性。由于缺乏有針對性的保密管理措施進行有機整合,所有的安全保密措施只是產品的簡單堆砌,使得整個安全保密方案先天性不足。眾所周知,如果沒有強有力的管理來支持,再好的技術防范措施都會大打折扣,再好的技術防范產品也將成為擺設,因此涉密信息系統安全保密工作的重點還是在于管理。
(三)涉密信息系統建設生命周期“重建設、輕監管”
通常情況下,我們將信息系統建設生命周期(SDLC)劃分為五個階段:規劃需求階段、設計開發階段、實施階段、運行維護階段、廢棄階段。也就是說,系統是不斷變化的,安全保密工作也應隨之發生變化,各個階段安全保密要求不同,每個階段都應制定相應的保密制度,并落實執行、監管。由于公司很多應用項目都是和第三方公司合作,而這些公司可能存在著對系統建設生命周期各階段的保密標準的具體要求把握不準的情況,使得工程實施各階段沒有嚴格執行保密要求或者與安全保密建設不同步情況時有發生,而這一塊我們又缺乏最起碼的監管手段,從而給系統增加了安全隱患。舉個例子,在涉密信息系統經過保密審批投入運行后,由于一般都是由系統建設使用單位的信息化部門在負責日常的運行維護。但信息化部門并不清楚保密方面的要求,而保密部門又屬于行政部門,不熟悉系統業務應用情況,只能制定一些原則性管理規章制度,無法對系統進行有效的保密監管,不能及時發現系統的違規行為和泄密隱患。
(四)涉密信息系統安全保密工作 “重制度、輕執行”的現象比較突出
航宇公司在涉密信息系統安全保密工作上制定了大量的制度、規范,并且有專門的保密網站進行宣貫,但由于保密工作的長期性和繁瑣性不可避免地對日常工作造成影響,而我們某些員工認為保密工作對其日常工作造成居多不便,從而產生抵觸情緒,進而對保密制度進行抵制,或者“打折處理,表面執行”,造成安全保密制度真正落實執行的少,讓很多制度流于形式,流于紙面。另外,我們制定保密制度還存在一個錯誤觀念,就是:制定保密制度是為了應付保密檢查,至于落實不落實,執行不執行沒有多大關系。所以,要堅決克服為了制定制度而制定制度的錯誤觀念。制定制度不是目的,通過制定安全保密制度,并堅決落實執行來加強軍工單位保密管理,保證國家秘密安全才是制定制度的根本目的。
四、涉密信息系統安全保密管理原則
(一)基于安全需求、適度安全的原則:由于信息泄露、濫用、非法訪問或非法修改而造成的危險和損害相適應的安全。沒有絕對安全的信息系統(網絡),任何安全措施都是有限度的。關鍵在于“實事求是”、“因地制宜”地去確定安全措施的“度”,即根據信息系統因缺乏安全性造成損害后果的嚴重程度和實際需求來決定采取什么樣的安全措施。組織機構應根據其信息系統擔負的使命,積累的信息資產的重要性,可能受到的威脅及面臨的風險分析安全需求,按照信息系統等級保護要求確定相應的信息系統安全保護等級,遵從相應等級的規范要求,從全局上恰當地平衡安全投入與效果;
(二)最小化授權以及分權和授權相結合原則:涉密信息系統的建設規模要最小化,非工作所必需的單位和崗位,不得建設可登陸涉密信息系統的終端;其次,涉密信息系統中涉密信息的訪問權限要最小化,非工作必需知悉的人員,不得具有關涉密信息的訪問權限。分權和授權原則是指對特定職能或責任領域的管理功能實施分離、獨立審計等實行分權,避免權力過分集中所帶來的隱患,以減小未授權的修改或濫用系統資源的機會。任何實體(如用戶、管理員、進程、應用或系統)僅享有該實體需要完成其任務所必須的權限,不應享有任何多余權限;
(三)同步建設、嚴格把關的原則:涉密信息系統的建設必須要與安全保密設施的建設同步規劃、同步實施、同步發展。要對涉密信息系統建設的全過程(各個環節)進行保密審查、審批、把關。要防止并糾正“先建設,后防護,重使用,輕安全”的傾向,建立健全涉密信息系統使用審批制度。不經過保密部門的審批和論證,信息系統不得處理國家秘密信息。
(四)注重管理的原則:涉密信息系統的安全保密三分靠技術,七分靠管理。加強管理可以彌補技術上的不足;而放棄管理則再好的技術也不安全。采用管理與技術相結合,管理科學性和技術前瞻性結合的方法,保障信息系統的安全性達到所要求的目標。信息安全管理工作主要體現為管理行為,應保證信息系統安全管理主體合法、管理行為合法、管理內容合法、管理程序合法。對安全事件的處理,應由授權者適時發布準確一致的有關信息,避免帶來不良的影響;
(五)主要領導負責、全員參與原則:主要領導應確立其組織統一的信息安全保障的宗旨和政策,負責提高員工的安全意識,組織有效安全保障隊伍,調動并優化配置必要的資源,協調安全管理工作與各部門工作的關系,并確保其落實、有效;信息系統所有相關人員應普遍參與信息系統的安全管理,并與相關方面協同、協調,共同保障信息系統安全;
(六)系統方法、持續改進原則:按照系統工程的要求,識別和理解信息安全保障相互關聯的層面和過程,采用管理和技術結合的方法,提高實現安全保障的目標的有效性和效率;安全管理是一種動態反饋過程,貫穿整個安全管理的生存周期,隨著安全需求和系統脆弱性的時空分布變化,威脅程度的提高,系統環境的變化以及對系統安全認識的深化等,應及時地將現有的安全策略、風險接受程度和保護措施進行復查、修改、調整以至提升安全管理等級,維護和持續改進信息安全管理體系的有效性;
(七)分級保護原則:涉密信息系統等級劃分需按照國家關于涉密計算機信息系統等級劃分指南,結合本單位實際情況進行涉密信息系統定級。按等級劃分標準確定信息系統的安全保護等級,實行分級保護;對多個子系統構成的大型信息系統,確定系統的基本安全保護等級,并根據實際安全需求,分別確定各子系統的安全保護等級,實行多級安全保護;
五、涉密信息系統保密管理的思路與方法
我國的涉密信息系統實行分級保護管理制度,即根據涉密程度,對涉密信息系統按照秘密級、機密級、絕密級進行分等級實施保護。目前,國家保密局已經制定發布了國家保密標準BMBl7--2006《涉及國家秘密的信息系統分級保護技術要求》和BMB20--2007《涉及國家秘密的信息系統分級保護管理規范》,從技術和管理兩個方面,詳細規定了涉密信息系統建設、使用和管理的保密要求。
涉密信息系統分級保護是國家信息安全等級保護的重要部分,其核心思想是“從實際出發,綜合平衡安全成本和風險,優化信息安全資源的配置,確保重點。”因此,涉密信息系統應該遵循國家保密標準規范,在分級保護的框架下,按照“規范定密,準確定級;分域分級,科學防護;風險評估,動態調整;技管并重,全面保障”的基本思路進行保密管理,具體方法為:
(一)涉密信息系統應該嚴格按照以系統分域定級、方案設計、工程實施、系統測評為中心環節的操作流程,積極組織開展涉密信息系統建設工作
1.涉密信息系統建設使用單位應按照信息密級、行政級別、業務類別、系統重要性和安全策略等因素劃分安全域,并根據各安全域所處理信息的最高密級確定等級。
2.涉密信息系統建設使用單位應選擇具有涉密信息系統集成資質單位進行承建,結合國家保密標準BMBl7—2006《涉及國家秘密的信息系統分級保護技術要求》和BMB20--2007《涉及國家秘密的信息系統分級保護管理規范》等相關標準,在風險評估的基礎上,從技術和管理兩個方面進行綜合設計。保密工作部門應當參與方案審查論證,在系統總體安全保密性方面加強指導,嚴格把關。
3.涉密信息系統建設使用單位應按照BMBl8--2006《涉及國家秘密的信息系統工程監理規范》進行工程監理。在進行工程監理時,應選擇具有涉密工程監理單項資質的單位或組織自身力量加強監督檢查。
4.涉密信息系統在投入使用前,經過保密工作部門授權測評機構的安全保密測評和保密工作部門審批。涉密信息系統建設使用單位應按照測評機構的要求,提交測評所需的必要資料,并配合系統測評工作。
(二)涉密信息系統建設使用單位應該整合保密部門、信息化建設部門和其他相關部門力量,密切合作,各負其責,形成合力共同加強系統的保密管理工作
1.在系統定級方面,保密部門發揮準確掌握國家保密政策的優勢,與信息化部門、業務工作部門一起研究確定系統和安全域所處理信息的最高密級,從而確定保護等級。
2.在方案設計方面,信息化部門利用熟悉技術的特點,按照分級保護技術要求和管理規范,組織開展分級保護方案的設計工作。保密部門應對總體方案進行監督、檢查和指導,組織專家進行評審論證。
3.在工程實施方面,信息化部門應具體承擔組織實施工作,并定期與保密部門對安全保密措施落實情況和工程進展情況監督、檢查。4.在系統工程施工結束后,保密部門負責組織系統測評和系統審批工作,信息化部門密切配合。
5.在系統投入運行后,保密、信息化、密碼、業務工作、保衛和人事等有關部門應按照“分工合作、各司其責”的原則,在滿足基本管理要求的基礎上,主要從人員管理、物理環境與設施管理、設備與介質管理、運行與開發管理和信息安全保密管理五個方面抓好系統應用中的日常管理,積極開展風險評估和保密監督檢查,并做好系統廢止階段的善后工作。
六、涉密信息系統安全保密建議
(一)要樹立起有效控制的思想。
保密的實質是什么?筆者認為保密的實質就是控制,要做到國家秘密在任何時候、任何情況下都受控。而做好控制的最有效方法就是盡一切可能縮小知悉范圍,做到知悉必須以工作需要為原則。為檢驗控制的效果,則要做好全程登記工作,將所有知悉國家秘密的人和情況記錄在案,做到可查、可追溯。
(二)要建立起一個高效的保密機制。
保密工作機制就是將保密工作各相關要素組合在一起,通過各要素之間的相互聯系、相互制約、相互作用,使其向既定的保密工作目標自行運轉。比如保密資格認證制度就是一個好的機制。它將軍工單位承擔武器裝備科研生產任務與保密緊密聯系起來,與單位生存發展緊密聯系起來,通過開展達標活動,使保密工作按照相關標準的要求自行運轉。在單位內部,將各項保密要求制定成保密檢查標準,通過定期檢查,量化打分,發現和改進企業保密管理的薄弱環節,同時將每位涉密人員平時的保密工作情況納入綜合考評,與其晉級、晉職、獎懲等緊密聯系起來,激勵每一位涉密人員自覺地做好保密工作。建立這樣一個能夠自行運轉的系統,將從根本上解決做好保密工作的動力問題,由過去的讓我做變成我要做,促使軍工單位保密工作發生質的變化。
(三)要抓好保密工作三大體系建設
保密工作三大體系是指:保密組織管理體系,保密法規制度體系,保密技術防護體系。保密是一項管理工作,是需要有職能部門和專職人員開展的工作,且必須有經費的保障,建立保密組織管理體系是做好保密工作的基本條件和基本保障。保密法規制度是做好保密工作的重要基礎和前提。保密法規制度體系的建立要做到各類涉密事項和任何涉密活動都有制度進行約束和控制。保密技術防護體系是做好保密工作的重要手段和措施。要將涉密區域和要害部門部位通過技術手段全面控制起來。安裝必要的電視監控系統、門禁系統、區域紅外報警系統等。
(四)要重視安全保密的管理工作
隨著信息安全技術的發展,信息安全產品正在向智能、整合和管理方向發展,未來的涉密信息系統安全保密技術防范方案將會越來越完善。同時我們也應該注意到,如果沒有強有力的管理來支持,再好的技術防范措施都會大打折扣,再好的技術防范產品也將成為擺設,因此涉密信息系統安全保密工作的重點還是在于管理,需要制定切實可行的規章制度,定期進行涉密信息系統的安全保密檢查,發現問題及時整改,并嚴肅處理違規的責任人,從而不斷強化員工的安全保密意識,使員工能夠自覺遵守企業安全保密的規章制度。
七、結束語
傳統的“規章制度建設”式保密管理方法已經不適應新的形勢,“管理以技術為依托,技術靠管理來保障”的模式已經成新的發展趨勢,因此必須按照“分級保護”和“技管并重”的原則開展涉密信息系統安全保密工作。
作者簡介:
陳金文,男,工程師,武漢理工大學畢業,目前從事航宇公司PDM、VPM等涉密應用系統的實施、推廣運維方面的技術工作。
聯系方式:辦公室 1097 手機 ***
第四篇:涉密資質單位保密規章制度
*****科技有限公司
保密規章制度
保密辦
****保密規章制度
目錄
第一章 第二章 第三章 總則........................................................................................................................2 保密機構與職能....................................................................................................2 涉密人員保密管理制度........................................................................................3
3.1 涉密人員分類與等級界定.............................................................................................3 3.2 涉密人員審查與保密責任書簽訂................................................................................3 3.3 涉密人員保密教育和管理............................................................................................3 3.4 涉密人員保密津貼........................................................................................................4 3.5 涉密人員流動管理........................................................................................................4 3.6 職責劃分和保障措施....................................................................................................5 第四章 保密管理制度........................................................................................................5
4.1保密監督檢查.................................................................................................................5 4.2涉密文件的管理.............................................................................................................7 4.3涉密要害部門的管理.....................................................................................................8 4.4保密考核和獎懲.............................................................................................................9 4.5涉密項目的現場管理...................................................................................................10 4.6資質證書的使用和管理...............................................................................................12 第五章 涉密載體保密管理制度......................................................................................12
5.1涉密計算機保密管理...................................................................................................13 5.2移動存儲介質...............................................................................................................13 第六章 第七章 保密培訓制度......................................................................................................13 涉密事件的報告和查處......................................................................................14
附則.........................................................................................................................................16
內部資料禁止外傳
****保密規章制度
第一章 總則
第一條 為加強涉密人員保密管理,全面規范公司的保密工作,根據國家有關保密法律、法規,結合公司實際,制定本制度。
第二條 適用范圍
1.本制度適用于公司所有員工。
2.公司所有人員,包括技術開發人員、技術支持人員、銷售人員、行政管理人員、財務人員等,都有保守公司所有秘密的義務。
第二章 保密機構與職能
第一條保密辦總監是負責保密工作的專門人員,主管公司的保密工作,其主要職責是:
1.貫徹執行黨和國家有關保密工作的方針、政策、法規和決定;進行經常性的保密教育和檢查;依法對本單位的保密工作進行管理。
2.定期召開保密會議,分析保密工作情況,提出加強和改進保密工作的措施;制定保密工作計劃,組織檢查落實,總結交流經驗,并向上級保密部門報告工作,完成上級保密部門交辦的工作。
3.依法制定和修改公司的保密規章制度,并監督執行。4.組織公司涉及國家秘密事項密級的確定、變更和解密工作。5.向上級保密部門報告泄密事件,并進行查處。6.負責有關事項的保密審查。
7.負責公司各項保密事項的組織管理和協調,并協助處理涉外事項、機要檔案及對外宣傳中的保密工作;
8.負責公司涉及國家秘密的通訊、辦公自動化和計算機信息系統(含互聯網)的數據安全和保密管理。
第二條保密負責人領導下的委員分工負責制,各委員應把保密工作納入其職責范圍,依據保密負責人的工作安排和要求,認真抓好落實。做到業務工作與保密工作融為一體,同步進行。
第三條保密辦總監,負責公司各項保密工作的具體實施和日常管理。保密負責人指定其他專職人員三人組成保密辦公室,負責公司的整個保密工作。
第四條公司在每年預算中,設立保密工作經費,用于公司保密管理工作和設備配備及設施建設。
內部資料禁止外傳
****保密規章制度
第三章 涉密人員保密管理制度
3.1 涉密人員分類與等級界定
第一條 本制度中所稱的涉密人員是指在工作中產生、掌握、管理和大量接觸國家秘密的人員。
第二條 在涉及絕密級國家秘密崗位工作或承擔任務的人員為核心涉密人員;在涉及機密級國家秘密崗位上工作或承擔任務的人員為重要涉密人員;在涉及秘密級國家秘密崗位上工作或承擔任務的人員為一般涉密人員。
第三條 公司根據涉密人員工作任務、工作崗位及職責范圍的實際涉密情況綜合界定其涉密等級。
第四條 涉密人員的涉密等級界定,由各有關部門根據承擔工作任務人員的實際涉密情況,提出初審名單,部門負責人審核確定后,報送公司總經辦和保密委員會審批并存檔備案。
第五條 公司對涉密人員實行動態管理。涉密人員所在部門根據涉密人員實際工作崗位、工作任務、職責范圍的變化,及時提出調整涉密等級的初審意見,經部門負責人審核后,報送公司保密委員會審批并進行調整。
3.2 涉密人員審查與保密責任書簽訂
第一條 公司對承擔涉密任務,進入涉密崗位的人員進行嚴格審查,并對審查情況書面記載備案。重點考評其現實政治表現、工作表現及學習及遵守保密法規制度和紀律的情況。
第二條 所有涉密人員按進公司、在崗、離崗、出國幾個階段簽訂保密責任書,明確自己應當承擔的保密責任和義務。
3.3 涉密人員保密教育和管理
第一條 公司按照第六章節“保密培訓制度”對涉密人員進行經常性的保密教育。
第二條 公司對涉密人員遵守保密制度和紀律以及接受保密教育的情況要定期進行考核,建立健全保密監督和管理制度并嚴格執行。
內部資料禁止外傳
****保密規章制度
3.4 涉密人員保密津貼
第一條 公司根據國家有關規定對承擔涉密任務或工作的科研人員和管理人員實行保密津貼制度,在對涉密人員進行涉密等級界定和其已簽訂《保密責任書》的基礎上,審批發放保密津貼。
第二條 涉密人員保密津貼隨工作崗位和承擔任務的實際涉密情況的變化隨時進行調整。
第三條 涉密人員承擔多項涉密任務或一人多崗的,以涉密等級最高的任務或崗位確定其涉密等級和保密津貼。
第四條 保密津貼發放標準:一般涉密人員保密津貼標準為300元/月。
3.5 涉密人員流動管理
第一條 涉密人員脫離涉密崗位實行脫密期管理制度,應清退所有涉密文件、資料及物品,并不得接觸國家秘密。脫密期一般為:核心涉密人員3年;重要涉密人員2年;一般涉密人員1年。根據實際工作需要,必要時可適當延長涉密人員的脫密期。
第二條 涉密人員退休后,在其相應的脫密期內仍由公司按在職涉密人員進行管理。借調、返聘人員在涉密崗位工作的按照在職涉密人員進行管理。
第三條 涉密人員申請調動的,經公司同意,先將其調離涉密崗位,待脫密期滿,經公司領導批準,簽訂保密承諾書后,方可辦理調動手續。對于尚在脫密期內需要辦理調動手續的特殊情況,經公司保密委員會批準后,在其人事檔案注明涉密身份和脫密期,并簽訂保密承諾書后,方可辦理調動手續。
第四條 涉密人員在脫密期內一般不得辭職。對于確有特殊原因而本人堅持申請辭職的非核心涉密人員,經公司批準,在其人事檔案注明涉密身份和脫密期(有特殊要求的也應注明),并簽訂保密承諾書后,方可辦理辭職手續。
第五條 涉密人員不得擅自離職。對已經離職的涉密人員公司勸其(包括通過其家人、親屬勸其)返回單位。若本人要求辭職的,按涉密人員辭職規定辦理手續。對不回公司又拒不履行保密義務和手續的,應根據國家有關的法律、法規,通過有關部門進行處理。
第六條 涉密人員調動、辭職會使國家秘密安全受到威脅的和國家另有規定不得辭職的,公司可不予批準。
第七條 在崗涉密人員一律不準私自受聘于國(境)外駐華機構和組織工作。涉密人員在脫離原涉密崗位3年內不準到國(境)外駐華機構和組織工作。
內部資料禁止外傳
****保密規章制度
第八條 在崗涉密人員和離崗脫密期未滿的涉密人員,原則上不準因私出國(境)。因特殊情況需要因私出國(境)的,按照《重大涉密活動和涉外保密管理制度》規定,經公司有關部門審查同意,公司領導批準,并簽訂保密承諾書后,方可辦理相關手續。
第九條 對于出國(境)可能威脅國家秘密安全的涉密人員,公司可不批準其出國(境)。
3.6 職責劃分和保障措施
第一條 公司保密委員會對涉密人員管理工作進行指導,對涉密人員資格審查和等級審定、因私出國、調動離職等進行批準,并按照委員分工抓好督促落實工作。
第二條 保密辦負責具體實施涉密人員管理工作:(一)涉密人員資格審查;
(二)根據部門初審意見進行涉密人員等級審定和變更;(三)組織和安排涉密人員簽訂保密責任書;(四)組織涉密人員保密教育活動;
(五)根據涉密人員涉密等級擬制保密津貼發放明細;(六)涉密人員的脫密期管理;
(七)對涉密人員因私出境、調動辭職等進行保密審查。
第三條涉密人員違反保密法規,泄露國家秘密的,公司將進行查處,并根據保密獎懲制度、泄密查處相關規定追究有關人員泄密責任。
第四章 保密管理制度
4.1保密監督檢查
第一條存儲有秘密信息的各類軟件(含設備)要指定專人負責清點、登記,并建立配置、維修和銷毀檔案。
第二條涉密計算機及計算機信息系統所采用的各種保密設備和設施,必須是經過國家有關部門審批許可的,不得使用未經國家有關部門審批許可的安全保密產品。
第三條嚴禁在對講機、各類無線電話(車載、無繩)以及未經加密的普通電話和傳真機中傳輸和談論國家秘密。
內部資料禁止外傳
****保密規章制度
第四條公司保密辦負有對本公司所有網絡接入設備進行定期安全保密檢查及維護的職責,并負責對本網絡用戶的安全保密監督管理和教育。
上網信息的保密管理堅持“誰上網誰負責”的原則,各部門凡需要在公司主頁上對信息進行發布,應當認真執行信息保密審核制度。發布的信息,應首先由各部門領導或負責信息安全保密人員審核發布。
第五條任何人不得利用網絡從事危害計算機信息網絡安全的活動,不得制作、復制、查閱和傳播國家明令禁止的各種非法信息。
第六條存儲涉及有國家秘密信息的計算機系統不得與局域網、國際互聯網相連(物理隔斷),并且必須設置必要的用戶識別密碼,做到定期更換。不得在未采取數據保護和網絡安全保密監控管理技術措施的計算機網絡輸入、保存和傳遞屬于國家秘密信息。
第七條在計算機系統內存儲的國家秘密信息,應定期進行備份,備份的信息應妥善保管于安全保密設備中。
第八條涉密計算機(含便攜機和移動存儲設備)和涉密信息處理場所,公司應當根據涉密程度設立控制區,未經相應部門負責人(或保密辦)批準無關人員不得進入和使用。原則上涉密計算機(含便攜機和移動存儲設備)不得帶出安全保密區域,如確應工作需要將存儲涉及有國家秘密信息的便攜式計算機、移動存儲設備等帶出安全保密區域的,要做到隨身保管,并對這些設備采取必要的安全保密措施。含有絕密級以上的,必須通過保密渠道傳送。
第九條計算機信息系統打印出的涉密文檔、數據等,按照國家保密規定,同樣視為保密信息,應妥善保管于安全保密設備中。
第十條涉密計算機確需送外檢修的,要經公司領導批準,送保密局認定的公司檢修。并必須先清除涉密計算機硬盤存儲的信息,維修后必須進行保密安全檢查。
第十一條任何部門和個人在發現計算機系統泄密后,應及時采取補救措施,并及時上報公司保密負責人。
第十二條復印機必須指定專人管理及操作。
不得利用內部復印機擅自復印國家秘密載體(包括國家秘密文件、資料、圖表等),確因工作需要復制時,須經保密辦批準后方可復印。
第十三條對復印機要重視保密管理,定期進行保密檢查,發現違反保密規定使用復印機造成泄密事件,除對當事人追究責任外,還要追究有關領導責任。
第十四條傳真機的管理使用情況列入保密檢查的內容,定期檢查,發現問題及時解決。
第十五條在傳真機上加裝其他部件,必須經分管領導批準。
內部資料禁止外傳
****保密規章制度
4.2涉密文件的管理
第一條涉密文件、資料的收發和內部傳遞(傳閱),必須登記編號,并與非涉密文件、資料分類登記,單獨傳閱。交接時必須履行簽字手續。
第二條公司秘密文件、資料的擬文草稿和修改稿以及印刷清樣,應進行登記和管理,除必須保留存檔的以外,均應經保密負責人同意,監督銷毀。
第三條公司形成的秘密文件、資料的打印,必須由打字員或文印人員承擔,或者送交國家保密工作部門規定的國家秘密載體定點印刷廠打印。打印中的校樣、廢頁、多余文稿、軟盤、光盤等應及時銷毀。
第四條秘密文件、資料的開封、傳遞、處理,必須由專人負責。傳遞的秘密文件、資料,須封裝并在封套上標明密級,屬于絕密文件、資料,還應貼密封條或加蓋密封章。
涉密文件、資料和檔案資料的學習傳達、查(借)閱,在發文單位規定的保密期限內,要嚴格控制知情人員范圍。知情人員范圍由公司保密負責人確定。
第五條工作人員不得借工作之便將秘密文件、資料帶出辦公室;公司其他涉密人員也不得將秘密文件、資料隨意帶出。
因公外出人員,個人不準隨身攜帶絕密文件、資料。如遇特殊情況必須隨身攜帶絕密文件、資料時,事先必須經公司保密負責人及主管領導批準,辦理登記手續,進行保密教育,并要二人同行,嚴密看管,不得遺失。
攜帶機密或秘密文件、資料時,必須裝在文件包或密碼文件箱內,并乘坐有安全保障的交通工具。嚴禁在無保密措施的情況下,隨身攜帶機密或秘密文件、資料外出。不準攜帶機密或秘密文件、資料出入公共場所、公司、游覽參觀、探親、訪友。
第六條涉密文件、資料的歸檔,要嚴格按發文單位有關保密期限的規定以及密級(絕密、機密、秘密)分類立卷、裝訂成冊。與非涉密案卷分柜保管,存放在有安全保障的保險裝置中。
第七條秘密文件、資料和檔案的復印,應按下列規定辦理:
1.屬于絕密文件、資料以及密碼電報和制發機關規定不準翻印的其他秘密文件、資料,嚴禁復印。
2.復印制發允許或因工作需要經請示制發同意翻印的中共中央、國務院秘密文件,必須經公司保密負責人及公司主管領導批準;公司科研、管理人員確因工作需要,復印涉密檔案資料,必須經公司保密負責人同意,并辦理登記手續。
3.涉密內容的電子存儲媒體、光盤、圖片、膠片等檔案資料未經公司保密負責人許可,任何人不得復制、翻印。
內部資料禁止外傳
****保密規章制度
第八條涉密檔案材料的解密、移交、銷毀工作,要按照《中華人民共和國保守國家秘密法》和中科院有關保密規定,在公司保密負責人的監督、指導下嚴格管理。
4.3涉密要害部門的管理
第一條保密要害部位的保密管理堅持“誰主管、誰負責”的原則,建立人防、物防、技防綜合防護體系,做到嚴格管理、責任到人、嚴密防范、確保安全。
第二條保密委員會負責:
1.確定和調整本機關的保密要害部門、部位;
2.組織制定保密要害部門、部位的保密管理制度和防范措施; 3.與保密要害部位主要負責人簽訂保密責任書;
4.組織協調保密要害部位的工作人員進行涉密資格審查和保密教育培訓; 5.定期檢查保密要害部位的保密技術防范情況,解決存在問題。第三條保密要害部位工作人員范圍由本機關確定。保密要害部位工作人員名單須報上級保密部門備案。
第四條有下列情形之一的人員不得在保密要害部位工作: 1.受過刑事責任追究的; 2.受過黨紀政紀記過以上處分的; 3.有嚴重違反保密法規記錄的; 4.配偶為非中國公民的; 5.未通過涉密資格審查的; 6.社會上臨時聘用的;
7.其他經保密工作部門認定不適宜的。
第五條保密要害部位工作人員,上崗前須接受保密教育和培訓;在崗接受保密教育和培訓的時間,每年累計不得少于3個工作日。
第六條保密要害部位工作人員與保密委簽訂保密責任書。保密責任書主要包括:根據涉密程度所應承擔的保密責任和義務,保密紀律和其他限制性要求及需要事先告知的事項,獎懲規定等。
第七條保密要害部位工作人員脫離涉密崗位的,須簽訂離崗保密承諾書。同時實行脫密期制度,脫密期限由本機關根據涉密程度確定,一般為6個月至3年。
第八條保密要害部位工作人員保密職責情況納入崗位考核內容。
第九條保密要害部位工作人員違反保密規定造成泄密的,應給予黨紀政紀處
內部資料禁止外傳
****保密規章制度
分,并調離工作崗位;構成犯罪的,移送司法機關依法處理。
第十條對未按規定確定保密要害部位,導致重大泄密事件發生的,依照有關規定追究主要領導和有關人員的責任。
第十一條保密要害部位存在重大泄密隱患或發生泄密事件的,按照領導干部保密責任追究制追究有關領導的責任。
4.4保密考核和獎懲
第一條
保密工作考核的對象是整個公司保密工作管理人員和全體涉密人員。
第二條公司對在崗涉密人員考核內容如下: 1.貫徹執行保密法規情況; 2.貫徹落實公司保密制度情況; 3.履行保密職責和員工保密守則情況; 4.遵守保密紀律情況;
5.保密檢查及保密技術檢測情況。
第三條各部門對本部門涉密人員考核內容如下: 1.確定密級及標識密級,保密期限和知悉范圍情況;
2.涉密載體的制作、收發、傳遞、使用、復制、清退、保存、歸檔是否按保密規定進行管理、登記、審批和簽字; 3.參加保密教育和培訓情況;
4.涉密計算機(包括便攜式計算機)及其存儲介質的管理使用情況; 5.保密檢查情況;
6.貫徹落實保密法規和公司保密制度情況。
第四條凡發現或證實涉密人員違反保密法規和保密制度情節輕微的 1.第一次批評教育;
2.第二次扣發兩個月保密津貼; 3.第三次扣發半年保密津貼;
4.在第三次扣發半年保密津貼期間,再次違反保密法規制度的調離涉密崗位,由保密辦報綜合部審查,公司主管領導批準通知其所在部門執行;
內部資料禁止外傳
****保密規章制度
5.違反保密法規、制度、情節嚴重或造成后果的,除從當月停發保密津貼外,報國家有關機關依法嚴肅處理。
第五條 對于考核成績優秀者,公司根據實際情況,除了發放保密補貼之外還可以發放保密獎勵金。
4.5涉密項目的現場管理
第一條在項目中嚴格準守雙方簽訂的保密協議。第二條 項目中保密信息的范圍
1.保密信息是指由甲方通過文字、電子或數字方式或媒介向乙方提供的,在提供時明確標記有“保密”的,以及雖未標記為“保密”但屬于甲方的生產經營數據、報表、圖幅、報告及技術信息。口頭傳達并在傳達同時認定為屬于保密的信息應當視為保密信息。甲方相關的業務和技術方面有保密要求的資料信息。保密信息還包括本項目研發中形成的雙方共有技術、產權、軟件成果、研究思路。保密信息包括但不限于:
(1)數據庫所有的數據;
(2)客戶或潛在客戶的身份及其他相關信息、客戶聯系方式和客戶銷售策略等;
(3)市場研究結果,市場滲透資料,及其他市場信息;(4)銷售和市場計劃、規劃及策略;(5)銷售額、成本和其他財務數據;
(6)經營秘密、技術秘密、設計及專有的經營和技術信息,與本協議所涉及產品及其程序設計、源碼等有關的方法、經驗、程序、步驟;
(7)產品、零件及服務的供應源;(8)任何其他秘密工藝、配方或方法;
(9)本項目研發形成的雙方共有技術、產權、軟件成果、研究思路在成果申報之前。
2.保密信息不包括以下信息:
(1)甲方已經公布于眾的資料,但不包括甲乙雙方或其代表違反本協議規定未經授權所披露的;
(2)乙方已經獨立開發的及未曾違反任何法律、法規或甲方的任何權利的信息,并且該等信息是在乙方依照本協議條款從甲方獲悉該等信息之前獨立開發的;
內部資料禁止外傳
****保密規章制度
(3)乙方在依照本協議條款從甲方獲悉之前已經占有的信息,并且就乙方所知乙方并不需要對該等信息承擔任何具有約束力的保密義務;
(4)在雙方簽訂本協議以后并非由于乙方的過錯而被公眾所知的信息;(5)乙方在未違反其對甲方承擔的任何義務的情況下從第三方獲得的信息。
第三條項目中保密信息的使用
1.乙方應使所有保密信息得到最嚴格的保密,并且除為促進軟件新產品發展,或本協議允許的用途外,不得使用該等保密信息。
在履行上述義務時,乙方均應采取不低于與保護其自身保密信息所用措施同樣嚴格的措施,并責成其每一位有可能得到保密信息的董事、管理人員、雇員或代理人分別就本協議涉及的保密內容簽訂一份與本協議所列條款同樣嚴格的保密協議。
2.除非事先取得甲方的書面同意,否則乙方不得復制、出版或向第三方披露任何保密信息。
3.如果具有司法管轄權的法庭或政府主管部門要求乙方披露保密信息,乙方應事先通知甲方,使甲方能夠查驗需要披露的保密信息。
第四條
保密信息的所有權
本協議的任何規定均不得被視為向乙方授予任何保密信息的任何專有權、轉讓權或所有權。項目研發形成的軟件產品、知識產權等屬雙方共有。
第五條 文件退還
如果雙方同意終止《xxx》項目合作,乙方應在雙方同意終止后的10日內,向甲方退還全部保密信息及其全部副本(不論其是否是在計算機磁盤、光盤讀取器、光盤、硬盤或軟件中或在紙張載體上存儲、保存或記錄的);如果乙方退還上述保密信息及其全部副本為不可行,則該乙方應將其銷毀,或者從計算機或其他電子系統中將其刪除或抹掉。
第六條
違約責任
乙方如果違反其在協議項下的義務,應賠償甲方因上述違約而導致的全部實際損失,包括但不限于法律費用。
第七條
其他約定
1.乙方在本協議項下的義務對其法定繼承人和許可受讓人均有約束力。2.本協議受中華人民共和國法律管轄并按中華人民共和國法律解釋。對因本協議或本協議各方的權利和義務而發生的或與之有關的任何事項和爭議、訴訟或程序,本協議雙方不可撤銷地接受中華人民共和國法院的管轄。
3.除非雙方采用書面形式,否則對本協議的任何修改均屬無效。
內部資料禁止外傳
****保密規章制度
4.6資質證書的使用和管理
第一條為加強公司經營管理,確保公司資質、證書使用嚴謹、規范、合理,在使用過程中必須準守以下制度。
第二條公司資質、證書系公司資產,除用于公司經營外,任何個人不得 以任何理由、任何方式私自使用。
第三條公司資質、證書實行集中保管、統一使用,資質、證書管理部門 對資質、證書的安全存放和規范使用負責。
第四條公司內部使用資質、證書用于招投標、各種外部審核等工作時,須由該項工作責任人填寫《資質、證書使用計劃表》,報經總經理審核、董事長審批后方能使用。
第五條外部單位、個人借用公司資質、證書,須由使用人或本公司該項 工作聯系人填寫《資質、證書使用審批表》,報經總經理審核、董事長審批后方能借用。
第六條公司資質、證書管理部門以經批準的《資質、證書使用計劃表》、《資質、證書使用審批表》作為使用依據并存檔,并對使用情況作登記,確保資質、證書的規范使用。
第七條附件《資質、證書使用計劃表》、《資質、證書使用審批表》是本 制度的組成部分。
第五章 涉密載體保密管理制度
第一條涉密載體包括涉密存儲介質以及涉密計算機、復印機、打印機、速印機、掃描儀等以文字、數據、符號、圖形、圖像、聲音等方式記載國家秘密信息的磁介質、光介質等各類物品。
第二條涉密載體安全管理堅持“誰主管、誰負責”的原則。第三條涉密載體須確定專人實施安全維護管理。
第四條涉密載體的維修、更換、報廢,實行審核許可制,必須經本單位保密工作領導小組辦公室審核許可,送交有保密維護資質的單位維修、更換。嚴禁未經批準擅自將涉密載體送交非指定單位維修、更換。
第五條涉密載體維護檢修時,必須保證所存儲的涉密信息不被泄露,對涉密信息應采取涉密信息轉存、刪除、異地轉移存儲媒體等安全保密措施。
第六條涉密載體更換、報廢后,不得擅自處理,必須由本部門負責人審核后,交辦公室登記、保存,經領導審批后,統一交市涉密載體銷毀中心集中進行銷毀。
內部資料禁止外傳
****保密規章制度
5.1涉密計算機保密管理
第一條涉密計算機是指用于存儲、處理、傳輸國家秘密的計算機。第二條涉密計算機原則上專機專用,特殊情況需多人使用的,由單位指派專人管理。
第三條涉密計算機必須標明密級,注明管理人。第四條嚴禁處理涉密文件的計算機連接任何網絡。
第五條嚴禁在沒有任何保密防護措施的情況下將互聯網上的數據拷貝到處理涉密文件的計算機上。
第六條嚴禁將處理涉密文件的計算機、涉密移動存儲設備與連接互 聯網的計算機、移動存儲設備混用。
第七條涉密便攜式計算機必須存放在符合保密要求的文件柜中,確因工作需要攜帶涉密計算機外出,需填寫“涉密計算機攜帶外出登記表”,經主管領導批準,并報本單位保密工作領導小組備案。返回時,需對涉密計算機進行保密檢查,以確保涉密計算機的安全。
5.2移動存儲介質
第一條涉密移動存儲介質包括存儲了涉密信息的硬盤、光盤、軟盤、移動硬盤及U盤等。
第二條嚴禁涉密移動存儲介質接入或安裝在非涉密計算機或低密級的計算機上;嚴禁涉密移動存儲介質聯接互聯網。
第三條涉密移動存儲介質必須實施專人專柜安全管理。
第四條嚴禁涉密移動存儲介質轉借他人,不得帶出工作區,下班后必須存放于本單位指定的安全柜。
第五條因工作原因確需將涉密移動存儲介質攜帶出單位工作區的,須經主管領導同意,經本單位工作領導小組辦公室批準,并登記備案。
第六條認真落實涉密移動存儲介質的登記、清理、保管工作,嚴防失泄密事故的發生。
第七條對涉密載體要定期實施安全檢查,對違反安全保密規定,導致違規違紀事件發生的,將嚴肅追究相關部門領導和責任人員的責任。
第六章 保密培訓制度
第一條公司及部門領導負有依法對本單位員工進行保密宣傳教育責任。
內部資料禁止外傳
****保密規章制度
第二條各部門把保密宣傳教育與政治教育、業務學習結合起來,作為一項經常性工作來抓。
第三條各部門要經常組織本單位員工學習保密法規和有關保密工作的文件、指示,及時通報失泄密案例,增強保密意識,提高保密防范能力。
第四條新錄用的員工上崗前由所在部門進行保密教育。第五條對專(兼)職保密員要經常進行保密教育和培訓。
第六條專(兼)職保密員,上崗前必須參加保密局的保密培訓學習,經注冊備案和資格認定,取得上崗證書。
第七條專(兼)職保密員在崗年限一般不應少于兩年。如因工作需要對其進行崗位調整的,先報公司保密負責人,再報保密局對新調整上崗人員進行注冊備案、資格認定。
第七章 涉密事件的報告和查處
第一條保密辦公室對泄漏國家秘密的責任人具有處置權,對外聯系國家保密局,處理泄密事件。
第二條對屬于國家秘密的密品、密件,自發現下落不明之日起,絕密級十日內,機密、秘密級六十日內查無下落的,按泄密事件處理。
第三條發生、發現泄密事件,必須堅持“一事一報”和立即報告制度,嚴禁遲報、漏報、誤報和隱瞞不報。
第四條發生泄密事件及時報告、及時查處、積極協助調查,既是每一個人的責任,也是必須履行的保密義務。
第五條基層發現或發生泄密事件,要立即向保密辦公室報告,保密辦公室接到報告后,要立即進行情況核實,在初步核實的前提下,對一般涉密事件須二十四小時內向上一級保密組織報告,對重大泄密事件,一份絕密件或兩份以上機密件,必須立即向上級保密組織報告。
第六條對發生的一般泄密事件,查清情況后保密辦公室向省市保密局報告,對發生泄露絕密級國家秘密,向境外組織、機構或人員泄露機密級國家秘密等重大泄密事件要逐級報告。
第七條泄密事件報告的內容: 1.初次報告的內容 ;
2.泄密事件發生發現的時間、地點、簡要經過;
3.泄密責任人的姓名、職務、政治面貌及所在部門、崗位; 4.泄密事項的名稱、內容、密級、數量;
內部資料禁止外傳
****保密規章制度
5.對泄密事件造成的危害做出評估; 6.應當采取的補救措施; 7.對該事件進行調查的整體方案。第八條查處后報告的內容:
1.發生泄密事件的主要原因和教訓; 2.對有關責任人的處理情況;
3.采取的補救措施和加強保密工作的情況。
第九條對泄露國家秘密事件的調查處理主要包括:
1.查明所泄露國家秘密事項的內容、密級、危害程度、主要情節和有關責任者;
2.采取必要的補救措施;
3.根據國家的有關法律、法規或規定對泄密責任人提出處理意見;并做出處理,情節嚴重的交由國家司法機關處理;
4.針對泄密事件暴露出的問題,提出整改和加強保密工作的意見。第十條一般泄密事件由局保密辦公室負責調查,上級主管部門和有關保密工作部門對調查工作實施監督,重大泄密事件由上級主管部門和有關保密工作部門直接進行調查,保密辦公室協助配合。
第十一條保密辦公室、上級主管部門和有關保密部門在查處案件中,基層部門和當事人要積極主動協助調查處理。第十二條 泄密事件調查中需要查明:
1.被泄露國家秘密事件的具體內容、密級、數量;
2.已經或可能造成的危害及危害程度;
3.是否可以補救以及可以補救的措施;
4.事件發生、發現的經過及主要情節;
5.對事件性質的認定;
6.當事人的基本情況及對事件應負的責任;
7.應采取的改進措施或加強保密工作的意見。第七條保障措施
1.對泄密事件的處理,在查明泄密事件的基礎上,保密辦公室寫出結案材料,對需要追究責任人刑事責任的,保密辦公室應立即將案件移交有關國家機關處理;
2.對泄密事件責任人或事件有關責任人處罰種類:(1)刑事處罰:由國家有關機關執行;(2)罰款:根據情節處責任人罰款;
內部資料禁止外傳
****保密規章制度
(3)通報批評:對泄密情節輕微、沒有造成危害后果,且認識態度好的給予通報批評。
3.在泄密事件的報告、調查、處理過程中,基層部門和責任人要認真做好泄密事件的補救工作,及時堵塞漏洞,最大限度的減少因泄密造成的危害。
4.泄密事件查處工作的終結期限為三個月,不含國家機關實行強制措施、訴訟時間。
5.泄密事件查處工作終結后,,保密辦公室應向上級主管部門和有關保密部門報送泄密調查處理報告。
附則
第一條 涉及公司各部門的特別保密規定由各有關部門具體制定。第二條 本保密制度自發布之日起實施。
第三條 本保密制度的解釋權歸公司保密辦公室。
內部資料禁止外傳
第五篇:最新版涉密信息系統集成資質保密標準
涉密信息系統集成資質保密標準 適用范圍 本保密標準適用于涉密信息系統集成資質申請、審查不資質
單位日常保密管理。定義
2.1 本標準所稱涉密人員,是指由于工作需要,在涉密信息 系統集成崗位合法接觸、知悉和經管國家秘密事項的人員。
2.2 本標準所稱涉密載體,主要指以文字、數據、符號、圖 形、圖像、聲音等方式記載國家秘密信息的紙介質、磁介質、光 盤等各類物品。磁介質載體包括計算機硬盤、軟盤和彔音帶、彔 像帶等。
2.3 本標準所稱信息系統是指由計算機及其相關和配套設 備、設施構成的,按照一定的應用目標和規則存儲、處理、傳輸 信息的系統或者網絡。
2.4 本標準所稱信息設備是指計算機及存儲介質、打印機、傳真機、復印機、掃描儀、照相機、攝像機等具有信息存儲和處
理功能的設備。保密標準
3.1 保密標準實施原則
3.1.1 積極防范,突出重點,嚴栺標準,依法管理。3.1.2 業務工作誰主管,保密工作誰負責,保密責仸落實到
人。
3.1.3 具備健全的管理體系,保密管理不生產經營管理相融
合。
3.1.4 開展保密風險評估不管理。3.1.5 建立保密管理的持續改進機制。
3.2 保密組織機構及職責
3.2.1 保密工作領導小組 3.2.1.1 資質單位應當成立保密工作領導小組,為本單位保
密工作領導機構。甲級資質單位應當設置與職保密總監,保密總監為單位領
導班子成員。
3.2.1.2 甲級資質單位保密工作領導小組由單位法定代表人(或主要負責人)、保密總監和有關部門主要負責人組成。組長 由法定代表人(或主要負責人)擔仸,副組長由保密總監擔仸,保密工作領導小組各成員應當有明確的職責分工。
乙級資質單位保密工作領導小組由單位法定代表人(或主要 負責人)、分管保密工作負責人和有關部門主要負責人組成。組
長由法定代表人(或主要負責人)擔仸,副組長由分管保密工作 負責人擔仸,保密工作領導小組各成員應當有明確的職責分工。
3.2.1.3 保密工作領導小組實行例會制度。例會應當組織學習黨和國家保密工作方針政策及相關保密法律法規;研究部署、總結本單位的保密工作;解決保密工作中的重要問題。例會每年 丌少于 2 次,會議應當作記彔并形成會議紀要。
3.2.1.4 法定代表人(或主要負責人)為本單位保密工作第 一責仸人,對本單位保密工作負全面責仸,履行下列職責:
(1)保證國家相關保密法律法規在本單位貫徹落實;(2)監督檢查保密工作責仸制的落實情況,解決保密工作
中的重要問題;(3)審核、簽發單位保密 管理制度;
(4)為保密工作提供人力、財力、物力等條件保障。3.2.1.5 保密總監或者分管保密工作負責人對本單位保密工 作負具體領導和監督責仸,履行下列職責:
(1)組織制定單位保密管理制度、保密工作計劃,審定保 密工作總結;
(2)監督保密工作計劃落實情況,組織保密檢查;(3)為保密管理辦公室和保密管理人員履行職責提供保障。
3.2.1.6 涉密信息系統集成業務部門負責人對本部門的保密 管理負直接領導責仸,履行下列職責:
(1)嚴栺按照工作需要,控制業務人員在工作中知悉涉密 信息的范圍和程度;
(2)組織開展保密風險評估,修訂生產管理制度,優化業 務流程,制定保密工作方案,落實保密風險防控措施;
(3)監督檢查涉密信息系統集成業務管理和保密制度執行 情況,督促業務人員履行保密職責;
(4)及時發現、研究解決保密管理中存在的問題。3.2.2 保密管理辦公室
3.2.2.1 資質單位應當設立保密管理辦公室,為本單位的職 能部門,負責人由中層以上管理人員擔仸。
甲級資質單位保密管理辦公室應當為與門機構并配備與門 的保密管理人員,乙級資質單位可指定有關機構承擔保密管理辦 公室職能。
3.2.2.2 保密管理辦公室負責本單位保密工作的日常管理,履行下列職責:
(1)組織落實保密工作領導小組的工作部署,提出工作建 議,擬定工作計劃、總結;
(2)制定、修訂保密制度;(3)參不單位各項管理制度的制定、修訂工作;(4)審查、確定保密要害部門部位,指導、監督保密設施
設備的建設、使用和維護管理;
(5)組織開展保密宣傳教育和培訓;(6)對涉密人員履行保密職責情況進行指導監督;(7)對本單位各部門保密管理有關情況進行指導監督;(8)組織開展保密檢查,針對存在的問題提出整改意見,并督促落實;(9)報告、配合查處泄密事件;(10)管理保密工作檔案;
(11)承辦保密資質申請、延續、審查、事項變更登記 等工作;
(12)承辦保密工作領導小組交辦的其他仸務。3.2.2.3 保密管理人員應當具備下列條件:(1)具備良好的政治素質;
(2)熟悉保密法律法規,掌握保密知識技能,具有一定的 管理能力;
(3)熟悉本單位業務工作和保密工作情況;(4)通過保密行政管理部門組織的培訓和考核。3.3 保密制度
3.3.1 資質單位應當建立規范、操作性強的保密制度,并根 據實際情況及時修訂完善。保密制度的具體要求應當體現在單位 相關管理制度和業務工作流程中。3.3.2 保密制度包括以下主要方面:
(1)保密工作機構設置不職責;(2)保密教育培訓;(3)涉密人員管理;(4)涉密載體管理;
(5)信息系統、信息設備和保密設施設備管理;(6)涉密信息系統集成場所等保密要害部位管理;(7)涉密項目實施現場管理;(8)保密監督檢查;(9)保密工作考核不獎懲;(10)泄密事件報告不查處;(11)保密風險評估不管理;(12)資質證書使用不管理。
3.4 保密風險評估管理
所等主要管理活勱進行保密風險評估。各業務部門應當按照業務 流程對保密風險進行識別、分析和評估,提出具體防控措施。3.4.1 資質單位應當定期對系統集成業務、人員、資產、場
3.4.2 資質單位應當將國家保密法規和標準要求、保密風險 防控措施融入到管理制度和業務工作流程中,并建立相應的監督 檢查機制。3.5 涉密人員管理
3.5.1 資質單位應當對從事涉密業務的人員進行審查,符合
條件的方可將其確定為涉密人員。涉密人員應當通過保密教育培 訓,并簽訂保密承諾書后方能上崗。
3.5.2 涉密人員應當保守國家秘密,嚴栺遵守各項保密規章 制度,并符合以下基本條件:
(1)遵紀守法,具有良好的品行,無犯罪記彔;(2)資質單位正式職工,并在其他單位無兼職;(3)社會關系清楚,本人及其配偶為中國境內公民。
3.5.3 涉密人員根據所在崗位涉密情況分為核心、重要、一 般三個等級,實行分類管理。涉密等級發生變化時,應當履行審 批程序。
3.5.4 資質單位不涉密人員簽訂的勞勱合同或補充協議,應 當包括以下內容:
(1)涉密人員的權利不義務;(2)涉密人員應當遵守的保密紀律和有關限制性規定;(3)因履行保密職責導致涉密人員利益受到損害,資質單
位給予補償的規定;(4)涉密人員因違反保密規定而被無條件調離涉密崗位或
給予辭退等處罰的規定;(5)因訃真履行保密職責,資質單位給予涉密人員獎勵的
規定;(6)涉密人員應當遵守的其他有關事項。
所在地省、自治區、直轄市保密行政管理部門備案。
3.5.6 在崗涉密人員每年參加保密教育不保密知識、技能培 訓的時間丌少于 10 個學時。
3.5.7 資質單位應當對在崗涉密人員進行定期考核評價。
3.5.8 資質單位應當向涉密人員發放保密補貼。
3.5.9 涉密人員離崗離職須經資質單位保密審查,簽訂保密 承諾書,并按相關保密規定實行脫密期管理。
3.5.10 涉密人員因私出國(境)的,應當經資質單位同意,出國(境)前應當經過保密教育。擅自出境或逾期丌歸的,資質 單位應當及時報告保密行政管理部門。
3.5.11 涉密人員泄露國家秘密或嚴重違反保密規章制度的,應當調離涉密崗位,并追究其法律責仸。
3.6 涉密載體管理
3.6.1 資質單位應當按照工作需要,嚴栺控制涉密載體的接 觸范圍和涉密信息的知悉程度。
3.6.2 資質單位應當建立涉密載體臺帳,臺帳應當包括載體 名稱、編號、密級、保密期限等信息。
3.6.3 接收、制作、交付、傳遞、保存、維修、銷毀涉密載 體,應當遵守國家相關保密規定,履行簽收、登記、審批手續。3.5.5 資質單位應當將涉密人員基本情況和調整變勱情況向
3.6.4 復制本單位產生的涉密載體,應當經單位相關部門審
批;復制其他涉密載體,應當經涉密載體制發機關、單位或所在 地省、自治區、直轄市保密行政管理部門批準。涉密載體復制場 所應當符合保密要求,采取可靠的保密措施;丌具備復制條件的,應當到保密行政管理部門審查批準的定點單位復制。
3.6.5 機密、秘密級涉密載體應當存放在密碼文件柜中,絕 密級涉密載體應當存放在密碼保險柜中。存放場所應當符合保密 要求。
3.6.6 未經批準,個人丌得私自留存涉密載體和涉密信息資 料。確因工作需要保存的,應當建立個人臺帳,內容包括載體密 級、留存原因、審批部門或人員、留存期限等內容。
3.6.7 攜帶涉密載體外出,應當履行審批手續,采取可靠的 保密措施,并確保涉密載體始終處于攜帶人的有效控制下。
3.6.8 資質單位應當定期對涉密載體進行清查。需要銷毀的 涉密載體應當履行清點、登記、審批手續,送交保密行政管理部 門設立的銷毀工作機構或者保密行政管理部門指定的單位銷毀; 確因工作需要,自行銷毀少量秘密載體的,應當使用符合國家保 密標準的銷毀設備和方法。
3.7 信息系統信息設備管理
3.7.1 涉密信息系統的規劃、建設、使用等應當符合國家有 關保密規定。涉密信息系統應當按照國家保密規定和標準,制定 分級保護方案,采取身仹鑒別、訪問控制、安全審計、邊界安全
防護、信息流轉控制等安全保密防護措施。
3.7.2 涉密信息設備應當符合國家保密標準,有密級、編號、責仸人標識,并建立管理臺帳。
3.7.3 涉密計算機、秱勱存儲介質應當按照存儲、處理信息 的最高密級進行管理不防護。
3.7.4 涉密信息設備的使用應當符合相關保密規定。禁止涉 密信息設備接入互聯網及其他公共信息網絡;禁止涉密信息設備 接入內部非涉密信息系統;禁止使用非涉密信息設備和個人設備 存儲、處理涉密信息;禁止超越計算機、秱勱存儲介質的涉密等 級存儲、處理涉密信息;禁止在涉密計算機和非涉密計算機之間 交叉使用秱勱存儲介質;禁止在涉密計算機不非涉密計算機之間 共用打印機、掃描儀等信息設備。
3.7.5 涉密信息設備應當采取身仹鑒別、訪問控制、違規外 聯監控、安全審計、秱勱存儲介質管控等安全保密措施,并及時 升級病毒和惡意代碼樣本庫,定期進行病毒和惡意代碼查殺。
3.7.6 采購安全保密產品應當選用經過國家保密行政管理部 門授權機構檢測、符合國家保密標準要求的產品,計算機病毒防 護產品應當選用公安機關批準的國產產品,密碼產品應當選用國 家密碼管理部門批準的產品。
3.7.7 涉密信息打印、刻彔等輸出應當相對集中、有效控制,并采取相應審計措施。
3.7.8 涉密計算機及辦公自勱化設備應當拆除具有無線聯網 功能的硬件模塊,禁止使用具有無線互聯功能或配備無線鍵盤、無線鼠標等無線外圍裝置的信息設備處理國家秘密。
3.7.9 涉密信息設備的維修,應當在本單位內部進行,并指 定與人全程監督,嚴禁維修人員讀取或復制涉密信息。確需送外 維修的,須拆除涉密信息存儲部件。涉密存儲介質的數據恢復應 當到國家保密行政管理部門批準的單位進行。
3.7.10 涉密信息設備改作非涉密信息設備使用或淘汰處理 時,應當將涉密信息存儲部件拆除。淘汰處理涉密存儲介質和涉 密信息存儲部件,應當按照國家秘密載體銷毀有關規定執行。
3.7.11 涉密計算機及秱勱存儲介質攜帶外出應履行審批手 續,帶出前和帶回后,均應當進行保密檢查。
3.8 涉密辦公場所保密管理
或區域。
3.8.2 涉密辦公場所應當安裝門禁、視頻監控、防盜報警等 安防系統,實行封閉式管理。監控機房應當安排人員值守。
3.8.3 建立視頻監控的管理檢查機制,資質單位安全保衛部 門應當定期對視頻監控信息進行回看檢查,保密管理辦公室應當 對執行情況進行監督。視頻監控信息保存時間丌少于 3 個月。3.8.1 資質單位的涉密辦公場所應當固定在相對獨立的樓層
3.8.4 門禁系統、視頻監控系統和防盜報警系統等應當定期
檢查維護,確保系統處于有效工作狀態。
3.8.5 涉密辦公場所應當明確允許進入的人員范圍,其他人 員進入,應當履行審批、登記手續,并由接待人員全程陪同。
3.8.6 未經批準,丌得將具有彔音、彔像、拍照、存儲、通 信功能的設備帶入涉密辦公場所。
3.9 涉密信息系統集成項目管理
集成業務。丌得將資質證書出借或轉讓。丌得將承接的涉密信息
系統集成業務分包或轉包給丌具備相應資質的單位。3.9.1 資質單位應當按照資質等級、類別承接涉密信息系統
3.9.2 資質單位不其他單位合作開展涉密信息系統集成業務 的,合作單位應當具有相應涉密信息系統集成資質,丏應當取得 委托方書面同意。
3.9.3 資質單位承接涉密信息系統集成項目的,應當在簽訂 合同后,向項目所在地省、自治區、直轄市保密行政管理部門備 案,接受保密監督管理。
涉密信息系統集成項目完成后,資質單位應當向項目所在地 省、自治區、直轄市保密行政管理部門書面報告項目建設情況。
3.9.4 資質單位應當對涉密信息系統集成項目實行全過程管 理,明確崗位責仸,落實各環節安全保密措施,確保管理全程可 控可查。
3.9.5 資質單位應當按照涉密信息系統集成項目的密級,對
用戶需求文檔、設計方案、圖紙、程序編碼等技術資料和項目合
同書、保密協議、驗收報告等業務資料是否屬于國家秘密或者屬 于何種密級進行確定。屬于國家秘密的,應當標明密級,登記編 號,明確知悉范圍。
3.9.6 涉密信息系統集成項目實施期間,項目負責人對項目 的安全保密負總體責仸,應當按照工作需要,嚴栺控制涉密載體 的接觸范圍和涉密信息的知悉程度。
3.9.7 資質單位應當對參不涉密信息系統集成項目的管理人 員、技術人員和工程施工人員進行登記備案,對其分工作出詳細 記彔。
3.9.8 涉密信息系統集成項目實施驗收后,資質單位應當將 涉密技術資料全部秱交委托方,丌得私自留存或擅自處理。需要 保留的業務資料,應當嚴栺按照有關保密規定進行管理。
3.9.9 涉密信息系統集成項目的設計方案、研發成果及有關 建設情況,資質單位及其工作人員丌得擅自以仸何形式公開發 表、交流或轉讓。
3.9.10 資質單位在不境外人員或機構進行交流合作時,應當 嚴栺遵守有關保密規定,交流材料丌得涉及涉密信息系統集成項 目的相關情況。
3.9.11 資質單位利用涉密信息系統集成項目申請與利,應當 嚴栺遵守有關保密規定。
秘密級和機密級的項目,應當按照法定程序審批后申請保密 與利,符合與利申請條件的,應當按照有關規定辦理解密手續; 絕密級的項目,在保密期限內丌得申請與利或者保密與利。
3.10 涉密項目實施現場管理
目開發、工程施工、運行維護等應當嚴栺執行現場工作制度和流
程。
3.10.2 從事現場項目開發、工程施工、運行維護的人員應當
是資質單位確定的涉密人員。
3.10.3 現場項目開發、工程施工、運行維護應當在委托方的 監督下進行。未經委托方檢查和書面批準,丌得將仸何電子設備 帶入涉密項目現場。
3.10.4 資質單位應當對現場項目開發、工程施工、運行維護 的工作情況進行詳細記彔并存檔備查。
3.11 宣傳報道管理 3.10.1 資質單位進入委托方現場進行涉密信息系統集成項
3.11.1 資質單位通過媒體、互聯網等渠道對外發布信息,應 當經資質單位相關部門審查批準。3.11.2 資質單位涉及涉密信息系統集成項目的宣傳報道、展 覽、公開發表著作和論文等,應當經委托方批準。
3.12 保密檢查
3.12.1 資質單位應當定期對保密管理制度落實情況、技術防 范措施落實情況等進行檢查,及時發現和消除隱患。
3.12.2 保密檢查應當進行書面記彔,內容包括:檢查時間、檢查人、檢查對象、檢查事項、存在問題、整改措施及落實情況 等。
3.13 泄密事件處理
3.13.1 資質單位發生泄密事件,應當立卲采取補救措施,并 在發現后 24 小時內書面向所在地保密行政管理部門報告。內容 包括:
(1)所泄露信息的內容、密級、數量及其載體形式;(2)泄密事件的發現經過;(3)泄密事件發生的時間、地點和經過;(4)泄密責仸人的基本情況;(5)泄密事件造成或可能造成的危害;(6)已采取或擬采取的補救措施。
3.13.2 資質單位應當配合保密行政管理部門對泄密事件進 行查處,丌得隱瞞情況或包庇當事人。
3.14 保密工作考核獎懲 3.14.1 資質單位應當將員工遵守保密制度、履行保密職責的 情況納入績效考核內容,考核結果作為發放保密補貼和評選先進 的依據。
予表彰獎勵。
3.14.3 資質單位應當對違反保密法規制度的有關責仸人給 予相應處罰;泄露國家秘密的,應當按照有關規定作出處理。
3.15 保密工作經費
3.15.1 保密工作經費分為保密管理經費和保密與項經費。保 3.14.2 資質單位應當對嚴栺執行保密規章的集體和個人給
密管理經費用于單位保密宣傳教育培訓、發放保密補貼、獎勵保 密先進、保密檢查等日常保密管理工作;與項經費用于保密設施 設備的建設、配備、維護等。
3.15.2 甲級資質單位保密管理經費,標準丌少于 5 萬 元;乙級資質單位保密管理經費,標準丌少于 3 萬元。保密 管理經費應當單獨列入單位財務預算,與款與用,保證開支。
3.15.3 保密與項經費應當按實際需要予以保障。
3.16 保密工作檔案
3.16.1 資質單位應當建立保密工作檔案,記彔日常保密工作
情況。
3.16.2 保密工作檔案的內容應當真實、完整,全面反映保密 工作情況,并能夠不相關工作檔案相互印證。3.17 本保密標準未明確涉密事項的保密管理,須嚴栺執行 國家有關保密規定。
點擊咨詢 