涉密信息系统资质保密标准课件doc.docx
《涉密信息系统资质保密标准课件doc.docx》由会员分享,可在线阅读,更多相关《涉密信息系统资质保密标准课件doc.docx(15页珍藏版)》请在冰豆网上搜索。
涉密信息系统资质保密标准课件doc
涉密信息系统集成资质保密标准
1适用范围
本保密标准适用于涉密信息系统集成资质申请、审查与
资质单位日常保密管理。
2定义
2.1本标准所称涉密人员,是指由于工作需要,在涉密
信息系统集成岗位合法接触、知悉和经管国家秘密事项的人
员。
2.2本标准所称涉密载体,主要指以文字、数据、符号、
图形、图像、声音等方式记载国家秘密信息的纸介质、磁介
质、光盘等各类物品。
磁介质载体包括计算机硬盘、软盘和
录音带、录像带等。
2.3本标准所称信息系统是指由计算机及其相关和配套
设备、设施构成的,按照一定的应用目标和规则存储、处理、
传输信息的系统或者网络。
2.4本标准所称信息设备是指计算机及存储介质、打印
机、传真机、复印机、扫描仪、照相机、摄像机等具有信息
存储和处理功能的设备。
3保密标准
3.1保密标准实施原则
3.1.1积极防范,突出重点,严格标准,依法管理。
3.1.2业务工作谁主管,保密工作谁负责,保密责任落
实到人。
3.1.3具备健全的管理体系,保密管理与生产经营管理
相融合。
3.1.4开展保密风险评估与管理。
3.1.5建立保密管理的持续改进机制。
3.2保密组织机构及职责
3.2.1保密工作领导小组
3.2.1.1资质单位应当成立保密工作领导小组,为本单位
保密工作领导机构。
甲级资质单位应当设置专职保密总监,保密总监为单位
领导班子成员。
3.2.1.2甲级资质单位保密工作领导小组由单位法定代
表人(或主要负责人)、保密总监和有关部门主要负责人组
成。
组长由法定代表人(或主要负责人)担任,副组长由保
密总监担任,保密工作领导小组各成员应当有明确的职责分
工。
乙级资质单位保密工作领导小组由单位法定代表人(或
主要负责人)、分管保密工作负责人和有关部门主要负责人
组成。
组长由法定代表人(或主要负责人)担任,副组长由
分管保密工作负责人担任,保密工作领导小组各成员应当有
明确的职责分工。
3.2.1.3保密工作领导小组实行例会制度。
例会应当组织
学习党和国家保密工作方针政策及相关保密法律法规;研究
部署、总结本单位的保密工作;解决保密工作中的重要问题。
例会每年不少于2次,会议应当作记录并形成会议纪要。
3.2.1.4法定代表人(或主要负责人)为本单位保密工作
第一责任人,对本单位保密工作负全面责任,履行下列职责:
(1)保证国家相关保密法律法规在本单位贯彻落实;
(2)监督检查保密工作责任制的落实情况,解决保密
工作中的重要问题;
(3)审核、签发单位保密管理制度;
(4)为保密工作提供人力、财力、物力等条件保障。
3.2.1.5保密总监或者分管保密工作负责人对本单位保
密工作负具体领导和监督责任,履行下列职责:
(1)组织制定单位保密管理制度、保密工作计划,审
定保密工作总结;
(2)监督保密工作计划落实情况,组织保密检查;
(3)为保密管理办公室和保密管理人员履行职责提供
保障。
3.2.1.6涉密信息系统集成业务部门负责人对本部门的
保密管理负直接领导责任,履行下列职责:
(1)严格按照工作需要,控制业务人员在工作中知悉
涉密信息的范围和程度;
(2)组织开展保密风险评估,修订生产管理制度,优
化业务流程,制定保密工作方案,落实保密风险防控措施;
(3)监督检查涉密信息系统集成业务管理和保密制度
执行情况,督促业务人员履行保密职责;
(4)及时发现、研究解决保密管理中存在的问题。
3.2.2保密管理办公室
3.2.2.1资质单位应当设立保密管理办公室,为本单位的
职能部门,负责人由中层以上管理人员担任。
甲级资质单位保密管理办公室应当为专门机构并配备
专门的保密管理人员,乙级资质单位可指定有关机构承担保
密管理办公室职能。
3.2.2.2保密管理办公室负责本单位保密工作的日常管
理,履行下列职责:
(1)组织落实保密工作领导小组的工作部署,提出工
作建议,拟定工作计划、总结;
(2)制定、修订保密制度;
(3)参与单位各项管理制度的制定、修订工作;
(4)审查、确定保密要害部门部位,指导、监督保密
设施设备的建设、使用和维护管理;
(5)组织开展保密宣传教育和培训;
(6)对涉密人员履行保密职责情况进行指导监督;
(7)对本单位各部门保密管理有关情况进行指导监督;
(8)组织开展保密检查,针对存在的问题提出整改意
见,并督促落实;
(9)报告、配合查处泄密事件;
(10)管理保密工作档案;
(11)承办保密资质申请、延续、年度审查、事项变更
登记等工作;
(12)承办保密工作领导小组交办的其他任务。
3.2.2.3保密管理人员应当具备下列条件:
(1)具备良好的政治素质;
(2)熟悉保密法律法规,掌握保密知识技能,具有一
定的管理能力;
(3)熟悉本单位业务工作和保密工作情况;
(4)通过保密行政管理部门组织的培训和考核。
3.3保密制度
3.3.1资质单位应当建立规范、操作性强的保密制度,
并根据实际情况及时修订完善。
保密制度的具体要求应当体
现在单位相关管理制度和业务工作流程中。
3.3.2保密制度包括以下主要方面:
(1)保密工作机构设置与职责;
(2)保密教育培训;
(3)涉密人员管理;
(4)涉密载体管理;
(5)信息系统、信息设备和保密设施设备管理;
(6)涉密信息系统集成场所等保密要害部位管理;
(7)涉密项目实施现场管理;
(8)保密监督检查;
(9)保密工作考核与奖惩;
(10)泄密事件报告与查处;
(11)保密风险评估与管理;
(12)资质证书使用与管理。
3.4保密风险评估与管理
3.4.1资质单位应当定期对系统集成业务、人员、资产、
场所等主要管理活动进行保密风险评估。
各业务部门应当按
照业务流程对保密风险进行识别、分析和评估,提出具体防
控措施。
3.4.2资质单位应当将国家保密法规和标准要求、保密
风险防控措施融入到管理制度和业务工作流程中,并建立相
应的监督检查机制。
3.5涉密人员管理
3.5.1资质单位应当对从事涉密业务的人员进行审查,
符合条件的方可将其确定为涉密人员。
涉密人员应当通过保
密教育培训,并签订保密承诺书后方能上岗。
3.5.2涉密人员应当保守国家秘密,严格遵守各项保密
规章制度,并符合以下基本条件:
(1)遵纪守法,具有良好的品行,无犯罪记录;
(2)资质单位正式职工,并在其他单位无兼职;
(3)社会关系清楚,本人及其配偶为中国境内公民。
3.5.3涉密人员根据所在岗位涉密情况分为核心、重要、
一般三个等级,实行分类管理。
涉密等级发生变化时,应当
履行审批程序。
3.5.4资质单位与涉密人员签订的劳动合同或补充协
议,应当包括以下内容:
(1)涉密人员的权利与义务;
(2)涉密人员应当遵守的保密纪律和有关限制性规定;
(3)因履行保密职责导致涉密人员利益受到损害,资
质单位给予补偿的规定;
(4)涉密人员因违反保密规定而被无条件调离涉密岗
位或给予辞退等处罚的规定;
(5)因认真履行保密职责,资质单位给予涉密人员奖
励的规定;
(6)涉密人员应当遵守的其他有关事项。
3.5.5资质单位应当将涉密人员基本情况和调整变动情
况向所在地省、自治区、直辖市保密行政管理部门备案。
3.5.6在岗涉密人员每年参加保密教育与保密知识、技
能培训的时间不少于10个学时。
3.5.7资质单位应当对在岗涉密人员进行定期考核评
价。
3.5.8资质单位应当向涉密人员发放保密补贴。
3.5.9涉密人员离岗离职须经资质单位保密审查,签订
保密承诺书,并按相关保密规定实行脱密期管理。
3.5.10涉密人员因私出国(境)的,应当经资质单位同
意,出国(境)前应当经过保密教育。
擅自出境或逾期不归
的,资质单位应当及时报告保密行政管理部门。
3.5.11涉密人员泄露国家秘密或严重违反保密规章制
度的,应当调离涉密岗位,并追究其法律责任。
3.6涉密载体管理
3.6.1资质单位应当按照工作需要,严格控制涉密载体
的接触范围和涉密信息的知悉程度。
3.6.2资质单位应当建立涉密载体台帐,台帐应当包括
载体名称、编号、密级、保密期限等信息。
3.6.3接收、制作、交付、传递、保存、维修、销毁涉
密载体,应当遵守国家相关保密规定,履行签收、登记、审
批手续。
3.6.4复制本单位产生的涉密载体,应当经单位相关部
门审批;复制其他涉密载体,应当经涉密载体制发机关、单
位或所在地省、自治区、直辖市保密行政管理部门批准。
涉
密载体复制场所应当符合保密要求,采取可靠的保密措施;
不具备复制条件的,应当到保密行政管理部门审查批准的定
点单位复制。
3.6.5机密、秘密级涉密载体应当存放在密码文件柜中,
绝密级涉密载体应当存放在密码保险柜中。
存放场所应当符
合保密要求。
3.6.6未经批准,个人不得私自留存涉密载体和涉密信
息资料。
确因工作需要保存的,应当建立个人台帐,内容包
括载体密级、留存原因、审批部门或人员、留存期限等内容。
3.6.7携带涉密载体外出,应当履行审批手续,采取可
靠的保密措施,并确保涉密载体始终处于携带人的有效控制
下。
3.6.8资质单位应当定期对涉密载体进行清查。
需要销
毁的涉密载体应当履行清点、登记、审批手续,送交保密行
政管理部门设立的销毁工作机构或者保密行政管理部门指
定的单位销毁;确因工作需要,自行销毁少量秘密载体的,
应当使用符合国家保密标准的销毁设备和方法。
3.7信息系统与信息设备管理
3.7.1涉密信息系统的规划、建设、使用等应当符合国
家有关保密规定。
涉密信息系统应当按照国家保密规定和标
准,制定分级保护方案,采取身份鉴别、访问控制、安全审
计、边界安全防护、信息流转控制等安全保密防护措施。
3.7.2涉密信息设备应当符合国家保密标准,有密级、
编号、责任人标识,并建立管理台帐。
3.7.3涉密计算机、移动存储介质应当按照存储、处理
信息的最高密级进行管理与防护。
3.7.4涉密信息设备的使用应当符合相关保密规定。
禁
止涉密信息设备接入互联网及其他公共信息网络;禁止涉密
信息设备接入内部非涉密信息系统;禁止使用非涉密信息设
备和个人设备存储、处理涉密信息;禁止超越计算机、移动
存储介质的涉密等级存储、处理涉密信息;禁止在涉密计算
机和非涉密计算机之间交叉使用移动存储介质;禁止在涉密
计算机与非涉密计算机之间共用打印机、扫描仪等信息设
备。
3.7.5涉密信息设备应当采取身份鉴别、访问控制、违
规外联监控、安全审计、移动存储介质管控等安全保密措施,
并及时升级病毒和恶意代码样本库,定期进行病毒和恶意代
码查杀。
3.7.6采购安全保密产品应当选用经过国家保密行政管
理部门授权机构检测、符合国家保密标准要求的产品,计算
机病毒防护产品应当选用公安机关批准的国产产品,密码产
品应当选用国家密码管理部门批准的产品。
3.7.7涉密信息打印、刻录等输出应当相对集中、有效
控制,并采取相应审计措施。
3.7.8涉密计算机及办公自动化设备应当拆除具有无线
联网功能的硬件模块,禁止使用具有无线互联功能或配备无
线键盘、无线鼠标等无线外围装置的信息设备处理国家秘
密。
3.7.9涉密信息设备的维修,应当在本单位内部进行,
并指定专人全程监督,严禁维修人员读取或复制涉密信息。
确需送外维修的,须拆除涉密信息存储部件。
涉密存储介质
的数据恢复应当到国家保密行政管理部门批准的单位进行。
3.7.10涉密信息设备改作非涉密信息设备使用或淘汰
处理时,应当将涉密信息存储部件拆除。
淘汰处理涉密存储
介质和涉密信息存储部件,应当按照国家秘密载体销毁有关
规定执行。
3.7.11涉密计算机及移动存储介质携带外出应履行审
批手续,带出前和带回后,均应当进行保密检查。
3.8涉密办公场所保密管理
3.8.1资质单位的涉密办公场所应当固定在相对独立的
楼层或区域。
3.8.2涉密办公场所应当安装门禁、视频监控、防盗报
警等安防系统,实行封闭式管理。
监控机房应当安排人员值
守。
3.8.3建立视频监控的管理检查机制,资质单位安全保
卫部门应当定期对视频监控信息进行回看检查,保密管理办
公室应当对执行情况进行监督。
视频监控信息保存时间不少
于3个月。
3.8.4门禁系统、视频监控系统和防盗报警系统等应当
定期检查维护,确保系统处于有效工作状态。
3.8.5涉密办公场所应当明确允许进入的人员范围,其
他人员进入,应当履行审批、登记手续,并由接待人员全程
陪同。
3.8.6未经批准,不得将具有录音、录像、拍照、存储、
通信功能的设备带入涉密办公场所。
3.9涉密信息系统集成项目管理
3.9.1资质单位应当按照资质等级、类别承接涉密信息
系统集成业务。
不得将资质证书出借或转让。
不得将承接的
涉密信息系统集成业务分包或转包给不具备相应资质的单
位。
3.9.2资质单位与其他单位合作开展涉密信息系统集成
业务的,合作单位应当具有相应涉密信息系统集成资质,且
应当取得委托方书面同意。
3.9.3资质单位承接涉密信息系统集成项目的,应当在
签订合同后,向项目所在地省、自治区、直辖市保密行政管
理部门备案,接受保密监督管理。
涉密信息系统集成项目完成后,资质单位应当向项目所
在地省、自治区、直辖市保密行政管理部门书面报告项目建
设情况。
3.9.4资质单位应当对涉密信息系统集成项目实行全过
程管理,明确岗位责任,落实各环节安全保密措施,确保管
理全程可控可查。
3.9.5资质单位应当按照涉密信息系统集成项目的密
级,对用户需求文档、设计方案、图纸、程序编码等技术资
料和项目合同书、保密协议、验收报告等业务资料是否属于
国家秘密或者属于何种密级进行确定。
属于国家秘密的,应
当标明密级,登记编号,明确知悉范围。
3.9.6涉密信息系统集成项目实施期间,项目负责人对
项目的安全保密负总体责任,应当按照工作需要,严格控制
涉密载体的接触范围和涉密信息的知悉程度。
3.9.7资质单位应当对参与涉密信息系统集成项目的管
理人员、技术人员和工程施工人员进行登记备案,对其分工
作出详细记录。
3.9.8涉密信息系统集成项目实施验收后,资质单位应
当将涉密技术资料全部移交委托方,不得私自留存或擅自处
理。
需要保留的业务资料,应当严格按照有关保密规定进行
管理。
3.9.9涉密信息系统集成项目的设计方案、研发成果及
有关建设情况,资质单位及其工作人员不得擅自以任何形式
公开发表、交流或转让。
3.9.10资质单位在与境外人员或机构进行交流合作时,
应当严格遵守有关保密规定,交流材料不得涉及涉密信息系
统集成项目的相关情况。
3.9.11资质单位利用涉密信息系统集成项目申请专利,
应当严格遵守有关保密规定。
秘密级和机密级的项目,应当按照法定程序审批后申请
保密专利,符合专利申请条件的,应当按照有关规定办理解
密手续;绝密级的项目,在保密期限内不得申请专利或者保
密专利。
3.10涉密项目实施现场管理
3.10.1资质单位进入委托方现场进行涉密信息系统集
成项目开发、工程施工、运行维护等应当严格执行现场工作
制度和流程。
3.10.2从事现场项目开发、工程施工、运行维护的人员
应当是资质单位确定的涉密人员。
3.10.3现场项目开发、工程施工、运行维护应当在委托
方的监督下进行。
未经委托方检查和书面批准,不得将任何
电子设备带入涉密项目现场。
3.10.4资质单位应当对现场项目开发、工程施工、运行
维护的工作情况进行详细记录并存档备查。
3.11宣传报道管理
3.11.1资质单位通过媒体、互联网等渠道对外发布信
息,应当经资质单位相关部门审查批准。
3.11.2资质单位涉及涉密信息系统集成项目的宣传报
道、展览、公开发表著作和论文等,应当经委托方批准。
3.12保密检查
3.12.1资质单位应当定期对保密管理制度落实情况、技
术防范措施落实情况等进行检查,及时发现和消除隐患。
3.12.2保密检查应当进行书面记录,内容包括:
检查时
间、检查人、检查对象、检查事项、存在问题、整改措施及
落实情况等。
3.13泄密事件处理
3.13.1资质单位发生泄密事件,应当立即采取补救措
施,并在发现后24小时内书面向所在地保密行政管理部门
报告。
内容包括:
(1)所泄露信息的内容、密级、数量及其载体形式;
(2)泄密事件的发现经过;
(3)泄密事件发生的时间、地点和经过;
(4)泄密责任人的基本情况;
(5)泄密事件造成或可能造成的危害;
(6)已采取或拟采取的补救措施。
3.13.2资质单位应当配合保密行政管理部门对泄密事
件进行查处,不得隐瞒情况或包庇当事人。
3.14保密工作考核与奖惩
3.14.1资质单位应当将员工遵守保密制度、履行保密职
责的情况纳入绩效考核内容,考核结果作为发放保密补贴和
评选先进的依据。
3.14.2资质单位应当对严格执行保密规章的集体和个
人给予表彰奖励。
3.14.3资质单位应当对违反保密法规制度的有关责任
人给予相应处罚;泄露国家秘密的,应当按照有关规定作出
处理。
3.15保密工作经费
3.15.1保密工作经费分为保密管理经费和保密专项经
费。
保密管理经费用于单位保密宣传教育培训、发放保密补
贴、奖励保密先进、保密检查等日常保密管理工作;专项经
费用于保密设施设备的建设、配备、维护等。
3.15.2甲级资质单位保密管理经费,年度标准不少于5
万元;乙级资质单位保密管理经费,年度标准不少于3万元。
保密管理经费应当单独列入单位年度财务预算,专款专用,
保证开支。
3.15.3保密专项经费应当按实际需要予以保障。
3.16保密工作档案
3.16.1资质单位应当建立保密工作档案,记录日常保密
工作情况。
3.16.2保密工作档案的内容应当真实、完整,全面反映
保密工作情况,并能够与相关工作档案相互印证。
3.17本保密标准未明确涉密事项的保密管理,须严格执
行国家有关保密规定。
升级会员 