涉密信息系統集成資質保密標準是適用於涉密信息系統集成資質申請、審查與資質單位日常保密管理的保密標準。
基本介紹
- 中文名:涉密信息系統集成資質保密標準
- 適用:用於涉密信息系統集成資質申請、審查與資質單位日常保密管理。
涉密信息系統集成資質保密標準
1適用範圍
本保密標準適用於涉密信息系統集成資質申請、審查與資質單位日常保密管理。
2定義
2.1本標準所稱涉密人員,是指由於工作需要,在涉密信息系統集成崗位合法接觸、知悉和經管國家秘密事項的人員。
2.2本標準所稱涉密載體,主要指以文字、數據、符號、圖形、圖像、聲音等方式記載國家秘密信息的紙介質、磁介質、光碟等各類物品。磁介質載體包括計算機硬碟、軟碟和錄音帶、錄像帶等。
2.3本標準所稱信息系統是指由計算機及其相關和配套設備、設施構成的,按照一定的套用目標和規則存儲、處理、傳輸信息的系統或者網路。
2.4本標準所稱信息設備是指計算機及存儲介質、印表機、傳真機、複印機、掃瞄器、照相機、攝像機等具有信息存儲和處理功能的設備。
3保密標準
3.1保密標準實施原則
3.1.1積極防範,突出重點,嚴格標準,依法管理。
3.1.2業務工作誰主管,保密工作誰負責,保密責任落實到人。
3.1.3具備健全的管理體系,保密管理與生產經營管理相融合。
3.1.4開展保密風險評估與管理。
3.1.5建立保密管理的持續改進機制。
3.2保密組織機構及職責
3.2.1保密工作領導小組
3.2.1.1資質單位應當成立保密工作領導小組,為本單位保密工作領導機構。
甲級資質單位應當設定專職保密總監,保密總監為單位領導班子成員。
3.2.1.2甲級資質單位保密工作領導小組由單位法定代表人(或主要負責人)、保密總監和有關部門主要負責人組成。組長由法定代表人(或主要負責人)擔任,副組長由保密總監擔任,保密工作領導小組各成員應當有明確的職責分工。
乙級資質單位保密工作領導小組由單位法定代表人(或主要負責人)、分管保密工作負責人和有關部門主要負責人組成。組長由法定代表人(或主要負責人)擔任,副組長由分管保密工作負責人擔任,保密工作領導小組各成員應當有明確的職責分工。
3.2.1.3保密工作領導小組實行例會制度。例會應當組織學習黨和國家保密工作方針政策及相關保密法律法規;研究部署、總結本單位的保密工作;解決保密工作中的重要問題。例會每年不少於2次,會議應當作記錄並形成會議紀要。
3.2.1.4法定代表人(或主要負責人)為本單位保密工作第一責任人,對本單位保密工作負全面責任,履行下列職責:
(1)保證國家相關保密法律法規在本單位貫徹落實;
(2)監督檢查保密工作責任制的落實情況,解決保密工作中的重要問題;
(3)審核、簽發單位保密管理制度;
(4)為保密工作提供人力、財力、物力等條件保障。
3.2.1.5保密總監或者分管保密工作負責人對本單位保密工作負具體領導和監督責任,履行下列職責:
(1)組織制定單位保密管理制度、保密工作計畫,審定保密工作總結;
(2)監督保密工作計畫落實情況,組織保密檢查;
(3)為保密管理辦公室和保密管理人員履行職責提供保障。
3.2.1.6涉密信息系統集成業務部門負責人對本部門的保密管理負直接領導責任,履行下列職責:
(1)嚴格按照工作需要,控制業務人員在工作中知悉涉密信息的範圍和程度;
(2)組織開展保密風險評估,修訂生產管理制度,最佳化業務流程,制定保密工作方案,落實保密風險防控措施;
(3)監督檢查涉密信息系統集成業務管理和保密制度執行情況,督促業務人員履行保密職責;
(4)及時發現、研究解決保密管理中存在的問題。
3.2.2保密管理辦公室
3.2.2.1資質單位應當設立保密管理辦公室,為本單位的職能部門,負責人由中層以上管理人員擔任。
甲級資質單位保密管理辦公室應當為專門機構並配備專門的保密管理人員,乙級資質單位可指定有關機構承擔保密管理辦公室職能。
3.2.2.2保密管理辦公室負責本單位保密工作的日常管理,履行下列職責:
(1)組織落實保密工作領導小組的工作部署,提出工作建議,擬定工作計畫、總結;
(2)制定、修訂保密制度;
(3)參與單位各項管理制度的制定、修訂工作;
(4)審查、確定保密要害部門部位,指導、監督保密設施設備的建設、使用和維護管理;
(5)組織開展保密宣傳教育和培訓;
(6)對涉密人員履行保密職責情況進行指導監督;
(7)對本單位各部門保密管理有關情況進行指導監督;
(8)組織開展保密檢查,針對存在的問題提出整改意見,並督促落實;
(9)報告、配合查處泄密事件;
(10)管理保密工作檔案;
(11)承辦保密資質申請、延續、年度審查、事項變更登記等工作;
(12)承辦保密工作領導小組交辦的其他任務。
3.2.2.3保密管理人員應當具備下列條件:
(1)具備良好的政治素質;
(2)熟悉保密法律法規,掌握保密知識技能,具有一定的管理能力;
(3)熟悉本單位業務工作和保密工作情況;
(4)通過保密行政管理部門組織的培訓和考核。
3.3保密制度
3.3.1資質單位應當建立規範、操作性強的保密制度,並根據實際情況及時修訂完善。保密制度的具體要求應當體現在單位相關管理制度和業務工作流程中。
3.3.2保密制度包括以下主要方面:
(1)保密工作機構設定與職責;
(2)保密教育培訓;
(3)涉密人員管理;
(4)涉密載體管理;
(5)信息系統、信息設備和保密設施設備管理;
(6)涉密信息系統集成場所等保密要害部位管理;
(7)涉密項目實施現場管理;
(8)保密監督檢查;
(9)保密工作考核與獎懲;
(10)泄密事件報告與查處;
(11)保密風險評估與管理;
(12)資質證書使用與管理。
3.4保密風險評估與管理
3.4.1資質單位應當定期對系統集成業務、人員、資產、場所等主要管理活動進行保密風險評估。各業務部門應當按照業務流程對保密風險進行識別、分析和評估,提出具體防控措施。
3.4.2資質單位應當將國家保密法規和標準要求、保密風險防控措施融入到管理制度和業務工作流程中,並建立相應的監督檢查機制。
3.5涉密人員管理
3.5.1資質單位應當對從事涉密業務的人員進行審查,符合條件的方可將其確定為涉密人員。涉密人員應當通過保密教育培訓,並簽訂保密承諾書後方能上崗。
3.5.2涉密人員應當保守國家秘密,嚴格遵守各項保密規章制度,並符合以下基本條件:
(1)遵紀守法,具有良好的品行,無犯罪記錄;
(2)資質單位正式職工,並在其他單位無兼職;
(3)社會關係清楚,本人及其配偶為中國境內公民。
3.5.3涉密人員根據所在崗位涉密情況分為核心、重要、一般三個等級,實行分類管理。涉密等級發生變化時,應當履行審批程式。
3.5.4資質單位與涉密人員簽訂的勞動契約或補充協定,應當包括以下內容:
(1)涉密人員的權利與義務;
(2)涉密人員應當遵守的保密紀律和有關限制性規定;
(3)因履行保密職責導致涉密人員利益受到損害,資質單位給予補償的規定;
(4)涉密人員因違反保密規定而被無條件調離涉密崗位或給予辭退等處罰的規定;
(5)因認真履行保密職責,資質單位給予涉密人員獎勵的規定;
(6)涉密人員應當遵守的其他有關事項。
3.5.5資質單位應當將涉密人員基本情況和調整變動情況向所在地省、自治區、直轄市保密行政管理部門備案。
3.5.6在崗涉密人員每年參加保密教育與保密知識、技能培訓的時間不少於10個學時。
3.5.7資質單位應當對在崗涉密人員進行定期考核評價。
3.5.8資質單位應當向涉密人員發放保密補貼。
3.5.9涉密人員離崗離職須經資質單位保密審查,簽訂保密承諾書,並按相關保密規定實行脫密期管理。
3.5.10涉密人員因私出國(境)的,應當經資質單位同意,出國(境)前應當經過保密教育。擅自出境或逾期不歸的,資質單位應當及時報告保密行政管理部門。
3.5.11涉密人員泄露國家秘密或嚴重違反保密規章制度的,應當調離涉密崗位,並追究其法律責任。
3.6涉密載體管理
3.6.1資質單位應當按照工作需要,嚴格控制涉密載體的接觸範圍和涉密信息的知悉程度。
3.6.2資質單位應當建立涉密載體台帳,台帳應當包括載體名稱、編號、密級、保密期限等信息。
3.6.3接收、製作、交付、傳遞、保存、維修、銷毀涉密載體,應當遵守國家相關保密規定,履行簽收、登記、審批手續。
3.6.4複製本單位產生的涉密載體,應當經單位相關部門審批;複製其他涉密載體,應當經涉密載體制發機關、單位或所在地省、自治區、直轄市保密行政管理部門批准。涉密載體複製場所應當符合保密要求,採取可靠的保密措施;不具備複製條件的,應當到保密行政管理部門審查批准的定點單位複製。
3.6.5機密、秘密級涉密載體應當存放在密碼檔案櫃中,絕密級涉密載體應當存放在密碼保險柜中。存放場所應當符合保密要求。
3.6.6未經批准,個人不得私自留存涉密載體和涉密信息資料。確因工作需要保存的,應當建立個人台帳,內容包括載體密級、留存原因、審批部門或人員、留存期限等內容。
3.6.7攜帶涉密載體外出,應當履行審批手續,採取可靠的保密措施,並確保涉密載體始終處於攜帶人的有效控制下。
3.6.8資質單位應當定期對涉密載體進行清查。需要銷毀的涉密載體應當履行清點、登記、審批手續,送交保密行政管理部門設立的銷毀工作機構或者保密行政管理部門指定的單位銷毀;確因工作需要,自行銷毀少量秘密載體的,應當使用符合國家保密標準的銷毀設備和方法。
3.7信息系統與信息設備管理
3.7.1涉密信息系統的規劃、建設、使用等應當符合國家有關保密規定。涉密信息系統應當按照國家保密規定和標準,制定分級保護方案,採取身份鑑別、訪問控制、安全審計、邊界安全防護、信息流轉控制等安全保密防護措施。
3.7.2涉密信息設備應當符合國家保密標準,有密級、編號、責任人標識,並建立管理台帳。
3.7.3涉密計算機、移動存儲介質應當按照存儲、處理信息的最高密級進行管理與防護。
3.7.4涉密信息設備的使用應當符合相關保密規定。禁止涉密信息設備接入網際網路及其他公共信息網路;禁止涉密信息設備接入內部非涉密信息系統;禁止使用非涉密信息設備和個人設備存儲、處理涉密信息;禁止超越計算機、移動存儲介質的涉密等級存儲、處理涉密信息;禁止在涉密計算機和非涉密計算機之間交叉使用移動存儲介質;禁止在涉密計算機與非涉密計算機之間共用印表機、掃瞄器等信息設備。
3.7.5涉密信息設備應當採取身份鑑別、訪問控制、違規外聯監控、安全審計、移動存儲介質管控等安全保密措施,並及時升級病毒和惡意代碼樣本庫,定期進行病毒和惡意代碼查殺。
3.7.6採購安全保密產品應當選用經過國家保密行政管理部門授權機構檢測、符合國家保密標準要求的產品,計算機病毒防護產品應當選用公安機關批准的國產產品,密碼產品應當選用國家密碼管理部門批准的產品。
3.7.7涉密信息列印、刻錄等輸出應當相對集中、有效控制,並採取相應審計措施。
3.7.8涉密計算機及辦公自動化設備應當拆除具有無線聯網功能的硬體模組,禁止使用具有無線互聯功能或配備無線鍵盤、無線滑鼠等無線外圍裝置的信息設備處理國家秘密。
3.7.9涉密信息設備的維修,應當在本單位內部進行,並指定專人全程監督,嚴禁維修人員讀取或複製涉密信息。確需送外維修的,須拆除涉密信息存儲部件。涉密存儲介質的數據恢復應當到國家保密行政管理部門批准的單位進行。
3.7.10涉密信息設備改作非涉密信息設備使用或淘汰處理時,應當將涉密信息存儲部件拆除。淘汰處理涉密存儲介質和涉密信息存儲部件,應當按照國家秘密載體銷毀有關規定執行。
3.7.11涉密計算機及移動存儲介質攜帶外出應履行審批手續,帶出前和帶回後,均應當進行保密檢查。
3.8涉密辦公場所保密管理
3.8.1資質單位的涉密辦公場所應當固定在相對獨立的樓層或區域。
3.8.2涉密辦公場所應當安裝門禁、視頻監控、防盜報警等安防系統,實行封閉式管理。監控機房應當安排人員值守。
3.8.3建立視頻監控的管理檢查機制,資質單位安全保衛部門應當定期對視頻監控信息進行回看檢查,保密管理辦公室應當對執行情況進行監督。視頻監控信息保存時間不少於3個月。
3.8.4門禁系統、視頻監控系統和防盜報警系統等應當定期檢查維護,確保系統處於有效工作狀態。
3.8.5涉密辦公場所應當明確允許進入的人員範圍,其他人員進入,應當履行審批、登記手續,並由接待人員全程陪同。
3.8.6未經批准,不得將具有錄音、錄像、拍照、存儲、通信功能的設備帶入涉密辦公場所。
3.9涉密信息系統集成項目管理
3.9.1資質單位應當按照資質等級、類別承接涉密信息系統集成業務。不得將資質證書出借或轉讓。不得將承接的涉密信息系統集成業務分包或轉包給不具備相應資質的單位。
3.9.2資質單位與其他單位合作開展涉密信息系統集成業務的,合作單位應當具有相應涉密信息系統集成資質,且應當取得委託方書面同意。
3.9.3資質單位承接涉密信息系統集成項目的,應當在簽訂契約後,向項目所在地省、自治區、直轄市保密行政管理部門備案,接受保密監督管理。
涉密信息系統集成項目完成後,資質單位應當向項目所在地省、自治區、直轄市保密行政管理部門書面報告項目建設情況。
3.9.4資質單位應當對涉密信息系統集成項目實行全過程管理,明確崗位責任,落實各環節安全保密措施,確保管理全程可控可查。
3.9.5資質單位應當按照涉密信息系統集成項目的密級,對用戶需求文檔、設計方案、圖紙、程式編碼等技術資料和項目契約書、保密協定、驗收報告等業務資料是否屬於國家秘密或者屬於何種密級進行確定。屬於國家秘密的,應當標明密級,登記編號,明確知悉範圍。
3.9.6涉密信息系統集成項目實施期間,項目負責人對項目的安全保密負總體責任,應當按照工作需要,嚴格控制涉密載體的接觸範圍和涉密信息的知悉程度。
3.9.7資質單位應當對參與涉密信息系統集成項目的管理人員、技術人員和工程施工人員進行登記備案,對其分工作出詳細記錄。
3.9.8涉密信息系統集成項目實施驗收後,資質單位應當將涉密技術資料全部移交委託方,不得私自留存或擅自處理。需要保留的業務資料,應當嚴格按照有關保密規定進行管理。
3.9.9涉密信息系統集成項目的設計方案、研發成果及有關建設情況,資質單位及其工作人員不得擅自以任何形式公開發表、交流或轉讓。
3.9.10資質單位在與境外人員或機構進行交流合作時,應當嚴格遵守有關保密規定,交流材料不得涉及涉密信息系統集成項目的相關情況。
3.9.11資質單位利用涉密信息系統集成項目申請專利,應當嚴格遵守有關保密規定。
秘密級和機密級的項目,應當按照法定程式審批後申請保密專利,符合專利申請條件的,應當按照有關規定辦理解密手續;絕密級的項目,在保密期限內不得申請專利或者保密專利。
3.10涉密項目實施現場管理
3.10.1資質單位進入委託方現場進行涉密信息系統集成項目開發、工程施工、運行維護等應當嚴格執行現場工作制度和流程。
3.10.2從事現場項目開發、工程施工、運行維護的人員應當是資質單位確定的涉密人員。
3.10.3現場項目開發、工程施工、運行維護應當在委託方的監督下進行。未經委託方檢查和書面批准,不得將任何電子設備帶入涉密項目現場。
3.10.4資質單位應當對現場項目開發、工程施工、運行維護的工作情況進行詳細記錄並存檔備查。
3.11宣傳報導管理
3.11.1資質單位通過媒體、網際網路等渠道對外發布信息,應當經資質單位相關部門審查批准。
3.11.2資質單位涉及涉密信息系統集成項目的宣傳報導、展覽、公開發表著作和論文等,應當經委託方批准。
3.12保密檢查
3.12.1資質單位應當定期對保密管理制度落實情況、技術防範措施落實情況等進行檢查,及時發現和消除隱患。
3.12.2保密檢查應當進行書面記錄,內容包括:檢查時間、檢查人、檢查對象、檢查事項、存在問題、整改措施及落實情況等。
3.13泄密事件處理
3.13.1資質單位發生泄密事件,應當立即採取補救措施,並在發現後24小時內書面向所在地保密行政管理部門報告。內容包括:
(1)所泄露信息的內容、密級、數量及其載體形式;
(2)泄密事件的發現經過;
(3)泄密事件發生的時間、地點和經過;
(4)泄密責任人的基本情況;
(5)泄密事件造成或可能造成的危害;
(6)已採取或擬採取的補救措施。
3.13.2資質單位應當配合保密行政管理部門對泄密事件進行查處,不得隱瞞情況或包庇當事人。
3.14保密工作考核與獎懲
3.14.1資質單位應當將員工遵守保密制度、履行保密職責的情況納入績效考核內容,考核結果作為發放保密補貼和評選先進的依據。
3.14.2資質單位應當對嚴格執行保密規章的集體和個人給予表彰獎勵。
3.14.3資質單位應當對違反保密法規制度的有關責任人給予相應處罰;泄露國家秘密的,應當按照有關規定作出處理。
3.15保密工作經費
3.15.1保密工作經費分為保密管理經費和保密專項經費。保密管理經費用於單位保密宣傳教育培訓、發放保密補貼、獎勵保密先進、保密檢查等日常保密管理工作;專項經費用於保密設施設備的建設、配備、維護等。
3.15.2甲級資質單位保密管理經費,年度標準不少於5萬元;乙級資質單位保密管理經費,年度標準不少於3萬元。保密管理經費應當單獨列入單位年度財務預算,專款專用,保證開支。
3.15.3保密專項經費應當按實際需要予以保障。
3.16保密工作檔案
3.16.1資質單位應當建立保密工作檔案,記錄日常保密工作情況。
3.16.2保密工作檔案的內容應當真實、完整,全面反映保密工作情況,並能夠與相關工作檔案相互印證。
3.17本保密標準未明確涉密事項的保密管理,須嚴格執行國家有關保密規定。
